Đảm bảo an toàn cho hệ thống Trung tâm dữ liệu trường Đại học Điện Lực

Từ đó, các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừngđổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền tin trong các máytính nối mạng.. Lĩnh vực b

Trong vai trò là người quản trị hệ thống hay một chuyên gia thiết kế mạng thìvấn đề an ninh cho mạng máy tính luôn đặt lên hàng đầu Tường lửa chính là phươngthức giúp chúng ta thực hiện việc này một cách tối ưu nhất Nó ngăn chặn các truynhập bất hợp pháp từ bên ngoài, và lọc các gói tin ra vào mạng nội bộ.

Ngày nay, có rất nhiều công cụ tường lửa thương mại cũng như miễn phí vàSmoothwall là một trong những tường lửa miễn phí được đánh giá rất cao từ cộngđồng người sử dụng Tuy miễn phí nhưng Smoothwall mang đầy đủ tính năng của mộttường lửa thương mại

Mục tiêu của đề tài là tìm hiểu về hệ thống tường lửa và phát triển ứng dụng sửdụng phấn mềm mã nguồn mở Smoothwall Cho đến nay phần mềm này chưa đượcứng dụng rộng rãi tại Việt Nam Chính vì thế em muốn tìm hiểu về phân mềm để gópphần phát triển phần mềm mã nguồn mở tại Việt Nam

Hiện nay, trường đã áp dụng hình thức dạy học mới, tiên tiến trên thế giới là learning ( học trực tuyến) Hình thức này cần phải đưa các bài giảng lên Trung tâm dữliệu, cùng với đó là các thông tin về sinh viên, giảng viên, các tài liệu phục vụ việc học

E-và giảng dạy,… đều được đưa lên Trung tâm dữ liệu Do đó, cần phải đảm bảo choTrung tâm dữ liệu được an toàn, bảo mật và ổn định là rất quan trọng

Vì vậy, em chọn đề tài: “Đảm bảo an toàn cho hệ thống Trung tâm dữ liệu

trường Đại học Điện Lực”.

 Mục tiêu của luân văn

Nâng cao hiệu quả của hệ thống

Bảo vệ tài nguyên hệ thống và chống lại các xâm nhập trái phép

Quản lý hệ thống mạng của trường tốt hơn

 Bố cục báo cáo

Luận văn gồm 3 chương:

Chương 1: Tổng quan về an toàn bảo mật hệ thống trung tâm dữ liệu

Chương 2: Tìm hiểu và cài đặt hệ thống Smoothwall

Chương 3: Xây dựng hệ thống mạng cho trường Đại học Điện Lực

Trong quá trình thực hiện luận văn này, em luôn nhận được sự hướng dẫn, chỉbảo tận tình của Th.S Lê Mạnh Hùng, giảng viên khoa công nghệ thông tin trường Đạihọc Điện Lực, thầy đã giành nhiều thời gian hướng dẫn, giúp đỡ tận tình chúng emtrong quá trình thực hiện, hoàn thành luận văn.

Em xin chân thành cảm ơn toàn thể các thầy cô trong khoa Công Nghệ ThôngTin, những giảng viên đã tận tình giảng dạy và truyền đạt cho em những kiến thức,kinh nghiệm quý báu trong suốt những năm học tập và rèn luyện tại trường Đại họcĐiện Lực

Xin cảm ơn những bạn bè trong tập thể lớp D4-CNTT cùng những người bạntrong khoa Công Nghệ Thông Tin đã chung vai sát cánh bên em vượt qua những khókhăn, thử thách của quãng đời sinh viên, cùng nhau vững bước trên con đường học tậpđầy gian nan, vất vả

Cuối cùng em xin gửi lời cảm ơn tới bố mẹ, gia đình của em, những người luônmiệt mài chăm lo, an ủi, động viên em những lúc khó khăn và luôn giành cho emnhững tình cảm đặc biệt nhất

Em xin chân thành cảm ơn !

