Đồ án tốt nghiệp: Triển khai hệ thống mạng an toàn với pfSense và Pi-hole

Tài liệu đồ án tốt nghiệp quản trị an ninh mạng, hướng dẫn triển khai hệ thống an toàn với tường lửa pfSense, DNS Pi-hole và VPN chi tiết.

Trường đại học

Đại học Điện lực

Chuyên ngành

Quản trị An ninh mạng

Người đăng

Ẩn danh

Thể loại

Đồ án tốt nghiệp

2023

90
3
0

Phí lưu trữ

30 Point

Tóm tắt

I. Tổng Quan Về An Ninh Mạng và Tường Lửa pfSense

An ninh mạng là lĩnh vực quan trọng trong công nghệ thông tin hiện đại. Tường lửa pfSense đóng vai trò then chốt trong việc bảo vệ hệ thống mạng khỏi các mối đe dọa. Đồ án tốt nghiệp về triển khai hệ thống mạng sử dụng pfSense cung cấp giải pháp toàn diện cho quản trị an ninh mạng. Các nguy cơ an toàn mạng ngày càng tăng với những kỹ thuật tấn công tinh vi. pfSense là một giải pháp firewall mã nguồn mở được tin dùng rộng rãi. Nó cung cấp các tính năng bảo security mạnh mẽ để bảo vệ mạng doanh nghiệp. Sự kết hợp giữa DNS server Pi-holetường lửa pfSense tạo nên một hệ thống an ninh mạng toàn diện hiệu quả.

1.1. Khái Niệm và Vai Trò Của Tường Lửa pfSense

pfSense là một hệ điều hành tường lửa dựa trên FreeBSD, cung cấp giải pháp bảo vệ mạng với chi phí thấp. Tường lửa pfSense có khả năng lọc lưu lượng mạng, quản lý băng thôngkiểm soát truy cập. Các tính năng chính bao gồm: NAT, VPN, IDS/IPS, và quản lý traffic. Giải pháp này thích hợp cho các doanh nghiệp vừa và nhỏ cần nâng cao an ninh mạng mà không cần đầu tư lớn.

1.2. Các Nguy Cơ An Toàn Mạng Hiện Tại

Các mối đe dọa mạng ngày nay rất đa dạng: Malware, Phishing, DDoS attacks, SQL injection. Tấn công trung gian (MITM) có thể đánh cắp dữ liệu nhạy cảm. Lỗ hổng Zero-day gây nguy hiểm cao cho hệ thống chưa được vá. pfSense với các quy tắc firewallcơ chế lọc DNS giúp giảm thiểu rủi ro an ninh.

II. Giải Pháp Triển Khai Hệ Thống Với Pi hole và pfSense

Giải pháp triển khai hệ thống mạng an toàn kết hợp DNS server Pi-holetường lửa pfSense tạo thành lớp bảo vệ đa chiều. Pi-hole cung cấp khả năng chặn quảng cáoxác định tên miền độc hại ở mức DNS. pfSense xử lý kiểm soát truy cập, VPN, và IDS/IPS ở mức mạng. Sự kết hợp này tăng cường bảo mật cho toàn bộ cơ sở hạ tầng IT. Hệ thống DNS tập trung trên Pi-hole cho phép quản lý lưu lượng DNSngăn chặn truy cập trang web độc hại. Tường lửa pfSense đặt ở điểm vào/ra của mạng để kiểm soát toàn bộ giao thông.

2.1. Cấu Trúc DNS Server và Pi hole

Hệ thống tên miền (DNS) hoạt động như bộ phân giải địa chỉ trên internet. Pi-hole là một DNS server mạnh mẽ chạy trên Raspberry Pi hoặc Linux. Nó cung cấp danh sách chặn tên miền, chuyển hướng DNS tùy chỉnh, và ghi nhật ký truy vấn DNS. Các tính năng nổi bật: chặn quảng cáo, phân loại domain, giới hạn truy cập theo nhóm.

