“BACHKHOA-NPOWER” HỆ THỐNG ĐÀO TẠO CHUYÊN GIA MẠNG QUỐC TẾ -o0o ĐỀ TÀI HỒN THÀNH MƠN HỌC “CompTIA Security + Certification” Tìm hiểu Pfsense Firewall Giả ng viên hướng dẫn: Sinh viên: Lớp: CNC6 Mụ c lục I Giới thiệu Firewall pfSense II Cài đặt cấu hình Pfsense Cài đặt Pfsense 2.Cấu hình card mạng cho máy Pfsense Đặt IP thiế t lập DHCP cấp phát vào bên mạng LAN Cấu hình Pfsense qua giao diện web - WebGUI Cài đặt Packages Backup and Recovery III Một số ứ ng dụ ng dị ch vụ pfsense Tính pfsense firewall 1.2 NAT 1.3 Firewall Rules 1.4 Firewall Schedules 1.5 Traffic shaper 1.6 Virtual IPs Một số dịch vụ pfsense 2.1 Captive portal 2.2 DHCP Server 2.3 Load Balancer VPN Pfsense 3.1 VPN PPTP 3.2 OpenVPN Site to Site III Triể n khai mơ hình mạng Font-BackEnd IV Nhận xét I Giớ i thiệu Firewall pfSense Để bả o vệ cho hệ th ống mạng bên có nhiều giải pháp s dụ ng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành ph ần kể t ương đối tốn Vì v ậy đố i vớ i ngườ i dùng không muố n tố n tiền l i mu ố n có mộ t tườ ng lử a bảo v ệ hệ thố ng mạng bên (mạng nội bộ) mà giao ti ếp v ối hệ thống mạng bên (Internet) PFSENSE giải pháp tiết kiệm hiệu tươ ng đố i tố t đố i với người dùng pfSense ứng d ụng có chức định tuyến vào tườ ng lửa mạnh miễn phí, ứ ng dụ ng cho phép bạn mở rộng mạng mà khơng bị thỏ a hiệp s ự bảo mật B ẳt đầ u vào năm 2004, m0n0wall bắt đầu chậ p chữ ng– mộ t dự án bảo mật tập trung vào hệ thống nhúng – pfSense có hơ n triệu download đ ượ c sử dụng để bảo vệ mạng tất kích cỡ, từ mạng gia đình đến mạng lớn của công ty Ứng dụng có cộng đồng phát triển tích c ực nhiều tính bổ sung phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng Trong phần mềm mi ễn phí cịn có nhiều tính ấn tượng firewall/router miễn phí, nhiên có số hạn chế Pfsense hỗ trợ lọc địa nguồn địa đích, cổng nguồn cổng đích hay địa IP Nó hỗ trợ sách định tuyến hoạt động chế độ bridge transparent, cho phép bạn cần đặt pfSense thiết bị mạng mà khơng cần địi hỏi việc cấu hình bổ sung pfSense cung cấp network address translation (NAT) tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-toPoint Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) Session Initiation Protocol (SIP) sử dụng NAT pfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phòng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phịng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải Tuy nhiên có m ột hạn chế v ới chỗ thực cân b ằng lư u lượ ng phân phố i giữ a hai k ết nối WAN bạ n đ ịnh đượ c lư u lượ ng cho qua kết nối II Cài đặt cấu hình Pfsense Cài đặt Pfsense Trên máy tính cài Pfsense bỏ đĩa pfSense LiveCD Installer vào ổ CD/DVD để tiến hành cài đặt  Màn hình Welcom to FreeBSD!  Chọn 99 để bắ t đầu trình cài đặt Pfsense lên máy tính  Chọn Accept these settings để chấp nhậ n việc cài đặt Pfsense  Chọ n Quick/Easy Install Custom Install để cài đặt vào ổ c ứng Giao diện textmode pfsense sau cài xong 2.Cấu hình card mạng cho máy Pfsense Enter an Option : Chọn số để bắ t đầu thiết lập Interface Do you want to setup VLANs now -> Chọn N Dựa vào đị a MAC để phân biệt card mạng Internal External Gõ le0 để thi ết lập Interface LAN , le1 để thi ết lập Interface WAN Nếu máy có card mạng WAN chọn thêm le2 để thiết lập Interface WAN2 Sau thiết lập đủ Interface bạn để trống ấn Enter hỏi “Enter the Optional …” Chọn Y để tiến hành trình thiết lập card mạng Thông tin card mạng pfsense sau thiết lập Đặt IP thiết lập DHCP cấp phát vào bên mạng LAN Thiết lập IP cho card mạng LAN chọn ,Nhập IP mà bạn muốn đặt Enter the new LAN subnet bit count : 24 Enter Chọn “Y” để thiết lập DHCP cấp phát IP cho máy Client (Network Internal) Tạo dải IP cấp phát cho Client (Như hình từ 10.0.0.10 > 10.0.0.100 ) Cấu hình Pfsense qua giao diện web - WebGUI Tạ i máy Client -> Vào trình duyệt gõ vào IP internal pfsense đăng nhập băng tài khoản mật mặc định : admin - pfsense  Nhấn Next  Khai báo DNS Server cho máy Pfsense -> Next  Chọ n múi cho pfsense > Next Chọn Conect to the network at my workplace > Next Chọn Virtual Provate Network connection > Next Điền tên cho kết nối VPN > Next Điền đị a IP VPN Server > Next Điền tài khoản mật nhấn Connect 3.2 OpenVPN Site to Site Tạo Share key cho pfsense Vào Diagnostics > Command: Tạ i Execute Shell command chạy lệnh : openvpn genkey secret /dev/stdout nhấn Execute Để tạ o kết nối Site to site vào VPN / OpenVPN Tạ i Tab Server nhấn Protocol : Giao thức sử dụng cho VPN Dynamic IP: Cho phép Client kết nối IP động cấp phát DHCP Server Local Port: Cổng OpenVPN server l ắng nghe.Mặc định cổng 1194 Address pool: Địa pfsense c ấp phát cho Client Remote network: Khai báo mạ ng mà pfsense kết nối đến Cryptography: Lựa chọn phương thức mã hóa Authentication method: Shared Key Shared key: Nhậ p Shared Key pfsense LZO compression : Nén gói tin chuyển liệu sử dụng LZO Chọn Save Tạ o rules cho phép kết nối OpenVPN WAN Trên pfsense2 Vào VPN/OpenVPN chọ n Tab Client nhấn Protocol : Giao thức mà server sử dụng cho VPN Server Address : Địa Server OpenVPN Server port : Cổng kết nối cho thiết lập VPN pfSense1 Interface IP : Địa IP mà server gán cho Client Remote network:Dả i IP Internal pfsense1 Lự a chọn phươ ng thứ c mã hóa điền Shared key củ a pfsense1 vào nhấn Save III Triể n khai mơ hình mạng Font-BackEnd Mơ hình mạng Font/BackEnd giúp hệ thống mạng chống l ại đợt công củ a hacker giúp bảo v ệ liệu Local an toàn dễ dang quản lí traffic mạng LAN Mơ hình có độ an tồn cao bù lại chi phí đầu tư cho rấ t tốn u cầ u mơ hình mạng Front-Backend - Cấ u hình dị ch vụ Load Balancer cho WAN1 WAN2 - Public Web Server - Cho phép máy XP ngồi Internet Cấu hình dịch vụ Load Balancer Trên Pfsense1 vào Service / Load Balancer Nhấn để bắ t đầu cấu hình Name : LoadBalancer Type : Gateway Behavior : Load Balancing Monitor IP Interface Name phải chọn tương tự Ví dụ : WAN2’s Gateway chọn WAN2 nhấn Add to pool Chọn Save Vào Status / Load Balancer để xem trạng thái dịch vụ Public WebServer Trên Pfsense vào Firewall / NAT: Port Forward Nhấn để thêm NAT rules External address : Chon Interface address ,nếu bạn muons vào web mạng LAN ,bạn có chon any Protocol : TCP External Port range : HTTP NAT IP : Địa Web Server Chọn Auto-add a firewall rule to permit traffic through this NAT rule > Save Cho phép máy XP2 Internet Trên pfsense vào Firewall / Aliases Tạ o Aliase với tên Pfsense2 Tạo rule cho phép Pfsense Internet Action : Pass Interface: LAN Protocol : any Source : Single host or ailas > Pfsense2 Destination : any Gateway : default Trên máy Pfsense tạo rules cho phép máy mạng LAN duyệt web Action : Pass Interface : LAN Protocol : TCP Source : Lan subnet Destination : any Destination port range : HTTP Chọ n save kiểm tra IV Nhận xét Để bả o vệ cho hệ th ống mạng bên có nhiều giải pháp s dụ ng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành ph ần k ể t ương đối tốn Vì v ậy đ ối với ngườ i dùng không muố n tố n tiền l i mu ố n có mộ t tườ ng lử a b ảo v ệ hệ thố ng mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạ ng bên ngồi (Internet) Pfsense giải pháp tiết kiệm hiệu tươ ng đố i tố t đố i với người dùng Đặ c điểm quan trọ ng cấu hình để cài đặt s dụng phần mềm Pfsense khơng địi hỏi ph ải cao nh nh ững phần mềm Chúng ta c ần mộ t máy tính P3, Ram 128, HDD 1GB đủ để dựng nên mộ t t ường l a Pfsense bảo vệ mạng bện pfSense ứng dụng có chức đ ịnh tuyến vào tườ ng lửa mạnh ứ ng dụ ng cho phép bạn mở rộ ng mạng mà khơng bị thỏa hiệp s ự bả o mậ t.Ph ần mềm đ ược thiết kế nh ỏ gọn, dễ dàng c ấu hình thơng qua giao diện web đặc biệt có khả cài đặt thêm gói dịch vụ để mở r ộng tính Tườ ng lử a pfSense đáp ứng đượ c m ộ t mạng doanh nghiệp nhỏ dễ dàng n lý cung c ấp nhiều tính để sản phẩ m th ương mạ i Mặc dù mộ t số tính đ ược s d ụng doanh nghiệp lớ n vẫ n nhi ều hạn ch ế, tơi khơng khun bạn sử dụ ng môi trườ ng lớ n nh v ậy V ới cộng đồng phát triển tích cực ứ ng dụ ng này, dự án nên giả i vấ n đề tính đượ c bổ sung Bạn hồn tồn có th ể bổ sung pfSense vào danh sách giải pháp firewall/router mạng phát triển, giá thành thấp miễn phí ... cần 1.3 Firewall Rules Nơ i lư u rules (Luật) Firewall Để vào Rules pfsense vào Firewall → Rules Mặ c định pfsense cho phép trafic ra/vào hệ thống Bạn phải tạo rules để n lí mạng bên firewall. .. hình Pfsense Cài đặt Pfsense Trên máy tính cài Pfsense bỏ đĩa pfSense LiveCD Installer vào ổ CD/DVD để tiến hành cài đặt  Màn hình Welcom to FreeBSD!  Chọn 99 để bắ t đầu trình cài đặt Pfsense. .. I Giới thiệu Firewall pfSense II Cài đặt cấu hình Pfsense Cài đặt Pfsense 2.Cấu hình card mạng cho máy Pfsense Đặt IP thiế