Đang tải... (xem toàn văn)
Hiện nay cách mạng công nghiệp 4.0 đang phát triển mạnh mẽ trên toànthế giới. Dẫn đầu cuộc cách mạng này chính là ngành công nghệ thông tin vớinhiều cải tiến mới về nội dung và dịch vụ mới. Trong những năm gần đây có rấtnhiều sự cố an ninh mạng nghiêm trọng xảy ra trên toàn thế giới như mã độc mãhóa tống tiền, lộ lọt thông tin cá nhân ở các mạng xã hội, cho đến sự cố tại haisân bay quốc tế Nội Bài và Tân Sơn Nhất của nước ta.Sự quan tâm về an toàn thông tin an ninh mạng tại Việt Nam này càngđược xã hội cộng đồng và mọi người đặc biệt quan tâm. Một trong những giảipháp góp phần bảo vệ các cá nhân, tổ chức khỏi những nguy cơ an ninh mạng đólà sử dụng Firewall – Tường lửa. Đây là biện pháp được sử dụng phổ biến nhấthiện nay, từ chiếc máy tính cá nhân, trường học cho đến mạng doanh nghiệp,quốc gia đều có hệ thống tường lửa riêng để đảm bảo an toàn cho các thông tincá nhân, dữ liệu bí mật nhạy cảm và an toàn hệ thống mạng để đảm bảo cho hoạtđộng sản xuất.Trong số vô vàn sản phẩm Firewall đang được sử dụng thì Firewall mãnguồn mở vẫn đang được đa phần các chuyên gia tin dùng để kết hợp với cácbiện pháp khác trong hệ thống an ninh mạng. ClearOS có lẽ là một cái tên chưađược nhiều người biết đến và sử dụng tích hợp hệ thống firewall mã nguồn mở.Trong đồ án này, em sẽ tìm hiểu nghiên cứu và “xây dựng hệ thống firewallClearOS mã nguồn mở” áp dụng trong việc đảm bảo an ninh mạng, an toànthông tin (ATTT) của một đơn vị, công ty. Hiểu về các chức năng, nguyên lý,mô hình triển khai firewall. Thử nghiệm các tính năng bảo vệ an ninh mạng củafirewall mã nguồn mở,.Nội dung báo cáo gồm 3 chương:Chương 1: Tổng quan về an toàn thông tinChương 2: Giải pháp ATTT cho một công ty với firewallChương 3: Tìm hiểu firewall ClearOS mã nguồn mở Triển khai đảm bảoATTT cho một công ty
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG FIREWALL CLEAROS Mà NGUỒN MỞ Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Giang Văn Thắng Lớp: AT10D Người hướng dẫn: ThS Bùi Việt Thắng Viện KH-CN mật mã – BCY CP Hà Nội, 2018 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG FIREWALL CLEAROS Mà NGUỒN MỞ Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Giang Văn Thắng Lớp: AT10D Người hướng dẫn: ThS Bùi Việt Thắng Viện KH-CN mật mã – BCY CP Hà Nội, 2018 MỤC LỤC MỤC LỤC i DANH MỤC KÍ HIỆU VÀ VIẾT TẮT .iv DANH MỤC HÌNH VẼ v LỜI CẢM ƠN vii LỜI NÓI ĐẦU viii CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 Tổng quan an tồn thơng tin 1.2 Các nguyên tắc tảng,mục tiêu an tồn thơng tin 1.3 Các nguy ATTT tổ chức, doanh nghiệp 1.3.1 Nguy ATTT từ khía cạnh vật lý 1.3.2 Nguy bị hỏng sửa đổi nội dung thông tin 1.3.3 Nguy bị công phần mềm độc hại 1.3.4 Nguy xâm nhập từ lỗ hổng bảo mật 1.3.5 Nguy xâm nhập bị công phá mật 1.3.6 Nguy an toàn sử dụng email 1.3.7 Nguy an toàn trình truyền tin 1.3.8 