lOMoARcPSD|17838488 TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỀU VỀ BẢO MẬT VÀ TRIỂN KHAI TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP Ngành: CÔNG NGHỆ THÔNG TIN Chun ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG Sinh viên thực hiện: Nguyễn Văn Phát MSSV: 1811060564 Trần Cao Đăng Duy MSSV: 1811062591 Phạm Việt Cường MSSV: 1811060921 Giáo viên hướng dẫn: ThS Nguyễn Lê Văn TP HỒ CHÍ MINH – 12/2021 lOMoARcPSD|17838488 TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỀU VỀ BẢO MẬT VÀ TRIỂN KHAI TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP Ngành: CƠNG NGHỆ THƠNG TIN Chun ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG Sinh viên thực hiện: Nguyễn Văn Phát MSSV: 1811060564 Trần Cao Đăng Duy MSSV: 1811062591 Phạm Việt Cường MSSV: 1811060921 Giáo viên hướng dẫn: ThS Nguyễn Lê Văn TP.HỒ CHÍ MINH – 12/2021 LỜI CAM ĐOAN Nhóm chúng em xin cam đoan nô ̣i dung của đồ án chuyên ngành đề tài “Tìm hiểu bảo mật triển khai tường lửa pfsense cho mạng doạnh nghiệp” sản phẩm của nhóm chúng em Những vấn đề được trình bày đồ án kết quả của trình I lOMoARcPSD|17838488 học tâ ̣p, nghiên cứu, làm viê ̣c của nhóm Tất cả tài liê ̣u tham khảo có xuất xứ rõ ràng được trích dẫn hợp pháp Nhóm chúng em xin chịu hồn tồn trách nhiê ̣m cho lời cam đoan của mình TP.Hồ Chí Minh, ngày tháng năm 2021 Người cam đoan Nguyễn Văn Phát Phạm Việt Cường Trần Cao Đăng Duy II lOMoARcPSD|17838488 LỜI CẢM ƠN Đầu tiên, nhóm chúng em xin gửi lời cảm ơn chân thành đến giảng viên Trường Đại học Công Nghệ TP.HCM – HUTECH, đặc biệt quý thầy, cô thuộc khoa Công Nghệ Thông Tin nhiệt tình giảng dạy truyền đạt cho em những kiến thức Công Nghệ Thông Tin vô bổ ích thời gian thực hành báo cáo Nhóm chúng em xin chân thành bày tỏ lịng biết ơn đến Thầy Ths Nguyễn Lê Văn người hết lòng giúp đỡ tạo mọi điều kiện tốt nhất cho nhóm chúng em hồn thành báo cáo Thầy hướng dẫn rất tận tình, giải đáp những thắc mắc hướng em tiến độ để hoàn thành báo cáo cách tốt nhất Cuối cùng, nhóm chúng em xin gửi lời cảm ơn đến gia đình, anh chị bạn hỗ trợ cho em rất nhiều suốt trình học tập, nghiên cứu thực đề tài cách hồn chỉnh Nhóm chúng em xin kính chúc Ban Giám Hiệu nhà trường quý Thầy Cô sức khỏe, vui vẻ đạt nhiều thành công công việc TP.Hồ Chí Minh, ngày tháng năm 2021 Y Mục Lục YLỜI CAM ĐOA LỜI CẢM ƠN III DANH MỤC HÌNH ẢNH VI CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý chọn đề tài .1 1.2 Nội dung báo cáo .1 CHƯƠNG 2: CƠ SỞ LÝ THUYẾT III Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 2.1 Tổng quan cộng nghệ firewall 2.1.1 Định nghĩa firewall 2.1.2 Chức firewall .3 2.1.3 Cấu trúc firewall .3 2.1.4 Phân loại firewall 2.2 Giới thiệu tường lửa pfsense 2.3.1 pfSense Aliases 2.3.2 NAT 2.3.3 Firewall Rules 2.3.4 Firewall Schedules 2.4 Một số dịch vụ Pfsense .6 2.4.1 DHCP Server .6 2.4.2 Cài đặt Packages .6 2.4.3 Cấu hình NTP Server cho Pfsense 2.4.4 Cài đặt Failover Load Balancing cho Ffsense 2.4.5 High Availability Sync CARP .7 2.5 Cài đặt Pfsense 2.6 Triển khai Pfsense 15 2.6.1 Tính Pfsense 15 2.6.2 Một số dịch vụ Pfsense .19 CHƯƠNG 3: KẾT LUẬN 45 3.1 Kết đạt 45 3.2 Những mặt hạn chế .45 3.3 Hướng phát triển tương lai 45 TÀI LIỆU THAM KHẢO .46 DANH MỤC HÌNH ẢN IV Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 1: Mơ hình tường lửa pfsense .5 Hình 2: Màn hình welcome to pfsense Hình 3: Hệ thống hỏi có muốn tạo VLANs không, chọn “N” Hình 4: Chọn card mạng WAN thứ nhất, chọn