HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG &*& LÊ NGỌC AN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MÁY CHỦ ẢO TRONG HỆ THỐNG ẢO HÓA VÀ ỨNG DỤNG TẠI VIỆN KHOA HỌC CÔNG NGHỆ SÁNG TẠO VIỆT NAM CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ : 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2021 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TS TRẦN QUANG ANH Phản biện 1: PGS TS Hoàng Hữu Hạnh Phản biện 2: PGS TS Nguyễn Linh Giang Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: 14 ngày 28 tháng năm 2021 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn đề tài Trong thời kỳ cách mạng công nghiệp 4.0, công nghệ Ảo hóa phát triển vũ bão lên tính tiết kiệm, động, tiện lợi Cơng nghệ Ảo hóa tạo để giao tiếp trung gian hệ thống máy chủ vật lý phần mềm chạy nó, cho phép máy vật lý tạo thành nhiều máy ảo logic độc lập Một máy chủ ảo tương ứng hệ thống có hệ điều hành chạy riêng ứng dụng chạy độc lập Giải pháp sử dụng công nghệ Ảo hóa giải vấn đề chi phí hiệu suất hoạt động máy chủ việc giảm chi phí hạ tầng phần cứng vận hành, sử dụng tối ưu nguồn tài nguyên Thông qua hạ tầng Ảo hóa triển khai máy chủ nhanh hơn, dễ dàng, đơn giản hóa việc quản lý hạ tầng cách quản lý tập trung tự động hóa chu trình làm việc Tiện lợi thách thức an ninh mạng bảo mật tăng lên với hàng loạt vụ công nhằm vào mạng nội có kết nối Internet quan nhà nước doanh nghiệp Khi liệu quan trọng bị đánh cắp dẫn đến tổn thất vơ nghiêm trọng, gây nguy hại đến doanh nghiệp, tập đồn, nhà nước… Các vụ cơng nhằm vào máy tính có mặt mơi trường mạng Internet, hạ tầng Ảo hóa, dịch vụ hoạt động, lớn Google, Apple, IBM, nhiều trường học, quan nhà nước, ngân hàng, … Rất nhiều vụ công với quy mơ khổng lồ có tới hàng chục nghìn, trăm nghìn máy tính bị cơng Hơn số phần nổi, nhiều cơng khơng cơng bố thơng báo nhiều lý do, lo uy tín nhiều tính quản trị viên hệ thống không hay biết vụ công nhằm vào hệ thống họ Những vụ công tăng lên nhanh chóng, cộng với độ chuyên nghiệp Hacker tăng lên Ở Việt Nam năm hệ thống mạng Website bị công theo chiều hướng gia tăng: 2016 hãng hàng không Vietnam Airlines bị công, Hacker lấy cắp 400.000 liệu khách hàng Theo thống kê Trung tâm Ứng cứu cố máy tính Việt Nam (VNCERT) có 9.300 vụ công mạng nhắm vào Website Việt Nam năm 2018 So với năm 2017 với 9.964 cố cơng cơng mạng có xu hướng giảm giảm khơng đáng kể Theo báo cáo an ninh website thực CyStack, có 560.000 vụ cơng vào website toàn cầu năm 2019 Việt Nam xếp thứ 11 toàn cầu với 9.300 website bị xâm phạm Trong tháng 5/2020, Trung tâm Giám sát an tồn khơng gian mạng quốc gia thuộc Bộ TT&TT ghi nhận 439 công mạng vào hệ thống thông tin Việt Nam Từ nhu cầu phát triển cơng nghệ Ảo hóa cho hạ tầng mạng, máy chủ dịch vụ, đòi hỏi hệ thống kết nối vào mạng Internet phải đảm bảo an toàn thơng tin q trình kết nối Bởi vậy, học viên lựa chọn đề tài: "Nghiên cứu giải pháp bảo mật máy chủ ảo hệ thống ảo hóa ứng dụng Viện Khoa học cơng nghệ sáng tạo Việt Nam" cho luận văn tốt nghiệp trình độ đào tạo thạc sĩ Tổng quan nội dung nghiên cứu Cơng nghệ Ảo hóa (Virtualization): đời vào 1960s máy tính Mainframe, thiết bị phần cứng, máy chủ, hạ tầng mạng, hệ thống lưu trữ… Nhưng để xét phát triển vượt bậc bùng nổ từ năm 2000 với tham gia hãng VMWare, CITRIX, Microsft… Tới năm 2010 OpenStack (nguồn mở) đời đóng góp vào sơi động của cộng đồng cơng nghệ Ảo hóa Thuật ngữ Ảo hóa (Virtualization) đề cập đến hành động tạo phiên “Ảo” (chứ thực tế) phần mềm, phần cứng hay đó, bao gồm tập tài ngun mạng máy tính… khơng bị hạn chế Các thành phần thông thường hệ thống Ảo hóa: Tài nguyên vật lý (máy chủ vật lý, CPU, RAM, ổ đĩa cứng, card mạng…) Nhiệm vụ chia tài nguyên cấp cho máy ảo Tiếp theo phần mềm Ảo hóa (Hypervisor) cung cấp truy cập cho máy chủ ảo đến tài nguyên máy chủ vật lý, lập kế hoạch phân chia tài nguyên vật lý cho máy chủ ảo, cung cấp giao diện quản lý cho máy chủ ảo Kế tiếp hệ điều hành khách (Guest Operating System) cài đặt máy chủ ảo, thao