BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ THỰC TẬP TỐT NGHIỆP XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE Sinh viên thực hiện: Nguyễn Quang Tuấn AT110279 Hướng dẫn: ThS Cao Minh Tuấn Hà Nội, 3 - 2020 1 MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU CHƯƠNG I: FIREWALL PFSENSE 1.1 Tổng quan tường lửa 1.1.1 Static packet-filtering fire 1.1.2 Application-level firewal 1.1.3 Circuit-level firewall 1.1.4 Stateful inspection firewa 1.1.5 Các mô hình triển khai tường lửa 1.2 1.2.1 Tổng quan pfsense PfSense là gì? 1.2.2 Một số phương pháp triển khai thực tế 1.2.3 Tính năng cơ bản trong Pfsense 1.2.4 VPN 1.2.5 Một số dịch vụ của firewall pfsense CHƯƠNG II: XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE 2.1 Mô hình 2.2 Cài đặt PfSense 2.3 Thiết lập luật trong mạng LAN 2.3.1 Client trong mạng LAN 2.3.2 Thiết lập luật 2.4 Thiết lập luật trong mạng DMZ 2.5 Thiết lập luật VPN 2.5.1 Cài đặt OpenVPN 2.5.2 Thiết lập luật cho VPN KẾT LUẬN TÀI LIỆU THAM KHẢO 2 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… Hà Nội, ngày tháng 3 năm 2020 GIÁO VIÊN HƯỚNG DẪN 3 LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành và sự tri ân sâu sắc đối với các thầy cô khoa An toàn thông tin, đặc biệt thầy Cao Minh Tuấn đã nhiệt tình hướng dẫn, tạo điều kiện tốt nhất để em hoàn thành bài báo cáo thực tập tốt nghiệp này Trong quá trình thực tập, cũng như là trong quá trình làm bài báo cáo thực tập, khó tránh khỏi sai sót, rất mong các thầy, cô bỏ qua Đồng thời do trình độ lý luận cũng như kinh nghiệm thực tiễn còn hạn chế nên bài báo cáo không thể tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp thầy, cô để có thể học thêm được nhiều kinh nghiệm và sẽ hoàn thành tốt hơn trong đồ án tốt nghiệp Cuối cùng em kính chúc quý thầy, cô dồi dào sức khỏe và thành công trong sự nghiệp cao quý Em xin chân thành cảm ơn! 4 LỜI MỞ ĐẦU Mạng Internet ngày càng phát triển ngày một rộng rãi và hầu như lứa tuổi nào cũng đều sử dụng cả Bên cạnh những lợi ích tuyệt vời như xem video, hình ảnh, xem phim, tra cứu thông tin… thì cũng tiềm tàng những nguy cơ bị xâm nhập bất hợp pháp và đánh cắp dữ liệu cá nhân Do đó mà Firewall xuất hiện như một giải pháp vô cùng hữu hiệu cho các doanh nghiệp, cá nhân hiện nay Firewall ra đời giúp ngăn chặn được những cuộc tấn công mạng xảy ra, lọc tất cả những thông tin thông qua kết nối Internet vào mạng và hệ thống máy tính của một cá nhân hoặc một doanh nghiệp nào đó Firewall đóng vai trò như một thiết bị cung cấp cho công ty hoặc tổ chức một giải pháp để kiểm soát một cách chặt chẽ việc kết nối Internet của họ Các bức tường lửa có thể ngăn chặn hết tất cả các lượng truy cập đến từ những IP không rõ ràng Ở bài thực hành này chúng ta sẽ tìm hiểu và xây dựng mô hình mạng an toàn sử dụng tường lửa pfSense, bởi pfSense được đánh giá là tường lửa nguồn mở tốt nhất hiện nay 5 CHƯƠNG I: FIREWALL PFSENSE 1.1 Tổng quan tường lửa Tường lửa là công cụ cần thiết trong việc quản lý và kiểm soát lưu lượng mạng, là một thiết bị mạng được sử dụng để lọc lưu lượng truy cập, thường được triển khai giữa một mạng riêng và một mạng kết nối đến Internet Ngoài ra tường lửa cũng có thể được triển khai để phân chia giữa các phòng ban trong một công ty Nếu không có tường lửa, hệ thống mạng sẽ không thể hạn chế lưu lượng truy cập độc hại từ Internet thâm nhập vào mạng nội bộ Lưu lượng mạng thông qua tường lửa được lọc dựa trên các chính sách đã được thiết lập, còn được gọi là các bộ lọc hoặc danh sách kiểm soát truy cập (ACL) Chúng cơ bản là một bộ các chỉ lệnh có nhiệm vụ lọc ra các luồng dữ liệu nguy hại hoặc không được cho phép truy cập, chỉ có các kết nối cho phép mới vượt qua hàng rào an ninh được cung cấp bởi các tường lửa Tường lửa là một biện pháp hiệu quả trong việc ngăn chặn hay lọc lưu lượng truy cập, chống lại các lượt truy cập không hợp pháp cố gắng kết nối từ bên ngoài vào mạng nội bộ bên trong, đồng thời ngăn chặn các dữ liệu độc hại dựa trên thông tin các gói đi vào, ứng dụng, giao thức hay địa chỉ nguồn Hầu hết các tường lửa cung cấp cơ chế log, kiểm định và khả năng giám sát cũng như hệ thống phát hiện xâm nhập (IDS) cơ bản Cần lưu ý rằng tường lửa không thể ngăn chặn virus hoặc các mã độc hay lây lan qua các đường đi khác khi người dùng vô tình hay cố ý cho phép các đoạn mã độc thực thi đằng sau tường lửa Ngoài hoạt động kết nối mạng, tường lửa còn lưu lại các thông tin về các sự kiện như: Thời gian boot/reboot thiết bị tường lửa Trạng thái dịch vụ như: proxy, các dịch vụ phụ thuộc Thay đổi cấu hình Lỗi hệ thống tường lửa Tường lửa chỉ là một phần của một giải pháp bảo mật tổng thể Với một tường lửa có nhiều các cơ chế bảo mật được tập trung tại một nơi, điều này tạo ra rủi ro làm hệ thống mạng có thể bị mất kết nối trong trường hợp thiết bị tường lửa có sự cố Để bảo vệ tốt hơn cho hệ thống thì chúng ta cần kết hợp nhiều tường lửa với nhau để bổ trợ cho nhau trong trường hợp một tường lửa bị tấn công Có bốn loại tường lửa cơ bản: (Simple) Packet Filters, Circuit-Level, ApplicationLevel và Stateful Multilayer Inspection Cũng có nhiều cách để tạo ra bức tường lửa an toàn bằng cách kết hợp hai hoặc nhiều hơn các loại tường lửa vào một giải pháp tường lửa duy nhất 6 1.1.1 Static packet-filtering firewall Packet-filter lọc lưu lượng truy cập bằng cách kiểm tra thông tin header của gói tin Thông thường, các chính sách để tường lửa lọc sẽ dựa vào thông số liên quan tới IP nguồn, IP đích, và cổng dịch vụ Tường lửa dạng này không thể cung cấp cơ chế xác thực người dùng hay có thể xác định được gói tin đến từ bên trong hay bên ngoài mạng riêng, dẫn đến việc dễ dàng bị lừa với các gói tin giả mạo Static packet filter được xem là khởi đầu cho hệ thống tường lửa, hoạt động ở lớp 3 (lớp Mạng) của mô hình OSI Nó cũng có thể được coi là thiết bị định tuyến hoặc xem như một router thông thường Hình 1: Packet-filter trong mô hình OSI 1.1.2 Application-level firewall Một tường lửa ở lớp Ứng dụng còn được gọi là tường lửa proxy Proxy là một bộ máy tính làm nhiệm vụ sao chép các gói tin từ một mạng đến một mạng khác; việc sao chép này đồng thời sẽ đổi địa chỉ nguồn và địa chỉ đích để bảo vệ thông tin về mạng riêng hoặc mạng trong của hệ thống Tường lửa lớp Ứng dụng sẽ lọc các lưu lượng mạng dựa trên các dịch vụ Internet dùng để chuyển hoặc nhận dữ liệu Một proxy server là cách để tập trung các dịch vụ ứng dụng thông qua một máy đơn lẻ, tại đây nó sẽ phân tích các gói dữ liệu Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không Loại tường lửa này ảnh hưởng đến hiệu suấtcủa mạng vì mỗi gói tin đi đến tường lửa phải được kiểm tra và đánh giá để xác định 7 trước khi cho phép đi vào mạng nội bộ Tường lửa lớp ứng dụng được xem là thế hệ tường lửa thứ hai, chúng hoạt động tại lớp ứng dụng (lớp 7) của mô hình OSI Hình 2: Tường lửa lớp ứng dụng 1.1.3 Circuit-level firewall Tường lửa Circuit-level dùng để khởi tạo phiên kết nối giữa hai người dùng tin cậy Chúng hoạt động tại lớp Phiên (lớp 5) của mô hình OSI SOCKS (SOCKetS trong TCP/IP) là dạng tường lửa circuit-level thường được áp dụng nhất Tường lửa circuitlevel còn được biết đến như là circuit proxy, quản lý kết nối dựa trên circuit, chứ không phải nội dung của lưu lượng mạng Chúng cho phép hoặc từ chối chuyển tiếp gói tin dựa trên nơi mà gói tin