BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIA ĐỊNH KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP TÊN ĐỀ TAI TÌM HIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL Giảng viên hướng dẫn: ThS NGUYỄN NGỌC ĐẠI Sinh viên thực hiện: KHƯU MINH HIẾU MSSV: 1731102006 Lớp:11DHTTMT Khóa: 11 Thành phố Hồ Chí Minh, tháng 11 năm 2020 LỜI CẢM ƠN Trong thời gian thực tập Công ty TNHH giải pháp công nghệ Phương Đông em có cợ hội áp dụng kiến thức học, đồng thời em học hỏi nhiều kinh nghiệm thời gian thực tập công ty Và em hồn thành báo cáo thực tập nỗ lực thân Sau gần tháng tìm hiểu thực hiện, đề tài "TÌM HIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL" hoàn thành, em nhận nhiều động viên, khích lệ từ thầy bạn bè anh, chị phịng IT Em xin gửi lời cảm ơn trân trọng tới thầy giáo hướng dẫn báo cáo thực tập tốt nghiệp, Ths Nguyễn Ngọc Đại, môn Truyền thông mạng máy tính, khoa Cơng nghệ thơng tin, trường đại học Gia Định, người tận tình hướng dẫn bảo em, cung cấp cho em kiến thức tài liệu quý giá, giúp em định hướng trình nghiên cứu thực báo cáo thực tập tốt nghiệp Nhờ giúp đỡ tận tâm thầy, em hồn thành đồ án Em xin cảm ơn Ban Giám Đốc Công ty TNHH giải pháp công nghệ Phương Đông tạo điều kiện thuận lợi cho em thời gian thực tập Cuối em xin cảm ơn anh chị phòng IT công ty giúp đỡ em nhiều, cung cấp số liệu để em hoàn thành tốt chuyên đề thực tập tốt nghiệp TP Hồ Chí Minh, ngày 13 tháng 11 năm 2020 Sinh viên thực Khưu Minh Hiếu ĐÁNH GIÁ CỦA ĐƠN VỊ THỰC TẬP Thái độ tác phong thời gian thực tập: Kiến thức chuyên môn: Nhận thức thực tế: Đánh giá khác: Đánh giá chung kết quảả̉ thực tập: ………………, ngày ……… tháng ……… năm ………… TM Đơn vị thực tập (Ký tên, đóng dấu) ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN Thái độ tác phong thời gian thực tập: Kiến thức chuyên môn: Nhận thức thực tế: Đánh giá khác: Đánh giá chung kết quảả̉ thực tập: ………………, ngày ……… tháng ……… năm ………… Giảả̉ng viên hướng dẫn (Ký tên, ghi rõ họ tên) MỤC LỤC MỤC LỤC MỞ ĐẦU GIỚI THIỆU VỀỀ̀ CÔNG TY TNHH GIẢI PHÁP CÔNG NGHỆ PHƯƠNG ĐÔNG CHƯƠNG CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP 1.1 Định nghĩa firewall, chức năng, cấu trúc phân loại: .5 1.1.1 Định nghĩa firewall: 1.1.2 Chức firewall: 1.1.3 Cấu trúc firewall: 1.1.4 Phân loại firewall: 1.2 Các giải pháp firewall: 1.2.1 Phần mềm mã nguồn mở OPNSense Firewall: .7 1.2.2 Phần mềm nguồn mở IPCop firewall: 1.2.3 Phần mềm Firewall Check Point Technologies’ Safe@Office: 10 1.2.4 Phần mềm FortiGate Antivirus Firewall: 11 1.3 Đánh giá, tổng kết phân tích, lựa chọn công nghệ: .12 CHƯƠNG GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE 14 2.1 Giới thiệu lịch sử xuất xứ OPNSense: 14 2.2 Một số tính Pfsense: 16 2.2.1 OPNSense Aliases: 16 2.2.2 NAT: .16 2.2.3 Firewall Rules: 17 2.2.4 Firewall Schedules: .17 2.3 Một số dịch vụ OPNSense: 17 2.3.1 DHCP Server: 17 2.3.2 Cài đặt Package: 17 2.3.3 Backup Recovery: 18 2.3.4 Load Balancer: 18 2.3.5 VPN OPNSense: 18 2.3.6 Remote Desktop: 18 2.4 Cài đặt OPNSense: 19 CHƯƠNG TRIỂN KHAI OPNSENSE 39 3.1 Mơ hình triển khai: 39 3.2 Tính OPNSense Firewall: 39 3.2.1 OPNSense Aliases: 39 3.2.2 Firewall Rules 40 3.2.3 NAT: .44 3.2.4 IDS/IPS: 47 3.2.5 Firewall Schedules: .51 3.3 Dịch vụ OPNSense: .53 3.3.1 DHCP Server: 53 3.3.2 Cài đặt Package: 55 3.3.3 Backup Recovery: 56 3.3.4 Traffic Shaping: 57 3.3.5 VPN: 61 3.3.6 Captive Portal: 76 3.3.6.1 Chuẩn bị: 76 3.3.6.2 Thiết lập: 76 3.3.7 Load Balancing: 87 3.3.8 Failover: 94 3.3.9 Web Filtering: 96 KẾT LUẬN .108 Kết đạt được: 108 Những mặt hạn chế: 108 Hướng phát triển tương lai: 108 TÀI LIỆU THAM KHẢO 109 MỞ ĐẦU Trong năm gần đây, công nghệ thông tin đất nước ta có bước tiến vượt bậc Đi đơi với phát triển công nghệ, mạng lưới sở hạ tầng nâng cấp, tạo điều kiện cho dịch vụ gia tăng, trao đổi thông qua mạng bùng nổ Nhưng với phát triển hệ thống mạng, đặc biệt phát triển rộng khắp hệ thống mạng toàn cầu (Internet), vụ công phá hoại mạng diễn ngày nhiều ngày nghiêm trọng Chúng xuất phát từ nhiều mục đích, để khẳng định khả thân, để thoả mãn lợi ích cá nhân, hay mâu thuẫn, cạnh tranh…nhưng tựu chung lại gây hậu nghiêm trọng vật chất uy tín doanh nghiệp, tổ chức Đối với doanh nghiệp, vai trị Internet khơng thể phủ nhận, ứng dụng thương mại điện tử vào công việc kinh doanh giúp cho doanh nghiệp giảm chi phí thơng thường mà cịn mở rộng đối tác, quảng bá sản phẩm liên kết với khách hàng Nhưng chấp nhận điều có nghĩa doanh nghiệp đứng trước nguy đối mặt với rủi ro nguy hiểm từ Internet Chính lý vấn đề an ninh mạng trở nên nóng bỏng hết, doanh nghiệp dần nhận thức điều có quan tâm đặc biệt tới hạ tầng an ninh mạng Một thành phần hữu ích kể tới hạ tầng hệ thống firewall – cơng nghệ ngày cải tiến phát triển đa dạng, phong phú Xuất phát từ nhu cầu thực tế, doanh nghiệp cần hệ thống firewall để bảo vệ họ, đồ án đời hy vọng tìm kiếm giải pháp cho vấn đề Khái niệm có từ lâu cơng nghệ thơng tin nói chung mạng máy tính nói riêng phát triển Thay đổi qua thời kì từ sản phẩm cơng nghệ đơn giản bước phát triển vượt bậc đời thiết kế với sức mạnh khả đáp ứng trội Luôn quan tâm nhiều công nghệ thị trường bảo mật, dòng firewall ngày với tính đa dạng phù hợp với nhu cầu tất doanh nghiệp đặt ra, từ hệ thống lớn đại đến hệ thống nhỏ, đơn giản Chính lẽ mà doanh nghiệp thực trọng đến hạ tầng an ninh mạng firewall thành phần nên quan tâm hàng đầu Phải có tiêu chí giới hạn đặt cho sản phẩm tùy thuộc vào điều kiện mục đích u cầu hệ thống firewall có khác với đối tượng doanh nghiệp Với doanh nghiệp nhỏ mà mục đích trao đổi thơng tin, liên lạc có lẽ sản phẩm firewall đơn giản với giá vừa phải đáp ứng yêu cầu tối thiểu tính lọc gói, NAT, khả lọc virus, quét mail, ngăn chặn thư rác hay kết nối VPN…(một security gateway all-in-one ngăn cách mạng nội internet) lựa chọn hợp lý Nhưng doanh nghiệp cỡ vừa lớn hệ thống firewall khơng đơn giản có thế, có nhiều firewall với chức chuyên dụng đứng kết hợp với vùng biên mạng tạo nên sức mạnh khả đáp ứng hiệu cao cho truy nhập vào ra, (mà đặc biệt với doanh nghiệp kinh doanh dịch vụ) có firewall làm nhiệm vụ bảo vệ cho phần nhỏ mạng có vai trị quan trọng cần mức độ an toàn cao (như hệ thống server hosting dịch vụ…) Với doanh nghiệp lớn lớn (tập đồn, ISP…) u cầu lại phức tạp nhiều Hệ thống cần thiết kế tính tốn chi tiết, không đơn giản thiết bị bảo vệ đơn mà cịn phải phối hợp với thành phần bảo mật khác mạng tạo hạ tầng thống có khả tự phản ứng đáp trả lại công mạng Để hướng tới mục tiêu tạo sản phẩm hữu ích thiết thực, đồ án tập trung vào việc phân tích rủi ro nhu cầu cần bảo vệ doanh nghiệp, tìm hiểu cơng nghệ thích hợp để từ xây dựng nên hệ thống firewall đáp ứng yêu cầu đặt Chính thấy tầm quan trọng vấn đề bảo mật nên em chọn đề tài “TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA OPNSENSE” làm đồ án thực tập tốt nghiệp GIỚI THIỆU VỀỀ̀ CƠNG TY TNHH GIẢI PHÁP CƠNG NGHỆ PHƯƠNG ĐƠNG Cơng Ty TNHH Giải Pháp Công Nghệ Phương Đông công ty cung cấp sản phẩm công nghệ dịch vụ giải pháp công nghệ Việt Nam Công ty thành lập vào ngày 25/01/2016 Công Ty TNHH Giải Pháp Công Nghệ Phương Đông bước xây dựng phát triển vững mạnh, đạt nhiều thành tựu dần khẳng định vị đơn vị công nghệ tiên phong Công Ty TNHH Giải Pháp Công Nghệ Phương Đông không điểm tựa an toàn cho khách hàng cá nhân mà sát cánh với doanh nghiệp nghiệp phát triển công nghệ Việt Nam Với mục tiêu lấy hài lòng khách hàng làm trọng tâm hoạt động kinh doanh, Công Ty TNHH Giải Pháp Công Nghệ Phương Đơng liên tục hồn thiện chế hoạt động, đào tạo đội ngũ cán nhân viên toàn hệ thống nhằm nâng cao chất lượng dịch vụ, phục vụ ngày tốt nhu cầu đa dạng khách hàng Công Ty TNHH Giải Pháp Công Nghệ Phương Đơng ln nỗ lực để khẳng định vị trí cơng ty cơng nghệ uy tín cao thị trường, với chất lượng dịch vụ tốt, qua cung cấp cho khách hàng sản phẩm cơng nghệ có chất lượng tốt, an toàn linh hoạt Hiện nay, Công Ty TNHH Giải Pháp Công Nghệ Phương Đông cung cấp nhiều sản phẩm công nghệ dịch vụ giải pháp công nghệ như: Buôn bán máy vi tính, thiết bị ngoại vi, phần mềm, xử lý liệu, xuất phần mềm, hoạt động viễn thơng có dây, cho th máy chủ riêng phục vụ cho nhu cầu công việc ,… Qua máy Client tiến hành truy cập Internet Máy Client Internet 96 3.3.9 Web Filtering: Là tính lọc chất lượng cao Với tính này, bạn bảo mật thơng tin cách an tồn Hơn thế, cịn giúp bạn ngăn chặn số đường link, trang web theo yêu cầu Lọc web dựa danh mục OPNsense thực cách sử dụng proxy tích hợp danh sách đen thương mại có sẵn miễn phí Bước 1: Cấu hình BlackList: Tiến hành tải file Blacklist: http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz Đi tới Services ‣ Web Proxy ‣ Administration chọn vào Remote Access Control Lists Chọn vào dấu + để thêm danh sách Chọn vào dấu + để thêm danh sách 97 Cấu hình thơng số hình Phần URL dán đường link download blacklist Chọn Save Bây tiến hành tải ACL Apply vừa cấu hình Chọn Download ACLs & Apply 98 Sau tải xong chọn vào hình viết list vừa tạo lúc mục Category thấy có xuất dạng categories Bước Disable Proxy Bypass: Để đảm bảo khơng vượt qua proxy, bạn cần thêm quy tắc tường lửa Đi tới Firewall ‣ Rules thêm phần sau vào đầu danh sách quy tắc giao diện LAN (nếu LAN nơi chứa máy khách proxy bạn) Thêm Rule để Block HTTP HTTPS access: 99 Cấu hình hai Rule hình cho lên đầu danh sách Bước 3: Thiết lập Transparent Proxy, Disable Authentication Enable Proxy: Đầu tiên thiết lập Transparent Proxy tới Services ‣ Web Proxy ‣ Administration Chọn Forward Proxy check vào ô Transparent HTTP Proxy Tiếp theo chọn vào Add New Firewall Rule Kéo xuống tới NAT Reflection chọn Enable 100 Chọn Save Tiếp theo chọn Enable SSL Inspection: Tiếp tục Add Rule cho phần SSL Và chỉnh sửa Enable phần NAT Reflection Chọn Save sau cấu hình xong Bây Disable Authentication Đi tới Services ‣ Web Proxy ‣ Administration Chọn vào Forward Proxy 101 Chọn Authentication Setting Chọn vào Clear All hai mục chọn Save Tiến hành Enable Proxy Chọn Apply Bước 4: Tạo CA Tại mục CA to use chọn CA Manager chọn Add 102 Chọn hình Save 103 Tiến hành Export CA máy Chọn Export CA Cert Cài đặt CA vào máy 104 Chọn Install Certificate Chọn hình 105 Import thành cơng Đi tới Web Proxy, chọn Forward Proxy Tại mục CA to use chọn CA vừa tạo Apply 106 Bây qua máy Client tiến hành truy cập vào Facebook Truy cập bị từ chối Mặc định BlackList cấu hình Block hết tất Tùy vào yêu cầu Cty mà có sách thích hợp Bên cạnh cấm định URL giới hạn Subnet duyệt website nào, Subnet bị cấm ACL Quay lại Web Proxy Chọn Access Control List Tại mục Backlist thử đánh URL Bây dùng Client thử truy cập địa này: Youtube bị deny 107 Twitter tương tự 108 KẾT LUẬN Kết quảả̉ đạt được: Nắm tình hình an ninh mạng yêu cầu hệ thống firewall doanh nghiệp, công nghệ sản phẩm firewall thị trường bảo mật Nắm quy trình xây dựng hệ thống dựa OPNSense Hiểu cách thức tích hợp phát triển hệ thống OPNSense Nâng cao tính cân tải cho hệ thống phép hỗ trợ kết nối outbound nhiều line ADSL Bổ sung thêm dịch vụ bảo mật cao cấp khác hỗ trợ cho firewall Những mặt hạn chế: Do phát triển FreeBSD, hệ thống gặp khó khăn việc tương thích với số phần cứng triển khai Tính cân tải phát triển tốt chưa thực tối ưu yêu cầu phức tạp đặt Với chức firewall all-in-one, hệ thống cần thời gian để kiểm tra kỹ lưỡng sai sót mắc phải trước triển khai rộng rãi Hướng phát triển tương lai: Với nhu cầu thiết thực doanh nghiệp nay, sản phẩm cần kiện toàn phát triển nữa, bổ sung thêm tính năng, dịch vụ thử nghiệm độ ổn định hiệu xử lý Trở thành sản phẩm có tính thương mại sử dụng mã nguồn mở 109 TÀI LIỆU THAM KHẢO [1] OPNSenseDocs: https://docs.opnsense.org/ [2] OPNSense forum: https://forum.opnsense.org/ [3] Reddit – OPNSense: https://www.reddit.com/r/OPNsenseFirewall/ [4] FreeBSD Handbook: http://www.freebsd.org/doc/en_US.ISO8859- 1/books/handbook/index.html [5] https://www.tecmint.com/install-and-configure-opnsense-firewall/ [6] https://en.wikipedia.org/wiki/OPNsense 110 ... ứng u cầu đặt Chính thấy tầm quan trọng vấn đề bảo mật nên em chọn đề tài “TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA OPNSENSE? ?? làm đồ án thực tập tốt nghiệp GIỚI THIỆU VỀỀ̀ CƠNG TY TNHH GIẢI PHÁP... thành cơng 39 CHƯƠNG TRIỂN KHAI OPNSENSE 3.1 Mơ hình triển khai: Mơ hình triển khai 3.2 Tính OPNSense Firewall: 3.2.1 OPNSense Aliases: Để tạo Alias vào Firewall  Aliases 40 Chọn vào dấu + hình để... công ty Và em hồn thành báo cáo thực tập nỗ lực thân Sau gần tháng tìm hiểu thực hiện, đề tài "TÌM HIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL" hoàn thành, em nhận nhiều động viên, khích lệ từ thầy bạn