LỜI CẢM ƠN Để hoàn tất đồ án với cố gắng tìm hiểu Bản thân em tháng ngày học tập trường, em ghi nhận đóng góp giúp đỡ nhiệt tình người bên cạnh mình, ủng hộ thầy cô bạn bè giúp em có thêm động lực để hoàn thành đồ án, nhân em muốn gửi lời cảm ơn chân thành tới thầy cô bạn bè Lời cảm ơn trân trọng em muốn dành tới cô giáo Ths.Nguyễn Thị Duyên, người cô dìu dắt hướng dẫn em suốt trình làm đồ án, bảo định hướng cô giúp em tự tin tìm hiểu đề tài Em xin trân trọng cảm ơn thầy giáo, cô giáo môn mạng truyền thông, khoa công nghệ thông tin – Trường đại học Công nghệ thông tin & truyền thông giúp em hoàn thành đồ án Em muốn gửi lời cảm ơn chân thành đến tập thể lớp MMT-K10A em qua tháng ngày miệt mài học tập, chia sẻ niềm vui, nỗi buồn, động viên em qua khó khăn, để em vững bước vượt qua vất vả Thái Nguyên, ngày… tháng … năm 2016 Sinh viên thực TẠ VĂN HÙNG LỜI CAM ĐOAN Em xin cam đoan: Nội dung đề tài đồ án tốt nghiệp với tên đề tài “Xây dựng số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010” không chép nội dung từ đề tài em làm Những phần sử dụng tài liệu tham khảo báo cáo ghi rõ phần tài liệu tham khảo Các số liệu, kết trình bày đồ án hoàn toàn trung thực Nếu sai em xin chịu hình thức kỷ luật trường Đại học Công nghệ thông tin truyền thông – Đại học Thái Nguyên Thái Nguyên, ngày… tháng … năm 2016 Sinh viên thực TẠ VĂN HÙNG MỤC LỤC LỜI CẢM ƠN .1 LỜI CAM ĐOAN MỤC LỤC DANH MỤC HÌNH DANH MỤC BẢNG DANH MỤC CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT LỜI NÓI ĐẦU TỔNG QUAN ĐỀ TÀI 10 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 12 1.1 Tổng quan Firewall 12 1.1.1 Khái niệm Firewall 12 1.1.2 Chức 12 1.1.3 Nguyên lý hoạt động Firewall 13 1.1.4 Ưu nhược điểm Firewall 14 1.1.5 Những hạn chế firewall 14 1.2 Giới thiệu Forefront TMG 15 1.2.1 Lịch sử TMG 2010 15 1.2.2 Quá trình phát triển TMG 2010 16 1.3 Các tính TMG 2010 17 1.3.1 Các chức TMG 2010 17 1.3.2 Các tính bật TMG 2010 18 1.4 Lý chọn TMG thay ISA 18 1.5 Giao diện TMG 2010 22 CHƯƠNG 2: KHẢO SÁT & PHÂN TÍCH HỆ THỐNG MẠNG TẠI TRƯỜNG ĐH CNTT&TT 24 2.1 Khảo sát hệ thống mạng Trường ĐH CNTT&TT .24 2.1.1 Khảo sát trạng 24 2.1.2 Mô hình mạng trường ĐH CNTT&TT 27 2.2 Phân tích hệ thống mạng Trường ĐH CNTT&TT 33 2.2.1 Phân tích hệ thống mạng 33 2.2.2 Đề xuất số giải pháp bảo mật áp dụng .34 2.2.3 Lựa chọn giải pháp xây dựng quy trình bảo mật 35 2.3 Yêu cầu hệ thống 37 2.3.1 Yêu cầu phần cứng 37 2.3.2 Yêu cầu phần mềm 38 CHƯƠNG 3: XÂY DỰNG CHƯƠNG TRÌNH DEMO 39 3.1 Cài đặt forefront TMG 2010 39 3.1.1 Yêu cầu mô cài đặt 39 3.1.2 Cài đặt forefront TMG 2010 .39 3.2 Cấu hình Access Rule 41 3.2.1 Web Access 41 3.2.2 DNS Query 44 3.2.3 HTTPS Inspection 46 3.2.4 Tạo rule cho phép người sử dụng Internet làm việc .50 3.2.5 HTTP Filter 50 3.2.6 Tạo rule cấm trang web có danh sách 52 3.2.7 Malware Inspection 54 3.2.8 Cấu hình network ispection system (NIS) 57 3.2.9 Cấu