TRƯỜNG ĐẠI HỌC THÁI BÌNH KHOA CÔNG NGHỆ THÔNG TIN  Tên đề tài: Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall Sinh viên thực hiện: Lê Văn Hoàng Vũ Văn Thành Phạm Ngọc Dũng Lớp: ĐH6-CNTT1 Giáo viên phụ trách: Ths Đào Thị Phương Thúy Thái Bình,5/2021 Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành LỜI MỞ ĐẦU Ngày nay, việc duy trì hệ thống mạng nội bộ hoạt động ổn định, nhanh chóng, an toàn và tin cậy đang là vấn đề được các tổ chức và doanh nghiệp đặc biệt quan tâm Trong đó, yếu tố an toàn mạng luôn được đặt lên hàng đầu Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh… Nắm bắt được nhu cầu của các tổ chức và doanh nghiệp, một số tập đoàn công nghệ thông tin và truyền thông hàng đầu trên thế giới đã đưa ra nhiều giải pháp bảo mật cũng như các Firewall (cả phần cứng lẫn phần mềm) để bảo vệ môi trường mạng được trong sạch và an toàn Hiện nay, các tổ chức và doanh nghiệp chọn cho mình cách bảo vệ hệ thống mạng của họ bằng nhiều cách khác nhau như sử dụng Router Cisco, dùng tường lửa Microsoft như ISA … Tuy nhiên những thành phần kể trên tương đối tốn kém Vì vậy để tiết kiệm chi phí và có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp với hệ thống mạng bên ngoài (Internet) thì Firewall mã nguồn mở là một giải pháp tương đối hiệu quả đối với người dùng Đồ án tốt nghiệp đã “ tìm hiểu giải pháp an ninh mạng với FireWall ” nhằm mục đích tìm hiểu sâu sắc về cơ chế hoạt động của nó Sau đó áp dụng vào thực tiễn giúp tăng cường an ninh mạng nội bộ cho các công ty, doanh nghiệp Giúp dữ liệu cá nhân của các nhân, công ty luôn nằm trong vùng an toàn Quản lí điều tiết lưu lượng mạng một cách hợp lí để tránh lãng phí tài nguyên và giảm chi phí về an ninh mạng một cách tối đa GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành LỜI CẢM ƠN Trong thời gian làm đồ án tốt nghiệp, em đã nhận được nhiều sự giúp đỡ, đóng góp ý kiến và chỉ bảo nhiệt tình của thầy cô, gia đình và bạn bè Em xin gửi lời cảm ơn chân thành đến cô Đào Thị Phương Thúy, giảng viên khoa Công nghê thông tin - trường ĐH Thái Bình người đã tận tình hướng dẫn, chỉ bảo em trong suốt quá trình làm đồ án Em cũng xin chân thành cảm ơn các thầy cô giáo trong trường Đại Học Thái Bình đã hết lòng dạy bảo chúng em trong những năm học Đại Học, giúp chúng em có những kiến thức và kinh nghiệm quý báu trong chuyên môn và cuộc sống, giúp chúng em bước những bước đi đầu tiên trong hành trang vào đời Cuối cùng, em xin chân thành cảm ơn gia đình và bạn bè, đã luôn tạo điều kiện, quan tâm, giúp đỡ, động viên em trong suốt quá trình học tập và hoàn thành đồ án tốt nghiệp Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những thiếu sót, chúng em rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía hội đồng và các bạn Thái Bình, tháng 5 năm 2021 Sinh Viên GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Giảng viên (Ký, ghi rõ họ tên) GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN 1 Giảng viên (Ký, ghi rõ họ tên) NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN 2 Giảng viên (Ký, ghi rõ họ tên) GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành MỤC LỤC LỜI MỞ ĐẦU 1 LỜI CẢM ƠN 2 MỤC LỤC 5 CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ AN NINH MẠNG 7 I.1 AN TOÀN THÔNG TIN MẠNG 7 I.1.1 Một số khái niệm 7 I.1.2 Nhu cầu an toàn thông tin 7 I.2 AN NINH