Nguy an toàn Social Engineering 1.4 Một số biện pháp đảm bảo ATTT cho tổ chức, doanh nghiệp 10 1.4.1 Bảo vệ thông tin mặt vật lý 10 1.4.2 Nhóm giải pháp quản lý ATTT 10 1.4.3 Bảo vệ nguy công phần mềm độc hại 10 1.4.4 Bảo vệ dạng công lỗ hổng bảo mật 12 1.4.5 Bảo vệ thông tin trước nguy công vào mật 12 1.4.6 Bảo vệ thông tin trước nguy sử dụng email 13 1.4.7 Bảo vệ thơng tin q trình truyền tin 13 1.4.8 Bảo vệ hệ thống tường lửa (firewall) 14 CHƯƠNG 2: GIẢI PHÁP ATTT CHO MỘT CÔNG TY VỚI FIREWALL15 2.1 Giới thiệu Firewall 15 i 2.2 Chức tường lửa 16 2.1.1 Quản lý giám sát lưu lượng mạng 17 2.2.2 Xác thực truy cập 17 2.2.3 Làm trung gian 18 2.2.4 Bảo vệ tài nguyên 19 2.2.5 Ghi báo cáo kiện 19 2.3 Công nghệ tường lửa 20 2.3.1 Packet Filters 20 2.3.2 Application level gateway 22 2.3.3 Circuit-Level Gateways 23 2.3.4 Stateful Multilayer Inspection Firewalls 24 2.4 Phân loại tường lửa 25 2.4.1 Personal Firewalls 26 2.4.2 Network Firewall 27 2.4.3 UTM Firewall 27 2.4.4 Next-generation firewall 28 2.4.5 Proxy-based firewall 28 2.4.6 Web application firewall 29 2.5 Hạn chế tường lửa 29 2.6 Giải pháp an toàn mạng với Firewall 30 2.6.1 Mơ hình mạng cho công ty nhỏ 30 2.6.2 Mơ hình mạng cơng ty có chi nhánh 31 2.6.3 Mơ hình mạng cơng ty lớn có nhiều chi nhánh, đối tác 32 CHƯƠNG 3: TÌM HIỂU FIREWALL CLEAR OS Mà NGUỒN MỞ TRIỂN KHAI ĐẢM BẢO ATTT CHO MỘT CÔNG TY 33 3.1 Giới thiệu ClearOS 33 3.2 Triển khai Firewall ClearOS đảm bảo ATTT cho công ty nhỏ 36 3.2.1 Chặn web xấu, nội dung độc hại Web Proy Content Filter 37 3.2.2 Giới hạn thời gian truy cập nhân viên 42 ii 3.2.3 Quản lý truy cập dịch vụ SSH 45 3.2.4 Quản lý chặn kết nối ping ICMP vào hệ thống 51 3.2.5 Báo cáo thống kê hoạt động hệ thống, người dùng mạng 53 3.3 Triển khai Firewall ClearOS đảm bảo ATTT cho cơng ty có chi nhánh 55 KẾT LUẬN 60 TÀI LIỆU THAM KHẢO 61 iii DANH MỤC KÍ HIỆU VÀ VIẾT TẮT STT Kí hiệu ATTT CIA DoS ICMP IDS IP NGFW Nội dung Nghĩa An tồn thơng tin An tồn thơng tin Confidentiality, Integrity, Available Xác thực, tồn vẹn, sẵn sàng Denial-of-service attack Tấn công từ chối dịch vụ Internet Control Message Giao thức thông điệp điều Protocol khiển TCP/IP Intrusion Detection System Hệ thống phát xâm nhập Internet Protocol Giao thức Internet Next-generation firewall Tường lửa hệ SEQ Sequence Number Số thứ tự TCP Tranmission Control Protocol 10 UTM Unified Threat Management iv Giao thức điều khiển truyền vận Giải pháp bảo mật tồn diện DANH MỤC HÌNH VẼ Hình 1:Mơ hình CIA Hình 1: Các lớp an tồn mạng…… …………………………………… 15 Hình 2: Tường lửa – Firewall 16 Hình 3: Packet Filters 20 Hình 4: Application level gateway 23 Hình 5: Circuit-Level Gateway 24 Hình 6: Stateful Multilayer Inspection 24 Hình 7: Personal Firewall Network Firewall 26 Hình 8: UTM Firewall 27 Hình 9: Next Generation 28 Hình 10: Tường lửa dựa proxy - Proxy-based firewall 