BÁO cáo THỰC tập tốt NGHIỆP đại học đề tài NGHIÊN cứu về TƯỜNG lửa PFSENSE

Mục tiêu

- Tìm hiểu về các chức năng của firewall PfSense.

- Nắm được ý nghĩa và cách sử dụng các dòng lệnh của firewall PfSense.

- Tìm hiểu các mô hình triển khai PfSense.

Phương pháp nghiên cứu

- Về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thông tin có liên quan đến firewall, cụ thể là PfSense.

- Về mặt thực nghiệm: Xây dựng mô hình triển khai và thực nghiệm các kịch bản cấu hình cho firewall PfSense.

Báo cáo TTTN Đại Chương I: Giới thiệu về tường lửa

GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE

Tổng quan về tường lửa

- Tường lửa (firewall) là rào chắn được thiết lập để ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ Nói cách khác, tường lửa là một thiết bị giúp kiểm soát các truy cập giữa một mạng riêng và một mạng kết nối đến Internet.

- Nếu không có tường lửa, hệ thống mạng sẽ không thể hạn chế lưu lượng truy cập độc hại từ Internet thâm nhập vào mạng nội bộ.

- Firewall không nhất thiết phải là phần mềm mà còn có thể là một thành phần phần cứng, vốn thường được tìm thấy trong nhiều mẫu router từ phổ thông đến cao cấp.

1.2 Tác dụng của tường lửa

- Một tường lửa có thể lọc lưu lượng từ các nguồn truy cập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể phá hoại hay làm tê liệt hệ thống của người dùng Ngoài ra vì các nguồn truy cập ra vào giữa mạng nội bộ và mạng khác đều phải thông qua tường lửa nên tường lửa còn có tác dụng theo dõi, phân tích các luồng lưu lượng truy cập và quyết định sẽ làm gì với những luồng lưu lượng đáng ngờ như khoá lại một số nguồn dữ liệu không cho phép truy cập hoặc theo dõi một giao dịch đáng ngờ nào đó.

Hình 1- 2 Công dụng của tường lửa

- Lưu lượng mạng thông qua tường lửa được lọc dựa trên các chính sách đã được thiết lập, còn được gọi là các bộ lọc hoặc danh sách kiểm soát truy cập (ACL) Chúng là một bộ các chỉ lệnh có nhiệm vụ lọc ra các luồng dữ liệu nguy hại hoặc không được cho phép truy cập, chỉ có các kết nối cho phép mới vượt qua hàng rào an ninh của tường lửa.

- Do đó, việc thiết lập tường lửa là hết sức quan trọng, đặc biệt là đối với những máy tính thường xuyên kết nối internet.

Tường lửa PfSense

- PfSene là một dự án nguồn mở dựa trên nền tảng hệ điều hành FreeBSD và được sử dụng như một tường lửa (firewall) hoặc một thiết bị định tuyến

(router) Cùng với các chức năng quản lý mạnh mẽ, thân thiện với người dùng nên pfSense được cộng đồng sử dụng rộng rãi trong môi trường doanh nghiệp vừa và nhỏ.

- PfSense yêu cầu cấu hình phần cứng thấp nên phù hợp cho việc tích hợp vào các thiết bị tích hợp khác nhau nhằm tăng tính linh động và hiệu suất trong quá trình vận hành.

- PfSense là tường lửa mềm, tức là ta chỉ cần một máy tính bất kì, hoặc tốt hơn là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh mẽ cho hệ thống mạng trong doanh nghiệp Trong phân khúc tường lửa cho doanh nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, pfSense được đánh giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng lên tới hàng triệu kết nối đồng thời Không những thế, tường lửa pfSense còn có nhiều tính năng mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa thông thường, kể cả các tường lửa cứng của các hãng nổi tiếng về thiết bị mạng.

- PfSense bao gồm một số tính năng: o Tường lửa tầng L3, L4, L7 o Chặn truy cập theo khu vực địa lý o Quản lý chất lượng QoS o Proxy o Quản trị mạng không dây o Hỗ trợ VLAN o Cân bẳng tải o VPN theo 4 giao thức o Giám sát/Phân tích mạng o Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS) o Cho phép chạy song hành, failover o Hỗ trợ ngôn ngữ tiếng Việt o Tự động cập nhật black list o Tự động nâng cấp phiên bản

- PSense được nhiều nhà quản trị hệ thống tin tưởng vì tính tin cậy, cung cấp nhiều tính năng chỉ có thể được tìm thấy trên các thiết bị vật lý chuyên làm firewall như Cisco, FView Postortigate, sophos, Draytek, … hoặc phần mềmFirewall khác.

- Do tính linh hoạt khi nâng cấp máy chủ, hoàn toàn miễn phí, dễ sử dụng quản trị của Firewall pfSense là một trong những điểm mạnh nhất, khi nó cho phép người dùng cài đặt thêm các gói tiện ích mở rộng từ bên thứ 3 cung cấp dịch vụ.

2.2 Một số ưu điểm của PfSense

- Miễn phí, đó chính là ưu thế vượt trội của tường lửa pfSense Những thiết bị Firewall chuyên dụng đến từ các hãng chuyên nghiệp như Cisco, Juniper, Fortigate, Check Point… đều là những thiết bị mạnh mẽ, nhưng lại có chi phí cao Do vậy nếu muốn tối ưu về chi phí sử dụng, người dùng nên cân nhắc giải pháp pfSense.

- PfSense hoạt động ổn định với hiệu năng cao và đã được tối ưu hóa mã nguồn và cả hệ điều hành Cũng chính vì thê, pfSense không cần nền tảng phần cứng mạnh.

- Nếu doanh nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động Điều đó góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt khi doanh nghiệp muốn có nhiều hơn một tường lửa.

- Có thể cấu hình pfSense một cách dễ dàng, thông qua giao diện web

Hình 2- 3 Giao diện web của PfSense

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG LỬA PFSENSE

Các chức năng và dịch vụ cơ bản của firewall pfSense

- Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn.

- Các thành phần trong Aliases: o Host: tạo nhóm các địa chỉ IP. o Network: tạo nhóm các mạng. o Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol Các protocol được sử dụng trong các rule.

- Là nơi lưu các luật của tường lửa.

- Mặc định pfSense cho phép mọi lưu thông ra/vào hệ thống Chúng ta phải tạo các rules để quản lý mạng bên trong firewall.

- Một số lựa chọn trong Destination và Source. o Any: Tất cả o Single host or alias: Một địa chỉ ip hoặc là một bí danh. o Lan subnet: Đường mạng Lan. o Network: địa chỉ mạng. o Lan address: Tất cả địa chỉ mạng nội bộ. o Wan address: Tất cả địa chỉ mạng bên ngoài. o PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT. o PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thứcPPPoE.

1.3 NAT (Biên dịch địa chỉ mạng)

- Trong Firewall cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.

Hình 3- 4 NAT Port Forward pfSense

- Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound NAT…, tuy nhiên ta có thể thay đổi kiểu Manual outbound NAT nếu cần.

- Một trong những tính năng chính của một Firewall ngoài việc lọc và thực hiện NAT là định tuyến được lưu thông trong mạng Chức năng này bao gồm : o Gateways o Static routes o Gateway groups

- Thông thường mỗi interface trên pfSense sẽ đại diện cho một miền riêng với một subnet IP duy nhất, giống như một vùng riêng biệt Trong một số trường hợp cần kết hợp nhiều interfaces thành một miền mới, lúc đó chức năng này sẽ kết hợp hai cổng trên tường lửa sẽ hoạt động giống như nó đang trên cùng một miền, ngoại trừ lưu lượng giữa các interface được kiểm soát bởi các quy luật (rule) đã được cấu hình.

- Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NAT thông qua IP ảo Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và một loại khác Mỗi loại đều rất hữu ích trong các tình huống khác nhau Trong hầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sử dụng Proxy ARP hoặc CARP Trong tình huống mà ARP không cần thiết, chẳng hạn như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sử dụng IP ảo loại khác.

- Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1 Họ cũng cho phép các tính năng như failover, và có thể cho phép dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.

- Các rule của firewall có thể được chỉ định hoạt động vào nhưng thời điểm nhất định trong ngày hoặc các ngày trong tuần Đây là một chức năng rất hay và thường được các doanh nghiệp sử dụng để quản lý nhân viên sử dụng internet theo quy định.

- Người dùng có thể tùy chỉnh linh hoạt từng ngày trong tháng, từng khoảng thời gian trong ngày.

1.7 Traffic Sharper ( Quản lý băng thông)

- Phần lớn trong các hệ thống mạng, các user phải dùng chung một kết nối internet Khi một user sử dụng hết băng thông của hệ thống thì những user khác sẽ bị ảnh hưởng, không thể truy cập internet hoặc rất chậm Cách giải quyết vấn đề này đó là triển khai dịch vụ traffic shapping (QoS) cho hệ thống.

- Các tùy chọn cấu hình: o Traffic sharper: tùy chỉnh schedule, băng thông upload/download của interface. o Voice Over Ip (VOIP): sử dụng cho điện thoại VoIP. o Penalty Box: giám sát những host bị phạt khi dùng quá giới hạn băng thông. o Peer to Peer (P2P) networking: dành cho các kết nối peer to peer. o Network Games: cung cấp các quyền ưu tiên cho các hoạt động chơi game. o Raise or lower other application: tối ưu traffic cho các ứng dụng khác.

Một số chức năng và dịch vụ khác

- VPN (Virtual Private Network) - mạng riêng ảo là một công nghệ cho phép người dùng thiết lập mạng riêng ảo với một mạng khác trên Internet VPN được sử dụng để truy cập các trang web bị hạn chế, bảo vệ hoạt động duyệt web của người dùng.

- PfSense đã cung cấp Open VPN, IPSec, L2TP có sẵn sau khi cài đặt để người dùng có thể nhanh chóng sử dụng.

- OpenVPN là một VPN mã nguồn mở sử dụng sử dụng giao thức SSLv3/TLSv1 và OpenSSL để tạo ra các kết nối site-to-site an toàn Nó cho phép các bên xác thực lẫn nhau bằng khóa bí mật chia sẻ trước (pre-shared secret key) và chứng thư khoá công khai (public key certificate) hoặc tên người dùng/mật khẩu.

- Mã hóa OpenVPN bao gồm một kênh dữ liệu và một kênh điều khiển Kênh điều khiển để xử lý việc trao đổi key, trong khi kênh dữ liệu mã hóa lưu lượng truy cập web của người dùng VPN.

Hình 4- 4 OpenVPN pfSense – Cryptographic Setting 1

Hình 4- 5 OpenVPN pfSense – Cryptographic Setting 2

2.1.2 IPSec (Giao thức bảo mật internet)

- IPSec (Internet Protocal Sercurity) là một giao thức mạng để bảo mật quá trình truyền tin và thường được liên kết với VPN IPSec đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF).

- IPSec cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua các router mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL router, FTTH router, …

- IPSec được sử dụng như một chức năng xác thực được gọi là Authentication Hearder (AH) Nó được dùng trong việc chứng thực/mã hóa, kết hợp chức năng authentication và integrity gọi là Encapsulating Security Payload (ESP), đảm bảo tính nguyên vẹn của dữ liệu, chống quá trình replay trong các phiên bảo mật.

2.1.3 L2TP (Giao thức đường hầm 2 lớp)

- L2TP (Layer 2 Tunneling Protocal) là sự kết hợp của Point to Point Tunneling Protocal (PPTP) và giao thức Layer 2 Forwarding (L2F) Đây là một giao thức tunneling được thiết kế để hỗ trợ các kết nối VPN.

