0

Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall

71 2 0
  • Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Tài liệu liên quan

Thông tin tài liệu

Ngày đăng: 15/09/2021, 16:51

TRƯỜNG ĐẠI HỌC THÁI BÌNH KHOA CƠNG NGHỆ THƠNG TIN  Tên đề tài: Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống firewall Sinh viên thực hiện: Lê Văn Hoàng Vũ Văn Thành Phạm Ngọc Dũng Lớp: ĐH6-CNTT1 Giáo viên phụ trách: Ths Đào Thị Phương Thúy Thái Bình,5/2021 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành LỜI MỞ ĐẦU Ngày nay, việc trì hệ thống mạng nội hoạt động ổn định, nhanh chóng, an toàn tin cậy vấn đề tổ chức doanh nghiệp đặc biệt quan tâm Trong đó, yếu tố an tồn mạng ln đặt lên hàng đầu Chính cơng việc trọng trách đặt lên vai người làm công nghệ thông tin giới nói chung Việt Nam nói riêng khơng nghiên cứu xây dựng phát triển nhanh chóng mạng máy tính nước để người khai thác tiềm phong phú Internet mà đồng thời phải nghiên cứu thực tốt biện pháp ngăn chặn, phòng chống, phát phục hồi hành vi công phá hoại trái phép mạng, nhằm đảm bảo tối đa phát triển cho tổ chức kinh doanh… Nắm bắt nhu cầu tổ chức doanh nghiệp, số tập đồn cơng nghệ thông tin truyền thông hàng đầu giới đưa nhiều giải pháp bảo mật Firewall (cả phần cứng lẫn phần mềm) để bảo vệ môi trường mạng an toàn Hiện nay, tổ chức doanh nghiệp chọn cho cách bảo vệ hệ thống mạng họ nhiều cách khác sử dụng Router Cisco, dùng tường lửa Microsoft ISA … Tuy nhiên thành phần kể tương đối tốn Vì để tiết kiệm chi phí có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp với hệ thống mạng bên ngồi (Internet) Firewall mã nguồn mở giải pháp tương đối hiệu người dùng Đồ án tốt nghiệp “ tìm hiểu giải pháp an ninh mạng với FireWall ” nhằm mục đích tìm hiểu sâu sắc chế hoạt động Sau áp dụng vào thực tiễn giúp tăng cường an ninh mạng nội cho công ty, doanh nghiệp Giúp liệu cá nhân nhân, công ty ln nằm vùng an tồn Quản lí điều tiết lưu lượng mạng cách hợp lí để tránh lãng phí tài nguyên giảm chi phí an ninh mạng cách tối đa GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành LỜI CẢM ƠN Trong thời gian làm đồ án tốt nghiệp, em nhận nhiều giúp đỡ, đóng góp ý kiến bảo nhiệt tình thầy cơ, gia đình bạn bè Em xin gửi lời cảm ơn chân thành đến cô Đào Thị Phương Thúy, giảng viên khoa Công nghê thơng tin - trường ĐH Thái Bình người tận tình hướng dẫn, bảo em suốt trình làm đồ án Em xin chân thành cảm ơn thầy giáo trường Đại Học Thái Bình hết lòng dạy bảo chúng em năm học Đại Học, giúp chúng em có kiến thức kinh nghiệm quý báu chuyên môn sống, giúp chúng em bước bước hành trang vào đời Cuối cùng, em xin chân thành cảm ơn gia đình bạn bè, ln tạo điều kiện, quan tâm, giúp đỡ, động viên em suốt q trình học tập hồn thành đồ án tốt nghiệp Vì thời gian hạn hẹp, vấn đề cần tìm hiểu q rộng, lượng thơng tin tài liệu cần đọc lớn, kiến thức hạn chế nên chắn đồ án không tránh khỏi thiếu sót, chúng em mong nhận bảo góp ý thắng thắn từ phía hội đồng bạn Thái Bình, tháng năm 2021 Sinh Viên GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Giảng viên (Ký, ghi rõ họ tên) GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN Giảng viên (Ký, ghi rõ họ tên) NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN Giảng viên (Ký, ghi rõ họ tên) GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành MỤC LỤC LỜI MỞ ĐẦU LỜI CẢM ƠN MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ AN NINH MẠNG I.1 AN TỒN THƠNG TIN MẠNG .7 I.1.1 Một số khái niệm .7 I.1.2 Nhu cầu an tồn thơng tin I.2 AN NINH MẠNG I.3 PHÂN LOẠI TẤN CÔNG PHÁ HOẠI THƠNG TIN .8 I.3.1 Tấn cơng vào máy chủ máy trạm độc lập (Standalone workstation or server) I.3.2 Tấn công cách phá mật I.3.3 Virus worm I.3.4 Tấn công đệm (buffer attack) .10 I.3.5 Tấn công từ chối dịch vụ 11 I.3.6 Tấn công định tuyến nguồn (source routing attack) .12 I.3.7 Tấn công giả mạo 13 I.3.8 Tấn công sử dụng e-mail 13 I.3.9 Quét cổng 14 I.3.10 Tấn công không dây 14 I.4 CÁC BIỆN PHÁP PHÁT HIỆN KHI BỊ TẤN CÔNG 15 I.5 CÔNG CỤ AN NINH MẠNG .16 I.5.1 Thực an ninh mạng từ cổng truy nhập dùng tường lửa 16 I.5.2 Mã hóa thơng tin .16 CHƯƠNG II: TỔNG QUAN VỀ FIREWALL 18 II.1 LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL .18 II.2 ĐỊNH NGHĨA FIREWALL 20 II.3 NHIỆM VỤ CHÍNH CỦA FIREWALL 21 II.4 CÁC KIẾN TRÚC FIREWALL CƠ BẢN 22 GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành II.4.1 Packet Filtering – Bộ lọc gói tin 22 II.4.2 Application Gateway – Cổng ứng dụng 24 II.4.3 Circuit Level Gate – Cổng mạch 26 II.4.4 FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL) 27 II.5 KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 28 II.6 PHÂN LOẠI .29 II.6.1 Phân loại theo tầng giao thức 29 II.6.2 Phân loại theo đối tượng sử dụng 31 II.6.3 Phân loại theo công nghệ tường lửa 32 II.7 NHỮNG NHƯỢC ĐIỂM VÀ HẠN CHẾ FIREWALL 36 CHƯƠNG III: CÁC HỆ THỐNG TƯỜNG LỬA HIỆN NAY 37 III.1 Software Firewalls 37 III.2 Appliance Firewalls .38 III.3 Integrated firewalls 39 III.4 So sánh hệ thống tường lửa phổ biến 39 CHƯƠNG IV: THIẾT KẾ XÂY DỰNG MÔ PHỎNG MỘT HỆ THỐNG FIREWALL 41 IV.1 Firewall PFSENSE 41 IV.1.1 Giới thiệu PFSENSE 41 IV.1.2 Một số chức FireWall PFSense 42 IV.1.3 Lợi ích mà pfSense đem tới 44 IV.1.4 Cài đặt PfSense máy ảo 45 IV.2 THỰC NGHIỆM FIREWALL TRÊN PFSENSE 51 IV.2.1 Phát biểu toán 51 IV.2.2 Mơ hình thực nghiệm 51 IV.3 Cấu hình Pfsense 52 IV.3.1.Cấu hình Pfsense .52 IV.3.2 Cấu hình Squid SquidGuard Pfsense 58 III.3.3 Kết thực nhiệm 67 KẾT LUẬN 69 GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chun ngành CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ AN NINH MẠNG I.1 AN TỒN THƠNG TIN MẠNG Ngày với phát triển bùng nổ công nghệ, hầu hết thông tin doanh nghiệp chiến lược kinh doanh, thông tin khách hàng, nhà cung cấp, tài chính, mức lương nhân viên lưu trữ hệ thống máy tính Cùng với phát triển doanh nghiệp đòi hỏi ngày cao môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin cho nhiều đối tượng khác qua Internet hay Intranet Việc mát, rị rỉ thơng tin ảnh hưởng nghiêm trọng đến tài chính, danh tiếng công ty quan hệ khách hàng I.1.1 Một số khái niệm An tồn thơng tin: Bảo mật + tồn vẹn + khả dụng + chứng thực An toàn máy tính: tập hợp cơng cụ thiết kế để bảo vệ liệu chống hacker An toàn mạng: phương tiện bảo vệ liệu truyền chúng An toàn Internet: phương tiện bảo vệ liệu truyền chúng tập mạng liên kết với Mục đích đồ án tập trung vào an toàn Internet gồm phương tiện để bảo vệ, chống, phát hiện, hiệu chỉnh phá hoại an tồn truyền lưu trữ thơng tin I.1.2 Nhu cầu an tồn thơng tin An tồn thơng tin thay