Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã MỤC LỤC MỤC LỤC DANH MỤC HÌNH ẢNH .4 DANH MỤC CÁC CHỮ VIẾT TẮT LỜI MỞ ĐẦU Chương AN NINH MẠNG VỚI DOANH NGHIỆP VỪA VÀ NHỎ 1.1 Tình hình phát triển Internet Việt Nam 1.2 Lợi ích Internet với doanh nghiệp 12 1.2.1 Thương mại điện tử .12 1.2.2 Internet thương mại điện tử 12 1.3 An toàn an ninh cho doanh nghiệp vừa nhỏ 15 1.3.1 Các phương pháp công 16 1.3.2 Các biện pháp giảm thiểu rủi ro 21 1.4 Các giải pháp an ninh mạng 25 1.4.1 Giải pháp phần cứng 26 1.4.2 Giải pháp phần mềm 26 Chương 27 TỔNG QUAN VỀ TƯỜNG LỬA .27 2.1 Khái niệm chức tường lửa 27 2.1.1 Khái niệm 27 2.1.2 Chức tường lửa .28 2.1.2.1 Tường lửa bảo vệ vấn đề ? .28 2.1.2.2 Tường lửa bảo vệ chống lại vấn đề ? .29 2.1.3 Cấu trúc, thành phần chế hoạt động tường lửa 31 2.1.3.1 Cấu trúc 31 2.1.3.2 Thành phần chế hoạt động 31 2.1.3.3 Những hạn chế tường lửa .38 2.2 Một số kiến trúc tường lửa 39 2.2.1 Kiến trúc Dual – homed Host 39 Chương 47 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA IPCOP 47 3.1 Giới thiệu mục đích tường lửa IPCop 47 3.1.1 Giới thiệu tường lửa IPCop .47 3.1.2 Lịch sử IPCop 48 3.1.3 Sự khác SmoothWall IPCop 48 3.2 Những thành phần tính tường lửa IPCop 49 3.2.1 Các thành phần 49 3.2.1.1 Giao diện web 49 3.2.1.2 Giao diện mạng .49 3.2.2 Các tính quan trọng tường lửa IPCop .50 3.2.2.1 Web proxy .50 3.2.2.2 DHCP Dynamic DNS 51 3.2.2.3 Quản trị lưu lượng mạng 52 3.2.2.4 Port Forwarding 52 3.2.2.5 Intrusion Detection 53 3.2.2.6 DMZ Pinholes 55 3.2.2.7 Quản trị truy nhập từ bên .55 3.2.2.8 Quản trị tùy chọn tường lửa 56 3.2.2.9 Quản lý chức ghi nhật ký .56 Chương 59 TRIỂN KHAI VÀ QUẢN TRỊ IPCOP .59 4.1 Cài đặt tường lửa IPCop 59 4.1.1 Mô hình triển khai tường lửa IPCop 59 4.1.2 Cài đặt thực nghiệm .59 4.2 Thiết lập chức quản trị 67 4.2.1 Thay đổi mật 67 4.3.2 Truy cập an toàn với SSH 67 4.3.3 GUI Settings 69 4.3.4 Shutdown .70 4.3 Giám sát trạng thái hệ thống .70 4.3.1 System Status 70 4.3.2 Network Status 71 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã 4.3.3 System Graphs .72 4.3.4 Traffic Graphs 73 4.3.5 Giám sát kết nối .73 4.4 Quản trị chức dịch vụ 74 4.4.1 Advanced Proxy 74 4.4.1.1 Cài đặt cập nhật chức Advanced Proxy 74 4.4.1.2 Cấu hình chung proxy .75 4.4.1.3 Cấu hình Upstream proxy .76 4.4.1.4 Thiết lập chức ghi nhật kí .77 4.4.1.5 Quản lý đệm .77 4.4.1.6 Thiết lập port 79 4.4.1.7 Điều khiển truy nhập mạng .79 4.4.1.8 Hạn chế thời gian 80 4.4.1.9 Hạn chế tải tải lên 80 4.4.1.10 Quản lý băng thông 81 4.4.1.11 Lọc theo tập tin mở rộng 81 4.4.1.12 Chặn kết nối theo trình duyệt 82 4.4.1.13 Quyền riêng tư 82 4.4.1.14 Lọc URL 83 4.4.1.15 Cấu hình xác thực 83 4.4.2 URL Filter 83 4.4.2.1 Thiết lập chung lọc URL 84 4.4.2.2 Điều khiển truy nhập mạng .86 4.4.2.3 Thiết lập nâng cao 88 4.4.2.4 Nâng cấp, bảo trì URL filter 89 4.4.3 Block Out Traffic 90 4.4.3.1 Cài đặt 90 4.4.3.2 Thiết lập cấu hình 90 4.4.4 Mạng riêng ảo 93 4.4.4.1 Cài đặt VPN 93 4.4.4.2 Mô hình Client to Site .93 4.4.4.3 Mô hình Site to Site 95 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã KẾT LUẬN 98 TÀI LIỆU THAM KHẢO 100 DANH MỤC HÌNH ẢNH Hình 1.1: Sơ đồ kết nối IXP với VNIX 10 Hình 2.1: Bộ lọc gói tin 32 Hình 2.2: Cổng lọc ứng dụng 34 Hình 2.3: Cổng vòng 36 Hình 2.4: Cổng mạch 37 Hình 2.5: Sơ đồ kiến trúc Dual–homed Host 39 Hình 2.6: Sơ đồ kiến trúc Screened Host 41 Hình 2.7: Sơ đồ kiến trúc Screened Subnet Host .42 Hình 2.8: Sơ đồ kiến trúc sử dụng Bastion Host 44 Hình 2.9: Sơ đồ kiến trúc ghép chung Router Router 45 Hình 2.10: Sơ đồ kiến trúc ghép chung Bastion Host Router 46 Hình 3.1: Traffic Shapping 52 Hình 3.2: Port