tác hệ điều hành thông thường Cuối máy ảo (Virtual Machine) hoạt động máy chủ vật lý thông thường với tài nguyên riêng, giao diện riêng, hệ điều hành riêng, phục vụ nhu cầu độc lập dịch vụ như: Website, Email, File, DNS, DHCP… Trong phần mềm Ảo hóa (Hypervisor) cung cấp cơng nghệ Ảo hóa hạ tầng mạng (Virtual Networks), cho phép kết nối Switch vật lý, hạ tầng vật lý từ bên vào bên Switch ảo Các máy chủ ảo hoạt có dịch vụ chạy (Web, Mail, File…) hoạt động độc lập máy chủ vật lý Trên Switch ảo tách VLAN (Virtual Local Area Network), đặt hệ thống tường lửa mềm, đặt hệ thống phát xâm nhập, hệ thống chống công (IDS/IPS) giúp chống lại công từ bên vào hệ thống dịch vụ bên Đặc biệt xẩy cơng, chuyển hệ thống máy chủ ảo sang vùng nhanh chóng mà khơng cần phải rút dây, ngắt tồn hệ thống Ngồi đặt hệ thống máy chủ theo dõi, giám sát, truy vết thuận tiện hạ tầng Ảo hóa Khi xây dựng hệ thống tường lửa dùng để bảo vệ hệ thống máy chủ ảo có nhiều giải pháp sử dụng tường lửa cứng ASA Cisco, RSX Juniper, Checkpoint, Fortigate Microsoft TMG… chi phí đắt tiền phải mua phần cứng Các hãng hỗ trợ hệ điều hành chạy máy chủ ảo, cần cài lên, gán key quyền chạy bình thường, khơng phải mua thiết bị vật lý, tiết kiệm nhiều chi phí Những thuận lợi tiện ích cơng nghệ Ảo hóa khơng phải khơng có khó khăn Việc khó khăn lớn tiếp cận cơng nghệ, làm chủ cơng nghệ, đặc biệt khó khăn tối ưu bảo mật cho máy chủ tảng Ảo hóa Người quản trị viên phải hiểu từ hạ tầng vật lý, tảng cơng nghệ Ảo hóa, dịch vụ triển khai, chế sách bảo mật, sách người Và vấn đề tiếp tục nghiên cứu mặt lý thuyết lẫn triển khai ứng dụng Mục tiêu nghiên cứu Mục tiêu nghiên cứu luận văn khảo sát yêu cầu giải pháp bảo mật máy chủ ảo hệ thống Ảo hóa đồng thời đề xuất giải pháp bảo mật máy chủ ảo hệ thống Ảo hóa Viện Khoa học cơng nghệ sáng tạo Việt Nam có khả triển khai áp dụng thực tế Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu luận văn Ảo hóa vấn đề liên quan đến bảo mật máy chủ ảo hệ thống Ảo hóa Phạm vi nghiên cứu luận văn giải pháp bảo mật máy chủ ảo hệ thống Ảo hóa ứng dụng cho hệ thống máy chủ Ảo hóa Viện Khoa học công nghệ sáng tạo Việt Nam Phương pháp nghiên cứu - Về lý thuyết: Thu thập thơng tin từ tài liệu, khảo sát, phân tích thực tế thơng tin có liên quan đến bảo mật máy chủ ảo hệ thống Ảo hóa - Về thực nghiệm: Khảo sát thực tế Viện Khoa học công nghệ sáng tạo Việt Nam đề xuất giải pháp bảo mật máy chủ ảo hệ thống Ảo hóa Viện Khoa học cơng nghệ sáng tạo Việt Nam phù hợp Bố cục luận văn Luận văn trình bày chương: Chương luận văn nghiên cứu, khảo sát tổng quan cơng nghệ Ảo hóa các u cầu bảo mật máy chủ ảo chạy tảng Ảo hóa Chương luận văn tập trung nghiên cứu giải pháp bảo mật máy chủ ảo chạy tảng Ảo hóa Chương luận văn khảo sát hệ thống Ảo hóa Viện Khoa học công nghệ sáng tạo Việt Nam (đã có hay chưa có) đề xuất ứng dụng, xây dựng đưa giải pháp nghiên cứu chương cho hệ thống máy chủ ảo Viện Khoa học công nghệ sáng tạo Việt Nam Chương TỔNG QUAN CƠNG NGHỆ ẢO HĨA VÀ YÊU CẦU BẢO MẬT MÁY CHỦ ẢO Chương luận văn nghiên cứu, khảo sát tổng quan cơng nghệ Ảo hóa các u cầu bảo mật máy chủ ảo chạy tảng Ảo hóa Nội dung trình bày chương bao gồm sau: 1.1 Tổng quan công nghệ Ảo hóa vấn đề liên quan 1.1.1 Giới thiệu tổng quang cơng nghệ ảo hóa 1.1.1.1 Giới thiệu chung Trong lĩnh vực điện toán, thuật ngữ “Virtualization” đề cập đến hành động tạo phiên “Ảo” phần mềm, phần cứng hay đó, bao gồm tập tài nguyên mạng máy tính… khơng bị hạn chế Hình 1.1: Giới thiệu mơ hình hệ thống ảo hóa phổ biến Tại cần ảo hóa: Giảm thiểu chi phí bảo dưỡng, tương thích với nhiều ứng dụng, hệ điều hành đồng thời, tập trung cho kiểm soát quản trị, dễ dàng lưu khôi phục, khai thác nhiều công suất hoạt động phần cứng, chuyển đổi máy ảo kể hoạt động, nâng cao độ sẵn sàng cho hệ thống bước đệm để thực “Điện toán đám mây” 1.1.1.2 Giới thiệu số dạng ảo hóa máy chủ - Full Virtualization: tiếng việt gọi Ảo hóa tồn phần, cơng nghệ ảo hóa tạo máy chủ thật với đầy đủ tất tính bao gồm input/output, operations, interrupts, memory access … Hình 1.2: Cấu trúc liên kết tầng ảo hóa tồn phần - Para – Virtualization: tiếng việt gọi ảo hóa phần, kỹ thuật điều khiển Hypervisor, máy chủ ảo làm việc tương tác trực tiếp xuống hạ tầng phần cứng mà tương qua qua môi trường Hypervisor, qua tạo tốc độ xử lý nhanh Nhưng nhược điểm máy chủ ảo khó cài đặt cấu hình Hình 1.3: Cấu trúc liên kết tầng ảo hóa phần - OS level Virtualization: Tiếng việt gọi Ảo hóa hệ điều hành, phương pháp ảo hóa cho phép nhân hệ điều hành hỗ trợ nhiều instances cách ly dựa hệ điều hành có sẵn cho nhiều người dung khác Việc bảo trì nhanh nên người hay dùng, lĩnh vực Hosting 1.1.1.3 Mơi trường ảo hóa Mơi trường ảo hóa tảng Window: cơng nghệ ảo hóa hệ Microsoft tạo có tên Hyper – V, phục vụ khai thác phần cứng máy chủ 64 bit hệ mới, linh hoạt, mạnh mẽ triển khai nhiều cấp độ khác Các máy ảo Hyper-V tạo thuận tiện điều chỉnh cấu hình, mở rộng dung lượng lớn, tùy chỉnh CPU đa nhân Môi trường Hypervisor hỗ trợ thân thiện giao diện đồ họa giúp quản trị viên tùy chỉnh cấu hình thuận tiện tính khác Các máy ảo tương tác với phần cứng qua môi trường Hypervisor áp dụng theo Full Virtualization Mơi trường ảo hóa Linux: Kernel – based Virtual Machine (KVM) trình quản lý ảo hóa phần cứng xây dựng nhân Linux KVM giải pháp ảo hóa toàn phần dành cho phần cứng tảng 32 bit 64 bit VT –X hay AMD Mơi trường ảo hóa tảng VMware vSphere: VMWare tạo phiên cho môi trường Server môi trường Client Trong phần xét tới môi trường Server gọi VMware vSphere Khi triển khai hệ thống tạo mơi trường Hypervisor để quản lý phân chia tài nguyên cho máy ảo Mơi trường ảo hóa tảng OpenStack: OpenStack phần mềm mã nguồn mở, dùng để triển khai điện tốn đám mây, bao gồm đám mây cơng cộng đám mây riêng OpenStack thiết kế theo lối module, phần đảm nhận công việc khác hệ thống quản lý ảo hóa OpenStack khơng phải dự án đơn lẻ mà nhóm dự án nguồn mở tập hợp nhiều công nghệ ảo hóa, hỗ trợ cho việc xây dựng hạ tầng đám mây cơng cộng đám mây riêng hồn chỉnh OpenStack bao gồm số thành phần chính: Dashboard, Compute, Object storage, Image storage, Block storage, Network, Identity Mỗi thành phần có nhiều plugin bên thực tác vụ chuyên biệt, tất thành phần có plugin cung cấp API để giao tiếp với giao tiếp với người dùng 1.1.2 Các mối đe dọa phương thức cơng hệ thống ảo hóa 1.1.2.1 Những mối đe dọa tới an tồn thơng tin Giới thiệu kiểu đe dọa khơng có cấu trúc: thường hành vi xâm nhập hệ thống ảo hóa trái phép cách đơn lẻ, khơng có tổ chức Trên Internet có nhiều cơng cụ hack nhiều script có sẵn Chỉ cần muốn tìm hiểu tải chúng sử dụng thử để nghiên cứu mạng nội cơng ty Giới thiệu kiểu đe dọa có cấu trúc: cách thức công xâm nhập hệ thống mạng trái phép hệ thống máy chủ ảo, có động kỹ thuật cao Hacker công theo kiểu hoạt động độc lập theo nhóm Những kẻ cơng thường có kỹ phát triển ứng dụng sử dụng kỹ thuật phức tạp nhằm xâm nhập vào mục tiêu có chủ đích Những động hình thức cơng có nhiều mục đích Chẳng hạn tiền hoạt động trị tức giận hay báo thù Những mối đe dọa từ bên ngoài: cơng tạo Hacker khơng có quyền kiểm sốt hệ thống Người dùng bị cơng tồn giới thơng qua mạng Internet Những mối đe dọa từ bên thường mối đe dọa nguy hiểm, chủ doan nghiệp sở hữu mạng LAN hệ thống ảo hóa thường phải bỏ nhiều tiền thời gian để bảo vệ hệ thống Những mối đe dọa từ bên hệ thống: kiểu công thực từ cá nhân tổ chức có số quyền truy cập vào hệ thống mạng nội cơng ty, hệ thống ảo hóa Những cách công thường từ bên trong, thực từ vị trí tin cậy mạng nội bộ, khó phịng chống đơi nhân viên truy cập mạng công 1.1.2.2 Những cách thức cơng hệ thống ảo hóa Cách thức lấy cắp thông tin kiểu công Packet Sniffers Chương trình ứng dụng tạo dùng để bắt giữ các gói tin lưu chuyển hệ thống mạng, hệ thống mạng ảo hóa miền mạng riêng Kiểu Sniffer thường dùng phân tích lưu lượng (traffic) Nếu số ứng dụng khơng mã hóa mà gửi liệu dạng clear text (telnet, POP3, FTP, SMTP, ) phần mềm sniffer cơng cụ giúp cho hacker bắt thông