Hà Nội, ngày 26 tháng 12 năm 2013

Sinh viên thực hiện

Nguyễn Minh Đức

LỜI MỞ ĐẦU

Trang

Từ viết

Từ viết

Service

Subscriber Line

Translation

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG

TRUNG TÂM DỮ LIỆU1.1 Khái niệm Trung Tâm Dữ Liệu (Data Center)

Nơi tập trung nhiều thành phần tài nguyên mật độ cao (hardware, software…)làm chức năng lưu trữ, xử lý toàn bộ dữ liệu hệ thống với khả năng sẵn sàng và độ ổn

định cao Các tiêu chí khi thiết kế DC bao gồm:

Tính module hóa cao

Khả năng mở rộng dễ dàng

Triển khai các giải pháp mới tối ưu về nguồn và làm mát

Khả năng hỗ trợ hợp nhất Server và thiết bị lưu trữ mật độ cao

nghiệp, của các tổ chức, ngành… nhằm hỗ trợ việc xử lý thông tin

và ra các quyết định Với mục đích đó, các số liệu là nguyên liệucủa các phép tính và rất quan trọng

1.2 An toàn bảo mật thông tin, dữ liệu.

1.2.1 Khái quát bảo mật thông tin

Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin, đặc biệt là sự pháttriển của mạng Internet, ngày càng có nhiều thông tin được lưu trữ trên máy vi tính vàgửi đi trên mạng Internet Và do đó xuất hiện nhu cầu về an toàn và bảo mật thông tintrên máy tính Có thể phân loại mô hình an toàn bảo mật thông tin trên máy tính theohai hướng chính như sau:

• Bảo vệ thông tin trong quá trình truyền thông tin trên mạng(Network Security)

phá hoại từ bên ngoài (System Security)

Từ đó, các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừngđổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền tin trong các máytính nối mạng Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá trìnhtruyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu đótrong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép nàothông qua mạng

1.2.2 Khái niệm

Trung tâm tích hợp dữ liệu trước hết là trung tâm có phòng Server, phòng tin học

có những thiết bị phục vụ cho việc kết nối mạng như Switch, Router, Hub, và có cácmáy chủ Webdite, máy chủ CSDL, Hosting, chia sẻ dữ liệu, máy chủ mail để phục vụcho việc lưu trữ, sử lý thông tin, … phục vụ cho hoạt động của cơ quan, tổ chức,…

1.2.3 Các loại tấn công cơ bản

Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động

Tấn công thụ động: Mục tiêu của Hacker là chỉ nắm bắt và đánh cắp thông tin.

Họ chỉ có thể biết được người gửi, người nhận trong phần IP Header và thống kê đượctần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh sửa hoặclàm hủy hoại nội dung thông tin dữ liệu trao đổi Kiểu tấn công này khó phát hiệnnhưng có thể có biện pháp ngăn chặn hiệu quả Đối với tấn công chủ động có thể làmthay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lại gói tin đó

Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn

hơn nhiều Một thực tế cho thấy bất kỳ một hệ thống nào dù được bảo vệ chắc chắnđến đâu cũng không thể đảm bảo là an toàn tuyệt đối Vì vậy, chúng ta cần phải xâydựng các chiến lược bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn

1.2.4 Nhiệm vụ của người quản trị.

Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi, nghiêncứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự cố.Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao chohiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khácnhau

Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào tàinguyên mạng Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị tấncông Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ýmuốn

Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chính mộtcách hài hòa và hợp lý Đó chỉ là điều kiện cần cho những quản trị mạng phải có đểđảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể

1.3 Tìm hiểu về tường lửa (Firewall).

1.3.1 Khái niệm về tường lửa (Firewall).

1.3.1.1 Khái niệm về Firewall.

Firewall là một cơ chế bảo vệ mạng tin tưởng intranet với các mạng không tintưởng thường là Internet Firewall bao gồm các cơ cấu nhằm:

Ngăn chặn truy nhập bất hợp pháp

Kiểm soát thông tin trao đổi từ trong ra và từ Internet vào hệ thống cục bộ

Ghi nhận và theo dõi thông tin mạng

1.3.1.2 Đặc điểm.

