TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN ĐIỆN TỬ VIỄN THÔNG BÁO CÁO ĐỒ ÁN III ĐỀ TÀI: Xây dựng hệ thống mạng thực tế bảo mật cho doanh nghiệp Giáo viên hướng dẫn: TS Trần Thị Ngọc Lan Sinh viên thực : Trần Thị Liên 20142534 Âu Đình Tiến 20141457 Nguyễn Ngọc Thiện 20144269 Nguyễn Quốc Đạt 20130842 Hà Nội,12/2018 Mục lục Mục lục Danh mục hình ảnh Phần mở đầu Chương I Tổng quan hệ thống mạng 1.1 Giới thiệu hệ thống mạng 1.2 Giới thiệu mạng LAN 1.3 Các mô hình mạng 1.3.1 Mơ hình OSI 1.3.2 Mơ hình TCP/IP 1.4 Định tuyến 1.5 VLAN (Virtual Local Area Network) 11 1.5.1 Lợi ích việc chia VLAN 12 1.5.2 Các loại VLAN 12 1.6 ACL (Access Control List) 13 1.7 Các thiết bị sử dụng 14 1.7.1 Thiết bị Router 14 1.7.2 Firewall 15 1.7.3 Switch layer 16 1.8 Sự cấp thiết sử dụng bảo mật hệ thống mạng 16 Chương 2: Thiết kế mô mạng doanh nghiệp 18 2.1 Thiết kế mơ hình mạng doanh nghiệp 18 2.2 Cấu hình packet Tracer 19 2.2.1 Cấu hình khu vực Hà Nội 19 2.2.2 Router Hà Nội 19 2.2.3 Switch Layer 22 2.2.4 Switch Layer 24 2.2.5 Khu vực nhà cung cấp mạng ISP 26 2.2.6 Khu vực Hồ Chí Minh 27 2.3 Kết mô 29 Chương 3: Pfsense Firewall bảo mật hệ thống mạng 32 3.1 Tổng quan tưởng lửa Pfsense, bảo mật hệ thống mạng 32 3.2 Cài đặt tường lửa Pfsense máy tính client Window XP 33 3.3 Triển khai hệ thống Snort(IDS/IPS) Pfsense 36 3.3.1 Cài đặt gói tin Snort 36 3.3.2 Cấu hình Snort 38 3.3.3 Cấu hình Snort cho interface LAN 41 3.3.4 Kiểm tra kết 46 3.4 Triển khai chặn trang website http https 49 3.4.1 Tạo Certificate Authority - CA 49 3.4.2 Cài đặt gói Squid SquidGuard 52 3.4.3 Cấu hình Squid 54 3.4.4 Cấu hình SquidGuard 59 3.4.5 Thêm CA lên máy client Window XP 64 3.4.6 Kiểm tra kết 72 Kết luận 75 Tài liệu tham khảo 76 Danh mục hình ảnh Hình Mơ hình mạng doanh nghiệp 18 Hình 2 Mơ hình nhà cung cấp mạng ISP 18 Hình ACL cho phép Manager có quyền truy cập vào server 29 Hình ACL khơng cho phép Accounting có quyền truy cập vào server 29 Hình ACL cho phép Director có quyền remote, thay đổi cấu hình router Hà Nội 30 Hình ACL khơng cho phép Sale có quyền truy nhập Router Hà Nội 30 Hình Sale có quyền sử dụng Máy in 31 Hình Accouting có quyền sử dụng Máy in 31 Hình Cài đặt thành cơng tường lửa Pfsense………………………………………34 Hình Đăng nhập giao diện web tường lửa Pfsense 34 Hình 3 Cài đặt thành cơng máy tính Window XP 35 Hình Window XP client tường lửa Pfsense 35 Hình Trang web chứa mã độc bị chặn 47 Hình Cảnh báo vi phạm luật 48 Hình Block phát 48 Hình Truy cập trang web bình thường 72 Hình Trang web http bị chặn 73 Hình 10 Trang web https bị chặn 73 Hình 11 Trang web https theo từ khóa bị chặn 74 Phần mở đầu Sự phát triển nhanh chóng mạng Internet thiết bị công nghệ cao mang lại lợi ích to lớn cho sống người Từ việc rút ngắn khoảng cách kết nối người với người, tìm kiếm thơng tin nhanh chóng ngày chúng gắn liền với hầu hết hoạt động người sản xuất công