1. Trang chủ
  2. » Giáo Dục - Đào Tạo

BÁO cáo THỰC tập tốt NGHIỆP đại học đề tài NGHIÊN cứu về TƯỜNG lửa PFSENSE

61 38 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề NGHIÊN CỨU VỀ TƯỜNG LỬA PFSENSE
Tác giả Vũ Hoàng
Người hướng dẫn ThS. Huỳnh Thanh Tâm
Trường học Học Viện Công Nghệ Bưu Chính Viễn Thông
Chuyên ngành Công nghệ thông tin
Thể loại Báo cáo thực tập tốt nghiệp đại học
Năm xuất bản 2021
Thành phố TP.HCM
Định dạng
Số trang 61
Dung lượng 3,92 MB

Cấu trúc

  • 1. Mục tiêu (12)
  • 2. Phương pháp nghiên cứu (12)
  • CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE (13)
    • 1. Tổng quan về tường lửa (13)
      • 1.1. Tường lửa là gì ? (13)
      • 1.2. Tác dụng của tường lửa (14)
    • 2. Tường lửa PfSense (15)
      • 2.1. Giới thiệu về PfSense (15)
  • CHƯƠNG II: TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG LỬA PFSENSE (18)
    • 1. Các chức năng và dịch vụ cơ bản của firewall pfSense (18)
      • 1.1. Aliases (Bí danh) (18)
      • 1.2. Rules ( Luật) (19)
      • 1.3. NAT (Biên dịch địa chỉ mạng) (20)
      • 1.4. Routing (Định tuyến) (20)
      • 1.5. Virtual Ips ( IP ảo) (21)
      • 1.6. Schedules ( Lịch trình) (22)
      • 1.7. Traffic Sharper ( Quản lý băng thông) (23)
    • 2. Một số chức năng và dịch vụ khác (24)
      • 2.1. VPN (24)
        • 2.1.1. Open VPN (25)
        • 2.1.2. IPSec (Giao thức bảo mật internet) (26)
        • 2.1.3. L2TP (Giao thức đường hầm 2 lớp) (27)
      • 2.2. Package Manager ( Trình quản lý gói) (28)
      • 2.3. Captive Portal ( Cổng cố định) (29)
      • 2.4. DHCP (Giao thức Cấu hình Host Động) (31)
        • 2.4.1. DHCP Server (31)
        • 2.4.2. DHCP relay (32)
  • CHƯƠNG III: TÌM HIỂU VÀ XÂY DỰNG MÔ HÌNH TRIỂN KHAI PFSENSE (33)
    • 1. Cài đặt PfSense (33)
    • 2. Triển khai mô hình với tường lửa pfSense (38)
      • 2.1. Mô hình Firewall topology cho mạng doanh nghiệp (38)
        • 2.1.1. Chuẩn bị (38)
        • 2.1.2. Cài đặt máy ảo (39)
        • 2.1.3. Cấu hình interface (40)
      • 2.2. Thực nghiệm một số kịch bản (44)
        • 2.2.1. Cấu hình rules cho các máy kết nối với nhau (44)
        • 2.2.2. Cấu hình rules chặn một số kết nối (48)
        • 2.2.3. Cấu hình NAT để máy trong LAN kết nối đến internet (50)
        • 2.2.4. Cấu hình NAT Port Forward để đưa web server lên internet (52)
        • 2.2.5. Cấu hình dịch vụ Captive Portal cho các máy trong LAN (55)
        • 2.2.6. Thiết lập lịch trình cho luật (57)
  • CHƯƠNG IV: ĐÁNH GIÁ VÀ KẾT LUẬN (60)
  • TÀI LIỆU THAM KHẢO (61)

Nội dung

Mục tiêu

- Tìm hiểu về các chức năng của firewall PfSense.

- Nắm được ý nghĩa và cách sử dụng các dòng lệnh của firewall PfSense.

- Tìm hiểu các mô hình triển khai PfSense.

