MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH MỞ ĐẦU 1 1. Lý do chọn đề tài 1 2. Nội dung đề tài 1 3. Phương pháp 2 4. Cấu trúc đồ án 2 CHƯƠNG 1.TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ FIREWALL 3 1.1. Tổng quan về an ninh mạng 3 1.1.1.Khái niệm an ninh mạng 3 1.1.2. Các yếu tố cần quan tâm khi phân tích bảo mật mạng 3 1.1.3. Các bước tấn công thường gặp 4 1.1.4. Các kiểu tấn công 5 1.1.5. Các giải pháp bảo mật 8 1.2. Firewall 9 1.2.1. Khái niệm 9 1.2.2. Một số loại Firewall thông dụng 10 1.2.3. Chức năng của Firewall 12 1.2.4. Nguyên lý hoạt động của Firewall 13 1.2.5. Phân Loại 14 1.3. Mô hình kiến trúc của Firewall 16 1.3.1 Kiến trúc Dual – homed Host 16 1.3.2. Kiến trúc Screen Host 18 1.3.3. Kiến trúc Screen Subnet Host 19 1.3.4. Mô hình UTM 21 CHƯƠNG 2. GIẢI PHÁP AN TOÀN AN NINH MẠNG 23 VỚI FIREWALL PFSENSE 23 2.1. Firewall Pfsense 23 2.1.1. Firewall Cứngmềm 23 2.1.2. Giới thiệu về Pfsense 24 2.2. Chức năng 26 2.2.1. Routing NAT 26 2.2.2. Firewall Rules 26 2.2.3. IPS 26 2.2.4. Proxy 27 CHƯƠNG 3. THỰC THI MÔ HÌNH TRIỂN KHAI FIREWALL PFSENSE TRÊN VMWARE 28 3.1. Mô hình thử nghiệm 28 3.2 Công cụ mô phỏng 29 3.3. Các bước xây dựng 30 3.3.1. Web server 34 3.3.2 DNS server 37 3.3.3. NAT dịch vụ 43 3.3.4. Proxy với Squid và Squid Guard 44 3.3.5. IPS Suricata 51 3.4. Kịch bản thử nghiệm 54 3.4.1. Tấn công thử nghiệm đánh giá hệ thống IPS 54 KẾT LUẬN 57 TÀI LIỆU THAM KHẢO 58
TRƯỜNG ĐẠI HỌC TÀI NGUYÊN MÔI TRƯỜNG HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BẢO MẬT MẠNG BẰNG CÔNG NGHỆ FIREWALL Hà Nội-2016 TRƯỜNG ĐẠI HỌC TÀI NGUYÊN MÔI TRƯỜNG HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN NGUYỄN THỊ THỰC BẢO MẬT MẠNG BẰNG CÔNG NGHỆ FIREWALL Chuyên ngành: Công nghệ thông tin Mã ngành : D480201 GIÁO VIÊN HƯỚNG DẪN:THS HOÀNG MINH QUANG Hà Nội-2016LỜI CẢM ƠN Em xin chân thành cảm ơn bảo hướng dẫn tận tình thầy Hoàng Minh Quang, toàn thể giảng viên Đại học Tài nguyên Môi trường Hà Nội, cán Viện CNTT, Viện Hàn Lâm Khoa học Việt Nam nhiệt tình hướng dẫn, giảng dạy cho em suốt trinh học tập trường sở thực tập Tuy cố gắng tìm hiểu, phân tích thời gian có hạn nên báo cáo không tránh khỏi thiếu sót Em mong nhận góp ý thầy ,cô hội đồng Em xin chân thành cảm ơn! LỜI CAM ĐOAN Em tên là:Nguyễn Thị Thực, sinh viên lớp DH2C2 – Trường Đại học Tài Nguyên Môi Trường Hà Nội Em xin cam đoan toàn nội dung đồ án em tự học tập, nghiên cứu Internet, sách báo, tài liệu nước có liên quan Không chép hay sử dụng làm khác Tất nguồn tài liệu tham khảo có xuất xứ rõ ràng hợp pháp Em xin chịu hoàn toàn trách nhiệm lời cam đoan trước Quý Thầy Cô, Khoa Nhà trường Hà Nội, ngày 27 tháng năm 2016 Người cam đoan Nguyễn Thị Thực MỤC LỤC DANH MỤC TỪ VIẾT TẮT Viết tắt DDoS DNS IDS IPS LAN MITM MAC OSI TCP NAT WAN Tiếng Anh Distributed Denial of Service Domain Name System Intrusion Detection System Intrusion Prention System Local Area Network Man-in-the-middle Media Access Control Tiếng Việt Tấn công từ chối dịch vụ Hệ thống tên miền Hệ thống phát xâm nhập Hệ thống phát xâm nhập Mạng cục Định danh gán cho thiết Open Systems Interconnection Transport Control Protocol bị mạng Mô Hình Mạng OSI Giao thức điều khiển truyền Network Address Translation Wide Area Network tải