tin nhạy cảm username, password, từ đăng nhập vào hệ thống máy chủ ảo Cách thức lấy cắp mật Password attack Hacker thường công lấy cắp mật phương pháp như: kiểu brute-force attack, hay chương trình Trojan Horse, IP spoofing, packet sniffer Đối với kiểu dùng packet sniffer IP spoofing lấy tài khoản mật (user account password), Hacker lại thường sử dụng kiểu brute-force để lấy tài khoản mật Phương pháp công thông qua Mail Relay Nếu máy chủ ảo chạy dịch vụ Email không cấu hình theo chuẩn tài khoản mật người dùng sử dụng mail bị lộ Các Hacker thường lợi dụng máy chủ ảo chạy dịch vụ Email để gửi nhiều mail lúc gây ngập băng thông mạng, phá hoại hệ thống email khác Cách thức công Virus phần mềm Trojan Horse Những nguy hiểm máy chủ ảo, máy workstation người dùng đầu cuối công virus Trojan (thường gọi Trojan horse) Phần mềm Virus thường có hại, chúng đính kèm vào chương trình thực thi để thực cách thức phá hại Cịn phần mềm Trojan horse hoạt động theo kiểu gián điệp, nghe lấy cắp thông tin 1.2 Ứng dụng công nghệ Ảo hóa 1.2.1 Chạy phần mềm dịch vụ cũ Khi máy chủ doanh nghiệp nâng cấp lên hệ điều hành lại có thêm chương trình, phần mềm khơng tương thích với hệ điều hành mà chạy hệ điều hành cũ Việc tạo máy chủ ảo với hệ điều hành cũ để chương trình, phần mềm hoạt động giải pháp tối ưu 1.2.2 Kiểm tra liệu nghi nhiễm virus Máy chủ trung tâm xử lý liệu, thơng tin tồn doanh nghiệp Nếu máy chủ bị nhiễm virut tồn liệu, thông tin doanh nghiệp bị ảnh hưởng Một mơi trường ảo giúp kiểm tra liệu hồn tồn tách biệt với môi trường hoạt động máy chủ giải pháp cần thiết dịch vụ thuê vps đánh giá cao hệ thống chuyên gia kỹ thuật giám sát, áp dụng biện pháp bảo vệ tiên tiến 1.2.3 Truy cập website an toàn Sự phát triển mạnh mẽ công nghệ thông tin internet tạo nên mối nguy tiềm ẩn nhằm gây tác động xấu đến liệu: cơng, đánh cắp liệu…Để an tồn cho hệ thống máy chủ, doanh nghiệp, người quản trị máy chủ nên truy cập website từ máy chủ ảo 1.2.4 Chạy thử nghiệm phần mềm Môi trường giả lập máy chủ ảo không giúp người dùng kiểm tra liệu nghi nhiễm virut, dùng để truy cập website cách an tồn mà cịn dùng để chạy phần mềm mới, hay kiểm thử thiết lập 1.2.5 Chạy điều hành song song Các chương trình ứng dụng doanh nghiệp khơng phải chương trình, phần mềm hoạt động hệ điều hành Windows hay Linux Dùng máy chủ có nhiều hệ điều hành giúp doanh nghiệp dễ dàng có chương trình, phần mềm, ứng dụng phù hợp với nhu cầu sử dụng doanh nghiệp 1.2.6 Chạy máy chủ quản lý dịch vụ Ứng dụng cơng nghệ ảo hóa lợi ích mà doanh nghiệp có ảo hóa máy chủ để tạo máy chủ ảo Ngồi ra, doanh nghiệp tạo máy chủ ảo để làm máy chủ game, máy chủ mail, Web, DNS, File… 1.3 Các yêu cầu bảo mật chung cho máy chủ ảo tảng Ảo hóa 1.3.1 Yêu cầu bảo mật hạ tầng mạng máy chủ ảo Đảm bảo tính sẵn sàng hệ thống mạng: đảm bảo hạ tầng ảo hoát phải hoạt động 24/7 Đảm bảo tính bền vững: phải chịu tải chống lại công nội từ mạng LAN cơng từ bên ngồi, ln ln kiểm sốt hoạt động dịch vụ Đảm bảo độ tin cậy: hệ thống hoạt động, hạ tầng ảo ảo hóa máy chủ ảo ln phải đảm bảo kiểm sốt việc truy cập người dùng hợp pháp, tránh rủi ro xẩy gây an toàn 10 Chương luận văn nghiên cứu, khảo sát tổng quan cơng nghệ Ảo hóa các yêu cầu bảo mật máy chủ ảo chạy tảng Ảo hóa, tình hình bảo mật máy chủ ảo hệ thống Ảo hóa Việt Nam vấn đề liên quan đến bảo mật máy chủ ảo thực tế Chương 2: NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MÁY CHỦ ẢO TRONG HỆ THỐNG ẢO HÓA Chương luận văn tập trung nghiên cứu giải pháp bảo mật máy chủ ảo chạy tảng Ảo hóa 2.1 Giải pháp sử dụng công nghệ VLAN để tách Switch ảo hạ tầng Ảo hóa (Hypervisor) VLAN hay gọi Virtual LAN viết tắt Virtual Local Area Network, hiểu công nghệ mạng LAN ảo Cho phép tách Switch vật lý thành nhiều Switch ảo logic, tăng độ bảo mật phòng ban, chống bão Broadcast thuận tiện quản lý theo vùng 2.1.1 VLAN chia thành loại - Data VLAN: VLAN phổ biến nhất, dùng cho kết nối người dùng - Default VLAN: VLAN mặc định tất Switch có khởi tạo tất cổng Switch nằm VLAN VLAN mặc định Switch Cisco VLAN thay đổi tên hay xóa VLAN - Native VLAN: VLAN Switch mà Frame xuất phát từ qua đường truyền chung cho VLAN (đường Trunk) khơng phải đóng gói thêm trường VLAN ID Mặc định Native VLAN Switch cisco VLAN1 - VLAN quản lý: VLAN mà cấu hình địa IP cho interface VLAN tương ứng Địa IP sử dụng để telnet tới Switch điều hành hoạt động Switch từ xa - VLAN voice: VLAN có độ ưu tiên cao Voice VLAN ứng dụng thời gian thực (mạng nghẽn voice chạy được) 2.1.2 Từ loại VLAN chia thành kiểu - Static VLAN: VLAN tĩnh phân chia theo cổng Cắm máy vào cổng theo VLAN Dynamic VLAN: quy định theo địa MAC, Switch gán MAC: 111111 PC1 thuộc VLAN 10 Pc1 có cắm vào cổng Switch thuộc VLAN 10 Để gán MAC vào VLAN ta phải có VMPS Server (VLAN Mangerment Policy Server) - Voice VLAN: dành riêng cho liệu Voice 2.2 Giải pháp sử dụng hệ thống phát ngăn chặn xâm nhập IDS/IPS để bảo vệ hệ thống máy chủ ảo 11 Trong hệ thống mạng thường có hệ thống IDS/IPS đặt Firewall cứng Một số sử dụng Server vật lý để cài hệ điều hành tường lửa Pfsense để bảo vệ hệ thống mạng Đối với hạ tầng vật lý Firewall bảo vệ hệ thống mạng bên dẫn tới bị chậm xử lý lúc nhiều tác vụ Muốn xử lý nhanh phải mua gói License cao cho Firewall cứng Để tăng độ an toàn đặt hệ thống IDS/IPS bên khu vực DMZ để sớm phát riêng theo dịch vụ quan trọng Một số giải pháp rẻ tiền đạt hiệu cao dùng Snort Pfsense, đánh giá hiệu 2.3 Giải pháp xây dựng hệ thống tường lửa mềm Fortinet để bảo vệ máy chủ ảo Fortinet tường lửa cứng hãng FortiGate, tích hợp nhiều tính cho phép ngăn chặn phát lọc nguy hiểm cho mạng công ty hiệu 2.3.1 Các chức tường lửa Fortinet bao gồm - Bảo mật kết nối: - Tích hợp bảo mật cho ứng dụng: - Bảo mật ứng dụng 2.3.2 Phân luồng khu vực Tuy nhiên, để nâng cao khả firewall, doanh nghiệp hay trường học, nên phân hệ thống mạng thành khu vực, gồm: - Internal: Gồm máy client bên nội - Perimeter: Gồm máy chủ nội máy chủ web, mail, database, - External: Mạng bên nội 2.4 giải pháp phân quyền liệu, mở cổng tường lửa cho phép người dùng truy cập thành công từ mạng nội doanh nghiệp vào hệ thống liệu máy chủ ảo Việc xây dựng tài khoản người dùng công ty, doanh nghiệp cho phép quản lý việc truy cập phân phối liệu tùy vào mục đích cá nhân người sử dụng, tránh trường hợp rị rỉ thơng tin quan trọng hay hoạt động phá hoại liệu khác 2.5 Một số giải pháp mở rộng khác 2.5.1 Giải pháp sử dụng phần mềm chống Virus Rất nhiều kỹ thuật viên doanh nghiệp bỏ qua bước này, đặc biệt cài máy chủ máy chủ ảo Các máy chủ ảo tách biệt với hệ thống mạng nội đưa vào khu vực DMZ, việc người dùng truy cập tới tỉ lệ lây lan Virus qua File tài liệu xẩy cao Đặc biệt Hacker họ chèn Trojan vào File gửi tới thư mục người dùng lây qua File từ người dùng đẩy lên máy chủ ảo 2.5.2 Lập sách an tồn thơng tin cho hệ thống 12 Một sách an tồn thơng tin cho hệ thống (hay cịn gọi sách người) phải gồm nhiều sách kết hợp với tuân thủ nghiêm ngặt để tạo hiệu cao Các sách thường có sách an tồn thơng tin cho hệ thống là: Chính sách nhân viên nội - Đầu tiên phải có sách cập nhận, câng cao chuyên môn sử dụng công nghệ thông tin an toàn sử dụng Internet Phải nắm phương pháp không để lộ mật khẩu, phương pháp kiểm tra link gán Trojan, tuyệt đối không đăng nhập vào trang web đen, web phản động… Đồng thời đào tạo nâng cao kỹ sử dụng nghiệp vụ máy tính Chính sách cho khách hàng Khi khách hàng đến doanh nghiệp hệ thống phải có tài khoản đăng nhập riêng, phải đưa vào vùng mạng có hệ thống Firewall kiểm sốt cao độ, có chế độc lọc, phát Virus, phát xâm nhập để đảm bảo họ vượt qua tường bảo vệ hệ thống doanh nghiệp Có thể tách VLAN để họ dùng riêng, đặc biệt không cấp tài khoản vào thẳng liệu trung tâm doanh nghiệp Chính sách cho đối tác Với đối tác phải cần tới thiết lập kênh truyền riêng tạo kết nối VPN có IPSEC Ngồi thiết bị đối tác đem tới phải đặt vào vùng riêng cắm USB vào máy chủ quét Virus trước cho phép lưu Copy tài liệu Chính sách Quản lý tài sản thiết bị Phải có phần mềm giám sát