BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIA ĐỊNH GIA DINH KHOA CÔNG NGHỆ THÔNG TIN UNIVERS ITY BÁO CÁO THỰC TẬP TỐT NGHIỆP TÊN ĐÈ TÀI TÌM HIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL Giảng viên hướng dẫn: ThS NGUYỄN NGỌC ĐẠI Sinh viên thực hiện: KHƯU MINH HIẾU MSSV: 1731102006 Lớp:11DHTTMT Khóa: 11 Thành phố Hồ Chí Minh, tháng 11 năm 2020 LỜI CẢM ƠN Trong thời gian thực tập Công ty TNHH giải pháp công nghệ Phương Đơng em có cợ hội áp dụng kiến thức học, đồng thời em học hỏi nhiều kinh nghiệm thời gian thực tập cơng ty Và em hồn thành báo cáo thực tập nỗ lực thân Sau gần tháng tìm hiểu thực hiện, đề tài '"TÌMHIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL" hồn thành, em nhận nhiều động viên, khích lệ từ thầy cô bạn bè anh, chị phòng IT Em xin gửi lời cảm ơn trân trọng tới thầy giáo hướng dẫn báo cáo thực tập tốt nghiệp, Ths Nguyễn Ngọc Đại, mơn Truyền thơng mạng máy tính, khoa Cơng nghệ thông tin, trường đại học Gia Định, người tận tình hướng dẫn bảo em, cung cấp cho em kiến thức tài liệu quý giá, giúp em định hướng trình nghiên cứu thực báo cáo thực tập tốt nghiệp Nhờ giúp đỡ tận tâm thầy, em hồn thành đồ án Em xin cảm ơn Ban Giám Đốc Công ty TNHH giải pháp công nghệ Phương Đông tạo điều kiện thuận lợi cho em thời gian thực tập Cuối em xin cảm ơn anh chị phịng IT cơng ty giúp đỡ em nhiều, cung cấp số liệu để em hoàn thành tốt chuyên đề thực tập tốt nghiệp TP Hồ Chí Minh, ngày 13 tháng 11 năm 2020 Sinh viên thực Khưu Minh Hiếu ĐÁNH GIÁ CỦA ĐƠN VỊ THỰC TẬP Thái độ tác phong thời gian thực tập: 2.Kiến thức chuyên môn: 3.Nhận thức thực tế: 4.Đánh giá khác: 5.Đánh giá chung kết thực tập: , ngày tháng năm TM Đơn vị thực tập (Ký tên, đóng dấu) ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN Thái độ tác phong thời gian thực tập: 2.Kiến thức chuyên môn: 3.Nhận thức thực tế: 4.Đánh giá khác: 5.Đánh giá chung kết thực tập: Giảng hướng dẫn (Ký tên,viên ghi rõ họ tên) , ngày tháng năm MỤC LỤC MỤC LỤC MỞ ĐẦU Trong năm gần đây, công nghệ thông tin đất nước ta có bước tiến vượt bậc Đi đơi với phát triển công nghệ, mạng lưới sở hạ tầng nâng cấp, tạo điều kiện cho dịch vụ gia tăng, trao đổi thông qua mạng bùng nổ Nhưng với phát triển hệ thống mạng, đặc biệt phát triển rộng khắp hệ thống mạng toàn cầu (Internet), vụ công phá hoại mạng diễn ngày nhiều ngày nghiêm trọng Chúng xuất phát từ nhiều mục đích, để khẳng định khả thân, để thoả mãn lợi ích cá nhân, hay mâu thuẫn, cạnh tranh.nhưng tựu chung lại gây hậu nghiêm trọng vật chất uy tín doanh nghiệp, tổ chức Đối với doanh nghiệp, vai trị Internet khơng thể phủ nhận, ứng dụng thương mại điện tử vào công việc kinh doanh giúp cho doanh nghiệp giảm chi phí thơng thường mà cịn mở rộng đối tác, quảng bá sản phẩm liên kết với khách hàng Nhưng chấp nhận điều có nghĩa doanh nghiệp đứng trước nguy đối mặt với rủi ro nguy hiểm từ Internet Chính lý vấn đề an ninh mạng trở nên nóng bỏng hết, doanh nghiệp dần nhận thức điều có quan tâm đặc biệt tới hạ tầng an ninh mạng Một thành phần hữu ích kể tới hạ tầng hệ thống firewall - cơng nghệ ngày cải tiến phát triển đa dạng, phong phú Xuất phát từ nhu cầu thực tế, doanh nghiệp cần hệ thống firewall để bảo vệ họ, đồ án đời hy vọng tìm kiếm giải pháp cho vấn đề