Forwarding 53 Hình 3.3: Truy cập bên .55 Hình 3.4: Tùy chọn tường lửa 56 Hình 3.5: Log Sumary 56 Hình 3.6: Proxy log 57 Hình 3.7: Firewall Log 57 Hình 3.8: System Log 58 Hình 3.9: Phát xâm nhập 58 Hình 4.1: Mô hình triển khai IPCop 59 Hình 4.2: Giao diện cài IPCop 60 Hình 4.3: Lựa chọn ngôn ngữ .60 Hình 4.4: Bắt đầu cài đặt 61 Hình 4.5: Cấu hình mạng 61 Hình 4.6: Hoàn tất cấu hình .62 Hình 4.7: Đặt tên cho tường lửa 62 Hình 4.8: Menu cấu hình mạng 63 Hình 4.9: Giao diện thiết lập IP cho DNS Gateway 64 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã Hình 4.10: Lựa chọn cấu hình DHCP 64 Hình 4.11: Cấu hình mật cho tài khoản root 64 Hình 4.12: Giao diện cài đặt hoàn tất 65 Hình 4.13: Giao diện khởi động 65 Hình 4.14: Màn hình đăng nhập thành công 65 Hình 4.15: Giao diện cài đặt .66 Hình 4.16: Kết nối đến IPCop với quyền Admin 67 Hình 4.17: Truy cập SSH 68 Hình 4.18: Đăng nhập vào IPCop qua SSH 69 Hình 4.19: Thiết lập ngôn ngữ 69 Hình 4.20: Thiết lập thời gian shutdown 70 Hình 4.21: Trạng thái hệ thống 71 Hình 4.22: Trạng thái mạng .72 Hình 4.23: Đồ thị CPU 73 Hình 4.24: Đồ thị vùng Green 73 Hình 4.25: Giám sát kết nối 73 Hình 4.26: Cấu hình chung cho proxy .75 Hình 4.27: Cấu hình upstream proxy 76 Hình 4.28: Thiết lập chức ghi nhật 77 Hình 4.29: Chức quản lý cache 77 Hình 4.30: Thiết lập port 79 Hình 4.31: Giao diện cấu hình điều khiển truy nhập .79 Hình 4.32: Hạn chế thời gian truy nhập 80 Hình 4.33: Hạn chế download/upload .80 Hình 4.34: Hạn chế băng thông 81 Hình 4.35: Chặn tập tin mở rộng 81 Hình 4.36: Cấu hình web browser .82 Hình 4.37: Cấu hình privacy 83 Hình 4.38: Bật tính URL filter 83 Hình 4.39: Thiết lập lọc chung cho URL Filter 84 Hình 4.40: Điều khiển truy nhập URL Filter 86 Hình 4.41: Thiết lập cảnh báo 87 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã Hình 4.42: Tùy chọn nâng cao cho URL Filter 88 Hình 4.43: Nâng cấp & bảo trì URL Filter .89 Hình 4.44: Định nghĩa nhóm dịch vụ 92 Hình 4.45: Mô hình Client to Site 94 Hình 4.46: Mô hình Site to Site 95 Hình 4.47: Trạng thái kết nối Site to Site bên Hà Nội 96 Hình 4.48: Trạng thái kết nối Site to Site bên Hồ Chí Minh 97 DANH MỤC CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh tương đương ADSL Asymmetric Digital Subscriber Line Tiếng Việt Đường thuê bao bất đối xứng CLG Circuit Level Gateway Cổng vòng DMZ Demilitarized zone Mạng trung gian FTP File Transfer Protocol Giao thức truyền tệp tin IDC Informations Development Center Trung tâm phát triển Tin học ISP Internet Service Provider Nhà cung cấp dịch vụ kết nối Internet thuê lại kênh quốc tế đường trục quốc gia từ IXP Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã IXP Internet Exchange Provider Nhà cung cấp dịch vụ quản lý hạ tầng kết nối Internet NIC Network Interface Card Cạc giao tiếp mạng OECD Organization for Economic Cooperation and Development Tổ chức hợp tác Phát triển kinh tế PPP Point-to-Point Protocol Giao thức kết nối điểm-điểm SLIP Serial Line Internet Protocol Giao thức kết nối Internet lỗi thời VNIC Vietnam Internet Network Information Center Trung tâm Internet Việt Nam VNIX Vietnam National Internet eXchange Trạm trung chuyển lưu lượng Internet Việt Nam LỜI MỞ ĐẦU Với bùng nổ ngày mạnh mẽ mạng Internet, quốc gia, tổ chức, công ty tất người dường xích lại gần Họ đã, muốn hoà nhập vào mạng Internet để thoả mãn "cơn khát thông tin" nhân loại Cùng với phát triển Internet mang lại nhiều lợi ích cho doanh nghiệp thương mại điện tử cổng thông tin doanh nghiệp, việc lấy cắp thông tin mật, chương trình liệu quan trọng, việc thâm nhập bất hợp pháp phá hoại thông qua Internet gia tăng số lượng, loại