quản lý tài sản phần cứng lẫn phần mềm, phần cứng quy định máy dùng chung, máy dùng riêng để tách khu vực Đối với phần mềm phải quy định phịng ban quyền truy cập, hệ thống ghi log khu vực 2.7 Kết luận chương Chương luận văn nghiên cứu giải pháp bảo mật máy chủ ảo chạy tảng Ảo hóa sách hỗ trợ cho người dùng truy cập phải tuân thủ sách an tồn thơng tin cơng ty Cần phải phối hợp sách lại tạo chuỗi liên kết tăng giá trị cao, chơng lại mát liệu ảnh hưởng tới hoạt động doanh nghiệp 13 Chương 3: ĐỀ XUẤT GIẢI PHÁP BẢO MẬT MÁY CHỦ ẢO TRONG HỆ THỐNG ẢO HÓA TẠI VIỆN KHOA HỌC CÔNG NGHỆ SÁNG TẠO VIỆT NAM 3.1 Khảo sát thực trạng thực tế hệ thống Ảo hóa Viện Khoa học cơng nghệ sáng tạo Việt Nam 3.1.1 Chức năng, trang thiết bị mơ hình có hệ thống mạng Viện Khoa học cơng nghệ sáng tạo Việt Nam Hình 3.1: Mơ hình mạng Viện Khoa học Công nghệ Sáng tạo Việt Nam Hệ thống mạng sử dụng kiến trúc mơ hình mạng Client - Server nhằm chia sẻ liệu từ máy chủ tới máy Với kiến trúc mạng hình tầng, ta đạt tốc độ nhanh có thể, kiểm soát tốt xảy lỗi mở rộng tùy ý muốn toàn hệ thống Hạ tầng mạng phân cấp: máy tính phịng ban kết nối tới Switch tầng, từ Switch tầng kết nối tới Switch tổng tòa nhà Switch tổng kết nối tới Router 3725 Internet Hệ thống máy chủ Web, Mail, File kết nối vào Core Switch Hệ thống Core Switch kết nối Router 3725 để ngồi Internet - Số lượng phịng ban đơn vị trực thuộc sử dụng máy tính - Tổng số máy tính cho cán nhân viên 110 - Số lượng máy chủ 08 máy đặt tập trung: máy quản lý File Server, máy chủ chạy Website Viện (https://www.victs.vn) phòng ban, máy chủ chạy dịch vụ: Email, DHCP DNS 14 - Số lượng Switch layer là: Switch 3750 - Số lượng Switch tầng Access Switch - Số lượng tổng đài nội dùng IP - Số lượng Camera sử dụng 18 - Số lượng đường truyền Internet: Fpt (FTTH) 3.1.2 Yêu cầu sử dụng - Hệ thống phải kết nối Internet - Hệ thống Firewall phải bảo vệ hệ thống máy chủ người dùng 24/7 - Các dịch vụ File, Mail, Web phải ổn định để cán nhân viên Viện sử dụng Ln ln kiểm sốt số lượng người truy cập dịch vụ - Dữ liệu phòng ban phải tập trung, không phân tán, dễ quản lý, phân quyền phù hợp với chức trách - Khả cung ứng cao, đáp ứng lượng lớn kết nối vào hay mạng mà giữ ổn định - Tiết kiệm điện chi phí tối ưu cho phịng máy chủ - Phải có lưu Backup liệu nhanh chóng - Thuận tiện mở rộng hệ thống tương lai 3.1.3 Hiện trạng vấn đề liên quan q trình vận hành, khai thác mạng máy tính Viện Khoa học Công nghệ Sáng tạo Việt Nam - Hệ thống hoạt động ổn định chưa xẩy cố lớn, tai hệ thống khơng có Firewall để bảo vệ hệ thống mạng LAN hệ thống máy chủ Khi có Hacker số người có ý đồ xấu cơng hệ thống khơng có phương án giải pháp phòng chống đưa chế dự phịng - Có tới máy chủ chạy dịch vụ, dịch vụ chạy ổn định tốt, máy chủ xẩy hỏng hóc đột ngột dịch vụ phải tạm dừng Ngoài học viên sử dụng phầm mềm đo lường hiệu hoạt động máy chủ lượng CPU, RAM, Ổ cứng cịn trống máy chủ nhiều (chỉ hoạt động tầm 35% cơng suất so với cấu hình vật lý) - Ngồi hệ thống khơng có dịch vụ phát công sớm đưa cảnh báo sớm để kỹ thuật viên kịp thời đưa tình xử lý làm giảm thiệt hại hệ thống bị công 3.2 Kiến nghị đề xuất giải pháp bảo mật máy chủ ảo hệ thống Ảo hóa Viện Khoa học công nghệ sáng tạo Việt Nam Để đảm bảo bảo mật cho hệ thống tiết kiệm tài nguyên nâng cao hiệu làm việc máy chủ hệ thống mạng, xin đề xuất giải pháp sau: 3.2.1 Giải pháp hạ tầng mạng 15 Sử dụng Firewall Fortinet 140D thay Router 3725, vừa định tuyến vừa bảo mật hệ thống mạng Trên Fortinet 140D ta tách thành khu vực: mạng LAN, Mạng WAN DMZ Khu vực DMZ xây dựng hạ tầng Ảo hóa tạo máy chủ ảo để cài đặt dịch vụ Khu vực mạng LAN sử dụng Switch Cisco 3750 có tính định tuyến tách VLAN cần bật tính định tuyến đổ Default Root trỏ cổng kết nối với Fortinet 140D tín hiệu truyền Firewall Khu vự WAN cần bổ sung thêm đường Internet, đường bình thường phục vụ cho mạng LAN ngoài, đường để từ bên truy cập vào hạ tầng máy chủ ảo, đường xẩy cố đường cịn lại dự phịng cho tăng tính ổn định Đối với khu vự mạng DMZ, Switch 3750 ta bật tính Default Root trỏ cổng kết nối với Fortinet 140D Đồng thời tách VLAN tương ứng với số VLAN bên hạ tầng ảo hóa Trong hạ tầng ảo hóa ta tách VLAN bật tính Trunking Switch ảo để đồng với Switch vật lý bên ngồi Các máy chủ ảo hóa cần cắm vào VLAN Switch ảo Port tương ứng kết nối Để sớm phát xâm nhập công (IDS/IPS) vào hạ tầng máy chủ ảo, ta tạo máy chủ ảo cài tường lửa mềm Pfsense, sau cài đặt Snort Pfsense, lắng nghe Switch 3750 Hình 3.2: Hệ thống mạng dự kiến Viện Khoa học công nghệ Sáng tạo Việt Nam 3.2.2 Giới thiệu số giải pháp an toàn liệu 16 Để đảm bảo an toàn liệu em dùng số phương án sau: - Thực phân quyền truy cập liệu: Đối với phòng ban ta phân quyền tùy theo u cầu phịng ban Nhưng nhân viên phong ban xem liệu họ, phịng ban khác khơng xem - Thực đặt lịch Sao lưu liệu định kỳ khôi phục liệu bị hỏng xẩy cố Tính có sẵn Windows Server hoạt động hiệu - Đối với máy chủ chạy hệ điều hành Linux ta dùng Snapshort LVM (Logical Volume Manager) - Ở phịng ban đặt mật mã hóa dũ liệu cho phịng ban cần thiết - Sao lưu liệu lên Cloud Google số dịch vụ Cloud giải pháp tốt - Ngoài cần sử dụng quyền cho phần mềm diệt virus máy người dùng máy chủ ảo để tránh bị virus gây hại tới liệu 3.2.3 Giới thiệu giải pháp cho người sử dụng - Mỗi người dùng cần phải tự bảo vệ mật khẩu, thông tin tài khoản Local máy cá nhân tham gia vào Domain Người dùng luôn phải tuân thủ sách an ninh hệ thống cách nghiêm ngặt, đồng thời kết hợp với sách kỉ luật Viện xẩy cố liên quan tới người dùng Thực ngẫu nhiên phương án dị xóa file, dị cơng tay để tìm thủ phạm bên hệ thống 3.3 Thực thử nghiệm đánh giá số giải pháp bảo mật hệ thống Ảo hóa 3.3.1 Những nội dung thực thử nghiệm - Triển khai tường lửa Fortinet tách khu vực đồng thời cho phép người dùng từ LAN truy cập Internet truy cập vào dịch vụ Web hệ thống máy chủ ảo, đồng thời Public Web Internet - Cài đặt hạ tầng ảo hóa VMWare ESXi, Vcenter 5.5 - Cấu hình VLAN Switch 3750 khu vực DMZ đồng với Switch ảo hạ tầng ảo hóa VMWare ESXi VCenter - Tạo máy chủ ảo hạ tầng ảo hóa - Thực cấu hình dịch vụ Snort máy chủ Pfsense - Phân quyền truy cập liệu máy chủ File Server - Sao lưu liệu File Server (1) Kết triển khai tường lửa Fortinet tách khu vực 17 - Public thành cơng Web ngồi mạng Hình 3.8: Từ DMZ ta thực Publish Web ngồi mạng - Kết Ping thành cơng sau thực kết nối Public sử dụng cơng cụ Nmap để qt thành cơng Port đầu ngồi Hình 3.9: Sau cấu hình Fortinet ping kiểm tra - Dùng Nmap thực Scan Port ta có kết quả: Hình 3.10: Test Public Web đầu Nmap (2) Kết cài đặt thành cơng hạ tầng ảo hóa VMWare ESXi, Vcenter - Cài thành công kết từ vSphere Client ESXi 18 Hình 3.20: Sau cài đặt thành cơng ESXi kết nối từ vSphere Client Quá trình cài đặt Vcenter 5.5 - Cần chuẩn bị Hệ điều hành Windows Server 2012 - Yêu cầu phần cứng Để cài vCenter Chúng ta tạo máy chủ tối thiểu có: CPU 64-bit CPU 64-bit core i3 hoặc cao Ngồi cài vCenter lên Server vật lý Server ảo, nên có tối thiểu 4Gb RAM cài vCenter Server, Chúng ta cần 4GB ổ cứng cài vCenter Server, 60 – 100GB vCenter Server, vCenter Single Sign-On vCenter Inventory Service cài đặt lên server u cầu đĩa cứng cịn cao database server - Sau cài đặt thành công, đăng nhập bằn vSphere Client 19 Hình 3.29: kết sau cài đặt đăng nhập thành công (3) Cấu hình VLAN Switch 3750 khu vực DMZ đồng với Switch ảo hạ tầng ảo hóa VMWare ESXi VCenter Cấu hình chia VLAN Switch 3750 SWC(config)#vlan 22 SWC(config-vlan)#name VLAN22 SWC(config-vlan)#vlan 23 SWC(config-vlan)#name VLAN23 SWC(config-vlan)#exit SWC(config)# SWC(config)#int range f0/1-5 SWC(config-if-range)#switchport trunk encapsulation dot1q SWC(config-if-range)#switchport mode trunk SWC(config-if-range)#exit SWC(config)# SWC(config)#int vlan SWC(config-if)#ip add 10.0.0.254 255.255.255.0 SWC(config-if)#ip helper-address 10.0.0.6 SWC(config-if)#no shut SWC(config-if)#exit SWC(config)# SWC(config)#int vlan 22 SWC(config-if)#ip add 22.0.0.254 255.255.255.0 SWC(config-if)#ip