Khái niệm có từ lâu cơng nghệ thơng tin nói chung mạng máy tính nói riêng phát triển Thay đổi qua thời kì từ sản phẩm cơng nghệ đơn giản bước phát triển vượt bậc đời thiết kế với sức mạnh khả đáp ứng trội Luôn quan tâm nhiều cơng nghệ thị trường bảo mật, dịng firewall ngày với tính đa dạng phù hợp với nhu cầu tất doanh nghiệp đặt ra, từ hệ thống lớn đại đến hệ thống nhỏ, đơn giản Chính lẽ mà doanh nghiệp thực trọng đến hạ tầng an ninh mạng firewall thành phần nên quan tâm hàng đầu Phải có tiêu chí giới hạn đặt cho sản phẩm tùy thuộc vào điều kiện mục đích u cầu hệ thống firewall có khác với đối tượng doanh nghiệp Với doanh nghiệp nhỏ mà mục đích trao đổi thơng tin, liên lạc có lẽ sản phẩm firewall đơn giản với giá vừa phải đáp ứng yêu cầu tối thiểu tính lọc gói, NAT, khả lọc virus, quét mail, ngăn chặn thư rác hay kết nối VPN (một security gateway all-in-one ngăn cách mạng nội internet) lựa chọn hợp lý Nhưng doanh nghiệp cỡ vừa lớn hệ thống firewall khơng đơn giản có thế, có nhiều firewall với chức chuyên dụng đứng kết hợp với vùng biên mạng tạo nên sức mạnh khả đáp ứng hiệu cao cho truy nhập vào ra, (mà đặc biệt với doanh nghiệp kinh doanh dịch vụ) có firewall làm nhiệm vụ bảo vệ cho phần nhỏ mạng có vai trị quan trọng cần mức độ an toàn cao (như hệ thống server hosting dịch vụ.) Với doanh nghiệp lớn lớn (tập đồn, ISP ) u cầu lại phức tạp nhiều Hệ thống cần thiết kế tính tốn chi tiết, khơng đơn giản thiết bị bảo vệ đơn mà cịn phải phối hợp với thành phần bảo mật khác trênmạng tạo hạ tầng thống có khả tự phản ứng đáp trả lại công mạng Để tập hướng tới mục tiêu tạo sản phẩm hữu ích thiết thực, đồ án doanh trung vào việc phân tích rủi ro vàthực nhu cầu cần bảo vệ nghiệp, nên hệfirewall tìm hiểu cơng nghệ thích hợp đểvà từ xây dựng thống đáp ứng yêu cầu Chính thấy tầm quan trọng vấn THỐNG đề bảo TƯỜNG mật nên LỬA em OPNSENSE” chọn đềđặt tài làm “TÌM đồ án HIỂU VÀ tập TRIỂN tốt nghiệp KHAI HỆ GIỚI THIỆU VÈ CƠNG TY TNHH GIẢI PHÁP CƠNG NGHỆ PHƯƠNG ĐƠNG • Cơng Ty TNHH Giải Pháp Công Nghệ Phương Đông công ty cung cấp sản phẩm công nghệ dịch vụ giải pháp công nghệ Việt Nam Công ty thành lập vào ngày 25/01/2016 Công Ty TNHH Giải Pháp Công Nghệ Phương Đông bước xây dựng phát triển vững mạnh, đạt nhiều thành tựu dần khẳng định vị đơn vị công nghệ tiên phong Công Ty TNHH Giải Pháp Công Nghệ Phương Đông không điểm tựa an tồn cho khách hàng cá nhân mà cịn sát cánh với doanh nghiệp nghiệp phát triển công nghệ Việt Nam Với mục tiêu lấy hài lòng khách hàng làm trọng tâm hoạt động kinh doanh, Công Ty TNHH Giải Pháp Công Nghệ Phương Đơng liên tục hồn thiện chế hoạt động, đào tạo đội ngũ cán nhân viên toàn hệ thống nhằm nâng cao chất lượng dịch vụ, phục vụ ngày tốt nhu cầu đa dạng khách hàng Công Ty TNHH Giải Pháp Công Nghệ Phương Đông ln nỗ lực để khẳng định vị trí cơng ty cơng nghệ uy tín cao thị trường, với chất lượng dịch vụ tốt, qua cung cấp cho khách hàng sản phẩm cơng nghệ có chất lượng tốt, an tồn linh hoạt Hiện nay, Cơng Ty TNHH Giải Pháp Công Nghệ Phương Đông cung cấp nhiều sản phẩm công nghệ dịch vụ giải pháp công nghệ như: Buôn bán máy vi tính, thiết bị ngoại vi, phần mềm, xử lý liệu, xuất phần mềm, hoạt động viễn thông có dây, cho thuê máy chủ riêng phục vụ cho nhu cầu