MẠNG 8 I.3 PHÂN LOẠI TẤN CÔNG PHÁ HOẠI THÔNG TIN 8 I.3.1 Tấn công vào máy chủ hoặc máy trạm độc lập (Standalone workstation or server) 8 I.3.2 Tấn công bằng cách phá mật khẩu 9 I.3.3 Virus và worm 9 I.3.4 Tấn công bộ đệm (buffer attack) 10 I.3.5 Tấn công từ chối dịch vụ 11 I.3.6 Tấn công định tuyến nguồn (source routing attack) 12 I.3.7 Tấn công giả mạo 13 I.3.8 Tấn công sử dụng e-mail 13 I.3.9 Quét cổng 14 I.3.10 Tấn công không dây 14 I.4 CÁC BIỆN PHÁP PHÁT HIỆN KHI BỊ TẤN CÔNG 15 I.5 CÔNG CỤ AN NINH MẠNG 16 I.5.1 Thực hiện an ninh mạng từ cổng truy nhập dùng tường lửa .16 I.5.2 Mã hóa thông tin 16 CHƯƠNG II: TỔNG QUAN VỀ FIREWALL 18 II.1 LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL 18 II.2 ĐỊNH NGHĨA FIREWALL 20 II.3 NHIỆM VỤ CHÍNH CỦA FIREWALL 21 II.4 CÁC KIẾN TRÚC FIREWALL CƠ BẢN 22 GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành II.4.1 Packet Filtering – Bộ lọc gói tin 22 II.4.2 Application Gateway – Cổng ứng dụng 24 II.4.3 Circuit Level Gate – Cổng mạch 26 II.4.4 FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL) 27 II.5 KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 28 II.6 PHÂN LOẠI 29 II.6.1 Phân loại theo tầng giao thức 29 II.6.2 Phân loại theo đối tượng sử dụng 31 II.6.3 Phân loại theo công nghệ tường lửa 32 II.7 NHỮNG NHƯỢC ĐIỂM VÀ HẠN CHẾ FIREWALL 36 CHƯƠNG III: CÁC HỆ THỐNG TƯỜNG LỬA HIỆN NAY .37 III.1 Software Firewalls 37 III.2 Appliance Firewalls 38 III.3 Integrated firewalls 39 III.4 So sánh các hệ thống tường lửa phổ biến 39 CHƯƠNG IV: THIẾT KẾ XÂY DỰNG MÔ PHỎNG MỘT HỆ THỐNG FIREWALL 41 IV.1 Firewall PFSENSE 41 IV.1.1 Giới thiệu PFSENSE 41 IV.1.2 Một số chức năng chính của FireWall PFSense 42 IV.1.3 Lợi ích mà pfSense đem tới 44 IV.1.4 Cài đặt PfSense trên máy ảo 45 IV.2 THỰC NGHIỆM FIREWALL TRÊN PFSENSE 51 IV.2.1 Phát biểu bài toán 51 IV.2.2 Mô hình thực nghiệm 51 IV.3 Cấu hình Pfsense 52 IV.3.1.Cấu hình cơ bản Pfsense 52 IV.3.2 Cấu hình Squid và SquidGuard trên Pfsense 58 III.3.3 Kết quả thực nhiệm 67 KẾT LUẬN 69 GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ AN NINH MẠNG I.1 AN TOÀN THÔNG TIN MẠNG Ngày nay với sự phát triển bùng nổ của công nghệ, hầu hết các thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp, tài chính, mức lương nhân viên đều được lưu trữ trên hệ thống máy tính Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ khách hàng I.1.1 Một số khái niệm An toàn thông tin: Bảo mật + toàn vẹn + khả dụng + chứng thực An toàn máy tính: tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hacker An toàn mạng: các phương tiện bảo vệ dữ liệu khi truyền chúng An toàn Internet: các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập các mạng liên kết với nhau Mục đích của đồ án là tập trung vào an toàn Internet gồm các phương tiện để bảo vệ, chống, phát hiện, và hiệu chỉnh các phá hoại an toàn khi truyền và lưu trữ thông tin I.1.2 Nhu cầu an toàn thông tin An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây Trước kia hầu như chỉ có nhu cầu an toàn thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng các tài liệu mật đó Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thông tin lưu trữ Nhu cầu an toàn rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn thông tin Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ liệu khi truyền Trong đó có cả các