2.2. Các Tính Năng Nổi Bật Của pfSense Firewall

pfSense cung cấp firewall tương thích cao với các tính năng: Stateful packet filtering, VPN (OpenVPN/IPSec), IDS/IPS. NAT và Port Forwarding cho phép quản lý IP hiệu quả. Package management hỗ trợ mở rộng chức năng dễ dàng. Giao diện web quản trị thân thiện cho cấu hình đơn giảngiám sát real-time.

III. Triển Khai và Thử Nghiệm Hệ Thống

Quá trình triển khai hệ thống mạng với pfSense bao gồm các bước cụ thể từ cài đặt máy ảo đến cấu hình firewall rules. Thử nghiệm kết nối mạng giữa LAN, DMZinternet giúp xác thực tính liên thông. Cấu hình VPN cho phép nhân viên kết nối từ xa an toàn. Đánh giá hiệu suất hệ thống giúp tối ưu hóa firewall rules cho hiệu năng tối đa. Các bước triển khai Pi-hole DNS server bao gồm thay đổi port mặc định, tạo DNS records, cấu hình group quản lý client. Kiểm tra ping đến tên miền bị chặn để xác nhận hoạt động.

3.1. Các Bước Cài Đặt Và Cấu Hình pfSense

Cài đặt pfSense trên VMware hoặc máy chủ vật lý yêu cầu tối thiểu 512MB RAM. Thiết lập các interfaces cho LAN, DMZ, WAN trong giao diện dòng lệnh. Truy cập web GUI để cấu hình ip tĩnh, thay đổi mật khẩu, tạo firewall rules. Thiết lập NAT cho máy chủ nội bộ, cấu hình DNS trỏ tới Pi-hole server.

3.2. Triển Khai VPN Và Kiểm Tra Kết Nối

Cài đặt OpenVPN package thông qua Package Manager của pfSense. Tạo chứng chỉ CAcertificate server để bảo mật kết nối. Cấu hình OpenVPN server với dải IP, giao thức encryption, authentication method. Tạo user VPNxuất file cấu hình client cho kết nối từ xa. Kiểm tra ping từ client VPN đến mạng nội bộ để xác nhận VPN hoạt động.

IV. Quản Lý Truy Cập Và Bảo Mật Cao Cấp

Privileged Access Management (PAM)giải pháp bảo mật nâng cao cho quản lý quyền truy cập trong doanh nghiệp. Guacamole cung cấp cổng truy cập từ xa để quản lý máy chủ thông qua SSH và RDP. Docker và Portainer cho phép triển khai Guacamole dễ dàng. Just-in-Time PAM (JIT PAM) cấp quyền tạm thời cho người dùng khi cần thiết. Giải pháp này giảm rủi ro từ unauthorized accesstăng audit trail. Kết hợp với pfSense VPN, người dùng có thể truy cập an toàn từ bất kỳ vị trí nhưng vẫn được kiểm soát chặt chẽ.

4.1. Khái Niệm Và Lợi Ích Của PAM

Privileged Access Managementhệ thống quản lý các tài khoản có quyền cao trên hệ thống IT. Lợi ích chính: giảm rủi ro vi phạm dữ liệu, tăng tuân thủ quy định, cải thiện audit trail. Just-in-Time PAM cấp quyền tự động khi cần, thu hồi sau khi hoàn thành. Guacamole cung cấp giao diện web tập trung để quản lý SSH, RDP, VNC một chỗ.

4.2. Triển Khai Guacamole Với Docker

Docker cho phép triển khai Guacamole trong container độc lập. Portainer cung cấp giao diện quản trị cho Docker container. Các bước triển khai: cài Docker, cài Portainer, tạo container Guacamole, cấu hình SSH, RDP connection. Tạo SSH connection tới Linux server, tạo RDP connection tới Windows server. Kiểm tra kết nối thông qua Guacamole web interface để xác nhận hoạt động.

