Tải bản đầy đủ (.docx) (69 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Khóa luận: Triển khai tường lửa OPNSense cho doanh nghiệp || Nhận hỗ trợ đề tài

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.81 MB, 69 trang )

LỜI CẢM ƠN
Lời đầu tiên, tôi xin chân thành cảm ơn đến các thầy giáo, cô giáo
trường ......................................... đã tận tình giảng dạy và truyền đạt cho tơi những
kiến thức quý báu trong suốt quá trình học tập tại giảng đường ............ . Đặc biệt là
thầy ........................................., là người trực tiếp hướng dẫn, giúp đỡ tơi rất nhiều
trong q trình học tập để có thể hồn thành được bài báo cáo Khóa luận tốt nghiệp
này.
Tơi cũng xin chân thành cảm ơn gia đình, bạn bè, người thân đã ln tạo
điều kiện tốt nhất để tơi có thể hồn thiện đề tài.
Với kiến thức còn nhiều hạn chế, bài báo cáo khơng tránh khỏi những sai sót.
Rất mong nhận được những lời góp ý của thầy cơ, bạn bè để tơi có thêm kiến thức,
trau dồi thêm kỹ năng bản thân.
Tơi xin chân thành cảm ơn.

Page 1


LỜI CAM ĐOAN
Tôi xin cam đoan những nội dung trong Khóa luận này là do tơi thực hiện
dưới sự hướng dẫn của thầy...................... Mọi tham khảo dùng trong khóa luận đều
được trích dẫn rõ ràng và trung thực tên tác giả, tên cơng trình, thời gian, địa điểm
cơng bố. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá tơi xin
chịu hồn tồn trách nhiệm.
Đà Nẵng, ngày ......., tháng ........, năm 20.....
TÁC GIẢ KHOÁ LUẬN

Page 2


DANH MỤC HÌNH ẢNH
Hình 1.1 Xác thực dựa trên chứng chỉ số....................................................................5


Hình 1.2 Mơ hình mạng tổng thể..............................................................................15
Hình 2.1 Tường lửa bảo mật

17

Hình 2.2 Phân loại Firewall......................................................................................21
Hình 2.3 PfSense.......................................................................................................25
Hình 2.4 Packet filtes................................................................................................27
Hình 2.5 Circuit-Level Gateways.............................................................................29
Hình 2.6 Application-Level Gateways.....................................................................29
Hình 2.7 Screening Router (Packet Filtering)...........................................................31
Hình 2.8 Dual Homed Host......................................................................................32
Hình 2.9 Single – Homed Bastion Host....................................................................33
Hình 2.10 Dual – Homed Bastion Host....................................................................34
Hình 2.11 Screened Subnet.......................................................................................35
Hình 3.1 Mơ hình mạng hiện tại của doanh nghiệp

37

Hình 3.2 Mơ hình mạng đề xuất...............................................................................39
Hình 3.3 OPNSense..................................................................................................40
Hình 3.4 Mơ hình kiểm thử.......................................................................................43
Hình 3.5 Web Proxy/Administrator..........................................................................44
Hình 3.6 Cài đặt........................................................................................................44
Hình 3.7 Thiết lập kết nối đến Proxy........................................................................45
Hình 3.8 Tạo Rule & chọn CA.................................................................................46
Hình 3.9 Thiết lập Blacklist......................................................................................47
Hình 3.10 Truy cập bị chặn.......................................................................................47
Hình 3.11 Logs chặn truy cập được ghi lại...............................................................48
Hình 3.12 Thiết lập ClamAV....................................................................................49

Hình 3.13 Thiết lập C-ICAP.....................................................................................49
Hình 3.14 Bật chức năng ClamAV...........................................................................50
Hình 3.15 Bật chức năng ICAP................................................................................50
Hình 3.16 Web test chống virus................................................................................51
Hình 3.17 Kết quả.....................................................................................................51
Hình 3.18 Thiết lập IDS............................................................................................53
Hình 3.19 Thiết lập rules IDS...................................................................................54
Hình 3.20 SYN Flood DoS attack.............................................................................54
Hình 3.21 Báo cáo được ghi lại................................................................................55
Page 3


