Đang tải... (xem toàn văn)
EBOOKBKMT COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN “BACHKHOA NPOWER” ( HỆ THỐNG ĐÀO TẠO CHUYÊN GIA MẠNG QUỐC TẾ o0o ĐỀ TÀI HOÀN THÀNH MÔN HỌC “CompTIA Security + Certification” Tìm hiểu Pfsense Firewall Giảng.
“BACHKHOA-NPOWER” − HỆ THỐNG ĐÀO TẠO CHUYÊN GIA MẠNG QUỐC TẾ -o0o ĐỀ TÀI HỒN THÀNH MƠN HỌC “CompTIA Security + Certification” Tìm hiểu Pfsense Firewall Giảng viên hướng dẫn: Sinh viên: Lớp: CNC6 Tháng 4, 2011 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Mục lục Mục lục I Giới thiệu Firewall pfSense II Cài đặt cấu hình Pfsense Cài đặt Pfsense 2.Cấu hình card mạng cho máy Pfsense Đặt IP thiết lập DHCP cấp phát vào bên mạng LAN Cấu hình Pfsense qua giao diện web - WebGUI Cài đặt Packages 12 Backup and Recovery 13 III Một số ứng dụng dịch vụ pfsense 14 Tính pfsense firewall .14 1.2 NAT 14 1.3 Firewall Rules 14 1.4 Firewall Schedules 16 1.5 Traffic shaper 17 1.6 Virtual IPs 20 Một số dịch vụ pfsense 21 2.1 Captive portal 21 2.2 DHCP Server 24 2.3 Load Balancer 25 VPN Pfsense 27 3.1 VPN PPTP 27 3.2 OpenVPN Site to Site 31 III Triển khai mơ hình mạng Font-BackEnd 36 IV Nhận xét 43 I Giới thiệu Firewall pfSense Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Tuy nhiên thành phần kể tương đối tốn Vì người dùng khơng muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên ngồi (Internet) PFSENSE giải pháp tiết kiệm hiệu tương đối tốt người dùng pfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật Bẳt đầu vào năm 2004, m0n0wall bắt đầu chập chững– dự án bảo mật tập trung vào hệ thống nhúng – pfSense có triệu download sử dụng để bảo vệ mạng tất kích cỡ, từ mạng gia đình đến mạng lớn của cơng ty Ứng dụng có cộng đồng phát triển tích cực nhiều tính bổ sung phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng Trong phần mềm miễn phí cịn có nhiều tính ấn tượng firewall/router miễn phí, nhiên có số hạn chế Pfsense hỗ trợ lọc địa nguồn địa đích, cổng nguồn cổng đích hay địa IP Nó hỗ trợ sách định tuyến hoạt động chế độ bridge transparent, cho phép bạn cần đặt pfSense thiết bị mạng mà khơng cần địi hỏi việc cấu hình bổ sung pfSense cung cấp network address translation (NAT) tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) Session Initiation Protocol (SIP) sử dụng NAT pfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phòng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phịng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN thực việc cân tải Tuy nhiên có hạn chế với chỗ thực cân lưu lượng phân phối hai kết nối WAN bạn định lưu lượng cho qua kết nối II Cài đặt cấu hình Pfsense Cài đặt Pfsense Trên máy tính cài Pfsense bỏ đĩa pfSense LiveCD Installer vào ổ CD/DVD để tiến hành cài đặt EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN • Màn hình Welcom to FreeBSD! • Chọn 99 để bắt đầu q trình cài đặt Pfsense lên máy tính EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN • Chọn Accept these settings để chấp nhận việc cài đặt Pfsense • Chọn Quick/Easy Install Custom Install để cài đặt vào ổ cứng Giao diện textmode pfsense sau cài xong EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN 2.Cấu hình card mạng cho máy Pfsense Enter an Option : Chọn số để bắt đầu thiết lập Interface Do you want to setup VLANs now -> Chọn N Dựa vào địa MAC để phân biệt card mạng Internal External Gõ le0 để thiết lập Interface LAN , le1 để thiết lập Interface WAN Nếu máy có card mạng WAN chọn thêm le2 để thiết lập Interface WAN2 Sau thiết lập đủ Interface bạn để trống ấn Enter hỏi “Enter the Optional …” Chọn Y để tiến hành q trình thiết lập card mạng Thơng tin card mạng pfsense sau thiết lập EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Đặt IP thiết lập DHCP cấp phát vào bên mạng LAN Thiết lập IP cho card mạng LAN chọn ,Nhập IP mà bạn muốn đặt Enter the new LAN subnet bit count : 24 Enter Chọn “Y” để thiết lập DHCP cấp phát IP cho máy Client (Network Internal) Tạo dải IP cấp phát cho Client (Như hình từ 10.0.0.10 > 10.0.0.100 ) Cấu hình Pfsense qua giao diện web - WebGUI Tại máy Client -> Vào trình duyệt gõ vào IP internal pfsense đăng nhập băng tài khoản mật mặc định : admin - pfsense EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN • Nhấn Next • Khai báo DNS Server cho máy Pfsense -> Next • Chọn múi cho pfsense > Next EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Trong giao diện WAN, chọn nhiều kết nối khác Static, Dynamic Host Configuration Protocol (DHCP), Point-to-Point Protocol PPPoE Chọn kết nối thích hợp cấu hình ISP bạn Cấu hình LAN hồn tồn đơn giản Nếu bạn chưa thực trước cài đặt, bạn cần thiết lập địa IP EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Chọn Conect to the network at my workplace > Next Chọn Virtual Provate Network connection > Next EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Điền tên cho kết nối VPN > Next Điền địa IP VPN Server > Next Điền tài khoản mật