helper-address 10.0.0.6 20 SWC(config-if)#no shut SWC(config-if)#exit SWC(config)# SWC(config)#int vlan 23 SWC(config-if)#ip add 23.0.0.254 255.255.255.0 SWC(config-if)#ip helper-address 10.0.0.6 SWC(config-if)#no shut SWC(config-if)#exit SWC(config)# SWC(config)#ip routing (cho phép định tuyến) SWC(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1 (đường Internet VLAN1) SWC(config)# Kết Cấu hình thành cơng VLAN Switch ảo vCenter Hình 3.37: Tạo thành công VLAN22 VLAN23 (4) Kết tạo thành công máy chủ ảo hạ tầng ảo hóa vCenter Up thành công File ISO lên để cuẩn bị cài đặt 21 Hình 3.46: chọn Datastore ISO File Browse tới File ISO - Chọn Datastore Brower chọn Upload file đưa file ISO lên Hình 3.48: Upload File ISO lên hệ thống lư trữ - Quá trình cài đặt hệ điều hành Pfsense Windows Server Linux từ phần trở giống máy chủ bình thường (5) Kết cài đặt thành công Snort Pfsense tạo lắng nghe cổng WAN - Sau cấu hình xong bật trạng thái Snort Interface 22 Hình 3.54: Snort Interface WAN bật (6) Phân quyền truy cập liệu máy chủ File Server Khởi động thành cơng dịch vụ Quota sau cấu hình Bước 9: khởi động quota [root@victs ~]# quotaon -avug /dev/sdb1 [/Data]: group quotas turned on /dev/sdb1 [/Data]: user quotas turned on Bước 10: Sử dụng WinSCP kiểm tra dung lượng Bước 11: Xem thông tin quota $ quota -u nam # user nam $ quota -g staff # nhóm staff Để thống kê thơng tin quota nhóm user bạn dùng # theo người dùng$ repquota -au # theo nhóm $ repquota -ag # tất $ repquota -agu (7) Sao lưu liệu File Server Sao lưu CentOS Đối với máy chủ chạy hệ điều hành Linux, có CentOS ta dùng Snapshort LVM (Logical Volume Manager) - Tạo ổ snapshot #lvcreate -L 1GB -s -n IT-snap /dev/vg-victs/victs1 (vg=vg-victs, lv=victs1) Các thành phần câu lệnh: -L 1GB: Đặt dung lượng cho ổ snapshot -s: Tạo snapshot -n: Tạo tên cho snapshot victs-snap: Tên snapshot /dev/victs/IT : Volume cần snapshot Cài đặt cấu hình Sao lưu Windows thành công 23 - Sau cài đặt thành cơng Window Server Backup Hình 3.57: Giao diện Window Server Backup 3.3.2 Sau thử nghiệm ta có kết Những kết thử nghiệm cho kết khả quan, ổn định đáp ứng yêu cầu bảo mật cho máy chủ ảo hạ tầng ảo hóa Các giải pháp cài đặt thử nghiệm đáp ứng cho hệ thống máy chủ ảo hóa Viện Khoa học cơng nghệ sáng tạo Việt Nam đáp ứng nhu cầu trình vận hành quản lý Viện 3.4 Kết luận chương Chương luận văn khảo sát mạng nội Viện Khoa học công nghệ sáng tạo Việt Nam, vấn đề nảy sinh trình sử dụng yêu cầu bảo mật hệ thống may chủ ảo nhằm đáp ứng nhu cầu Viện Khoa học công nghệ sáng tạo Việt Nam Luận văn đề xuất giải pháp bảo mật máy chủ ảo hệ thống ảo hóa ứng dụng Viện Khoa học cơng nghệ sáng tạo Việt Nam Qua kết từ thử nghiệm hoàn toàn phù hợp với yêu cầu đặt từ ban đầu KẾT LUẬN Với mục tiêu nghiên cứu, áp dụng bảo mật máy chủ ảo hệ thống ảo hóa ứng dụng Viện Khoa học cơng nghệ sáng tạo Việt Nam, luận văn dự kiến đạt số kết sau đây: - Tổng quan cơng nghệ ảo hóa u cầu bảo mật máy chủ ảo - Nghiên cứu giải pháp bảo mật máy chủ ảo hệ thống ảo hóa - Đề xuất giải pháp bảo mật máy chủ ảo hệ thống ảo hóa Viện khoa học cơng nghệ sáng tạo Việt Nam Hướng phát triển tiếp theo: 24 Học viên tiếp tục nghiên cứu, hoàn thiện, tối ưu giải pháp để bảo mật máy chủ ảo hệ thống ảo hóa ứng dụng Viện Khoa học công nghệ sáng tạo Việt Nam: mức cao Học viên nghiên cứu thêm công nghệ trí tuệ nhân tạo (AI) để áp dụng vào viêc phát hành vi công ... đến bảo mật máy chủ ảo hệ thống Ảo hóa Phạm vi nghiên cứu luận văn giải pháp bảo mật máy chủ ảo hệ thống Ảo hóa ứng dụng cho hệ thống máy chủ Ảo hóa Viện Khoa học công nghệ sáng tạo Việt Nam. .. XUẤT GIẢI PHÁP BẢO MẬT MÁY CHỦ ẢO TRONG HỆ THỐNG ẢO HÓA TẠI VIỆN KHOA HỌC CÔNG NGHỆ SÁNG TẠO VIỆT NAM 3.1 Khảo sát thực trạng thực tế hệ thống Ảo hóa Viện Khoa học cơng nghệ sáng tạo Việt Nam. .. cầu bảo mật máy chủ ảo - Nghiên cứu giải pháp bảo mật máy chủ ảo hệ thống ảo hóa - Đề xuất giải pháp bảo mật máy chủ ảo hệ thống ảo hóa Viện khoa học cơng nghệ sáng tạo Việt Nam Hướng phát triển