nghiệp, liên lạc, quản lý doanh nghiệp, quản lý liệu,… Bên cạnh việc quản lý sử dụng thông tin doanh nghiệp hiệu vấn đề bảo mật thông tin Bảo mật thông tin bảo vệ thông tin cá nhân, doanh nghiệp hay tránh phá hoại hệ thống số kẻ xấu cố ý gây với mục đích chuộc lợi Vì song song với việc phát triển hệ thống mạng thông tin doanh nghiệp xây dựng hệ thống tường lửa với mục đích ngăn chặn kết nối không mong muốn, giảm nguy kiểm sốt hệ thống bị cơng lây nhiễm mã độc Và ứng dụng tường lửa (Firewall) thiết bị giúp trì hoạt động ổn định cho hệ thống mạng giúp hệ thống mạng bảo vệ tốt Trong báo cáo chúng em xin trình bày đề tài “Xây dựng hệ thống mạng thực tế bảo mật cho doanh nghiệp” Đê tài chúng em trình bày đặc trưng hệ thông mạng, bước xây dựng hệ thống mạng, mô hệ thống mạng qua Packet tracer bảo mật cho doanh nghiệp ứng dụng tường lửa Pfsense Để hồn thành Đồ án chúng em tìm hiểu thông tin qua Internet, sử dụng phần mềm mô Packet tracer với hướng dẫn TS.Trần Thị Ngọc Lan Chúng em xin chân thành cảm ơn cô! Chương I Tổng quan hệ thống mạng 1.1 Giới thiệu hệ thống mạng Mạng máy tính hay hệ thống mạng kết hợp máy tính lại với thơng qua thiết bị nối kết mạng phương tiện truyền thông (giao thức mạng, mơi trường truyền dẫn) theo cấu trúc máy tính trao đổi thơng tin qua lại với Dữ liệu quản lý tập trung nên an tồn hơn, trao đổi thơng tin liệu người dùng nhanh chóng hơn, thuận lợi Người dùng trao đổi thư tín với cách dễ dàng nhanh chóng Có thể cài đặt Internet máy mạng, sau thiết lập, định cầu hình cho máy khác thơng qua máy cài đặt chương trình share Internet để kết nối Internet 1.2 Giới thiệu mạng LAN Mạng máy tính phân bố phạm vi khác nhau, người ta phân loại mạng sau: LAN, WAN MAN Trong mạng LAN sử dụng tất hệ thông mạng công ty, doanh nghiệp LAN (Local area network), hay gọi "mạng cục bộ", mạng tư nhân nhà, khu vực (trường học hay quan) có cỡ chừng vài km Chúng nối máy chủ máy trạm văn phòng nhà máy để chia sẻ tài nguyên trao đổi thơng tin Mạng LAN có đặc điểm: • Giới hạn tầm cỡ phạm vi hoạt động từ vài mét km • Thường dùng kỹ thuật đơn giản có đường dây cáp nối tất máy Vận tốc truyền liệu thông thường 10 Mbps, 100 Mbps, Gbps, gần 100 Gbps • Ba kiến trúc mạng kiểu LAN thông dụng bao gồm: o Mạng bus hay mạng tuyến tính: Các máy nối cách liên tục thành hàng từ máy sang máy Ví dụ Ethernet (chuẩn IEEE 802.3) o Mạng vòng: Các máy nối máy cuối lại nối ngược trở lại với máy tạo thành vịng kín Thí dụ mạng vịng thẻ IBM (IBM token ring) o Mạng 1.3 Các mơ hình mạng 1.3.1 Mơ hình OSI Mơ hình OSI (Open Systems Interconnection Reference Model) - tạm dịch Mơ hình tham chiếu kết nối hệ thống mở - thiết kế dựa vào nguyên lý tầng cấp, lý giải cách trừu tượng kỹ thuật kết nối truyền thơng máy vi tính thiết kế giao thức mạng chúng, phát triển International Standards Organization (ISO) Mơ hình OSI phân chia chức giao thức thành chuỗi tầng cấp Mỗi tầng cấp có đặc tính sử dụng chức tầng nó, đồng thời cho phép tầng sử dụng chức Việc phân chia hợp lý chức giao thức khiến việc suy xét chức hoạt động chồng giao thức dễ dàng hơn, từ tạo điều kiện cho việc thiết kế chồng giao thức tỉ mỉ, chi tiết, song có độ tin cậy cao Mỗi tầng cấp thi hành cung cấp dịch vụ cho tầng nó, đồng thời địi hỏi dịch vụ tầng Mơ hình tham chiếu OSI cấu trúc phả hệ có tầng: • Tầng 1: Tầng vật lý (Physical Layer): thực chức cần thiết để truyền luồng liệu dạng bit qua mơi trường vật lý • Tầng 2: Tầng liên kết liệu (Data-Link Layer): nhiệm vụ chuyển dạng liệu thành khung liệu (data frames) theo thuật toán nhằm mục đích phát hiện, điều chỉnh giải vấn đề hư, trùng lập khung liệu • Tầng 3: Tầng mạng (Network Layer): điều khiển vận hành mạng Xác định mở đầu kết thúc truyền liệu • Tầng 4: Tầng giao vận (Transport Layer): nhận liệu từ tầng phiên, cắt chúng thành đơn vị nhỏ cần, gửi chúng xuống tầng mạng kiểm tra đơn vị đến đầu nhận • Tầng 5: Tầng phiên (Session layer): đóng vai trị "kiểm soát viên" hội thoại (dialog) mạng với nhiệm vụ thiết lập, trì đồng hóa tính liên tác hai bên • Tầng 6: Tầng trình diễn (Presentation layer): thực nhiệm vụ liên quan đến cú pháp nội dung thông tin gửi • Tầng 7: Tầng ứng dụng (Application layer): cho phép người dùng (con người hay phần mềm) truy cập vào mạng cách cung cấp giao diện người dùng, hỗ trợ dịch vụ gửi thư điện tử truy cập truyền file từ xa, quản lý CSDL dùng chung số dịch vụ khác thông tin 1.3.2 Mơ hình TCP/IP Bộ giao thức TCP/IP (Internet protocol suite IP suite TCP/IP protocol suite - giao thức liên mạng) giao thức truyền thông cài đặt chồng giao thức mà Internet hầu hết mạng máy tính thương mại chạy Bộ giao thức đặt tên theo hai giao thức TCP (Giao thức Điều khiển Giao vận) IP (Giao thức Liên mạng) Chúng hai giao thức định nghĩa Như nhiều giao thức khác, giao thức TCP/IP coi tập hợp tầng, tầng giải tập vấn đề có liên quan đến việc truyền liệu, cung cấp cho giao thức tầng cấp dịch vụ định nghĩa rõ ràng dựa việc sử dụng dịch vụ tầng thấp Về mặt lôgic, tầng gần với người dùng làm việc với liệu trừu tượng hơn, chúng dựa vào giao thức tầng cấp để biến đổi liệu thành dạng mà cuối truyền cách vật lý Các tầng chồng giao thức giao thức TCP/IP • Tầng 1: Tầng liên kết liệu (Data-Link Layer) • Tầng 2: Tầng mạng (Network Layer) • Tầng 3: Tầng giao vận (Transport Layer) • Tầng 4: Tầng ứng dụng (Application layer) 1.4 Định tuyến Định tuyến trình xác định đường tốt mạng máy tính để gói tin tới đích theo số thủ tục định thơng qua nút trung gian định tuyến router Thông tin đường cập nhật tự động từ router khác người quản trị mạng định cho router Sau Router nhận gói tin, Router gỡ bỏ phần header lớp để tìm địa đích thuộc lớp Sau đọc xong địa đích lớp tìm kiếm Routing Table cho mạng chứa địa đích Giả sử mạng có Routing Table, Router xác định địa router hàng