Tìm hiểu, cài đặt hệ thống smoothwall triển khai vào hệ thống trường đại học điện lực để đảm bảo an toàn cho trung tâm dữ liệu

Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi, nghiêncứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự cố.Đồng thời họ phải thiết lập

LỜI CẢM ƠN

Trong quá trình thực tập này, em luôn nhận được sự hướng dẫn, chỉ bảo tận tình của Th.S

Lê Mạnh Hùng, giảng viên khoa công nghệ thông tin trường Đại học Điện lực, thầy đãgiành nhiều thời gian hướng dẫn, giúp đỡ tận tình chúng em trong quá trình thực tập

Em xin chân thành cảm ơn sâu sắc TS Nguyễn Hữu Quỳnh – trưởng Khoa CNTT, TS.Nguyễn Thị Thu Hà – phó Khoa CNTT cùng toàn thể các thầy cô trong khoa Công NghệThông Tin, những giảng viên đã tận tình giảng dạy và truyền đạt cho em những kiến thức,kinh nghiệm quý báu trong suốt những năm học tập và rèn luyện tại trường Đại học Điện

Lực

Xin cảm ơn những bạn bè trong tập thể lớp D4-CNTT cùng những người bạn trongkhoa Công Nghệ Thông Tin đã chung vai sát cánh bên em vượt qua những khó khăn, thửthách của quãng đời sinh viên, cùng nhau vững bước trên con đường học tập đầy giannan, vất vả

Hà nội, ngày 15 tháng 10 năm 2013

Sinh viên thực hiệnNguyễn Minh Đức

MỤC LỤC

LỜI CẢM ƠN 1

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG TRUNG TÂM DỮ LIỆU 1

1.1 Khái niệm Trung Tâm Dữ Liệu (Data Center) 1

1.2 An toàn bảo mật thông tin, dữ liệu 1

1.3 Tìm hiểu về tường lửa (Firewall) 2

Hình 1.1 Sơ đồ làm việc của Packet Filtering 4

Hình 1.2 Kết nối qua cổng vòng( Circuit-Level Gateway) 6

Hình 1.3 Sơ đồ kiến trúc Dual-homed Host 7

Hình 1.4 Sơ đồ kiến trúc Screened Host 8

Hình 1.5 Sơ đồ kiến trúc Screened Subnet Host 9

Hình 1.6 Vùng DMZ được tách riêng với mạng nội bộ 10

Hình 1.7 Sơ đồ kiến trúc sử dụng 2 Bastion Host 11

1.4 Tìm hiểu hệ thống Proxy 11

Hình 1.8 Kết nối sử dụng Application Level Gateway 12

Hình 1.9 Kết nối giữa người dùng (Client) với Server qua Proxy 13

1.5 Các hình thức tấn công và giải pháp cho hệ thống Trung Tâm Dữ Liệu 14

1.6 Kết luận 15

CHƯƠNG 2: KHẢO SÁT MÔ HÌNH TRƯỜNG ĐẠI HỌC ĐIỆN LỰC 17

1.7 Khảo sát nhu cầu sử dụng và cơ sở vật chất hiện tại 17

1.8 Mô hình bảo mật hiện nay tại trường Đại Học Điện Lực 19

1.9 Kết luận 21

CHƯƠNG 3: TÌM HIỂU VÀ CÀI ĐẶT SMOOTHWALL CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC ĐIỆN LỰC 22

1.11 Cài đặt SmoothWall Express 22

1.12 Quản trị SmoothWall Express 25

1.13 Làm việc với VPN 35

1.14 Sử dụng SmoothWall Express Tools 36

1.15 Sử dụng SmoothWall Express Services 38

1.16 Quản lý Sử dụng SmoothWall Express 47

1.17 Thông tin và bản ghi 51

KẾT LUẬN 58

TÀI LIỆU THAM KHẢO 59

DANH MỤC HÌNH ẢNH LỜI CẢM ƠN 1

Hình 1.1.Sơ đồ làm việc của Packet Filtering 4

Hình 1.2.Kết nối qua cổng vòng( Circuit-Level Gateway) 6

Hình 1.3.Sơ đồ kiến trúc Dual-homed Host 7

Hình 1.4.Sơ đồ kiến trúc Screened Host 8

Hình 1.5.Sơ đồ kiến trúc Screened Subnet Host 9

Hình 1.6.Vùng DMZ được tách riêng với mạng nội bộ 10

Hình 1.7.Sơ đồ kiến trúc sử dụng 2 Bastion Host 11

Hình 1.8.Kết nối sử dụng Application Level Gateway 12

Hình 1.9.Kết nối giữa người dùng (Client) với Server qua Proxy 13

DANH MỤC BẢNG BIỂU

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG

TRUNG TÂM DỮ LIỆU

1.1 Khái niệm Trung Tâm Dữ Liệu (Data Center).

Nơi tập trung nhiều thành phần tài nguyên mật độ cao (hardware, software…)làm chức năng lưu trữ, xử lý toàn bộ dữ liệu hệ thống với khả năng sẵn sàng và độ ổnđịnh cao Các tiêu chí khi thiết kế DC bao gồm:

Tính module hóa cao

Khả năng mở rộng dễ dàng

Triển khai các giải pháp mới tối ưu về nguồn và làm mát

Khả năng hỗ trợ hợp nhất Server và thiết bị lưu trữ mật độ cao

Datacenter là nơi chứa đựng, tập hợp tất cả dữ liệu của doanh nghiệp, của các tổchức, ngành… nhằm hỗ trợ việc xử lý thông tin và ra các quyết định Với mục đích đó,các số liệu là nguyên liệu của các phép tính và rất quan trọng

1.2 An toàn bảo mật thông tin, dữ liệu.

1.2.1 Khái quát bảo mật thông tin

Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin, đặc biệt là sự pháttriển của mạng Internet, ngày càng có nhiều thông tin được lưu trữ trên máy vi tính vàgửi đi trên mạng Internet Và do đó xuất hiện nhu cầu về an toàn và bảo mật thông tintrên máy tính Có thể phân loại mô hình an toàn bảo mật thông tin trên máy tính theohai hướng chính như sau:

Bảo vệ thông tin trong quá trình truyền thông tin trên mạng (Network Security).Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bênngoài (System Security)

Từ đó, các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừngđổi mới đảm bảo tính toàn vện và bảo mật cho việc lưu trữ và truyền tin trong các máytính nối mạng Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá trìnhtruyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu đótrong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép nàothông qua mạng

1.2.2 Khái niệm.

Trung tâm tích hợp dữ liệu trước hết là trung tâm có phòng Server, phòng tin học

có những thiết bị phục vụ cho việc kết nối mạng như Switch, Router, Hub, và có các

máy chủ Webdite, máy chủ CSDL, Hosting, chia sẻ dữ liệu, máy chủ mail để phục vụcho việc lưu trữ, sử lý thông tin, … phục vụ cho hoạt động của cơ quan, tổ chức,…

1.2.3 Các loại tấn công cơ bản

Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động

Tấn công thụ động: Mục tiêu của Hecker là chỉ nắm bắt và đánh cắp thông tin.

Họ chỉ có thể biết được người gửi, người nhận trong phần IP Header và thống kê đượctần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh sửa hoặclàm hủy hoại nội dung thông tin dữ liệu trao đổi Kiểu tấn công này khó phát hiệnnhưng có thể có biện pháp ngăn chặn hiệu quả Đối với tấn công chủ động có thể làmthay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lại gói tin đó

Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn

hơn nhiều Một thực tế cho thấy bất kỳ một hệ thống nào dù được bảo vệ chắc chắnđến đâu cũng không thể đảm bảo là an toàn tuyệt đối vì vậy, chúng ta cần phải xâydựng các chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn

1.2.4 Nhiệm vụ của người quản trị.

Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi, nghiêncứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự cố.Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao chohiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khácnhau

Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào tàinguyên mạng Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị tấncông Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ra ngoài ýmuốn

Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chính mộtcách hài hòa và hợp lý Đó chỉ là điều kiện cần cho những quản trị mạng phải có đểđảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể

1.3 Tìm hiểu về tường lửa (Firewall).

1.3.1 Khái niệm về tường lửa (Firewall).

1.3.1.1 Khái niệm về Firewall.

Ngăn chặn truy nhập bất hợp pháp.

Kiểm soát thông tin trao đổi từ trong ra và từ Internet vào hệ thống cục bộ

Ghi nhận và theo dõi thông tin mạng

1.3.1.2 Đặc điểm.

Thông tin giao lưu được theo hai chiều

Chỉ có những thông tin thỏa mãn nhu cầu bảo vệ mới được đi qua

Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chính sách:

Những dịch vụ nào cần ngăn chặn

Những host nào cần phục vụ

Mỗi nhóm cần truy nhập những dịch vụ nào

Mỗi dịch vụ sẽ được bảo vệ như thế nào

1.3.1.3 Ưu điểm và hạn chế.

 Ưu điểm:

Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trongkhi cho phép người sử dụng hợp pháp truy nhập tự do mạng bên ngoài

Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập Nó là

“cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọicuộc trao đổi thông tin, điểm xuất phát và đích, thời gian,…

Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu

từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra

 Hạn chế:

Firewall không thể đọc hiểu từng loại thông tin và phân tích nội dung của nó.Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin đã xác địnhtrước

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không

“đi qua” nó, như là sự dò rỉ thông tin do dữ liệu sao chép bất hợp pháp lên đĩa mềm.Firewall cũng không thể chống lại các cuộc bằng dữ liệu (data – drivent attack).Khi có một số chương trình được chuyền theo thư điện tử, vượt qua Firewall vào trongmạng được bảo vệ và bắt đầu hoạt động ở đây

Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua

nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách

để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

1.3.2 Các thành loại Firewall và cơ chế hoạt động.

Một Firewall chuẩn bao gồm một hay nhiều các loại sau đây:

Bộ lọc gói (Packet – Fileter)

Cổng ứng dụng (Application – level Gateway hay Proxy Server)

Cổng vòng (Circuite level Gateway)

a) Bộ lọc gói (Packet Filtering)

 Nguyên lý hoạt động:

Hình 1.1 Sơ đồ làm việc của Packet Filtering.

Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được Nó kiểm tra toàn

bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật

lệ của lọc gói hay không Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗiPacket (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng Đó là:Địa chỉ IP nơi xuất phát (IP Source address)

Địa chỉ IP nơi nhận (IP Destination address)

Những thủ rục truyền tin (TCP, UDP, ICMP, IP tunnel)

Cổng TCP/UDP nơi xuất phát (TCP/UDP souree port)

Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

Dạng thông báo ICMP (ICMP message type)

Giao diện Packet đến (Incomming interface of Packet)

Giao diện Packet đi (Outcomming interface of Packet)

 Ưu điểm

Đa số các hệ thống Firewall đều sử dụng bộ lọc gói Một trong những ưu điểmcủa phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồmtrong mỗi phần mềm Router.

Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy

nó không yêu cầu sự huấn luyện đặc biệt nào cả

Một cổng ứng dụng thường được coi như là một pháo đài (bastion Host), bởi vì

nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảmbảo an ninh của một Bastion Host là:

Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm

hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mụcđích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo

Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host Điều này chophép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn đề

 Ưu điểm

Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thểtruy nhập được bởi các dịch vụ

Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chéplại thông tin về truy nhập hệ thống.

 Hạn chế

Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặttrên máy Client cho truy nhập vào các dịch vụ Proxy Ví Dụ, Telnet truy nhập quacổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi.Tuy nhiên, cũng đã có một số phần mềm Client cho phép ứng dụng trên cổng ứngdụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứngdụng trên lệnh Telnet

c) Cổng vòng (Circuit-Level Gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứngdụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiệnbất kỳ một hành động xử lý hay lọc gói nào

Hình 1.2 Kết nối qua cổng vòng( Circuit-Level Gateway).

Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quảntrị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là mộtBastion Host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng chonhững kết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thống bứctường lửa dễ dàng sử dụng cho những mạng nội bộ muốn trực tiếp truy nhập tới cácdịch vụ Internet, trong khi vẫn cung cấp chức năng Bastion Host để bảo vệ mạng nội

bộ từ những sự tấn công bên ngoài

1.3.3 Những mô hình Firewall

1.3.3.1 Dual homed host

Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạngnội bộ Dual–homed Host là một máy tính có hai giao tiếp mạng một nối với mạng cục

bộ và một nối với mạng ngoài (Internet)

Hình 1.3 Sơ đồ kiến trúc Dual-homed Host

 Ưu điểm của Dual–homed Host:

Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt

Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thôngthường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành

là đủ

 Nhược điểm của Dual–homed Host:

Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng nhưnhững hệ phần mềm mới được tung ra thị trường

Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó,

và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn côngvào mạng nội bộ

1.3.3.2 Screened Host

Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụngProxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến ProxyServer mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bênngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một sốkết nối với internal/external host

Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch

vụ hệ thống cung cấp cho người sử dụng qua Proxy Server

Hình 1.4 Sơ đồ kiến trúc Screened Host

Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máyriêng biệt Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng nhưkhó xảy ra lỗi (tuân thủ qui tắc ít chức năng) Proxy Servers được đặt ở máy khác nênkhả năng phục vụ (tốc độ đáp ứng) cũng cao

 Nhược điểm

Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering systemcũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công độtnhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn côngthấy

Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phục

1.3.3.3 Screened Subnet

Hình 1.5 Sơ đồ kiến trúc Screened Subnet Host.

Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và mộtBastion Host (hình 2.7) Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mứcbảo mật Network và Application trong khi định nghĩa một mạng perimeter network.Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet vàmạng nội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet vàmạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ,

và sự truyền trực tiếp qua mạng DMZ là không thể được

và chấp nhận các rủi ro tấn công từ internet Hệ thống firewall này có độ an toàn caonhất vì nó cung cấp cả mức bảo mật network và application.

Hình 1.6 Vùng DMZ được tách riêng với mạng nội bộ.

 Ưu điểm:

Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ làkhông thể nhìn thấy (invisible) Chỉ có một số hệ thống đã được chọn ra trên DMZ làđược biết đến bởi Internet qua routing table và DNS information exchange (DomainName Server)

1.3.3.5 Sử dụng nhiều Bastion Host

Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũngnhư tách biệt các Servers khác nhau

Hình 1.7 Sơ đồ kiến trúc sử dụng 2 Bastion Host.

Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (localuser) một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của nhữngngười sử dụng bên ngoài (external user)

Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiềumạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau, khi mà mộtServer nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt

1.4 Tìm hiểu hệ thống Proxy.

Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn.Những Proxy server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thứcthực thi trên dual-homed host hoặc Bastion Host Những chương trình Client củangười sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sửdụng cần giao tiếp

1.4.1 Tác dụng và chức năng.

Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến ứng dụng đượccung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầuhết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơntruy xuất đến Internet cho tất cả người sử dụng Khi truy xuất đến Internet thì họkhông thể thực hiện những công việc đó một cách trực tiếp, phải login vào Dual-Homed Host, thực hiện tất cả những công việc ở đây, và sau đó bằng phương pháp nào

đó chuyển đổi những kết quả đạt được của công việc trở lại Workstation sở hữu

Hình 1.8 Kết nối sử dụng Application Level Gateway.

Proxy Application chính là chương trình trên Application – level GatewayFirewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông quaFirewall, tiến trình này được thực hiện trình tự như sau:

Thành lập một kết nối đến Proxy Applicaltion trên Firewall

Proxy Applicaltion thu nhập thông tin về việc kết nối và yêu cầu của người sửdụng

Sử dụng thông tin để xác định yêu cầu có được chấp nhận không, nếu chấp nhận,Proxy sẽ tạo sự kết nối khác từ Firewall đến máy đích

Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa Client vàServer

1.4.2 Kết nối thông qua Proxy (Proxying)

Proxing được thực hiện khác nhau với từng dịch vụ, có một vài dịch vụ dễ dàngcài đặt hoặc tự động, nhưng vài dịch vụ lại rất khó khăn Tuy nhiên, hầu hết các dịch

vụ đều yêu cầu những phần mềm Proxy Server và Client tương ứng

Hình 1.9 Kết nối giữa người dùng (Client) với Server qua Proxy.

1.4.3 Các dạng Proxy

Dạng kết nối trực tiếp

Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụngkết nối trực tiếp đến Firewall Proxy, sử dụng cho địa chỉ của Firewall và số cổng củaProxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của Host hướng đến, đó là mộtphương pháp Brute Force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là mộtvài nguyên nhân tại sao nó là phương pháp ít thích hợp

Dạng thay đổi Client

Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máytính của người sử dụng Người sử dụng với ứng dụng đó hành động chỉ như những ứngdụng không sửa đổi Người sử dụng cho địa chỉ của host đích hướng tới Những ứngdụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, setup sự kết nối đếnứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng

Proxy vô hình

Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sửdụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại.Tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall Chúng tựđộng được đổi hướng đến ứng dụng Proxy đang chờ Firewall đóng vai trò như mộtHost đích Khi kết nối được tạo ra Firewall Proxy, Clinet nghĩ rằng nó được kết nốivới Server thật Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật

1.5 Các hình thức tấn công và giải pháp cho hệ thống Trung Tâm Dữ Liệu 1.5.1 Các hình thức tấn công.

1.5.2 Giải pháp cho Trung tâm dữ liệu.

1.5.2.1 Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu.

Bảo vệ dữ liệu tránh được những truy cập trái phép

Bảo vệ dữ liệu khỏi bị thay đổi không mong muốn

Bảo vệ trực tiếp dữ liệu bằng mật mã

1.5.2.2 Bảo toàn thông tin Dữ liệu.

Bảo toàn thông tin Dữ liệu chính là việc bảo vệ tính toàn vẹn Dữ liệu: ở đây làtránh được những truy cập trái phép đến Dữ liệu, từ đó thay đổi thông tin trong Dữliệu

Nhiệm vụ chủ yếu của chức năng này đảm bảo cho việc truy xuất của các đổitượng đến Dữ liệu luôn được thực hiện, không bị cản trở, ảnh hưởng bởi các yếu tốbên ngoài như kẻ khác giả mạo, ngăn chặn việc truy cập của người dùng hợp pháp vàđến dữ liệu được lưu trữ trong Trung tâm dữ liệu.