Phương pháp nghiên cứu

- Về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thông tin có liên quan đến firewall, cụ thể là PfSense.

- Về mặt thực nghiệm: Xây dựng mô hình triển khai và thực nghiệm các kịch bản cấu hình cho firewall PfSense.

Báo cáo TTTN Đại Chương I: Giới thiệu về tường lửa

GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE

Tổng quan về tường lửa

- Tường lửa (firewall) là rào chắn được thiết lập để ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ Nói cách khác, tường lửa là một thiết bị giúp kiểm soát các truy cập giữa một mạng riêng và một mạng kết nối đến Internet.

- Nếu không có tường lửa, hệ thống mạng sẽ không thể hạn chế lưu lượng truy cập độc hại từ Internet thâm nhập vào mạng nội bộ.

- Firewall không nhất thiết phải là phần mềm mà còn có thể là một thành phần phần cứng, vốn thường được tìm thấy trong nhiều mẫu router từ phổ thông đến cao cấp.

Báo cáo TTTN Đại Chương I: Giới thiệu về tường lửa

1.2 Tác dụng của tường lửa

- Một tường lửa có thể lọc lưu lượng từ các nguồn truy cập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể phá hoại hay làm tê liệt hệ thống của người dùng Ngoài ra vì các nguồn truy cập ra vào giữa mạng nội bộ và mạng khác đều phải thông qua tường lửa nên tường lửa còn có tác dụng theo dõi, phân tích các luồng lưu lượng truy cập và quyết định sẽ làm gì với những luồng lưu lượng đáng ngờ như khoá lại một số nguồn dữ liệu không cho phép truy cập hoặc theo dõi một giao dịch đáng ngờ nào đó.

Hình 1- 2 Công dụng của tường lửa

- Lưu lượng mạng thông qua tường lửa được lọc dựa trên các chính sách đã được thiết lập, còn được gọi là các bộ lọc hoặc danh sách kiểm soát truy cập (ACL) Chúng là một bộ các chỉ lệnh có nhiệm vụ lọc ra các luồng dữ liệu nguy hại hoặc không được cho phép truy cập, chỉ có các kết nối cho phép mới vượt qua hàng rào an ninh của tường lửa.

- Do đó, việc thiết lập tường lửa là hết sức quan trọng, đặc biệt là đối với những máy tính thường xuyên kết nối internet.

Báo cáo TTTN Đại Chương I: Giới thiệu về tường lửa

Tường lửa PfSense

- PfSene là một dự án nguồn mở dựa trên nền tảng hệ điều hành FreeBSD và được sử dụng như một tường lửa (firewall) hoặc một thiết bị định tuyến

(router) Cùng với các chức năng quản lý mạnh mẽ, thân thiện với người dùng nên pfSense được cộng đồng sử dụng rộng rãi trong môi trường doanh nghiệp vừa và nhỏ.

- PfSense yêu cầu cấu hình phần cứng thấp nên phù hợp cho việc tích hợp vào các thiết bị tích hợp khác nhau nhằm tăng tính linh động và hiệu suất trong quá trình vận hành.

- PfSense là tường lửa mềm, tức là ta chỉ cần một máy tính bất kì, hoặc tốt hơn là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh mẽ cho hệ thống mạng trong doanh nghiệp Trong phân khúc tường lửa cho doanh nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, pfSense được đánh giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng lên tới hàng triệu kết nối đồng thời Không những thế, tường lửa pfSense còn có nhiều tính năng mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa thông thường, kể cả các tường lửa cứng của các hãng nổi tiếng về thiết bị mạng.