- L2TP là một giao thức kết hợp có tất cả các tính năng của PPTP, nhưng chạy trên một giao thức truyền tải nhanh hơn là UDP L2TP sử dụng username, password, địa chỉ IP và khóa chia sẻ trước ( pre-shared key) để chứng thực kết nối Nó dùng các port 500, 1701 và 4500 để trao đổi khóa UDP, thực hiện các cấu hình, và NAT.

- Giao thức này thường được ghép nối với IPSec để đáp ứng payload dữ liệu Khi được ghép nối với IPSec, L2TP cũng đều có thể sử dụng các key mã hóa lên đến 256-bit và thuật toán 3DES.

2.2 Package Manager ( Trình quản lý gói)

- Ngoài những dịch vụ có sẵn sau khi cài đặt pfSense, người dùng còn có thể cài đặt thêm những dịch vụ khác được hỗ trợ trong phiên bản pfSense đang sử dụng ở mục Package Manager.

- Những gói này có thể được cài đặt dễ dàng chỉ bằng việc tìm kiếm trên thanh

- Các gói thường được nhiều người sử dụng là Squid, Snort, SquidGuard,

2.3 Captive Portal ( Cổng cố định)

- Là một trang Web trung gian, dùng để bảo vệ hệ thống mạng Khi người dùng tham gia vào hệ thống mạng sẽ được yêu cầu nhập username và password hợp lệ hoặc một vài thông tin cá nhân hoặc đôi khi chỉ cần click nút “Kết nối internet”.

- Captive portal sử dụng một trang trung gian để yêu cầu người dùng chứng thực, giúp nâng cao khả năng bảo mật Trang Web trung gian này có thể thiết kế đơn giản, với hướng dẫn và điều khoản sử dụng, ô Username và

Password để đăng nhập Chức năng này thường được sử dụng ở những hệ thống mạng không dây ở những nơi công cộng như quán cà phê, siêu thị, ….

- Các cấu hình chính của Captive Portal o Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal. o Maximum concurrent connections: Giới hạn các connection trên mỗi ip/user/mac. o Idle timeout: Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ ngắt kết nối của ip/user/mac. o Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.

Hình 4- 10 Captive portal configuration o Logout popup windows: Xuất hiện 1 popup thông báo cho ip / user / mac. o Pre-authentication redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới trước khi đăng nhập. o After authentication Redirection URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập. o Blocked MAC address redirect URL: Địa chỉ URL mà các MAC bị chặn khi truy cập sẽ tới.

Hình 4- 11 Captive portal configuration 2 o Pass-through MAC auto entry: Các MAC address được cấu hình trong mục này sẽ được bỏ qua không authentication.

2.4 DHCP (Giao thức Cấu hình Host Động)

- DHCP (Dynamic Host Configuration Protocol) là giao thức có chức năng cấp phát địa chỉ IP cho tất cả các thiết bị truy cập trên cùng một mạng thông qua máy chủ DHCP được tích hợp trên router.

TÌM HIỂU VÀ XÂY DỰNG MÔ HÌNH TRIỂN KHAI PFSENSE

Cài đặt PfSense

- Download file iso cài đặt tại trang chủ của pfSense

- Tạo máy ảo VMWare bằng file iso vừa download Khởi động máy ảo PfSense sẽ tự chọn mode khởi động

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Chọn OK để tiến hành cài đặt

- Bấm OK để pfSense được cài đặt

- Đợi cho tiến trình chạy xong

- Bước cuối bấm No rồi Reboot lại hệ thống

- Màn hình sau khi pfSense khởi động lại

 Như vậy là ta đã cài đặt xong tường lửa pfSense với 1 card mạng có địa chỉ là192.168.127.159

