• Tidak ada hasil yang ditemukan

Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nền Pfsense

Trường Đại học Quản lý và Công nghệ Hải Phòng
N/A
Info
Unduh - Bebas
Protected

Academic year: 2023

Membagikan "Nghiên cứu triển khai giải pháp đảm bảo an ninh mạng trên nền Pfsense"

Copied!
72
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 72 Halaman )

Teks penuh

Tên dự án: Nghiên cứu và triển khai các giải pháp đảm bảo an ninh mạng trên nền tảng Pfsense. Môn học tốt nghiệp: Nghiên cứu và triển khai các giải pháp đảm bảo an ninh mạng trên nền tảng PFSENSE.

AN NINH MẠNG MÁY TÍNH

Các nguyên tắc nền tảng của an ninh mạng

  • Mô hình CIA
  • Mô hình bộ ba an ninh

Ba nguyên tắc cơ bản này sẽ hướng dẫn tất cả các hệ thống an ninh mạng. Bộ ba CIA cũng cung cấp một công cụ đo lường (tiêu chuẩn đánh giá) cho các hoạt động bảo mật.

Hình 1-1 Mô hình CIA 1.1.1.1 Tính bí mật
Hình 1-1 Mô hình CIA 1.1.1.1 Tính bí mật

Các nguy cơ mất an ninh mạng

  • Các nguy cơ
  • Các điểm yếu trong giao thức mạng
  • Các điểm yếu trong hệ điều hành
  • Các điểm yếu trong thiết bị mạng
  • Các điểm yếu trong các cấu hình thiết bị

Điểm yếu trong các giao thức mạng liên quan đến lỗ hổng trong các giao thức mạng điều hành và các ứng dụng sử dụng các giao thức đó. Mọi hệ điều hành đang sử dụng đều chứa một hoặc nhiều lỗ hổng bảo mật.

Giải pháp kỹ thuật trong lập kế hoạch an ninh mạng

  • Sử dụng các nền tảng khác nhau
  • Sử dụng các mô hình an ninh mạng
  • Sử dụng các nguyên tắc an ninh
  • Sử dụng các giải pháp an ninh

Mô hình bảo mật là sự thể hiện mang tính biểu tượng của chính sách bảo mật. Đặc quyền tối thiểu: Nguyên tắc cơ bản nhất của hệ thống an ninh mạng là cơ chế đặc quyền tối thiểu.

Hình 1-3 Mô hình giải pháp an ninh mạng - Quản lý các điểm truy nhập.
Hình 1-3 Mô hình giải pháp an ninh mạng - Quản lý các điểm truy nhập.

GIẢI PHÁP TĂNG CƯỜNG AN NINH MẠNG

Hệ thống tường lửa (Firewall)

  • Khái niệm về Firewall
  • Chức năng chính của Firewall
  • Phân loại Firewall
  • Kiến trúc cơ bản của FireWall

Tường lửa xử lý tất cả các yêu cầu bằng tài nguyên máy chủ. Chỉ định tài khoản người dùng trên máy chủ hai nhà này và khi người dùng muốn sử dụng các dịch vụ từ Internet hoặc các dịch vụ từ mạng bên ngoài, họ phải đăng nhập vào máy này. Phương pháp gán tài khoản người dùng trên máy chủ Dual-homed khá phức tạp, vì mỗi lần người dùng muốn sử dụng dịch vụ phải đăng nhập vào một máy khác (dual-homed Host) khác với máy của mình, đây là một vấn đề rất bất tiện cho người sử dụng.

Nếu sử dụng Proxy Server: khó có thể cung cấp nhiều dịch vụ cho người dùng vì phần mềm Proxy Server và Proxy Client không có sẵn cho tất cả các loại dịch vụ. Quy tắc lọc bộ định tuyến vượt xa yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin gửi đi có nguồn gốc từ máy chủ. Dành cho các hệ thống yêu cầu cung cấp dịch vụ nhanh chóng và an toàn cho nhiều người dùng cùng lúc cũng như khả năng theo dõi lưu lượng truy cập của từng người dùng trong hệ thống và dữ liệu trao đổi giữa những người dùng trong hệ thống. phải được bảo vệ thì kiến ​​trúc cơ bản trên là phù hợp.

Để tăng tính bảo mật trong mạng nội bộ, kiến ​​trúc mạng con được sàng lọc ở trên sử dụng mạng DMZ bổ sung (DMZ hoặc mạng vành đai) để che chắn. Ngoài ra, còn có các biến thể kiến ​​trúc khác như: sử dụng nhiều Bastion Hosts (máy chủ), kết hợp giữa các bộ định tuyến bên trong và bộ định tuyến bên ngoài, kết hợp giữa Bastion Hosts (máy chủ) (máy chủ) và bộ định tuyến bên ngoài.[2].

Hình 2-2 Firewall cứng
Hình 2-2 Firewall cứng

Mạng riêng ảo

  • Định nghĩa VPN
  • Các thành phần tạo nên VPN
  • Mạng Site – to – Site VPNs
  • Mạng VPN cục bộ (Intranet-based VPN)
  • Mạng VPN mở rộng (Extranet-based VPN)

Mặt khác, nếu công ty có một số nhân viên thường xuyên di chuyển và cần truy cập mạng công ty khi đang di chuyển, máy tính xách tay của nhân viên đó có thể được thiết lập làm máy khách VPN. Về mặt kỹ thuật, bất kỳ hệ điều hành nào cũng có thể hoạt động như một máy khách VPN miễn là nó hỗ trợ các giao thức như: PPTP (Giao thức đường hầm điểm tới điểm), L2TP lớp 2 (Giao thức đường hầm lớp 2) và giao thức bảo mật Internet IPSec (Bảo mật giao thức Internet). Về mặt kỹ thuật, máy chủ VPN có thể được cài đặt trên nhiều hệ điều hành khác nhau như Window Server, Linux.

Sau khi kết nối VPN được thiết lập, máy chủ VPN chỉ hoạt động như một bộ định tuyến, cung cấp cho máy khách VPN quyền truy cập vào mạng riêng. Chúng ta có thể đặt một máy chủ ISA giữa tường lửa và máy chủ VPN. Ý tưởng là bạn có thể cấu hình tường lửa để điều tiết tất cả lưu lượng VPN được kết nối với ISA Server thay vì chính máy chủ VPN.

Điều này cho phép tất cả các địa điểm truy cập an toàn vào các nguồn dữ liệu được ủy quyền trên mạng công ty. Mạng cục bộ hoặc toàn cầu có thể được tạo (với điều kiện mạng đó thông qua một hoặc nhiều nhà cung cấp dịch vụ).

Hình 2-5 Mô hình mạng VPN 2.2.2 Các thành phần tạo nên VPN
Hình 2-5 Mô hình mạng VPN 2.2.2 Các thành phần tạo nên VPN

Hệ thống phát hiện chống xâm nhập

  • Hệ thống phát hiện xâm nhập (IDS)
  • Hệ thống chống xâm nhập (IPS)

Nguyên lý hoạt động của hệ thống phát hiện và ngăn chặn xâm nhập được chia thành 5 giai đoạn chính: giám sát mạng, phân tích lưu lượng, liên lạc giữa các thành phần, cảnh báo về sự xâm nhập và cuối cùng có thể phản hồi tùy theo chức năng của từng IDS. Vì vậy cần cân nhắc điều này để không ảnh hưởng tới toàn bộ hệ thống. Nhưng chỉ theo dõi các liên kết thành công có thể bỏ lỡ thông tin có giá trị về các liên kết bị lỗi, thường rất quan trọng trong hệ thống IDS chẳng hạn như quét cổng.

Mỗi hệ thống yêu cầu một phân tích khác nhau vì không phải tất cả các môi trường đều giống nhau. Thông thường ở giai đoạn này, hệ thống IDS sẽ phát hiện các dấu hiệu đáng ngờ trong luồng lưu lượng dựa trên kỹ thuật so khớp mẫu hoặc phân tích hành vi bất thường. Sau khi phân tích dữ liệu, hệ thống IDS phải đưa ra cảnh báo.

Trong một số hệ thống IDS tiên tiến hiện nay, sau khi các giai đoạn trên phát hiện dấu hiệu tấn công, hệ thống không chỉ cảnh báo cho quản trị viên mà còn đưa ra các hành động phòng thủ để ngăn chặn các cuộc tấn công tại đó. Một hệ thống IDS có thể phản ứng trước các cuộc tấn công phải được cấu hình sao cho nó có quyền can thiệp vào hoạt động của tường lửa, thiết bị chuyển mạch và bộ định tuyến.

TRIỂN KHAI PROXY SERVER TRÊN PFSENSE

Mô hình triển khai

Pfsense

  • Giới thiệu
  • Cài đặt Pfsense

PfSense bao gồm nhiều tính năng tường lửa trạng thái có trên tường lửa hoặc bộ định tuyến thương mại lớn, chẳng hạn như giao diện người dùng dựa trên web (GUI) giúp quản lý dễ dàng. Trong khi đó, phần mềm miễn phí này cũng có nhiều tính năng ấn tượng đối với một tường lửa/bộ định tuyến miễn phí nhưng cũng có một số hạn chế. PfSense hỗ trợ lọc theo địa chỉ nguồn và đích, cổng nguồn hoặc đích hoặc địa chỉ IP.