Báo cáo TTTN Đại Chương I: Giới thiệu về tường lửa

- PfSense bao gồm một số tính năng: o Tường lửa tầng L3, L4, L7 o Chặn truy cập theo khu vực địa lý o Quản lý chất lượng QoS o Proxy o Quản trị mạng không dây o Hỗ trợ VLAN o Cân bẳng tải o VPN theo 4 giao thức o Giám sát/Phân tích mạng o Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS) o Cho phép chạy song hành, failover o Hỗ trợ ngôn ngữ tiếng Việt o Tự động cập nhật black list o Tự động nâng cấp phiên bản

- PSense được nhiều nhà quản trị hệ thống tin tưởng vì tính tin cậy, cung cấp nhiều tính năng chỉ có thể được tìm thấy trên các thiết bị vật lý chuyên làm firewall như Cisco, FView Postortigate, sophos, Draytek, … hoặc phần mềmFirewall khác.

Báo cáo TTTN Đại Chương I: Giới thiệu về tường lửa

- Do tính linh hoạt khi nâng cấp máy chủ, hoàn toàn miễn phí, dễ sử dụng quản trị của Firewall pfSense là một trong những điểm mạnh nhất, khi nó cho phép người dùng cài đặt thêm các gói tiện ích mở rộng từ bên thứ 3 cung cấp dịch vụ.

2.2 Một số ưu điểm của PfSense

- Miễn phí, đó chính là ưu thế vượt trội của tường lửa pfSense Những thiết bị Firewall chuyên dụng đến từ các hãng chuyên nghiệp như Cisco, Juniper, Fortigate, Check Point… đều là những thiết bị mạnh mẽ, nhưng lại có chi phí cao Do vậy nếu muốn tối ưu về chi phí sử dụng, người dùng nên cân nhắc giải pháp pfSense.

- PfSense hoạt động ổn định với hiệu năng cao và đã được tối ưu hóa mã nguồn và cả hệ điều hành Cũng chính vì thê, pfSense không cần nền tảng phần cứng mạnh.

- Nếu doanh nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động Điều đó góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt khi doanh nghiệp muốn có nhiều hơn một tường lửa.

- Có thể cấu hình pfSense một cách dễ dàng, thông qua giao diện web

Hình 2- 3 Giao diện web của PfSense

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG LỬA PFSENSE

Các chức năng và dịch vụ cơ bản của firewall pfSense

- Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn.

- Các thành phần trong Aliases: o Host: tạo nhóm các địa chỉ IP. o Network: tạo nhóm các mạng. o Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol Các protocol được sử dụng trong các rule.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

- Là nơi lưu các luật của tường lửa.

- Mặc định pfSense cho phép mọi lưu thông ra/vào hệ thống Chúng ta phải tạo các rules để quản lý mạng bên trong firewall.

- Một số lựa chọn trong Destination và Source. o Any: Tất cả o Single host or alias: Một địa chỉ ip hoặc là một bí danh. o Lan subnet: Đường mạng Lan. o Network: địa chỉ mạng. o Lan address: Tất cả địa chỉ mạng nội bộ. o Wan address: Tất cả địa chỉ mạng bên ngoài. o PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT. o PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thứcPPPoE.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

1.3 NAT (Biên dịch địa chỉ mạng)

- Trong Firewall cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.

Hình 3- 4 NAT Port Forward pfSense

- Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound NAT…, tuy nhiên ta có thể thay đổi kiểu Manual outbound NAT nếu cần.

- Một trong những tính năng chính của một Firewall ngoài việc lọc và thực hiện NAT là định tuyến được lưu thông trong mạng Chức năng này bao gồm : o Gateways o Static routes o Gateway groups

- Thông thường mỗi interface trên pfSense sẽ đại diện cho một miền riêng với một subnet IP duy nhất, giống như một vùng riêng biệt Trong một số trường hợp cần kết hợp nhiều interfaces thành một miền mới, lúc đó chức năng này sẽ kết hợp hai cổng trên tường lửa sẽ hoạt động giống như nó đang trên cùng một miền, ngoại trừ lưu lượng giữa các interface được kiểm soát bởi các quy luật (rule) đã được cấu hình.

- Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NAT thông qua IP ảo Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và một loại khác Mỗi loại đều rất hữu ích trong các tình huống khác nhau Trong hầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sử dụng Proxy ARP hoặc CARP Trong tình huống mà ARP không cần thiết, chẳng hạn như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sử dụng IP ảo loại khác.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

- Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1 Họ cũng cho phép các tính năng như failover, và có thể cho phép dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.

- Các rule của firewall có thể được chỉ định hoạt động vào nhưng thời điểm nhất định trong ngày hoặc các ngày trong tuần Đây là một chức năng rất hay và thường được các doanh nghiệp sử dụng để quản lý nhân viên sử dụng internet theo quy định.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

- Người dùng có thể tùy chỉnh linh hoạt từng ngày trong tháng, từng khoảng thời gian trong ngày.

1.7 Traffic Sharper ( Quản lý băng thông)

- Phần lớn trong các hệ thống mạng, các user phải dùng chung một kết nối internet Khi một user sử dụng hết băng thông của hệ thống thì những user khác sẽ bị ảnh hưởng, không thể truy cập internet hoặc rất chậm Cách giải quyết vấn đề này đó là triển khai dịch vụ traffic shapping (QoS) cho hệ thống.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

- Các tùy chọn cấu hình: o Traffic sharper: tùy chỉnh schedule, băng thông upload/download của interface. o Voice Over Ip (VOIP): sử dụng cho điện thoại VoIP. o Penalty Box: giám sát những host bị phạt khi dùng quá giới hạn băng thông. o Peer to Peer (P2P) networking: dành cho các kết nối peer to peer. o Network Games: cung cấp các quyền ưu tiên cho các hoạt động chơi game. o Raise or lower other application: tối ưu traffic cho các ứng dụng khác.

Một số chức năng và dịch vụ khác

- VPN (Virtual Private Network) - mạng riêng ảo là một công nghệ cho phép người dùng thiết lập mạng riêng ảo với một mạng khác trên Internet VPN được sử dụng để truy cập các trang web bị hạn chế, bảo vệ hoạt động duyệt web của người dùng.

- PfSense đã cung cấp Open VPN, IPSec, L2TP có sẵn sau khi cài đặt để người dùng có thể nhanh chóng sử dụng.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

- OpenVPN là một VPN mã nguồn mở sử dụng sử dụng giao thức SSLv3/TLSv1 và OpenSSL để tạo ra các kết nối site-to-site an toàn Nó cho phép các bên xác thực lẫn nhau bằng khóa bí mật chia sẻ trước (pre-shared secret key) và chứng thư khoá công khai (public key certificate) hoặc tên người dùng/mật khẩu.

- Mã hóa OpenVPN bao gồm một kênh dữ liệu và một kênh điều khiển Kênh điều khiển để xử lý việc trao đổi key, trong khi kênh dữ liệu mã hóa lưu lượng truy cập web của người dùng VPN.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

Hình 4- 4 OpenVPN pfSense – Cryptographic Setting 1

Hình 4- 5 OpenVPN pfSense – Cryptographic Setting 2

2.1.2 IPSec (Giao thức bảo mật internet)

- IPSec (Internet Protocal Sercurity) là một giao thức mạng để bảo mật quá trình truyền tin và thường được liên kết với VPN IPSec đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF).

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

- IPSec cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua các router mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL router, FTTH router, …

- IPSec được sử dụng như một chức năng xác thực được gọi là Authentication Hearder (AH) Nó được dùng trong việc chứng thực/mã hóa, kết hợp chức năng authentication và integrity gọi là Encapsulating Security Payload (ESP), đảm bảo tính nguyên vẹn của dữ liệu, chống quá trình replay trong các phiên bảo mật.

2.1.3 L2TP (Giao thức đường hầm 2 lớp)

- L2TP (Layer 2 Tunneling Protocal) là sự kết hợp của Point to Point Tunneling Protocal (PPTP) và giao thức Layer 2 Forwarding (L2F) Đây là một giao thức tunneling được thiết kế để hỗ trợ các kết nối VPN.