Triển khai mô hình với tường lửa pfSense

2.1 Mô hình Firewall topology cho mạng doanh nghiệp

- Ba card mạng ảo WAN, LAN, DMZ Trong đó: o WAN là bridge o LAN và DMZ là host-only

- Một máy ảo window 7 trong mạng LAN (192.168.10.3)

- Một máy ảo Window server làm web server trong vùng DMZ (11.0.0.2)

- Một máy ảo pfSense làm firewall

- Một máy thật đại diện cho WAN từ ngoài Internet (192.168.1.27)

- Máy pfSense ta sử dụng 3 card mạng ứng với 3 vùng: WAN, LAN, DMZ.

- Máy window 7 dùng card LAN.

- Máy window server dùng card DMZ.

- Sử dụng lệnh Assign interfaces để gán cổng WAN

- Chọn y để bỏ qua bước thiết lập VLANs

- Nhập card WAN mà ta đã cài cho máy ảo, thứ tự lấy từ trên xuống

Hình 6- 7 Enter WAN interface name

- Tương tự với LAN và DMZ

Hình 6- 8 LAN and DMZ interface names

- Sau đó ta vào giao diện web bằng địa chỉ của cổng LAN là 192.168.10.1 trên máy window 7 Kế đến đăng nhập với username và password mặc định của pfSense là admin và pfsense.

- Màn hình sau khi đăng nhập thành công

- Cấu hình cơ bản cho firewall pfSense: System  General Setup

- Tiến hành cấu hình các interface cho firewall. o Interface  WAN

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai o Interface LAN

Hình 6- 13 LAN interface o Interface  DMZ

- Sau khi cấu hình xong thì bên máy pfSense đã nhận cấu hình.

 Vậy là chúng ta đã hoàn tất việc cái đặt các máy ảo theo mô hình Tiếp đến chứng ta sẽ sử dụng một số chức năng và dịch vụ của tường lửa pfSense như

NAT, Rules, Schedule để áp dụng vào thực tế.

2.2 Thực nghiệm một số kịch bản

2.2.1 Cấu hình rules cho các máy kết nối với nhau

- Cho phép các máy từ internet (WAN) kết nối đến các máy khác o Action chọn Pass o Interface  WAN o Address Family  Ipv4 o Protocal  Any o Source  WAN net o Destination  any

Hình 7- 2 Allow WAN to any

- Mặc định đã có Rule cho phép máy trong LAN kết nối đến các máy khác.

Hình 7- 3 Allow LAN to any rules

- Cho phép các máy từ internet (WAN) kết nối đến các máy khác o Action chọn Pass o Interface  DMZ o Address Family  Ipv4 o Protocal  Any o Source  DMZ net o Destination  any

Hình 7- 5 Allow DMZ to any

- Tiến hành ping kiểm tra từ các máy với nhau: o Máy trong vùng LAN

 Ping LAN  WAN ( ip máy thật là 192.168.1.27)

Hình 7- 6 Ping from LAN to WAN

 Ping LAN  DMZ ( ip máy server là 11.0.0.2)

Hình 7- 7 Ping from LAN to DMZ o Máy window server trong DMZ

 Ping DMZ  LAN ( ip máy server là 192.168.10.3)

Hình 7- 8 Ping from DMZ to LAN

Hình 7- 9 Ping from DMZ to WAN o Máy thật trong vùng WAN

Hình 7- 10 Ping from WAN to LAN

Hình 7- 11 Ping from WAN to DMZ

 Sau khi kiểm tra, tất cả các máy đều đã có thể kết nối được với nhau.