28 Hình 11: Web application firewall 29 Hình 12: Mơ hình mạng công ty nhỏ 30 Hình 13: Mơ hình cơng ty có chi nhánh 31 Hình 14: Mơ hình cơgn ty lớn có nhiều chi nhánh 32 Hình 1: Quá trình hình thành ClearOS…………………………………… 34 Hình 2: Các phiên ClearOS 34 Hình 3: Mơ hình thực tế 36 Hình 4: Mơ hình thử nghiệm 36 Hình 5: Chế độ Transparent Mode 37 Hình 6: Bật Content Filter Engine 38 Hình 7: Cấu hình sách 38 Hình 8: Chỉnh sửa sách 39 Hình 9: Chỉnh sửa website muốn chặn 39 Hình 10: Chỉnh sửa file muốn chặn 40 Hình 11: Chỉnh sửa từ khóa muốn chặn 40 Hình 12: Facebook bị chặn khơng truy cập 41 Hình 13: 24h.com.vn bị chặn không truy cập 42 Hình 14: Chỉnh sửa thời gian cho phép truy cập internet 43 v Hình 15: Chỉnh sửa ngày truy cập internet 43 Hình 16: Add nhóm đối tượng áp dụng sách 44 Hình 17: Máy user khơng truy cập internet ngồi cho phép 45 Hình 18: Kiểm tra hoạt động SSH Server 45 Hình 19: Tường lửa Incoming cho phép kết nối SSH từ bên ngồi 46 Hình 20: Kết nối SSH từ máy thật (mạng ngoài) 46 Hình 21: Tạo rule chặn tất kết nối SSH 47 Hình 22: Kiểm tra máy thật kết nối SSH thất bại 47 Hình 23: Cho phép máy Admin kết nối SSH 48 Hình 24: Máy user mạng LAN khơng kết nối SSH 49 Hình 25: Mấy mạng ngồi khơng kết nối SSH 50 Hình 26: Máy Admin kết nối SSH bình thường 50 Hình 27: Kiểm tra ping bình thường 51 Hình 28: Tạo rule chặn ping 52 Hình 29: Kiểm tra ping thất bại 52 Hình 30: Tình trạng hoạt động máy chủ ClearOS 53 Hình 31: Kiểm tra log hoạt động máy chủ ClearOS 54 Hình 32: Thống kê truy cập mạng user 55 Hình 33: Mơ hình thực tế cty có chi nhánh 56 Hình 34: Cấu hình OpenVPN 56 Hình 35: Chỉnh sửa danh sách user kết nối VPN 57 Hình 36: Tải chứng khóa kết nối VPN user 57 Hình 37: Cấu hình chứng chỉ, khóa user máy kết nối 58 Hình 38: Đăng nhập VPN 58 Hình 39: Kết nối thành công 59 Hình 40: Kiểm tra cấp thêm đường mạng địa IP VPN 59 vi LỜI CẢM ƠN Để hoàn thành đồ án tốt nghiệp này, lời em xin gửi lời cảm ơn tới thầy cô Học viện kỹ thuật Mật Mã dạy dỗ trang bị cho em nhiều kiến thức năm học trường Qua em xin tỏ lòng biết ơn sâu sắc tời thầy Ths Bùi Việt Thắng – Viện KH-CN mật mã BCY CP, người tận tình giúp đỡ, truyền đạt kinh nghiệm kiến thức định hướng để em thực hồn thành đồ án Sau em xin gửi lời cảm ơn tới gia đình, bạn bè động viên có ý kiến đóng góp suốt q trình học tập qua trình thực đồ án tốt nghiệp Trong trình thực đồ án, hạn chế kiến thực kinh nghiệm thực tế nên đồ án em chắc tồn thiếu sót, em mong nhận nhận xét, đánh bổ sung quý giá thầy cô bạn Em xin chân thành cảm ơn! Hà Nội, ngày 12 tháng 12 năm 2018 Sinh viên thực Giang Văn Thắng vii LỜI NÓI ĐẦU Hiện cách mạng công nghiệp 4.0 phát triển mạnh mẽ toàn giới Dẫn đầu cách mạng ngành cơng nghệ thơng tin với nhiều cải tiến nội dung dịch vụ Trong năm gần có nhiều cố an ninh mạng nghiêm trọng xảy toàn giới mã độc mã hóa tống tiền, lộ lọt thông tin cá nhân mạng xã hội, cố hai sân bay quốc tế Nội Bài Tân Sơn Nhất nước ta Sự quan tâm an tồn thơng tin an ninh mạng Việt Nam xã hội cộng đồng người đặc biệt quan tâm Một giải pháp góp phần bảo vệ cá nhân, tổ chức khỏi nguy an ninh mạng sử dụng Firewall – Tường lửa Đây biện pháp sử dụng phổ biến nay, từ máy tính cá nhân, trường học mạng doanh nghiệp, quốc gia có hệ thống tường lửa riêng để đảm bảo an tồn cho thơng tin cá nhân, liệu bí mật nhạy cảm an tồn hệ thống mạng để đảm bảo cho hoạt động sản xuất Trong số sản phẩm Firewall sử dụng Firewall mã nguồn mở đa phần chuyên gia tin dùng để kết hợp với biện pháp khác hệ thống an ninh mạng ClearOS có lẽ tên chưa nhiều người biết đến sử dụng tích hợp hệ thống firewall mã nguồn mở Trong đồ án này, em tìm hiểu nghiên cứu “xây dựng hệ thống firewall ClearOS mã nguồn mở” áp dụng việc đảm bảo an ninh mạng, an tồn thơng tin (ATTT) đơn vị, công ty Hiểu chức năng, ngun lý, mơ hình triển khai firewall Thử nghiệm tính bảo vệ an ninh mạng firewall mã nguồn mở,.Nội dung báo cáo gồm chương: Chương 1: Tổng quan an tồn thơng tin Chương 2: Giải pháp ATTT cho công ty với firewall Chương 3: Tìm hiểu firewall ClearOS mã nguồn mở - Triển khai đảm bảo ATTT cho công ty viii Rule: $IPTABLES -I INPUT -p tcp dport 22 -j DROP Description: Chan tat ca SSH Status: Enable Chọn Update để cập nhập rule Hình 21: Tạo rule chặn tất kết nối SSH Từ máy thật dùng phần mềm PuTTY kết nối SSH vào ClearOS thất bại Hình 22: Kiểm tra máy thật kết nối SSH thất bại 47 Cấu hình tường lửa cho phép máy Admin mạng LAN có địa IP 10.10.10.2 SSH vào máy chủ ClearOS để cấu hình, chặn tất kết nối SSH khác vào ClearOS Ta thực theo menu: Network/Firewall/Custom Firewall Chọn Disable Delete luật chặn tất SSH Chọn Add để thêm luật tường lửa: Cho phép máy Admin SSH vào ClearOS: $IPTABLES -I INPUT -p tcp -s 10.10.10.2 dport 22 -j ACCEPT Chặn tất kết nối SSH: $IPTABLES -I INPUT -p tcp dport 22 -j DROP Hình 23: Cho phép máy Admin kết nối SSH 48 Kiểm thử lại: Từ máy mạng LAN có địa IP 10.10.10.128 dùng PuTTY kết nối SSH vào ClearOS thất bại Hình 24: Máy user mạng LAN không kết nối SSH 49 Từ máy thật mạng ngồi Internet có địa IP 192.168.215.31 dùng PuTTY kết nối SSH vào ClearOS thất bại Hình 25: Mấy mạng ngồi khơng kết nối SSH Từ máy Admin mạng LAN có IP 10.10.10.2 kết nối SSH qua phần mềm PuTTY thành cơng: Hình 26: Máy Admin kết nối SSH bình thường 50 3.2.4 Quản lý chặn kết nối ping ICMP vào hệ thống Thực kiểm tra ping từ máy thật vào ClearOS Hình 27: Kiểm tra ping bình thường Ping bình thường Bước 1: Ta thực theo menu: Network/Firewall/Custom Firewall Bước 2: Thêm rule chặn kết nối ICMP vào Firewall ClearOS iptables -I INPUT -p icmp icmp-type any -j DROP 51 Hình 28: Tạo rule chặn ping Kiểm thử lại: Thực ping từ máy thật vào ClearOS Hình 29: Kiểm tra ping thất bại Kết quả: Thành công, tất