hình kỹ xảo Do đó, song song với việc phát triển khai thác dịch vụ Internet, cần nghiên cứu giải vấn đề đảm bảo an ninh mạng cho doanh nghiệp Trong việc xây dựng hệ thống bảo mật cần thiết hết Đi tìm lời giải cho toán thật không đơn giản mong muốn hệ thống xây dựng hoàn hảo lại khó khăn Sau thời gian dài tìm hiểu tài liệu, diễn đàn thực tế số công ty, Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã em đề xuất giải pháp bảo vệ hệ thống phù hợp, có chiều sâu, hiệu cao với hầu hết doanh nghiệp vừa nhỏ Bởi đề tài em có tên là: “Nghiên cứu giải pháp bảo mật thông tin mạng máy tính sử dụng công nghệ tường lửa dựa phần mềm IPCop” Đồ án gồm nội dung sau: - Chương I: An ninh mạng với doanh nghiệp vừa nhỏ Chương II: Tổng quan tưởng lửa Chương III: Giới thiệu chung IPCop Chương IV: Triển khai quản trị tường lửa IPCop Dù có nhiều cố gắng, song với kiến thức lĩnh vực an toàn thông tin hạn chế nên đồ án tránh khỏi sai sót, kính mong góp ý nhận xét quý báu thầy cô bạn, để hệ thống hoàn thiện vào thực tế sống Chương AN NINH MẠNG VỚI DOANH NGHIỆP VỪA VÀ NHỎ 1.1 Tình hình phát triển Internet Việt Nam Ngày 19/11/1997, dịch vụ Internet thức có mặt Việt Nam Lúc đó, Internet xem dịch vụ cao cấp dành cho nhóm cá nhân, tập thể thật có nhu cầu Hạ tầng ban đầu có tốc độ 64Kbps kết nối quốc tế, dung lượng đủ cho khoảng 300 người sử dụng Khách hàng cán cao cấp quan ban ngành, sử dụng với mục đích giới thiệu với cấp lãnh đạo cao để vận động “mở cửa” cho Internet Năm 2002, để tạo động lực cạnh tranh, nhà nước không cho phép VNPT độc quyền khai thác hạ tầng kỹ thuật cho phép thành lập IXP khác Quy định làm thị trường Internet Việt Nam có đột phá Giá cước ngày rẻ, thủ tục ngày đơn giản Từ nhà IXP bốn ISP ban đầu, số lượng nhà kinh doanh dịch vụ Internet hoạt động thực tế thị trường gồm có bốn IXP tám ISP “Thời sơ khai” Internet Việt Nam có dịch vụ như: thư điện tử, truy cập sở liệu, truyền liệu, truy nhập từ xa Thì nay, loại hình dịch vụ đa dạng phong phú Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã Năm 2003, với định cho giảm cước truy cập sử dụng Internet ngang với quốc gia khu vực, chí có khung cước rẻ hơn, đồng thời cho phép doanh nghiệp tự áp dụng sách quản lý ấn định mức cước, số khách hàng thuê bao ISP tăng đột biến VNPT tăng 258%, NetNam - 227%, Viettel - 184% FPT - 174% Theo số lượng thống kê tình hình phát triển Internet Việt Nam từ VNNIC, số lượng nhất: Tình hình phát triển Internet tháng 3/ 2012 Statistics on Internet development upto 3/2012 - Số người sử dụng : Users 30858742 - Tỉ lệ số dân sử dụng Internet : Users per capita 35.29 % - Tổng băng thông kênh kết nối quốc tế Việt Nam : Total International connection bandwidth of Vietnam 308676 Mbps - Tổng băng thông kênh kết nối nước: Total domestic connection bandwidth 417926 Mbps 107000 Mbps 112678090 Gbytes (trong băng thông kết nối qua trạm trung chuyển VNIX: (Connection bandwidth through VNIX) - Tổng lưu lượng trao đổi qua trạm trung chuyển VNIX: Total VNIX Network Traffic Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã - Tổng số tên miền đăng ký: Dot VN domain names 283086 - Tổng số tên miền Tiếng Việt đăng ký: Vietnamese domain names 722930 - Tổng số địa IPv4 cấp : Allocated Ipv4 address - Số lượng địa IPv6 qui đổi theo đơn vị /64 cấp : Allocated Ipv6 address - Tổng thuê bao băng rộng : Total broad bandwidth Subscribers 15518720 địa 54951049216 /64 địa 4293280 Sơ đồ kết nối với VNIX : Hình 1.1: Sơ đồ kết nối IXP với VNIX 10 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã • Local file redirection: Chuyển hướng tập tin tải tới kho lưu trữ nội Điều tăng tốc tải tiết kiệm băng