TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN VIỆN CÔNG NGHỆ THÔNG TIN VÀ KINH TẾ SỐ ĐỀ TÀI: BẢO VỆ AN TỒN MẠNG SỬ DỤNG FIREWALL PFSENSE Nhóm sinh viên thực hiện: Nhóm Lớp học phần : Mạng truyền thông (122)_01 Giáo viên hướng dẫn : Ths Trần Thanh Hải Hà Nội, ngày 01 tháng 10 năm 2022 TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN VIỆN CÔNG NGHỆ THÔNG TIN VÀ KINH TẾ SỐ ĐỀ TÀI: BẢO VỆ AN TỒN MẠNG SỬ DỤNG FIREWALL PFSENSE Danh sách nhóm sinh viên thực STT Họ tên Vương Thanh Huyền Phạm Thị Tin Trịnh Thị Ánh Tuyết Dương Hải Yến Mã sinh viên 11205567 11203931 11208362 11208545 Hà Nội, ngày 01 tháng 10 năm 2022 NHĨM – BẢO VÊ AN TỒN MẠNG BẰNG FIREWALL PFSENSE Mc lc Lí chọn đề tài Tổng quan Firewall 2.1 Tại phải sử dng Firewall cho mạng máy tính kết nối Internet 2.2 Các loại Firewall 2.2.1 Static packet-filtering firewall 2.2.2 Application-level firewall 2.2.3 Circuit-level firewall 2.2.4 Stateful inspection firewall 2.3 Các mô hình triển khai tường lửa Tổng quan PfSense 10 3.1 PfSense gì? 10 3.2 Một số phương pháp triển khai thực tế 12 3.3 Tính Firewall PfSense 12 3.3.1 Aliases 12 3.3.2 NAT 13 3.3.3 Rules 14 3.3.4 Schedules 15 3.3.5 Traffic shaper 16 3.3.6 Virtual Ips 17 4.3 Thực hành 18 4.1 Luật cho tồn máy mạng lan truy cập internet 20 4.2 Luật chặn toàn máy mạng LAN truy cập vào internet 21 4.3 Chặn máy truy cập vào internet 23 4.4 chặn truy cập vào trang web c thể 24 Kết luận 27 NHÓM – BẢO VÊ AN TOÀN MẠNG BẰNG FIREWALL PFSENSE 1.Lí chọn đề tài Hiện nay, mạng Internet ngày phát triển cách rộng rãi lứa tuổi sử dụng phần sống Bên cạnh lợi ích tuyệt vời xem video, hình ảnh, xem phim, tra cứu thơng tin… có số điểm bất lợi gây nguy bị xâm nhập bất hợp pháp, đánh cắp liệu cá nhân gây xao nhãng lúc học tập, làm việc Do mà Firewall xuất giải pháp vô hữu hiệu cho doanh nghiệp, cá nhân Firewall đời giúp ngăn chặn công mạng xảy ra, lọc tất thông tin thông qua kết nối Internet vào mạng hệ thống máy tính cá nhân doanh nghiệp Khơng vậy, số doanh nghiệp, Firewall giúp họ quản lý truy cập nhân viên vào Internet Đối với phịng ban, vị trí không cần sử dụng đến mạng cần truy cập số trang web định ban quản lý cần thiết lập số luật đơn giản tường lửa Hiểu tầm quan trọng cần thiết Firewall, chúng em định tìm hiểu thực hành áp dụng thiết lập luật mạng nội sử dụng tường lửa pfSense - tường lửa nguồn mở đánh giá tốt Tổng quan Firewall Firewall theo tiếng việt có nghĩa Bức Tường lửa Dùng để ngăn chặn bảo vệ thông tin chống việc truy cập bất hợp pháp hacker Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu từ bên vào máy tính từ máy tính ngồi mạng Internet, rộng mạng nội Internet, mạng hệ thống mạng nội cơng ty Có thể nói Firewall người bảo vệ có nhiệm vụ kiểm tra “giấy thơng hành” gói liệu vào Nó cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Vì mà Firewall cần thiết cho việc đảm bảo an toàn hệ thống mạng NHĨM – BẢO VÊ AN TỒN MẠNG BẰNG FIREWALL PFSENSE 2.1 Tại phải sử dng Firewall cho mạng máy tính kết nối Internet Internet đời đem lại nhiều lợi ích lớn cho người, nhân tố hàng đầu góp phần vào phát triển nhanh chóng giới nói Internet kết nối người tới gần Chính khả kết nối rộng rãi mà nguy an tồn mạng máy tính lớn Đó nguy bị cơng mạng máy tính, cơng