cơng việc , CHƯƠNG CƠNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP 1.1 Định nghĩa firewall, chức năng, cấu trúc phân loại: 1.1.1 Định nghĩa firewall: Firewall phần hệ thống hay mạng máy tính thiết kế để điều khiển truy nhập mạng cách ngăn chặn truy cập không phép cho phép truyền thông hợp lệ Nó hay nhóm thiết bị cấu hình phép, ngăn cản, mã hóa, giải mã hay proxy lưu lượng trao đổi máy tính miền bảo mật khác dựa luật (rule) hay tiêu chuẩn khác 1.1.2 Chức firewall: Chức firewall kiểm sốt lưu lượng hai hay nhiều mạng có mức độ tin cậy khác để từ thiết lập chế điều khiển luồng thơng tin chúng Cụ thể là: • Cho phép ngăn cản truy nhập vào mạng • Theo dõi luồng liệu trao đổi mạng • Kiểm sốt người sử dụng việc truy nhập người sử dụng • Kiểm sốt nội dung thông tin lưu chuyển mạng 1.1.3 Cấu trúc firewall: Khơng hồn tồn giống sản phẩm thiết kế hãng bảo mật, nhiên có thành phần sau cấu trúc firewall nói chung (mà số tìm hiểu rõ phần 2.2 cơng nghệ firewall): • Bộ lọc gói (packet filtering) • Application gateways / Proxy server Na me RTT RTTd Loss WAN2_DHCP ~ ~ ~ 172.16.131.254 y Status Online Interíaces đ DMZ LAN —X lOOObaseT 172.24.42.1 lOOObaseT 172.24.46.1 WAN X Ethernet autoselect WAN2 lOOObaseT 172.16.131.204 WAN_DHCP6 Qua máy Client tiến hành truy cập Internet Máy Client Internet Online 3.3.9 Web Filtering: Là tính lọc chất lượng cao Với tính này, bạn bảo mật thơng tin cách an tồn Hơn thế, cịn giúp bạn ngăn chặn số đường link, trang web theo yêu cầu Lọc web dựa danh mục OPNsense thực cách sử dụng proxy tích hợp danh sách đen thương mại có sẵn miễn phí Bước 1: Cấu hình BlackList: Tiến hành tải file Blacklist: http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz Đi tới Services ► Web Proxy ► Administration chọn vào Remote Access Control Lists Chọn vào dấu + để thêm danh sách Chọn vào dấu + để thêm danh sách Cấu hình thơng số hình Phần URL dán đường link download blacklist Chọn Save Bây tiến hành tải ACL Apply vừa cấu hình Chọn Download ACLs & Apply Sau tải xong chọn vào hình viết list vừa tạo lúc mục Category thấy có xuất dạng categories Bước Disable Proxy Bypass: Để đảm bảo không vượt qua proxy, bạn cần thêm quy tắc tường lửa Đi tới Firewall ► Rules thêm phần sau vào đầu danh sách quy tắc giao diện LAN (nếu LAN nơi chứa máy khách proxy bạn) Thêm Rule để Block HTTP HTTPS access: Firewall: Rules: LAN lnspect I Nothing selected Add The changes have been applied successtully B Protoco l Sour Port ce Destination Port Gateway Schedule Descriptionỡ ũ Automatically generated rules ■ X Jr IPv4 LAN TCP/UDP nel 80 IPv4 LAN 443 TCP/UDP net (HTTPS) * Block HTTP bypass (HTTP) O ệ / Qí ■ X A A *• * BlockHTTPSbỵpass 0t Cấu hình hai Rule hình cho lên đầu danh sách Bước 3: Thiết lập Transparent Proxy, Disable Authentication Enable Proxy: Đầu tiên thiết lập Transparent Proxy tới Services ► Web Proxy ► Administration Chọn Forward Proxy check vào ô Transparent HTTP Proxy QD advanced mode Proxy interfaces full help c LAN Oclear All Select interface(s) the proxy wiLI bind to o Proxy port 3128 The portthe proxy Service will listen to o Enable Transparent HTTP proxy E Enable transparent proxy mode You will need a fìrewaII rule to forward traffic from the firewall to the proxy