card “ em1” Hình 5: Chọn card cho mạng LAN bên “em0” Hình 6: Chọn card mạng cho WAN2 “em2” .10 Hình 7: Sau gán xong, chọn “y” 10 Hình 8: Cài đặt Interface (card mạng) Chọn mục 11 Hình 9: Cài đặt IP cho mạng LAN, chọn “2” 11 Hình 10: Chọn địa Ipv4 “10.10.10.10” 12 Hình 11: Chọn “24” Subnetmask 12 Hình 12: Hệ thống hỏi có nên kích hoạt chức DHCP không ? Chọn “y” đồng ý Pfsese DHCP Server 13 Hình 13: Gán Range Ipv4 cần cấp cho mạng LAN “10.10.10.100” kết thúc “ 10.10.10.200” .13 Hình 14: Hệ thống hỏi có cấu hình Pfsense làm Webserver không, chọn “n” không đồng ý Nếu đồng ý chức tái cách cài đặt Virtual Server 14 Hình 15: Cài đặt hồn tất 14 Hình 16: Giao diện Aliases 15 Hình 17: Giao diện NAT .15 Hình 18: Giao diện Rules 16 Hình 19: Giao diện Edit Rules 16 Hình 20: Giao diện Firewall Schedules .17 Hình 21: Giao diện Edit Firewall Schedules .17 Hình 22: Tạo ví dụ lịch học tuần Firewall Schedules .18 Hình 23: Kết ví dụ Firewall Schedules .18 Hình 24: Giao diện DHCP Server .19 Hình 25: Giao diện Package Manager .20 Hình 26: Thử cài đặt Package Manager 20 Hình 27: Đã cài đặt thành công 21 Hình 28: Giao diện Web Pfsense 22 Hình 29: Pfsense Dashboard 22 Hình 30: NTP .23 Hình 31: Settings NTP 24 Hình 32: Kiểm tra Sevices NTP 24 Hình 33: Kết NTP hoạt động 25 Hình 34: Giao diện đồ họa Dashboard Pfsense 26 V Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 35: Cấu hình Interface WAN thành WAN1 .26 Hình 36: Cấu hình OTP thành WAN2 27 Hình 37: Bỏ chọn Block Private Networks để bỏ chặn traffic từ hệ thống mạng nội .27 Hình 38: Sau cấu hình tất Interface .28 Hình 39: Giao diện Gateways để cấu hình Monitor IP 28 Hình 40: Cấu hình Monitor IP cho WAN1 29 Hình 41: Cấu hình Monitor IP cho WAN2 29 Hình 42: Kết sau cấu hình 30 Hình 43: Giao diện Gateway Groups 30 Hình 44: Tạo Groups 31 Hình 45: Giao diện Firewall Rules .31 Hình 46: Chỉnh sửa Gateway cho mạng LAN 32 Hình 47: Kết sau chỉnh sửa 32 Hình 48: Kết LoadBalancer 33 Hình 49: Traffic Graph .33 Hình 50: Tạo Group WAN1 Failover 34 Hình 51: Tạo Group WAN2 Failover 34 Hình 52: Giao diện sau tạo Group 35 Hình 53: Tạo Rules WAN1 Failover cho card mạng LAN 36 Hình 54: Tạo Rules WAN2 Failover cho card mạng LAN 37 Hình 55: Bảng liệt kê sau thêm Rules 37 Hình 56: Gán DNS Server cho Gateway 38 Hình 57: Kết 38 Hình 58: Cấu hình Pfsense 39 Hình 59: Cấu hình Pfsense 39 Hình 60: Giao diện cài đặt High Availability Sync CARP 40 Hình 61: Giao diện cài đặt High Availability Sync CARP 40 Hình 62: Giao diện cài đặt High Availability Sync CARP 41 Hình 63: Cấu hình IP ảo cho LAN WAN .42 Hình 64: Thực trình 43 Hình 65: Thực trình 43 VI Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 VII Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý chọn đề tài Trong thời kỳ nhân loại người phát triển cơng nghiệp hóa, đại hóa đất nước, ngành công nghệ thông tin của đất nước ta có những thành cơng vượt bậc Đi đơi với phát triển công nghệ thông tin, mạng lưới sở hạ tầng mạng máy tính truyền thông được nâng cấp, tạo điều kiện cho dịch vụ mạng gia tăng, trao đổi thông qua mạng phổ biến toàn cầu Nhưng với phát triển mạnh mẽ của hệ thống mạng máy tính, đặc biệt phát triển rộng khắp nơi của hệ thống mạng Internet, vụ tấn công phá hoại lấy cắp dữ liệu mạng diễn ngày nhiều ngày nghiêm trọng Chúng xuất phát từ rất nhiều mục đích khác để đánh cắp dữ liệu quan trọng, truyền mã độc hay vì những mâu thuẫn, cạnh tranh… tập trung lại gây hậu quả rất nghiêm trọng cả