Đang tải... (xem toàn văn)
IDS (Intrusion Detection Systems) là một hệ thống phòng chống nhằm phát hiện các hành động tấn công vào một mạng mục đích của nó là phát hiện và ngăn ngừa các hành động phá h[r]
(1)-o0o -
NGHIÊN CỨU TRIỂN KHAI GIẢI PHÁP
ĐẢM BẢO AN NINH MẠNG TRÊN NỀN PFSENSE
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Cơng nghệ Thơng tin
(2)-o0o -
NGHIÊN CỨU TRIỂN KHAI GIẢI PHÁP
ĐẢM BẢO AN NINH MẠNG TRÊN NỀN PFSENSE
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công nghệ Thông tin
Sinh viên thực : Trần Văn Quyết
Mã sinh viên : 1512101012
(3)TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG Độc lập - Tự - Hạnh phúc -o0o -
NHIỆM VỤ THIẾT KẾ TỐT NGHIỆP
Sinh viên: Trần Văn Quyết Mã sinh viên: 1512101012
Lớp: CT1901M Ngành: Công nghệ Thông tin
(4)a.Nội dung:
- Tìm hiểu tổng quan an tồn an ninh mạng - Tìm hiểu phần mềm nguồn mở pfsense
- Triển khai số dịch vụ pfsence để tăng cường an ninh
b.Các yêu cầu cần giải
- Tìm hiểu vấn đề an ninh mạng máy tính - Tìm hiểu cấu hình phần mềm nguồn mở pfsense
- Cấu hình số dịch vụ pfsence để tăng cường an ninh mạng
2.Các số liệu cần thiết để thiết kế, tính tốn
(5)Người hướng dẫn thứ nhất: Họ tên: Ngô Trường Giang Học hàm, học vị: Tiến sĩ
Cơ quan công tác: Khoa Công nghệ Thông tin Nội dung hướng dẫn:
- Tìm hiểu tổng quan an tồn an ninh mạng - Tìm hiểu phần mềm nguồn mở pfsense
- Triển khai số dịch vụ pfsence để tăng cường an ninh Người hướng dẫn thứ hai:
Họ tên: ………
Học hàm, học vị………
Cơ quan công tác: ………
Nội dung hướng dẫn: ……… ……… ………
Đề tài tốt nghiệp giao ngày 01 tháng năm 2019 Yêu cầu phải hoàn thành trước ngày 21 tháng năm 2019
Đã nhận nhiệm vụ: Đ.T.T.N Sinh viên
Trần Văn Quyết
Đã nhận nhiệm vụ: Đ.T.T.N Cán hướng dẫn Đ.T.T.N
Ngô Trường Giang
Hải Phòng, ngày tháng năm 2019 HIỆU TRƯỞNG
(6)PHIẾU NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN TỐT NGHIỆP Họ tên: Ngô Trường Giang
Cơ quan công tác: Khoa Công nghệ Thông tin Họ tên sinh viên: Trần Văn Quyết
Ngành: Công nghệ Thơng tin Nội dung hướng dẫn:
- Tìm hiểu tổng quan an toàn an ninh mạng - Tìm hiểu phần mềm nguồn mở pfsense
- Triển khai số dịch vụ pfsence để tăng cường an ninh Tinh thần thái độ sinh viên trình làm đề tài tốt nghiệp:
- Sinh viên tích cực, chủ động tìm đọc tài liệu liên quan tới đề tài - Chấp hành nghiêm túc kế hoạch, tiến độ đề
2 Đánh giá chất lượng đồ án (so với nội dung yêu cầu đề nhiệm vụ đề tài tốt nghiệp mặt lý luận, thực tiễn, tính tốn số liệu ): - Về mặt lý thuyết: Đồ án trình bày tổng quan an ninh mạng máy tính,
số giải pháp tăng cường an ninh mạng máy tính
- Về mặt thực nghiệm: Đồ án triển khai cấu hình số dịch vụ tăng cường an ninh mạng như: giới hạn truy cập, Giới hạn tốc độ download/upload cho client, Chứng thực user truy cập web, hệ thống backup Firewall, mạng riêng ảo Site – to – site Client – to site
- Về hình thức: Báo cáo trình bày sáng sủa, bố cục hợp lý - Đồ án đáp ứng yêu cầu đề
3 Ý kiến cán hướng dẫn:
Đạt Không đạt Điểm:………
Ngày 30 tháng năm 2019 Cán hướng dẫn
(7)PHIẾU NHẬN XÉT CỦA GIẢNG VIÊN CHẤM PHẢN BIỆN
Họ tên giảng viên: Phùng Anh Tuấn
Đơn vị công tác: khoa Công nghệ Thông tin - trường ĐHDL Hải Phòng Họ tên sinh viên: Trần Văn Quyết - Ngành: Công nghệ Thông tin
Đề tài tốt nghiệp: Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng PFSENSE
1. Phần nhận xét giảng viên chấm phản biện
- An ninh mạng vấn đề nóng lĩnh vực quản trị mạng việc tăng cường an ninh cho hệ thống mạng điều cần quan tâm
- Nội dung đồ án có tính ứng dụng thực tế tốt
- Đáp ứng yêu cầu đồ án tốt nghiệp ngành CNTT 2. Những mặt hạn chế
- Kiến thức trình bầy lý thuyết chưa có ví dụ minh họa - Hình ảnh minh họa cài đặt cấu hình pfsense mờ chưa rõ nét
- Kết thực nghiệm bước đầu thực máy tính ảo 3. Ý kiến giảng viên chấm phản biện
Được bảo vệ Không bảo vệ Điểm:………
Hải Phòng, ngày 08 tháng 10 năm 2019 Giảng viên chấm phản biện
(8)LỜI CẢM ƠN
Sau ba tháng nỗ lực tìm hiểu thực hiện, đồ án “Nghiên cứu triển khai hệ thống firewall mã nguồn mở cho doanh nghiệp vừa nhỏ” hoàn thành, ngồi cố gắng thân, em cịn nhận nhiều động viên, khích lệ từ gia đình, thầy bạn bè
Em xin bày tỏ lòng biết ơn sâu sắc tới thầy Ngơ Trường Giang tận tình hướng dẫn, bảo dành nhiều thời gian quý báu thầy cho em thời gian qua, giúp em hoàn thành đồ án thời hạn
Em xin cảm ơn thầy cô giáo khoa Công nghệ thông tin trường Đại học Dân lập Hải Phòng giảng dạy, trang bị cho em kiến thức chuyên ngành, chuyên môn, chuyên sâu suốt năm qua