Thông tin giao lưu được theo hai chiều

Chỉ có những thông tin thỏa mãn nhu cầu bảo vệ mới được đi qua

Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chính sách:

Những dịch vụ nào cần ngăn chặn

Những host nào cần phục vụ

Mỗi nhóm cần truy nhập những dịch vụ nào

Mỗi dịch vụ sẽ được bảo vệ như thế nào

1.3.1.3 Ưu điểm và hạn chế.

 Ưu điểm:

bảo vệ, trong khi cho phép người sử dụng hợp pháp truy nhập tự domạng bên ngoài

truy nhập Nó là “cửa khẩu” duy nhất nối mạng được bảo vệ vớibên ngoài, do đó có thể ghi nhận mọi cuộc trao đổi thông tin, điểmxuất phát và đích, thời gian,…

công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn côngtrước khi cuộc tấn công xẩy ra

 Hạn chế:

dung của nó Firewall chỉ có thể ngăn chặn sự xâm nhập của nhữngnguồn thông tin đã xác định trước

• Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn côngnày không “đi qua” nó, như là sự dò rỉ thông tin do dữ liệu saochép bất hợp pháp lên đĩa mềm.

(data – drivent attack) Khi có một số chương trình được chuyềntheo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ vàbắt đầu hoạt động ở đây

được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục củacác virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏikhả năng kiểm soát của Firewall

rãi

1.3.2 Các thành loại Firewall và cơ chế hoạt động.

Một Firewall chuẩn bao gồm một hay nhiều các loại sau đây:

a) Bộ lọc gói (Packet Filtering)

 Nguyên lý hoạt động:

Hình 11 Sơ đồ làm việc của Packet Filtering.

Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được Nó kiểm tra toàn

bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật

lệ của lọc gói hay không Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗiPacket (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng Đó là:Địa chỉ IP nơi xuất phát (IP Source address)

Địa chỉ IP nơi nhận (IP Destination address).

Những thủ rục truyền tin (TCP, UDP, ICMP, IP tunnel)

Cổng TCP/UDP nơi xuất phát (TCP/UDP souree port)

Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

Dạng thông báo ICMP (ICMP message type)

Giao diện Packet đến (Incomming interface of Packet)

Giao diện Packet đi (Outcomming interface of Packet)

 Ưu điểm

Đa số các hệ thống Firewall đều sử dụng bộ lọc gói Một trong những ưu điểmcủa phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồmtrong mỗi phần mềm Router

Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy

nó không yêu cầu sự huấn luyện đặc biệt nào cả

Một cổng ứng dụng thường được coi như là một pháo đài (bastion Host), bởi vì

nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảmbảo an ninh của một Bastion Host là:

Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm

hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mụcđích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo

Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thôngqua nó, mỗi sự kết nối, khoảng thời gian kết nói Nhật ký này rất có ích trong việc tìmtheo dấu vết hay ngăn chặn kẻ phá hoại.

Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host Điều này chophép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn đề

 Ưu điểm

Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thểtruy nhập được bởi các dịch vụ

Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chéplại thông tin về truy nhập hệ thống

 Hạn chế

Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặttrên máy Client cho truy nhập vào các dịch vụ Proxy Ví Dụ, Telnet truy nhập quacổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi.Tuy nhiên, cũng đã có một số phần mềm Client cho phép ứng dụng trên cổng ứngdụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứngdụng trên lệnh Telnet

c) Cổng vòng (Circuit-Level Gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứngdụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiệnbất kỳ một hành động xử lý hay lọc gói nào

Hình 12 Kết nối qua cổng vòng( Circuit-Level Gateway).

Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trịmạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một BastionHost có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho nhữngkết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thống bức tường lửa

dễ dàng sử dụng cho những mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụInternet, trong khi vẫn cung cấp chức năng Bastion Host để bảo vệ mạng nội bộ từnhững sự tấn công bên ngoài.