Nó cũng hỗ trợ các chính sách và cơ chế định tuyến hoạt động ở chế độ bắc cầu hoặc minh bạch, cho phép bạn dễ dàng triển khai pfSense giữa các thiết bị mạng mà không yêu cầu cấu hình bổ sung. PfSense cung cấp cơ chế NAT và chức năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Giao thức đường hầm điểm-điểm (PPTP), Đóng gói định tuyến chung (GRE) và Giao thức khởi tạo phiên (SIP) khi sử dụng NAT. PfSense dựa trên Giao thức dự phòng địa chỉ chung (CARP) của FreeBSD và FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép quản trị viên nhóm hai hoặc nhiều tường lửa thành một nhóm tự động chuyển tiếp.

Bằng cách hỗ trợ nhiều kết nối mạng diện rộng (WAN), việc cân bằng tải có thể được thực hiện. Tuy nhiên, nó có một hạn chế là chỉ có thể thực hiện cân bằng lưu lượng phân tán giữa hai liên kết WAN và không thể phân bổ lưu lượng trên một liên kết duy nhất.

Hình 3-2 Download Pfsense
Hình 3-2 Download Pfsense

Giải pháp proxy server trên Pfsense

  • Cấu hình Proxy Server
  • Giới hạn giờ truy cập web
  • Giới hạn tốc độ download/upload cho từng client
  • Chứng thực user truy cập web sử dụng Captive Portal
  • Xây dựng hệ thống 2 Firewall – failover đáp ứng các máy trong
  • Giải pháp mạng riêng ảo trên Pfsense

Squid Guard có chức năng chính là lọc dark web, web cấm, facebook. Để làm được điều này, nó tạo một danh sách truy cập rồi kết hợp với Squid Proxy để người dùng bên trong pfsense không thể truy cập các trang web bị cấm. Giả sử chúng ta chặn các trang web được liệt kê trong nội dung trên với các yêu cầu sau: Thực hiện chặn truy cập vào các ngày trong tuần từ thứ Hai đến thứ Sáu Chúng ta sẽ tạo Tạo một danh mục chứa danh sách các trang web bị chặn.

Bạn hãy điền các thông tin tương tự như hình bên dưới rồi chọn Save để lưu lại cấu hình. Bước 2: Tạo tài khoản người dùng cho phép người dùng được xác thực truy cập Internet. Định cấu hình cổng chặn bằng cách thực hiện như sau: Chọn Dịch vụ, tiếp tục chọn cổng chặn rồi chọn Thêm.

Để thực hiện việc này: Chọn Tường lửa > Ips ảo > Thêm để thêm IP ảo mới cho WAN. Để kiểm tra kết quả của quá trình cấu hình và đồng bộ. Bước 2: Cài đặt gói openvpn-client-export bằng cách thực hiện như sau: Chọn Hệ thống > Trình quản lý gói > Chọn tab Gói có sẵn > nhập openvpn vào hộp tìm kiếm và chọn Tìm kiếm > Cài đặt.

Bước 4: Từ máy khách có cài đặt GUI openVPN, chúng ta kết nối với máy chủ bằng tài khoản người dùng openvpn2 để kiểm tra kết quả.

Hình 3-4 Cấu hình Squid proxy
Hình 3-4 Cấu hình Squid proxy

Gambar

Hình 1-1 Mô hình CIA 1.1.1.1 Tính bí mật
Hình 1-2 Mô hình bộ ba an toàn 1.1.2.1 Sự ngăn chặn
Hình 1-3 Mô hình giải pháp an ninh mạng - Quản lý các điểm truy nhập.
Hình 1-4 Mô hình quản lý các điểm truy cập - Các bộ định tuyến và chuyển mạch.
+7

Referensi

Unduh sekarang ( PDF - 72 Halaman - 3.69 MB )

Garis besar

Các thành phần tạo nên VPN Hệ thống phát hiện chống xâm nhập

Dokumen terkait

đánh giá cảnh quan phục vụ định hướng phát triển nông

Kết quả đánh giá cảnh quan cho phát triển nông, lâm nghiệp Trên cơ sở hệ thống các chỉ tiêu và trọng số được lựa chọn, tiến hành tính điểm từng loại CQ đối với các mục đích sử dụng