hình Intrucsion Detection 60 KẾT LUẬN .62 TÀI LIỆU THAM KHẢO 63 DANH MỤC HÌNH Hình 1.1: Mô hình tổng quan lớp mạng tường lửa 16 Hình 1.2: Các chức TMG 2010 17 Hình 1.3: Giao diện TMG 22 Hình 1.4: Web Access Policy 23 Hình 2.1: Mô hình sở hạ tầng Trường ĐH CNTT&TT 25 Hình 2.2: Sơ đồ tổ chức trường ĐH CNTT&TT 26 Hình 2.3: Mô hình logic tổng quát .30 Hình 2.4: Mô hình vật lý tầng nhà điều hành C1 31 Hình 2.5: Mô hình vật lý tầng nhà điều hành C1 31 Hình 2.6: Mô hình vật lý tầng nhà điều hành C1 32 Hình 2.7: Mô hình vật lý tầng nhà điều hành C1 32 Hình 2.8: Mô hình vật lý tầng nhà điều hành C1 33 Hình 2.9: Triển khai TMG VLAN 37 Hình 3.1: TMG yêu cầu khai báo internal network trình cài đặt 40 Hình 3.2: Giao diện Forefront TMG 40 Hình 3.3: Tạo Access rule 41 Hình 3.4: đặt tên cho rule 41 Hình 3.5: Thiết lập điều kiện cho rule Allow 42 Hình 3.6: Các giao thức áp dụng cho rule 42 Hình 3.7: Tùy chọn cấu hình Malware Inspection cho rule 43 Hình 3.8: Cấu hình source destination network cho rule 43 Hình 3.9: Cấu hình hoàn tất, Apply để lưu cấu hình Forefront 44 Hình 3.10: Tạo Access rule 44 Hình 3.11: Chọn giao thức DNS 45 Hình 3.12: Cấu hình source destination cho rule 45 Hình 3.13: Hoàn thành access DNS 46 Hình 3.14: Bật tính HTTPs Inspection 46 Hình 3.15: Cấu hình cài đặt chứng nhận diện mã độc 47 Hình 3.16: Cài đặt chứng thành công 47 Hình 3.17: Triển khai chứng domain 48 Hình 3.18: Triển khai chứng chi domain 48 Hình 3.19: Download file từ eicar.org sử dụng giao thức bảo mật .49 Hình 3.20: Cấm download 49 Hình 3.21: Bật allow web internal .50 Hình 3.22: Chọn thời gian cho phép truy cập internet 50 Hình 3.23: Bật configure HTTP .51 Hình 3.24: Kết download file exe bị cấm 52 Hình 3.25: Tạo luật cấm 52 Hình 3.26: Chọn giao thức cấm 53 Hình 3.27: Add trang web muốn cấm truy cập 53 Hình 3.28: Kết trang web bị cấm .54 Hình 3.29: Bật tính Malware Inspection 55 Hình 3.30: Thực cấu hình mục Properties 55 Hình 3.31: Các tùy chọn nâng cao Malware Inspection với Rule Setting 56 Hình 3.32: Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa .56 Hình 3.33: TMG thực block chức download phát virus57 Hình 3.34: Bật tính NIS 57 Hình 3.35: Thêm dãy địa ip cần giám sát .58 Hình 3.36: Cho phép NIS phản ứng lại trước traffic bất thường 58 Hình 3.37: Nhập địa IP cần giám sát 59 Hình 3.38: Dữ liệu client cần giám sát ghi nhận NIS 59 Hình 3.39: Cấu hình phát công .60 Hình 3.40: Kết Scan 60 Hình 3.41: Thông tin công TMG ghi nhận 61 DANH MỤC BẢNG Bảng 2.1: Địa IP VLAN 29 Bảng 2.2: Các thiết bị mạng .29 Bảng 2.3: Các máy chủ trường 30 Bảng 2.4: Yêu cầu phần cứng 38 Bảng 3.1: Địa máy ảo 39 DANH MỤC CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT Từ viết tắt Tên đầy đủ AD Active Directory ADSL Asymmetric Digital Subscriber Line ARP Address Resolution Protocol AP Access Point BSSs Independent Basic Service sets CPU Center processing unit