1.5.2.5 Kiểm soát thông tin vào, ra Trung tâm dữ liệu.

Ở đây việc kiểm soát thông tin vào, ra là kiểm soát việc truy xuất thông tin trongTrung tâm dữ liệu

- Kiểm soát thông tin vào, ra được chia làm ba loại chính: Kiểm soát thông tintruy nhập, kiểm soát luồng và kiểm soát suy diễn

 Kiểm soát truy nhập

Một hệ thống kiểm soát truy nhập bao gồm có 3 phần chính sau:

Phần 1: Các chính sách an ninh và quy tắc truy nhập (security policies, accessrules)

Phần 2: Cơ chế an ninh hay các thủ tục kiểm soát (control procedures)

Phần 3: Là các phương tiện và công cụ thực hiện việc kiểm soát truy nhập haycòn gọi là hạ tầng cơ sở (bao gồm có kiểm soát trực tiếp và tự động)

 Kiểm soát lưu lượng

Ở đây chúng ta hiểu lưu lượng chính là “luồng” thông tin di chuyển giữa hai đốitượng Do đó việc kiểm soát lưu lượng chính là việc kiểm tra luồng thông tin có “đi”

từ đối tượng này sang đối tượng khác hay không

 Kiểm soát suy diễn

Ngay từ cái tên gọi thì việc suy diễn chính là việc lấy thông tin thông qua việctập hợp các thông tin khác, hay phân tích từ thông tin khác

1.6 Kết luận.

Hệ thống Trung tâm dữ liệu (Data Center) là kho lưu trữ thông tin, dữ liệu rấtquan trọng và cần thiết cho một trường học, doanh nghiệp,… Vì vậy, việc đảm bảo antoàn và bảo mật cho hệ thống Trung tâm dữ liệu là vô cùng cần thiết

Firewall là lựa chọn của rất nhiều hệ thống Trung tâm dữ liệu hiện nay Firewall

có rất nhiều cách thức bảo mật khác nhau như:

Bộ lọc gói (Packet – Fileter)

Cổng ứng dụng (Application – level Gateway hay Proxy Server)

Cổng vòng (Circuite level Gateway)

Một số giải pháp cho Trung tâm dữ liệu:

• Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu.

• Bảo toàn thông tin Dữ liệu.

• Kiểm soát thông tin vào, ra Trung tâm dữ liệu.

CHƯƠNG 2: KHẢO SÁT MÔ HÌNH TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

1.7 Khảo sát nhu cầu sử dụng và cơ sở vật chất hiện tại.

1.7.1 Nhu cầu sử dụng.

Trường Đại học Điện Lực hiện nay đang đào tạo và giảng dạy hơn 10.000 sinhviên hệ Đại học chính quy, chưa kể hệ liên thông và cao đẳng Với số lượng sinh viênlớn như vậy thì việc quản lý hồ sơ lý lịch, điểm thi, các thông tin về học phí,…là rấtnhiều Cùng với việc quản lý về sinh viên là việc quản lý về giảng viên, lịch lên lớpcủa các giảng viên, các dữ liệu bài giảng của các giảng viên Và đặc biệt, hiện naytrường đang thực hiện cách thức học mới đó là đào tạo từ xa đa phương tiện Việc đưabài giảng, dữ liệu, hình ảnh và âm thanh lên hệ thống Trung tâm dữ liệu để các sinhviên có thể học được mọi lúc, mọi nơi, mọi thời điểm và có thể xem lại bài nhiều lần

Vì nhu cầu về hệ thống Trung tâm dữ liệu lớn và vô cùng cần thiết như vậy nên cầnphải có hệ thống Trung tâm dữ liệu đáp ứng yêu cầu cho trường Đại học Điện Lực

1.7.2 Cơ sở vật chất và hệ thống mạng trường Đại học Điện Lực

 Cơ sở vật chất trong trường

Trường Đại học Điện Lực có tổng cộng gần 300 máy tính để bàn phục vụ làmviệc và học tập Hầu hết mạng Internet trong trường là sử dụng từ hệ thống mạng trongKhoa Công Nghệ Thông Tin đi tới các khu, phòng ban và các phòng máy

