BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM ĐỒ ÁN TỔNG HỢP HỆ THỐNG PHÁT HIỆN XÂM NHẬP SURICATA TRÊN FIREWALL PFSENSE Ngành: CÔNG NGHỆ THƠNG TIN Chun ngành: MẠNG MÁY TÍNH Giảng viên hướng dẫn :Ths Hàn Minh Châu Sinh viên thực MSSV: : Lớp: TP Hồ Chí Minh, 2021 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM ĐỒ ÁN TỔNG HỢP HỆ THỐNG PHÁT HIỆN XÂM NHẬP SURICATA TRÊN FIREWALL PFSENSE Ngành: CÔNG NGHỆ THÔNG TIN Chuyên ngành: MẠNG MÁY TÍNH Giảng viên hướng dẫn :Ths Hàn Minh Châu Sinh viên thực MSSV: : Lớp: TP Hồ Chí Minh, 2021 Lời cam đoan Chúng em xin cam đoan báo cáo đồ án nhóm với hướng dẫn thầy Hàn Minh Châu, tất nguồn tài liệu công bố đầy đủ, nội dung báo cáo đồ án trung thực Thành phố Hồ Chí Minh , Năm 2021 Sinh viên thực LỜI CẢM ƠN Em xin chân thành cảm ơn thầy giáo Ths Hàn Minh Châu tận tình hướng dẫn, bảo đồng thời giúp đỡ em hoàn thành đồ án, cung cấp liệu thơng tin cần thiết giúp chúng em hồn thành đồ án Bên cạnh đó, chúng em gửi lời cảm ơn sâu sắc đến Khoa công nghệ thông tin ,Ban giám hiệu giảng viên trường Đại Học Công Nghệ TP.HCM truyền đạt kiến thức nhằm giúp em ứng dụng vào mơi trường thực tiễn sau này, giúp nâng cao lực thân tích lũy thêm kinh nghiệm làm hành trang tương lai Cuối cùng, chúng em xin kính chúc q Thầy/Cơ dồi sức khỏe, hồn thành tốt cơng tác đạt thành công công việc sống Em xin chân thành cảm ơn! Mục lục Danh mục hình vẽ, đồ thị CHƯƠNG : TỔNG QUAN 1.1 Tổng quan đồ án .8 1.2 Nhiệm vụ đồ án 1.3 Cấu trúc đồ án .8 CHƯƠNG : CƠ SỞ LÝ THUYẾT 2.1 Giới thiệu Suricata 2.1.1 Giới thiệu suricata 2.1.2 giới thiệu pfsense .9 2.2 Nhu cầu ứng dụng 10 2.3 Cấu trúc Suricata 11 2.2.1 Packet Sniffer 12 2.2.2 Preprocessor 13 2.2.3 Detection Engine 13 2.2.4 Alerts/logging 14 2.4 Các luật suricata 15 2.4.1 Định dạng luật 15 2.4.2 Các thành phần khác Rule 17 CHƯƠNG : KẾT QUẢ THỰC NGHIỆM 24 3.1 Mơ hình thực nghiệm 24 3.2 Triển khai firewall pfsense 25 3.2.1 Cài đặt pfsense 25 3.2.2 Triển khai HA CARP .28 3.2.3 Triển khai VPN client to site 31 3.2.4 Triển khai Suricata .35 CHƯƠNG : KẾT LUẬN 38 4.1 Đạt .38 4.2 Khó khăn 38 Tài liệu hướng dẫn 39 Danh mục hình vẽ, đồ thị Hình 2.1 : Cấu trúc Suricata Hình 2.2 : Chuyển gói tin vào Sniffer Hình 2.3 : Quá trình xử lý giải mã Hình 2.4: Xử lý gói tin luật Hình 2.5: Alerts/logging Hình 2.6 : cấu trúc rules Hình 2.7 : số tùy chọn Ipopts Hình 3.1 : Mơ hình triển khai Hình 3.2 : chọn accept Hình 3.3: chọn install -> ok Hình 3.4: chọn continue with default keymap select Hình 3.5 : chọn auto BIOS -> ok Hình 3.6 : giao diện máy pfsense Hình 3.7 : cài đặt ip Hình 3.8 : Pfsense Hình 3.9 : Pfsense Hình 3.10 : giao diện web Hình 3.11 : giao diện High Available sync Hình 3.12 : cấu hình HA CARP Hình 3.13 : cấu hình HA CARP Hình 3.14 : tạo virtual ip cho wan lan pfsense Hình 3.15 : gán gateway Hình 3.16 cài đặt openvpn Hình 3.17 : tạo certificate labtest Hình 3.18 : tạo certificate testlab.rog Hình 3.19 : tạo Server vpn Hình 3.20 : tạo server vpn Hình 3.21 : tạo server vpn Hình 