HỌC VIỆN AN NINH NHÂN DÂN KHOA -AN NINH THÔNG - TIN  BÀI BÁO CÁO MÔN AN TỒN MẠNG MÁY TÍNH CHỦ ĐỀ : Triển khai IDS Snort Pfsense HỌC PHẦN: AN TỒN MẠNG MÁY TÍNH LỚP: D51-ATTT NHÓM BÁO CÁO: PHÙNG NGỌC MINH HÀ NỘI, 2022 MỤC LỤC LỜI MỞ ĐẦU PHẦN I TỔNG QUAN VỀ PFSENSE Pfsense gì? Một số tính Pfsense: Cài đặt Pfsense: Lợi ích Pfsense: .16 PHẦN II GIỚI THIỆU VỀ IDS SNORT .17 Giới thiệu IDS Snort: 17 Kiến trúc Snort: 19 Tập luật Snort: 21 PHẦN III THỰC HÀNH CÀI ĐẶT IDS SNORT TRÊN PFSENSE 25 Cài đặt Snort Pfsense: 25 Demo công vào Pfsense: .30 PHẦN IV KẾT LUẬN 35 NGUỒN THAM KHẢO 36 LỜI MỞ ĐẦU Sự phá t triể n củ a cô ng nghệ , đ ặc biệ t là#Internet đã%giú p cu ộ c s ố'ng củ a ngườ#i trở nê n thuậ n tiệ n và# d ễ+ dà#ng Nh ờ# có h ệ th ố'ng mạng Internet ta trao đổ i, lưu trữ% thô ng tin, k ế't n ố'i v i t ấ't c ả m ọi ngườ#i trê n thế'giớ i và#hà#ng loạt lợi í ch c Tuy nhiê n tì#nh hì#nh thực tế' hiệ n đặt nhiề3u thá ch thứ c đế'n từ# vấ'n đề3bả o m ậ t, b ả o vệ hệ thố'ng mạng Internet đặc biệ t là#cá c doanh nghiệ p, cô ng ty trê n th ế'gi i Để bả o vệ hệ thố'ng mạng thì#ta có nhiề3u giả i phá p sử dụng router cisco, dù#ng firewall ng, firewall mề3m củ a microsoft nh ISA, … Nh ữ%ng thiế't bị trê n rấ't tố'n kinh phí vì#vậ y đố'i vớ i cá c doanh nghi ệ p v ừ#a và#nhỏ thì#giả i phá p firewall mề3m mã%nguồ3n mở là#mộ t ph ương n hi ệ u và#ứ ng dụng Pfsense chí nh là#mộ t ví dụ điể n hì#nh Do em xin ch ọn chủ đề3nghiê n u về3“ ” để tì#m hiể u thê m về3ứ ng dụng tườ#ng Triểnlử a nà#ykhaivà#IDScá chSnortthứ c cà#itrênđặPfsensetvà#sử dụng cô ng cụ Snort trê n tườ#ng lử a Pfsense PHẦN I TỔNG QUAN VỀ PFSENSE -1.PfsensePfsenselà#làmộ tgì? ứ ng dụng có c định tuyế'n và#o tườ#ng lử a mạng và#miễ+n phí dựa trê n nề3n tả ng FreeBSD (FreeBSD là#m ộ t hệ điề3u hà#nh kiể u Unix phá t triể n từ#Unix theo nhá nh phá t tri ể n c ủ a BSD dựa trê n 386BSD và#4.4BSD) cung cấ'p vớ i mục đí ch s d ụng là#m định tuyế'n (routing) và#tườ#ng lử a (firewall) rấ't mạnh Pfsense qu ả n lý hoà#n toà#n qua giao diệ n web BắGt đầ3u và#o năm 2004, m0n0wall mớ i bắGt đầ3u chậ p chữ%ng– đâ y là#mộ t dự n b ả o m ậ t t ậ p trung và#o cá c h ệ thố'ng nhú ng – Pfsense đã%có triệ u download và#đ ược s d ụng đ ể b ả o vệ cá c mạng tấ't kí ch cỡ%, từ# cá c mạng gia đì#nh đế'n cá c m ạng l n c ủ a củ a cá c ng ty ỨMng dụng nà#y có mộ t cộ ng đ ồ3ng phá t tri ể n r ấ't tí ch cực và#nhiề3u tí nh bổ sung mỗ+i phá t hà#nh nh ằNm c ả i thiệ n nữ%a tí nh bả o mậ t, ổ n định và#khả linh hoạt củ a - Pfsense dựa trê n FreeBSD và#giao thứ c Common Address Redundancy Protocol (CARP) củ a FreeBSD, cung cấ'p kh ả d ự phò#ng bằNng cá ch cho phé p cá c n trị viê n nhó m hai nhi ề3u t ườ#ng l a và#o mộ t nhó m tự độ ng chuyể n đổ i dự phị#ng Vì#nó hỗ+trợ nhiề3u kế't nố'i mạng diệ n rộ ng (WAN) nê n thực hiệ n việ c câ n bằNng tả i - Pfsense bao gồ3m nhiề3u tí nh đặc biệ t là#firewall trạng thá i mà# ng ta vẫ+n thấ'y trê n cá c thiế't bị tườ#ng lử a ho ặc router th ương mại lớ n, chẳRng hạn giao diệ n ngườ#i dù#ng (GUI) trê n nề3n Web t ạo n lý mộ t cá ch dễ+dà#ng Trong phầ3n mề3m mi ễ+n phí nà#y cị#n có nhiề3u tí nh ấ'n tượng đố'i vớ i firewall/router miễ+n phí , nhiê n cũ%ng có mộ t số'hạn chế' - Pfsense hỗ+trợ lọc theo địa nguồ3n, đí ch, cũ%ng port nguồ3n hay port đí ch hay địa IP đồ3ng thờ#i cũ%ng hỗ+trợ định tuyế'n và#có thể hoạt độ ng chế'độ bridge hay transparent, cho phé p ta cầ3n đặt Pfsense giữ%a cá c thiế't bị mạng mà#khơ ng cầ3n đị#i h ỏ i vi ệ c cấ'u hì#nh bổ sung Pfsense cung cấ'p chế'NAT và#tí nh chuy ể n tiế'p cổ ng, nhiê n ứ ng dụng nà#y vẫ+n cò#n mộ t số'hạn chế'v i Pointto-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và#Session Initiation Protocol (SIP) sử dụng NAT - Đặc điể m quan trọng là#cấ'u hì#nh để cà#i đặt sử dụng phầ3n mề3m Pfsense khơ ng đò#i hỏ i cao Chú ng ta cầ3n m ộ t má y tí nh P3, Ram 128 MB, HDD 1GB cũ%ng đủ để dựng tườ#ng lử a Pfsense Tuy nhiê n đ ặc thù# Pfsense là#tườ#ng lử a ngăn cá c nguy hại giữ%a mạng WAN và#mạng LAN nê n má y cà#i đặt Pfsense yê u cầ3u tố'i thiể u card m ạng Mô hình triển khai hệ thống với Pfsense cho doanh nghiệp vừa nhỏ Một số tính Pfsense: a, Aliases: - Trong Pfsense, firewall khô ng thể có rule gồ3m nhiề3u nhó m IP nhó m port Vì#vậ y, điề3u ta cầ3n là#m là#gom nhó m cá c IP, Port URL và#o thà#nh Aliases Mộ t Aliases sẽ%cho phé p thay thế'1 host, dả i mạng, nhiề3u IP riê ng biệ t hay nhó m port, URL, … Aliases giú p ta ti ế't kiệ m phầ3n lớ n thờ#i gian nế'u bạn sử dụng mộ t cá ch chí nh xá c thay vì#sử dụng hà#ng loạt rule để thiế't lậ p cho nhiề3u địa ch ỉ , ta sử dụng rule nhấ't để gom nhó m lại - Aliases là#tí nh vô cù#ng hiệ u củ a Pfsense Mộ t Aliases định nghĩ%a rấ't nhiề3u port mộ t host nhiề3u dã%y IP Mộ t ví dụ đơn giả n nế'u ta muố'n block IP Facebook – Facebook là#m ộ t dã%y IP rấ't nhiề3u lớ p mạng, ta khô ng thể là#m từ#ng rule trê n Firewall đ ể ch ặn Facebook, là#m ta mấ't rấ't nhiề3u thờ#i gian, là#m chậ m h ệ th ố'ng, là#m khó khăn cho việ c n lý Ta cầ3n tạo mộ t Aliases có tê n là#IP_Facebook a mộ t dã%y IP facebook Sau trê n Firewall ta ch ỉ c ầ3n là#m m ộ t rule là#chặn Aliases IP_Facebook thì#sẽ%block facebook.com - Để và#o Aliases củ a Pfsense,Thiếtlậpta và#oFirewall:FirewallAliases- >Aliases Cá c thà#nh phầ3n Aliases: + Host: tạo nhó m cá c địa IP + Network: tạo nhó m cá c mạng + Port: Cho phé p gom nhó m cá c port khơ ng cho phé p t ạo nhó m cá c protocol Cá c protocol sử dụng cá c rule -b,Là#Firewallnơilưu Rulestrữ%tấ't cá c luậ t ra, và#o trê n pfsense Để và#o Rules củ a pfSense, ta và#o Firewall - > Rules Mặc định Pfsense cho phé p m ọi kế't nố'i và#o hệ thố'ng, ta phả i tạo cá c rules để n lý mạng bê n Firewall - Mộ t số'lựa chọn Destination và#Source + Any: Tấ't + Single host or alias: Mộ t địa ip là#mộ t bí danh + Lan subnet: Đườ#ng mạng Lan + Network: địa mạng + Lan address: Tấ't địa mạng nộ i + Wan address: Tấ't địa mạng bê n ngoà#i + PPTP clients: Cá c clients thực hiệ n kế't nố'i VPN sử dụng giao th ứ c PPTP + PPPoE clients: Cá c clients thực hiệ n kế't nố'i VPN sử dụng giao thứ c PPPoE hiệ n NAT 1:1 là#ta phả i có IP public Khi thực hi ệ n NAT 1:1 thì#IP private nat sẽ%l n ngồ#i bằNng IP public tương ứ ng và#cá c port cũ%ng tương ứ ng trê n IP public - Pfsense hỗ+trợ NAT Outbound mặc định vớ i Automatic outbound NAT rule generation Để cấ'u hì#nh thủ ng, ta chọn Manual Outbound NAT rule generation (AON - Advanced Outbound NAT) và#xó a cá c rule m ặc định củ a Pfsense đồ3ng thờ#i cấ'u hì#nh thê m cá c rule outbound - Ngồ#i kiể u NAT: port forward, 1:1 và#outbound, Pfsense cò#n hỗ+trợ NAT Npt Phương thứ c nà#y thực hiệ n NAT đố'i vớ i Ipv6 -d,Đâ yTrafficlà#tí nhshaper:nănggiú p n trị mạng tinh nh, tố'i ưu hó a đườ#ng truyề3n pfsense Trong pfsense, đ ườ#ng truyề3n băng thô ng sẽ% chia cá c hà#ng c Có loại hà#ng pfsense: + Hà#ng qACK: dà#nh cho cá c gó i ACK (gó i xá c nh ậ n) giao thứ c TCP nhữ%ng ứ ng dụng chí nh cầ3n hỗ+trợ HTTP, SMTP … luồ3ng thô ng tin ACK tương đố'i nhỏ lại rấ't cầ3n