để lấy liệu, cơng nhằm mục đích phá hoại làm tê liệt hệ thống máy tính lớn, cơng thay đổi sở liệu …Trước nguy đó, vấn đề đảm bảo an tồn cho mạng máy tính trở nên cấp thiết quan trọng hết Các nguy bị công ngày nhiều ngày tinh vi hơn, nguy hiểm Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng địi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thơi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt yêu cầu phải có cơng cụ để chống xâm nhập mạng bất hợp pháp từ bên mạng, ngun nhân dẫn tới đời Firewall (Tường lửa) Một Firewall lọc lưu lượng Internet nguy hiểm hacker, loại sâu, số loại virus trước chúng gây trục trặc hệ thống Ngoài ra, Firewall giúp cho máy tính tránh tham gia cơng vào máy tính khác mà khơng hay biết Việc sử dụng Firewall cực k quan trọng máy tính ln kết nối Internet, trường hợp có kết nối băng thơng rộng kết nối DSL (hay Digital Subcriber Line (kênh thuê bao số), họ kỹ thuật mà cung cấp kết nối kỹ thuật số thơng qua cáp đồng mạng điện thoại nội hạt) /ADSL Ngoài tin tặc sử dụng mã hiểm độc, virus, sâu Trojan, để tìm cách phát cửa khơng khóa máy tính khơng bảo vệ Một tường lửa giúp bảo vệ máy tính khỏi bị hoạt động công bảo mật khác Vậy tin tặc làm gì? Tùy thuộc vào chất việc công Trong số đơn giản NHĨM – BẢO VÊ AN TỒN MẠNG BẰNG FIREWALL PFSENSE quấy rầy với trò đùa nghịch đơn giản, số khác tạo với ý định nguy hiểm Những loại nghiêm trọng tìm cách xóa thơng tin từ máy tính, phá hủy nó, chí ăn căp thơng tin cá nhân, mật số thẻ tín dụng Một số tin tặc thích đột nhập vào máy tính d bị cơng Các virus, sâu Trojan đáng sợ May mắn giảm nguy lây nhim cách sử dụng Firewall Có bốn loại tường lửa bản: (Simple) Packet Filters, Circuit-Level, ApplicationLevel Stateful Multilayer Inspection Cũng có nhiều cách để tạo tường lửa an toàn cách kết hợp hai nhiều loại tường lửa vào giải pháp tường lửa 2.2 Các loại Firewall 2.2.1 Static packet-filtering firewall Packet-filter lọc lưu lượng truy cập cách kiểm tra thơng tin header gói tin Thơng thường, sách để tường lửa lọc dựa vào thông số liên quan tới IP nguồn, IP đích, cổng dịch vụ Tường lửa dạng cung cấp chế xác thực người dùng hay xác định gói tin đến từ bên hay bên ngồi mạng riêng, dẫn đến việc d dàng bị lừa với gói tin giả mạo Static packet filter xem khởi đầu cho hệ thống tường lửa, hoạt động lớp (lớp Mạng) mơ hình OSI Nó coi thiết bị định tuyến xem router thơng thường Hình 1: Packet-filter mơ hình OSI NHĨM – BẢO VÊ AN TOÀN MẠNG BẰNG FIREWALL PFSENSE Document continues below Discover more Mạng máy tình from: và truyền số d… lms233 Đại học Kinh tế… 73 documents Go to course Premium mạng máy tính 29 truyền số liệu Mạng máy tình và… 100% (3) Nhóm-9 Báo-cáo 33 Điện-tốn-đám-mây Mạng máy tình và… 100% (2) Premium Tổng hợp câu hỏi c6 - học mà làm… Mạng máy tình và… 100% (1) Premium - Kiểm BT chuong tra lỗi CRC Mạng máy tình và… 60% (5) Giao trinh mang may 246 tinh (ngo ba hung… Mạng máy tình và truyề… 2.2.2 Application-level firewall None Mạng máy tính pretty good Một tường lửa lớp Ứng dụng gọi tường l7ửa proxy Proxy máyviệc máy tính làm nhiệm vụ chép gói tin từ mạng đến Mạng mạng khác; None tình và truyề… chép đồng thời đổi địa nguồn địa đích để bảo vệ thơng tin mạng riêng mạng hệ thống