đổi nhiều thời gian gần Trước có nhu cầu an tồn thơng tin, đòi hỏi thêm nhiều yêu cầu an ninh máy chủ mạng GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Các phương pháp truyền thống cung cấp chế hành phương tiện vật lý nơi lưu trữ bảo vệ tài liệu quan trọng cung cấp giấy phép quyền sử dụng tài liệu mật Máy tính địi hỏi phương pháp tự động để bảo vệ tệp thông tin lưu trữ Nhu cầu an toàn lớn đa dạng, có mặt khắp nơi, lúc Do khơng thể khơng đề qui trình tự động hỗ trợ bảo đảm an tồn thơng tin Việc sử dụng mạng truyền thơng địi hỏi phải có phương tiện bảo vệ liệu truyền Trong có phương tiện phần mềm phần cứng, đòi hỏi có nghiên cứu đáp ứng toán thực tiễn đặt I.2 AN NINH MẠNG Luật an ninh mạng định nghĩa: An ninh mạng đảm bảo hoạt động không gian mạng không gây hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền lợi ích hợp pháp tổ chức, cá nhân Mục đích an ninh mạng: − Bảo đảm an tồn thơng tin máy chủ − Bảo đảm an tồn cho phía máy trạm − An tồn thơng tin đường truyền I.3 PHÂN LOẠI TẤN CƠNG PHÁ HOẠI THƠNG TIN I.3.1 Tấn cơng vào máy chủ máy trạm độc lập (Standalone workstation or server) Cách đơn giản để công hệ điều hành lợi dụng máy tính trạng thái đăng nhập (logged-on) người người bỏ ngồi bận làm việc khác Máy trạm máy chủ không bảo vệ theo cách mục tiêu dễ để công khơng có người xung quanh Đơi máy chủ mục tiêu cơng, quản trị viên người điều hành GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành máy chủ bỏ lại máy chủ trạng thái đăng nhập với tài khoản có đặc quyền quản trị viên mà sử dụng Thậm chí máy chủ đặt phịng máy khố cẩn thận, máy chủ trở thành mục tiêu công cho vào phịng đó, người lập trình viên, nhà quản lý, thợ điện, nhân viên bảo trì, … I.3.2 Tấn cơng cách phá mật Q trình truy trập vào hệ điều hành bảo vệ tài khoản người dùng mật Những kẻ cơng có nhiều cách khác phức tạp để tìm mật truy nhập Kẻ cơng có trình độ biết ln có tài khoản người dùng quản trị chính, ví dụ tài khoản Administrator hệ điều hành Windows, tài khoản root hệ điều hành Unix Linux, tài khoản Admin NetWare tài khoản đặc quyền Admin hiều hành Mac OS X(MacOS) Những kẻ công cố gắng đăng nhập tài khoản cách cục từ mạng, chương trình Telnet chẳng hạn Telnet giao thức tầng ứng dụng mơ hình TCP/IP cho phép truy nhập cấu hình từ xa từ mạng Internet Nếu kẻ cơng tìm kiếm tài khoản để truy nhập, kẻ phải sử dụng hệ thống tên miền DNS mạng kết nối với Internet để tìm tên tài khoản Sau tìm tên tài khoản người dùng, kẻ công sử dụng phần mềm liên tục thử mật khác (Xavior, Authforce Hypnopaedia) Phần mềm tạo mật cách kết hợp tên, từ từ điển số I.3.3 Virus worm Virus chương trình gắn ổ đĩa tệp có khả nhân tồn hệ thống Một số virus phá hoại tệp ổ đĩa, GVHD: Ths Đào Thị Phương Thúy Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Bước 4: Cấu hình WAN interface Tại bước pfsense cung cấp nhiều phương thức cấu hình mạng WAN khác – static / dhcp / pppoe Hình 3.25: Cấu hình card WAN Bước 5: cấu hình cổng LAN – IP 192.168.208.5 Hình 3.26: Cấu hình Card LAN GVHD: Ths Đào Thị Phương Thúy 56 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Bước 6: Thay đổi mật tài khoản admin Hình 3.27: Đặt lại mật Bước 7: bấm Reload Hình 3.28: Xác nhận cấu hình GVHD: Ths Đào Thị Phương Thúy 57 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Bước