3.22 : tạo client vpn Hình 3.23 : tạo client vpn Hình 3.24 :rule mở port 60999 Hình 3.25 : triển khai suricata Hình 3.26 : chọn block offenders Hình 3.27 : triển khai vài rule Hình 3.28 : ping of dead đến server Hình 3.29 : cảnh báo xâm nhập CHƯƠNG : TỔNG QUAN 1.1 Tổng quan đồ án Đồ án thực triển khai firewall pfsense, triển tính hỗ trợ firewall pfsense, tìm hiểu tường lửa suricata Tìm hiểu cách thức hoạt động tính bảo mật hệ thống Đồ án hướng dẫn ta cài đặt cấu hình hệ điều hành Linux (Ubuntu) 1.2 Nhiệm vụ đồ án Trong mạng internet phát triển mạnh nay, việc hỗ trợ người giao tiếp công việc có nhiều thành phần xấu lợi dụng internet để triển khai công mạng Thông qua phương pháp, mã độc,… Điều làm cho môt trường internet trở nên khó lường, phức tạp đầy rủi ro, dẫn tới xâm nhập liệu Trước tìm hiểu em nhận biết khơng có giải pháp tồn diện cho hệ thống mạng cả, có hệ thống khó bị xâm nhập cách sử dụng nhiều phương pháp, nhiều lớp bảo vệ khác Firewall phương pháp hiệu thường sử dụng Mục tiêu đề tài :     Triển khai firewall pfsense Triển khai tường lửa suricata pfsense Triển khaid tính hỗ trợ pfsense Đảm bảo hệ thống cảnh báo hoạt động có xâm nhập diễn 1.3 Cấu trúc đồ án Đồ án gồm chương : Chương 1: Tổng quan Giới thiệu tổng quan đồ án nhiệm vụ đồ án Chương 2: Cơ sở lý thuyết Giới thiệu cụ thể, nhu cầu sử dụng Suricata Chức Suricata, phân tích chi tiết cấu trúc luật Suricata, ưu nhược điểm Suricata, kiến trúc xử lý phân tích giá trị thành trình Chương : Kết thực nghiệm Chương : Kết luận CHƯƠNG : CƠ SỞ LÝ THUYẾT 2.1 Giới thiệu Suricata 2.1.1 Giới thiệu suricata Suricata phát triển cơng ty Open Information Security Foundation (OISF) Nó hệ thống tường lửa phát xâm nhập miễn phí Suricata cơng cụ IDS/IPS giúp phát ngăn chặn xâm nhập dựa rule , giúp phát theo dõi lưu lượng mạng có xâm nhập cung cấp cảnh báo đến người quản trị hệ thống Được thiết kế để tương thích với đa phần hạ tầng mạng Các lý khiến Suricata sử dụng nhiều :  Dễ dàng cấu hình : cách mà Suricata hoạt động , tập tin cấu hình lưu trữ đâu, rules hoạt động người quản trị hệ thống biết cấu hình theo ý  Suricata phần mềm mã nguồn mở: mã nguồn mở nên suricata sử dụng miễn phí Ngồi cộng đồng người sử dụng suricata lớn, sẵn sàng hỗ trợ thắt mắc vấn đề mà bạn mắc phải triển khai hệ thống  Chạy ổn định nhiều tảng khác : Linux, CentOS, Window, Mac OS,…  Các rules suricata thường xuyên cập nhật: Các luật suricata thường xuyên bổ sung cập nhật hình thức xâm nhập Nên hệ thống suricata ln ngăn chặn công 2.1.2 Giới thiệu pfsense PfSense tool có chức định tuyến router, tường lửa miễn phí, ứng dụng ngồi cịn cho phép bạn mở rộng mạng đảm bảo bảo mật Pfsense cơng cụ có chức định tuyến thay cho router firewall miễn phí phát triển tảng FreeBSD Mặc dù miễn phí có chức định tuyến tường lửa mạnh Pfsense dễ dàng cấu hình qua giao diện GUI website dễ để quản lý Pfsense sở hữu cộng đồng sử dụng phát triển lớn mạnh ( miễn phí nên sử dụng rộng rãi ) ,qua thời tian có nhiều tính bổ sung lần phát