PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó.
TRƯỜNG ĐẠI HỌC – MỎ ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN _* _ ĐỒ ÁN MƠN HỌC AN NINH MẠNG Tìm hiểu Pfsense triển khai thử nghiệm số tính Sinh viên thực hiện: Nguyễn V** H*** – 172105**** DCC (lớp) Giáo viên hướng dẫn: Đỗ Như Hải HÀ NỘI 11-2020 MỤC LỤC CHƯƠNG I: GIỚI THIỆU CHUNG VỀ PFSENSE Khái niệm pfsense PfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật Bẳt đầu vào năm 2004, m0n0wall bắt đầu chập chững– dự án bảo mật tập trung vào hệ thống nhúng – pfSense có triệu download sử dụng để bảo vệ mạng tất kích cỡ, từ mạng gia đình đến mạng lớn của cơng ty Ứng dụng có cộng đồng phát triển tích cực nhiều tính bổ sung phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt Tường lửa tính bật Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng PfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phòng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phịng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm Pfsense khơng địi hỏi cao Chúng ta cần máy tính P3, Ram 128 MB, HDD 1GB đủ để dựng tường lửa Pfsense Tuy nhiên đặc thù Pfsense tường lửa ngăn nguy hại mạng WAN mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu card mạng PfSense tường lửa mềm, tức bạn cần máy tính bất kì, tốt máy chủ, cài đặt pfSense có tường lửa mạnh mẽ cho hệ thống mạng doanh nghiệp Trong phân khúc tường lửa cho doanh nghiệp vừa nhỏ, với khoảng 1000 người sử dụng, pfSense đánh giá tường lửa nguồn mở tốt với khả đáp ứng lên tới hàng triệu kết nối đồng thời Không thế, tường lửa pfSense cịn có nhiều tính mở rộng tích hợp, tất một, vượt xa tưởng lửa thông thường, kể tường lửa cứng hãng tiếng thiết bị mạng Các tính bật: − − − − − − − − − − − − − − Lửa tầng L3, L4, L7 Chặn truy cập theo khu vực địa lý Quản lý chất lượng QoS Proxy Quản trị mạng không dây Hỗ trợ VLAN Cân bẳng tải VPN theo giao thức Giám sát/Phân tích mạng Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS) Cho phép chạy song hành, failover Hỗ trợ ngôn ngữ tiếng Việt (*) Tự động cập nhật black list Tự động nâng cấp phiên 3 Lợi ích pfsense đem lại Hồn tồn miễn phí, giá ưu vượt trội tường lửa pfSense Tuy nhiên, rẻ khơng có nghĩa chất lượng, tường lửa pfSense hoạt động ổn định với hiệu cao, tối ưu hóa mã nguồn hệ điều hành Cũng thê, pfSense không cần tảng phần cứng mạnh Nếu doanh nghiệp khơng có đường truyền tốc độ cao, tường lửa pfSense cần cài đặt lên máy tính cá nhân bắt đầu hoạt động Điều góp phần làm giảm chi phí triển khai, đồng thời tạo nên linh hoạt, tính mở rộng/sẵn sàng chưa có, doanh nghiệp muốn có nhiều tường lửa Không tường lửa, pfSense hoạt động thiết bị mạng tổng hợp với đầy đủ tính tồn diện sẵn sàng lúc Khi có vấn đề hệ thống mạng phát sinh, thay phải loay hoay tìm thiết bị thời gian đặt hàng, doanh nghiệp kết hợp tính đa dạng pfSense để tạo thành giải pháp hợp lý, khắc phục cố Không phần quan trọng khả quản lý Tường lửa pfSense quản trị cách dễ dàng, sáng qua giao diện web Hơn nữa, pfSense có giao diện web quản trị tiếng Việt, chuyên gia hệ thống mạng Techlink biên dịch, nên việc sử dụng trở nên đơn giản rõ ràng, giúp nhà quản trị mạng thực thoải mái thấu hiểu hoạt động tường lửa Như vậy, tường lửa pfSense kết hợp hoàn hảo mạnh mẽ, đem lại hợp lý cho nhà tài chính, tin tưởng cho nhà quản trị