server You may leave the proxy intertaces empty, but remember to set a valid ACL in that case Add a newfirewall rule Tiếp theo chọn vào Add New Firewall Rule Kéo xuống tới NAT Reflection chọn Enable Chọn Save Tiếp theo chọn Enable SSL Inspection: o EnabLe Transparent HTTP proxy Enable transparent proxy mode You wiII need a firewall rule to forward trafíic from the firewall to the proxy server You may leave the praxy interíaces empty, but remember to set a valid ACL in that case Add a newfirewall rule EnabLe SSL inspectĩon Enable SSL inspection mode, which allows to log HTTPS connections intormation, such as requested URL and/or ma ke the proxy act as a man in the middle betvveen the internet and your clients Be aware of the security implications betore enabling this option Ifyou plan to use transparent HTTPS modeh you need nat rules to retlectyour tratticAdd a newfirewall rule Tiếp tục Add Rule cho phần SSL Và chỉnh sửa Enable phần NAT Reflection NAT reỉlection Enable NŨTE: The "pass" selection does not work properly with Multì-VVAN It will on ly work on an intẽdace containing the deíault gateway OFílterruleassociatiữn Add associated íilter rule Chọn Save sau cấu hình xong Bây Disable Authentication Đi tới Services ► Web Proxy ► Administration Chọn vào Forward Proxy General Proxy Settings Forward Proxy CD advanced mode Proxy Au to-Co nf ig Re mote Access Control Lists Su p port General Forward Settings o Proxy interíaces FTP Proxy Settings Access Control List ICAPSettings the proxy wĩl l bínd to Aưthentícation Settíngs o Proxy port SNMPAgentSettings The portthe proxy Service vui II lísten to Chọn Authentication Setting Services: Web Proxy: Administration General ProxySettings ▼ Forward Proxy ” ProxyAuto-Contig ▼ Remote Access Control Lists Support ful l help c OAuthentieatíonmethod Nothing selected - OciearAII Select Aưthentication method OEníorcelocalgroup Nothingselected - OclearAll Restríct access to users in the selected (local)group NOTE: please be awarethatusers (orvouchers) which aren't administered locally will be denìed when using this option OAuthenticatíon Prompt oPNsense proxy authentication The prompt will be displayed in the authentication request window ô Authenticatĩon TTL (hours) _ Chọn vào Clear All hai mục chọn Save Services: Web Proxy: Administratĩon Tiến hành Enable Proxy Chọn Apply Bước 4: Tạo CA Tại mục CA to use chọn CA Manager chọn Add the security i mplications betore enabling this option If you plan to CaptivePortal DHCPV4 © DHCPV6 © traffic Add a rent new HTTPS firewallmrule use transpa od e, you need nat ru Log SNI iníormation only Do not decode and/or íilter SSL content, only log requested doma ins and IP addresses Some old servers may not provide SNI, so their addresses vui II not be indicated Dnsmasq DNS Dynamic DNS * ntrusíon Detection □ OSSL Proxyport 3129 Monit The port the ssl proxy Service will listen to NetworkTime OpenDNS OCAtouse none ♦ Select a Certiticate Authority to use To create a CA, go to CA Manager System: Trust: Authorities o Add full helpO Descriptive name I 0PNSenseSSL o Method Create an internal Certiíìcate Authority Internal Certiíicate Authority NOTE: It is recommended to use an algorithm stronger than SHA1 