LỜI MỞ ĐẦU Trong vai trò là người quản trị hệ thống hay một chuyên gia thiết kế mạng thì vấn đề an ninh cho mạng máy tính luôn đặt lên hàng đầu. Tường lửa chính là phương thức giúp chúng ta thực hiện việc này một cách tối ưu nhất. Nó ngăn chặn các truy nhập bất hợp pháp từ bên ngoài, và lọc các gói tin ra vào mạng nội bộ. Ngày nay, có rất nhiều công cụ tường lửa thương mại cũng như miễn phí và Smoothwall là một trong những tường lửa miễn phí được đánh giá rất cao từ cộng đồng người sử dụng. Tuy miễn phí nhưng Smoothwall mang đầy đủ tính năng của một tường lửa thương mại. Mục tiêu của đề tài là tìm hiểu về hệ thống tường lửa và phát triển ứng dụng sử dụng phấn mềm mã nguồn mở Smoothwall. Cho đến nay phần mềm này chưa được ứng dụng rộng rãi tại Việt Nam. Chính vì thế em muốn tìm hiểu về phân mềm để góp phần phát triển phần mềm mã nguồn mở tại Việt Nam. Hiện nay, trường đã áp dụng hình thức dạy học mới, tiên tiến trên thế giới là E- learning ( học trực tuyến). Hình thức này cần phải đưa các bài giảng lên Trung tâm dữ liệu, cùng với đó là các thông tin về sinh viên, giảng viên, các tài liệu phục vụ việc học và giảng dạy,… đều được đưa lên Trung tâm dữ liệu. Do đó, cần phải đảm bảo cho Trung tâm dữ liệu được an toàn, bảo mật và ổn định là rất quan trọng. Vì vậy, em chọn đề tài: “Đảm bảo an toàn cho hệ thống Trung tâm dữ liệu trường Đại học Điện Lực”.  Mục tiêu của luân văn Nâng cao hiệu quả của hệ thống. Bảo vệ tài nguyên hệ thống và chống lại các xâm nhập trái phép. Quản lý hệ thống mạng của trường tốt hơn.  Bố cục báo cáo Luận văn gồm 3 chương: Chương 1: Tổng quan về an toàn bảo mật hệ thống trung tâm dữ liệu. Chương 2: Tìm hiểu và cài đặt hệ thống Smoothwall. Chương 3: Xây dựng hệ thống mạng cho trường Đại học Điện Lực. LỜI CẢM ƠN Trong quá trình thực hiện luận văn này, em luôn nhận được sự hướng dẫn, chỉ bảo tận tình của Th.S Lê Mạnh Hùng, giảng viên khoa công nghệ thông tin trường Đại học Điện Lực, thầy đã giành nhiều thời gian hướng dẫn, giúp đỡ tận tình chúng em trong quá trình thực hiện, hoàn thành luận văn. Em xin chân thành cảm ơn toàn thể các thầy cô trong khoa Công Nghệ Thông Tin, những giảng viên đã tận tình giảng dạy và truyền đạt cho em những kiến thức, kinh nghiệm quý báu trong suốt những năm học tập và rèn luyện tại trường Đại học Điện Lực. Xin cảm ơn những bạn bè trong tập thể lớp D4-CNTT cùng những người bạn trong khoa Công Nghệ Thông Tin đã chung vai sát cánh bên em vượt qua những khó khăn, thử thách của quãng đời sinh viên, cùng nhau vững bước trên con đường học tập đầy gian nan, vất vả. Cuối cùng em xin gửi lời cảm ơn tới bố mẹ, gia đình của em, những người luôn miệt mài chăm lo, an ủi, động viên em những lúc khó khăn và luôn giành cho em những tình cảm đặc biệt nhất. Em xin chân thành cảm ơn ! Hà Nội, ngày 26 tháng 12 năm 2013 Sinh viên thực hiện Nguyễn Minh Đức MỤC LỤC LỜI MỞ ĐẦU Trang DANH MỤC HÌNH ẢNH DANH MỤC BẢNG BIỂU MỤC TỪ VIẾT TẮT Từ viết tắt Diễn giải Từ viết tắt Diễn giải DC Data Center Qos Quality of Service CSDL Cơ sở dữ liệu Ppp Point – to – Point Protocol IP Internet Protocol VPN Virtual Private Network TCP Transmission Control Protocol MB Megabyte UDP User Datagram Protocol KB Kilobyte ICMP Internet Control Message Protocol MSN Microsoft Network DMZ Demilitarized Zone AIM Aol Instant Mesenger DNS Domain Name System IRC Internet Relay Chat RAM Random Access Memory NIS Network Information Service DHCP Dynamic Host Configuration Protocol IDS Intrusion Detection System CD Compact Disc SSH Secure