2.2.2 Cấu hình rules chặn một số kết nối

- Không cho các máy từ internet (WAN) kết nối vào máy trên LAN o Tạo rule block

 Action chọn block để chặn

Hình 7- 12 Block WAN to LAN o Tiến hành ping kiểm tra thì ta thấy kết nối đã bị chặn

Hình 7- 13 Ping fail from WAN to LAN

- Chặn các kết nối từ máy trong DMZ tới vùng LAN o Tạo rule block

 Action chọn block để chặn

Hình 7- 14 Block DMZ to LAN

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai o Tiến hành ping kiểm tra thì ta thấy kết nối đã bị chặn

Hình 7- 15 Ping fail from DMZ to LAN

 Sau khi cấu hình xong thì 2 kết nối WAN đến LAN và DMZ đến LAN đã bị chặn

2.2.3 Cấu hình NAT để máy trong LAN kết nối đến internet

- Do card mạng của máy trong LAN là host-only nên không thể kết nối đến internet được Vì vậy ta sẽ cần phải cấu hình NAT để các máy trong vùng LAN kết nối được đến internet

- Đầu tiên tạo rule cho NAT Outbound với cấu hình sau o Interface chọn WAN o Address family  IPv4 o Protocal  Any Hình 7- 16 NAT Outbound rule o Source điền subnet mask 192.168.10.0/24 của vùng LAN

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai o Chọn Static Port

Hình 7- 18 NAT Outbound rule 3 o Chọn Save để lưu cầu hình

- Tiến hành ping đến ip 222.255.239.85 ( gamek.vn) để kiểm tra

Hình 7- 19 NAT Outbound ping test

 Nhìn vào hình ta có thể thấy trước khi tạo Rule NAT Outbound thì máy trong LAN không thể ping được ip ngoài internet Nhưng sau khi tạo Rule NAT Outbound thì đã có thể ping đến web gamek.vn Dưới đây là hình ảnh sau khi truy cập trang web.

2.2.4 Cấu hình NAT Port Forward để đưa web server lên internet

- Window server có hỗ trợ dịch vụ tạo web server nên ta sẽ sử dụng để tạo một trang web và đưa nó ra internet cho các máy ở vùng WAN truy cập vào.

- Đầu tiên là tạo 1 trang web đơn giản với file html ở máy window server

- Đưa file html vừa tạo vào thự mục chạy IIS và đổi tên thành iisstart

- Tiến hành khởi động dịch vụ IIS bằng cách mở Start và gõ “IIS”

- Chọn server  Chuột phải  Start

- TIếp theo là tạo Port Forward rule cho pfSense: Firewall  NAT  Port Forward  ADD

- Với cấu hình của rule

Hình 8- 5 Open NAT o Chọn Interface áp dụng rule là WAN o Protocol chọn TCP/UDP o Source mặc định sẽ là any o Destination chọn WAN address để áp dụng cho các máy ngoài internet o Redirect target IP chọn Single host và điền IP web server 11.0.0.2

Hình 8- 6 Port Forward rule setting

- Cuối cùng tiến hành kiểm tra xem khi truy cập từ internet vào đã có thể thấy trang web hay không

 Kết quả cho thấy ta đã truy cập được trang web vừa tạo lúc nãy bằng cách sử dụng địa chỉ IP của cổng WAN Chứng tỏ IP đã được chuyển hướng đến web server.

2.2.5 Cấu hình dịch vụ Captive Portal cho các máy trong LAN

- Trên thanh menu chọn Services  Captive Portal., sau đó chọn Add để thêm.

- Ta sẽ cấu hình như sau: o Đánh dấu Enable o Interface chọn LAN

Hình 9- 1 Captive Portal configuration o Ở mục Idle timeout và hard timeout ta sẽ điền 1 (phút) để tiện cho việc kiểm tra. o Do không sử dụng trang mặc định nên ta tích vào 2 ô Enable rồi lựa chọn logo và ảnh nền tùy chọn.

- Phần xác thực có thể lựa chọn tùy vào mục đích của trang Ở đây ta sẽ bắt các máy trong LAN xác thực bằng username và password.

- Nhấn Save để lưu lại

 Lưu ý: nếu sử dụng DNS server như 8.8.8.8 của google thì ta cần phải thêm vào mục Allowed IP Address để pfsense có thể xử lý trước khi xác thực Nêu không trang xác thực sẽ không hiện ra.

