Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp LỜI CẢM ƠN Sau ba tháng nỗ lực tìm hiểu thực hiện, đồ án “Nghiên cứu triển khai hệ thống firewall mã nguồn mở cho doanh nghiệp vừa nhỏ” hoàn thành, cố gắng thân, em cịn nhận nhiều động viên, khích lệ từ gia đình, thầy bạn bè Em xin bày tỏ lòng biết ơn sâu sắc tới thầy Ngơ Trường Giang tận tình hướng dẫn, bảo dành nhiều thời gian quý báu thầy cho em thời gian qua, giúp em hoàn thành đồ án thời hạn Em xin cảm ơn thầy cô giáo khoa Công nghệ thơng tin trường Đại học Dân lập Hải Phịng giảng dạy, trang bị cho em kiến thức chuyên ngành, chuyên môn, chuyên sâu suốt năm qua Mặc dù em cố gắng để hoàn thành đồ án tốt nghiệp này, tham khảo nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức cịn nhiều hạn chế, khơng thể tránh khỏi thiếu sót Em mong nhận thơng cảm đóng góp, bảo tận tình quý thầy cô bạn để đồ án ngày hoàn thiện Em xin chân thành cảm ơn! Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp MỞ ĐẦU Ngày nay, máy tính mạng internet phổ biến rộng rãi, tổ chức, cá nhân có nhu cầu sử dụng máy tính mạng máy tính để tính tốn, lưu trữ, quảng bá thông tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính khơng quản lý dễ dàng bị công, gây hậu nghiêm trọng Xác định tầm quan trọng việc bảo mật hệ thống mạng doanh nghiệp nên em chọn nghiên cứu đề tài “Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense” với mục đích tìm hiểu sâu sắc chế hoạt động phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp vấn hành trơn tru, an toàn hạn chế cố xảy Đồ án chia thành nội dung : - Chương : An ninh mạng máy tính - Chương : Giải pháp tăng cường an ninh mạng - Chương : Giải pháp proxy server Pfsense Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp MỤC LỤC LỜI CẢM ƠN MỞ ĐẦU MỤC LỤC DANH MỤC HÌNH VẼ CHƯƠNG 1: AN NINH MẠNG MÁY TÍNH 1.1 Các nguyên tắc tảng an ninh mạng 1.1.1 Mơ hình CIA 1.1.2 Mơ hình ba an ninh 1.2 Các nguy an ninh mạng 11 1.2.1 Các nguy 11 1.2.2 Các điểm yếu giao thức mạng .12 1.2.3 Các điểm yếu hệ điều hành 12 1.2.4 Các điểm yếu thiết bị mạng 12 1.2.5 Các điểm yếu cấu hình thiết bị .12 1.3 Giải pháp kỹ thuật lập kế hoạch an ninh mạng 12 1.3.1 Sử dụng tảng khác 12 1.3.2 Sử dụng mơ hình an ninh mạng .13 1.3.3 Sử dụng nguyên tắc an ninh 14 1.3.4 Sử dụng giải pháp an ninh 15 CHƯƠNG 2: GIẢI PHÁP TĂNG CƯỜNG AN NINH MẠNG 19 2.1 Hệ thống tường lửa (Firewall) 19 2.1.1 Khái niệm Firewall 19 2.1.2 Chức Firewall 19 2.1.3 Phân loại Firewall 20 2.1.4 Kiến trúc FireWall 22 2.2 Mạng riêng ảo 25 2.2.1 Định nghĩa VPN 25 2.2.2 Các thành phần tạo nên VPN 26 2.2.3 Ưu nhược điểm VPN 28 Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp 2.2.4 Mạng Site – to – Site VPNs 29 2.2.5 Mạng VPN cục (Intranet-based VPN) 30 2.2.6 Mạng VPN mở rộng (Extranet-based VPN) 31 2.3 Hệ thống phát chống xâm nhập 33 2.3.1 Hệ thống phát xâm nhập (IDS) 33 2.3.2 Hệ thống chống xâm nhập (IPS) 33 CHƯƠNG 3: TRIỂN KHAI PROXY SERVER TRÊN PFSENSE 36 3.1 Mơ hình triển khai 36 3.2 Pfsense 36 3.2.1 Giới thiệu 36 3.2.2 Cài đặt Pfsense 37 3.3 Giải pháp proxy server Pfsense 39 3.3.1 Cấu hình Proxy Server 39 3.3.2 Giới hạn truy cập web 42 3.3.3 Giới hạn tốc độ download/upload cho client 46 3.3.4 Chứng thực user truy cập web sử dụng Captive Portal 47 3.3.5 Xây dựng hệ thống Firewall – failover đáp ứng máy mạng LAN truy cập internet 51 3.3.6 Giải pháp mạng riêng ảo Pfsense 57 KẾT LUẬN 64 TÀI LIỆU THAM KHẢO 65 Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp DANH MỤC HÌNH VẼ Hình 1-1 Mơ hình CIA .8 Hình 1-2 Mơ hình ba an tồn 10 Hình 1-3 Mơ hình giải pháp an ninh mạng 15 Hình 1-4 Mơ hình quản lý điểm truy cập 16 Hình 1-5 Mơ hình định tuyến chuyển mạch 16 Hình 1-6 Mơ hình tường lửa 17 Hình 1-7 Mơ hình giải pháp lọc nội dung 17 Hình 1-8 Mơ hình điều khiển truy cập từ xa 17 Hình 2-1 Firewall 19 Hình 2-2 Firewall cứng 21 Hình 2-3 Kiến trúc Dual-homed Host 22 Hình 2-4 Kiến trúc Screend Subnet Host 23 Hình 2-5 Mơ hình mạng VPN 26 Hình 2-6 Mơ hình VPN Site-to-Site (Intranet Based) 30 Hình 2-7 Mơ hình VPN Site-to-Site (Extranet-Based VPN) 32 Hình 3-1 Mơ hình triển khai Pfsense thực nghiệm 36 Hình 3-2 Download Pfsense 38 Hình 3-3 Giao diện Status Dashboard 39 Hình 3-4 Cấu hình Squid proxy 40 Hình 3-5 Cấu hình Squid proxy 40 Hình 3-6 Cấu hình Antivirus 41 Hình 3-7 Cấu hình Squid Guard 42 Hình 3-8 Tạo khoảng thời gian 43 Hình 3-9 Chặn truy cập theo ngày 43 Hình 3-10 Tạo danh sách web bị chặn 44 Hình 3-11 Cấu hình Group ACL 44 Hình 3-12 Xác nhận thay đổi cấu hình 45 Hình 3-13 Truy cập vào google.com 45 Hình 3-14 Truy cập vào phienbanmoi.com 45 Hình 3-15 Khi truy cập vào trang web khác 46 Hình 3-16 Tạo alias chứa danh sách IP 46 Hình 3-17 Tạo limiter upload 47 Hình 3-18 Tạo limiter download 47 Hình 3-19 Enable DHCP 48 Hình 3-20 Tạo User 49 Hình 3-21 Tạo Zone 49 Hình 3-22 Upload giao diện trang Portal 50 Hình 3-23 Màn hình đăng nhập Portal 50 Hình 3-24 Sau đăng nhập 51 Hình 3-25 Mơ hình hệ thống firewall - failover 52 Hình 3-26 Cấu hình CARP 53 Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-27 Tạo Virtual Ips WAN 54 Hình 3-28 Tạo Virtual Ips LAN 54 Hình 3-29 Trên máy pfsense master 55 Hình 3-30 Trên máy pfsense backup 55 Hình 3-31 Màn hình CARP status pfSense backup 56 Hình 3-32 Màn hình CARP status máy chủ 56 Hình 3-33 Mơ hình thực 57 Hình 3-34 Tạo user đăng nhập VPN 58 Hình 3-35 Cài đặt gói openvpn-client .58 Hình 3-36 Tạo OpenVPN remote access 58 Hình 3-37 Chọn CA Certificate 59 Hình 3-38 Điền thơng số cho VPN 59 Hình 3-39 Thực ping đến máy mạng Lan pfSense 60 Hình 3-40 Mơ hình VPN site to site 60 Hình 3-41 Tạo kết nối VPN pfSense Master .61 Hình 3-42 Tạo kết nối Pfsense 62 Hình 3-43 Tạo rule cho OpenVPN 62 Hình 3-44 Kiểm tra kết nối .63 Hình 3-45 Kiểm tra kết 63 Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp CHƯƠNG 1: AN NINH MẠNG MÁY TÍNH 1.1 Các nguyên tắc tảng an ninh mạng An ninh mạng máy tính (network sevurity) tổng thể giải pháp mặt tổ chức kỹ thuật nhằm ngăn cản nguy tổn hại đến mạng Các tồn hại xảy do: - Lỗi người sử dụng - Các lỗ hổng hệ điều hành chương trình ứng dụng - Các hành động hiểm độc - Các lỗi phần cứng - Các nguyên nhân khác từ tự nhiên An ninh mạng máy tính bao gồm vo số phương pháp sử dụng để ngăn cản kiện trên, trước hết tập trung vào việc ngăn cản: - Lỗi người sử dụng - Các hành động hiểm độc Số lượng mạng máy tính tăng lên nhanh Ngày trở thành phức tạp phải thực nhiệm vụ quan trọng Mang lại thách thức cho sử dụng quản lý chúng Sự cần thiết phải hội nhập dịch vụ vào hạ tầng sở mạng tất một điều hiển nhiên, làm phát sinh nhanh chóng việc cơng nghệ đưa vào sản phẩm có liên quan đến an ninh cịn non nớt Do nhà quản lý mạng phải cố gắng triển khai công nghệ vào hạ tầng sở mạng Nên an ninh mạng trở thành chức then chốt việc xây dựng trì mạng đại tổ chức Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Các nguyên tắc tảng : - Tính bí mật - Tính tồn vẹn - Tính sẵn sàng Tùy thuộc vào ứng dụng hoàn cảnh cụ thể, mà ba nguyên tắc quan trọng khác 1.1.1 Mô hình CIA Confidentiality (tính bảo mật), Integrity (tính tồn vẹn), Availability (tính sẵn sàng), gọi là: Mơ hình ba CIA Ba nguyên tắc cốt lõi phải dẫn đường cho tất hệ thống an ninh mạng Bộ ba CIA cung cấp công cụ đo (tiêu chuẩn để đánh giá) thực an ninh Mọi vi phạm ba nguyên tắc gây hậu nghiêm trọng tất thành phần có liên quan Hình 1-1 Mơ hình CIA 1.1.1.1 Tính bí mật Bí mật ngăn ngừa việc tiết lộ trái phép thơng tin quan trọng, nhạy cảm Đó khả đảm bảo mức độ bí mật cần thiết tuân thủ thông tin quan trọng, nhạy cảm che giấu với người dùng khơng Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp cấp phép Đối với an ninh mạng tính bí mật rõ ràng điều nói đến thường xun bị cơng 1.1.1.2 Tính tồn vẹn Tồn vẹn phát ngăn ngừa việc sửa đổi trái phép liệu, thơng tin hệ thống, đảm bảo xác thơng tin hệ thống Có ba mục đích việc đảm bảo tính tồn vẹn: - Ngăn cản làm biến dạng nội dung thông tin người sử dụng không phép - Ngăn cản làm biến dạng nội dung thông tin không phép không chủ tâm người sử dụng phép - Duy trì toàn vẹn liệu nội bên ngồi 1.1.1.3 Tính sẵn sàng Tính sẵn sàng bảo đảm người sử dụng hợp pháp hệ thống có khả truy cập lúc khơng bị ngắt quãng tới thông tin hệ thống tới mạng Tính sẵn sàng có liên quan đến độ tin cậy hệ thống 1.1.2 Mơ hình ba an ninh Một mơ hình quan trọng có liên quan trực tiếp đến trình phát triển triển khai tổ chức mơ hình ba an ninh (security trinity) Ba khía cạnh mơ hình ba an ninh là: - phát (Detection) - ngăn chặn (Prevention) - phản ứng (Response) Chúng kết hợp thành sở an ninh mạng Trần Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 1-2 Mơ hình ba an toàn 1.1.2.1 Sự ngăn chặn Nền tảng ba an ninh ngăn chặn Nó cung cấp mức độ an ninh cần thiết để thực biện pháp ngăn chặn khai thác lỗ hổng Trong phát triển giải pháp an ninh mạng, tổ chức cần phải nhấn mạnh vào biện pháp ngăn chặn vào phát phản ứng dễ dàng, hiệu có giá trị nhiều để ngăn chặn vi phạm an ninh thực phát phản ứng với 1.1.2.2 Sự phát Cần có biện pháp cần thiết để thực phát nguy vi phạm an ninh trường hợp biện pháp ngăn chặn không thành công Một vi phạm phát sớm dễ dàng để làm tác hại khắc phục Như vậy, phát không đánh giá mặt khả năng, mà mặt tốc độ, tức phát phải nhanh 1.1.2.3 Sự phản ứng Phải phát triển kế hoạch để đưa phản ứng phù hợp số lỗ hổng an ninh Kế hoạch phải viết thành văn phải xác định người chịu trách nhiệm cho hành động thay đổi phản ứng mứcđộ cần tăng cường Tính phản ứng hệ thống an Trần Văn Quyết – CT1901M 10 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp - Sau gõ username password truy cập web bình thường: Hình 3-24 Sau đăng nhập 3.3.5 Xây dựng hệ thống Firewall – failover đáp ứng máy mạng LAN truy cập internet 3.3.5.1 Vai trò, chức - Vai trò việc cấu hình pfSense Cluster đảm bảo cho việc cung cấp firewall mức ổn định Phòng trường hợp phát sinh lỗi buộc firewall ngừng hoạt động gây trì trệ hệ thống - Với tính đồng lưu cấu hình cần thiết rule, pfSense Cluster giải pháp tồn vẹn tính đến thời điểm - Việc đồng sử dụng giao thức CARP, liệu đồng gửi qua http(s) Trần Văn Quyết – CT1901M 51 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp 3.3.5.2 Mơ hình Mơ hình thực cấu hình mơ tả giống hình sau: Hình 3-25 Mơ hình hệ thống firewall - failover 3.3.5.3 Thực cấu hình - Bước 1: Thực cấu hình CARP pfSense master Cách thực sau: Chọn menu System > High Avail Sync > điền thông tin tương tự hình sau đây: Trần Văn Quyết – CT1901M 52 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-26 Cấu hình CARP - Bước Tạo Virtual IP WAN Virtual IP LAN Việc thực cần thực pfSense master Vì lúc này, trình đồng bắt đầu xảy Cách thực sau: Chọn Firewall > Virtual Ips > Add để thêm Virtual IP cho WAN Nhập thông tin tương tự sau: Trần Văn Quyết – CT1901M 53 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-27 Tạo Virtual Ips WAN Hình 3-28 Tạo Virtual Ips LAN - Bước 3: Kiểm tra kết Để kiểm tra kết trình thực cấu hình trình đồng Ta thực sau: Chọn menu Status sau chọn CARP (failover) Kết quả: Trên máy chủ pfSense master ta thấy sau: Trần Văn Quyết – CT1901M 54 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-29 Trên máy pfsense master Trên máy chủ pfSense backup : Hình 3-30 Trên máy pfsense backup Khi ta tắt máy chủ pfSense master, CARP status máy chủ pfSense backup trở thành master: Trần Văn Quyết – CT1901M 55 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-31 Màn hình CARP status pfSense backup Khi máy chủ pfSense master bật lại: Hình 3-32 Màn hình CARP status máy chủ Trần Văn Quyết – CT1901M 56 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp 3.3.6 Giải pháp mạng riêng ảo Pfsense 3.3.6.1 VPN Client to site Mơ hình thực Hình 3-33 Mơ hình thực Các bước thực - Bước 1: Tạo người dùng cho phép sử dụng tài khoản để đăng nhập VPN Thực sau: Chọn System > User Manager > chọn Add nhập thơng tin giống hình sau: Trần Văn Quyết – CT1901M 57 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-34 Tạo user đăng nhập VPN - Bước 2: Cài đặt package openvpn-client-export việc thực sau: chọn System > Packet manager > Chọn tab Available Packages > nhập openvpn vào ô tìm kiếm chọn Search > Install Hình 3-35 Cài đặt gói openvpn-client - Bước Tạo server VPN sử dụng pfSense Cách thực sau: Ta chọn menu VPN sau chọn openVPN chuyển sang tab Wizards Kết nhận sau: Hình 3-36 Tạo OpenVPN remote access Chọn CA Certificate cho server openVPN sử dụng trình xác thực: Trần Văn Quyết – CT1901M 58 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-37 Chọn CA Certificate Tiếp tục điền thơng tin hình dưới: Hình 3-38 Điền thông số cho VPN Trần Văn Quyết – CT1901M 59 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp - Bước 4: Từ máy client cài đặt openVPN GUI, ta thực kết nối đến server với tài khoản người dùng openvpn2 để kiểm tra kết : Hình 3-39 Thực ping đến máy mạng Lan pfSense 3.3.6.2 VPN Site to site Mơ hình thực Hình 3-40 Mơ hình VPN site to site Các bước thực hiện: Trần Văn Quyết – CT1901M 60 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp - Bước : Tại pfSense Master, chọn tab VPN > OpenVPN > Server , khai báo thông số sau : Hình 3-41 Tạo kết nối VPN pfSense Master - Bước 2: Tại máy chủ pfSense 3, chọn tab VPN > OpenVPN > Client > điền thông số sau: Trần Văn Quyết – CT1901M 61 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-42 Tạo kết nối Pfsense - Bước 3: Tạo rule cho phép kết nối đầu VPN Hình 3-43 Tạo rule cho OpenVPN - Bước 4: Kiểm tra kết Tại site pfSense Master ta ping đến site pfSense 3: Trần Văn Quyết – CT1901M 62 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Hình 3-44 Kiểm tra kết nối Tại site pfSense 3, ta ping đến site pfSense Master: Hình 3-45 Kiểm tra kết Trần Văn Quyết – CT1901M 63 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp KẾT LUẬN Đồ án “Nghiên cứu triển khải giải pháp đảm bảo an ninh mạng pfSense” đạt kết sau : Về lý thuyết đồ án trình bày hiểu : - Tổng quan an ninh – an tồn thơng tin mạng Các phương thức cơng, biện pháp giải phịng tránh bị công - Nêu lên số giải pháp Firewall - Hệ thông phát chống xâm nhập - Tìm hiểu Mạng riêng ảo VPN, giao thức VPN, ưu điểm nhược điểm VPN Về thực thi, đồ án tiến hành : - Giới hạn truy cập web - Giới hạn tốc độ download/upload cho client - Chứng thực user truy cập web sử dụng Captive Portal - Xây dựng hệ thống backup Firewall - Cấu hình VPN Site – to – site Client – to site pfSense Với thời gian điều kiện thực tế nhiều hạn chế, đề tài dừng lại khả nghiên cứu triển khai chức cần thiết Em mong nhận đóng góp ý kiến thầy để khắc phục hoàn thiện nội dung đồ án tiếp tục nghiên cứu sâu phục vụ cho trình làm việc sau Trần Văn Quyết – CT1901M 64 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp TÀI LIỆU THAM KHẢO [1] Nguyễn Cơng Nhật (2008), Giáo trình an tồn thơng tin [2] Nguyễn Tấn Phương (2010), Tìm hiểu Firewall, Khoa CNTT – Đại học Duy Tân [3] ThS Trần Công Hùng (2002), Kỹ thuật mạng riêng ảo, NXB Bưu Điện [4] https://congnghe.club Trần Văn Quyết – CT1901M 65 ... Văn Quyết – CT1901M Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp CHƯƠNG 1: AN NINH MẠNG MÁY TÍNH 1.1 Các nguyên tắc tảng an ninh mạng An ninh mạng máy tính (network... 17 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp Một số giải pháp khác: - Các sách an ninh - Giải pháp phòng chống mã độc (AntiMalware) - Điều khiển truy nhập mạng. .. phát triển mơ hình an ninh mạng Thông thường, Trần Văn Quyết – CT1901M 13 Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng Pfsense Đồ án tốt nghiệp tổ chức thực kết hợp ba phương án để đảm bảo