- L2TP là một giao thức kết hợp có tất cả các tính năng của PPTP, nhưng chạy trên một giao thức truyền tải nhanh hơn là UDP L2TP sử dụng username, password, địa chỉ IP và khóa chia sẻ trước ( pre-shared key) để chứng thực kết nối Nó dùng các port 500, 1701 và 4500 để trao đổi khóa UDP, thực hiện các cấu hình, và NAT.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

- Giao thức này thường được ghép nối với IPSec để đáp ứng payload dữ liệu Khi được ghép nối với IPSec, L2TP cũng đều có thể sử dụng các key mã hóa lên đến 256-bit và thuật toán 3DES.

2.2 Package Manager ( Trình quản lý gói)

- Ngoài những dịch vụ có sẵn sau khi cài đặt pfSense, người dùng còn có thể cài đặt thêm những dịch vụ khác được hỗ trợ trong phiên bản pfSense đang sử dụng ở mục Package Manager.

- Những gói này có thể được cài đặt dễ dàng chỉ bằng việc tìm kiếm trên thanh

- Các gói thường được nhiều người sử dụng là Squid, Snort, SquidGuard,

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

2.3 Captive Portal ( Cổng cố định)

- Là một trang Web trung gian, dùng để bảo vệ hệ thống mạng Khi người dùng tham gia vào hệ thống mạng sẽ được yêu cầu nhập username và password hợp lệ hoặc một vài thông tin cá nhân hoặc đôi khi chỉ cần click nút “Kết nối internet”.

- Captive portal sử dụng một trang trung gian để yêu cầu người dùng chứng thực, giúp nâng cao khả năng bảo mật Trang Web trung gian này có thể thiết kế đơn giản, với hướng dẫn và điều khoản sử dụng, ô Username và

Password để đăng nhập Chức năng này thường được sử dụng ở những hệ thống mạng không dây ở những nơi công cộng như quán cà phê, siêu thị, ….

- Các cấu hình chính của Captive Portal o Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal. o Maximum concurrent connections: Giới hạn các connection trên mỗi ip/user/mac. o Idle timeout: Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ ngắt kết nối của ip/user/mac. o Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

Hình 4- 10 Captive portal configuration o Logout popup windows: Xuất hiện 1 popup thông báo cho ip / user / mac. o Pre-authentication redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới trước khi đăng nhập. o After authentication Redirection URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập. o Blocked MAC address redirect URL: Địa chỉ URL mà các MAC bị chặn khi truy cập sẽ tới.

Hình 4- 11 Captive portal configuration 2 o Pass-through MAC auto entry: Các MAC address được cấu hình trong mục này sẽ được bỏ qua không authentication.

Báo cáo TTTN Đại Chương II: Tìm hiểu các chức năng của tường lửa

2.4 DHCP (Giao thức Cấu hình Host Động)

- DHCP (Dynamic Host Configuration Protocol) là giao thức có chức năng cấp phát địa chỉ IP cho tất cả các thiết bị truy cập trên cùng một mạng thông qua máy chủ DHCP được tích hợp trên router.

TÌM HIỂU VÀ XÂY DỰNG MÔ HÌNH TRIỂN KHAI PFSENSE

Cài đặt PfSense

- Download file iso cài đặt tại trang chủ của pfSense

- Tạo máy ảo VMWare bằng file iso vừa download Khởi động máy ảo PfSense sẽ tự chọn mode khởi động

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Chọn OK để tiến hành cài đặt

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Bấm OK để pfSense được cài đặt

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Đợi cho tiến trình chạy xong

- Bước cuối bấm No rồi Reboot lại hệ thống

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Màn hình sau khi pfSense khởi động lại

 Như vậy là ta đã cài đặt xong tường lửa pfSense với 1 card mạng có địa chỉ là192.168.127.159

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

Triển khai mô hình với tường lửa pfSense

2.1 Mô hình Firewall topology cho mạng doanh nghiệp

- Ba card mạng ảo WAN, LAN, DMZ Trong đó: o WAN là bridge o LAN và DMZ là host-only

- Một máy ảo window 7 trong mạng LAN (192.168.10.3)

- Một máy ảo Window server làm web server trong vùng DMZ (11.0.0.2)

- Một máy ảo pfSense làm firewall

- Một máy thật đại diện cho WAN từ ngoài Internet (192.168.1.27)

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Máy pfSense ta sử dụng 3 card mạng ứng với 3 vùng: WAN, LAN, DMZ.