thông o Enable local file redirection: Để bật chức o Manage repository: Cho phép mở hộp thoại giao diện để quản lý kho lưu trữ tập tin 4.4.2.2 Điều khiển truy nhập mạng Hình 4.40: Điều khiển truy nhập URL Filter o Unfiltered IP addresses: Những máy có địa IP hay dải địa IP ( mạng con) bị giới hạn truy nhập o Banned IP addresses: Những máy có địa IP hay dải địa IP ( mạng con) bị cấm tuyệt đối • Time based access control: Điều khiển thời gian truy nhập o Set time constraints: Giới hạn truy cập theo ngày o Set user quota: Giới hạn thời lượng sử dụng người dùng 86 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã Hình 4.41: Thiết lập cảnh báo • Block page settings: Các tùy chọn trang cảnh báo người dùng truy cập vào địa bị cấm hay máy có địa IP bị cấm truy cập o Redirect to this URL: Chuyển tiếp tới địa người dùng truy cập trang bị cấm o Message line 1, 2, 3: Các thông điệp nhắc nhở người dùng trang cảnh báo Nếu để trống IPCop sử dụng thông báo mặc định o Show URL on block page: Hiển thị địa bị cấm trang cảnh báo o Show IP on block page: Hiển thị địa IP người dùng trang cảnh báo o Use “DNS Error” to block URLs: Hiển thị dạng máy chủ phân dải tiên miền bị lỗi thay cho trang cảnh báo o Enable background image: Bật chức sử dụng cho trang cảnh báo 87 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã 4.4.2.3 Thiết lập nâng cao Hình 4.42: Tùy chọn nâng cao cho URL Filter o Enable expression lists: Cho phép danh sách chặn kiểu biểu thức o Enable SafeSearch: Cho phép công cụ tìm kiếm dựa việc tìm kiếm an toàn cách lọc kết tìm kiếm hình ảnh tìm kiếm web thông thường Điều phụ thuộc vào công cụ tìm kiếm hỗ trợ chức tìm kiếm an toàn o Block “ads” with empty windows: Chặn popup có nội dung rỗng o Block sites accessed by it’s IP address: Không cho truy cập trực tiếp địa IP  Block all URLs not explicitly allowed: Chặn tất URL danh sách cho phép truy cập  Enable log: Bật chức ghi nhật kí  Log username: Bật chức thêm tên người dùng có yêu cầu vào tập tin nhật kí  Split log by categories: Chia nhỏ tập tin nhật kí cho thể loại tập tin nhật kí chung  Number of filter processes: Bạn tăng giảm số lượng trình lọc Số lượng phụ thuộc vào hiệu suất phần cứng, băng thông số lượng truy cập đồng thời Giá trị mặc định 88 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã  Allow custom whitelist for banned clients: Cho phép IP bị cấm tuyệt đối truy cập vào URL có danh sách cho phép 4.4.2.4 Nâng cấp, bảo trì URL filter Hình 4.43: Nâng cấp & bảo trì URL Filter • Enable automatic update: Bật chức tự động cập nhật danh sách cấm truy nhập theo nhóm • Automatic update schedule: Lịch cập nhật (hàng ngày, hàng tuần, hàng tháng) • Select download source: Tùy chọn nguồn cập nhật • Custom source URL: Nếu muốn cập nhật từ nguồn riêng danh sách gõ địa vào • Save update settings: Lưu lại thông số thiết lập • Update now: Cập nhật danh sách cấm truy nhập • Blacklist editor: Soạn thảo danh sách cấm truy nhập theo ý riêng • Backup URL filter settings: Bấm “Create backup file” để tạo tập tin lưu cấu hình URL filter Chọn “Include complete blacklist” muốn lưu toàn danh sách cấm truy nhập 89 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã • Restore URL filter settings: Bấm “Browser” để dẫn tới tập tin cần khôi phục bấm “Import backup file” để phục hồi lại cấu hình lưu trước 4.4.3 Block Out Traffic 4.4.3.1 Cài đặt  Bước 1: Tải gói cài đặt từ http://blockouttraffic.de/download.php  Bước 2: Copy gói cài đặt lên tường lửa IPCop Nếu từ máy Windows, ta sử dụng chương trình WinSCP (Phải chắn dịch vụ SSH IPCop phải bật)  Bước 3: Đăng nhập tài khoản root qua SSH Trên Windows, ta