DANH MỤC TỪ VIẾT TẮT
TỪ VIẾT TẮT
2FA

NGHĨA TIẾNG ANH

NGHĨA TIẾNG VIỆT

Two - Factor Authentication

Xác thực hai yếu tố

Asymmetric Digital

Đường dây thuê bao kỹ thuật số

Subscriber Line


bất đối xứng

Certificate Authority

Chứng chỉ

Common Address

Giao thức dự phòng địa chỉ

Redundancy Protocol

chung

CPU

Central Processing Unit

Bộ xử lý trung tâm

DNS

Domain Name System

Hệ thống phân giải tên miền

FTP

File Transfer Protocol


Giao thức truyền tệp

GUI

Graphical User Interface

Giao diện đồ họa người dùng

HTTP

Hypertext Transfer Protocol

Giao thức truyền tải siêu văn bản

Internet Content Adaptation

Giao thức thích ứng nội dung

Protocol

Internet

Internet Control Message

Giao thức thông điệp điều khiển

Protocol

Internet


Intrution Detection System

Hệ thống phát hiện xâm nhập

ADSL
CA
CARP

ICAP
ICMP
IDS
IMAP

Internet Message Access
Protocol

Giao thức chuẩn Internet

IP

Internet Protocol

Giao thức mạng

KEA

Key Exchange Algorithm

Thuật tốn trao đổi khóa


L2TP

Layer 2 Tunneling Protocol

Giao thức đường hầm lớp 2

NAT

Network Address Translation

Biên dịch địa chỉ mạng

NFS

Network File System

Hệ thống giao thức chia sẻ tệp

OSI

Open Systems

Hệ thống kết nối mở

Interconnection

PHP

Hypertext Preprocessor


Ngơn ngữ lập trình kịch bản

PPTP

Point-to-Point Tunneling

Giao thức đường hầm điểm –

Page 4


Protocol

điểm

PSKs

Pre-shared key

Khóa chia sẻ trước

RRD

Round-robin Database

Cơ sở dữ liệu vịng tròn

SNMP

Simple Network


Giao thức quản lý mạng đơn giản

Management Protocol
Simple Mail Transfer

Giao thức truyền tải thư tín đơn

Protocol

giản

SSH

Secure Shell

Giao thức thiết lập kết nối mạng

SSL

Secure Sockets Layer

Lớp socket bảo mật

SMTP

TCP

Transmission Control


Giao thức điều khiển truyền dẫn

Protocol

TLS

Transport Layer Security

Kỹ thuật mã hóa truyền tin

UDP

User Datagram Protocol

Giao thức gói dữ liệu người dùng

URL

Uniform Resource Locator

Đường dẫn tham chiếu

VPN

Virtual Private Network

Mạng riêng ảo

WAN


Wide area network

Mạng diện rộng

XML

eXtensible Markup Language Ngôn ngữ đánh dấu mở rộng

Page 5


MỤC LỤC
LỜI CẢM ƠN..............................................................................................................I
LỜI CAM ĐOAN.......................................................................................................II
DANH MỤC HÌNH ẢNH........................................................................................III
DANH MỤC TỪ VIẾT TẮT...................................................................................IV
MỞ ĐẦU....................................................................................................................1
CHƯƠNG 1: GIỚI THIỆU CÁC HỆ THỐNG AN TỒN THƠNG TIN.................3
1.1. Firewall............................................................................................................3
1.1.1. Firewall là gì?...........................................................................................3
1.1.2. Cách thức hoạt động.................................................................................3
1.2. Certificate Authority (CA)...............................................................................3
1.2.1. Chứng chỉ số.............................................................................................3
1.2.2. Chức năng của CA....................................................................................4
1.2.3. Xác thực dựa trên chứng chỉ số.................................................................4
1.2.4. Giao thức SSL...........................................................................................6
1.3. Clam Antivirus (ClamAV)...............................................................................7
1.3.1. Giới thiệu về ClamAV..............................................................................7
1.3.2. Chức năng.................................................................................................7
1.3.3. Hiệu quả....................................................................................................8

1.3.4. Nền tảng....................................................................................................8
1.4. Intrusion Detection System / Intrusion Prevention System (IDS/IPS)............9
1.4.1. Intrusion Detection System (IDS).............................................................9
1.4.2. Intrusion Prevention System (IPS)..........................................................12
1.5. Mơ hình mạng cho các doanh nghiệp vừa và nhỏ..........................................13
1.5.1. Hiện trạng & nhu cầu..............................................................................13
1.5.2. Giải pháp xây dựng hệ thống mạng........................................................13
CHƯƠNG 2: TƯỜNG LỬA BẢO MẬT.................................................................17
2.1. Giới thiệu về tường lửa bảo mật....................................................................17
2.2. Chức năng......................................................................................................17
2.2.1. Quản lý và kiểm soát lưu lượng mạng....................................................18
Page 6


2.2.2. Kiểm tra gói tin (Packet inspection).......................................................18
2.2.3. Xác thực truy cập (Authentication Access)............................................19
2.2.4. Hoạt động như một thiết bị trung gian....................................................19
2.2.5. Bảo vệ tài nguyên (Protect Resources)...................................................20
2.2.6. Ghi lại và báo cáo sự kiện.......................................................................20
2.3. Phân loại.........................................................................................................21
2.3.1. Phân loại theo phạm vi sử dụng..............................................................21
2.3.2. Phân loại theo cấu trúc............................................................................22
2.4. Các công nghệ của Firewall...........................................................................26
2.4.1. Packet filter.............................................................................................27
2.4.2. Circuit-Level Gateways..........................................................................28
2.4.3. Application-Level Gateways..................................................................29
2.4.4. Stateful Multilayer Inspection Firewalls.................................................30
2.5. Một số kiến trúc của Firewall........................................................................31
2.5.1. Screening Router (Packet Filter).............................................................31
2.5.2. Dual Homed Host...................................................................................32

2.5.3. Screened Host.........................................................................................33
2.5.4. Screened Subnet......................................................................................35
CHƯƠNG 3: TRIỂN KHAI TƯỜNG LỬA OPNSENSE CHO MẠNG DOANH
NGHIỆP....................................................................................................................37
3.1. Mô hình mạng hiện tại...................................................................................37
3.1.1. Sơ đồ mạng.............................................................................................37
3.1.2. Mơ tả mạng.............................................................................................38
3.1.3. Ưu & nhược điểm của mạng...................................................................38
3.2. Mơ hình mạng đề xuất...................................................................................39
3.2.1. Sơ đồ mạng.............................................................................................39
3.2.2. Mô tả mạng.............................................................................................39
3.2.3. Ưu & nhược điểm của mạng...................................................................39
3.2.4. Giới thiệu về OPNSense.........................................................................40
3.3. Thực hiện kiểm thử........................................................................................43
3.3.1. Sơ đồ kiểm thử........................................................................................43
Page 7


3.3.2. Kịch bản 1: Network Address Filtering..................................................43
3.3.3. Kịch bản 2: Antivirus Protection............................................................48
3.3.4. Kịch bản 3: IDS với OPNSense..............................................................52
3.4. Đánh giá kết quả vận hành kiểm thử..............................................................56
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN................................................................59
DANH MỤC TÀI LIỆU THAM KHẢO..................................................................60

Page 8


Triển khai tường lửa OPNSense cho mạng doanh nghiệp


MỞ ĐẦU
I. LÝ DO CHỌN ĐỀ TÀI
Ngày nay, máy tính và mạng internet đã được phổ biến rộng rãi, các tổ chức,
cá nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính tốn, lưu trữ,
quảng bá thơng tin hay sử dụng các giao dịch trực tuyến trên mạng. Nhưng đồng
thời với những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính khơng
được quản lý sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng và điều này lại càng
quan trọng hơn đối với các doanh nghiệp.
Việc bị kẻ xấu tấn công vào hệ thống mạng của mình với mục đích như phá
hủy, đánh cắp thông tin sẽ gây ra những thiệt hại rất đáng kể cho doanh nghiệp. Kẻ
tấn cơng có thể sử dụng những thông tin đã lấy được đem bán cho những doanh
nghiệp đối thủ, hoặc dùng những thứ lấy cắp được của chính doanh nghiệp đó để
buộc họ phải trả tiền để lấy lại. Đây là mục đích chính của hầu hết những kẻ tấn
cơng vào các hệ thống mạng của các doanh nghiệp, đặc biệt là các doanh nghiệp tại
Việt Nam vì phần lớn các doanh nghiệp tại nước ta chưa quan tâm nhiều đến vấn đề
bảo mật thơng tin cho hệ thống mạng của chính doanh nghiệp mình.
Tuy nhiên, chi phí có thể bỏ ra chính là thứ mà các doanh nghiệp này cần quan
tâm nhất, khơng phải doanh nghiệp nào cũng có thể mạnh dạn đầu tư một khoản
tiền lớn cho một thiết bị bảo vệ an tồn cho hệ thống mạng của mình với đầy đủ độ
an toàn để tránh các rủi ro của việc tấn công mạng từ những kẻ xấu, đặc biệt là với
các doanh nghiệp vừa và nhỏ. Trong khi đó, trên thị trường có rất nhiều loại thiết bị,
sản phẩm đem lại sự bảo mật cho hệ thống mạng và phổ biến hơn cả trong đó chính
là tường lửa hay còn gọi là firewall. Và đối với một thiết bị tường lửa có đầy đủ độ
an tồn, có khả năng chống lại hầu hết các phương pháp tấn công mạng, có khả
năng hoạt động ổn định và hiệu suất hoạt động luôn đạt mức tốt sẽ đi kèm với việc
chi phí mà doanh nghiệp phải bỏ ra để sở hữu thiết bị đó là rất lớn, có thể lên đến
vài trăm triệu đồng.
Xác định được tầm quan trọng trong việc bảo mật hệ thống mạng của doanh
nghiệp, đồng thời giảm thiểu được phần nào về chi phí phải bỏ ra cho sự an toàn ,
bảo mật hệ thống mạng của doanh nghiệp đó, nên tơi đã chọn và nghiên cứu đề tài

Page 9


Triển khai tường lửa OPNSense cho mạng doanh nghiệp
“Triển khai tường lửa OPNSense cho mạng doanh nghiệp” với mục đích tìm
hiểu về cơ chế hoạt động của nó cũng như phát hiện ra những nhược điểm, qua đó
tìm ra giải pháp khắc phục những nhược điểm này để hệ thống mạng trong doanh
nghiệp luôn được vận hành trơn tru, an tồn và hạn chế sự cố có thể xảy ra, đồng
thời cũng hạn chế bớt được một phần nào về vấn đề chi phí cho sự an tồn và bảo
mật của hệ thống mạng doanh nghiêp. 
II. MỤC TIÊU VÀ NHIỆM VỤ
- Tìm hiểu về các hệ thống an tồn thơng tin.
- Tìm hiểu về Firewall và Firewall mềm OPNSense.
- Khảo sát nhu cầu về mơ hình mạng của các doanh nghiệp vừa và nhỏ.
- Triển khai mơ hình mạng có sử dụng Firewall OPNSense cho các doanh
nghiệp vừa và nhỏ.
- Đánh giá về Firewall mềm mã nguồn mở OPNSense.
III. ĐỖI TƯỢNG NGHIÊN CỨU
- Các hệ thống an tồn thơng tin.
- Firewall và Firewall mềm mã nguồn mở OPNSense.
- Các mô hình mạng của các cơng ty, doanh nghiệp vừa và nhỏ trên địa bàn
thành phố Đà Nẵng.
IV. PHẠM VI NGHIÊN CỨU
- Nghiên cứu tổng quan về các hệ thống an tồn thơng tin.
- Nghiên cứu về Firewall và Firewall mềm mã nguồn mở OPNSense.
- Nghiên cứ các mơ hình mạng được các doanh nghiệp vừa và nhỏ sử dụng.
V. BỐ CỤC KHĨA LUẬN

Bố cục khóa luận gồm có 3 chương:
- Chương 1: Giới thiệu về các hệ thống an toàn thông tin.

- Chương 2: Tường lửa bảo mật.
- Chương 3: Triển khai tường lửa OPNSense cho mạng doanh nghiệp.

Page 10


Triển khai tường lửa OPNSense cho mạng doanh nghiệp

CHƯƠNG 1: GIỚI THIỆU CÁC HỆ THỐNG AN TỒN THƠNG TIN
1.1. Firewall
1.1.1. Firewall là gì?
Firewall (tường lửa) được định nghĩa một cách đúng nhất là một hệ thống an
ninh mạng. Nó hoạt động như một rào chắn giữa mạng an toàn và mạng khơng an
tồn. Firewall sẽ kiểm sốt các thơng tin các truy cập đến nguồn lực của mạng, lúc
này chỉ có những traffic phù hợp với chính sách được định nghĩa trong tường lửa thì
mới được truy cập vào mạng, cịn lại sẽ bị từ chối.
Nói cách khác, firewall là hàng phịng vệ chống lại những kẻ tấn cơng giúp
ngăn chặn ý đồ xâm nhập xấu vào máy tính và hạn chế những gì đi ra khỏi máy nếu
chưa được cho phép. Máy tính nào khi kết nối tới internet cũng cần có firewall, điều
này giúp quản lý những gì được phép vào mạng và những gì được phép ra khỏi
mạng. [6]
1.1.2. Cách thức hoạt động
Về cơ bản, firewall là tấm lá chắn giữa máy tính của bạn và Internet, giống
như một người bảo vệ giúp bạn ngăn chặn những người đang muốn tấn cơng bạn.
Khi firewall hoạt động thì có thể từ chối hoặc cho phép lưu lượng mạng giữa các
thiết bị dựa trên các nguyên tắc mà nó đã được cấu hình hoặc cài đặt bởi một người
quản trị đưa ra.
Có rất nhiều firewall cá nhân như Windows firewall hoạt động trên một tập
hợp các thiết lập đã được cài đặt sẵn. Như vậy, người sử dụng không cần lo lắng về
việc phải cấu hình firewall như thế nào. Nhưng ở một hệ thống mạng lớn thì việc

cấu hình firewall là cực kỳ quan trọng để tránh khỏi các rủi ro có thể có xảy trong
hệ thống mạng. [6]
1.2. Certificate Authority (CA)
1.2.1. Chứng chỉ số
Chứng chỉ số (Digital certificates) là một tập tin điện tử được sử dụng để định
danh một cá nhân, một máy dịch vụ, một tổ chức … nó gắn định danh của đối tượng
đó với một khóa cơng khai, giống như bằng lái xe, hộ chiếu, chứng minh thư.

Page 11


Triển khai tường lửa OPNSense cho mạng doanh nghiệp
Có một nơi có thể chứng nhận các thơng tin của bạn là đúng, được gọi là cơ
quan xác thực chứng chỉ (Certificate Authority - CA). Cơ quan cấp chứng chỉ là
các bên thứ ba đáng tin cậy cung cấp chứng chỉ kỹ thuật số cho các tổ chức có nhu
cầu đảm bảo rằng người dùng của họ được cung cấp xác thực và kết nối an toàn.
Chứng chỉ được cung cấp bởi CA tạo niềm tin cho mối quan hệ trao đổi dữ liệu,
thông tin liên lạc giữa người dùng và nhà cung cấp vì họ có thể đảm bảo tính hợp lệ
của danh tính và chính quyền của nhau. [17]
1.2.2. Chức năng của CA
Máy khách sử dụng chứng chỉ CA để xác thực chữ ký CA trên chứng chỉ máy
chủ, như một phần của ủy quyền trước khi khởi chạy kết nối an tồn. Thơng thường
ở phần mềm máy khách, ví dụ như một trình duyệt sẽ có một bộ chứng chỉ CA đáng
tin cậy, điều này có ý nghĩa rất lớn vì nhiều người dùng cần tin tưởng vào phần
mềm máy khách của họ. Một khách hàng độc hại hoặc bị xâm nhập có thể bỏ qua
bất kỳ kiểm tra bảo mật nào và vẫn đánh lừa người dùng tin vào điều khác.
Trong chứng chỉ số chứa một khóa công khai được gắn với một tên duy nhất
của một đối tượng (như tên của một nhân viên hoặc máy dịch vụ). Các chứng chỉ số
giúp ngăn chặn việc sử dụng khóa cơng khai cho việc giả mạo. Chỉ có khóa cơng
khai được chứng thực bởi chứng chỉ số sẽ làm việc với khóa bí mật tương ứng, chỉ

có những đối tượng được định danh nằm trong chứng chỉ số mới được sở hữu nó. [17]
1.2.3. Xác thực dựa trên chứng chỉ số
Xác thực dựa trên chứng chỉ số là một phần của giao thức bảo mật SSL. Máy
khách ký số vào dữ liệu, sau đó gửi cả chữ ký số và chứng chỉ số qua mạng. Máy
dịch vụ sẽ dùng kỹ thuật mã hóa khóa cơng khai để kiểm tra chữ ký và xác định tính
hợp lệ của chứng chỉ số.
Chứng chỉ số có thể thay thế 3 bước đầu chứng thực bằng mật khẩu với cơ chế
cho phép người dùng chỉ phải nhập mật khẩu một lần và khơng phải truyền qua
mạng, người quản trị có thể điều khiển quyền truy nhập một cách tập trung.

Page 12


Triển khai tường lửa OPNSense cho mạng doanh nghiệp

Hình 1.1 Xác thực dựa trên chứng chỉ số
Các bước trong hình trên như sau:
- Bước 1: Phần mềm máy khách (ví dụ như Communicator) quản lý cơ sở dữ
liệu về các cặp khóa bí mật và khóa cơng khai. Máy khách sẽ yêu cầu nhập mật
khẩu để truy nhập vào cơ sở dữ liệu này chỉ một lần hoặc theo định kỳ. Khi máy
khách truy cập vào máy dịch vụ có sử dụng SSL, để xác thực máy khách dựa trên
chứng chỉ số, người dùng chỉ phải nhập mật khẩu một lần, họ không phải nhập lại
khi cần truy nhập lần thứ hai.
- Bước 2: Máy khách dùng khóa bí mật tương ứng với khóa cơng khai ghi trong
chứng chỉ, và ký lên dữ liệu được tạo ra ngẫu nhiên cho mục đích chứng thực từ cả
phía máy khách và máy dịch vụ. Dữ liệu này và chữ ký số thiết lập một bằng chứng
để xác định tính hợp lệ của khóa bí mật. Chữ ký số có thể được kiểm tra bằng khóa
cơng khai tương ứng với khóa bí mật đã dùng để ký, nó là duy nhất trong mỗi phiên
làm việc của giao thức SSL.
- Bước 3: Máy khách gửi cả chứng chỉ và bằng chứng (một phần dữ liệu được

tạo ngẫu nhiên và được ký) qua mạng.
- Bước 4: Máy dịch vụ sử dụng chứng chỉ số và bằng chứng đó để xác thực
người dùng.
- Bước 5: Máy dịch vụ có thể thực hiện tùy chọn các nhiệm vụ xác thực khác,
như việc xem chứng chỉ của máy khách có trong cơ sở dữ liệu để lưu trữ và quản lý
các chứng chỉ số. Máy dịch vụ tiếp tục xác định xem người sử dụng có những quyền
gì đối với tài nguyên của hệ thống. [17]
Page 13


Triển khai tường lửa OPNSense cho mạng doanh nghiệp
1.2.4. Giao thức SSL
SSL là giao thức được thiết kế để tạo ra các giao tiếp giữa hai chương trình
ứng dụng trên một cổng định trước (Socket 443), nhằm mã hố tồn bộ thông tin
gửi/ nhận. SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an
tồn và chống giả mạo thơng tin qua Internet giữa hai ứng dụng bất kỳ.
SSL cho phép một server có hỗ trợ SSL tự xác thực với một client cũng hỗ trợ
SSL, cho phép client tự xác thực với server, và cho phép cả hai máy thiết lập một
kết nối được mã hoá.
Giao thức SSL gồm hai tầng. Tầng thấp nhất là tầng SSL Record Protocol. Nó
được sử dụng để đóng gói một số giao thức ở mức cao hơn. Một trong những giao
thức được đóng gói là SSL Handshake Protocol, giao thức này cho phép server và
client thực hiện việc xác thực lẫn nhau, thỏa thuận thuật toán mã hoá và các khoá
mật mã trước khi giao thức ứng dụng gửi hoặc nhận dữ liệu.
 Ưu điểm của SSL:
- Tính năng mạnh nhất của SSL / TLS là chúng xác định mối quan hệ với các
tầng giao thức khác như thế nào trong hệ thống kiến trúc mạng OSI.
- Giao thức SSL là duy nhất, không phụ thuộc vào giao thức mạng. Bởi vì SSL
khơng phụ thuộc vào các tầng giao thức, cho nên SSL trở thành một nền tảng độc
lập hay là một thực thể mạng độc lập.

- Một sức mạnh khác của SSL là ngăn chặn cách thức tấn cơng từ điển
(dictionary attack).
- Giao thức SSL cịn bảo vệ chính nó với đối tác thứ ba. Đó là các client xâm
nhập bất hợp pháp dữ liệu trên đường truyền. Client xâm nhập này có thể giả mạo
client hoặc server, SSL có nhiệm vụ ngăn chặn sự giả mạo này bằng cách sử dụng
khoá riêng của server và sử dụng chứng chỉ số.
- Phương thức bắt tay trong TLS cũng tương tự, tuy nhiên TLS sẽ tăng cường sự
bảo mật bằng cách cho phép truyền phiên bản giao thức, số hiệu phiên làm việc, hệ
mã hoá và cách thức nén được sử dụng (TLS bổ sung thêm hai thuật tốn băm
khơng có trong SSL).

Page 14


Triển khai tường lửa OPNSense cho mạng doanh nghiệp
 Hạn chế của SSL:
- Do những ràng buộc cơ bản của bản thân giao thức SSL. Đây là hệ quả của
việc thiết kế SSL và ứng dụng chịu tác động của nó.
- Do mơi trường, trong đó SSL được triển khai, có những thiếu sót và giới hạn.
- Do giao thức SSL cũng thừa kế một vài điểm yếu từ các cơng cụ mà nó sử
dụng, cụ thể là các thuật toán ký và mã hoá. Nếu các thuật toán này có điểm yếu,
SSL thường khơng thể khắc phục chúng. [17]
1.3. Clam Antivirus (ClamAV)
1.3.1. Giới thiệu về ClamAV
ClamAV là từ viết tắt của tên gọi Clam Antivirus được phát triển bởi Tập đồn
chun về cơng nghệ thơng tin và kết nối mạng internet hệ thống Cisco (Cisco
Systems). Clam Antivirus là một bộ cơng cụ miễn phí, hỗ trợ đa nền tảng và cùng
với hệ thống mở có thể phát hiện được nhiều phần mềm, mã nguồn độc hại trong đó
bao gồm cả virus.
Ứng dụng này được phát triển trên cả Email, một trong những ứng dụng chính

của nó là trên các máy chủ mail như một trình qt virus email phía máy chủ. Ứng
dụng này được phát triển dành cho Unix và có các phiên bản dành cho bên thứ ba
có sẵn cho AIX, BSD, Linux, MacOS, OpenVMS, OSF (Trust 64) và Solaris. Kể từ
phiên bản 0.97.5, Clam Antivirus được xây dựng và chạy trên Microsoft Windows.
Tất cả các phiên bản của Clam Antivirus được cung cấp và sử dụng miễn phí. [16]
1.3.2. Chức năng
Clam Antivirus bao gồm một số tiện ích: một máy quét dòng lệnh, cập nhật cơ
sở dữ liệu tự động và một khả năng mở rộng đa luồng Daemon, chạy trên một
engine chống virus từ một thư viện chia sẻ.
Một số định dạng Clam Antivirus hỗ trợ chính như: File Zip (bao gồm cả
SFX), 7Zip, ARJ (bao gồm cả SFX), Tar, CPIO, Gzip, Bzip2, MS OLE2, MS CHM
(Compiled HTML), MS SZDD định dạng nén, BinHex, SIS (gói SymbianOS),
Autolt. Clam Antivirus cũng hỗ trợ nhiều định dạng tài liệu bao gồm Microsoft
Office, HTML, RTF (Rich Text Format), PDF (Portable Document Format), mã hóa
tập tin với CryptFF và ScrEnc, Uuencode, TNEF (winmail.dat). Cơ sở dữ liệu của
Page 15


Triển khai tường lửa OPNSense cho mạng doanh nghiệp
phần mềm được cập nhật liên tục trong ngày, thời gian thường nhật là bốn giờ một
lần. [16]
1.3.3. Hiệu quả
Phần mềm diệt virus Clam Antivirus được thử nghiệm thường xuyên và so
sánh trực tiếp cùng các phần mềm khác bởi tổ chức phi lợi nhuận Shadowsever
chuyên thu thập, phân tích dữ liệu về các hoạt động sử dụng Internet độc hại, gửi
báo cáo hằng ngày cho các thuê bao đăng ký và làm việc cùng với các tổ chức an
ninh trên toàn thế giới. Năm 2011, Shadowsever đã thử nghiệm 25 triệu mẫu chống
lại ClamAV và nhiều sản phẩm chống Virus khác và cho ra kết quả là trong 25 triệu
mẫu được thử nghiệm, ClamAV xếp ở vị trí số 12 trên 19 đối thủ cùng tham gia, đạt
kết quả lên tới 76.06%. [16]

1.3.4. Nền tảng
 Đối với nền tảng Linux và BSD
ClamAV có sẵn dành cho các nền tảng Linux và BSD, trong hầu hết mọi
trường hợp, ClamAV có sẵn trong kho lưu trữ của nhà cung cấp để cài đặt và sử
dụng.
Trên máy chủ Linux, ClamAV có thể chạy ở chế độ daemon, phục vụ các yêu
cầu quét các tệp được gửi từ các quy trình khác.
Trên máy tính để bàn Linux và BSD, ClamAV cung cấp chức năng quét theo
yêu cầu của từng tệp, thư mục hoặc toàn bộ PC.
 Nền tảng MacOS
MacOS Sever đã được tích hợp ClamAV kể từ phiên bản 10.4, giao diện có trả
phí được sử dụng dưới tên gọi ClamXAV. Một chương trình khác sử dụng công cụ
ClamAV, trên macOS, là Counteragent. Hoạt động cùng với chương trình Eudora
Internet Mail Server, Counteragent quét email để phát hiện vi-rút bằng ClamAV và
cũng tùy chọn cung cấp tính năng lọc thư rác thơng qua SpamAssassin.
 OpenVMS
ClamAV được dùng cho các nền tảng DecAlpha và Intanium.

Page 16


Triển khai tường lửa OPNSense cho mạng doanh nghiệp
 Windows
ClamAV là một phần của ứng dụng Immunet do Cisco System sản xuất và
cung cấp.
 eComStation
ClamAV cho eComStation (OS/2) có sẵn từ OS / 2 Power Wiki. "Mục đích
chính của phần mềm này là tích hợp với các máy chủ thư (qt tệp đính kèm). Gói
này cung cấp trình nền đa luồng linh hoạt và có thể mở rộng, trình qt dịng lệnh
và cơng cụ để cập nhật tự động qua Internet. [16]

1.4. Intrusion Detection System / Intrusion Prevention System (IDS/IPS)
1.4.1. Intrusion Detection System (IDS)
Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp một
cách hợp lí để nhận ra những mối nguy hại có thể tấn công. Chúng phát hiện những
hoạt động xâm nhập trái phép vào mạng. Chúng có thể xác định những hoạt động
xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system call,
và những khu vực khác khi phát ra những dấu hiệu xâm nhập.
IDS cũng có thể phân biệt giữa tấn cơng từ bên trong hay tấn cơng từ bên
ngồi. IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như
phần mềm diệt virus dựa vào dấu hiệu đặc biệt phát hiện và diệt virus) hay dựa trên
so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống)
để tìm ra các dấu hiệu khác thường. [14]
Phân loại các loại hệ thống phát hiện xâm nhập
 NIDS (Network-base IDS - hệ thống phát hiện xâm nhập mạng)
Hệ thống sẽ tập hợp gói tin để phân tích sâu bên trong mà khơng làm thay đổi
cấu trúc gói tin. NIDS có thể là phần mềm triển khai trên server hoặc dạng thiết bị
tích hợp appliance.
NIDS sử dụng bộ dò và bộ cảm biến cài đặt trên tồn mạng. Những bộ dị này
theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mơ tả sơ lược
được định nghĩa hay là những dấu hiệu. Những bộ cảm biến thu nhận và phân tích
lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu

Page 17


Triển khai tường lửa OPNSense cho mạng doanh nghiệp
bất thường, bộ cảm biến sẽ gửi tín hiệu cảnh báo đến trạm quản trị và có thể được
cấu hình để nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn.
NIDS là tập nhiều sensor (cảm biến) được đặt ở tồn mạng để theo dõi những
gói tin trong mạng và so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn

cơng hay khơng.
 Ưu điểm của NIDS
- Quản lý được một phân đoạn mạng (network segment).
- Trong suốt với người sử dụng và kẻ tấn công.
- Cài đặt và bảo trì đơn giản, khơng làm ảnh hưởng đến mạng.
- Tránh được việc bị tấn công dịch vụ đến một host cụ thể.
- Có khả năng xác định được lỗi ở tầng mạng (network).
- Độc lập với hệ điều hành.
 Hạn chế của NIDS
- Có thể xảy ra trường hợp báo động giả, tức là khơng có dấu hiệu bất thường
mà IDS vẫn báo.
- Không thể phân tích được các lưu lượng đã được mã hóa như SSH, IPSec,
SSL …
- NIDS địi hỏi phải ln được cập nhật các dấu hiệu tấn công mới nhất để thực
sự hoạt động hiệu quả.
- Không thể cho biết việc mạng bị tấn cơng có thành cơng hay khơng, để người
quản trị tiến hành bảo trì hệ thống.
 HIDS (Host-base IDS - hệ thống phát hiện xâm nhập host)
Hệ thống sẽ theo dõi các hoạt động bất thường trên các host riêng biệt. HIDS
được cài đặt trực tiếp trên các máy (host) cần theo dõi, những hệ thống HIDS được
cài đặt như là những agent (tác nhân) trên một host, kiểm sốt lưu lượng vào ra trên
một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng.
HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng
DMZ (DMZ thường là mục tiêu bị tấn công đầu tiên).
Bằng cách cài đặt một IDS trên máy tính chủ, ta có thể quan sát tất cả những
hoạt động hệ thống, như các file log những thông điệp báo lỗi trên hệ thống máy
Page 18


Triển khai tường lửa OPNSense cho mạng doanh nghiệp

chủ và những lưu lượng mạng thu thập được. Trong khi những đầu dị của mạng có
thể phát hiện một cuộc tấn cơng, thì chỉ có hệ thống dựa trên máy chủ mới có thể
xác định xem cuộc tấn cơng có thành công hay không. Thêm nữa là, hệ thống dựa
trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị
tấn công (compromised host).
 Ưu điểm của HIDS:
- Có khả năng xác định người dùng liên quan tới một sự kiện.
- Hids có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.
- Có thể phân tích các dữ liệu mã hóa.
- Cung cấp các thơng tin về host trong lúc tấn công diễn ra.
 Nhược điểm HIDS:
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
- Khi hệ điều hành bị hạ do tấn công, đồng thời HIDS cũng bị hạ.
- Hids phải được thiết lập trên từng host giám sát.
- Hids khơng có khả năng phát hiện các cuộc thăm dò mạng.
- Hids cần tài nguyên Host để hoạt động.
- Đa số chạy trên hệ điều hành Windows, tuy nhiên cũng đã có một số chạy trên
linux chẳng hạng như Ubuntu.
Ưu điểm, hạn chế của hệ thống phát hiện xâm nhập
 Ưu điểm:
- Cung cấp một cách nhìn tồn diện về toàn bộ lưu lượng mạng.
- Giúp kiểm tra các sự cố xảy ra với hệ thống mạng.
- Sử dụng để thu thập bằng chứng cho điều tra và ứng cứu sự cố.
 Hạn chế:
- Có thể gây ra tình trạng báo động nhầm nếu cấu hình khơng hợp lý.
- Khả năng phân tích lưu lượng bị mã hóa tương đối thấp.
- Chi phí triển khai và vận hành hệ thống tương đối lớn.

Page 19


[14]


Triển khai tường lửa OPNSense cho mạng doanh nghiệp
1.4.2. Intrusion Prevention System (IPS)
Hệ thống ngăn ngừa xâm nhập (Intrusion Prevention Systems - IPS) là hệ
thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.
Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thơng tin
này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa
ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.
Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức
hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau.
Điểm khác nhau duy nhất là hệ thống IPS ngồi khả năng theo dõi, giám sát
thì cịn có chức năng ngăn chặn kịp thời các hoạt động nguy hại đối với hệ thống.
Tuy nhiên, hệ thống IPS lại sử dụng tập luật tương tự như hệ thống IDS. [15]
Phân loại các loại hệ thống ngăn ngừa xâm nhập
- Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion
Prevention): thường được triển khai trước hoặc sau firewall. Khi triển khai IPS
trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả firewall, vùng
DMZ. Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đồi với firewall. Khi
triển khai IPS sau firewall có thể phịng tránh được một số kiểu tấn công thông qua
khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong.
- Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention):
thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động
thâm nhập trên các host. Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng
công nghệ tương tự như các giải pháp antivirus. Ngoài khả năng phát hiện ngăn
ngừa các hoạt động thâm nhập, HIPS cịn có khả năng phát hiện sự thay đổi các tập
tin cấu hình.
Ưu điểm, hạn chế của hệ thống ngăn ngừa xâm nhập

 Ưu điểm:
- Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ thống.
- Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.
 Hạn chế:
- Có thể gây ra tình trạng phát hiện nhầm (false positives).
Page 20



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×