Chức chuyển đổi địa Mạng diện rộng DANH MỤC HÌNH MỞ ĐẦU Lý chọn đề tài Với bùng nổ ngày mạnh mẽ mạng Internet, quốc gia tổ chức, công ty tất người ngày xích lại gần Khoảng cách địa lý ngày trở nên mờ dần khái niệm giới “phẳng” trở nên rõ nét Thật khó mà kể hết lợi ích mà Internet mang lại cho người tưởng tượng ngày thiếu Internet người phải xoay sở Đó không công cụ trao đổi thông tin nhanh chóng tin cậy mà kho thông tin vô tận, cập nhật, đa dạng đầy đủ Có thể nói Internet nguồn tài nguyên vô giá kỉ nguyên số Chính việc khai thác tận dụng tài nguyên mạng mối quan tâm hàng đầu doanh nghiệp Công nghệ mạng Lan mạng Wan phát triển thỏa mãn nhu cầu Tuy nhiên lợi ích to lớn mạng Internet ẩn chứa nguy khôn lường khả đánh cắp, phá hoại tài sản thông tin tổ chức dẫn đến hậu nghiêm trọng Chính công việc trọng trách đặt lên vai người làm công nghệ thông tin giới nói chung Việt Nam nói riêng không nghiên cứu xây dựng phát triển nhanh chóng mạng máy tính nước để người khai thác tiềm phong phú Internet mà đồng thời phải nghiên cứu thực tốt biện pháp ngăn chặn, phòng chống, phát phục hồi hành vi công phá hoại trái phép mạng, nhằm đảm bảo tối đa phát triển cho tổ chức kinh doanh… Nội dung đề tài Đồ án tốt nghiệp giới thiệu kiến thức chung bảo mật máy tính Các công nghệ thường sử dụng để bảo mật giao thức TCP/IP, giao thức Internet cụ thể sâu vào công nghệ Firewall IPS nguồn mở Firewall Pfsense Phương pháp - Nghiên cứu lý thuyết Thực hành xây dựng mô hình Firewall Pfsense Vmware Cấu trúc đồ án Đồ án chia thành chương, phụ lục với nội dung sau: - Mở đầu: Chương trình bày lý chọn đề chọn đề tài, nội dung, phương pháp, cấu trúc lời cảm ơn - Chương Giới thiệu vấn đề an ninh mạng, Các kiến thức chung Firewall phân loại firewall mô hình áp dụng firewall - Chương Các giải pháp an ninh mạng đề xuất cho mô hình doạnh nghiêp nhỏ voiwsfirewall Pfsense - Chương Triển khai mô hình Lab Firewall pfsense,server dịch vụ bước chi tiết cấu hình phương pháp triển khai máy ảo - Kết luận: Đưa kết đồ án đạt hướng phát triển đề tài CHƯƠNG 1.TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ FIREWALL 1.1 Tổng quan an ninh mạng 1.1.1.Khái niệm an ninh mạng An ninh-Bảo mật mạng đảm bảo an toàn toàn hệ thống mạng trước hoạt động nhằm công phá hoại hệ thống mạng từ bên bên Hoạt động phá hoại hoạt động xâm nhập trái phép sử dụng tài nguyên trái phép ăn cắp thông tin, hoạt động giả mạo nhằm phá hoại tài nguyên mạng sở liệu hệ thống Vấn đề bảo mật mạng vấn đề thiết ta nghiên cứu hệ thống mạng Hệ thống mạng phát triển vấn đề bảo mật mạng đạt lên hàng đầu Khi nguyên cứu hệ thống mạng cần phải kiểm soát vấn đề bảo mật mạng cấp độ sau: • Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng • Mức server: Kiểm soát quyền truy cập, ch ế bảo mật, trình nhận dạng người dùng, phân quyền truy cập, cho phép tác vụ • Mức sở liệu: Kiểm soát ai? quyền nào? với sở liệu • Mức trường thông tin: Trong sở liệu kiểm soát trường liệu chứa thông tin khác cho phép đố i tượng khác có quyền truy cập khác • Mức mật mã: Mã hoá toàn file liệu theo phương pháp cho phép người có “chìa khoá” sử dụng file liệu 1.1.2 Các yếu tố cần quan tâm phân tích bảo mật mạng + Vấn đề người: Trong bảo mật mạng yếu tố người quan trọng Khi nghiên cứu đến