kết nối không trả lời resquest timeout 52 3.2.5 Báo cáo thống kê hoạt động hệ thống, người dùng mạng Ngồi chức cấu hình sách tường lửa, ứng dụng dịch vụ cho hệ thống mạng ClearOS có chức khác giúp đỡ người quản trị có nhìn tổng quan hệ thống máy chủ, hệ thống mạng nội giám sát hoạt động người dùng mạng hệ thống Theo dõi tình trạng hoạt động ClearOS theo thời gian thực Hình 30: Tình trạng hoạt động máy chủ ClearOS 53 Kiểm tra xuất log hoạt động ứng dụng ClearOS Hình 31: Kiểm tra log hoạt động máy chủ ClearOS 54 Thống kê theo dõi lưu lượng, địa truy cập mạng người dùng bên hệ thống theo User địa IP Hình 32: Thống kê truy cập mạng user 3.3 Triển khai Firewall ClearOS đảm bảo ATTT cho cơng ty có chi nhánh Đối với mơ hình cơng ty có chi nhánh ta xây dựng theo mơ hình mạng mục 2.6.2 với trụ sở chi nhánh xa Về chức hệ thống giống mục 3.2, nội dung có thêm chức quản lý, kết nối từ xa (từ chi nhánh) đến trụ sở để làm việc 55 Hình 33: Mơ hình thực tế cty có chi nhánh Ta cần thiết lập mạng VPN, với máy chủ ClearOS xây dựng VPN server sau test dùng mạng khác có kết nối VPN với máy thật hay không Bước 1: Tạo VPN Server phần mềm OpenVPN Tải cài đặt OpenVPN Marketplace Bước 2: Cấu hình OpenVPN Chọn Disable Auto Configuration để chỉnh sửa cài đặt Hình 34: Cấu hình OpenVPN Sửa DNS thành DNS google 8.8.8.8 chọn Update để cập nhập cài đặt 56 Chỉnh sửa danh sách user sử dụng OpenVPN client mục App policies/Edit Members Update để cập nhập Hình 35: Chỉnh sửa danh sách user kết nối VPN Bước 3: Đăng nhập tài khoản client tải chứng chỉ, khóa file cấu hình OpenVPN máy client Hình 36: Tải chứng khóa kết nối VPN user 57 Bước 4: Cài đặt OpenVPN Client máy thật Bước 5: Cấu hình OpenVPN máy Client Copy file chứng chỉ, khóa vào thư mục cấu hình config OpenVPN, import file cấu hình thơng tin domain Hình 37: Cấu hình chứng chỉ, khóa user máy kết nối Bước 6: Kết nối đăng nhập tài khoản từ máy thật Hình 38: Đăng nhập VPN 58 Kết kết nối đăng nhập thành cơng: Hình 39: Kết nối thành công Kiểm tra IP máy thật xuất địa IP kết nối VPN với domain thanggv.com với IP 10.8.0.6 Hình 40: Kiểm tra cấp thêm đường mạng địa IP VPN Kết luận: Vậy ta triển khai thành công, ứng dụng “Firewall ClearOS mã nguồn mở” vào mơ hình mạng thực tế cơng ty, thực thi số sách an tồn đảm bảo an ninh mạng, ATTT cho hệ thống mạng Kiểm tra số tính lọc liệu content filter, web proxy, Stateful firewall (iptables), quản lý user, quản lý truy cập, mạng riêng ảo VPN, hệ thống ghi nhận kí, theo dõi hoạt động hệ thống,… 59 KẾT LUẬN Sau trình bày kiến thức việc tìm hiểu xây dựng mơ hình firewall mã nguồn mở ClearOS, cụ thể triển khai vào mơ hình mạng thực tế đảm bảo an ninh mạng, ATTT cho cơng ty Thử nghiệm số tính ứng dụng ClearOS, đồ án đạt kết hạn chế sau: Kết quả: Trình bày số kiến thức an ninh mạng nói chung, nguyên tắc tảng, nguy an an ninh mạng, số