21/12/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu về An ninh mạng An ninh mạng ngày càng trở nên quan trọng khi điện thoại thông minh, máy tính và máy tính bảng là một phần không thể thiếu trong công việc hàng ngày và cuộc sống cá nhân mỗi chúng ta. Mức độ phụ thuộc vào các công cụ trực tuyến trong các khía cạnh khác nhau của hoạt động kinh doanh – từ mạng xã hội và tiếp thị qua email đến lưu trữ dữ liệu nhân viên và khách hàng trên đám mây – đặt ra nhu cầu bổ sung cho chúng ta trong việc bảo vệ những thông tin quý giá này. Sự phụ thuộc vào các công cụ số khiến nhiều doanh nghiệp gặp rủi ro từ các cuộc tấn công mạng. Kiến thức vững chắc về an ninh mạng là chìa khóa ở đây, vì các cuộc tấn công như vậy vẫn không ngừng phát triển và ngày càng tinh vi hơn.

Nạn nhân của các cuộc tấn công mạng có thể có nguy cơ:  Mất dữ liệu nhạy cảm  Tổn thất tài chính do trộm cắp dữ liệu  Chi phí cao cho việc khôi phục dữ liệu bị đánh cắp  Mất đi danh tiếng  Đóng cửa (trong trường hợp nghiêm trọng) Với sự phát triển của việc chúng ta sử dụng internet, các công cụ trực tuyến và các thiết bị liên quan, tội phạm mạng đã lan rộng trong doanh nghiệp. Vì an ninh mạng không có giải pháp chung cho tất cả, bạn cần xem xét các lĩnh vực khác nhau có liên quan đến doanh nghiệp của bạn, dữ liệu của bạn và nơi nó được lưu trữ trực tuyến. Các loại an ninh mạng quan trọng nhất mà các công ty đang tập trung xây dựng tuyến phòng thủ vững chắc nên là:  Network security – Bảo vệ chống lại việc truy cập trái phép vào cơ sở hạ tầng nội bộ, thường được cung cấp bởi các quản trị viên mạng, những người thực hiện các chính sách về mật khẩu và thông tin đăng nhập mạnh, tường lửa, mã hóa và phần mềm chống vi-rút.  App security – Các bản cập nhật và thử nghiệm thường xuyên có thể bảo vệ ứng dụng của bạn khỏi các mối đe dọa.

2  Information and data security – Mạng và ứng dụng lưu trữ dữ liệu cần được bảo vệ bổ sung thêm.  Endpoint protection – giảm rủi ro khi truy cập từ xa.  Cloud security – phần mềm giám sát và bảo vệ dữ liệu được lưu trữ trên đám mây.  Mobile security and IoT – điện thoại thông minh, máy tính bảng và các thiết bị khác được kết nối với Internet của Vạn vật (Internet of Things; ioT) có các nhu cầu an toàn cụ thể khác nhau.

 Business continuity planning and emergency recovery – Mọi doanh nghiệp cần có kế hoạch dự phòng trong trường hợp xảy ra tấn công bằng hack, thảm họa thiên nhiên hoặc các sự kiện khác đe dọa đến an ninh mạng của mình.2 Các nguy cơ ảnh hưởng đến an toàn mạng Có nhiều loại tấn công mạng công khai và âm thầm – cả hai đều được thiết kế để làm gián đoạn hoạt động kinh doanh của doanh nghiệp theo những cách khác nhau. Khi ngày càng có nhiều công ty nhận thức được tầm quan trọng của việc bảo vệ tài nguyên của họ và thực hiện đào tạo về an ninh mạng, thì tin tặc và tội phạm mạng cũng đang phát triển các hình thức tấn công khác ngày càng tinh vi hơn. Bằng cách cập nhật kiến thức của mình, bạn có thể bảo vệ doanh nghiệp của mình khỏi chúng tốt hơn. Có năm loại tấn công mạng phổ biến nhất:  Malware là một lỗ hổng trên hệ thống bảo vệ mạng của bạn, chẳng hạn như phần mềm gián điệp, phần mềm tống tiền và vi rút.