DHCP Dynamic Host Configuration Protocol DNS Domain Name System HĐH Hệ điều hành HTTP/HTTPs HyperText Transfer Protocol/ Hyper Text Transfer Protocol Secure IP Internet Protocol ICMP Internet Control Message Protocol IGMP Internet Group Messages Protocol LAN Local Area Network NTFS New Technology File System OU Organizational Unit OSI Open Systems Interconnection PC Personal Computer SAM Security Accounts Manager SSID Service Set Identifier SMTP Simple Mail Transfer Protocol STP Shield Twisted Pair UPS Uninterruptible Power Supply UPS Uninterrupt Power Supply UTP Unshield Twisted Pair TCP Transmission Control Protocol WWW World Wide Web LỜI NÓI ĐẦU Với phát triển nhanh chóng mạng internet đặt biệt công nghệ mạng, kèm theo vấn đề bảo vệ tài nguyên thông tin mạng, tránh mát, xâm phạm việc cần thiết cấp bách Bảo mật mạng hiểu cách bảo vệ, đảm bảo an toàn cho thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng tránh việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng cao Vấn đề bảo mật, an toàn cho hệ thống mạng cần phải đặt lên hàng đầu trước xây dựng hệ thống mạng cho người sử dụng Vậy nên việc sử dụng thiết bị tường lửa hệ thống mạng để đảm bảo an ninh, an toàn mạng cần thiết Nhằm ngăn chặn kết nối không mong muốn, giảm nguy kiểm soát hệ thống bị công lây nhiễm chương trình mã độc hại Trong đồ án em tìm hiểu vấn đề “Xây dựng số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010” Dù cố gắng nhiều trình tìm hiểu viết báo cáo, chắn tránh khỏi sai lầm thiếu sót Em mong nhận ý kiến đóng góp bảo thêm thầy, cô giáo giúp em hoàn thiện Thái Nguyên, ngày… tháng … năm 2016 Sinh viên thực TẠ VĂN HÙNG TỔNG QUAN ĐỀ TÀI  Lý chọn đề tài Ngày việc sử dụng Internet phổ biến gần toàn công ty, doanh nghiệp, trường học Các ứng dụng mạng Internet giúp công việc trường học diễn nhanh chóng thuận tiện hiệu cao Do khu vực trung tâm, trường học trang bị tối thiểu đường internet, chí nhiều Tuy nhiên bên cạnh tiện ích hiệu mà mạng Internet đem lại việc quản lý sử dụng internet chưa xem xét quan tâm mức xảy số hệ - Virus từ internet lây lan nhiễm vào hệ thống mạng vào máy tính - Dữ liệu quan trọng bị rỏ rỉ yếu tố người, virus - Cán nhân viên sử dụng internet chưa mục đích - Hacker công vào hệ thống mạng nội bộ, lấy tài liệu quan trọng - Một số trang web đen, web cấm chưa ngăn chặn - Chưa giới hạn phân loại website cần truy cập không cần truy cập Microsoft Forefront TMG 2010 giải pháp hữu ích giải tất vấn đề mà trường học tìm kiếm Nhằm đáp ứng nhu cầu bảo mật liệu quản lý việc sử dụng Internet hệ thống mạng trường ĐH CNTT&TT nên em lựa chọn đề tài “Xây dựng số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010”  Mục tiêu đề tài - Nghiên cứu nắm vững kiến thức tường lửa TMG 2010 - Hiểu cách thức hoạt động tường lửa TMG 2010 - Sử dụng phần mềm mô Vmware 11.0 - Mô Vmware 11.0 - Thiết lập Rule bảo vệ hệ thống theo yêu cầu cho