phương tiện phần mềm và phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra I.2 AN NINH MẠNG Luật an ninh mạng định nghĩa: An ninh mạng là sự đảm bảo hoạt động trên không gian mạng không gây hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân Mục đích chính an ninh mạng: − Bảo đảm an toàn thông tin tại máy chủ − Bảo đảm an toàn cho phía máy trạm − An toàn thông tin trên đường truyền I.3 PHÂN LOẠI TẤN CÔNG PHÁ HOẠI THÔNG TIN I.3.1 Tấn công vào máy chủ hoặc máy trạm độc lập (Standalone workstation or server) Cách đơn giản nhất để tấn công một hệ điều hành là lợi dụng một máy tính đang ở trạng thái đăng nhập (logged-on) của một người nào đó khi người đó bỏ ra ngoài hoặc bận làm việc khác Máy trạm hoặc máy chủ không được bảo vệ theo cách này là mục tiêu dễ nhất để tấn công khi không có người xung quanh Đôi khi các máy chủ cũng là các mục tiêu tấn công, vì quản trị viên hoặc người điều hành GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành máy chủ cũng có thể đi ra ngoài bỏ lại máy chủ trong trạng thái đăng nhập với một tài khoản có đặc quyền của quản trị viên mà bất cứ ai cũng có thể sử dụng Thậm chí cả những máy chủ đặt trong các phòng máy được khoá cẩn thận, thì máy chủ này cũng trở thành một mục tiêu tấn công cho bất cứ ai vào được phòng đó, những người này có thể là những lập trình viên, những nhà quản lý, thợ điện, nhân viên bảo trì, … I.3.2 Tấn công bằng cách phá mật khẩu Quá trình truy trập vào một hệ điều hành có thể được bảo vệ bằng một tài khoản người dùng và mật khẩu Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy nhập Kẻ tấn công có trình độ đều biết rằng luôn có những tài khoản người dùng quản trị chính, ví dụ như tài khoản Administrator trong các hệ điều hành Windows, tài khoản root trong các hệ điều hành Unix và Linux, tài khoản Admin trong NetWare và các tài khoản đặc quyền Admin trong hiều hành Mac OS X(MacOS) Những kẻ tấn công sẽ cố gắng đăng nhập bằng các tài khoản này một cách cục bộ hoặc từ trên mạng, bằng chương trình Telnet chẳng hạn Telnet là một giao thức trong tầng ứng dụng của mô hình TCP/IP cho phép truy nhập và cấu hình từ xa từ trên mạng hoặc trên Internet Nếu một kẻ tấn công tìm kiếm một tài khoản để truy nhập, thì kẻ đó phải sử dụng hệ thống tên miền DNS trong một mạng kết nối với Internet để tìm những ra được những tên tài khoản có thể Sau khi tìm ra được tên tài khoản người dùng, kẻ tấn công này sẽ sử dụng một phần mềm liên tục thử các mật khẩu khác nhau có thể như (Xavior, Authforce và Hypnopaedia) Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển và các số I.3.3 Virus và worm Virus là một chương trình gắn trong các ổ đĩa hoặc các tệp và có khả năng nhân bản trên toàn hệ thống Một số virus có thể phá hoại các tệp hoặc ổ đĩa, còn GVHD: Ths Đào Thị Phương Thúy ... mạng GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Các phương pháp truyền thống cung cấp chế hành phương tiện vật lý nơi lưu trữ bảo vệ tài liệu quan trọng... CƠNG Khơng có hệ thống đảm bảo an tồn tuyệt đối, dịch vụ có lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống nghiên cứu, xác định lỗ hổng bảo mật mà phải thực biện pháp kiểm tra hệ thống có dấu... III.3 Integrated firewalls 39 III.4 So sánh hệ thống tường lửa phổ biến 39 CHƯƠNG IV: THIẾT KẾ XÂY DỰNG MÔ PHỎNG MỘT HỆ THỐNG FIREWALL 41 IV.1 Firewall PFSENSE