vật chất uy tín của doanh nghiệp sử dụng mạng Chính vì thấy tầm quan trọng của vấn đề bảo mật mạng máy tính của doanh nghiệp nên chúng em chọn đề tài chọn đề tài “TÌM HIỂU VỀ BẢO MẬT VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP” làm đồ án chuyên ngành của nhóm chúng em Nội dung đồ án gồm chương Chương 1: Tổng quan đề tài Chương 2: Cơ sở lý thuyết Chương 3: Kết luận 1.2 Nội dung báo cáo Chương 1: Tổng quan đề tài Chương 2: Cơ sở lí thuyết - Tổng quan công nghệ firewall giới thiệu pfsense - Cài đặt pfsense - Triển khai pfsense Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Chương 3: Kết luận Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 46: Chỉnh sửa Gateway cho mạng LAN Sau áp dụng thay đổi, bạn thấy gateway được hiển thị hình Hình 47: Kết quả sau chỉnh sửa Như hoàn thành cấu hình LoadBanlancer, tiếp theo test trình hoạt động của dịch vụ Bước : Kiểm tra LoadBalancer Để kiểm tra LoadBalancer, vào Status menu bấm vào ‘Gateway’ để chắn cả Gateways online Gateways offline 33 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 48: Kết quả LoadBalancer Mục ‘Traffic Graph’ menu ‘ Status’ cho người quản trị thấy lưu lượng Traffic qua Gateway theo thời gian thực Hình 49: Traffic Graph Bước : Cài đặt cấu hình Failover PfSense Để cấu hình Failover Pfsense, cần tạo những Tier khác Di chuyển đến menu ‘System’ chọn ‘Routing’ Tại thấy Gateways được gán cho LoadBalancer, vì tiến hành tạo nhóm khác dành cho Failover Chọn ‘Group’ System: Gateway Groups Ở tạo Group,1 Group cho WAN1 Group cho WAN2 Nếu WAN1 mất kết nối hệ thống tự động chuyển sang WAN2, ngược lại 34 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Tiến hành tạo nhóm tên ‘WAN1Failover’ , chọn WAN1 với Tier1 WAN2 với Tier2, nếu WAN1 hỏng chuyển sang WAN2 Ở Trigger Lever chọn Packet Loss, bất kì gói tin ping đến DNS khơng có tín hiệu trả lời tự động chuyển sang WAN2 Hình 50: Tạo Group WAN1 Failover Làm tương tự hướng dẫn WAN2 để tạo ‘WAN2Failover’ Hình 51: Tạo Group WAN2 Failover Như có Group, Group cho LoadBanlancing, Group cho Failover 35 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 52: Giao diện sau tạo Group Bước 7: Cấu hình Firewall Rules cho Failover Bây giờ, cần gán Firewall Rules cho Failover Để cấu hình Firewall Rules di chuyển đến menu ‘Firewall’ chọn ‘Rules’ Ở Lan phải add thêm rule dành cho Failover Click vào biểu tượng Add phía bên phải để thêm vào Rule : Thay đổi sau : Interface = LAN Protocol = any Source = LAN net Description = mô tả cho Failover 36 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 53: Tạo Rules WAN1 Failover cho card mạng LAN Ở Display Features của Gateway , chọn ‘WAN1Failover’ save lại Làm tương tự để cấu hình WAN2Failover 37 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 54: Tạo Rules WAN2 Failover cho card mạng LAN Sau thêm vào những Rule trên, thấy những rule liệt kê dành cho LoadBanlancer Failover Hình 55: Bảng liệt kê sau thêm Rules Gán tối thiểu DNS Server cho Gateway click apply changes để áp dụng thay đổi Từ menu ‘System’, chọn ‘ General Setup’ kiểm tra với DNS tương ứng, mà gán cho Gateway 38 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 56: Gán DNS Server cho Gateway Chọn menu ‘Status’ click vào ‘Gateway’ để kiểm tra tình trạng Hình 57: Kết quả Như hoàn thành cài đặt, cấu hình Failover cho pfSENSE Tổng kết : PfSense LoadBalancer Failover được sử dụng hộ gia đình, mạng doanh nghiệp… nếu bạn có từ kết nối Internet của