1.3.3 Những mô hình Firewall

1.3.3.1 Dual homed host

Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạngnội bộ Dual–homed Host là một máy tính có hai giao tiếp mạng một nối với mạng cục

bộ và một nối với mạng ngoài (Internet)

Hình 13 Sơ đồ kiến trúc Dual-homed Host

 Ưu điểm của Dual–homed Host:

biệt

vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lạinhân (Kernel) của hệ điều hành là đủ

cũng như những hệ phần mềm mới được tung ra thị trường

• Không có khả năng chống đỡ những cuộc tấn công nhằm vào chínhbản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trởthành đầu cầu lý tưởng để tấn công vào mạng nội bộ.

1.3.3.2 Screened Host

Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụngProxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến ProxyServer mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bênngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một sốkết nối với internal/external host

Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ

hệ thống cung cấp cho người sử dụng qua Proxy Server

Hình 14 Sơ đồ kiến trúc Screened Host

 Ưu điểm

số điểm cụ thể sau:

cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay

thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nêngiữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao

vì cùng lúc đảm nhận nhiều chức năng

Server ở hai máy riêng biệt Packet Filtering chỉ giữ chức năng lọcgói nên có thể kiểm soát, cũng như khó xảy ra lỗi (tuân thủ qui tắc

ít chức năng) Proxy Servers được đặt ở máy khác nên khả năngphục vụ (tốc độ đáp ứng) cũng cao

Filtering system cũng như Bastion Host chứa các Proxy Server bịđột nhập vào (người tấn công đột nhập được qua các hàng rào này)thì lưu thông của internal network bị người tấn công thấy

đây khắc phục được phần nào khuyết điểm trên

1.3.3.3 Screened Subnet

Hình 15 Sơ đồ kiến trúc Screened Subnet Host.

Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và mộtBastion Host (hình 2.7) Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mứcbảo mật Network và Application trong khi định nghĩa một mạng perimeter network.Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và

mạng nội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet vàmạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ,

và sự truyền trực tiếp qua mạng DMZ là không thể được

1.3.3.4 Demilitarized Zone (DMZ)

nội bộ và mạng internet, là nơi chứa các thông tin cho phép ngườidùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từinternet Hệ thống firewall này có độ an toàn cao nhất vì nó cungcấp cả mức bảo mật network và application

Hình 16 Vùng DMZ được tách riêng với mạng nội bộ.

Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong

Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ làkhông thể nhìn thấy (invisible) Chỉ có một số hệ thống đã được chọn ra trên DMZ làđược biết đến bởi Internet qua routing table và DNS information exchange (DomainName Server)

1.3.3.5 Sử dụng nhiều Bastion Host

Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũngnhư tách biệt các Servers khác nhau

Hình 17 Sơ đồ kiến trúc sử dụng 2 Bastion Host.

Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user)một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người

sử dụng bên ngoài (external user)

Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiềumạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau, khi mà mộtServer nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt

1.4 Tìm hiểu hệ thống Proxy

Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn NhữngProxy server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thitrên dual-homed host hoặc Bastion Host Những chương trình Client của người sửdụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cầngiao tiếp

1.4.1 Tác dụng và chức năng

Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến ứng dụng đượccung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu

hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơntruy xuất đến Internet cho tất cả người sử dụng Khi truy xuất đến Internet thì họkhông thể thực hiện những công việc đó một cách trực tiếp, phải login vào Dual-Homed Host, thực hiện tất cả những công việc ở đây, và sau đó bằng phương pháp nào

đó chuyển đổi những kết quả đạt được của công việc trở lại Workstation sở hữu

Hình 18 Kết nối sử dụng Application Level Gateway.