Trường hiện có 5 Server đặt tại các vị trí khác nhau trong trường và với mục đíchkhác nhau Trong phòng Khoa Công Nghệ Thông Tin đặt 2 Server, 1 Server để quản

lý hệ thống mạng, 1 Server của Khoa Tài Chính Kế Toán để quản lý dữ liệu vàWebsite của Khoa Tài Chính Kế Toán 1 Server đặt tại Trung tâm học liệu (thư viện)trường để quản lý về sách, giáo trình cho sinh viên, quản lý về mượn trả sách trong thưviện 1 Server đặt tại phòng Khảo thí để phục vụ việc thi trắc nghiệm, quản lý điểm,ngân hàng đề thi 1 Server đặt tại phòng Đào tạo để quản lý, lưu trữ các dữ liệu về sinhviên

 Hệ thống mạng trường Đại học Điện Lực

Về cơ bản, hệ thống mạng trường là một mạng hình sao có quy mô lớn với sốlượng các nút mạng lên tới 300, hỗ trợ các ứng dụng đào tạo từ xa đa phương tiện (dữliệu, âm thanh và hình ảnh) cho sinh viên cả trong và ngoài trường Vì vậy, trường cầnphải xây dựng một hạ tầng mạng vững chắc, có năng lực lớn, có tính mở rộng và mềm

dẻo, tính sẵn sàng cao, khả năng dự phòng tối đa, và hỗ trợ các dịch vụ thông minhtrên mạng.

Mô tả hệ thống mạng trường Đại học Điện Lực.

Mạng của trường kết nối các mạng LAN tại các tòa nhà như khu Hành Chính(nơi này cũng là nơi đặt các máy chủ quan trọng), khu làm việc G, khu giảng đường,thư viện, khu nhà xưởng thực hành và khu ký túc xá Việc phân bổ các nút mạng theomỗi khu vực như sau:

Khu giảng đường: 150 nút

cả chuyển mạch Layer 2, Layer 3, Layer 4 – được phân bổ vào từng khu vực như sau:

Khu giảng đường

Gồm các thiết bị chuyển mạch tại tầng Access và tầng Distribution, hay gọi làAccess switch và Distribution switch Khu giảng đường gồm có 4 tầng, với mật độ nútmạng dày đặc Do vậy, Distribution switch phải có một hiệu suất mạnh để xử lý toàn

bộ số lượng lưu thông từ các Access switch Ngoài ra, Distribution switch cũng có thểđược lựa chọn để đóng vai trò là một Access switch Các Distribution switch sẽ đượckết nốt về Center Switch qua cổng tốc độ 1000 Mbps trên GBIC –Gigabit InterfaceConvertor dùng cáp quang tùy thuộc vào khoảng cách giữa 2 switch

Khu hành chính

Thiết bị chuyển mạch tại tầng Core, được gọi là Center Switch sẽ được đặt tạiđây Center Switch là một thiết bị chuyển mạch đa tầng (multilayer switch – xử lýđồng thời layer 2, layer 3, layer 4 switching) Center Switch này sẽ cung cấp các giaotiếp GBIC kết nối đến các Distribution switch ở các khu nhà còn lại Hệ thống các máychủ ứng dụng các máy chủ ứng dụng cà Database được kết nối trực tiếp vào CenterSwitch Khu hành chính có số lượng số lượng nhỏ các máy trạm, nên các máy nàycũng sẽ được kết nối trực tiếp vào Center Switch mà vẫn không ảnh hưởng đến hiệusuất của thiết bị

Khu nhà G

Thiết bị chuyển mạch tại tầng Core, được gọi là Center Switch sẽ được đặt tạiđây Center Switch là một thiết bị chuyển mạch đa tầng (multilayer switch – xử lýđồng thời layer 2, layer 3, layer 4 switching)

Các khu khác

Số lượng các nút mạng tại đây là nhỏ, vì vậy, thiết bị chuyển mạch tại những vịtrí này sẽ đóng vai trò là Access switch và Distribution switch Các switch này sẽ đượckết nối về Center Switch qua các giao tiếp trên GBIC

 Các yêu cầu chính cho hạ tầng mạng trường Đại Học Điện Lực

Hệ thống các thiết bị mạng được trang bị cho trường là những thiết bị áp dụngcác công nghệ hiện đại nhằm đảm bảo cho hệ thống đã đầu tư sử dụng được tối thiểutrong vòng 5 năm mà không bị lỗi thời và hệ thống thiết kế có khả năng mở rộng caonhằm tiết kiệm chi phí cho việc nâng cấp về sau