xóm (router chia sẻ chung kết nối) Sau gói tin đẩy đệm cổng truyền tương ứng, router khám phá loại đóng gói lớp sử dụng kết nối router Gói tin đóng gửi xuống lớp đưa xuống môi trường truyền dẫn dạng bit truyền tín hiệu điện, quang sóng điện từ Q trình tiếp tục gói tin đưa đến đích thơi Để làm việc router cần phải cấu hình bảng định tuyến (Routing Table) giao thức định tuyến (Routing Protocol) Bảng định tuyến bảng chứa tất đường tốt đến đích tính từ router Khi cần chuyển tiếp gói tin, router xem địa đích gói tin, sau tra bảng định tuyến chuyển gói tin theo đường tốt tìm bảng Trong bảng định tuyến bao gồm tuyến mặc định, biểu diễn địa 0.0.0.0 0.0.0.0 Bảng định tuyến giao thức định tuyến khác nhau, bao gồm thơng tin sau: • Địa đích mạng, mạng hệ thống • Địa IP router chặng phải đến • Giao tiếp vật lí phải sử dụng để đến Router • Subnet mask địa đích • Khoảng cách đến đích (ví dụ: số lượng chặng để đến đích) • Thời gian (tính theo giây) từ Router cập nhật lần cuối 10 Với thông tin hiển thị người dùng bị block là: Block https Cuối tích vào tùy chọn ghi lại Log sau nhấn SAVE để lưu lại Bước 2: Áp dụng Deny cho category Chọn tab Common ACL áp dụng sách Deny 62 Bật tùy chọn ghi log lưu lại cấu hình Bước 3: Kích hoạt SquidGuard Để bật tính SquidGuard lên ta tích vào tùy chọn bấm vào Apply Lưu ý: Mỗi có thay đổi phần Target categories, phải bấm vào nút Apply để áp dụng thay đổi Như SquidGuard kích hoạt 63 Bước 4: Cấu hình thêm SquidGuard ghi log Bấm SAVE để lưu lại 3.4.5 Thêm CA lên máy client Window XP ❖ Cài CA lên máy Thơng thường trình duyệt Web sử dụng chung kho CA Chúng ta làm theo bước sau để thêm CA vào kho Sau tải CA từ giao diện website Pfsense máy client Window XP Chúng ta mở CA lên: 64 Bấm vào Install Certificate Một cửa sổ chào mừng xuất Bấm Next để tiếp tục 65 Chọn Place all certificates in the following store, bấm vào Browse Chọn thư mục Trust Root Certificate Authorities sau nhấn OK 66 Bấm Next để tiếp tục Bấm Finish để hồn tất q trình 67 Thơng báo thêm thành cơng CA Bấm OK để ❖ Cài CA vào trình duyệt Chrome Khởi động Chrome, Menu > Setting (Cài đặt) 68 Kéo xuống ấn vào Show advanced settings… Tìm đến phần HTTPS/SSL ấn vào Manage Certificates (Quản lý Chứng thư) 69 Chọn tab Trust Root Certification Authorities, bấm vào Import (Nhập) để tải file CA từ máy tính lên Chọn file CA với tên Proxy 70 Sau tải CA lên thành cơng ấn Finish để kết thúc Cuối có thơng báo Import Certificates thành công 71 Vậy hồn thành việc cấu hình chặn trang web http https Squid SquidGuard Chúng ta chuyển qua bước kiểm tra xem hoạt động có xác hay khơng? 3.4.6 Kiểm tra kết Mục đích chặn số website định Việc thiết lập chặn website làm phần trước, website nằm danh sách luật bị chặn truy cập Còn website khác truy cập bình thường • Truy cập trang web bình thường, ví dụ trang web trường Đại học Bách khoa Hà Nội: hust.edu.vn Hình Truy cập trang web bình thường 72 • Chặn trang http, truy cập vào bkacad.com thơng báo bị chặn Hình Trang web http bị chặn • Chặn trang https, truy cập vào download.com.vn thơng báo bị chặn hình Hình 10 Trang web https bị chặn 73 • Chặn trang https từ khóa, truy cập vào facebook.com thơng báo bị chặn Hình 11 Trang web https theo từ khóa bị chặn 74 Kết luận Đối với nhiều tổ chức, doanh nghiệp, cá nhân thơng tin liệu đóng vai trị quan trọng đời sống có ảnh hướng tới tồn vong họ Vì vậy, việc bảo mật thơng tin liệu điều vô cần thiết, bối cảnh hệ thống thông tin ngày mở rộng trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy không lường trước Tại Việt Nam, tổ chức doanh nghiệp xây dựng giải pháp để đảm bảo an toàn hệ thống trang bị hệ thống tường lửa (Firewall), hệ thống chống xâm nhập (IPS/IDS), hệ thống phòng chống virus (Antivirus),… Vì nhận thấy tầm quan trọng tính cấp thiết bảo mật hệ thống mạng doanh nghiệp chúng em tìm hiểu Đồ án với nội dung sau: - Tìm hiểu Tổng quan hệ thống mạng - Thiết kế mơ hình mạng doanh nghiệp packet tracer - Pfsense Firewall bảo mật hệ thống mạng Do kiến thức cịn hạn hẹp khơng tránh khỏi số thiết sót chúng em mong Cơ thông cảm Qua môn học Đồ Án 3, chúng em trau dồi nhiều kiến thức, kinh nghiệm, tích lũy khả tìm tài liệu, triển khai trau dồi nhiều kiến thức Bên cạnh đó, mơn học cịn giúp chúng em xây dựng cho thân tinh thần làm việc có trách nhiệm, bình tĩnh giải khó khăn tình tạo động lực phấn đấu vươn lên học tập, rèn luyện Cuối chúng em xin chân thành cảm ơn Cơ TS.Trần Thị Ngọc Lan nhiệt tình bảo, giúp đỡ chúng em q trình hồn thành mơn học Chúng em xin chúc Cơ ln ln có nhiều sức khỏe 75 Tài liệu tham khảo [1] https://www.netgate.com/docs/pfsense/ids-ips/setup-snort-package.html , truy cập cuối ngày 26/11/2018 [2]https://vi.wikipedia.org/wiki/M%C3%B4_h%C3%ACnh_OSI, truy cập cuối ngày 20/10/2018 [3]https://vi.wikipedia.org/wiki/TCP/IP, truy cập cuối ngày 20/10/2018 [4] https://securitybox.vn/4313/xay-dung-ke-hoach-chien-luoc-ninh-thong-tin/, truy cập cuối ngày 24/11/2018 [5]https://www.netgate.com/docs/pfsense/firewall/blockingwebsites.html?fbclid=IwAR15yuiwj2XqNhJ9BDnJ6qUOKdxiIaunixNylVITB3NiSE3 uWs1coLTyy8o , truy cập cuối ngày 24/11/2018 [6] https://snort.org/ , truy cập cuối ngày 26/11/2018 76 ... đề tài ? ?Xây dựng hệ thống mạng thực tế bảo mật cho doanh nghiệp? ?? Đê tài chúng em trình bày đặc trưng hệ thông mạng, bước xây dựng hệ thống mạng, mô hệ thống mạng qua Packet tracer bảo mật cho doanh. .. tin 16 Bảo mật hệ thống mạng việc bảo vệ , đảm bảo an toàn cho thành phần mạng bao gồm liệu thông tin doanh nghiệp, thiết bị , sở hạ tầng mạng đảm bảo mội tài nguyên mạng tránh việc đánh cắp... soát hệ thống bị công lây nhiễm mã độc Và ứng dụng tường lửa (Firewall) thiết bị giúp trì hoạt động ổn định cho hệ thống mạng giúp hệ thống mạng bảo vệ tốt Trong báo cáo chúng em xin trình bày đề