 Phishing – Là những tin nhắn độc hại (thường là email) chứa các liên kết độc hại mà khi được nhấp vào, chúng sẽ gửi quyền truy cập vào thông tin nhạy cảm.  Denial of Service (DoS) – Tin tặc tràn ngập mạng hoặc hệ thống của bạn với nhiều thông tin dư thừa nhằm làm quá tải và buộc hệ thống của bạn phải dừng lại.  Man in the middle (MitM) – tội phạm mạng làm gián đoạn kết nối, thường là qua mạng wi-fi công cộng không an toàn và sau đó đánh cắp dữ liệu nhạy cảm. 3  Zero-day attack – một cuộc tấn công ít phổ biến hơn nhưng xảy ra ngày càng nhiều giữa việc công bố bản cập nhật hoặc bản vá bảo mật và cài đặt của nó.

Những kiểu tấn công mạng này có thể ảnh hưởng đến nhiều doanh nghiệp, chẳng hạn như quán cà phê có mạng wi-fi không an toàn hoặc các shop online có nguy cơ bị tấn công zero-day. Các kỹ thuật tấn công mạng 1.Tấn công bằng phần mềm độc hại (Malware attack) Tấn công malware là hình thức phổ biến nhất. Malware bao gồm spyware (phần mềm gián điệp), ransomware (mã độc tống tiền) và virus and worm (phần mềm độc hại có khả năng lây nhiễm nhanh). Thông thường, tin tặc sẽ tấn công người dùng thông qua các lỗ hổng bảo mật, cũng có thể là dụ người dùng click vào một đường link hoặc email (phishing) để phần mềm độc hại tự động cài đặt vào máy.

Một khi đã được cài đặt thành công thì malware sẽ gây ra:  Ngăn cản người dùng truy cập vào file hoặc folder nào đó quan trọng (ransomware)  Cài đặt thêm những phần mềm độc hại khác  Lén lút theo dõi và đánh cắp dữ liệu của người dùng (spyware)  Làm hư hại phần mềm, phần cứng hoặc làm gián đoạn hệ thống.2 Tấn công giả mạo (Phishing attack) Phishing attack là hình thức giả mạo thành một đơn vị/cá nhân uy tín nhằm lấy lòng tin của người dùng, thông thường là qua email. Mục đích của tấn công Phishing chủ yếu là đánh cắp dữ liệu nhạy cảm như thông tin thẻ tín dụng, mật khẩu, đôi khi lừa người dùng cài đặt malware vào thiết bị (khi đó, phishing là một công đoạn trong cuộc tấn công malware).Tấn công trung gian (Man-in-the-middle attack) Tấn công trung gian (MitM), hay tấn công nghe lén, xảy ra khi kẻ tấn công thâm nhập vào một giao dịch/sự giao tiếp giữa 2 thiết bị. Khi đã xen vào giữa thành công, chúng có thể đánh cắp dữ liệu, thông tin của giao dịch đó. Loại hình này xảy ra khi: 4  Nạn nhân truy cập vào một mạng Wifi công cộng không an toàn, kẻ tấn công sẽ “chen vào giữa” thiết bị của nạn nhân và mạng Wifi đó.

Vô tình, các thông tin nạn nhân chuyển đi sẽ rơi vào tay kẻ tấn công.  Khi phần mềm độc hại được cài đặt thành công vào thiết bị, kẻ tấn công có thể dễ dàng xem và chỉnh sửa dữ liệu của nạn nhân.4 Tấn công từ chối dịch vụ (DoS và DDoS) DoS (Denial of Service) là hình thức tấn công mà kẻ tấn công “đánh sập tạm thời” một hệ thống, máy chủ, hoặc mạng nội bộ. Để thực hiện được điều này, chúng thường tạo ra một lượng lớn traffic/request ở cùng một thời điểm, khiến cho hệ thống bị quá tải, từ đó người dùng không thể truy cập vào dịch vụ trong khoảng thời gian mà cuộc tấn công DoS diễn ra. Một hình thức khác của DoS là DDoS (Distributed Denial of Service): kẻ tấn công sử dụng một mạng lưới các máy tính (botnet) để tấn công.

Thậm chí chính các máy tính thuộc mạng lưới botnet cũng không biết bản thân đang bị lợi dụng để làm công cụ tấn công.5 Tấn công cơ sở dữ liệu (SQL injection) Kẻ tấn công sẽ “tiêm” một đoạn code độc hại vào server sử dụng ngôn ngữ truy vấn có cấu trúc (SQL), mục đích là để máy chủ trả về những thông tin quan trọng mà lẽ ra không được tiết lộ. Các cuộc tấn công SQL injection thường xuất phát từ các lỗ hổng của website, đôi khi kẻ tấn công chỉ cần chèn một đoạn mã độc vào thanh công cụ “Tìm kiếm” là đã có thể tấn công vào website.6 Khai thác lỗ hổng Zero-day (Zero day attack) Lỗ hổng Zero-day (0-day vulnerabilities) là các lỗ hổng bảo mật mà các nhà cung cấp phần mềm chưa công bố, chưa biết tới, và dĩ nhiên cũng chưa có bản vá chính thức. Chính vì thế, việc khai thác các lỗ hổng “mới ra lò” này là vô cùng nguy hiểm và khó lường, có thể gây hậu quả nặng nề cho người dùng và chính nhà phát hành sản phẩm.7 Các loại khác Ngoài ra, còn có rất nhiều hình thức tấn công mạng khác như: Tấn công chuỗi cung ứng, Tấn công Email, Tấn công vào con người, Tấn công nội bộ tổ chức, … Mỗi hình thức tấn công mạng này đều có những đặc tính riêng, và chúng 5 ngày càng tiến hóa phức tạp, tinh vi đòi hỏi các cơ quan, tổ chức, cá nhân phải thường xuyên cảnh giác và cập nhật các công nghệ bảo mật mới. 6 CHƯƠNG 2: GIẢI PHÁP XÂY DỰNG HỆ THỐNG SỬ DỤNG PIHOLE VÀ TƯỜNG LỬA PFSENSE 2.1 Tổng quan về DNS 2.1 Khái niệm Mỗi máy tính, thiết bị mạng tham gia vào mạng Internet đều có thể giao tiếp với nhau thông qua địa chỉ IP (Internet Protocol).

Để thuận tiện cho việc sử dụng và dễ nhớ, chúng ta sử dụng tên miền (domain name) để xác định thiết bị đó. Hệ thống tên miền (Domain Name System) được sử dụng để ánh xạ tên miền thành địa chỉ IP. Vì vậy, khi muốn giao tiếp tới các máy khác, chúng chỉ cần sử dụng những tên miền (domain name) dễ nhớ như: www., thay vì sử dụng địa chỉ IP là một dãy số dài khó nhớ. Ban đầu, khi DNS chưa được ra đời, người ta sử dụng một file tên là Host.txt, file này sẽ lưu các thông tin về tên host và địa chỉ IP của host của tất cả các máy trong mạng, file này được lưu ở tất cả các máy để chúng có thể truy xuất đến các máy khác trong Internet.

Khi đó, nếu có bất kỳ sự thay đổi nào về tên host, địa chỉ IP thì ta phải cập nhật lại toàn bộ các file Host.txt trên tất cả các máy. Do vậy vào năm 1984, Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát triển một hệ thống quản lý tên miền mới lấy tên là Hệ thống tên miền – Domain Name Hệ thống mới này cũng sử dụng một file tên host.txt để lưu thông tin của tất cả các máy trong mạng, nhưng thay vì lưu ở tất cả các máy thì nó chỉ được đặt trên máy làm máy chủ tên miền (DNS Server). Khi đó, các Client trong mạng muốn kết nối đến các Client khác thì chỉ cần hỏi DNS Server là xong. Như vậy, mục đích của DNS là:  Phân giải địa tên máy thành địa chỉ IP và ngược lại.

 Phân giải tên domain. DNS là Domain Name System, DNS Server là Server chạy Domain Name Service.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