Hệ thống có khả năng hoạt động liên tục 24/24h và 7 ngày/tuần

Có khả năng tích hợp việc truyền dẫn tín hiệu khác như Video, Voice,… trongtương lai khi có nhu cầu trang bị

Đảm bảo tính an ninh và bảo mật dữ liệu cho các máy chủ

Việc bảo hành, bảo trì, nâng cấp và thay đổi phù hợp với nhu cầu phát sinh củatrường một cách tiện lợi và tiết kiệm

1.8 Mô hình bảo mật hiện nay tại trường Đại Học Điện Lực.

Hiện nay trường Đại học Điện Lực đang sử dụng hệ thống bảo mật tiêu chuẩnTIA – 942

1.8.1 Các yêu cầu cho Computer Room

Computer Room là một không gian điều khiển môi trường xung quang để đápứng mục đích duy nhất là vỏ bọc thiết bị và đường cable liên quan trực tiếp tới các hệthống máy tính và các hệ thống viễn thông khác

Các yêu cầu trọng tải sàn bao gồm thiết bị, cable, patch-coord, phương tiệntruyền dẫn

Các yêu cầu về dịch vụ vệ sinh (các yêu cầu vệ sinh của mỗi phần thiết bị đòi hỏidịch vụ tương thích cho thiết bị)

Các yêu cầu luồng khí.

Các yêu cầu khung lắp

Các yêu cầu nguồn điện DC và các hạn chế độ dài mạch

b) Chiều cao trần nhà.

Chiều cao tối thiểu của Computer Room sẽ là 2.6m từ sàn nhà hoàn chỉnh tới bất kỳvật cản nào Các yêu cầu làm mát hoặc các rack/cabinet cao hơn 2.13m có thể khiếntrần nhà cao hơn

b) Cửa ra vào

Khả năng trọng tải sàn trong Computer Room phải đủ để chịu đựng cả tải trọngphân phối và tập trung của thiết bị được lắp đặt cùng với đường cable và phươngtiện truyền dẫn Khả năng trọng tải phân phối tối thiểu là 7.2 kPA

Sàn phải có khả năng treo vật tối thiểu 1.2 kPA cho các tải trọng hỗ trợ được treophía dưới sàn

c) Xem xét địa chấn

Các thông số kỹ thuật cho thiết bị liên quan phải phù hợp với các yêu cầu áp

b) Nguồn điện dự phòng

Các bảng điện Computer Room phải được hỗ trợ bằng hệ thống phát điện dựphòng cho Computer Room Máy phát điện được sử dụng phải được ước tính tải lượngđiện tiêu thụ

1.9 Kết luận.

Về cơ bản, hệ thống mạng trường là một mạng hình sao có qui mô lớn với sốlượng các nút mạng lên tới 300, đang thực hiện hỗ trợ các ứng dụng đào tạo từ xa đaphương tiện (dữ liệu, âm thanh và hình ảnh) cho sinh viên cả trong và ngoài trường Vìvậy, trường cần phải cây dựng một hạ tầng mạng vững chắc,…

Quan điểm thiết kế nói chung là vừa phải đảm bảo nhu cầu hiện tại nhưng phảisẵn sàng cho sự phát triển trong tương lai Sự phát triển này bao gồm cả số điểm kếtnối, số lượng người dùng, số lượng dịch vụ, phương thức kết nối,…

CHƯƠNG 3: TÌM HIỂU VÀ CÀI ĐẶT SMOOTHWALL CHO HỆ

THỐNG MẠNG TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

1.10 Giới thiệu hệ thống Smoothwall.

SmoothWall Express là một tường lửa mã nguồn mở hoạt động trên các bản phânphối của hệ điều hành GNU/Linux SmoothWall được cấu hình thông qua Web vàkhông đòi hỏi người sử dụng phải biết về Linux để cài đặt và sử dụng

SmoothWall Express cho phép bạn dễ dàng xây dựng một bức tường lửa kết nốibảo mật một mạng máy tính đến Internet

Hình 3.1 Mô hình mạng sử dụng Smoothwall.

1.11 Cài đặt SmoothWall Express

1.11.1 Cấu hình yêu cầu

Cấu hình tối thiểu đề nghị để cài đặt SmoothWall Express:

Phần cứng Thông tin

Vi xử lý Intel Pentium 200

Đĩa cứng 2Gb còn trống, hỗ trợ IDE và SCSI

Card mạng Hỗ trợ card mạng NIC

Keyboard,

CD-ROM,

Monitor

Chỉ cần khi cài đặt

1.11.2 Các bước cài đặt

Lưu ý trước khi cài đặt

Không cài đặt SmoothWall trên máy chính hay là máy trạm duy nhất vì tất cả dữliệu trên máy trạm sẽ bị mất Trước khi cài đặt cần bảo chắc rằng tất cả dữ liệu đãđược sao lưu

 Các màn hình thông báo xuất hiện, Nhấn Enter để tiếp tục

 Một hộp thoại vế chính sách bảo mật xuất hiện

Hình 3.2 Hộp thoại về chích sách bảo mật.