CHƯƠNG II: CÁC TÌNH HUỐNG ỨNG DỤNG Cấm/Cho phép truy cập từ bên bên mạng nội Mô tả: Hiện tại, doanh nghiệp có máy chủ dịch vụ nhiều người dùng bên mạng nội Doanh nghiệp muốn: − Từ bên mạng internet, người dùng phép truy cập vào số dịch vụ bên định − Từ bên mạng nội bộ, người dùng phép truy cập tới dịch vụ internet định Giải pháp: Đây tính tường lửa, pfSense hoàn toàn đáp ứng yêu cầu pfSense tiến hành cấm/cho phép truy cập thông qua thông số địa IP, port, tên miền… Cấm truy cập theo thời gian biểu Mô tả: Doanh nghiệp qui định, thời gian làm việc từ 8h tới 12h sáng, 13h00 tới 17h00 Trong khoảng thời gian làm việc, nhân viên không sử dụng mạng internet để chat yahoo messenger, skype, hay xem phim Trong khoảng thời gian nghỉ trưa, từ 12h tới 13h, nhân viên thoải mái truy cập internet Giải pháp: pfSense không đặt luật cấm/cho phép, mà cịn thiết lập lịch biểu tác dụng cho luật Trong trường hợp trên, quản trị mạng xây dựng luật cấm truy cập chat/xem phim, đồng thời tạo lịch biểu theo thời gian làm việc, cuối đem kết hợp luật lịch biểu Đây đặc tính hữu ích, nên triển khai để tạo thoải mái định doanh nghiệp Nhà quản trị mạng thao tác thủ công hàng ngày Cho phép truy cập máy chủ nội từ internet Mô tả: Hiện tại, doanh nghiệp có địa IP tĩnh Thơng qua đó, doanh nghiệp muốn đưa dịch vụ web, chia sẻ file, CRM, ERP bên mạng internet, để đối tác, nhà cung cấp… truy nhập vào Đây nhu cầu phổ biến Giải pháp 1: pfSense hỗ trợ NAT (PAT) với khả ánh xạ cổng dịch vụ với máy chủ khác nhau, đáp ứng yêu cầu Cách thực đơn giản, phần lớn tường lửa thực Nhược điểm người dùng phải nhớ số hiệu cổng truy nhập Giải pháp 2: pfSense hỗ trợ reverve proxy với khả ánh xạ ánh xạ tên miền máy chủ khác nhau, đáp ứng yêu cầu Các tường lửa khác khơng có tính này, bắt buộc phải có nhiều IP tĩnh Mỗi người dùng có tài khoản riêng để truy cập wireless Mơ tả: Hiện tại, doanh nghiệp sử dụng mạng wireless để nhân viên sử dụng Doanh nghiệp có mạng wireless riêng dành cho khách hàng đến công ty Đôi khi, khách hàng cá nhân mạng wireless sử dụng băng thơng q nhiều, chẳng hạn để xem phim online, làm ảnh hưởng tới công việc người khác, doanh nghiệp xác định Hoặc sau thời gian định kỳ, để an toàn, doanh nghiệp thay đổi mật truy nhập wireless phải báo lại cho tất dùng nội phiền phức Bấm vào để xem "một số trường hợp ứng dụng captive-portal" Giải pháp: để kiểm soát truy cập wireless, doanh nghiệp mua thiết bị wireless controller với giá thành không rẻ Như thế, nhà quản trị mạng phải làm việc với loại thiết bị mới, phải làm quen với trang web phần mềm quản trị loại thiết bị khác pfSense tích hợp chức quản trị mạng wireless với số lượng mạng không hạn chế Thông qua pfSense, doanh nghiệp tạo tài khoản truy cập wireless riêng cho người dùng, cho phép băng thông tối đa cho người dùng Doanh nghiệp tạo voucher, có tác dụng giống thẻ cào truy cập wireless, để phát cho khách hàng vãng lai tới sử dụng, có hạn mức sử dụng ngày Hơn nữa, doanh nghiệp quảng cáo dựa mạng wireless này, cách định hướng truy nhập người dùng chưa xác thực trang web giới thiệu công ty (tính hay áp dụng bệnh viện, khách sạn, trường học, nơi có nhiều khách vãng lai) Sử dụng tên miền động miễn phí Mơ tả: Trong doanh nghiệp, có chi nhánh có hệ thống mạng, khơng mua địa IP tĩnh tên miền Vì vậy, người dùng/khách hàng từ bên ngồi