cần được gởi đến (địa chỉ nguồn/đích, số portnguồn/đích) Tường lửa circuit-level cũng được xem là thế hệ thứ hai của tường lửa vì cơ chế hoạt động gần giống với tường lửa lớp ứng dụng Hình 3: Circuit-level firewall 8 1.1.4 Stateful inspection firewall Tường lửa kiểm tra trạng thái đánh giá hiện trạng hoặc bối cảnh lưu lượng mạng Bằng cách kiểm tra nguồn và địa chỉ đích, sử dụng các ứng dụng, nguồn gốc, và mối quan hệ giữa các gói hiện tại và các gói trước của cùng một session Tường lửa kiểm tra trạng thái có thể cấp một phạm vi truy cập rộng cho người dùng và các hoạt động có thẩm quyền, chủ động theo dõi và ngăn chặn người sử dụng thực hiện các hoạt động trái phép Tường lửa kiểm tra trạng thái thường hoạt động hiệu quả hơn so với tường lửa mức Ứng dụng, được xem là tường lửa thế hệ thứ ba, hoạt động ở lớp Mạng và lớp Giao vận (lớp 3 và 4) của mô hình OSI Hình 4: Stateful inspection firewall 1.1.5 Các mô hình triển khai tường lửa Có ba dạng kiến trúc tường lửa thường được triển khai là: một lớp, hai lớp, và ba lớp (còn được gọi là nhiều lớp) Kiến trúc tường lửa một lớp được kết nối thông qua một router đến Internet (hoặc những vùng mạng không an toàn khác) Mô hình tường lửa một lớp khá hữu ích trong việc ngăn chặn các cuộc tấn công cơ bản, kiến trúc này thực hiện được các cơ chế bảo mật tối thiểu Kiến trúc tường lửa hai lớp sử dụng một tường lửa có ba network interface trở lên, cho phép thiết lập thêm một vùng DMZ hoặc Extranet để giao tiếp với mạng bên ngoài DMZ được sử dụng đặt những hệ thống máy chủ thông tin mà người dùng bên ngoài có thể truy cập 9 Một kiến trúc ba lớp là việc triển khai của nhiều mạng con giữa mạng nội bộ và Internet ngăn cách bởi các tường lửa Mỗi tường lửa có quy tắc lọc nghiêm ngặt hơn để hạn chế các quyền truy cập bất hợp lệ vào hệ thống mạng dữ liệu nhạy cảm Mạng ngoài cùng thường được triển khai như là một vùng DMZ Lớp mạng thứ hai có nhiệm vụ như một lớp mạng chuyển tiếp nhằm phục vụ các tính năng phức tạp theo yêu cầu của máy chủ tại vùng DMZ (ví dụ: database, web service…) Mạng con thứ ba hoặc back-end có thể hỗ trợ mạng nội bộ Kiến trúc này là an toàn nhất, tuy nhiên mức độ triển khai và quản lý phức tạp hơn so với các kiến trúc còn lại Hình 5: Mô hình tường lửa một lớp Hình 6: Two-tier Hình 7: Three-tier 1.2 Tổng quan pfsense 10 Sau đó, ta click vào Browse 20.1.1.20:80 (http) để mở trong trình duyệt Nếu kết quả như ở dưới là chưa thành công Nguyên nhân có thể là do lần đầu cài đặt, Directory Browsing chưa được bật Khắc phục bằng cách: Trong giao diện Features views, ta vào Directory Browsing để kiểm tra 47 Ta thấy Directory Browsing đang bị Disabled, cần Enable và load lại trình duyệt kiểm tra => Thành công b Cấu hình Nat Web Server  Trên máy pfsense ta sẽ cấu hình NAT để public website ra bên ngoài: Firewall > NAT, chọn Add 48 Interface: WAN • Protocol: TCP • Source: any • Dest Address: WAN address • Dest Prots: 80 (HTTP) • NAT IP: 20.1.1.20 (IP máy WEB/FTP/EMAIL) • NAT Port: 80 (HTTP) • Trên Client của LAN, và ngoài Internet (WAN) ta sẽ tiến hành nhập địa chỉ IP của card WAN (192.168.1.6) sẽ hiển thị nội dung website mới vừa tạo trên máy WEB/FTP/EMAIL  Máy ngoài Internet: 49 Máy trong mạng LAN: Như vậy, đã public website thành công 2.5 Thiết lập luật VPN 2.5.1 Cài đặt OpenVPN PfSense hỗ trợ IPSec, OpenVPN, và cả PPTP Nếu cần một kết nối VPN nhanh và có ít băng thông hiện hữu so với được yêu cầu bởi các kết nối SSL VPN mà vẫn đảm bảo bảo mật tốt, hãy chọn IPSec VPN Cũng cần lưu ý thêm là có một số hạn chế của IPSec VPN trên pfSense Với cấu hình IPSec đơn giản, các hạn chế của pfSense có thể vẫn đảm bảo ở mức độ nào đó