Chọn chích sách phù hợp với yêu cầu của mạng rồi OK

 Một menu cấu hình mạng xuất hiện

Hình 3.3 Menu cấu hình mạng.

 Chọn Network configuration type rồi OK

Hình 3 4 Hộp thoại cấu hình mạng

GREEN: tương ứng với mạng LAN

RED: tương ứng với mạng Internet

ORANGE: tương ứng với vùng DMZ

PURPLE: tương ứng với mạng Wireless

Chọn mạng phù hợp với yêu cầu rồi OK

 Sau khi cấu hình thông tin cho các card mạng, các hợp thoại về password xuấthiện

 Đặt password cho root và admin Kết thúc quá trình cài đặt

1.11.3 Truy cập SmoothWall

Sử dụng một trình duyệt Internet bất kỳ từ máy trạm truy cập vào địa chỉ củaSmoothwall, ví dụ: https://10.0.0.1:441 nhập vào username và password mà bạn đã càiđặt Trang chủ mặt định xuất hiện

Hình 3 5 Trang chủ mặc định của Smoothwall

1.12 Quản trị SmoothWall Express

Status Thông tin trạng thái

advanced Hiển thị thông tin bộ nhớ, đĩa cứng sử dụng, phần cứng

traffic graphs Hiển thị trạng thái lưu thông mạng

bandwidth bars Hiển thị thời gian sử dụng băng thông

traffic monitor Hiển thị thời gian sử dụng băng thông gần đầy

my smoothwall Hiển thị thông tin phát triển của SmoothWall, cho phép tùy

máy client ra Internetinternal Tạo các luật để mạng Orange và Purple có thể giao tiếp với

mạng Greenexternal access Thiết lập các kết nối từ máy bên ngoài đến SmoothWall

ip block Khóa một địa chỉ IP hay một mạng

timed access Cấu hình thời gian cho phép máy Client truy cập mạng bên

ngoài

qos Tại đây có thể ưu tiên các loại lưu thông đặc biệt

advanced Tại đây có thể năng cao tính năng mạng

ppp settings Cấu hình các kết nối đến modem, ADSL and ISDN

nterfaces Ở đây cấu hình IP, DNS, gateway cho các card NIC

Bảng 3 4: Bảng Networking.

VPN

control Quản lý các kết nối VPN

connections Cho phép tạo, chỉnh sửa và quản lý các kết nối VPN

ip information Cho phép tra cứu trên địa chỉ IP hay tên miền

ip tools Cho phép chạy ping và tracerouter để chuẩn đoán mạng

shell Cho phép kết nối đến Smoothwall sử dụng một Java SSH

backup Tại đây có thể sao lưu cài đặt của bạn

preferences Cấu hình Smoothwall sử dụng giao diện

shutdown Bạn có thể shutdown hay reboot máy Firewall

Bảng 3 7: Bảng Maintenance.

1.12.2 Kiểm soát lưu lượng mạng

a Port Forwarding Incoming Traffic

SmoothWall Express, mặc định khóa tất cả các traffic đến từ red interface Cáctraffic muốn được chấp nhận thì phải cấu hình các luật

Để tạo một luật trong Smoothwall ta vào Networking > incoming

Hình 3 7 Trang cấu hình incoming

Các cấu hình cài đặt

External source IP

(or network) Xác định IP hoặc mạng bên ngoài có thể truy cập đếnIP đích

Hoặc để trống cho phép tất cả các truy cậpSource port or

range Chọn port của IP nguồn trong menu, hoặc hoặc chọnUser definedPort Nếu chọn User defined, thì nhập vào một port nguồn

Destination IP Xác định địa chỉ IP đích nơi các traffic được chuyển

đếnDestination port Chọn port của IP đích trong menu, hoặc chọn User

definedPort Nếu chọn User defined, thì nhập vào một port đích

Comment Viết ghi chú cho luật

Enabled Chọn để kích hoạt luật

Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bêndưới

Bảng 3 8: Các cấu hình cài đặt incoming.

b Controlling Outgoing Traffic

Cấu hình cho phép hay cấm hoặc giới hạn việc truy cập Internet trên mỗi vùngmạng nội bộ