thiế't để trì#tố'c độ lưu thơ ng lớ n + Hà#ng qVoIP: dà#nh cho nhữ%ng loại lưu thô ng cầ3n đả m bả o độ trễ+ nghiê m ngặt, thườ#ng dướ i 10ms VoIP, video conferences + Hà#ng qGames: dà#nh cho nhữ%ng loại lưu thô ng cầ3n đả m bả o độ trễ+ rấ't chặt chẽ%, thườ#ng dướ i 50ms SSH, game online … + Hà#ng qOthersHigh: dà#nh cho cá c loại ứ ng dụng quan trọng có tí nh tương tá c rấ't cao, cầ3n đá p ứ ng nhanh, cầ3n độ trễ+thấ'p như: NTP, DNS, SNMP … + Hà#ng qOthersDefault: dà#nh cho cá c giao thứ c ứ ng dụng quan trọng có tí nh tương tá c vừ#a, cầ3n độ đá p ứ ng nhấ't định HTTP, IMAP … + Hà#ng qOthersLow: dà#nh cho cá c giao thứ c ứ ng dụng quan trọng có tí nh tương tá c thấ'p SMTP, POP3, FTP + Hà#ng qP2P: dà#nh cho cho cá c ứ ng dụng khô ng tương tá c, khô ng cầ3n đá p ứ ng nhanh bittorrent - Mặc định pfsense, cá c hà#ng sẽ%có độ ưu tiê n từ#thấ'p đế'n cao: qP2P < qOthersLow < qOthersDefault < qOthersHigh < qGames < qACK < qVoIP - Ta nh lại độ ưu tiê n priority cũ %ng dung lượng băng thô ng bandwidth mặc định mà#cá c hà#ng chiế'm để nâ ng cao băng thô ng cho cá c hà#ng tương ứ ng - Pfsense cũ%ng hỗ+trợ giớ i hạn tố'c độ download/upload củ a IP dả i IP vớ i ta thiế't lậ p thô ng số'tại phầ3n limiter Firewall Pfsense hỗ+trợ chặn nhữ%ng ứ ng dụng chạy trê n layer – application mơ hì#nh OSI sip, ftp, http … phầ3n Layer -e,Mộ tVPN:tí nh c khô ng thể thiế'u đố'i vớ i cá c gateway là#VPN VPN (Virtual Private Network) là#mộ t kiể u kế't nố'i cho phé p cá c má y tí nh truyề3n thơ ng vớ i thơ ng qua mộ t mô i trườ#ng chia sẻ mạng Internet vẫ+n đả m bả o tí nh riê ng tư và#bả o mậ t dữ%liệ u Để cung cấ'p kế't nố'i giữ%a cá c má y tí nh, cá c gó i thơ ng tin bao bọc bằNng mộ t header có a nhữ%ng thơ ng tin định tuyế'n, cho phé p dữ%liệ u gử i từ#má y truyề3n qua mô i trườ#ng mạng chia sẻ và#đế'n má y nhậ n, truyề3n trê n cá c đườ#ng ố'ng riê ng gọi là#tunnel Để bả o đả m tí nh riê ng tư và#bả o mậ t trê n mô i trườ#ng chia sẻ nà#y, cá c gó i tin mã%hố và#chỉ giả i mã%vớ i nhữ%ng khó a thí ch hợp, ngăn ngừ#a trườ#ng hợp “trộ m” gó i tin trê n đườ#ng truyề3n Chứ c nà#y củ a pfSense đá nh giá là#rấ't tố't - Pfsense cũ%ng hỗ+trợ VPN qua giao thứ c: IPSec, L2TP, PPTP và# OpenVPN -f,PfsenseMoitorcó băngrấ'tnhiề3uthơng:plugin hỗ+trợ monitor băng thô ng Sau đâ y là#1 số'plugin thô ng dụng: - RRD Graphs