- Bây giờ ta sẽ tiến hành truy cập web để kiẻm tra.

- Khi sử dụng tài khoản admin của pfSense để xác thực thì đã vào được trang web mong muốn.

 Sau khi đăng nhập hoàn tất thì ta có thể truy cập internet thoải mái trong thời gian đã định mà không cần phải xác thực lại.

2.2.6 Thiết lập lịch trình cho luật

- Bên cạnh việc tạo các luật để quản lý ta còn có thể thiết lập thời gian biểu để có thể áp dụng luật một cách linh hoạt.

- Đầu tiên ta sẽ tạo ra một lịch trình bằng cách vào Firewall  Schedules, chọn ADD để thêm.

- Cấu hình như sau: o Điền các thông tin mô tả lịch trình

Hình 10- 1 Schedule information o Tại phần Month chọn tháng muốn áp dụng o Ở phần Date nếu như muốn chỉ định từng ngày cụ thể thì ta phải click vào các ngày tùy ý, nếu không thì sẽ áp dụng theo tháng mà ta đã chọn ở trên. o Chọn thời gian bắt đầu và thơi gian kết thúc.

Hình 10- 2 Setup Date/Time o Chọn Add Time để hoàn tất.

- Sau khi đã thêm lịch trình thì ta cần phải áp dụng nó vào luật: o Vào Rules và chọn luật muốn áp dụng. o Mở Display Advanced và chọn lịch trình vừa thêm ở mục Schedules

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai o Kết quả sau khi áp dụng

Hình 10- 5 Rule has applied schedule

- Bây giờ ta sẽ kiểm tra sau khi đã áp dụng lịch trình bằng cách ping

 Kết quả ping thất bại do lịch trình không áp dụng cho ngày 28 nên luật đã được áp dụng ở đây là “Allow LAN to any” đã không thực thi.

Báo cáo TTTN Đại Chương IV: Đánh giá & Kết

ĐÁNH GIÁ VÀ KẾT LUẬN

- Về mặt lý thuyết em đã có thể nắm được các khái niệm và tính năng của tường lửa cũng như của pfSense: o Biết được các thành phần của pfSense cùng nhưng ưu điểm của nó mang lại cho người dùng so với các tường lửa mềm khác. o Hiểu được các chức năng của tường lửa và các thiết lập, dịch vụ hỗ trợ của pfSense như Rules, NAT, Routing, VPN, …. o Biết được ý nghĩa, cách dùng của các thiết lập, dòng lệnh trên giao diện console và giao diện web khi cài đặt và sử dụng chức năng.

- Trong quá trình tìm hiểu và triển khai kịch bản mô hình tường lửa pfSense em đã thu được nhiều kết quả: o Nắm bắt được quá trình hoạt động của pfsense giữa các vùng mạng thông qua các cỗng kết nối. o Quản lý mạng nội bộ thông qua việc cho phép/cấm kết nối giữa các máy tính và quy định thời gian áp dụng vào các luật. o Biết được phương thức để 1 trang web đi ra internet. o Cách bảo mật trong việc truy cập internet.

- Dựa vào những gì em đã tìm hiểu và thực hành trong quá trình nghiên cứu về tường lửa pfsense mà em đã có thể hiểu sâu hơn về tường lửa nói chung và pfSense nói riêng.

- Ngoài ra em còn có thể phát triển thêm nhiều kịch bản khác dựa vào các chức năng của pfSemse và các gói cài đặt thêm (package).

- Vì thời gian làm đồ án có giới hạn, cũng như công ty có rất nhiều việc và khả năng còn hạn chế nên em chỉ có thể làm một số kịch bản của pfSense firewall.Một số tính năng của công cụ chưa được sử dụng hết.

Định dạng
Số trang	61
Dung lượng	3,92 MB