Proxy Application chính là chương trình trên Application – level GatewayFirewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông quaFirewall, tiến trình này được thực hiện trình tự như sau:

của người sử dụng

nếu chấp nhận, Proxy sẽ tạo sự kết nối khác từ Firewall đến máyđích

Client và Server

1.4.2 Kết nối thông qua Proxy (Proxying)

Proxing được thực hiện khác nhau với từng dịch vụ, có một vài dịch vụ dễ dàngcài đặt hoặc tự động, nhưng vài dịch vụ lại rất khó khăn Tuy nhiên, hầu hết các dịch

vụ đều yêu cầu những phần mềm Proxy Server và Client tương ứng

Hình 19 Kết nối giữa người dùng (Client) với Server qua Proxy.

1.4.3 Các dạng Proxy

Dạng kết nối trực tiếp

Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụngkết nối trực tiếp đến Firewall Proxy, sử dụng cho địa chỉ của Firewall và số cổng củaProxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của Host hướng đến, đó là mộtphương pháp Brute Force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là mộtvài nguyên nhân tại sao nó là phương pháp ít thích hợp

Dạng thay đổi Client

Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máytính của người sử dụng Người sử dụng với ứng dụng đó hành động chỉ như những ứngdụng không sửa đổi Người sử dụng cho địa chỉ của host đích hướng tới Những ứngdụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, setup sự kết nối đếnứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng

Proxy vô hình

Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sửdụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại.Tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall Chúng tựđộng được đổi hướng đến ứng dụng Proxy đang chờ Firewall đóng vai trò như mộtHost đích Khi kết nối được tạo ra Firewall Proxy, Clinet nghĩ rằng nó được kết nốivới Server thật Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật

1.5 Các hình thức tấn công và giải pháp cho hệ thống Trung Tâm Dữ Liệu

Chúng ta cần phải xây dựng các chiến lược bảo mật để có thể từngbước bảo vệ hệ thống an toàn hơn

1.5.2 Giải pháp cho Trung tâm dữ liệu

1.5.2.1 Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu

Bảo vệ dữ liệu tránh được những truy cập trái phép

Bảo vệ dữ liệu khỏi bị thay đổi không mong muốn

Bảo vệ trực tiếp dữ liệu bằng mật mã

1.5.2.2 Bảo toàn thông tin Dữ liệu

Bảo toàn thông tin Dữ liệu chính là việc bảo vệ tính toàn vẹn Dữ liệu: ở đây làtránh được những truy cập trái phép đến Dữ liệu, từ đó thay đổi thông tin trong Dữliệu

1.5.2.3 Xác thực Dữ liệu

Nhiệm vụ chủ yếu là xác thực đúng đối tượng và quyền truy cập vào Dữ liệu củađối tượng đến các dữ liệu được phép

1.5.2.4 Sẵn sàng truy cập Dữ liệu trong Trung tâm dữ liệu

Nhiệm vụ chủ yếu của chức năng này đảm bảo cho việc truy xuất của các đổitượng đến Dữ liệu luôn được thực hiện, không bị cản trở, ảnh hưởng bởi các yếu tố

bên ngoài như kẻ khác giả mạo, ngăn chặn việc truy cập của người dùng hợp pháp vàđến dữ liệu được lưu trữ trong Trung tâm dữ liệu.

1.5.2.5 Kiểm soát thông tin vào, ra Trung tâm dữ liệu

thông tin trong Trung tâm dữ liệu

- Kiểm soát thông tin vào, ra được chia làm ba loại chính: Kiểm soát thông tin truynhập, kiểm soát luồng và kiểm soát suy diễn

 Kiểm soát truy nhập

Một hệ thống kiểm soát truy nhập bao gồm có 3 phần chính sau:

policies, access rules)

• Phần 2: Cơ chế an ninh hay các thủ tục kiểm soát (controlprocedures)

truy nhập hay còn gọi là hạ tầng cơ sở (bao gồm có kiểm soát trựctiếp và tự động)

 Kiểm soát lưu lượng

giữa hai đối tượng Do đó việc kiểm soát lưu lượng chính là việckiểm tra luồng thông tin có “đi” từ đối tượng này sang đối tượngkhác hay không

Ngay từ cái tên gọi thì việc suy diễn chính là việc lấy thông tin thông qua việctập hợp các thông tin khác, hay phân tích từ thông tin khác

1.6 Kết luận

Hệ thống Trung tâm dữ liệu (Data Center) là kho lưu trữ thông tin, dữ liệu rấtquan trọng và cần thiết cho một trường học, doanh nghiệp,… Vì vậy, việc đảm bảo antoàn và bảo mật cho hệ thống Trung tâm dữ liệu là vô cùng cần thiết

Firewall là lựa chọn của rất nhiều hệ thống Trung tâm dữ liệu hiện nay Firewall

có rất nhiều cách thức bảo mật khác nhau như:

Một số giải pháp cho Trung tâm dữ liệu:

• Bảo mật thông tin Dữ liệu trong Trung tâm dữ liệu.

• Bảo toàn thông tin Dữ liệu.

• Kiểm soát thông tin vào, ra Trung tâm dữ liệu.

CHƯƠNG 2: TÌM HIỂU VÀ CÀI ĐẶT HỆ THỐNG SMOOTHWALL2.1 Giới thiệu hệ thống Smoothwall

SmoothWall Express là một tường lửa mã nguồn mở hoạt động trên các bản phânphối của hệ điều hành GNU/Linux SmoothWall được cấu hình thông qua Web vàkhông đòi hỏi người sử dụng phải biết về Linux để cài đặt và sử dụng

SmoothWall Express cho phép bạn dễ dàng xây dựng một bức tường lửa kết nốibảo mật một mạng máy tính đến Internet

Hình 2.1 Mô hình mạng sử dụng Smoothwall.

2.2 Cài đặt SmoothWall Express

2.2.1 Cấu hình yêu cầu

Bảng 2.1: Bảng cấu hình tối thiểu Smoothwall

• Không cài đặt SmoothWall trên máy chính hay là máy trạm duynhất vì tất cả dữ liệu trên máy trạm sẽ bị mất Trước khi cài đặt cầnbảo chắc rằng tất cả dữ liệu đã được sao lưu

 Bỏ đĩa CD vào máy cần cài đặt tường lửa và reboot máy tính Vào chế độ boot CD đểtiến hành cài đặt

 Các màn hình thông báo xuất hiện, Nhấn Enter để tiếp tục

 Một hộp thoại vế chính sách bảo mật xuất hiện

Hình 2.2 Hộp thoại về chích sách bảo mật.

Chọn chích sách phù hợp với yêu cầu của mạng rồi OK

 Một menu cấu hình mạng xuất hiện

Hình 2.3 Menu cấu hình mạng.

 Chọn Network configuration type rồi OK

Hình 2.4 Hộp thoại cấu hình mạng

Chọn mạng phù hợp với yêu cầu rồi OK

 Sau khi cấu hình thông tin cho các card mạng, các hợp thoại về password xuất hiện

 Đặt password cho root và admin Kết thúc quá trình cài đặt

2.2.3 Truy cập SmoothWall

username và password mà bạn đã cài đặt Trang chủ mặt định xuấthiện

Hình 2.5 Trang chủ mặc định của Smoothwall

2.3 Quản trị SmoothWall Express

2.3.1 Tổng quan

kết đến các trang SmoothWall Express

Hình 2.6 Thanh điều hướng

máy client ra Internet

mạng Green

timed access Cấu hình thời gian cho phép máy Client truy cập mạng bên

ngoài

 VPN

Bảng 2.5: Bảng VPN.

Tại đây có thể upload firmware để kích hoạt SmoothWall

sử dụng the Alcatel/Thomson Speedtouch Home USBADSL modem

2.3.2 Kiểm soát lưu lượng mạng

a Port Forwarding Incoming Traffic

SmoothWall Express, mặc định khóa tất cả các traffic đến từ red interface Cáctraffic muốn được chấp nhận thì phải cấu hình các luật

Để tạo một luật trong Smoothwall ta vào Networking > incoming

Hình 2.7 Trang cấu hình incoming

Hoặc để trống cho phép tất cả các truy cậpSource port or

đến

defined

Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bêndưới

b Controlling Outgoing Traffic

Cấu hình cho phép hay cấm hoặc giới hạn việc truy cập Internet trên mỗi vùngmạng nội bộ

Để tạo một luật truy cập Internet vào Networking > outgoing

Hình 2.8 Trang cấu hình outgoing.

Bảng 2.9: Bảng các cấu hình cài đặt outgoing

Traffic

originating … Chọn một trong haiBlocked with exceptions

Allowed with exceptionsChọn Save để lưu

Application or

service(s)

Chọn một chương trình hay dịch vụ hay User defined

Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới

c Controlling Internal Traffic

Cấu hình cho phép các host trong mạng orange, mạng purple và mạng green cóthể liên lạc với nhau

Để cấu hình lưu thông nội bộ vào Networking > internal

Hình 2.9 Cấu hình lưu thông mạng nội bộ.

Bảng 2.10: Bảng các cấu hình cài đặt lưu thông mạng nội bộ

nhu cầu giao tiếp với mạng LAN(mạng xanh)

Application or

service(s) Chọn trong menu thả xuống một chương trình haymột dịch vụ

Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên

dưới

d Managing Access to Services

Cấu hình để thiết lập một danh sách cho phép quản trị SmoothWall từ các máytính bên ngoài thông qua địa chỉ IP hay potr trên mạng đỏ

Để quản lý truy cập dịch vụ Networking > external access

Hình 2.10 Trang cấu hình external access.

Destination port Nhập port được chấp nhận, tất cả các port khác sẽ bị

khóa(HTTPS: 441, SSH: 222)

Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên

dưới

e Selectively Blocking IPs Addresses

Cấu hình để chặn bất kỳ một IP truy cập vào SmoothWall

Để chặn địa chỉ IP vào Networking > ip block

Hình 2.11 Trang cấu hình khóa địa chỉ IP.

Nhập một địa chỉ IP hoặc mạng muốn chặn

nối sẽ được gửi đến các IP nguồn

Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên

dưới

f Configuring Timed Access to the Internet

SmoothWall Express có thể cho phép hoặc không cho phép truy cập Internet tạinhững thời điểm nhất định trong ngày, cho một nhóm máy Client

Để cấu hình thời gian truy cập Internet vào Networking > timed access

Hình 2.12 Trang cấu hình thời gian truy cập Internet.

Bảng 2.13: Bảng các cấu hình cài đặt thời gian truy cập Internet

Allow at specified times – chấp nhậnReject at specified times – khóa

hay khóa

dòng, ví dụ 10.0.0.253/24Chọn Save để lưu

g Managing Quality of Service for Traffic

Cấu hình để đảm bảo chất lượng lưu thông của các dịch vụ bằng cách ưu tiên

Để quản lý qos Networking > qos

Hình 2.13 Trang cấu hình qos.

Traffic that does not

match below gets

treated as

Chọn xử lý các luồng dữ liệu không được liệt

kê trong vùng lựa chọn luật

dịch vụ và giao thức được liệt kê, hoặc điềuchỉnh phù hợp với yêu cầu

Chon Save để lưu

h Configuring Advanced Network Options

Hình 2.14 Trang cấu hình advanced

Block and ignore

Chọn để xử lý các lượng truy cập không cho phép

Chon Save để lưu

i Configuring Dial-up Connections

j Working with Interfaces

Hình 2.15 Trang cấu hình card mạng

2.4 Làm việc với VPN

 Tạo một kết nối VPN

Hình 2.16 Trang tạo một kết nối VPN

• Các cấu hình cài đặtBảng 2.16: Bảng cấu hình cài đặt tạo kết nối VPN

của bạn)

 Quản lý kết nối VPN

Chọn restart và stop để chạy và dừng kết nối VPN

Hình 2.17 Trang quản lý kết nối VPN

2.5 Sử dụng SmoothWall Express Tools

a) IP Information

Hiển thị thông tin của địa chỉ IP hoặc tên miền Một ứng dụng của việc này làxác định nguồn gốc của các yêu cầu trong bản ghi