Tường lửa lớp Ứng dụng lọc lưu lượng mạng dựa dịch vụ Internet dùng để chuyển nhận liệu Một proxy server cách để tập trung dịch vụ ứng dụng thông qua máy đơn lẻ, phân tích gói liệu Khi gói từ bên ngồi đến cổng này, chúng kiểm tra đánh giá để xác định sách an tồn có cho phép gói vào mạng nội hay không Loại tường lửa ảnh hưởng đến hiệu suấtcủa mạng gói tin đến tường lửa phải kiểm tra đánh giá để xác định trước cho phép vào mạng nội Tường lửa lớp ứng dụng xem hệ tường lửa thứ hai, chúng hoạt động lớp ứng dụng (lớp 7) mơ hình OSI Hình 2: Tường lửa lớp ứng dụng 2.2.3 Circuit-level firewall Tường lửa Circuit-level dùng để khởi tạo phiên kết nối hai người dùng tin cậy Chúng hoạt động lớp Phiên (lớp 5) mơ hình OSI SOCKS (SOCKetS TCP/IP) dạng tường lửa circuit-level thường áp dụng Tường lửa circuitlevel biết đến circuit proxy, quản lý kết nối dựa circuit, nội dung lưu lượng mạng Chúng cho phép từ chối chuyển tiếp gói tin dựa nơi mà gói tin cần gởi đến (địa nguồn/đích, số portnguồn/đích) Tường lửa NHĨM – BẢO VÊ AN TOÀN MẠNG BẰNG FIREWALL PFSENSE circuit-level xem hệ thứ hai tường lửa chế hoạt động gần giống với tường lửa lớp ứng dụng Hình 3: Circuit-level firewal 2.2.4 Stateful inspection firewall Tường lửa kiểm tra trạng thái đánh giá trạng bối cảnh lưu lượng mạng Bằng cách kiểm tra nguồn địa đích, sử dụng ứng dụng, nguồn gốc, mối quan hệ gói gói trước session Tường lửa kiểm tra trạng thái cấp phạm vi truy cập rộng cho người dùng hoạt động có thẩm quyền, chủ động theo dõi ngăn chặn người sử dụng thực hoạt động trái phép Tường lửa kiểm tra trạng thái thường hoạt động hiệu so với tường lửa mức Ứng dụng, xem tường lửa hệ thứ ba, hoạt động lớp Mạng lớp Giao vận (lớp 4) mơ hình OSI NHĨM – BẢO VÊ AN TOÀN MẠNG BẰNG FIREWALL PFSENSE Hình 4: Stateful inspection firewall 2.3 Các mơ hình triển khai tường lửa Có ba dạng kiến trúc tường lửa thường triển khai là: lớp, hai lớp, ba lớp (còn gọi nhiều lớp) Kiến trúc tường lửa lớp kết nối thông qua router đến Internet (hoặc vùng mạng không an tồn khác) Mơ hình tường lửa lớp hữu ích việc ngăn chặn công bản, kiến trúc thực chế bảo mật tối thiểu Kiến trúc tường lửa hai lớp sử dụng tường lửa có ba network interface trở lên, cho phép thiết lập thêm vùng DMZ Extranet để giao tiếp với mạng bên DMZ sử dụng đặt hệ thống máy chủ thông tin mà người dùng bên ngồi truy cập 10 Một kiến trúc ba lớp việc triển khai nhiều mạng mạng nội Internet ngăn cách tường lửa Mỗi tường lửa có quy tắc lọc nghiêm ngặt để hạn chế quyền truy cập bất hợp lệ vào hệ thống mạng liệu nhạy cảm Mạng thường triển khai vùng DMZ Lớp mạng thứ hai có nhiệm vụ lớp mạng chuyển tiếp nhằm phục vụ tính phức tạp theo yêu cầu máy chủ vùng DMZ (ví dụ: database, web service…) Mạng thứ ba back-end hỗ trợ mạng nội Kiến trúc an toàn nhất, nhiên mức độ triển khai quản lý phức tạp so với kiến trúc cịn lại NHĨM – BẢO VÊ AN TOÀN MẠNG BẰNG FIREWALL PFSENSE Các thành phần Aliases: - Host: tạo nhóm địa IP - Network: tạo nhóm mạng - Port: Cho phép gom nhóm port khơng cho phép tạo nhóm protocol Các protocol sử dụng rule 3.3.2 NAT Pfsense có hỗ trợ nat static dạng NAT 1:1 Điều kiện để thực nat 1:1 ta phải có IP public Khi thực NAT 1:1 IP private nat ln ngồi IP public tương ứng port tương