Mặc dù em cố gắng để hoàn thành đồ án tốt nghiệp này, tham khảo nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức cịn nhiều hạn chế, khơng thể tránh khỏi thiếu sót Em mong nhận thơng cảm đóng góp, bảo tận tình q thầy cô bạn để đồ án ngày hoàn thiện
(9)MỞ ĐẦU
Ngày nay, máy tính mạng internet phổ biến rộng rãi, tổ chức, cá nhân có nhu cầu sử dụng máy tính mạng máy tính để tính tốn, lưu trữ, quảng bá thơng tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính khơng quản lý dễ dàng bị công, gây hậu nghiêm trọng
Xác định tầm quan trọng việc bảo mật hệ thống mạng doanh nghiệp nên em chọn nghiên cứu đề tài “Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense” với mục đích tìm hiểu sâu sắc chế hoạt động phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp ln vấn hành trơn tru, an tồn hạn chế cố xảy
Đồ án chia thành nội dung : - Chương : An ninh mạng máy tính
(10)MỤC LỤC
LỜI CẢM ƠN
MỞ ĐẦU
MỤC LỤC
DANH MỤC HÌNH VẼ
CHƯƠNG 1: AN NINH MẠNG MÁY TÍNH
1.1 Các nguyên tắc tảng an ninh mạng
1.1.1 Mơ hình CIA
1.1.2 Mơ hình ba an ninh
1.2 Các nguy an ninh mạng 11
1.2.1 Các nguy 11
1.2.2 Các điểm yếu giao thức mạng 12
1.2.3 Các điểm yếu hệ điều hành 12
1.2.4 Các điểm yếu thiết bị mạng 12
1.2.5 Các điểm yếu cấu hình thiết bị 12
1.3 Giải pháp kỹ thuật lập kế hoạch an ninh mạng 12
1.3.1 Sử dụng tảng khác 12
1.3.2 Sử dụng mơ hình an ninh mạng 13
1.3.3 Sử dụng nguyên tắc an ninh 14
1.3.4 Sử dụng giải pháp an ninh 15
CHƯƠNG 2: GIẢI PHÁP TĂNG CƯỜNG AN NINH MẠNG 19
2.1 Hệ thống tường lửa (Firewall) 19
2.1.1 Khái niệm Firewall 19
2.1.2 Chức Firewall 19
2.1.3 Phân loại Firewall 20
2.1.4 Kiến trúc FireWall 22
2.2 Mạng riêng ảo 25
2.2.1 Định nghĩa VPN 25
(11)2.2.4 Mạng Site – to – Site VPNs 29
2.2.5 Mạng VPN cục (Intranet-based VPN) 30
2.2.6 Mạng VPN mở rộng (Extranet-based VPN) 31
2.3 Hệ thống phát chống xâm nhập 33
2.3.1 Hệ thống phát xâm nhập (IDS) 33
2.3.2 Hệ thống chống xâm nhập (IPS) 33
CHƯƠNG 3: TRIỂN KHAI PROXY SERVER TRÊN PFSENSE 36
3.1 Mơ hình triển khai 36
3.2 Pfsense 36
3.2.1 Giới thiệu 36
3.2.2 Cài đặt Pfsense 37
3.3 Giải pháp proxy server Pfsense 39
3.3.1 Cấu hình Proxy Server 39
3.3.2 Giới hạn truy cập web 42
3.3.3 Giới hạn tốc độ download/upload cho client 46
3.3.4 Chứng thực user truy cập web sử dụng Captive Portal 47
3.3.5 Xây dựng hệ thống Firewall – failover đáp ứng máy mạng LAN truy cập internet 51
3.3.6 Giải pháp mạng riêng ảo Pfsense 57
KẾT LUẬN 64
(12)DANH MỤC HÌNH VẼ
Hình 1-1 Mơ hình CIA
Hình 1-2 Mơ hình ba an tồn 10
Hình 1-3 Mơ hình giải pháp an ninh mạng 15
Hình 1-4 Mơ hình quản lý điểm truy cập 16
Hình 1-5 Mơ hình định tuyến chuyển mạch 16
Hình 1-6 Mơ hình tường lửa 17
Hình 1-7 Mơ hình giải pháp lọc nội dung 17
Hình 1-8 Mơ hình điều khiển truy cập từ xa 17
Hình 2-1 Firewall 19
Hình 2-2 Firewall cứng 21
Hình 2-3 Kiến trúc Dual-homed Host 22
Hình 2-4 Kiến trúc Screend Subnet Host 23
Hình 2-5 Mơ hình mạng VPN 26
Hình 2-6 Mơ hình VPN Site-to-Site (Intranet Based) 30
Hình 2-7 Mơ hình VPN Site-to-Site (Extranet-Based VPN) 32
Hình 3-1 Mơ hình triển khai Pfsense thực nghiệm 36
Hình 3-2 Download Pfsense 38
Hình 3-3 Giao diện Status Dashboard 39
Hình 3-4 Cấu hình Squid proxy 40
Hình 3-5 Cấu hình Squid proxy 40
Hình 3-6 Cấu hình Antivirus 41
Hình 3-7 Cấu hình Squid Guard 42
Hình 3-8 Tạo khoảng thời gian 43
Hình 3-9 Chặn truy cập theo ngày 43
Hình 3-10 Tạo danh sách web bị chặn 44
Hình 3-11 Cấu hình Group ACL 44
Hình 3-12 Xác nhận thay đổi cấu hình 45
Hình 3-13 Truy cập vào google.com 45
Hình 3-14 Truy cập vào phienbanmoi.com 45
Hình 3-15 Khi truy cập vào trang web khác 46
Hình 3-16 Tạo alias chứa danh sách IP 46
Hình 3-17 Tạo limiter upload 47
Hình 3-18 Tạo limiter download 47
Hình 3-19 Enable DHCP 48
Hình 3-20 Tạo User 49
Hình 3-21 Tạo Zone 49
Hình 3-22 Upload giao diện trang Portal 50
Hình 3-23 Màn hình đăng nhập Portal 50
(13)Hình 3-27 Tạo Virtual Ips WAN 54
Hình 3-28 Tạo Virtual Ips LAN 54
Hình 3-29 Trên máy pfsense master 55
Hình 3-30 Trên máy pfsense backup 55
Hình 3-31 Màn hình CARP status pfSense backup 56
Hình 3-32 Màn hình CARP status máy chủ 56
Hình 3-33 Mơ hình thực 57
Hình 3-34 Tạo user đăng nhập VPN 58
Hình 3-35 Cài đặt gói openvpn-client 58
Hình 3-36 Tạo OpenVPN remote access 58
Hình 3-37 Chọn CA Certificate 59
Hình 3-38 Điền thơng số cho VPN 59
Hình 3-39 Thực ping đến máy mạng Lan pfSense 60
Hình 3-40 Mơ hình VPN site to site 60
Hình 3-41 Tạo kết nối VPN pfSense Master 61
Hình 3-42 Tạo kết nối Pfsense 62
Hình 3-43 Tạo rule cho OpenVPN 62
Hình 3-44 Kiểm tra kết nối 63
(14)CHƯƠNG 1: AN NINH MẠNG MÁY TÍNH 1.1 Các nguyên tắc tảng an ninh mạng
An ninh mạng máy tính (network sevurity) tổng thể giải pháp mặt tổ chức kỹ thuật nhằm ngăn cản nguy tổn hại đến mạng
Các tồn hại xảy do: - Lỗi người sử dụng
- Các lỗ hổng hệ điều hành chương trình ứng dụng
- Các hành động hiểm độc - Các lỗi phần cứng
- Các nguyên nhân khác từ tự nhiên
An ninh mạng máy tính bao gồm vo số phương pháp sử dụng để ngăn cản kiện trên, trước hết tập trung vào việc ngăn cản:
- Lỗi người sử dụng - Các hành động hiểm độc
Số lượng mạng máy tính tăng lên nhanh Ngày trở thành phức tạp phải thực nhiệm vụ quan trọng
(15)Các nguyên tắc tảng : - Tính bí mật
- Tính tồn vẹn - Tính sẵn sàng
Tùy thuộc vào ứng dụng hoàn cảnh cụ thể, mà ba nguyên tắc quan trọng khác
1.1.1 Mơ hình CIA
Confidentiality (tính bảo mật), Integrity (tính tồn vẹn), Availability (tính sẵn sàng), gọi là: Mơ hình ba CIA Ba ngun tắc cốt lõi phải dẫn đường cho tất hệ thống an ninh mạng Bộ ba CIA cung cấp công cụ đo (tiêu chuẩn để đánh giá) thực an ninh Mọi vi phạm ba nguyên tắc gây hậu nghiêm trọng tất thành phần có liên quan
Hình 1-1 Mơ hình CIA 1.1.1.1 Tính bí mật
(16)cấp phép Đối với an ninh mạng tính bí mật rõ ràng điều nói đến thường xun bị cơng
1.1.1.2 Tính toàn vẹn
Toàn vẹn phát ngăn ngừa việc sửa đổi trái phép liệu, thơng tin hệ thống, đảm bảo xác thơng tin hệ thống
Có ba mục đích việc đảm bảo tính toàn vẹn:
- Ngăn cản làm biến dạng nội dung thông tin người sử dụng không phép
- Ngăn cản làm biến dạng nội dung thông tin không phép không chủ tâm người sử dụng phép
- Duy trì tồn vẹn liệu nội bên ngồi 1.1.1.3 Tính sẵn sàng
Tính sẵn sàng bảo đảm người sử dụng hợp pháp hệ thống có khả truy cập lúc không bị ngắt quãng tới thông tin hệ thống tới mạng Tính sẵn sàng có liên quan đến độ tin cậy hệ thống 1.1.2 Mô hình ba an ninh
Một mơ hình quan trọng có liên quan trực tiếp đến q trình phát triển triển khai tổ chức mơ hình ba an ninh (security trinity) Ba khía cạnh mơ hình ba an ninh là:
- phát (Detection) - ngăn chặn (Prevention) - phản ứng (Response)
(17)Hình 1-2 Mơ hình ba an tồn 1.1.2.1 Sự ngăn chặn
Nền tảng ba an ninh ngăn chặn Nó cung cấp mức độ an ninh cần thiết để thực biện pháp ngăn chặn khai thác lỗ hổng Trong phát triển giải pháp an ninh mạng, tổ chức cần phải nhấn mạnh vào biện pháp ngăn chặn vào phát phản ứng dễ dàng, hiệu có giá trị nhiều để ngăn chặn vi phạm an ninh thực phát phản ứng với
1.1.2.2 Sự phát
Cần có biện pháp cần thiết để thực phát nguy vi phạm an ninh trường hợp biện pháp ngăn chặn không thành công Một vi phạm phát sớm dễ dàng để làm tác hại khắc phục Như vậy, phát khơng đánh giá mặt khả năng, mà mặt tốc độ, tức phát phải nhanh
1.1.2.3 Sự phản ứng
(18)ninh không lực, mà vấn đề tốc độ.Ngày công mạng đa dạng, khơng thể đốn chúng xảy nào, đâu, dạng hậu chúng Vì để đảm bảo an ninh cho mạng cần:
- Phát nhanh - Phản ứng nhanh
- Ngăn chặn thành cơng hình thức công
Đây nhiệm vụ khó khăn cho nhà quản lý nhà cung cấp dịch vụ mạng
1.2 Các nguy an ninh mạng 1.2.1 Các nguy
- Các người bên hacker - Các người làm việc công ty
- Các ứng dụng mà cán nhân viên công ty sử dụng để thực nhiệm vụ thương mại họ
- Các hệ điều hành chạy máy tính cá nhân, máy chủ, thiết bị khác
- Hạ tầng sở mạng sử dụng để truyền tải liệu qua mạng, định tuyến (router), chuyển mạch (switch), tập trung (hub), tường lửa (firewall) thiết bị khác
- Sử dụng cách tiếp cận phân chia chinh phục (divide-and-conquer) - Các điểm yếu việc hoạch định sách
(19)1.2.2 Các điểm yếu giao thức mạng
- Các điểm yếu giao thức mạng có liên quan đến lỗ hổng giao thức mạng vận hành ứng dụng sử dụng giao thức
- Một giao thức phổ biến sử dụng nhiều mạng TCP/IP TCP/IP giao thức, bao gồm giao thức IP, TCP, UDP, ICMP, OSPF, IGRP, EIGRP, ARP, RARP, …
1.2.3 Các điểm yếu hệ điều hành
Mỗi hệ điều hành sử dụng có nhiều lỗ hổng an ninh Đây thật hiển nhiên hệ điều hành sử dụng rộng rãi, hacker hướng vào lỗ hổng để công
1.2.4 Các điểm yếu thiết bị mạng
Các điểm yếu thiết bị mạng xem nguy an ninh dễ bị tổn thương (bị công) thiết bị mạng router, switch, firewall, …, chúng hoạt động dựa hệ điều hành 1.2.5 Các điểm yếu cấu hình thiết bị
Các điểm yếu cấu hình thiết bị vấn đề an ninh khó giải nhất, điểm yếu có liên quan trực tiếp đến lỗi người vơ tình gây cấu hình thiết bị khơng hiểu thiết bị cần phải cấu Phải quan tâm tới mật khẩu:
- Các mật dàng đốn khơng ?
- Các mật có thường xun thay đổi khơng ?
- Các mật có truyền qua mạng dạng rõ không ? 1.3 Giải pháp kỹ thuật lập kế hoạch an ninh mạng 1.3.1 Sử dụng tảng khác
(20)cả” (one-sizefits-all), hay nói cách khác việc cố gắng tích hợp tất sản phẩm an ninh mạng từ nhà cung cấp, với hệ thống quản lý mà dễ dàng cho phép thực sách an ninh thông qua tất sản phẩm an ninh Vì thế, giải pháp an ninh phải chứa đựng nhiều dạng thiết bị phần cứng, ứng dụng phần mềm Sau đưa danh sách nhỏ vài dạng thiết bị mà giải pháp an ninh có liên quan đến:
- Các máy tính để bàn máy tính xách tay chạy hệ điều hành Windows 2000, 2003, XP, Vista, 7, hệ điều hành UNIX, Macintosh…
- Các máy chủ chạy hệ điều hành Windows NT, 2000, 2003, NetWare, Linux, Solaris, HP-UX, … - Các máy tính lớn (Maiframe) chạy Multiple Virtual Storage (MVS) Vitual Machine (VM);
- Các thiết bị định tuyến hãng Cisco, Juniper, Nortel, Lucent,…
- Các thiết bị chuyển mạch hãng Cisco, Foundry, Extreme, …
1.3.2 Sử dụng mơ hình an ninh mạng
(21)các tổ chức thực kết hợp ba phương án để đảm bảo an ninh mạng Ba phương án thực là:
- Mơ hình an ninh nhờ mù mờ (security by obscurity model) - Mô hình bảo vệ vịng ngồi (perimeter defense model)
- Mơ hình bảo vệ theo chiều sâu (defense in depth model) 1.3.3 Sử dụng nguyên tắc an ninh
Quyền hạn tối thiểu: nguyên tắc hệ thống an ninh mạng chế đặc quyền tối thiểu Nguyên tắc hạn chế phơi bày yếu điểm hệ thống giảm rủi ro xảy rủi ro bị cơng
Phịng thủ theo chiều sâu: tức phịng thủ cần có nhiều lớp, nhiều hệ thống phịng thủ để chúng hỗ trợ lẫn
Nút thắt: nút thắt đặt cổng vào/ra xác định, chế bắt buộc đối phương thâm nhập vào hệ thống qua kênh hẹp (nơi giám sát điều khiển được)
Điểm yếu nhất: phải xác định chỗ điểm yếu hệ thống để tăng cường an ninh, hacker thường tìm cách để phát điểm yếu tập trung cơng vào
Cơ chế tự động ngắt có cố: trường hợp xấu phân hệ bảo vệ toàn hệ thống gặp cố, hệ thống tự tắt ngắt phần bị cố để ngăn chặn truy cập đối phương vào hệ thống vùng khác
(22)Tính đa dạng hệ thống phịng thủ: mức độ an ninh hệ thống tăng lên sử dụng nhiều môđun nhiều phương án phịng thủ khác
Tính đơn giản: hệ thống phức tạp thường có nhiều lỗi khó kiểm sốt cần phải đơn giản hóa hệ thống bảo vệ
1.3.4 Sử dụng giải pháp an ninh - Giải pháp phân mảnh mạng
(23)Hình 1-4 Mơ hình quản lý điểm truy cập - Các định tuyến chuyển mạch
(24)Hình 1-6 Mơ hình tường lửa - Giải pháp lọc nội dung
(25)Một số giải pháp khác: - Các sách an ninh
- Giải pháp phịng chống mã độc (AntiMalware)
- Điều khiển truy nhập mạng (Network Admission Control – NAC) - Các dịch vụ xác thực (Authentication Services)
- Quản lý miếng vá (Patch Management)
- Các cổng lớp ứng dụng (Application Layer Gateway) - Giải pháp phát phòng chống xâm nhập
(26)CHƯƠNG 2: GIẢI PHÁP TĂNG CƯỜNG AN NINH MẠNG 2.1 Hệ thống tường lửa (Firewall)
2.1.1 Khái niệm Firewall
Tường lửa (Firewall) hệ thống an ninh mạng, dựa phần cứng phần mềm, sử dụng quy tắc để kiểm soát lưu lượng truy cập vào, khỏi hệ thống Tường lửa hoạt động rào chắn mạng an tồn mạng khơng an tồn Nó kiểm sốt truy cập đến nguồn lực mạng thơng qua mơ hình kiểm sốt chủ động Nghĩa là, lưu lượng truy cập phù hợp với sách định nghĩa tường lửa truy cập vào mạng, lưu lượng truy cập khác bị từ chối
Hình 2-1 Firewall 2.1.2 Chức Firewall
Chức Firewall kiểm sốt luồng thơng tin từ Intranet Internet
Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet
Cho phép cấm dịch vụ truy nhập (từ Intranet Internet)
(27)Theo dõi luồng liệu mạng Internet Intranet Kiểm soát địa truy nhập, cấm địa truy nhập
Kiểm soát người sử dụng việc truy nhập người sử dụng Kiểm soát nội dung thông tin thông tin lưu chuyển mạng
2.1.3 Phân loại Firewall
Firewall chia làm loại gồm: Firewall cứng Firewall mềm 2.1.3.1 Đặc điểm Firewall mềm
Firewall mềm cài đặt máy tính cá nhân mạng Khơng giống Firewall cứng, Firewall mềm dễ dàng phân biệt chương trình máy tính, điều cho phép liệu vào chương trình chặn chương trình khác Firewall mềm lọc liệu gửi đi, phản hồi từ xa cho yêu cầu gửi Nhược điểm Firewall mềm cho doanh nghiệp là: yêu cầu cài đặt, cập nhật quản trị máy tính cá nhân
Firewall mềm cài đặt máy chủ riêng lẻ giúp chặn yêu cầu kết nối sau xác định xem yêu cầu có hợp lệ hay không Firewall xử lý tất yêu cầu cách sử dụng tài nguyên máy chủ
Trong so sánh với Firewall cứng, Firewall mềm Firewall Opensource (tường lửa mã nguồn mở) dễ cấu hình thiết lập
Firewall mềm cung cấp cho người dùng quyền kiểm sốt hồn tồn lưu lượng truy cập Internet họ thông qua giao diện thân thiện với người dùng u cầu khơng có kiến thức
2.1.3.2 Đặc điểm Firewall cứng
(28)Hình 2-2 Firewall cứng
Để bảo vệ mạng mà không cản trở hiệu suất, tường lửa firewall cứng yêu cầu người thiết lập phải có kiến thức chuyên sâu khơng phải giải pháp khả thi cho cơng ty khơng có phận công nghệ thông tin chuyên dụng Tuy nhiên, doanh nghiệp có nhiều máy tính, kiểm soát an ninh mạng từ thiết bị đơn giản hóa cơng việc
Các doanh nghiệp thường có tường lửa phần cứng chun dụng có nhiều cơng cụ khác để giúp chặn mối đe dọa ngoại vi mạng Bằng cách này, người quản trị lọc email lưu lượng truy cập web (trong số thứ khác) cho tất người
Tường lửa phần cứng tích hợp vào định tuyến nằm máy tính Internet Người quản trị thường sử dụng lọc gói, có nghĩa họ quét tiêu đề gói để xác định nguồn gốc, nguồn gốc, địa đích kiểm tra với quy tắc người dùng có xác định để đưa định cho phép / từ chối
(29)Tường lửa có hệ điều hành riêng bị công hơn, điều lần làm giảm nguy bảo mật ngồi ra, tường lửa phần cứng có điều khiển bảo mật nâng cao
Tường lửa phần cứng thành phần mạng nội bộ, quản lý tốt
2.1.4 Kiến trúc FireWall 2.1.4.1 Kiến trúc Dual-homed Host
Hình 2-3 Kiến trúc Dual-homed Host
Dual-homed Host hình thức xuất việc bảo vệ mạng nội Dual-homed Host máy tính có hai giao tiếp mạng (Network interface): nối với mạng cục nối với mạng (Internet)
(30)Đánh giá Dual-homed Host:
Để cung cấp dịch vụ cho người sử dụng mạng nội có số giải pháp sau:
- Kết hợp với Proxy Server cung cấp Proxy Service
- Cấp tài khoản người dùng máy dual-homed host mà người sử dụng muốn sử dụng dịch vụ từ Internet hay dịch vụ từ external network họ phải logging in vào máy
Phương pháp cấp tài khoản người dùng máy dual-homed host phức tạp, lần người dùng muốn sử dụng dịch vụ phải logging in vào máy khác (dual-homed host) khác với máy họ, vấn đề không thuận tiện với người sử dụng
Nếu dùng Proxy Server: khó cung cấp nhiều dịch vụ cho người sử dụng phần mềm Proxy Server Proxy Client khơng phải loại dịch vụ có sẵn Hoặc số dịch vụ cung cấp nhiều khả đáp ứng hệ thống giảm xuống tất Proxy Server đặt máy
(31)Với kiến trúc này, hệ thống bao gồm hai Packet-Filtering Router máy chủ Kiến trúc có độ an tồn cao cung cấp mức bảo mật: Network Application định nghĩa mạng perimeter network Mạng trung gian (DMZ) đóng vai trị mạng nhỏ, cô lập đặt Internet mạng nội Cơ bản, MẠNG TRUNG GIAN cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng MẠNG TRUNG GIAN, truyền trực tiếp qua mạng MẠNG TRUNG GIAN
Và thơng tin đến, Router ngồi (Exterior Router) chống lại công chuẩn (như giả mạo địa IP), điều khiển truy nhập tới mạng trung gian Nó cho phép hệ thống bên truy nhập máy chủ Router (Interior Router) cung cấp bảo vệ thứ hai cách điều khiển mạng trung gian truy nhập vào mạng nội với truyền thông Bastion Host (máy chủ)
Với thông tin đi, Router điều khiển mạng nội truy nhập tới mạng trung gian Nó cho phép hệ thống bên truy nhập tới máy chủ Quy luật Filtering Router yêu cầu sử dụng dịch vụ Proxy cách cho phép thông tin bắt nguồn từ Máy chủ
Đánh giá kiến trúc Screend Subnet Host :
- Đối với hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời khả theo dõi lưu thông người sử dụng hệ thống liệu trao đổi người dùng hệ thống cần bảo vệ kiến trúc phù hợp
(32)phần lưu thông bên mạng nội Tách biệt mạng nội với Internet
- Sử dụng Screening Router (bộ định tuyến lọc): Router Router
- Áp dụng qui tắc dư thừa bổ sung thêm nhiều mạng trung gian (DMZ perimeter network) tăng khả bảo vệ cao - Ngoài ra, cịn có kiến trúc biến thể khác như: sử dụng nhiều
Bastion Host (máy chủ) (Máy chủ), ghép chung Router Router ngoài, ghép chung Bastion Host (máy chủ) (Máy chủ) Router ngoài.[2]
2.2 Mạng riêng ảo 2.2.1 Định nghĩa VPN
VPN hiểu giải pháp mở rộng mạng riêng thông qua mạng chung (thường Internet) Mỗi VPN kết nối với VPN khác, site khác hay nhiều người dùng từ xa Thay cho kết nối thực leased – line, VPN sử dụng kết nối ảo dẫn từ mạng nội tới site người dùng từ xa
Các giải pháp VPN thiết kế cho tổ chức có xu hướng tăng cường thơng tin từ xa phạm vi hoạt động rộng (toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối đến từ nhiều nguồn giúp tiết kiệm chi phí thời gian
(33)Hình 2-5 Mơ hình mạng VPN 2.2.2 Các thành phần tạo nên VPN
2.2.2.1 VPN client
VPN client máy tính định tuyến Loại VPN khách hàng sử dụng cho mạng công ty phụ thuộc vào nhu cầu cá nhân cơng ty
Mặt khác, cơng ty có vài nhân viên thường xuyên công tác xa cần phải truy cập vào mạng công ty đường đi, máy tính xách tay nhân viên thiết lập VPN client
Về mặt kỹ thuật, hệ điều hành hoạt động VPN Client miễn có hỗ trợ giao thức như: giao thức đường hầm điểm-điểm PPTP (Point to Point Tunneling Protocol), giao thức đường hầm lớp L2TP (Layer Tunneling Protocol) giao thức bảo mật Internet IPSec (Internet Protocol Security) Ngày nay, với phiên Windows khả truy cập mạng VPN phát triển tối ưu hơn, vấn đề khơng tương thích với phiên hệ điều hành không tồn 2.2.2.2 VPN server
(34)VPN Server đơn giản Nó máy chủ cài đặt dịch vụ máy chủ định tuyến truy cập từ xa RRAS (Routing and Remote Access Server) Khi kết nối VPN chứng thực, máy chủ VPN đơn giản hoạt động định tuyến cung cấp cho khách hàng VPN truy cập đến mạng riêng
2.2.2.3 Firewall
Các thành phần khác theo yêu cầu mạng riêng ảo VPN (Virtual Private Network) tường lửa tốt Máy chủ VPN chấp nhận kết nối từ mạng ngồi, điều khơng có nghĩa mạng ngồi cần phải có quyền truy cập đầy đủ đến máy chủ VPN Chúng ta phải sử dụng tường lửa để chặn cổng không sử dụng
Yêu cầu cho việc thiết lập kết nối VPN địa IP máy chủ VPN có thơng qua tường lửa để tiếp cận với máy chủ VPN
Chúng ta đặt máy chủ ISA tường lửa máy chủ VPN Ý tưởng cấu hình tường lửa để điều chỉnh tất lưu lượng truy cập VPN có liên quan đến ISA Server khơng phải máy chủ VPN ISA Server sau hoạt động proxy VPN Cả hai VPN Client VPN Server giao tiếp với máy chủ ISA mà không giao tiếp trực tiếp với Điều có nghĩa ISA Server che chắn VPN Server từ VPN Client truy cập đến, cho VPN Server có thêm lớp bảo vệ
2.2.2.4 Giao thức đường hầm (Tunneling Protocol)
(35)quyết định quan trọng lập kế hoạch để triển khai hệ thống VPN cho doanh nghiệp, công ty
Lợi lớn mà L2TP PPTP dựa IPSec IPSec mã hóa liệu, cung cấp xác thực liệu, liệu người gửi mã hóa đảm bảo khơng bị thay đổi nội dung truyền
Mặc dù L2TP có lợi so với PPTP, PPTP có lợi riêng khả tương thích PPTP hoạt động tốt với hệ điều hành Windows L2TP [3]
2.2.3 Ưu nhược điểm VPN 2.2.3.1 Ưu điểm
VPN mang lại lợi ích thực tức thời cho cơng ty Có thể dùng VPN để đơn giản hố việc thơng tin nhân viên làm việc xa, người dùng từ xa, mở rộng Intranet đến văn phịng, chi nhánh, khơng triển khai Extranet đến tận khách hàng đối tác chủ chốt mà cịn làm giảm chi phí cho công việc thấp nhiều so với việc mua thiết bị đường dây cho mạng WAN riêng Những lợi ích dù trực tiếp hay gián tiếp bao gồm: tiết kiệm chi phí, tính mềm dẻo, khả mở rộng số ưu điểm khác
2.2.3.2 Nhược điểm
Mặc dù phổ biến mạng riêng ảo VPN (Virtual Private Network) triển khai hệ thống cần lưu ý số hạn chế
VPN đòi hỏi hiểu biết chi tiết vấn đề an ninh mạng, việc cấu hình cài đặt phải cẩn thận, xác đảm bảo tính an tồn hệ thống mạng Internet cơng cộng
(36)Việc sử dụng sản phầm VPN giải pháp nhà cung cấp khác khơng phải lúc tương thích vấn đề tiêu chuẩn công nghệ VPN Khi sử dụng pha trộn kết hợp thiết bị gây vấn đề kỹ thuật sử dụng khơng cách lãng phí nhiều chi phí triển khai hệ thống
Một hạn chế hay nhược điểm khó tránh khỏi VPN vấn đề bảo mật cá nhân, việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn phịng máy tính xách tay, máy tính riêng, máy tính họ thực hàng loạt ứng dụng khác, việc kết nối tới văn phịng làm việc tin tặc lợi dụng yếu điểm từ máy tính cá nhân họ cơng vào hệ thống cơng ty Vì việc bảo mật cá nhân chuyên gia khuyến cáo phải đảm bảo an toàn
2.2.4 Mạng Site – to – Site VPNs
Bên cạnh Remote-acess VPN site-to-site VPN, cách kết nối nhiều văn phòng trụ sở xa thông qua thiết bị chuyên dụng đường truyền mã hố qui mơ lớn hoạt động Internet Site-to- Site VPN gồm loại:
- Intranet-based: cơng ty có trụ sở xa muốn kết nối lại thành mạng riêng tạo intranet VPN nối kết Lan-to-Lan
- Extranet-based: cơng ty có quan hệ mật thiết với cơng ty khác (ví dụ đối tác, nhà cung cấp hay khách hang) họ xây dựng extranet VPN nhằm kết nối Lan-to-Lan cho phép công ty làm việc trao đổi môi trường chia sẻ riêng biệt (tất nhiên Internet)
(37)phát triển VPN có đặc điểm khác mặt kỹ thuật mặt đáp ứng yêu cầu khách hàng
2.2.5 Mạng VPN cục (Intranet-based VPN)
Các VPN cục sử dụng để bảo mật kết nối địa điểm khác công ty Mạng VPN liên kết trụ sở chính, văn phịng, chi nhánh sở hạ tầng chung sử dụng kết nối ln mã hố bảo mật Điều cho phép tất địa điểm truy nhập an toàn nguồn liệu phép tồn mạng cơng ty Những VPN cung cấp đặc tính mạng WAN khả mở rộng, tính tin cậy hỗ trợ cho nhiều kiểu giao thức khác với chi phí thấp đảm bảo tính mềm dẻo Kiểu VPN thường cấu VPN Site- to- Site
gồm:
Hình 2-6 Mơ hình VPN Site-to-Site (Intranet Based)
(38)- Các mạng lưới cục hay tồn thiết lập (với điều kiện mạng thông qua hay nhiều nhà cung cấp dịch vụ)
- Giảm số nhân viên kỹ thuật hỗ trợ mạng nơi xa
- Bởi kết nối trung gian thực thông qua mạng Internet, nên dễ dàng thiết lập thêm liên kết ngang cấp
- Tiết kiệm chi phí thu từ lợi ích đạt cách sử dụng
đường ngầm VPN thông qua Internet kết hợp với cơng nghệ chuyển mạch tốc độ cao Ví dụ công nghệ Frame Relay, ATM
Tuy nhiên mạng cục dựa giải pháp VPN có nhược điểm như:
- Bởi liệu truyền “ngầm” qua mạng công cộng – mạng Internet – mối “đe dọa” mức độ bảo mật liệu mức độ chất lượng dịch vụ (QoS)
- Khả gói liệu bị truyền dẫn cao - Trường hợp truyền dẫn khối lượng lớn liệu, đa phương tiện,
với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực thách thức lớn môi trường Internet
2.2.6 Mạng VPN mở rộng (Extranet-based VPN)
(39)Site Sự khác VPN cục VPN mở rộng truy cập mạng công nhận hai đầu cuối VPN
Hình 2-7 Mơ hình VPN Site-to-Site (Extranet-Based VPN) Những ưu điểm mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp nhiều so với mạng truyền thống
- Dễ dàng thiết lập, bảo trì dễ dàng thay đổi mạng hoạt động
- Vì mạng VPN mở rộng xây dựng dựa mạng Internet nên có nhiều hội việc cung cấp dịch vụ chọn lựa giải pháp phù hợp với nhu cầu công ty
- Bởi kết nối Internet nhà cung cấp dịch vụ Internet bảo trì, nên giảm số lượng nhân viên kỹ thuật hỗ trợ mạng, giảm chi phí vận hành tồn mạng
(40)- Khả bảo mật thông tin, liệu truyền qua mạng công cộng tồn
- Truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực, thách thức lớn môi trường Internet
- Làm tăng khả rủi ro mạng cục công ty 2.3 Hệ thống phát chống xâm nhập
2.3.1 Hệ thống phát xâm nhập (IDS)
IDS (Intrusion Detection Systems) hệ thống phòng chống nhằm phát hành động cơng vào mạng mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống hành động tiến trình cơng sưu tập, quét cổng tính hệ thống cung cấp thông tin nhận biết hành động khơng bình thường đưa báo cảnh thông báo cho quản trị viên mạng khóa kết nối cơng thêm vào cơng cụ IDS phân biệt công bên từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn cơng từ hacker)
2.3.2 Hệ thống chống xâm nhập (IPS)
IPS (Intrusion Prevention Systems) hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập khơng mong muốn
Chức IPS xác định hoạt động nguy hại, lƣu giữ thơng tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép
(41)có chức ngăn chặn kịp thời hoạt động nguy hại hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS
Nguyên lý hoạt động hệ thống phát chống xâm nhập đƣợc chia làm giai đoạn chính: Giám sát mạng, Phân tích lưu thơng, Liên lạc thành phần, Cảnh báo hành vi xâm nhập cuối tiến hành phản ứng lại tùy theo chức IDS
2.3.2.1 Giám sát mạng (monotoring)
Giám sát mạng q trình thu thập thơng tin lưu thông mạng Việc thông thường đƣợc thực Sensor Yêu cầu đòi hỏi giai đoạn có thơng tin đầy đủ tồn vẹn tình hình mạng Đây vấn đề khó khăn, theo dõi tồn thơng tin tốn nhiều tài ngun, đồng thời gây nguy tắc nghẽn mạng Nên cần thiết phải cân nhắc để không làm ảnh hưởng đến tồn hệ thống Có thể sử dụng phương án thu thập liên tục khoảng thời gian dài thu thập theo chu kì Tuy nhiên hành vi bắt hành vi khoảng thời gian giám sát Hoặc theo vết lƣu thơng TCP theo gói theo liên kết Bằng cách thấy dòng liệu vào phép Nhưng theo dõi liên kết thành cơng bỏ qua thơng tin có giá trị liên kết không thành công mà lại thường phần quan tâm hệ thống IDS, ví dụ hành động quét cổng
2.3.2.2 Phân tích lưu thông (Analyzing)
(42)2.3.2.3 Cảnh báo (Alert)
Sau phân tích xong liệu, hệ thống IDS cần phải đưa cảnh báo Ví dụ như:
- Cảnh báo địa không hợp lệ
- Cảnh báo máy cố gắng kết nối đến máy nằm danh sách cần theo dõi hay mạng
2.3.2.4 Phản ứng (Response)
Trong số hệ thống IDS tiên tiến nay, sau giai đoạn phát dấu hiệu công, hệ thống cảnh báo cho ngƣời quản trị mà đưa hành vi phòng vệ ngăn chặn hành vi cơng Điều giúp tăng cường khả tự vệ Mạng, cần cảnh báo cho người quản trị đơi cơng tiếp tục xảy gây tác hại xấu Một hệ thống IDS phản ứng lại trước cơng phải cấu hình để có quyền can thiệp vào hoạt động Firewall, Switch Router Các hành động mà IDS đưa như:
- Ngắt dịch vụ - Gián đoạn phiên
(43)CHƯƠNG 3: TRIỂN KHAI PROXY SERVER TRÊN PFSENSE 3.1 Mơ hình triển khai
Hình 3-1 Mơ hình triển khai Pfsense thực nghiệm 3.2 Pfsense
3.2.1 Giới thiệu
(44)firewall có tính trạng thái, thường xuất firewall thương mại lớn Cisco ASA, Checkpoint, Juniper …
PfSense bao gồm nhiều tính đặc biệt firewall trạng thái mà bạn thấy thiết bị tường lửa router thương mại lớn, chẳng hạn giao diện người dùng (GUI) Web tạo quản lý cách dễ dàng Trong phần mềm miễn phí cịn có nhiều tính ấn tượng firewall/router miễn phí, nhiên có số hạn chế
PfSense hỗ trợ lọc địa nguồn địa đích, cổng nguồn cổng đích hay địa IP Nó hỗ trợ sách định tuyến chế hoạt động chế độ brigde transparent, cho phép bạn cần đặt pfSense thiết bị mạng mà không cần địi hỏi việc cấu hình bổ sung PfSense cung cấp chế NAT tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) Session Initiation Protocol (SIP) sử dụng NAT
PfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phịng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển
Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải Tuy nhiên có hạn chế với chỗ thực cân lưu lượng phân phối hai kết nối WAN định lưu lượng cho qua kết nối
3.2.2 Cài đặt Pfsense 3.2.2.1 Phần cứng yêu cầu
(45)- Disk drive (SSD, HDD, etc)
- PCI Network : dùng WAN, dùng LAN 3.2.2.2 Cài đặt Pfsense PC
Vào trang chủ Pfsense để download :
https://www.pfsense.org/download/
(46)Hình 3-3 Giao diện Status Dashboard 3.3 Giải pháp proxy server Pfsense
3.3.1 Cấu hình Proxy Server 3.3.1.1 Cấu hình Squid proxy
(47)Hình 3-4 Cấu hình Squid proxy
(48)- Bước 2: Cấu hình tích hợp antivirus Chọn “Services > Squid Proxy > Antivirus Tab” Tích vào “Enable Squid antivirus check using ClamAV” , Tích “Enable Google Safe Browsing support“, “ClamAV Database Update : every hour” -> Click “Save” để lưu cấu hình
Hình 3-6 Cấu hình Antivirus
(49)và mối đe dọa khác.Mdaemon bạn thấy dùng ClamAV để quét mail
3.3.1.2 Cấu hình Squid Guard
Squid Guard có tính để lọc web đen,web cấm, facebook , để thực việc tạo access list kết hợp với Squid Proxy để user bên pfsense không truy cập website bị cấm
Truy cập Services -> SquidGuard Proxy Filter ->General Settings bật Enable ->Apply
Hình 3-7 Cấu hình Squid Guard 3.3.2 Giới hạn truy cập web
(50)Hình 3-8 Tạo khoảng thời gian
- Bước Giả sử, ta thực chặn trang website quy định nội dung với yêu cầu đề sau: Thực chặn truy cập vào ngày làm việc từ thứ thứ Thời gian từ 8:00 đến 12:00 13:30 đến 17:30 Trong làm việc, ta phép truy cập trang website ngoại trừ bongdaso.com, phienbanmoi.com, google.com Các thời gian khác, truy cập bình thường
Hình 3-9 Chặn truy cập theo ngày
(51)Hình 3-10 Tạo danh sách web bị chặn
- Bước Tiếp tục chuyển sang tab Groups ACL Chọn Add để thêm ACL (Access Control List) Thực lựa chọn điền thông tin sau:
Hình 3-11 Cấu hình Group ACL
(52)Hình 3-12 Xác nhận thay đổi cấu hình Kiểm tra kết cấu hình :
- Khi truy cập vào trang web google.com :
Hình 3-13 Truy cập vào google.com - Khi truy cập vào phienbanmoi.com
(53)- Khi truy cập vào trang web khác:
Hình 3-15 Khi truy cập vào trang web khác 3.3.3 Giới hạn tốc độ download/upload cho client
- Bước 1:Tạo Alias chứa danh sách IP cần giới hạn tốc độ : Firewall > Alias > Add :
Hình 3-16 Tạo alias chứa danh sách IP
(54)Hình 3-17 Tạo limiter upload
Hình 3-18 Tạo limiter download
3.3.4 Chứng thực user truy cập web sử dụng Captive Portal
(55)thường sử dụng hệ thống mạng không dây Chúng sử dụng kết nối có dây cho trung tâm thương mại, tiệm internet nhà
Một portal kích hoạt máy tính trỏ đến pfSense gateway chuyển hướng tự động tới trang portal.Portal khơng có xác thực
Captive portal pfsense mang đến giải pháp cấu hình dễ dàng Sử dụng trang trung gian để yêu cầu người dùng chứng thực, giúp nâng cao khả bảo mật Trang Web trung gian thiết kế đơn giản, với hướng dẫn điều khoản sử dụng, sử dụng ô Username Password để đăng nhập
Khi cấu hình captive portal pfsense, máy tính sử dụng pfSense làm gateway chuyển hướng đến trang portal đích [4]
Các bước thực thực sau:
- Bước 1: Thực enable DHCP Server Điều cần thiết ta cung cấp sử dụng tính kết hợp với Wi-Fi cho thiết bị không dây tránh trường hợp thiết bị sử dụng có địa IP giống gây phát sinh lỗi Tại giao diện Web Interface quản lý pfSense Ta chọn Services chọn DHCP Server Hãy thực điền thông tin tương tự hình sau chọn Save để lưu lại cấu hình
(56)- Bước 2: Tạo tài khoản người dùng cung cấp cho người sử dụng
xác thực để truy cập internet Cách thực sau: Chọn System, sau chọn User Manager > Add :
Hình 3-20 Tạo User
- Bước Cấu hình Captive Portal thực sau: Chọn Services, tiếp tục chọn Captive Portal sau chọn Add Nhập thơng tin tương tự hình sau để tạo Captive Portal Zone: Chọn Save & Continue để lưu lại thông tin
(57)Bước :Tiếp tục nhập thông tin tương tự hình đây:
Hình 3-22 Upload giao diện trang Portal Kết thực nghiệm:
- Khi ta gõ địa trang web yêu cầu phải xác thực
(58)- Sau gõ username password truy cập web bình thường:
Hình 3-24 Sau đăng nhập
3.3.5 Xây dựng hệ thống Firewall – failover đáp ứng máy mạng LAN truy cập internet
3.3.5.1 Vai trò, chức
- Vai trò việc cấu hình pfSense Cluster đảm bảo cho việc cung cấp firewall mức ổn định Phịng trường hợp phát sinh lỗi buộc firewall ngừng hoạt động gây trì trệ hệ thống
- Với tính đồng lưu cấu hình cần thiết rule, pfSense Cluster giải pháp tồn vẹn tính đến thời điểm
(59)3.3.5.2 Mơ hình
Mơ hình thực cấu hình mơ tả giống hình sau:
Hình 3-25 Mơ hình hệ thống firewall - failover 3.3.5.3 Thực cấu hình
(60)Hình 3-26 Cấu hình CARP
(61)Hình 3-27 Tạo Virtual Ips WAN
Hình 3-28 Tạo Virtual Ips LAN
- Bước 3: Kiểm tra kết Để kiểm tra kết trình thực cấu hình trình đồng Ta thực sau: Chọn menu Status sau chọn CARP (failover) Kết quả:
(62)Hình 3-29 Trên máy pfsense master Trên máy chủ pfSense backup :
Hình 3-30 Trên máy pfsense backup
(63)Hình 3-31 Màn hình CARP status pfSense backup Khi máy chủ pfSense master bật lại:
(64)3.3.6 Giải pháp mạng riêng ảo Pfsense 3.3.6.1 VPN Client to site
Mơ hình thực
Hình 3-33 Mơ hình thực Các bước thực
(65)Hình 3-34 Tạo user đăng nhập VPN
- Bước 2: Cài đặt package openvpn-client-export việc thực sau: chọn System > Packet manager > Chọn tab Available Packages > nhập openvpn vào tìm kiếm chọn Search > Install
Hình 3-35 Cài đặt gói openvpn-client
- Bước Tạo server VPN sử dụng pfSense Cách thực sau: Ta chọn menu VPN sau chọn openVPN chuyển sang tab Wizards Kết nhận sau:
Hình 3-36 Tạo OpenVPN remote access
(66)Hình 3-37 Chọn CA Certificate Tiếp tục điền thơng tin hình dưới:
(67)- Bước 4: Từ máy client cài đặt openVPN GUI, ta thực kết nối đến server với tài khoản người dùng openvpn2 để kiểm tra kết :
Hình 3-39 Thực ping đến máy mạng Lan pfSense 3.3.6.2 VPN Site to site
Mơ hình thực
(68)- Bước : Tại pfSense Master, chọn tab VPN > OpenVPN > Server , khai báo thông số sau :
Hình 3-41 Tạo kết nối VPN pfSense Master
(69)Hình 3-42 Tạo kết nối Pfsense - Bước 3: Tạo rule cho phép kết nối đầu VPN
Hình 3-43 Tạo rule cho OpenVPN - Bước 4: Kiểm tra kết
(70)Hình 3-44 Kiểm tra kết nối
Tại site pfSense 3, ta ping đến site pfSense Master:
(71)KẾT LUẬN
Đồ án “Nghiên cứu triển khải giải pháp đảm bảo an ninh mạng pfSense” đạt kết sau :
Về lý thuyết đồ án trình bày hiểu :
- Tổng quan an ninh – an tồn thơng tin mạng Các phương thức cơng, biện pháp giải phịng tránh bị công
- Nêu lên số giải pháp Firewall - Hệ thông phát chống xâm nhập
- Tìm hiểu Mạng riêng ảo VPN, giao thức VPN, ưu điểm nhược điểm VPN
Về thực thi, đồ án tiến hành : - Giới hạn truy cập web
- Giới hạn tốc độ download/upload cho client - Chứng thực user truy cập web sử dụng Captive Portal - Xây dựng hệ thống backup Firewall
- Cấu hình VPN Site – to – site Client – to site pfSense
(72)TÀI LIỆU THAM KHẢO
[1] Nguyễn Công Nhật (2008), Giáo trình an tồn thơng tin
[2] Nguyễn Tấn Phương (2010), Tìm hiểu Firewall, Khoa CNTT – Đại học Duy Tân
[3] ThS Trần Công Hùng (2002), Kỹ thuật mạng riêng ảo, NXB Bưu Điện
https://www.pfsense.org/download/