hệ thống mạng Trường ĐH CNTT&TT 10 Hình 3.19: Download file từ eicar.org sử dụng giao thức bảo mật Khi phát file có virut TMG chặn không cho download Hình 3.20: Cấm download 49 3.2.4 Tạo rule cho phép người sử dụng Internet làm việc Chuột phải vào luật cho phép người dùng truy cập internet chọn Properties sau vào Tab Action Hình 3.21: Bật allow web internal Chọn NEW đặt tên cho lịch biểu sau chọn khoảng thời gian bảng sau tích chọn Active Sau ấn OK ấn Apply để áp dụng luật Hình 3.22: Chọn thời gian cho phép truy cập internet 3.2.5 HTTP Filter HTTP filter chức cho phép lọc chặn dựa vào nội dung gói tin HTTP truy cập Web Trên TMG sử dụng chức để cấm download loại file định, cấm theo phương thức truy cập web 50 cấm dựa vào thông số signature ứng dụng truy cập Web ứng dụng Chat hay Game online… Trong ví dụ em cấu hình cấm download loại file định cấm dựa theo phương thức truy cập Web Chọn Firewall Policy -> Bấm phải chuột lên Access Rule Allow Web -> Chọn Configure HTTP Hình 3.23: Bật configure HTTP Sang Tab Extensions -> Chọn Block specified extensions -> Nhấn Add Nhập loại file mà bạn muốn cấm, ví dụ muốn cấm download file có phần mở rộng exe, nhập exe -> Nhấn OK Nhấn OK sau nhấn Apply -> Apply -> OK để lưu thay đổi Sang máy Client XP, kiểm tra tìm download file có phần mở rộng EXE, bạn nhận báo lỗi hình với thông tin Source Web filter 51 Hình 3.24: Kết download file exe bị cấm 3.2.6 Tạo rule cấm trang web có danh sách Trên TMG chọn Create Access Rule để tạo luật Đặt tên cho luật kick next-> Tích vào Deny để tạo luật cấm Hình 3.25: Tạo luật cấm 52 Chọn giao thức cấm HTTP HTTPS-> Sau chọn next Hình 3.26: Chọn giao thức cấm Chọn mạng Internal-> Chọn vào new sau chọn URL set-> Đặt tên Add URL trang web muốn cấm Hình 3.27: Add trang web muốn cấm truy cập 53 Sau ấn OK-> Chọn Finish kiểm tra kết Sang máy client XP kiểm tra tra Khi vào trang bị cấm trang web nhận thông báo Hình 3.28: Kết trang web bị cấm 3.2.7 Malware Inspection Malware (MaliciousSoftware) tên gọi chung cho tất phần mềm độc hại máy tính Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware phần mềm gây hại cho máy tính theo cách khác Do việc chống malware cần thiết người dùng truy cập web Trước cấu hình, bạn cho Download thử file có chứa Malware cách truy cập Web trang Web eicar.org Chọn download anti malware testfile Tiếp theo em cấu hình chức Malware Inspection Trước tiên cần kiểm tra việc cập nhật cho chức Malware Inspection cách chọn Update Center, quan sát chức Malware cập nhật đầy đủ (trạng thái hiển thị Up to date) 54 Bật chức Malware Inspection TMG Hình 3.29: Bật tính Malware Inspection Cấu hình thực update engine signature cho việc ngăn chặn malware xâm nhập vào hệ thống -> Cấu hình tự động update cho Malware Inspection Cấu hình Malware Inspection cho rule Access Internet -> Chọn vào properties Hình 3.30: Thực cấu hình mục Properties 55 Chọn tích hết vào mục edit rule malware inspection settings -> OK Hình 3.31: Các tùy chọn nâng cao Malware Inspection với Rule Setting Thực kiểm tra cấu hình Malware inspection với file virus mẫu download từ trang eicar.org Hình 3.32: Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa 56 Forefront chặn download file Hình 3.33: TMG thực block chức download phát virus 3.2.8 Cấu hình network ispection system (NIS) Bật tính NIS -> chọn vào general ấn OK Hình 3.34: Bật tính NIS 57 Cấu hình NIS Thêm dãy IP cần giám sát Hình 3.35: Thêm dãy địa ip cần giám sát Hình 3.36: Cho phép NIS phản ứng lại trước traffic bất thường 58 Sau chọn OK lưu lại cấu hình Giám Sát NIS Thực giám sát NIS thông qua log and report -> chọn vào Edit Filter Hình 3.37: Nhập địa IP cần giám sát Hình 3.38: Dữ liệu client cần giám sát ghi nhận NIS 59 3.2.9 Cấu hình Intrucsion Detection Cấu hình phát công Trong mục “Intrusion Prevention System”, chọn Config Detection Settings for Common Network Attacks Trong mục Common Attacks, Click vào ô trống “Port Scan” Hình 3.39: Cấu hình phát công Thực công với SuperScan Tiếp đến chọn nút “Play” để chương trình bắt đầu dò, Kết cho thấy tìm host máy TMG Hình 3.40: Kết Scan 60 Ở máy TMG01 vào mục Monitoring, TMG phát có chương trình PortScan công Hình 3.41: Thông tin công TMG ghi nhận 61 KẾT LUẬN  Kết đạt Về lý thuyết đồ án trình bày firewall, tìm hiểu TMG 2010 tính TMG, khảo sát phân tích mạng Trường ĐH CNTT&TT Chương trình tương đối hoàn chỉnh cấu hình Access Rule: - Quản lý máy client truy cập Internet - Theo dõi client làm việc - Ngăn chặn download gói tin có virus - Phát công trái phép vào hệ thống - Cấm download file định - Cấm truy cập trang web có nội dung xấu…  Hướng phát triển - Khai thác hết tính mà TMG cung cấp - Có thể triển khai áp dụng cho toàn ĐH Thái nguyên - Kết hợp với nhiều phương pháp bảo mật khác để tăng tính toàn vẹn thông tin cho trường - Cần sử dụng công cụ Forefront TMG SDK để mở rộng chức Forefront TMG số thông tin mà SDK cung cấp cách làm việc Forefront TMG 62 TÀI LIỆU THAM KHẢO [1] Microsoft Forefront Threat Managerment Gateway (TMG) Administrator’s Companion [2] Sách tự học bảo mật quản trị mạng - Tác giả Trí Việt, Hà Thành [3] Http://www.nhatnghe.com/forum [4] Http://www.microsoft.com [5] Http://quantrimangvnn.wordpress.com [6] Http://tuonglua.net [7] Http://quantrimaychu.vn/forum 63 ... triển khai tường lửa TMG 2010 bảo mật hệ thống mạng cho cho hệ thống mạng Trường ĐH CNTT&TT - Bảo mật liệu Trường ĐH CNTT&TT, quản lý việc chia sẻ liệu mạng nội việc sử dụng Intrernet  Nội dung... soát hệ thống bị công lây nhiễm chương trình mã độc hại Trong đồ án em tìm hiểu vấn đề Xây dựng số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010 ... chọn đề tài Xây dựng số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010  Mục tiêu đề tài - Nghiên cứu nắm vững kiến thức tường lửa TMG 2010 - Hiểu