Shell CD-ROM Compact Disc Read Only Memory URL Uniform Resource Locator LAN Local Area Network ADSL Asymmetric Digital Subscriber Line FTP File Tranfer Protocol GBIC Gigabit interface converter Pop3 Post Office Protocol NAT Network Address Translation SIP Session Initition Protocol WAN Wide Area network PC Personal Computer IPv4 Internet Protocol version 4 SNAT Source – NAT DNAT Destioation – NAT 7 CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG TRUNG TÂM DỮ LIỆU 1.1 Khái niệm Trung Tâm Dữ Liệu (Data Center) Nơi tập trung nhiều thành phần tài nguyên mật độ cao (hardware, software…) làm chức năng lưu trữ, xử lý toàn bộ dữ liệu hệ thống với khả năng sẵn sàng và độ ổn định cao. Các tiêu chí khi thiết kế DC bao gồm: Tính module hóa cao. Khả năng mở rộng dễ dàng. Triển khai các giải pháp mới tối ưu về nguồn và làm mát. Khả năng hỗ trợ hợp nhất Server và thiết bị lưu trữ mật độ cao. • Data center là nơi chứa đựng, tập hợp tất cả dữ liệu của doanh nghiệp, của các tổ chức, ngành… nhằm hỗ trợ việc xử lý thông tin và ra các quyết định. Với mục đích đó, các số liệu là nguyên liệu của các phép tính và rất quan trọng. 1.2 An toàn bảo mật thông tin, dữ liệu. 1.2.1 Khái quát bảo mật thông tin Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin, đặc biệt là sự phát triển của mạng Internet, ngày càng có nhiều thông tin được lưu trữ trên máy vi tính và gửi đi trên mạng Internet. Và do đó xuất hiện nhu cầu về an toàn và bảo mật thông tin trên máy tính. Có thể phân loại mô hình an toàn bảo mật thông tin trên máy tính theo hai hướng chính như sau: • Bảo vệ thông tin trong quá trình truyền thông tin trên mạng (Network Security). • Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên ngoài (System Security). Từ đó, các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng đổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền tin trong các máy tính nối mạng. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá trình truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu đó trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép nào thông qua mạng. GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức 8 1.2.2 Khái niệm Trung tâm tích hợp dữ liệu trước hết là trung tâm có phòng Server, phòng tin học có những thiết bị phục vụ cho việc kết nối mạng như Switch, Router, Hub, và có các máy chủ Webdite, máy chủ CSDL, Hosting, chia sẻ dữ liệu, máy chủ mail để phục vụ cho việc lưu trữ, sử lý thông tin, … phục vụ cho hoạt động của cơ quan, tổ chức,… 1.2.3 Các loại tấn công cơ bản Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động. Tấn công thụ động: Mục tiêu của Hacker là chỉ nắm bắt và đánh cắp thông tin. Họ chỉ có thể biết được người gửi, người nhận trong phần IP Header và thống kê được tần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh sửa hoặc làm hủy hoại nội dung thông tin dữ liệu trao đổi. Kiểu tấn công này khó phát hiện nhưng có thể có biện pháp ngăn chặn hiệu quả. Đối với tấn công chủ động có thể làm thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lại gói tin đó. Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều. Một thực tế cho thấy bất kỳ một hệ thống nào dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì vậy, chúng ta cần phải xây dựng các chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn. 1.2.4 Nhiệm vụ của người quản trị. Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi, nghiên cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự cố. Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao cho hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khác nhau. Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào tài nguyên mạng. Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị tấn công. Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ý muốn. Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chính một cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị mạng phải có để đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể. GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức 9 1.3 Tìm hiểu về tường lửa (Firewall). 1.3.1 Khái niệm về tường lửa (Firewall).  Firewall là một cơ chế bảo vệ mạng tin tưởng intranet với các mạng không tin tưởng thường là Internet. Firewall bao gồm các cơ cấu nhằm: Ngăn chặn truy nhập bất hợp pháp. Kiểm soát thông tin trao đổi từ trong ra và từ Internet vào hệ thống cục bộ. Ghi nhận và theo dõi thông tin mạng.  Thông tin giao lưu được theo hai chiều. Chỉ có những thông tin thỏa mãn nhu cầu bảo vệ mới được đi qua. Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chính sách: Những dịch vụ nào cần ngăn chặn Những host nào cần phục vụ Mỗi nhóm cần truy nhập những dịch vụ nào Mỗi dịch vụ sẽ được bảo vệ như thế nào   Ưu điểm: • Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi cho phép người sử dụng hợp pháp truy nhập tự do mạng bên ngoài. • Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập. Nó là “cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọi cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian,… • Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra.  Hạn chế: • Firewall không thể đọc hiểu từng loại thông tin và phân tích nội dung của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin đã xác định trước. GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức 10 • Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó, như là sự dò rỉ thông tin do dữ liệu sao chép bất hợp pháp lên đĩa mềm. • Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data – drivent attack). Khi có một số chương trình được chuyền theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. • Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall. • Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. 1.3.2 Các thành loại Firewall và cơ chế hoạt động. Một Firewall chuẩn bao gồm một hay nhiều các loại sau đây: • Bộ lọc gói (Packet – Fileter). • Cổng ứng dụng (Application – level Gateway hay Proxy Server). • Cổng vòng (Circuite level Gateway). a) Bộ lọc gói (Packet Filtering)  Nguyên lý hoạt động: Hình 11. Sơ đồ làm việc của Packet Filtering. Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng. Đó là: Địa chỉ IP nơi xuất phát (IP Source address). GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức [...]... chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn 1.5.2 Giải pháp cho Trung tâm dữ liệu 1.5.2.1 Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu Bảo vệ dữ liệu tránh được những truy cập trái phép Bảo vệ dữ liệu khỏi bị thay đổi không mong muốn Bảo vệ trực tiếp dữ liệu bằng mật mã 1.5.2.2 Bảo toàn thông tin Dữ liệu Bảo toàn thông tin Dữ liệu chính là việc bảo vệ tính toàn vẹn Dữ liệu: ở... này sang đối tượng khác hay không  Kiểm soát suy diễn Ngay từ cái tên gọi thì việc suy diễn chính là việc lấy thông tin thông qua việc tập hợp các thông tin khác, hay phân tích từ thông tin khác 1.6 Kết luận Hệ thống Trung tâm dữ liệu (Data Center) là kho lưu trữ thông tin, dữ liệu rất quan trọng và cần thiết cho một trường học, doanh