vấn đề bảo mật mạng cần quan tâm xem tham gia vào hệ thống mạng, họ có tránh nhiệm Ở mức độ vật lý người 10 thẩm quyền vào phòng máy họ thực số hành vi phá hoại mức độ vật lý + Kiến trúc mạng: Kiến trúc mạng vấn đề mà cần phải quan tâm nghiên cứu, phân tích hệ thống mạng Chúng ta cần nghiên cứu trạng mạng xây dựng nâng cấp mạng đưa kiểu kiến trúc mạng phù hợp với trạng sở hạ tầng nơi định xây dựng + Phần cứng & phần mềm: Mạng thiết kế Nó bao gồm phần cứng phần mềm tác dụng chúng Xây dựng hệ thống phần cứng phần mềm phù hợp với hệ thống mạng vấn đề cần quan tâm xây dựng hệ thống mạng Xem xét tính tương thích phần cứng phần mềm với hệ thống tính tương thích giữu chúng Các yếu tố cần xác định mức độ ưu tiên bảo vệ để có kế hoạch phù hợp + Bảo vệ liệu (tính bảo mật, tính toàn vẹn tính kịp thời) + Bảo vệ tài nguyên sử dụng mạng để tránh sử dụng tài nguyên vào mục đính công kẻ khác + Bảo vệ danh tiếng 1.1.3 Các bước công thường gặp Hiện có nhiều hình thức công với ý tưởng khác phương thức, cách thức thực cách thức biến đổi linh hoạt Tuy nhiên để thực công phá hoại hay đánh cắp thông tin luôn đòi hỏi người thực phải có thời gian tìm hiểu, lên kế hoạch cẩn thận Theo chương trình đạo tạo chuyên gia bảo mật CEH (Certified Ethical Hacker) tổ chức công xâm nhập gồm bước: - Bước 1: Trinh sát, thu thập thông tin Kẻ công thu thập thông tin nơi công - phát máy chủ, địa IP, dịch vụ mạng… Bước 2: Scan (Quét) Kẻ công sử dụng thông tin thu thập từ bước để tìm kiếm thêm thông tin lỗ hổng, điểm yếu hệ thống mạng Các công cụ thường sử dụng cho trình công cụ quét cổng (scanport), quét IP, dò tìm lỗ hổng… 51 - Rule NAT thứ tương tự dịch vụ WEB đòi hỏi giao thức TCP với cổng 80 cho WEB thường 443 cho WEB mã hóa (tuy nhiên ta chưa cấp dịch vụ https) 3.3.4 Proxy với Squid Squid Guard Để chặn trang Web với Pfsense ta phải tiến hành cài cài đặt gói Squid để cung cấp Proxy Server SquidGuard để cung cấp chức lọc Firewall Ta sử dụng Blacklist (danh sách thống kê thể loại Web lợi) tổ chức thống kê cung cấp tự tạo group riêng áp đặt vào thời gian cụ thể cho nhóm người dùng khác Blacklist download Shalla’s Blacklist chép đường dẫn copy vào Blacklist URL mục Blacklist options tab General settings Squid guard, sau chuyển qua tab Blacklist để tiến hành download Nếu trang ta muốn chặn danh sách ta tự tạo cho đối tượng cần chặn bắng cách sử dụng Target category Việc cài đặt cấu hình proxy đòi hỏi xác cao,để cài đặt ta vào phấn System > Package chọn cài đặt gói nêu sau qua phần Installed Package để kiểm tra lại Hình 3.27 Log Squid proxy 52 Hình 3.28 Phần Installed Package cho biết package cài đặt Hình 3.29 Giao diện Squid Để bắt đầu cấu hình Squid ta vào Services > Squid Proxy Server ta cấu hình để biến Firewall Pfsense thành Proxy server bước chi tiết sau: -Chọn khỏi động squid Proxy, chọn lưu trữ log proxy -Chọn vùng mạng mà proxy áp dụng mà vùng mạng LAN 53 Hình 3.30 Mục squid General setting Hình 3.31 Mục Transparent Proxy Tiếp theo lựa chọn khả Transparent proxy qua port 80 firewall bước quan trọng Tiếp để cấu hình SquidGruad ta di chuyển tới Services > SquidGuard Proxy Filter để tạo loc cho proxy Đây nơi ta tiến hành tạo lọc truy cập trang web cho người LAN – nơi áp dụng Proxy server 54 Hình 3.32 