nhấn Connect EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN 3.2 OpenVPN Site to Site Tạo Share key cho pfsense Vào Diagnostics > Command: Tại Execute Shell command chạy lệnh : openvpn genkey secret /dev/stdout nhấn Execute EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Để tạo kết nối Site to site vào VPN / OpenVPN Tại Tab Server nhấn EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Protocol : Giao thức sử dụng cho VPN Dynamic IP: Cho phép Client kết nối IP động cấp phát DHCP Server Local Port: Cổng OpenVPN server lắng nghe.Mặc định cổng 1194 Address pool: Địa pfsense cấp phát cho Client Remote network: Khai báo mạng mà pfsense kết nối đến Cryptography: Lựa chọn phương thức mã hóa Authentication method: Shared Key Shared key: Nhập Shared Key pfsense LZO compression : Nén gói tin chuyển liệu sử dụng LZO Chọn Save Tạo rules cho phép kết nối OpenVPN WAN EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Trên pfsense2 Vào VPN/OpenVPN chọn Tab Client nhấn Protocol : Giao thức mà server sử dụng cho VPN Server Address : Địa Server OpenVPN Server port : Cổng kết nối cho thiết lập VPN pfSense1 Interface IP : Địa IP mà server gán cho Client Remote network:Dải IP Internal pfsense1 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Lựa chọn phương thức mã hóa điền Shared key pfsense1 vào nhấn Save EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN III Triển khai mơ hình mạng Font-BackEnd Mơ hình mạng Font/BackEnd giúp hệ thống mạng chống lại đợt công hacker giúp bảo vệ liệu Local an tồn dễ dang quản lí traffic mạng LAN Mơ hình có độ an tồn cao bù lại chi phí đầu tư cho tốn u cầu mơ hình mạng Front-Backend - Cấu hình dịch vụ Load Balancer cho WAN1 WAN2 - Public Web Server - Cho phép máy XP ngồi Internet Cấu hình dịch vụ Load Balancer Trên Pfsense1 vào Service / Load Balancer Nhấn để bắt đầu cấu hình EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Name : LoadBalancer Type : Gateway Behavior : Load Balancing Monitor IP Interface Name phải chọn tương tự Ví dụ : WAN2’s Gateway chọn WAN2 nhấn Add to pool Chọn Save Vào Status / Load Balancer để xem trạng thái dịch vụ EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Public WebServer Trên Pfsense vào Firewall / NAT: Port Forward Nhấn để thêm NAT rules External address : Chon Interface address ,nếu bạn muons vào web mạng LAN ,bạn có chon any Protocol : TCP External Port range : HTTP NAT IP : Địa Web Server Chọn Auto-add a firewall rule to permit traffic through this NAT rule > Save EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Cho phép máy XP2 Internet Trên pfsense vào Firewall / Aliases EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Tạo Aliase với tên Pfsense2 Tạo rule cho phép Pfsense Internet Action : Pass Interface: LAN EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Protocol : any Source : Single host or ailas > Pfsense2 Destination : any Gateway : default Trên máy Pfsense tạo rules cho phép máy mạng LAN duyệt web Action : Pass EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Interface : LAN Protocol : TCP Source : Lan subnet Destination : any Destination port range : HTTP Chọn save kiểm tra EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN IV Nhận xét Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành phần kể tương đối tốn Vì người dùng khơng muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên ngồi (Internet) Pfsense giải pháp tiết kiệm hiệu tương đối tốt người dùng Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm Pfsense khơng địi hỏi phải cao phần mềm Chúng ta cần máy tính P3, Ram 128, HDD 1GB đủ để dựng nên tường lửa Pfsense bảo vệ mạng bện pfSense ứng dụng có chức định tuyến vào tường lửa mạnh ứng dụng cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật.Phần mềm thiết kế nhỏ gọn, dễ dàng cấu hình thơng qua giao diện web đặc biệt có khả cài đặt thêm gói dịch vụ để mở rộng tính Tường lửa pfSense đáp ứng mạng doanh nghiệp nhỏ dễ dàng quản lý cung cấp nhiều tính để sản phẩm thương mại Mặc dù số tính sử dụng doanh nghiệp lớn cịn nhiều hạn chế, tơi khơng khuyên bạn sử dụng môi trường lớn Với cộng đồng phát triển tích cực ứng dụng này, dự án nên giải vấn đề tính bổ sung Bạn hồn tồn bổ sung pfSense vào danh sách giải pháp firewall/router mạng phát triển, giá thành thấp miễn phí ... gồm mơ tả ngắn gọn chức Để cài đặt gói phần mềm, nhấp vào "Add" biểu tượng bên phải trang Sau hoàn thành cài đặt , gói hiển thị "Installed packages" pfSense Package Manager EBOOKBKMT.COM – CỘNG... triển tích cực ứng dụng này, dự án nên giải vấn đề tính bổ sung Bạn hồn tồn bổ sung pfSense vào danh sách giải pháp firewall/router mạng phát triển, giá thành thấp miễn phí ... Router Cisco, dùng tường lửa Microsoft ISA… EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Tuy nhiên thành phần kể tương đối tốn Vì người dùng khơng muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống