BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC KINH TẾ - KĨ THUẬT CÔNG NGHIỆP LUẬN VĂN TỐT NGHIỆP TÊN ĐỀ TÀI LUẬN VĂN : XÂY DỰNG HỆ THỐNG MẠNG DOANH NGHIỆP SỬ DỤNG MÃ NGUỒN MỞ Ngành đào tạo : Công nghệ thông tin Mã số ngành : 7480201 Họ tên sinh viên : VŨ ANH NGỌC Người hướng dẫn luận văn tốt nghiệp : THS TRẦN QUỐC HOÀN Hà Nội BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC KINH TẾ - KĨ THUẬT CÔNG NGHIỆP LUẬN VĂN TỐT NGHIỆP TÊN ĐỀ TÀI LUẬN VĂN : XÂY DỰNG HỆ THỐNG MẠNG DOANH NGHIỆP SỬ DỤNG MÃ NGUỒN MỞ Ngành đào tạo : Công nghệ thông tin Mã số ngành : 7480201 Họ tên sinh viên : VŨ ANH NGỌC Người hướng dẫn luận văn tốt nghiệp : THS TRẦN QUỐC HỒN Hà Nội MỤC LỤC DANH MỤC HÌNH ẢNH vii DANH MỤC CÁC TỪ VIẾT TẮT ix LỜI NÓI ĐẦU CHƯƠNG : TỔNG QUAN HỆ THỐNG MẠNG DOANH NGHIỆP 1.1 LÝ DO CHỌN ĐỀ TÀI 1.1.1 Lý khách quan 1.1.2 Lý chủ quan 1.2 MỤC TIÊU ĐỀ TÀI 1.3 GIỚI HẠN ĐỀ TÀI 1.3 MỤC ĐÍCH NGHIÊN CỨU 1.3.1 Mục đích trước mắt 1.3.2 Mục đích cụ thể 1.3.3 Mục đích lâu dài 1.5 THỂ THỨC NGHIÊN CỨU 1.5.1 Dàn ý chi tiết 1.5.2 Đối tượng nghiên cứu 1.5.3 Phương pháp nghiên cứu 1.5.3 Phương tiện nghiên cứu 1.6 HỆ THỐNG MẠNG DOANH NGHIỆP 1.6.1 Kiến trúc mạng Enterprise Cisco 1.6.2 Kiến trúc mạng Campus 1.6.3 Kiến trúc Data Center 1.6.4 Kiến trúc Branch 1.6.7 Kiến trúc Teleworker 1.6.8 Kiến trúc WAN MAN 1.6.9 Mơ hình an ninh-an tồn (Secure models) 1.7 MƠ HÌNH WAN 1.8 MƠ HÌNH MẠNG ĐỂ XUẤT 11 i 1.8.1 Các yêu cầu dịch vụ 11 1.8.2 Sơ đồ mạng logic 12 1.8.3 Sơ đồ mạng thực tế 13 1.8.4 Sơ đồ mạng thực nghiệm 14 CHƯƠNG : HỆ THỐNG TÊN MIỀN DNS 15 2.1 DỊCH VỤ DNS 15 2.1.1 Giới thiệu DNS 15 2.1.2 Cài đặt cấu hình 18 2.2 DỊCH VỤ DHCP 21 2.2.1 Giới thiệu DHCP 21 3.2.2 Cấu hình cài đặt 22 2.3 DỊCH VỤ TELNET 23 2.3.1 Giới thiệu telnet 23 2.3.2 Cấu hình cài đặt 24 2.4.DỊCH VỤ SSH 26 2.4.1 Sơ lược SSH 26 2.4.2 Cài đặt cấu hình 26 2.5 LDAP… 29 2.5.1 Giới thiệu 29 2.5.2 Cài đặt cấu hình 35 2.6 DỊCH VỤ NFS 42 2.6.1 Giới thiệu NFS 42 2.6.2 Cài đặt cấu hình 43 2.7 DỊCH VỤ SAMBA 45 2.7.1 Giới thiệu SAMBA 45 2.7.2 Cài đặt cấu hình SAMBA 46 CHƯƠNG : BẢO MẬT HỆ THỐNG VÀ DỊCH VỤ TRUY CẬP TỪ XA51 3.1 DỊCH VỤ FIREWALL 51 3.1.1 Giới thiệu 51 3.1.2 Cài đặt cấu hình 52 ii 3.2 DỊCH VỤ PROXY 58 3.2.1 Giới thiệu proxy 58 3.2.2 Cài đặt cấu hình 60 3.4 MAIL SERVER 62 3.4.1 Giới Thiệu Về Mail Server: 62 3.4.2 Cài đặt … 64 3.5 WEB SERVER 68 3.5 Giới thiệu … 68 3.5.2 Cài đặt … 70 3.6 FPT SERVER 71 3.6.1 Giới thiệu FTP 71 3.6.2 Cài đặt … 74 3.7 VIRTUAL PRIVATE NETWORK (VPN) 75 3.7.1 Giới thiệu 75 3.7.2 Cài đặt cấu hình 77 3.8 IDS-IPS 82 3.8.1 Giới thiệu 82 3.8.2 Cài đặt cấu hình snort 85 TÀI LIỆU THAM KHẢO 90 iii DANH MỤC HÌNH ẢNH Hình 1.1: Các kiến trúc Enterprise Cisco Hình 1.2 : Kiến trúc mạng Campus Hình 1.3: Kiến trúc Data Center Hình 1.4: Kiến trúc Branch Hình 1.5: Mơ hình phân cấp Hình 1.6: Mơ hình tường lửa phần