cuối: sau Reload xong vào giao diện Dashboard Pfsense Hình 3.29: Kết cấu hình IV.3.2 Cấu hình Squid SquidGuard Pfsense * Đảm bảo Pfsense kết nối tới internet * Cài Squid SquidGuard Pfsense Chọn “System > Package Manager > chọn Tab Available Packages”, gõ “squid” vào ô tìm kiếm > Nhấn “Install” để cài đặt “squid & squidGuard” GVHD: Ths Đào Thị Phương Thúy 58 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Hình 3.30: Cài đặt Squid SquidGuard Cấu hình Squid Proxy Bước1: Cấu hình Local Cache Vào “Services”>Squid Proxy Server>Local Cache Mục Cache Replacement: Heap LFUDA, Hard Disk Cache Size: 2048, Maximum Object Size: 512, Memory Cache size: 512 > Click “Save” để lưu cấu hình Hình 3.31: Cấu hình Squid Proxy GVHD: Ths Đào Thị Phương Thúy 59 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Hình 3.32: Cấu hình Squid Proxy Bước 2: cấu hình tích hợp antivirus Chọn “Services > Squid Proxy >Antivirus Tab” Tích vào “Enable Squid antivirus check using ClamAV”, Tích “Enable Google Safe Browsing support“, “ClamAV Database Update : every hour” => Click “Save” để lưu cấu hình GVHD: Ths Đào Thị Phương Thúy 60 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Hình 3.33: Cấu hình diệt virus Bước 3: Enable Squid Proxy Chọn “Services > Squid Proxy > General Tab” Tích vào “Check to enable the Squid Proxy”, Proxy interface(s): LAN, Tích vào “Allow Users on Interface“, Tích vào “Transparent HTTP Proxy“, Transparent Proxy Interface(s): LAN, Tích “Enable Access Logging“, Log Store Directory: /var/squid/logs -> Click “Save” để lưu cấu hình GVHD: Ths Đào Thị Phương Thúy 61 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Hình 3.34: Cấu hình diệt virus Bước 4: Enable Squid Proxy Chọn “Services > Squid Proxy > General Tab” Tích vào “Check to enable the Squid Proxy”, Proxy interface(s): LAN, Tích vào “Allow Users on Interface“, Tích vào “Transparent HTTP Proxy“, Transparent Proxy Interface(s): LAN, Tích “Enable Access Logging“, Log Store Directory: /var/squid/logs -> Click “Save” để lưu cấu hình GVHD: Ths Đào Thị Phương Thúy 62 Phương án bảo mật hệ thống FireWall Đồ án chun ngành Hình 3.35: Kích hoạt dịch vụ Squid Proxy GVHD: Ths Đào Thị Phương Thúy 63 Phương án bảo mật hệ thống FireWall Đồ án chun ngành Hình 3.36: Kích hoạt qt port 80 Cấu hình SquidGuard Truy cấp Services > SquidGuard Proxy Filter > General Setting bật Enable > Apply GVHD: Ths Đào Thị Phương Thúy 64 Phương án bảo mật hệ thống FireWall Đồ án chun ngành Hình 3.37: Kích hoạt SquidGuard Enable BlackList nhập địa chỉ: http: //www.shallalist.de /Downloads /shallalist.tar.gz vào ô Blacklist URL Đây địa update list web khiêu dâm, bạo lực, nhạc, dowload … Hình 3.38: Nhập địa đường dẫn GVHD: Ths Đào Thị Phương Thúy 65 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Tiếp theo Services => SquidGuard Proxy Filter => Target categories > ADD Tại thêm tên miền muốn chặn Hình 3.39: Thêm web chặn Hình 3.40: Kết thúc GVHD: Ths Đào Thị Phương Thúy 66 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành III.3.3 Kết thực nhiệm ✓ Facebook bị chặn Hình 3.41: Chặn web mạng xã hội ✓ Trang xem phim youtube bị chặn Hình 3.42: Chặn web xem video ✓ Chặn web phim, nghe nhạc online Đối với nhu cầu tìm kiếm, đọc tài liệu để phục vụ cho công việc mở cho nhân viên GVHD: Ths Đào Thị Phương Thúy 67 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành Hình 3.43: Trang web cho phép qua GVHD: Ths Đào Thị Phương Thúy 68 Phương án bảo mật hệ thống FireWall Đồ án chun ngành KẾT LUẬN Khơng có tài liệu lường hết lỗ hổng hệ thống khơng có nhà sản xuất cung cấp đủ cơng cụ cần thiết Cách tốt sử dụng kết hợp giải pháp, sản phẩm nhằm tạo chế bảo mật đa Trong lựa chọn giải pháp an ninh firewall ưu tiên hàng đầu Xem xét lựa chọn sản phẩm firewall hợp lý đưa hoạt động phù hợp với sách cơng ty việc trình bảo mật hệ thống Firewall giải pháp phần cứng phần mềm kết hợp hai Nhiệm vụ firewall ngăn chặn công trực tiếp vào thông tin quan trọng hệ thống, kiểm sốt thơng tin vào hệ thống Việc lựa chọn firewall thích hợp cho hệ thống dễ dàng Các firewall phụ thuộc mơi trường, cấu hình mạng, ứng dụng cụ thể Khi xem xét lựa chọn firewall, cần tập trung tìm hiểu tập chức firewall, tính lọc địa chỉ, gói tin, Một cơng nghệ khơng thể giải pháp hồn hảo cho tồn chiến lược bảo mật tổ chức, sản phẩm firewall dù có tốt đến bộc lộ nhược điểm mình, nhược điểm khắc phục công nghệ khác IPS, IPSec vv Khi xem xét lựa chọn công nghệ bảo mật công nghệ bảo mật phải có nhìn khái qt tranh tổng thể Và mơ hình bảo mật phân lớp sở khoa học để tổ chức vào lựa chọn cơng nghệ bảo mật cho phù hợp với nhu cầu khả tài GVHD: Ths Đào Thị Phương Thúy 69 Phương án bảo mật hệ thống FireWall Đồ án chun ngành Cho dù cơng nghệ có trang bị hồn hảo đến đâu mà khơng ý đến yếu tố người sai lầm lớn Trong kế hoạch để thành cơng người đặt vị trí trung tâm Trong kế hoạch bảo mật thế, người nhân tố có ý nghĩa định tới độ an tồn có ý thức bảo mật cao hiểm họa khơn lường kẻ công từ nội tổ chức Việc ban hành sách cho người cần phải tuân theo tiêu chuẩn quốc tế có sẵn ISO 17799 Trên giới kĩ thuật phát triển theo ngày, biện pháp công ngày mẻ tinh vi Các công nghệ bảo mật trang bị cho tổ chức cần phải cải tiến, cập nhật ngày để kịp thời chống lại phá hoại Ý thức người cần không ngừng nâng cao Bảo mật vấn đề nóng bỏng mà thông tin tài sản quý giá hàng đầu tổ chức doanh nghiệp, chúng em hy vọng thông qua đồ án mang lại cho người đọc hiểu biết chung khái niệm liên quan đến bảo mật thơng tin nhìn chi tiết cơng nghệ firewall, công nghệ sử dụng phổ biến Vì thời gian có hạn kinh nghiệm thực tế nên khn khổ đồ án chúng em giới thiệu phần vấn đề nêu Hy vọng đồ án có bước nghiên cứu sâu cơng nghệ bảo mật nói chung firewall nói riêng nhằm đem điều học vào phục vụ công việc sống GVHD: Ths Đào Thị Phương Thúy 70 ... Vì mà Firewall cần thiết cho việc đảm bảo an toàn hệ thống mạng GVHD: Ths Đào Thị Phương Thúy 20 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành II.3 NHIỆM VỤ CHÍNH CỦA FIREWALL Firewall... bảo vệ cho hệ thống mạng GVHD: Ths Đào Thị Phương Thúy 31 Phương án bảo mật hệ thống FireWall Đồ án chuyên ngành ➢ Personal Firewall (Tường lửa cá nhân) Personal firewall thiết kế để bảo vệ máy... lợi ích bảo mật khác cần thiết Cập nhật tường lửa firewall hệ điều hành bạn điều cần thiết để trì bảo vệ tối ưu, GVHD: Ths Đào Thị Phương Thúy 39 Phương án bảo mật hệ thống FireWall Đồ án chuyên
- Xem thêm -

Xem thêm: Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall , Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall