Đang tải... (xem toàn văn)
•Hiểu rõ hơn về bảo mật thông tin trên mạng nói chung và bảo mật trong thương mại điện tử nói riêng•Mô hình mạng thương mại điện tử.•Mã hóa các thông tin trong suốt quá trình làm việc với khách hàng.•Hiểu rõ về cơ chế hoạt động, tính năng của firewall, VPN.•Cách cấu hình thiết lập một firewall, VPN.Thực nghiệm•Giả lập được firewall pfsense trên nền gns3 với sự hỗ trợ của vmware.•Triển khai LAMP cho hệ thống Ecommerce•Triển khai bảo mật hơn cho Web server kết hợp với chứng chỉ SSL.•Hiểu được rõ hơn về chức năng của firewall, VPN trong một mạng doanh nghiệp.•Đưa ra giải pháp kết hợp firewall, VPN cho mạng doanh nghiệp.•Đáp ứng được yêu cầu về firewall của doanh nghiệp nói chung cũng như đối đối với doanh nghiệp vừa và nhỏ nói riêng sử dụng mô hình B2C trong ecommerce.•Biết cách sử dụng Vmware kết hợp với GNS3 để kiểm thử hệ thống.
LỜI CẢM ƠN Trước hết xin gửi lời cảm ơn chân thành đến giảng viên hướng dẫn tối suốt thời gian qua ThS Nguyễn Kim Tuấn truyền đạt, bảo kiến thức quý báu cho để thực khóa luận tốt nghiệp Được tiếp xúc thực tế, giải đáp thắc mắc giúp hiểu biết công việc giám sát quản trị mạng suốt trình thực khóa luận Với vốn kiến thức hạn hẹp, trình thực không tránh khỏi thiếu sót, mong nhận ý kiến đóng góp tích cực quý thầy cô để hành trang tốt giúp cho hoàn thiện kiến thức, kĩ sau bước vào đời Đà Nẵng, ngày 26 tháng năm 2016 Sinh viên Võ Viết Tùng LỜI CAM ĐOAN Tôi xin cam đoan nghiên cứu riêng hướng dẫn khoa học giảng viên ThS Nguyễn Kim Tuấn Các nội dung nghiên cứu, kết đề tài trung thực chưa công bố hình thức trước Những thông tin phục vụ cho việc phân tích, nhận xét, đánh giá tác thập từ nguồn khác có ghi rõ phần tài liệu tham khảo Nếu phát có gian lận xin hoàn toàn chịu trách nhiệm nội dung luận văn Trường đại học Duy Tân không liên quan đến vi phạm tác quyền, quyền gây trình thực (nếu có) Đà Nẵng, ngày 26 tháng năm 2016 Sinh viên Võ Viết Tùng LỜI MỞ ĐẦU Tính cấp thiết đề tài Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin Sự đời mạng máy tính dịch vụ mang lại cho người nhiều lợi ích to lớn, góp phần đơn giản hóa thủ tục lưu trử, xử lý, trao đổi thông tin liên lạc, kết nối vị trí, khoảng không rộng lớn cách nhanh chóng, hiệu Máy tính mạng internet phổ biến rộng rãi, tổ chức, cá nhân có nhu cầu sử dụng máy tính mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính không quản lý dễ dàng bị công, gây hậu nghiêm trọng Trong vai trò người quản trị hệ thống vấn đề an ninh cho mạng máy tính đặt lên hàng đầu Firewall phương thức giúp thực việc cách tối ưu nhất, ngăn chặn truy cập bất hợp pháp từ bên ngoài, lọc gói tin vào mạng nội Vì lý đó, nhóm chọn nghiên cứu đề tài “Xây dựng hệ thống mạng E-commerce có tính bảo mật sẵn sàng cao” với mục đích tìm hiểu sâu sắc chế hoạt động phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp vấn hành trơn tru, an toàn hạn chế cố xảy Ý nghĩa khoa học ý nghĩa thực tiễn Ý nghĩa khoa học: - Cung cấp lý thuyết firewall - Hiểu cần thiết Firewall thương mại điện tử nói riêng cho doanh nghiệp nói chung - Cung cấp kiến thức firewall - Hiểu thêm chức năng, ưu nhược Firewall Pfsense - Cấu hình cài đặt LAMP Ý nghĩa thực tiễn: - Chỉ ưu nhược hệ thống thương mại điện tử - Đưa giải pháp tối ưu cho hệ thống doanh nghiệp - Triển khai mô hình thương mại điện tử 3 Mục đích nghiên cứu - Giúp cho khả tự đọc, tìm hiểu nghiên cứu thân ngày nâng cao Đưa chuẩn, mô hình chung xây dựng hệ thống thương mại điện tử Bảo mật cho hệ thống thương mại điện tử Đối tượng hướng đến - Tất tổ chức, quan, doanh nghiệp đã, áp dụng công nghệ thông tin cho hoạt động buôn bán kinh doanh Phạm vi nghiên cứu - Triển khai bảo mật cho hệ thống thương mai điện tử cho doanh nghiệp Triển khai Firewall Pfsense Triển khai Web Server apache MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC TỪ VIẾT TẮT TỪ VIẾT TẮT NGHĨA TIẾNG ANH NGHĨA TIẾNG VIỆT AD Active Directory dịch vụ thư mục (directory service) đăng ký quyền Microsoft, phần thiếu kiến trúc Windows DHCP Dynamic Host Configuration Là giao thức cấu hình tự Protocol động địa IP DMZ Demilitarized Zone DMZ vùng mạng trung lập mạng nội mạng internet LAN Local Area Network hệ thống mạng dùng để kết nối máy tính phạm vi nhỏ (công ty, trường học, nơi làm việc,…) VPN Virtual Private Network công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa tiết kiệm chi phí B2B Business To Business mô hình kinh doanh thương mại điện tử giao dịch xảy trực tiếp doanh nghiệp với B2C Business To Customer mô hình bao gồm giao dịch thương mại Internet doanh nghiệp với khách hàng Http HyperText Transfer Protocol Đây giao thức ứng dụng giao thức TCP/IP (gồm nhóm giao thức tảng cho internet) HTTP hoạt động dựa mô hình Client – Server Https Hypertext Transfer Protocol Sự kết hợp giao thức Secure HTTP giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin cách bảo mật Internet Giao thức HTTPS thường dùng giao dịch nhậy cảm cần tính bảo mật cao SSH Secure Shell Là giao thức mạng dùng để thiết lập kết nối mạng từ xa bảo mật phương thức mã hóa SSL Secure Socket Layer Là giao thức đa mục đích thiết kế để tạo giao tiếp hai chương trình ứng dụng cổng 443 CHƯƠNG TỔNG QUAN VỀ AN TOÀN MẠNG & THƯƠNG MẠI ĐIỆN TỬ 1.1 TỔNG QUAN VỀ AN TOÀN MẠNG 1.1.1 An toàn mạng Ngày Internet ngày phổ biển, sử dụng rộng rãi mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác sử dụng chung tài nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tài nguyên thông tin mạng tránh mát, xâm phạm cần thiết cấp bách An toàn mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm: liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng An toàn mạng bao gồm: Xác định sách, khả nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an toàn mạng Đánh giá nguy công Hacker đến mạng, phát tán virus… Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng Một thách thức an toàn mạng xác định xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hổng khiến mạng bị xâm phạm thông qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, sâu gián điệp, nguy xóa, phá hoại sở liệu, ăn cắp mật khẩu, … nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Khi đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt để đảm bảo an ninh mạng Sử dụng hiệu công cụ bảo mật (ví dụ Firewall) biện pháp, sách cụ thể chặt chẽ Về chất phân loại vi phạm thành vi phạm thụ động vi phạm chủ Trang động Thụ động chủ động hiểu theo nghĩa có can thiệp vào nội dung luồng thông tin có bị trao đổi hay không Vi phạm thụ động nhằm mục đích nắm bắt thông tin Vi phạm chủ động thực biến đổi, xóa bỏ thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hoạt động vi phạm thụ động thường khó phát ngăn chặn hiệu Trái lại, vi phạm chủ động dễ phát lại khó ngăn chặn 1.1.2 Các đặc trưng kỹ thuật an toàn mạng - Tính xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể người sử dụng, chương trình máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống mạng thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phương thức bảo mật dựa vào mô hình sau: Đối tượng cần kiểm tra cần phải cung cấp thông tin trước, ví dụ password, mã số thông tin cá nhân PIN Kiểm tra dựa vào mô hình thông tin có, đối tượng kiểm tra cần phải thể thông tin mà chúng sở hữu, ví dụ Private Key, số thẻ tín dụng Kiểm tra dựa vào mô hình thông tin xác đinh tính nhất, đối tượng kiểm tra cần phải có thông tin để định danh tính mình, ví dụ thông qua giọng nói, dấu vân tay, chữ ký… - Tính khả dụng (Availability): Tính khả dụng đặc tính mà thông tin mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu cần thiết nào, hoàn cảnh Tính khả dụng nói chung dùng tỉ lệ thời gian hệ thống sử dụng bình thường với thời gian trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau: Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn), không chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống lưu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tương ứng) - Tính bảo mật (Confidentialy): Tính bảo mật đặc tính tin tức không bị tiết lộ cho thực thể hay trình không ủy quyền biết không đối tượng xấu lợi dụng Thông tin cho phép thực thể ủy quyền sử dụng Kỹ thuật bảo mật thường Trang 10 Hình 3.26 Cài đặt VPN cho Client Hình 3.26 Cài đặt VPN cho Client Trang 65 Hình 3.27 Đăng nhập VPN Hình 3.28 Kiểm tra card mạng Hình 3.29 Kiểm tra kết nối đến máy Server Local Trang 66 1.1.1 Cài đặt chứng SSL cho WebServer Bước 1: Cấu hình tập tin openssl.cnf Tập tin đặt thư mục /etc/pki/tls/ chỉnh sửa lại sau: Dir = /etc/pki/CA Certificate = $dir/linux-ca.crt Crl = $dir/linux-ca.crl Private_key = $dir/private/linux-ca.key Hình 3.30 Chỉnh sửa file openssl.cnf Bước 2: Thiết lập mặc định cho CA Đầu tiên vào thư mục CA đường dẫn /etc/pki/CA Tạo thư mục “certs”, “crl”, “newcerts” để chứa chứng Tạo thêm file index.txt serial #mkdir certs #mkdir crl #mkdir newcerts Trang 67 #touch index.txt #echo 01 > serial Bước 3: Tạo Server private key #openssl genrsa -out private/linux-ca.key -des3 2048 Nhập mật tạo Hình 3.31 Tạo Server private key Bước 4: Tạo chứng #openssl -new -x509 -key private/linux-ca.key -days 365 > linux-ca.crt Hình 3.32 Tạo chứng Bước 5: tạo CSR key #openssl req -new -key private/linux-ca.key -out linux-ca.csr Lưu ý: Phải nhập xác thông tin khai báo tạo khóa CA CSR Trang 68 Hình 3.33 Tạo CSR key Bước 6: Tạo chứng cho chữ kí CA #openssl ca -in linux-ca.csr -out linux-ca.crt Xác nhận lại thông tin tạo chữ kí riêng cho khóa Hình 3.34 Tạo chứng cho chữ kí CA Bước 7: Chuyển tập tin cấu hình vào nơi thiết lập trước file openssl.cnf #cp linux-ca.key /etc/httpd/conf Trang 69 #cp linux-ca.crt /etc/httpd/conf/ #cp linux-ca.crt /var/www/html/certs Hình 3.35 Chuyển tập tin vào thư mục thiết lập Bước 8: Vào tập tin /etc/httpd/conf.d/ssl.conf chỉnh lại SSLEngine on SSLCertificateFile /etc/httpd/conf/linux-ca.crt SSLCertificateKeyFile /etc/httpd/conf/linux-ca.key Hình 3.36 Chỉnh sửa tập tin ssl.conf Cuối khởi động lại dịch vụ httpd #service httpd restart Trang 70 Hình 3.37 Truy cập lại trang web Hình 3.38 Xem lại thông tin chứng Trang 71 Nat trang web bên ngoài: Bước 1: Cấu hình nat cho router R1(config)# ip nat inside source static tcp 192.168.2.2 80 interface fa 0/0 80 Bước 2: Cấu hình Nat cho FW1 Hình 3.39 Cấu hình Nat cho FW1 Trang 72 Hình 3.40 Kiểm tra truy cập trang web • So sánh http https Dùng wireshark để bắt gói tin so sánh http https Khi dùng http gói tin truyền mạng không bị mã hóa, ta bắt toàn gói tin bao gồm mật tên đăng nhập khách hàng Ngoài ra, công chiếm phiên làm việc dựa vào cookie Hình 3.41 Bắt gói tin chứa tên đăng nhập mật Khi dùng https tất gói tin mã hóa suốt trình trao đổi thông tin với khách hàng • Chỉ bắt gói tin bị mã hóa chứng ssl Trang 73 Hình 3.42 Các gói tin bị mã hóa ssl 1.1.2 Backup liệu Database Server tự động Lập lịch Crontab cho Database Server tự động lưu liệu lưu vào thư mục /etc/httpd/backup Bước 1: Truy cập vào tập tin # vi /etc/crontab Bước 2: chèn vào dòng lệnh lập lịch 0 * * * root mysqldump -u root /etc/httpd/backup/backup_`date +\%m_\%d_\%Y`.sql -pHothien38 wordpress > Trang 74 Hình 3.43 Chỉnh sửa tập tin Crontab Vào lúc 0h ngày lưu lại liệu Database tên “wordpress” lưu vào thư mục /etc/httpd/backup với tên backup_ngày_tháng_năm.sql Hình 3.44 Lúc trước đến câu lệnh thực thi Hình 3.45 Lúc câu lệnh thực thi Trang 75 Hình 3.46 Kiểm tra ngày khởi tạo • Kết luận demo Hệ thống E-commerce xây dựng dựa tảng LAMP kết hợp với firewall pfsense đáp ứng hầu hết nhu cầu thực tế đặt mã hóa phiên làm việc Server-Client suốt trình giao dịch nhờ vào cài đặt chứng SSL , tránh bị kẻ xấu đánh cắp thông tin, mã hóa sở liệu theo hàm băm chiều để tránh thông tin khách hàng bị đánh cắp Hệ thống xây dựng VPN để nhân viên kết nối từ xa để sử dụng tài nguyên mạng Và sở liệu lưu ngày, nhằm bảo vệ thông tin khách hàng ko bị đánh trường hợp xấu Trang 76 KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI • Kết đạt được: Lý thuyết • Hiểu rõ bảo mật thông tin mạng nói chung bảo mật thương mại điện tử nói riêng • Mô hình mạng thương mại điện tử • Mã hóa thông tin suốt trình làm việc với khách hàng • Hiểu rõ chế hoạt động, tính firewall, VPN • Cách cấu hình thiết lập firewall, VPN Thực nghiệm • Giả lập firewall pfsense gns3 với hỗ trợ vmware • Triển khai LAMP cho hệ thống E-commerce • Triển khai bảo mật cho Web server kết hợp với chứng SSL • Hiểu rõ chức firewall, VPN mạng doanh nghiệp • Đưa giải pháp kết hợp firewall, VPN cho mạng doanh nghiệp • Đáp ứng yêu cầu firewall doanh nghiệp nói chung đối doanh nghiệp vừa nhỏ nói riêng sử dụng mô hình B2C e-commerce • Biết cách sử dụng Vmware kết hợp với GNS3 để kiểm thử hệ thống • Hạn chế đề tài: • Chưa tìm hiểu hết kĩ thuật lâp trình firewall • Việc triển tìm hiểu chưa có nhiều điều kiện thực tế • Tiếp cận môi trường thực thế, thực trình mô phòng lên thiết bị thật • Triển khai mô hình mạng hoàn chỉnh thực tế đáp ứng nhu cầu công ty kinh doanh Trang 77 • Hướng phát triển đề tài: Trên sở việc làm xin đưa hướng phát triển để hoàn thiện đề tài: • Tìm hiểu giải pháp lập trình Firewall kết hợp với VPN đề xuất phương án, giải pháp phù hợp với yêu cầu doanh nghiệp • Tìm hiểu sâu firewall để đưa giải pháp có tính bảo mật thực tiễn cao để bảo mật thông tin • Cập nhật chức năng, tính firewall, VPN • Tìm hiểu mô hình E-commerce Thế Giới để so sánh, đánh giá với hệ thống • Thường xuyên kiểm tra, bảo trì hệ thống, đánh giá hệ thống định kì, đảm bảo hệ thống vận hành tốt • Thử kĩ thuật công để điểm yếu, điểm mạnh firewall • Kết hợp với phần mềm diệt vi rút, phần mềm đóng gói, mã hóa liệu thiết lập sách chặt chẽ để bảo mật thông tin tốt Trang 78 DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Việt [1] Lê Trọng Vĩnh – Nguyễn Gia Như – Đặng Ngọc Cường , Thiết kế mạng, Trường Đại Học Duy Tân , 2011 Tiếng Anh [2], Eric Maiwald, Fundamentals of Series, 2004 Network Security ,Information Security Nguồn từ Internet [3] http://issuu.com/namngan_nc/docs/noi_dung_nghi n_c _u_pfsense [4] https://duchieu1106.wordpress.com/category/firewall/pfsense/page/2/ [5]https://tailieu.vn/doc/do-an-tot-nghiep-bao-mat-mang-may-tinh-va-firewall404286.html [6] http://tailieu.vn/doc/tai-lieu-tim-hieu-he-thong-firewall 200354.html [7]http://www.soundtraining.net/i-t-tutorials/cisco-tutorials/38-pptp-portforwarding-on-a-cisco-router [8]https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_with_th e_pfSense_PPTP_server_enabled Trang 79