Hình 1.7: Mơ hình phân cấp để hỗ trợ thiết kế WAN 10 Hình 1.8 : Sơ đồ mạng Logic 12 Hình 1.9 : Mơ hình thực nghiệm 13 Hình 2.1: Nội dung file cấu hình phân giải thuận 20 Hình 2.2: Nội dung file cấu hình phân giải ngược 20 Hình 2.3: DNS phân giải nslookup 21 Hình 2.4: Nội dung file cấu hình dhcp server 22 Hình 2.5 : Hiển thị domain máy Client 23 Hình 2.6 : Giao diện PuTTy 25 Hình 2.7 : Màn hình đăng nhập Telnet bên Client 25 Hình 2.8 : Nội dụng file SSH 27 Hình 2.9: Giao diện phần mềm PuTTY 28 Hình 2.10 : Hình ảnh đăng nhập thành cơng SSH Client 28 Hình 2.11 : Mơ hình client server 29 Hình 2.12 : Cấu trúc ldap 30 Hình 2.13 : Luồng thơng điệp client server 31 Hình 2.14 : Những thông điệp Client gửi cho server 32 Hình 2.15 : Nhiều kết tìm kiếm trả 32 Hình 2.16 : Giao diện web phpldapadmin 42 Hình 2.17 : Hiển thị Port sử dụng NFS 45 Hình 2.18 : Mơ hình samba 46 Hình 3.19 : Hiển thị mục share bên phía Server 50 Hình 3.1 : Luồng kiện qua firewall 51 vii Hình 3.2 : Kết thị thành công cài đạt Iptable Port 22 53 Hình 3.2 : Nội dung file cấu hình iptables 54 Hình 3.23 : Vị trí proxy với client server 58 Hình 3.4 : File cấu hình Squid 60 Hình 3.5 : Cấu hình Proxy cho cơng cụ trình duyệt Mozilla Firefox 61 Hình 3.6 : Màn hình chứng thực thành cơng 61 Hình 3.7 : Thành phần Postfix 64 Hình 3.8 : tạo tài khoản Thunderbird 67 Hình 3.9 : Giao diện làm việc Thunderbird 68 Hình 3.10 : Giao diện trang www.uneti.edu.vn 71 Hình 3.11 : Mơ hình dịch vụ FTP 72 Hình 3.12 : Cài đặt thành cơng Openvpn Server 82 Hình 3.13 : Link trang chủ snort.org 86 Hình 3.14 : Hiển thị cài đặt cấu hình thành cơng Snort 88 viii DANH MỤC CÁC TỪ VIẾT TẮT DNS: Domain Name System DHCP: Dynamic Host Configuration Protocol SSH: Secure Shell LDAP: Lightweight Directory Access Protocol NFS: Network File System UDP: User Datagram Protocol TCP: Transmission Control Protocol SMTP: Simple Mail Transfer Protocol POP: Post Office Protocol IMAP: Internet Message Access Protocol FTP: File Transfer Protocol VPN: Virtual Private Network IDS: Intrusion detection system IPS: Intrusion prevention systems ix LỜI NÓI ĐẦU Với phát triển nhanh chóng cơng nghệ thông tin, giới dường ngày thu nhỏ nhờ mạng Internet Để đáp ứng địi hỏi trình độ cơng nghệ thơng tin ngày cao thị trường, sinh viên ngành công nghệ thông tin nói riêng đối tượng hoạt động lĩnh vực cơng nghệ thơng tin nói chung cần phải nắm kiến thức mạng máy tính xây dựng, triển khai ứng dụng mạng như: Truy nhập CSDL SQL server LAN, truy nhập Web LAN hay chat LAN Điều hiển nhiên làm mạng phải có mạng máy tính để thực hành Thực tế điều kiện thực hành mạng nhiều điều bất cập thời lượng thực hành đa số sở đào tạo chưa đủ; kinh phí hạn hẹp khơng cho phép tự đầu tư nhiều máy tính để nối mạng; thiếu kinh nghiệm sinh viên dẫn đến cố đáng tiếc trình thực hành Nắm bắt tình hình chung này, tơi đề xuất giải pháp cài đặt cấu hình mạng doanh nghiệp sử dụng mã nguồn mở để hỗ trợ giải khó khăn Bố cục luận văn chia thành: Chương 1: Tổng quan hệ thống mạng doanh nghiệp Đưa lý chọn đề tài , mục đích đề tài , giới hạn đề tài, mục đích nghiên cứu , nghiên cứu kiến trúc mạng Enterprise, mơ hình mạng LAN WAN Chương 2: Hệ thống tên miền DNS dịch vụ truy cập từ xa Giới thiệu cách cài đặt cấu hình DNS server dịch vụ truy cập từ xa Telnet, SSH, Chương 3: Bảo mật hệ thống giải pháp cho việc kết nối mạng dùng riêng Internet Giới thiệu cách cài đặt cấu hình tường lửa Iptable dịch vụ sử dụng Internet CHƯƠNG : TỔNG QUAN HỆ THỐNG MẠNG DOANH NGHIỆP 1.1 LÝ DO CHỌN ĐỀ TÀI 1.1.1 Lý khách quan - Hiện nay, công nghệ thông tin đóng vai trị quan trọng khơng thể thiếu trình quản lý, điều hành hoạt động sản xuất kinh doanh doanh nghiệp Do vậy, việc xây dựng hệ thống mạng với đầy đủ dịch vụ cần thiết phục vụ kinh doanh điều cấp thiết - Ngoài yếu tố phần cứng nguồn nhân lực quản trị yếu tố phần mềm đóng vai trị quan trọng xây dựng hệ thống mạng Nói đến phần mềm, vấn đề lớn nước ta quyền, chi phí mua quyền dịch vụ để hoàn tất hệ thống mạng lớn Nên để tiết kiệm khoản lớn chi phí, người ta dần chuyển sang sản phẩm dịch vụ từ mã nguồn mở Ngồi việc chạy ổn định, bị cơng, có cộng đồng phát triển lớn ưu điểm lớn đáng quan tâm mã nguồn mở khơng tốn phí Vì lý trên, nhóm thực đề tài: “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở” 1.1.2 Lý chủ quan - Em thực đề tài nhằm mục đích tìm hiểu thêm kiến thức ngành Mạng máy tính Để từ có thêm kiến thức phục vụ cho q trình học có ích cho cơng việc sau tốt nghiệp trường 1.2 MỤC TIÊU ĐỀ TÀI - Tìm hiểu kiến trúc mạng doanh nghiệp - Đề xuất mơ hình mạng doanh nghiệp - Cài đặt cấu hình dịch vụ theo mơ hình đề xuất 1.3 GIỚI HẠN ĐỀ TÀI - Đề tài “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở” nhóm chúng tơi lựa chọn để thực khóa luận - Để xây dựng mơ hình mạng doanh nghiệp chạy ổn định an tồn, kiểm sốt hầu hết lỗi công mạng internet cần cài đặt cấu hình nhiều dịch vụ tịch hợp với Do thời gian kiến thức kinh nghiệm nhóm chưa có, nên đề tài cài đặt cấu hình dịch vụ hệ thống mạng cần có - Cổng mặc định OpenVPN UDP 1194, dựa cổng gán tổ chức cấp phát số hiệu Internet IANA (Internet Assigned Numbers Authority) - Có thể xây dựng Ethernet (Bridged) IP (Routed) VPN với trợ giúp tương ứng trình điều khiển mạng TAP TUN - Ưu điểm: + OpenVPN sử dụng mô-đun chuẩn, nên đảm bảo cho hệ thống an toàn hoạt động tốt + OpenVPN sử dụng cơng cụ SSL/TLS an tồn, ổn định 3.7.2 Cài đặt cấu hình - Trước tiên ta cần add thêm EPEL repository yum -y install epel-release - Sau ta cài OpenVPN với RSA để tạo cặp khóa SSL dùng để tăng tính bảo mật cho kết nối yum install openvpn easy-rsa - Giờ đến phần cấu hình OpenVPN Trước tiên copy file cấu hình server.conf cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ - Di chuyển tới file cd /usr/share/easy-rsa/3.0.3 Trước xây dựng khóa máy chủ máy khách, cần khởi tạo thư mục PKI (Cơ sở hạ tầng khóa cơng khai) xây dựng khóa CA - Bắt đầu thư mục PKI xây dựng khóa CA câu lệnh : /easyrsa init-pki 77 ./easyrsa build-ca nopass - xây dựng khóa máy chủ chúng tơi xây dựng khóa máy chủ có tên ‘ ‘server1’ Xây dựng khóa máy chủ ‘server1’ lệnh bên + nopass = tùy chọn vơ hiệu hóa mật cho khóa 'server1' - Cần xây dựng khóa cho khách hàng Chúng tơi tạo khóa khách hàng có tên 'client1' Tạo khóa 'client1' lệnh bên 78 - Ký khóa 'server1' chứng CA Ký khoá client1 chứng CA : 79 - Chỉnh sửa file vi /etc/openvpn/server.conf + Dòng 78 : ca /usr/share/easy-rsa/3.0.7/pki/ca.crt + Dòng 79 : cert /usr/share/easy-rsa/3.0.7/pki/issued/server1.crt + Dòng 80 : key /usr/share/easy-rsa/3.0.7/pki/private/server1.key # This file should be kept secret + Dòng 85 : dh /usr/share/easy-rsa/3.0.7/pki/dh.pem + Dòng 200 : sửa thành push "dhcp-option DNS 8.8.8.8" + Dòng 201 : sửa push "dhcp-option DNS 8.8.3.4" + Dòng 274 : uncomment user nobody +Dòng 275 : uncomment group nobody - Đóng lưu file lại - Tạo khóa Diffie-Hellman cần thiết để bảo mật tốt Và chúng tơi tạo khóa DH '2048' dựa tệp cấu hình 'vars' tạo Tạo khóa Diffie-Hellman lệnh bên 80 - Kích hoạt port forwarding + Sửa file : vi /etc/sysctl.conf Thêm vào phần cuối: net.ipv3.ip_forward = - Cho phép tưởng lửa chạy Openvpn - Copy đổi tên file # cp /etc/openvpn/server.conf /etc/openvpn/service.conf - Khởi động dịch vụ OpenVPN cho phép chạy hệ thống # systemctl start openvpn@server # systemctl enable openvpn@server - Kiểm tra 81 # systemctl status openvpn@server Hình 3.12 : Cài đặt thành cơng Openvpn Server 3.8 IDS-IPS 3.8.1 Giới thiệu - IDS Là thiết bị hay software có khả theo dõi gói tin xảy hệ thống mạng để phát hoạt động xâm nhập vào hệ thống dựa vào rules đề - Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống, sau phân tích thơng tin theo cách khác để phát xâm nhập trái phép - Khi hệ thống có khả ngăn chặn xâm nhập mà phát gọi hệ thống phịng chống xâm nhập hay IPS - Sự khác IDS IPS + Các hệ thống IDS thiết kế nhằm phát cảnh báo xâm nhập trái phép Trong hệ thống IPS ngồi khả phát cịn tự động chống lại nguy xâm nhập theo quy định thiết lập nhà quản trị 82 + Tuy nhiên thực tế khác biệt không thật rõ ràng Các hệ thống IDS thiết lập chức ngăn chặn chức tùy chọn, cịn hệ thống IPS lại khơng mang chức phịng chống theo nghĩa + Dựa vào mơ hình, tính chất mạng cụ thể sách an ninh để người ta chọn IDS hay IPS Thông thường, với mạng nhỏ ngưởi ta chọn IPS tích hợp tính chất vừa phát vừa ngăn chặn, với quy mô mạng lớn, chức phát ngăn chặn tách riêng cho máy Ngăn chặn giao cho firewall Sự phân chia trách nhiệm an ninh linh động 3.8.1.1 Phân loại IDS/IPS Người ta dựa vào đặc điểm nguồn liệu thu để phân chia IDS (cũng IPS) thành loại: - Host-based IDS (HIDS): sử dụng liệu kiểm tra từ máy trạm đơn + NIDS thường có thành phần:  Bộ cảm biến- sensor: đặt đoạn mạng  Trạm quản lý: nhận tín hiệu từ cảm biến thông báo cho người quản trị + Ưu điểm  Chi phí thấp: cần cài đặt NIDS vị trí trọng yếu giám sát tồn lưu lượng mạng  Phát công mà HIDS bỏ qua NIDS kiểm tra header tất gói tin khơng bỏ sót dấu hiệu khả nghi  Khó xóa bỏ dấu vết Các file log bị hacker xóa bỏ gây khó khăn cho HIDS, NIDS sử dụng lưu thơng hành nên kẻ đột nhập khơng thể xóa dấu vết  Phát đối phó kịp thởi NIDS phát công nên cảnh báo ngăn chặn nhanh  Có tính độc lập cao: lỗi hệ thống không ảnh hưởng đến sensor mạng + Nhược điểm: 83  Bị hạn chế switch Switch chia hệ thống mạng thành nhiều nhánh khác nhau, gây khó khăn cho NIDS thu thập liệu Do NIDS kiểm tra đoạn mạng nối trực tiếp với  Hạn chế hiệu suất: NIDS gặp khó phải xử lý tất gói tin mạng diện rộng mật độ lưu thơng cao  Tăng thơng lượng mạng: với gói tin sinh lượng lớn tải phân tích  Gặp khó khăn cơng có mã hóa  NIDS gặp khó khăn với gói tin phân mảnh, làm cho NIDS hoạt động sai đổ vỡ - Network-based IDS (NIDS): sử dụng liệu tồn lưu thơng mạng, với liệu lấy từ vài máy trạm để phát xâm nhập + Tìm kiếm xâm nhập từ máy cục Nó thường kiểm tra, tìm kiếm hoạt động bất thường login, truy nhập file khơng thích hợp, leo thang đặc quyền không chấp nhận Ví dụ: đặc quyền người sử dụng cao cấp thực thông qua lệnh su- user, cố gắng liên tục để login vào tài khoản root xem công + Ưu điểm:  Xác định kết công: biết kết cơng hay thất bại cao NIDS Do đó, kết hợp với NIDS bổ sung thông tin công xảy  Giám sát hoạt động hệ thống HIDS giám sát hoạt động mà NIDS không làm đươc truy nhập file, thay đổi quyền,  Phát xâm nhập mà NIDS bỏ qua kẻ xâm nhập sử dụng bàn phím truy nhập  Việc chuyển mạch mã hóa mạng khơng ảnh hưởng đến HIDS  Khơng yêu cầu thêm phần cứng + Nhược điểm:  Khó quản trị: Các HIDS phải cài đặt tất máy muốn bảo vệ  Thông tin nguồn khơng an tồn: HIDS phải tin vào nhật ký mức độ an toàn sererver 84  Hệ thống HIDS tương đối đắt  Chiếm tài nguyên hệ thống 3.8.1.2 Cơ chế hoạt động hệ thống IDS/IPS - Có cách tiếp cận việc phát xâm nhập là: + Phát lạm dụng: hệ thống so sánh hành động với kỹ thuật xâm nhập biết trước điểm dễ bị công hệ thống để phát xâm nhập + Phát bất thường: hệ thống tìm kiếm hành động khác với hành vi thông thường người dùng hệ thống 3.13.1.3 Snort - Snort phần mềm IDS mã nguồn mở, phát triển Martin Roesh Snort xây dựng UNIIX sau phát triển sang tảng khác Snort đánh giá IDS mã nguồn mở đáng ý với tính mạnh Với kiến trúc thiết kế theo module, người dùng tự tăng cường tính cho hệ thống snort việc thêm module Cơ sở liệu luật snort lên đến 2930 luật cập nhật thường xuyên cộng đồng người sử dụng - Khi snort hoạt động thực việc lắng nghe bắt giữ gói tin Các gói tin đưa vào module giải mã gói tin Tiếp theo đưa vào module tiền xử lý nhằm kết hợp gói tin phân mảnh, giải mã chuẩn hóa giao thức dịch vụ, phát xâm nhập bất thường Sau tiền xử lý, gói tin đưa vào module phát hiện, module dựa vào luật định nghĩa sẵn để phát xâm nhập Nếu khơng phát xâm nhập cho gói tin qua, có đưa gói tin vào module log cảnh báo để xử lý Khi cảnh báo xác định, module kết xuất thông tin đưa cảnh báo theo định dạng mong muốn 3.8.2 Cài đặt cấu hình snort 3.8.2.1 Update cài đặt số gói cần thiết # yum update -y # yum install epel-release –y # yum install -y gcc flex bison zlib libpcap pcre libdnet tcpdump # yum install -y epel-release # yum install -y libnghttp2 85 + Kiểm tra libdnet truy cập cách tạo liên kết: # ln -s /usr/lib64/libdnet.so.1.0.1 /lib64/libdnet.1 3.8.2.2 Cài đặt Snort Cài đặt lệnh yum, lên trang chủ snort.org, kéo xuống chọn Centos, copy link để cài đặt: Hình 3.13 : Link trang chủ snort.org 3.8.2.3 Cấu hình Snort chế độ NIDS # ldconfig + Tạo thư mục sau: # mkdir -p /etc/snort/rules # mkdir /var/log/snort # mkdir /usr/local/lib/snort_dynamicrules + Cấp quyền cho thư mục # chmod -R 5775 /etc/snort # chmod -R 5775 /var/log/snort # chmod -R 5775 /usr/local/lib/snort_dynamicrules # chown -R snort:snort /etc/snort # chown -R snort:snort /var/log/snort # chown -R snort:snort /usr/local/lib/snort_dynamicrules + Tạo tệp cho danh sách trắng đen quy tắc cục bộ: # touch /etc/snort/rules/white_list.rules # touch /etc/snort/rules/black_list.rules # touch /etc/snort/rules/local.rules # touch /var/log/snort/snort.log 86 # sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf + Chỉnh sửa file snort.conf để thay đổi vài thơng số: # vi /etc/snort/snort.conf + Tìm chỉnh sửa dịng sau : Tìm dịng sau sửa IP lớp mạng bạn muốn nhận thông tin xâm nhập # Setup the network addresses you are protecting ipvar HOME_NET /32 # Set up the external network addresses Leave as "any" in most situations ipvar EXTERNAL_NET !$HOME_NET # Path to your rules files (this can be a relative path) var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules # Set the absolute path appropriately var WHITE_LIST_PATH /etc/snort/rules var BLACK_LIST_PATH /etc/snort/rules # unified2 # Recommended for most installs output unified2: filename snort.log, limit 128 Kéo xuống bỏ dấu # dòng sau: include $RULE_PATH/local.rules + Sau chỉnh sửa xong lưu lại + Kiểm tra snort xem có lỗi khơng: 87 snort -T -c /etc/snort/snort.conf Kết nhận được: Hình 3.14 : Hiển thị cài đặt cấu hình thành cơng Snort 3.8.2.4 Thử nghiệm Để kiểm tra xem Snort có ghi nhật ký cảnh báo dự định hay không, thêm cảnh báo quy tắc phát tùy chỉnh kết nối ICMP đến vào tệp local.rules: # vi /etc/snort/rules/local.rules Thêm dòng sau: alert icmp any any -> $HOME_NET any (msg:"Phat hien ping"; sid:10000001; rev:001;) Bắt đầu Snort với tùy chọn -A console để in cảnh báo thiết bị Cần chọn giao diện mạng xác với địa IP máy chủ, ví dụ: ens33 snort -A console -i ens33 -u snort -g snort -c /etc/snort/snort.conf 88 3.8.2.3 Cấu hình chặn gói + Mở cấu hình snort inline mode snort.conf: # vim /etc/snort/snort.conf “## Under Step #2:” Thêm dòng sau: config policy_mode:inline + Cấu hình giá trị biến DAQ để chạy AFPacket inline (IPS) mode: “## Configure DAQ variables for AFPacket” config daq: afpacket config daq_mode: inline config daq_dir: /usr/local/lib/daq config daq_var: buffer_size_mb=128 Lưu cấu hình Thêm rule chặn ping kiểm tra: drop icmp any any -> any any (itype:0;msg:" >Da chan Ping !";gid:1000002;sid:1000002;rev:1;) # snort -i ens33:ens37 -A console -c /etc/snort/snort.conf -l /var/log/snort/ -Q 89 KẾT LUẬN - HƯỚNG PHÁT TRIỂN Tổng kết công việc làm - Tìm hiểu kiến trúc mạng doanh nghiệp - Đề xuất mơ hình mạng cho doanh nghiệp - Tìm hiểu, cài đặt cấu hình dịch vụ mạng sơ đồ đề xuất Kết đạt được: - Nắm lý thuyết kiến trúc mạng doanh nghiệp - Cài đặt cấu hình cho dịch vụ DNS, LDAP, DHCP, SAMBA, NFS, Web server, Mail server, FTP server, Firewall, IDS/IPS, SSH, Telnet, Proxy, VPN mơ hình đề xuất Hướng phát triển - Cài đặt thêm số dịch vụ khác như: Syslog, VNC, NTP, Storage server,… - Tìm hiểu sâu thiết lập security cho dịch vụ - Cấu hình chứng thực openldap cho dịch vụ cần thiết apache, mail, vsftp, squid, vpn 90 TÀI LIỆU THAM KHẢO [1] Linux for Beginners - Jason Cannon , 2014 [2] Mastering CentOS Linux Server - Packt Publishing, January 2016 [3] CentOS Bible Wiley & Sons - August 2009 [4] Giáo trình Quản Trị Hệ Thống Linux 1,2 - Công ty ISE [5] Quản Trị Mạng Linux - Trung tâm Khoa Học Tự Nhiên [6] Website Server World site https://www.server-world.info/en/ [7] Tài liệu tham khảo : https://docs.google.com/document/d/1G_94MJ2EAQaIArBKAIM2lr7ZJYQBOTe/edit [8] DNS and BIND, 3trd Edition - Paul Albitz and Cricket Liu, 09/1998 [9] Firewalls and Internet Security: Repelling the Wily Hacker, Steven M Bellovin, 01/2003 [10] Website An Ninh Mạng site anninhmang.edu.vn [11] CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide, Greg Bastien and Christian Degu, 01/2003 [12] Cisco WEB site http://www.cisco.com - Technologies 91 ... HỌC KINH TẾ - KĨ THUẬT CÔNG NGHIỆP LUẬN VĂN TỐT NGHIỆP TÊN ĐỀ TÀI LUẬN VĂN : XÂY DỰNG HỆ THỐNG MẠNG DOANH NGHIỆP SỬ DỤNG MÃ NGUỒN MỞ Ngành đào tạo : Công nghệ thông tin Mã số ngành : 7480201 Họ... xuất giải pháp cài đặt cấu hình mạng doanh nghiệp sử dụng mã nguồn mở để hỗ trợ giải khó khăn Bố cục luận văn chia thành: Chương 1: Tổng quan hệ thống mạng doanh nghiệp Đưa lý chọn đề tài , mục... phát triển lớn ưu điểm lớn đáng quan tâm mã nguồn mở khơng tốn phí Vì lý trên, nhóm thực đề tài: ? ?Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở? ?? 1.1.2 Lý chủ quan - Em thực đề tài nhằm