when possible Chọn hình Save Tiến hành Export CA máy Chọn Export CA Cert Cài đặt CA vào máy Chọn Install Certificate Certiticate Gem Certiíicate Import Wizard Certiíĩcate store Certilìcate Stores are System areas vvhere certitìcates are kept, Select the certjficate store you want to use H Personal Windows can automatrcally select a certiíicate the certiíicate, —d Intermediate Certìíkáon Authorities Trusted Pubiishers Automatically Q Place all store, or you can spedíy a locatia -Cì Enterprise Trust < sect the certìíicate store based on the type of certìhcate ■■■■■1 Intn Mtpd r^^rttÃratPg nr ] ► certihcates in the foUowing store Certĩtìcate store: Brovvsẹ Learn more about certiíìcate Stores OK Chọn hình B Sho'A physical Stores Import thành cơng Đi tới Web Proxy, chọn Forward Proxy Tại mục CA to use chọn CA vừa tạo Apply Bây qua máy Client tiến hành truy cập vào Facebook Truy cập bị từ chối Mặc định BlackList cấu hình Block hết tất Tùy vào yêu cầu Cty mà có sách thích hợp Bên cạnh cấm định URL giới hạn Subnet duyệt website nào, Subnet bị cấm ACL Quay lại Web Proxy Chọn Access Control List Tại mục Backlist thử đánh URL Bây dùng Client thử truy cập địa này: Youtube bị deny Twitter tương tự KẾT LUẬN Kết đạt được: Nắm tình hình an ninh mạng yêu cầu hệ thống firewall doanh nghiệp, công nghệ sản phẩm firewall thị trường bảo mật Nắm quy trình xây dựng hệ thống dựa OPNSense Hiểu cách thức tích hợp phát triển hệ thống OPNSense Nâng cao tính cân tải cho hệ thống phép hỗ trợ kết nối outbound nhiều line ADSL Bổ sung thêm dịch vụ bảo mật cao cấp khác hỗ trợ cho firewall Những mặt hạn chế: Do phát triển FreeBSD, hệ thống gặp khó khăn việc tương thích với số phần cứng triển khai Tính cân tải phát triển tốt chưa thực tối ưu yêu cầu phức tạp đặt Với chức firewall all-in-one, hệ thống cần thời gian để kiểm tra kỹ lưỡng sai sót mắc phải trước triển khai rộng rãi Hướng phát triển tương lai: Với nhu cầu thiết thực doanh nghiệp nay, sản phẩm cần kiện toàn phát triển nữa, bổ sung thêm tính năng, dịch vụ thử nghiệm độ ổn định hiệu xử lý Trở thành sản phẩm có tính thương mại sử dụng mã nguồn mở TÀI LIỆU THAM KHẢO [1] OPNSenseDocs: https://docs.opnsense.org/ [2] OPNSense forum: https://forum.opnsense.org/ [3] Reddit - OPNSense: https://www.reddit.eom/r/OPNsenseFirewall/ [4] FreeBSD Handbook: http://www.freebsd.org/doc/en_US.ISO88591/books/handbook/index.html [5] https://www.tecmint.com/install-and-confLgure-opnsense-firewall/ [6] https://en.wikipedia.org/wiki/OPNsense *** ŨPNsense.locaIdũMain: OPNsense 20.7 CaMd64/0penSSL) *** -> u4: 172.24.46.1/24 -> U4/BHCP4: 192.168.153.211/24 ... Chọn vào Apply Changes Quay trở lại DashBoard thây IP cho DMZ câu hình thành cơng CHƯƠNG TRIỂN KHAI OPNSENSE 3.1 Mơ hình triển khai: Mơ hình triển khai 3.2 Tính OPNSense Firewall: 3.2.1 OPNSense. .. mạng Để tập hướng tới mục tiêu tạo sản phẩm hữu ích thiết thực, đồ án doanh trung vào việc phân tích rủi ro v? ?thực nhu cầu cần bảo vệ nghiệp, nên h? ?firewall tìm hiểu cơng nghệ thích hợp đ? ?và từ... công ty Và em hồn thành báo cáo thực tập nỗ lực thân Sau gần tháng tìm hiểu thực hiện, đề tài '"TÌMHIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL" hoàn thành, em nhận nhiều động viên, khích lệ từ thầy bạn