sử dụng chương trình PuTTY(Sử dụng cổng 222)  Bước 4: Giải nén gói câu lệnh: o tar –zxvf BlockOutTraffic-3.0.0-GUI-b3.tar.gz  Bước 5: Cài đặt : o cd BlockOutTraffic-3.0.0-GUI-b3 o /setup  Bước 6: Mở giao diện web quản trị IPCop Ta thấy dịch vụ cài đặt Service 4.4.3.2 Thiết lập cấu hình Trước BlockOutTraffic(BOT) kích hoạt ta phải cấu hình máy tính phép quản trị BOT Trong giao diện quản trị IPCop chọn Firewall => Block outgoing traffic: o Admin MAC: Địa MAC máy trạm phép quản trị BOT o HTTPS port: Khai báo cổng HTTPS truy cập tới giao diện quản trị BOT tạo quy tắc quản trị mặc định với MAC cổng HTTPS điều tránh truy cập trái phép 90 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã o Connection state: BOT cho phép lưu lượng thuộc kết nối liên quan kết nối thiết lập bạn kích hoạt tùy chọn Nếu sử dụng Port-Forwardings (ví dụ máy chủ web nội bộ) bạn nên kích hoạt tùy chọn o Logging: BOT tạo luật máy tính không phù hợp với luật tính bật o Default Deny action: Ta chọn hành động DROP (xóa bỏ) REJECT(từ chối) gói tin không phù hợp với luật đề o Advanced Mode: Nếu tính kích hoạt ta có nhiều lựa chọn để tùy biến quy tắc BOT Nhưng cảnh báo bạn mở tường lửa chế độ nâng cao Chỉ nên chọn tùy chọn người quản trị có kiến thức sâu tường lửa Khi bạn nhấn nút “Save” thiết lập lưu lại ta bắt đầu xác định quy tắc BOT tính hữu ích khác Những tính bổ sung (nâng cao) cấu hình bạn vào Firewall => Advanced BOT giao diện web quản trị Trước tiên, ta nên định nghĩa vài dịch vụ cho truy cập tường lửa IPCop Ta định nghĩa sau tạo nhóm dịch vụ tạo luật BOT Có dịch vụ ta cần định nghĩa sau: IPCop ssh dịch vụ cần thiết để quản trị tường lửa thông qua ssh IPCop https để quản trị tường lửa qua giao diện web Với máy tính khai báo địa MAC “Admin MAC” truy cập tới tường lửa qua giao diện web máy tính khác áp dụng luật truy cập IPCop proxy dịch vụ cho phép truy cập tới web proxy để truy cập tới Internet Tiếp theo, ta định nghĩa nhóm dịch vụ, tùy chọn địa chỉ, nhóm địa giao diện Ví dụ : • Nhóm dịch vụ email gồm có smtp, smtps, pop3, pop3s, imap, imaps 91 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã • Nhóm quản lý tường lửa IPCop gồm có IPCop ssh, IPCop https … Hình 4.44: Định nghĩa nhóm dịch vụ Sau định nghĩa dịch vụ tùy chọn nhóm dịch vụ ta cần định nghĩa tập luật Ví dụ ta muốn mạng nội phép: • Gửi nhập email • Truy nhập Internet thông qua dịch vụ proxy • Truy vấn dịch vụ DNS, DHCP NTP IPCop • Cho phép máy quản trị để quản trị IPCop qua giao diện web ssh Trở lại mục BlockOutTraffic (Webgui => Firewall => BlockOutTraffic) mục “Add a new rule” Ta tùy chọn luật cho tường lửa ACCEPT(cho phép), DROP(xóa bỏ), REJECT(từ chối), LOG only(chỉ ghi nhật kí) Trong tùy chọn ta phải khai báo: nguồn, đích, bổ sung thiết lập khung thời gian 92 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã 4.4.4 Mạng riêng ảo 4.4.4.1 Cài đặt VPN  Bước 1: Tải gói ZERINA-0.9.7a14-Installer.tar.gz trang web http://www.openvpn.eu/index.php?id=35  Bước 2: Từ máy Windows, ta sử dụng chương trình WinSCP (Phải chắn dịch vụ SSH IPCop phải bật)  Bước 3: Sử dụng chương trình PuTTY(Sử dụng cổng 222), đăng nhập tài khoản root qua SSH  Bước 4: Giải nén gói câu lệnh : o tar –zxvf ZERINA-0.9.7a14-Installer.tar.gz  Bước 5: Cài đặt : o cd ZERINA-0.9.7a14-Installer o /install  Bước 6: Mở giao diện web quản trị IPCop Ta thấy dịch vụ cài đặt Service 4.4.4.2 Mô hình Client to Site Loại thường áp dụng cho nhân viên làm việc lưu động hay làm việc nhà muốn kết nối vào mạng công ty cách an toàn Cũng áp dụng cho văn phòng nhỏ xa kết nối vào Văn phòng trung tâm công ty Client to Site xem dạng User-to-LAN, cho phép