hành nhằm cải thiện đảm bảo tính bảo mật, ổn định tính linh hoạt Nó số firewall có tính quản lý trạng thái, Hình 3.4: chọn continue with default keymap select Hình 3.5 : chọn auto BIOS -> ok - Sau cài xong ta chọn reboot máy khỏi động ta có giao diện Hình 3.6 : giao diện máy pfsense Ta chọn 2) set interface IP address để tiến hành cài đặt ip Hình 3.7 : cài đặt ip Chọn 1) để tiến hành cài đăt IP wan 2) để tiến hành cài đặt IP lan Sau cài đặt ta có máy pfsense với hai cấu sau Hình 3.8 : Pfsense Hình 3.9 : Pfsense Từ máy winserver 2019 ta truy cập vào firewall giao diện web Sau cài đặt firewall ta có giao diện pfsense hình Hình 3.10 : giao diện web 3.2.2 Triển khai HA CARP Ở giao diện quản lý pfsense : ta chọn system > High Available sync Sau tích chọn điển theo hình Hình 3.11 : giao diện High Available sync Tích chọn synchronize statse , dùng đường mạng lan để đồng nên chọn synchronize interface LAN Điền IP Lan pfsense vào pfsync synchronize peer ip : 172.16.1.253 Điền IP Lan pfsense vào synchronize config to ip : 172.16.1.253 Hình 3.12 : cấu hình HA CARP Điền vào tên đăng nhập mật đăng nhập pfsense Hình 3.13 : cấu hình HA CARP Tích chọn tính cần đồng trừ DHCP server sau ta lưu lại Ở Pfsense ta chọn system > user manager tạo tài khoản user , qua pfsense có tài khoản user tạo hai máy backup liệu Tiếp theo để pfsense cấp DHCP mà không bị lỗi hai máy giành cấp ip ta chọn firewall > virtual ips Trên pfsense tạo ip carp ảo cho đường lan wan Hình 3.14 : tạo virtual ip cho wan lan pfsense Sau tạo xong pfsense2 tự có virtual ip ta đồng liệu Nhưng với độ ưu tiên thấp pfsense1 Tiếp theo pfsense chọn services > DHCP server Ta gán gateway ip lan ảo vừa tạo fallower peer ip ip lan pfsense Hình 3.15 : gán gateway Quay lại system > High Available sync ta bật đồng DHCP lên , ta hoàn thành việc tạo HA CARP 3.2.3 Triển khai VPN client to site Ở hai máy pfsense ta vào system > package manager tìm cài đặt gói openvpn Hình 3.16 cài đặt openvpn Trước tạo vpn ta tạo certifacate để xác thực Vào systeam > certificate manager bên phần CAs ta tạo certificate hình Hình 3.17 : tạo certificate labtest Tạo thêm certificate bên Certificates Hình 3.18 : tạo certificate testlab.rog Sau tạo xong ta chọn VPN > Open VPN Ta điền thông tin vào theo hình Mã hóa ta chọn SSL/TLS+user auth Ta chọn interface muốn kết nối virtual ip wan : 192.168.1.200 Port : để mặc định điền port tùy ý Hình 3.19 : tạo Server vpn Ta chọn peer certificate labtest server certificate testlab.org Hình 3.20 : tạo server vpn Chỗ tunnel network ta đặt ip : 172.16.2.0/24 Hình 3.21 : tạo server vpn Các thông số khác ta giữ nguyên Ta vào system > user manager ta tạo user vpn01 thuộc sertificate labtest Sau vào lại VPN > openVPN > Client specific overrides để tạo user client Common name vpn01 Ipv4 đặt 172.16.2.10/24 Hình 3.22 : tạo client vpn Lúc đén client export ta thấy user vpn01 ta thực tài file cài đặt cài lên máy cần cài Hình 3.23 : tạo client vpn Ta chọn Rule > wan ta mở rule hình Hình 