internet khơng thể truy cập vào hệ thống mạng nội bên để truy cập thơng tin cần thiết Giải pháp: hồn tồn miễn phí, doanh nghiệp sử dụng tên miền động cung cấp noip, dyndns… Cách có ưu điểm việc sử dụng hoàn toàn giống tên miền tĩnh IP tĩnh, nhược điểm phải cài phần mềm cung cấp noip, dyndns lên máy tính mạng nội bộ, để phần mềm cập nhật thường xuyên địa IP, lại phải cấu hình tường lửa phép phần mềm hoạt động Với pfSense, theo chế tên miền động trên, tất nhược điểm khắc phục Thay phải tải phần mềm cung cấp địa IP với nguồn gốc khơng rõ ràng, pfSense có chức riêng để tự tiến hành việc này, mà cài đặt lên máy tính khác Như vậy, pfSense vừa tường lửa, vừa tự động cập nhật IP động cho hệ thống quản lý tên miền tồn cầu, nhanh chóng bảo đảm an tồn Kết nối mạng nội chi nhánh với Mơ tả: Doanh nghiệp có nhiều chi nhánh khắp nơi nước Doanh nghiệp muốn kết nối mạng nội tất chi nhánh với để hoạt động chia thông tin chi nhánh diễn nhanh chóng, an tồn tin cậy Giải pháp: phương pháp chung tường lửa triển khai mạng LAN ảo – VPN – chi nhánh Thông thường, người ta sử dụng IPsec để tạo VPN Nhưng không dừng lại đó, pfSense hỗ trợ thêm phương thức khác để tạo VPN, IPsec, L2TP, PPTP OpenVPN Đặc biệt OpenVPN thịnh hành môi trường Linux, hồn tồn miễn phí khơng địi hỏi người dùng đầu cuối phải hiểu rõ kỹ thuật CHƯƠNG III: CÁCH CÀI ĐẶT PFSENSE Chuẩn bị cài pfsense − Download cài đặt Vmware Workstation 15 địa http://www.mediafire.com/file/71ui47fpf7h3ujn/VMware+Workstation+15.rar − Download pfSense.iso trang chủ pfSense https://www.pfsense.org/ Cài đặt pfSense vmware workstation − Tạo máy ảo ( New Virtual Machine Wizard (Ctrl+N) ) Chọn “Custom”“Next” − Chọn “Next” 10 − Chọn “Y” ”Enter” 21 − Tiếp tục “Enter” − Đặt tên cho card WAN: gõ “em0” ”enter” − Đặt tên cho card LAN: gõ “le0” “Enter’’ 22 − Chọn “y” “Enter” − Chọn option ”Enter” 23 − Chọn “Enter” − Cấu hình IP tĩnh cố định cho card WAN: chọn “n” ”Enter” 24 − Đặt IP card WAN là: 192.168.24.144 Enter − Chọn subnet lớp C: chọn 24 Enter 25 − Đặt ip upstream gateway address: 192.168.24.254 Enter − Chon “n” “enter” đến kết thúc trình đặt ip card WAN 26 − Tiếp theo cấu hình IP card mạng LAN − Chọn option cấu hình tương tự card WAN với địa ip: 172.16.88.254 27 Đăng nhập pfsense cấu hình − Truy cập link: https://172.16.88.254 − Đăng nhập với tài khoản mặc định ban đầu: + Tk: admin + Mk: pfsense 28 − − − − − Đặt Hostname là: Router01 Đặt Domain là: mangmaytinh.com Primary DNS Server: 1.1.1.1 Secondary DNS Server: 8.8.8.8 Tiếp theo chọn Next 29 − Đặt thời gian đồng với thời gian thực − Time zone chọn: Asia/Ho_Chi_Minh − chọn “Next” 30 − Bỏ tick “Block private networks from entering via WAN” Và ”Block non-internet router networks from entering via WAN” − Chọn “Next” 31 − Chọn “Next” 32 − Đặt lại password (tuỳ ý) − Chọn “Reload” Sau cấu hình xong ta hình bên 33 34 ... THIỆU CHUNG VỀ PFSENSE Khái niệm pfsense PfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật Bẳt đầu vào năm 2004,... cần máy tính P3, Ram 128 MB, HDD 1GB đủ để dựng tường lửa Pfsense Tuy nhiên đặc thù Pfsense tường lửa ngăn nguy hại mạng WAN mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu card mạng PfSense. .. cải thiện tính bảo mật, ổn định khả linh hoạt Tường lửa tính bật Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng PfSense