người dùng xa dùng phần mềm VPN Client kết nối với VPN Server VPN giải pháp thiết kế mạng hay, VPN hoạt động nhờ vào kết hợp với giao thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS 93 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã Hình 4.45: Mô hình Client to Site a Cấu hình cho server: • Tích vào “OpenVPN on red” để card lắng nghe yêu cầu kết nối VPN • Cấu hình địa IP “Local VPN Hostname/IP”, địa IP lắng nghe yêu cầu kết nối tới • Cầu hình dải địa IP cung cấp cho máy trạm kết nối tới “OpenVPN subnet” • Cấu hình giao thức kết nói “Protocol” mặc định UDP • Tích vào “LZO-Compression” để nén liệu truyền • Tiếp đến, ta click vào nút “Advanced Server options” muốn thiết lập số tính khác • Nhấp vào “Save” để lưu lại thiết lập b Tạo chứng cho Root máy chủ IPCop: • Click vào nút “Generate Root/Host Certificates” để tạo chứng cho Root máy chủ IPCop • Khai báo tên, địa IP máy chủ IpCop, địa email … c Tạo chứng cho máy trạm: • Tại mục “Roadwarrior Client status and control” ta nhấn nút “Add” để tạo chứng cho máy trạm 94 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã • Ta cần khai báo tên, địa e-mail, mật truy cập … cho máy trạm Rồi nhấn nút “Save” để ghi lại thiết lập • Click vào biểu tượng “Download” để tải chứng về, đưa chứng cho máy muốn truy nhập VPN từ xa • Cuối cùng, ta chạy dịch vụ VPN “Start OpenVPN” Nếu cấu hình thứ xác ta thấy trạng thái chuyển sang chế độ “Running” 4.4.4.3 Mô hình Site to Site Mô hình Site to site mô hình dùng để kết nối hệ thống mạng nơi khác tạo thành hệ thống mạng thống Ở loại kết nối việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối Site, thiết bị hoạt động Gateway nơi đặt nhiều sách bảo mật nhằm truyền liệu cách an toàn Site Site-to-Site VPN hay gọi LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode Gateway Với mạng riêng, Office office kết nối với qua Internet Để bảo mật liệu, VPN gateway VPN gateway thiết lập đường hầm – tất lưu lượng qua mã hóa để đảm bảo bí mật tính toàn vẹn Để tránh tường lửa hai đầu ngăn chặn lưu lượng mã hóa mã độc, chức VPN kết hợp với tường lửa IPCop hỗ trợ IPSEC Site to Site Hình 4.46: Mô hình Site to Site a Cấu hình Site to Site: Trước hết cần chuẩn bị thông tin hai mạng sau: 95 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã • tường lửa IPCop, cho Office 1(Hà nội) Office (Hồ Chí Minh) • Các dải địa mạng LAN tương ứng 172.16.1.0/24 172.16.2.0/24 Tham số Thiết lập bên Hà Nội Thiết lập bên Hồ Chí Minh Name HaNoi HoChiMinh Remote host/IP 192.168.10.222 192.168.10.111 Remote subnet 172.16.2.0/255.255.255.0 172.16.1.0/255.255.255.0 Host IP address 192.168.10.111 Local subnet 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0 Use a PreShared Key (PSK) 123456 192.168.10.222 123456 • Trên tường lửa Hà Nội vào menu VPNs -> VPNs mục “Connection status and control” nhấn “Add” để tạo kết nối • Chọn “Net-to-Net Virtual Private Network” để cấu hình Site to Site • Cấu hình tham số bảng Rồi nhấn nút “Save” để lưu lại thiết lập • Trên tường lửa Hồ Chí Minh cấu hình tương tự Hình 4.47: Trạng thái kết nối Site to Site bên Hà Nội 96 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã Hình 4.48: Trạng thái kết nối Site to Site bên Hồ Chí Minh Bảo mật mạng riêng ảo dựa việc chia sẻ PSK bí mật khóa Nếu PSK bị lộ mang bị đe dọa Để khắc phục vấn đề này, mạng riêng ảo dựa chứng sử dụng cách tạo RootCA chứng cho máy 97 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã KẾT LUẬN Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA….Tuy nhiên thành phần kể tương đối tốn Vì người dùng không muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên (Internet) IPCop