- Máy window 7 dùng card LAN.

- Máy window server dùng card DMZ.

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Sử dụng lệnh Assign interfaces để gán cổng WAN

- Chọn y để bỏ qua bước thiết lập VLANs

- Nhập card WAN mà ta đã cài cho máy ảo, thứ tự lấy từ trên xuống

Hình 6- 7 Enter WAN interface name

- Tương tự với LAN và DMZ

Hình 6- 8 LAN and DMZ interface names

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Sau đó ta vào giao diện web bằng địa chỉ của cổng LAN là 192.168.10.1 trên máy window 7 Kế đến đăng nhập với username và password mặc định của pfSense là admin và pfsense.

- Màn hình sau khi đăng nhập thành công

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Cấu hình cơ bản cho firewall pfSense: System  General Setup

- Tiến hành cấu hình các interface cho firewall. o Interface  WAN

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai o Interface LAN

Hình 6- 13 LAN interface o Interface  DMZ

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Sau khi cấu hình xong thì bên máy pfSense đã nhận cấu hình.

 Vậy là chúng ta đã hoàn tất việc cái đặt các máy ảo theo mô hình Tiếp đến chứng ta sẽ sử dụng một số chức năng và dịch vụ của tường lửa pfSense như

NAT, Rules, Schedule để áp dụng vào thực tế.

2.2 Thực nghiệm một số kịch bản

2.2.1 Cấu hình rules cho các máy kết nối với nhau

- Cho phép các máy từ internet (WAN) kết nối đến các máy khác o Action chọn Pass o Interface  WAN o Address Family  Ipv4 o Protocal  Any o Source  WAN net o Destination  any

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

Hình 7- 2 Allow WAN to any

- Mặc định đã có Rule cho phép máy trong LAN kết nối đến các máy khác.

Hình 7- 3 Allow LAN to any rules

- Cho phép các máy từ internet (WAN) kết nối đến các máy khác o Action chọn Pass o Interface  DMZ o Address Family  Ipv4 o Protocal  Any o Source  DMZ net o Destination  any

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

Hình 7- 5 Allow DMZ to any

- Tiến hành ping kiểm tra từ các máy với nhau: o Máy trong vùng LAN

 Ping LAN  WAN ( ip máy thật là 192.168.1.27)

Hình 7- 6 Ping from LAN to WAN

 Ping LAN  DMZ ( ip máy server là 11.0.0.2)

Hình 7- 7 Ping from LAN to DMZ o Máy window server trong DMZ

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

 Ping DMZ  LAN ( ip máy server là 192.168.10.3)

Hình 7- 8 Ping from DMZ to LAN

Hình 7- 9 Ping from DMZ to WAN o Máy thật trong vùng WAN

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

Hình 7- 10 Ping from WAN to LAN

Hình 7- 11 Ping from WAN to DMZ

 Sau khi kiểm tra, tất cả các máy đều đã có thể kết nối được với nhau.