3.24 :rule mở port 60999 Trên rule > openVPN ta mở cho phép tất traffic qua kết nối client to server 3.2.4 Triển khai Suricata Vào system > packet manager tìm tải suricata Sau cài đặt ta vào services > suricata Ở interface ta add đường wan tơi muốn quản lý qua wan Hình 3.25 : triển khai suricata Hình 3.26 : chọn block offenders Sau cài xong ta đến phần wan rule > custom.rules ta viết rule số rule để test : alert icmp 192.168.1.0/24 any -> any any (msg:"thong bao tan cong ping of dead";dsize:>10000;sid:1000001;rev:1;) drop icmp 192.168.1.0/24 any -> any any (msg:"thong bao tan cong ping of dead";dsize:>10000;sid:1000001;rev:1;) Hình 3.27 : triển khai vài rule Từ máy tính attack ta thực ping of dead đến server Hình 3.28 : ping of dead đến server Hình 3.29 : cảnh báo xâm nhập Giải thích rule : alert icmp 192.168.1.0/24 any -> any any (msg:"thong bao tan cong ping of dead";dsize:>10000;sid:1000001;rev:1;)  alert hành động phát gói tin ứng với luật  Giao thức sử dụng ICMP  Địa IP nguồn 192.168.1.0/24 , tức đến từ cổng wan  Port nguồn đích any , tức port  Địa IP đích any , tức đến đâu mạng  Msg thơng điệp thơng báo phát gói tin ứng với luật  dsize tải trọng gói tin mang  Sid (Signature id) cho ta biết định danh riêng signature Định danh bắt đầu với số  Rev (revision) sid thường kèm với rev Rev đại diện cho phiên signature Mỗi signature sửa đổi số rev tăng lên người tạo CHƯƠNG : KẾT LUẬN 4.1 Đạt Đề tài cho ta thấy rõ cần thiết bảo mật, cho thấy kỹ thuật ứng dụng firewall IPS Đồng thời cho hạn chế phương pháp bảo mật Triển khai hệ thống firewall pfsense , triển khai số tính mà pfsense hỗ trợ HA CARP kết hợp với suricata để giúp bảo mật tốt Các cơng nghệ firewall IPS cịn nhiều, sức mạnh bảo mật lớn, nhiên thời gian có hạn kinh nghiệm thực tiễn em chưa nhiều nên việc tiếp cận cơng nghệ cịn nhiều thiếu sót Nên đóng góp thầy bạn vơ cần thiết giúp em xây dựng kiến thức vững vàng việc nghiên cứu 4.2 Khó khăn - chưa triển khai chi tiết suricata - chưa tìm hiểu hết tính pfsense Tài liệu hướng dẫn https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/firewall-rules.html#permittingtraffic-to-the-openvpn-server https://docs.netgate.com/pfsense/en/latest/highavailability/index.html https://adminvietnam.org/suricata-tren-pfsense/2698/ https://rules.emergingthreats.net/open/suricata/rules/ https://suricata.readthedocs.io/en/suricata-6.0.0/index.html ... thiệu Suricata 2.1.1 Giới thiệu suricata Suricata phát triển công ty Open Information Security Foundation (OISF) Nó hệ thống tường lửa phát xâm nhập miễn phí Suricata cơng cụ IDS/IPS giúp phát. .. ngăn chặn xâm nhập dựa rule , giúp phát theo dõi lưu lượng mạng có xâm nhập cung cấp cảnh báo đến người quản trị hệ thống Được thiết kế để tương thích với đa phần hạ tầng mạng Các lý khiến Suricata. .. hình hệ thống để kiểm tra xem có dấu hiệu xâm nhập hay khơng -> Sau chuyển qua cho module Alert/loggig , gói tin khơng có dấu hiệu bị xâm nhập được chuyển tiếp Nếu gói tin có dấu hiệu xâm nhập module