giải pháp tiết kiệm hiệu tương đối tốt người dùng Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm IPCop không đòi hỏi phải cao phần mềm IPCop tường lửa có chức định tuyến tường lửa mạnh ứng dụng cho phép bạn mở rộng mạng mà không bị thỏa hiệp bảo mật Phần mềm thiết kế nhỏ gọn, dễ dàng cấu hình thông qua giao diện web đặc biệt có khả cài đặt thêm gói dịch vụ để mở rộng tính Tường lửa IPCop đáp ứng mạng doanh nghiệp nhỏ dễ dàng quản lý cung cấp nhiều tính để sản phẩm thương mại Mặc dù số tính sử dụng doanh nghiệp lớn nhiều hạn chế, không khuyên bạn sử dụng môi trường lớn Với cộng đồng phát triển tích cực ứng dụng này, dự án nên giải vấn đề tính bổ sung Bạn hoàn toàn bổ sung IPCop vào danh sách giải pháp tường lửa phát triển, giá thành thấp miễn phí Qua trình tìm hiểu, học tập triển khai ứng dụng em đạt mục tiêu: - Tìm hiểu rõ ràng tường lửa IPCop, phân biệt rõ ưu nhược điểm giải pháp - Có nhìn sâu sắc tường lửa IPCop, cụ thể chức tường lửa cần có lọc web, giới hạn băng thông, mở cổng, kết nối mạng riêng ảo 98 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã - Xây dựng mô hình tường lửa sử dụng máy ảo VMware hoạt động tốt, hiệu làm việc tường lửa cao Tuy nhiên thời gian làm đồ án có hạn kiến thức thực tế hạn chế nên em chưa thể tìm hiểu sâu trình bày kỹ lưỡng, chi tiết vấn đề liên quan Trong tương lai em cố gắng phát triển đồ án theo hướng: - Tiếp tục nghiên cứu, tìm hiểu thêm chức chống spam mail, tăng tính sẵn sàng cho tường lửa cách kết hợp phương pháp cân tải vào IPCop - Làm tài liệu để ứng dụng cho doanh nghiệp hạn hẹp tài muốn có tường lửa đủ mạnh Qua trình làm đồ án em thấy hiệu tường lửa hoạt động thực tế Nhờ tường lửa mà ta tránh nhiều nguy tiềm tàng ảnh hưởng trực tiếp đến hệ thống máy tính thông tin nhạy cảm máy tính Chính việc triển khai hệ thống tường lửa cần thiết hệ thống mạng quan, tổ chức hay doanh nghiệp Em hy vọng tiếp tục nhận nhiều góp ý, bổ sung thầy cô giáo, bạn sinh viên để em hoàn thiện đồ án trang bị kiến thức cho thân Em xin chân thành cảm ơn tất người 99 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã TÀI LIỆU THAM KHẢO [1] James Eaton-Lee and Barrie Dempster Configuring IPCop Firewalls: Closing Borders with Open Source: How to setup, configure and manage your Linux firewall, web proxy, DHCP, DNS, time VPN with this powerful Open Source solution Birmingham, Mumbai (Oct 1, 2006) [2] Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, Peter Walker “IPCop v1.4.21 Administration Manual” (17 June 2009) [3] Marco Sondermann Advanced Web Proxy Server for IPCop 1.4 (Mar 2009) [4] Andreas “ Howto setup IPCop in a virtual machine” (February 8th 2005) [5] TS Vũ Quốc Thành, KS Nguyễn Trung Luận, KS Phạm Duy Trung Giáo trình Bức tường lửa Ban yếu phủ Học Viện Kỹ Thuật Mật Mã (2006) [6] Ufuk Altinkaynak “ IPCop and OpenVPN roadwarrior, easy as one two three ” June 2005 [7] Kefa Rabah Deploy Secure Network Defense for Small Enterprises using IPCop Firewall Global Open Versity, Vancouver Canada (Năm 2007) [8] Rajesh Deodhar “Guard Your Network with IPCop, Part 5: Your First Site-to-Site VPN” May 2012 100 [...]