2.2.2 Cấu hình rules chặn một số kết nối

- Không cho các máy từ internet (WAN) kết nối vào máy trên LAN o Tạo rule block

 Action chọn block để chặn

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

Hình 7- 12 Block WAN to LAN o Tiến hành ping kiểm tra thì ta thấy kết nối đã bị chặn

Hình 7- 13 Ping fail from WAN to LAN

- Chặn các kết nối từ máy trong DMZ tới vùng LAN o Tạo rule block

 Action chọn block để chặn

Hình 7- 14 Block DMZ to LAN

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai o Tiến hành ping kiểm tra thì ta thấy kết nối đã bị chặn

Hình 7- 15 Ping fail from DMZ to LAN

 Sau khi cấu hình xong thì 2 kết nối WAN đến LAN và DMZ đến LAN đã bị chặn

2.2.3 Cấu hình NAT để máy trong LAN kết nối đến internet

- Do card mạng của máy trong LAN là host-only nên không thể kết nối đến internet được Vì vậy ta sẽ cần phải cấu hình NAT để các máy trong vùng LAN kết nối được đến internet

- Đầu tiên tạo rule cho NAT Outbound với cấu hình sau o Interface chọn WAN o Address family  IPv4 o Protocal  Any Hình 7- 16 NAT Outbound rule o Source điền subnet mask 192.168.10.0/24 của vùng LAN

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai o Chọn Static Port

Hình 7- 18 NAT Outbound rule 3 o Chọn Save để lưu cầu hình

- Tiến hành ping đến ip 222.255.239.85 ( gamek.vn) để kiểm tra

Hình 7- 19 NAT Outbound ping test

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

 Nhìn vào hình ta có thể thấy trước khi tạo Rule NAT Outbound thì máy trong LAN không thể ping được ip ngoài internet Nhưng sau khi tạo Rule NAT Outbound thì đã có thể ping đến web gamek.vn Dưới đây là hình ảnh sau khi truy cập trang web.

2.2.4 Cấu hình NAT Port Forward để đưa web server lên internet

- Window server có hỗ trợ dịch vụ tạo web server nên ta sẽ sử dụng để tạo một trang web và đưa nó ra internet cho các máy ở vùng WAN truy cập vào.

- Đầu tiên là tạo 1 trang web đơn giản với file html ở máy window server

- Đưa file html vừa tạo vào thự mục chạy IIS và đổi tên thành iisstart

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Tiến hành khởi động dịch vụ IIS bằng cách mở Start và gõ “IIS”

- Chọn server  Chuột phải  Start

- TIếp theo là tạo Port Forward rule cho pfSense: Firewall  NAT  Port Forward  ADD

- Với cấu hình của rule

Hình 8- 5 Open NAT o Chọn Interface áp dụng rule là WAN o Protocol chọn TCP/UDP o Source mặc định sẽ là any o Destination chọn WAN address để áp dụng cho các máy ngoài internet o Redirect target IP chọn Single host và điền IP web server 11.0.0.2

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

Hình 8- 6 Port Forward rule setting

- Cuối cùng tiến hành kiểm tra xem khi truy cập từ internet vào đã có thể thấy trang web hay không

 Kết quả cho thấy ta đã truy cập được trang web vừa tạo lúc nãy bằng cách sử dụng địa chỉ IP của cổng WAN Chứng tỏ IP đã được chuyển hướng đến web server.

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

2.2.5 Cấu hình dịch vụ Captive Portal cho các máy trong LAN

- Trên thanh menu chọn Services  Captive Portal., sau đó chọn Add để thêm.

- Ta sẽ cấu hình như sau: o Đánh dấu Enable o Interface chọn LAN

Hình 9- 1 Captive Portal configuration o Ở mục Idle timeout và hard timeout ta sẽ điền 1 (phút) để tiện cho việc kiểm tra. o Do không sử dụng trang mặc định nên ta tích vào 2 ô Enable rồi lựa chọn logo và ảnh nền tùy chọn.

- Phần xác thực có thể lựa chọn tùy vào mục đích của trang Ở đây ta sẽ bắt các máy trong LAN xác thực bằng username và password.

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Nhấn Save để lưu lại

 Lưu ý: nếu sử dụng DNS server như 8.8.8.8 của google thì ta cần phải thêm vào mục Allowed IP Address để pfsense có thể xử lý trước khi xác thực Nêu không trang xác thực sẽ không hiện ra.