ISP trở lên Thay vì phải trả tiền cho Router chuyên nghiệp với chức LoadBalancer, dùng Pfsense để thay thế rất hiệu quả 39 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 2.6.2.5 High Availability Sync CARP Cấu hình hoàn chỉnh của máy Pfsense 1: Hình 58: Cấu hình Pfsense Cấu hình hoàn chỉnh của máy Pfsense 2: Hình 59: Cấu hình Pfsense 40 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Sau cấu hình xong tiến hành cấu hình window XP chức High Availability Sync CARP : Hình 60: Giao diện cài đặt High Availability Sync CARP Hình 61: Giao diện cài đặt High Availability Sync CARP 41 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 62: Giao diện cài đặt High Availability Sync CARP Còn những cài đặt cấu hình để chức high availability sync cho máy chủ đồng thời cài đặt máy Pfsense lại backup đề phòng trường hợp máy chủ mất thì máy phụ lên thay thế mấy chủ trì hoạt động 42 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 63: Cấu hình IP ảo cho LAN WAN Còn cấu hình địa IP ảo cho LAN & WAN: Tác dụng của địa ảo tránh trường router chết thì máy đến địa IP dừng lại có đia mạng LAN ảo thì khác sau máy đến địa chỉa ip ảo xét xem địa chi ip router hoạt đọng ko nếu không thì chuyển qua địa ip lại của router 43 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Hình 64: Thực trình Ở enable DHCP server interface của LAN lên để cấu hình Hình 65: Thực trình Ở phần gateway mặc định Pfsense sử dụng card mà cấp làm gateway Tuy nhiên nếu muốn chọn ip khác để làm gateway thì đặt vào 44 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 Ngoài để tránh trường hợp router trang cấp DHCP thì cấu hình Failover peer IP điền địa của router backup vào để tránh trường hợp cấu hình high availability sync cấu hình xong bên router backup tự hiểu phải trả cho router master Sau cấu hình bước router chết router lên làm chủ vì vẫy vào mạng router sống lại thì quyền làm chủ được chuyển lại cho router router trở vị trí backup của mình 45 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 CHƯƠNG 3: KẾT LUẬN 3.1 Kết đạt - Nắm được quy trình xây dựng hệ thống Pfsense - Hiểu được cách thức tích hợp phát triển hệ thống Pfsense - Nắm được tình hình an toàn an ninh mạng yêu cầu hệ thống tường lửa doanh nghiệp, công nghệ sản phẩm tường lửa thị trường bảo mật - Bổ sung thêm số dịch vụ bảo mật khác hổ trợ cho tường lửa 3.2 Những mặt hạn chế - Do phát triển FreeBSD, hệ thống gặp nhiều khó khăn việc tương thích với số thiết bị phần cứng việc triển khai đồ án - Tính cân tải được phát triển rất tốt chưa thực tối ưu với những yêu cầu phức tạp được đặt - Với lần nghiên cứu chúng em chưa hiểu hết Pfsense 3.3 Hướng phát triển tương lai - Với những nhu cầu thiết thực của doanh nghiệp nay, sản phẩm cần được phát triển nhiều nữa, bổ sung tính mới, dịch vụ thử nghiệm độ ổn định hiệu xử lý của sản phẩm - Trở thành sản phẩm được sử dụng có tính thương mại sử dụng mã nguồn mở 46 Downloaded by hây hay (vuchinhhp3@gmail.com) lOMoARcPSD|17838488 TÀI LIỆU THAM KHẢO [1] https://docs.netgate.com/manuals/pfsense/en/latest/the-pfsense-documentation.pdf [2] Cisco.Press.CCSP.SNPA.Official.Exam.Certification.Guide.3rd.Edition.Apr.06 [3] pfSense forum: http://forum.pfsense.org/ [4] http://pfsense.trendchiller.com/transparent_firewall.pdf [5] http://files.pfsense.org/mirror/tutorials/openvpn/pfsense-ovpn.pdf [6] pfSense Handbook: http://doc.m0n0.ch/handbook/index.html 47 Downloaded by hây hay (vuchinhhp3@gmail.com)