nguy ATTT số giải pháp đảm bảo an ninh mạng, đảm bảo ATTT Trình bày tìm hiểu số kiến thức chung tường lửa, phân loại, chức hạn chế công nghệ tường lửa Tìm hiểu xây dựng mơ hình đảm bảo an ninh mạng cho mơ hình mạng vừa nhỏ với ClearOS Triển khai thử nghiệm số ứng dụng, tính Firewall mã nguồn mở ClearOS cho việc thực thi sách, quy định, lọc liệu, cho phép/chặn kết nối, web proxy, Stateful firewall (iptables), quản lý user, kết nối truy nhập từ xa ClearOS… Hướng phát triển thời gian tới: Qua kết nghiên cứu tìm hiểu hạn chế tồn tại, thấy để đảm bảo an ninh mạng tường lửa mã nguồn mở ClearOS cách tốt cần có tiềm lực, kinh nghiệm thời gian nghiên cứu lâu dài Ở phạm vi đồ án, tơi tìm hiểu xây dựng thử nghiệm số tính ứng dụng Firewall nhóm nhỏ, để phát triển đầy đủ đưa vào thực tiễn cải thiện hiệu quả, tổng quan mặt cần có thêm thời gian tìm hiểu nghiên cứu sử dụng ClearOS tính phí cập nhập chức hệ thống tốt Trước mắt, tơi tập trung nghiên cứu tìm hiểu hồn thiện chức có ClearOS Xa phát triển triển khai mô hình mạng lớn hơn, đòi hỏi nhiều u cầu hơn, kết hợp với biện pháp đảm bảo an ninh mạng khác hệ thống cảnh báo phát xâm nhập, mã hóa liệu, giấu tin, chữ kí điện tử, 60 TÀI LIỆU THAM KHẢO I Tiếng Anh [1] Network Security and Firewall ClearOS – A Linux Open Source Firewall Helsinki Metropolia University of Applied Sciences, Bachelor of Engineering, Information Technology, Bachelor’s Thesis, Date 29 April 2016 [2] Next-generation firewall case study (Kalle Kokko, Bachelor’s thesis Information Technology, South-Eastern Filand University of Applied Sciences, 2017) [3] Security Engineering, Chapter 21 (Ross J.Anderson, University of Cambirdge, 2008) II Tiếng Việt [4] Tổng quan an ninh mạng máy tính – PGS.TS Nguyễn Hiếu Minh – HV KTQS https://fit.mta.edu.vn/files/FileMonHoc/Slide_TQANMMT_Bai1.pdf III Website tham khảo [5] CLEAROS DOCUMENTATION https://www.clearos.com/resources/documentation/clearos/index:userguide7 [6] Next-generation firewall :https://en.wikipedia.org/wiki/Next-generation_firewall [7] An ninh mạng nửa đầu năm 2018 đáng báo động https://securitybox.vn/5953/an-ninh-mang-nua-dau-nam-2018-o-muc-dang-bao-dong/ [8] Tổng quan Socical Engineering https://securitybox.vn/3363/tong-quan-ve-social-engineering/ 61 ... nhiều người biết đến sử dụng tích hợp hệ thống firewall mã nguồn mở Trong đồ án này, em tìm hiểu nghiên cứu xây dựng hệ thống firewall ClearOS mã nguồn mở áp dụng việc đảm bảo an ninh mạng,... Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG HỆ THỐNG FIREWALL CLEAROS Mà NGUỒN MỞ Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Giang Văn Thắng Lớp: AT10D Người hướng dẫn:... tồn hệ thống mạng để đảm bảo cho hoạt động sản xuất Trong số sản phẩm Firewall sử dụng Firewall mã nguồn mở đa phần chuyên gia tin dùng để kết hợp với biện pháp khác hệ thống an ninh mạng ClearOS