- Bây giờ ta sẽ tiến hành truy cập web để kiẻm tra.

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

- Khi sử dụng tài khoản admin của pfSense để xác thực thì đã vào được trang web mong muốn.

 Sau khi đăng nhập hoàn tất thì ta có thể truy cập internet thoải mái trong thời gian đã định mà không cần phải xác thực lại.

2.2.6 Thiết lập lịch trình cho luật

- Bên cạnh việc tạo các luật để quản lý ta còn có thể thiết lập thời gian biểu để có thể áp dụng luật một cách linh hoạt.

- Đầu tiên ta sẽ tạo ra một lịch trình bằng cách vào Firewall  Schedules, chọn ADD để thêm.

- Cấu hình như sau: o Điền các thông tin mô tả lịch trình

Hình 10- 1 Schedule information o Tại phần Month chọn tháng muốn áp dụng o Ở phần Date nếu như muốn chỉ định từng ngày cụ thể thì ta phải click vào các ngày tùy ý, nếu không thì sẽ áp dụng theo tháng mà ta đã chọn ở trên. o Chọn thời gian bắt đầu và thơi gian kết thúc.

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai

Hình 10- 2 Setup Date/Time o Chọn Add Time để hoàn tất.

- Sau khi đã thêm lịch trình thì ta cần phải áp dụng nó vào luật: o Vào Rules và chọn luật muốn áp dụng. o Mở Display Advanced và chọn lịch trình vừa thêm ở mục Schedules

Báo cáo TTTN Đại Chương III: Tìm hiểu và xây dựng mô hình triển khai o Kết quả sau khi áp dụng

Hình 10- 5 Rule has applied schedule

- Bây giờ ta sẽ kiểm tra sau khi đã áp dụng lịch trình bằng cách ping

 Kết quả ping thất bại do lịch trình không áp dụng cho ngày 28 nên luật đã được áp dụng ở đây là “Allow LAN to any” đã không thực thi.

Báo cáo TTTN Đại Chương IV: Đánh giá & Kết

ĐÁNH GIÁ VÀ KẾT LUẬN

- Về mặt lý thuyết em đã có thể nắm được các khái niệm và tính năng của tường lửa cũng như của pfSense: o Biết được các thành phần của pfSense cùng nhưng ưu điểm của nó mang lại cho người dùng so với các tường lửa mềm khác. o Hiểu được các chức năng của tường lửa và các thiết lập, dịch vụ hỗ trợ của pfSense như Rules, NAT, Routing, VPN, …. o Biết được ý nghĩa, cách dùng của các thiết lập, dòng lệnh trên giao diện console và giao diện web khi cài đặt và sử dụng chức năng.

- Trong quá trình tìm hiểu và triển khai kịch bản mô hình tường lửa pfSense em đã thu được nhiều kết quả: o Nắm bắt được quá trình hoạt động của pfsense giữa các vùng mạng thông qua các cỗng kết nối. o Quản lý mạng nội bộ thông qua việc cho phép/cấm kết nối giữa các máy tính và quy định thời gian áp dụng vào các luật. o Biết được phương thức để 1 trang web đi ra internet. o Cách bảo mật trong việc truy cập internet.

- Dựa vào những gì em đã tìm hiểu và thực hành trong quá trình nghiên cứu về tường lửa pfsense mà em đã có thể hiểu sâu hơn về tường lửa nói chung và pfSense nói riêng.

- Ngoài ra em còn có thể phát triển thêm nhiều kịch bản khác dựa vào các chức năng của pfSemse và các gói cài đặt thêm (package).

- Vì thời gian làm đồ án có giới hạn, cũng như công ty có rất nhiều việc và khả năng còn hạn chế nên em chỉ có thể làm một số kịch bản của pfSense firewall.Một số tính năng của công cụ chưa được sử dụng hết.

Ngày đăng: 07/12/2022, 10:12

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w