và nó làm việc tốt với các cài đặt (liền kề) site-to-site Nên ta có thể sử dụng OpenVPN để khắc phục một số hạn chế trên của IPSec OpenVPN có thể cho phép tăng độ an toàn vì nó sử dụng SSL Đầu tiên, ta vào System > Cert Manager > CAs chọn Add để tạo CA 50 Ấn Save, ta được kết quả: Tiếp theo sang Tab Certificates, ta chọn Add: 51 Sau khi điền thông tin xong ấn Save, ta tạo được thành công Certificates Tiếp theo sẽ tạo User, bằng cách chọn System > User Manager, Chọn Add và điền thông tin để tạo user : “vpn” , password: “1234567890” 52 Ấn Save, tạo thành công User: Tiếp theo ta phải cài gói OpenVPN vì mặc định trên pfsense chưa cài đặt Từ System > Package Manager, chọn Tab Available Packages và search OpenVPN để cài đặt: 53 Tiếp theo vào mục VPN, chọn OpenVPN > Wizards Ở Type of Server chọn Local User Access Chọn Next Chọn CA, nhấn next: 54 Certificates ta chọn cái vừa tạo Certificars ở trên, rồi chọn Next Tiếp theo, ta cài Tunnel Network 30.1.1.0/24 và Local Network 192.168.1.0/24 55 Tiếp tục nhấn Next Nhấn Finish để kết thúc và hoàn tất cài đặt 56 Tiếp theo Click vào client Export, kéo xuống mục User để tải xuống VPN Chọn Current Windows Installer để tải về, Sau đó mở gói cài đặt để Run 57 Ta sẽ đăng nhập tài khoản vpn1 vừa tạo và chọn OK Như vậy là ta đã cài xong để kết nối với VPN 58 2.5.2 Thiết lập luật cho VPN Để thiết lập luật cho VPN, System > Rules, sau đó ta chọn Tab OpenVPN để thiết lập luật Khi cài đặt VPN ở trên ta đã tích vào ô Firewall Rules và OpenVPN, khi đó hệ thống sẽ tự động tạo cho chúng ta 2 luật, 1 luật ở OpenVPN và 1 luật ở WAN cho phép kết nối VPN từ xa qua cổng 1194 Để chặn truy cập VPN, ta chỉ cần chặn VPN kết nối qua cổng 1194 là xong 59 KẾT LUẬN Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành Cũng chính vì thê, pfSense không cần nền tảng phần cứng mạnh Nếu doanh nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một tường lửa Không chỉ là một tường lửa, pfSense hoạt động như một thiết bị mạng tổng hợp với đầy đủ mọi tính năng toàn diện sẵn sàng bất cứ lúc nào Khi có một vấn đề về hệ thống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng, doanh nghiệp có thể kết hợp các tính năng đa dạng trên pfSense để tạo thành giải pháp hợp lý, khắc phục sự cố ngay lập tức.Không kém phần quan trọng đó là khả năng quản lý Tường lửa pfSense được quản trị một cách dễ dàng, trong sáng qua giao diện web Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị mạng Là lựa chọn hợp lý, đem lại sự an tâm, nhiều lợi ích cho các công ty, doanh nghiệp 60 TÀI LIỆU THAM KHẢO [1] https://www.youtube.com/watch?v=Ti7G6WyeUa4 [2] https://www.youtube.com/watch?v=UxjqHRUEIz8&t=599s https://sites.google.com/site/itopenlab/open-system-box/pfsensefirewall/pfsense-toan-tap [3] [4] https://dongpolice.com/cai-dat-va-cau-hinh-pfsense-toan-tap/ [5] https://www.youtube.com/watch?v=dYrmmgtPv5o [6] https://anninhmang.edu.vn/huong-dan-tao-cau-hinh-rule-trong-pfsense/ [7] https://www.pfsense.org/download/ [8] http://cemis.ueb.edu.vn/bai-viet-Bao-ve-mang-voi-pfSense-1154.html 61 ... firewall pfsense CHƯƠNG II: XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE 2.1 Mơ hình 2.2 Cài đặt PfSense 2.3 Thiết lập luật mạng LAN... hỏng 20 CHƯƠNG II: XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TỒN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE 2.1 Mơ hình - WAN: 192.168.1.0/24 Sử dụng card mạng VmNet0 (Auto bridging) - Phân vùng mạng kết nối Internet... họ Các tường lửa ngăn chặn hết tất lượng truy cập đến từ IP không rõ ràng Ở thực hành tìm hiểu xây dựng mơ hình mạng an tồn sử dụng tường lửa pfSense, pfSense đánh giá tường lửa nguồn mở tốt CHƯƠNG