... và mạng gia đình 1.4.2 Giải pháp về phần mềm Nếu không muốn tốn tiền mua tường lửa phần cứng thì bạn có thể sử dụng tường lửa phần mềm Về giá cả, tường lửa phần mềm thường không đắt bằng tường lửa phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) và bạn có thể tải về từ mạng Internet So với tường lửa phần cứng, tường lửa phần. .. tường lửa phần mềm và dễ bảo trì hơn Tường lửa phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như tường lửa phần mềm Tường lửa phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet Có thể kết hợp tường lửa với một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ... bộ mạng Tường lửa phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với tường lửa phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng Trong số các công ty cung cấp tường lửa phần cứng có thể kể tới Linksys (http://www.linksys.com) và NetGear (http://www.netgear.com) Tính năng tường lửa phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng. .. bên trong 2.1.2.1 Tường lửa bảo vệ những vấn đề gì ? Bảo vệ dữ liệu: Theo dõi luồng dữ liệu mạng giữa Internet và Intranet Những thông tin cần được bảo vệ do những yêu cầu sau: - Bảo mật: Một số chức năng của tường lửa là có thể cất giấu thông tin mạng tin cậy và nội bộ so với mạng không đáng tin cậy và các mạng bên ngoài khác Tường lửa cũng cung cấp một mũi nhọn trung tâm để đảm bảo sự quản lý, rất... trình độ công ty, một vài kỹ thuật sau có thể được sử dụng : + Kiểm soát truy cập: Xác nhận danh tính và quyết định có cho phép truy cập vào mạng hay không Việc xác thực có thể thông qua mật khẩu hoặc các biện pháp phức tạp khác như sử dụng thiết bị như thẻ nhân viên Cũng có thể sử dụng các biện pháp mã hóa truy cập với các khóa riêng được cấp cho từng người + Tường lửa: Giải pháp phần mềm hoặc phần cứng... QUAN VỀ TƯỜNG LỬA 2.1 Khái niệm và chức năng của tường lửa 2.1.1 Khái niệm Trong ngành mạng máy tính, bức tường lửa (tiếng Anh: firewall) là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hay ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ Tường lửa là một... phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với tường lửa phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có quy mô nhỏ Tường lửa phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính. .. kết nhiều công nghệ bảo mật (tường lửa, phát hiện /bảo vệ xâm nhập) và dịch vụ mạng thông minh để giảm thiếu tác động của những đe doạ đã biết hoặc chưa được biết đến 24 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã + VPN (Virtual Private Network): Mạng riêng ảo cho phép máy tính có thể kết nối (truy cập từ xa) một cách an toàn và bảo mật hơn tới hệ thống mạng doanh nghiệp thông qua mạng Internet... với tin tặc 1.3.1.2 Tấn công truy nhập Là phương pháp lợi dụng điểm yếu của mạng thường là lỗi hoặc lỗ hổng bảo mật để xâm nhập vào mạng Ngay sau quá trình thu thập, khi tin tặc cảm thấy đủ thông tin về hệ thống tin tặc sẽ bắt đầu tấn công vào hệ thống mạng Thông thường giai đoạn này phụ thuộc vào trình độ của tin tặc, đây cũng là giai đoạn quan trọng nhất khi bảo vệ một hệ thống doanh nghiệp Các tin. .. truy cập và tấn công hệ thống Có thể sử dụng các kỹ năng khác nhau để tấn công vào hệ thống máy tính Ví dụ có thể truy cập vào hệ thống mà không được phép truy cập và tạo thông tin giả, lấy cắp thông tin Nhiều công ty đang lo ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker Vì vậy, để tìm ra các phương pháp để bảo vệ dữ liệu thì tường lửa có thể làm được điều này - Chống lại việc sửa đổi mã: Khả ... chuyển phát nhanh thường cung cấp dịch vụ cho khách hàng công cụ marketing hiệu Với lợi ích to lớn đem lại cho doanh nghiệp, mà thời gian, tiền bạc hiệu kinh doanh quan trọng, doanh nghiệp sẵn... 14 Nguyễn Thanh Tùng – Lớp AT4B Học viện kỹ thuật Mật Mã 1.3 An toàn an ninh cho doanh nghiệp vừa nhỏ Trong công nghệ mạng Internet mang lại nhiều hội phát triển cạnh tranh cho doanh nghiệp vừa... nghiên cứu doanh nghiệp vừa nhỏ Gartner: “Hầu hết doanh nghiệp không nhìn nhận mực tầm quan trọng bảo mật, họ thường xem nhẹ chúng phải ưu tiên hàng đầu trước tiến hành hoạt động kinh doanh thương