nghiệp,… Vì vậy, việc đảm bảo an toàn và bảo mật cho hệ thống Trung. .. được những truy cập trái phép đến Dữ liệu, từ đó thay đổi thông tin trong Dữ liệu 1.5.2.3 Xác thực Dữ liệu Nhiệm vụ chủ yếu là xác thực đúng đối tượng và quyền truy cập vào Dữ liệu của đối tượng đến các dữ liệu được phép 1.5.2.4 Sẵn sàng truy cập Dữ liệu trong Trung tâm dữ liệu Nhiệm vụ chủ yếu của chức năng này đảm bảo cho việc truy xuất của các đổi tượng đến Dữ liệu luôn được thực hiện, không bị... Nguyễn Minh Đức 22 • Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu • Bảo toàn thông tin Dữ liệu • Kiểm soát thông tin vào, ra Trung tâm dữ liệu GVHD: ThS Lê Mạnh Hùng SVTH: Nguyễn Minh Đức 23 CHƯƠNG 2: TÌM HIỂU VÀ CÀI ĐẶT HỆ THỐNG SMOOTHWALL 2.1 Giới thiệu hệ thống Smoothwall SmoothWall Express là một tường lửa mã nguồn mở hoạt động trên các bản phân phối của hệ điều hành GNU/Linux SmoothWall được... Trung tâm dữ liệu là vô cùng cần thiết Firewall là lựa chọn của rất nhiều hệ thống Trung tâm dữ liệu hiện nay Firewall có rất nhiều cách thức bảo mật khác nhau như: • Bộ lọc gói (Packet – Fileter) • Cổng ứng dụng (Application – level Gateway hay Proxy Server) • Cổng vòng (Circuite level Gateway) Một số giải pháp cho Trung tâm dữ liệu: GVHD: ThS Lê Mạnh Hùng SVTH: Nguyễn Minh Đức 22 • Bảo mật thông tin Dữ. .. dùng hợp pháp và đến dữ liệu được lưu trữ trong Trung tâm dữ liệu 1.5.2.5 Kiểm soát thông tin vào, ra Trung tâm dữ liệu • Ở đây việc kiểm soát thông tin vào, ra là kiểm soát việc truy xuất thông tin trong Trung tâm dữ liệu - Kiểm soát thông tin vào, ra được chia làm ba loại chính: Kiểm soát thông tin truy nhập, kiểm soát luồng và kiểm soát suy diễn  Kiểm soát truy nhập Một hệ thống kiểm soát truy... luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo sự tích hợp Firewall Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user password hay smart card Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ... các thông báo mà không biết nội dung của nó là gì, vô tình chỉnh sửa, thay đổi hoặc xóa bỏ các trạng thái, các dữ liệu mà không biết nó ảnh hưởng xấu, phá hỏng hoặc làm thay đổi Trung Tâm Dữ Liệu  Cố ý Tấn công cố ý (có chủ đích) là kẻ phá hoại đã có ý đồ, mục đích đánh phá vào Trung Tâm Dữ Liệu  Thụ động Mục tiêu của Hecker là chỉ nắm bắt và đánh cắp thông tin Đối với tấn công chủ động có thể làm... dual-homed host hoặc Bastion Host Những chương trình Client của người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần giao tiếp 1.4.1 Tác dụng và chức năng Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến ứng dụng được cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu GVHD: ThS Lê Mạnh Hùng SVTH: Nguyễn Minh Đức 18 hết những... cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được  Ưu điểm Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong  Bởi vì Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible) Chỉ có một số hệ thống đã . nhất. Em xin chân thành cảm ơn ! Hà Nội, ngày 26 tháng 12 năm 2013 Sinh viên thực hiện Nguyễn Minh Đức MỤC LỤC LỜI MỞ ĐẦU Trang DANH MỤC HÌNH ẢNH DANH MỤC BẢNG BIỂU MỤC TỪ VIẾT TẮT Từ viết tắt Diễn. tạo ra bởi bất kỳ người dùng trái phép nào thông qua mạng. GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức 8 1.2.2 Khái niệm Trung tâm tích hợp dữ liệu trước hết là trung tâm có phòng Server, phòng. thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể. GVHD: ThS. Lê Mạnh Hùng SVTH: Nguyễn Minh Đức 9 1.3 Tìm hiểu về tường lửa (Firewall). 1.3.1 Khái niệm về tường lửa (Firewall).  Firewall