Đi tới SquidGruad Hình 3.33 Luôn Apply sau nhũng thay đổi SquidGuard Hình 3.34 Các mục cấu hình SquidGuard 55 Hình 3.35 Tạo Access List riêng Để chặn trang web ta dùng blacklist ta tạo list trang web riêng để chặn theo lịch cụ thể (nếu muốn) cách vào Target Categories, tạo access list ví dụ hình 3.35 với tên ‘acl_web’.Trong mục Domain list đưa vào trang domain web mà ta muốn chặn domain phân định với dấu cách, gói tin có trình bóc tách có gắn tên domain bị squidGuard nhận Hình 3.36 Đưa vào cảnh báo cho người dùng 56 Để hoàn thành access list ta chọn Redirect mode ‘int error page’ chọn mode ngườ dùng truy cập vào trang web bị cấm thông báo admin, thông báo ghi phần Redirect hình 3.36 Cuối ta vào Common ACL để cấu hình bật chức chặn web, việc đòi hỏi phải thực xác bước sau : - Mở trang Common ACL Nhấn vào Target Rules List để hiển thị danh sách blacklist danh - sách Target categories mà ta tạo Xác định người dùng truy cập mặc định: chọn Default access [tất cả] allow deny (nên chọn allow sau trang cấm để deny) Các hành động khác: - Chọn -, bỏ qua danh mục Chọn white, phép loại mà hạn chế Tùy chọn - sử dụng cho trường hợp ngoại lệ để loại cấm Để ngăn cấm người dùng sử dụng địa IP URL,tích Do Not Allow IP Addresses in URL Chọn chế độ Redirect mode: - Int error page: Sử dụng trang báo lỗi xây dựng Một tin nhắn tùy chỉnh nhập vào Redirect ô thông tin bên (tương tự cách tạo - access list) Int blank page: Chuyển hướng đến trang trống Các tùy chọn khác đổi hướng khác để trang lỗi bên ngoài, URL phải - nhập vào Redirect hộp thông tin họ chọn Sử dụng công cụ tìm kiếm an toàn (safe search engine): Bảo vệ khách hàng từ kết tìm kiếm không mong muốn Các công cụ hỗ trợ Google, Yandex, Yahoo, MSN, Live Search Hãy chắn công cụ tìm kiếm có sẵn Nếu bảo vệ phải thi hành nghiêm túc, vô hiệu hóa quyền truy cập vào tất công - cụ tìm kiếm khác Sau cài đặt xong, quay trở lại tab General Settings nhấn nút Apply 57 Hình 3.37 Log ghi lại chi tiêt hành động vi phạm lọc Hình 3.38 Kết sau chặn thành công Sau thực thi xác bước cấu hình ta kiểm tra truy cập trang web bị cấm người dùng nhận thông báo hình 58 3.3.5 IPS Suricata Để triển khai Suricata Pfsense ta tiến hành cài đặt package tương tự squid squidGruard, sau cài đặt xong ta vào Services > suricata để tiến hành cấu hình.Đầu tiên ta tạo interfaces để áp dụng IPS lên cụ thể interfaces WAN nơi nhiều luồng traffic bên vào Hình 3.39 Khai báo Interface áp dụng IPS Tiếp theo ta chuyển qua tab Global setting để cấu hình cho Suricata nhận thư viện chữ kí loại hình công, bước ta chọn tất hình thức, nhà cung cấp ETOpen, Snort VTR rule-để down rule snort ta phải có tài khoản Snort để lấy Oink code để đưa vào mục yêu cầu hình 3.40 59 Hình 3.40 Cấu hình Suricata nhận rule Tiếp đến cấu hình Update rule- hình thức thời gian update rule Hình 3.41 Cấu hình update rule Sau hoàn thành ta lưu lại chuyển qua tab update để tiến hành updated rule hệ thống, update thành công ta có kết hình 3.42 Từ suricata cập nhật đầy đủ chữ kí công hệ thống phòng chống xâm nhập công nguồn mở Chuyển qua tab Interfaces > click Edit > WAN Setting chọn mục cần thiết > WAN Categories mục có đầy đủ rule ta cần chọn rule quan trọng tất (hình 3.43) Trong báo cáo em chọn ruleemerging sau: - botcc.rules compromised.rules dshield.rules emerging-attack.rules emerging-currentevents.rules emerging-malware.rules emerging-scan.rules emerging-shellcode.rules emerging-trojan.rules emerging-worm.rules 60 Hình 3.42 Hệ thống update thành công Hình 3.43 chọn tập rule áp dụng cho hệ thống 3.4 Kịch thử nghiệm 3.4.1 Tấn công thử nghiệm đánh giá hệ thống IPS Để thử nghiệm hệ thống IPS ta tiến hành xây dựng tình công vào hệ thống Firewall, lab công thử nghiệm sử dụng máy ảo cài đặt Attack Tool Raptor – Tool chuyên dụng để thử nghiệm công 61 Hình 3.44 Giao diện khởi động Raptor Hình 3.45 Đặt địa cho máy Raptor Tiến hành gán cho máy ảo card mạng NAT để truy cập tới Firewall thông qua địa publish, bước tiếp đặt địa IP cho máy ảo theo dải địa NAT VMware để tiến hành lab hình 3.45 Cuối công, hình thức công kiểu Teardrop attack, kiểu công nguy hiểm kẻ công gửi loạt gói tin phân mảnh với thông số đẻ ghép gói tin sai khiến cho đầu nhận ghép lại gửi yêu cầu xác nhận lại khiến CPU tải Trong Raptor gói tin gửi dạng ICMP (hình 3.46) 62 Hình 3.46 Kiểu ICMP-fragmented Chuyển qua qua máy Firewall để kiểm tra tab Traffic Graph tab Alert Services > Suricata Hiện tượng rõ rệt traffic graph lượng lưu lượng nhảy vọt lên thấy rõ thời điểm công Tại tab Alert (cảnh báo )của IPS suricata thông báo tượng gói tin phân mảnh tăng vọt từ nguồn gửi 192.168.164.150-địa máy Trong Blocklist ta thấy địa chị bị khóa để bỏ địa khỏi danh sách khóa sử dụng nút clear, ta cấu hình thời gian khóa địa vị phậm luật phần setting 63 Hình 3.47 Traffic graph Hình 3.48 Alert (cảnh báo ) Suricata Hình 3.49 Blocklist Suricata 64 KẾT LUẬN Để bảo vệ cho hệ thống mạng bên nói riêng vùng mạng nói chung có nhiều giải pháp an ninh nhiều tên tuổi lớn cung cấp trường CiscoASA, TMG Microsoft, Juniper, Fortinet… Tuy nhiên với môi trường doanh nghiệp vừa nhỏ tiết kiệm chi phí với hiệu quà ưu tiên hàng đầu.Vì người dùng không muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên (Internet) Pfsense giải pháp tiết kiệm hiệu tương đối tốt người dùng Giải pháp tường lửa Pfsense áp dụng hầu hết doanh nghiệp vừa nhỏ 65 TÀI LIỆU THAM KHẢO Tiếng Anh [1] Network and Internetwork Security – Tg: William Stallings [2] Cisco Networking Academy Program CCNA 1, CCNA [3] Cisco - CCSP SND 642-551 Network Security Fundamentals(2005) Tiếng Việt [4] Mạng máy tính hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo Dục) [5] Bức tường lửa Internet An ninh mạng – NXB Bưu Điện Websites [6] https://doc.pfsense.org/ [7] http://tailieu.hpu.edu.vn/ [8] http://www.quantrimang.com.vn/ [9] Sách pfSenSe 2.0 cookbook Matt Williamson ... có độ tin cậy cao tổ chức lớn Mỹ như:US Bank, Federal Reserve Bank, Goldman Sachs, Amgen, Southwestern Bell ,Bank of Missouri, Bank One Leasing, New York Stock Exchange, Securities Exchange Commission,... kể hết lợi ích mà Internet mang lại cho người tưởng tượng ngày thi u Internet người phải xoay sở Đó không công cụ trao đổi thông tin nhanh chóng tin cậy mà kho thông tin vô tận, cập nhật, đa dạng... phát triển đề tài 9 CHƯƠNG 1.TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ FIREWALL 1.1 Tổng quan an ninh mạng 1.1.1.Khái niệm an ninh mạng An ninh-Bảo mật mạng đảm bảo an toàn toàn hệ thống mạng trước hoạt