ứng IP public Pfsense hỗ trợ nat outbound mặc định với Automatic outbound NAT rule generation Để cấu hình thủ cơng, ta chọn Manual Outbound NAT rule generation (AON - Advanced Outbound NAT) xóa rule mặc định pfsense đồng thời cấu hình thêm rule outbound NHĨM – BẢO VÊ AN TỒN MẠNG BẰNG FIREWALL PFSENSE 13 Ngồi kiểu NAT: port forward, 1:1 outbound, pfsense hỗ trợ NAT Npt Phương thức thực NAT Ipv6 3.3.3 Rules Là nơi lưu trữ tất luật ra, vào pfsense Mặc định PfSense cho phép kết nối ra, vào (tại cổng LAN có sẵn rule any any) Ta phải tạo rule để quản lý mạng bên Một số lựa chọn Destination Source Any: Tất Single host or alias: Một địa ip bí danh Lan subnet: Đường mạng LAN Network: địa mạng LAN address: Tất địa mạng nội Wan address: Tất địa mạng bên PTP clients: Các clients thực kết nối VPN sử dụng giao thức PPT NHĨM – BẢO VÊ AN TỒN MẠNG BẰNG FIREWALL PFSENSE 14 PPPoE clients: Các clients thực kết nối VPN sử dụng giao thức PPPoE 3.3.4 Schedules Chức lập lịch pfSense cho phép cấu hình thời gian hoạt động hệ thống cách tự động thông qua bảng thời gian thiết lập sẵn Bằng cách này, hệ thống pfSense tự động điều chỉnh firewall rule theo thời gian lập lịch Chúng ta thực cấu hình cho phép truy cập webserver công ty vào thời gian định mục Schedules Tại menu cấu hình tường lửa rule, thực định thời gian biểu tạo trước NHĨM – BẢO VÊ AN TỒN MẠNG BẰNG FIREWALL PFSENSE 15 3.3.5 Traffic shaper Đây tính giúp quản trị mạng tinh chỉnh, tối ưu hóa đường truyền pfsense Trong pfsense, đường truyền băng thông chia hàng khác Có loại hàng pfsense: - Hàng qACK: dành cho gói ACK (gói xác nhận) giao thức TCP ứng dụng cần hỗ trợ HTTP, SMTP … luồng thông tin ACK tương đối nhỏ lại cần thiết để trì tốc độ lưu thông lớn - Hàng qVoIP: dành cho loại lưu thông cần đảm bảo độ tr nghiêm ngặt, thường 10ms VoIP, video conferences - Hàng qGames: dành cho loại lưu thông cần đảm bảo độ tr chặt chẽ, thường 50ms SSH, game online … - Hàng qOthersHigh: dành cho loại ứng dụng quan trọng có tính tương tác cao, cần đáp ứng nhanh, cần độ tr thấp như: NTP, DNS, SNMP … - Hàng qOthersDefault: dành cho giao thức ứng dụng quan trọng có tính tương tác vừa, cần độ đáp ứng định HTTP, IMAP … - Hàng qOthersLow: dành cho giao thức ứng dụng quan trọng có tính tương tác thấp SMTP, POP3, FTP - Hàng qP2P: dành cho cho ứng dụng không tương tác, không cần đáp ứng nhanh bittorrent Mặc định pfsense, hàng có độ ưu tiên từ thấp đến cao: qP2P < qOthersLow < qOthersDefault < qOthersHigh < qGames < qACK < qVoIP Ta chỉnh lại độ ưu tiên priority dung lượng băng thơng bandwidth mặc NHĨM – BẢO VÊ AN TOÀN MẠNG BẰNG FIREWALL PFSENSE 16 định mà hàng chiếm để nâng cao băng thông cho hàng tương ứng Pfsense hỗ trợ giới hạn tốc độ download/upload IP dải IP với ta thiết lập thông số phần limiter Firewall pfsense hỗ trợ chặn ứng dụng chạy layer – application mơ hình OSI sip, ftp, http … phần Layer 3.3.6 Virtual Ips Pfsense cho phép sử dụng nhiều địa IP công cộng kết hợp với chế NAT thơng qua IP ảo Có ba loại IP ảo có sẵn pfSense: Proxy ARP, CARP loại khác Mỗi loại hữu ích tình khác Trong hầu hết trường hợp, pfSense cung cấp ARP IPs, cần phải sử dụng Proxy ARP CARP Trong tình mà ARP khơng cần thiết, chẳng hạn IP công cộng bổ sung định tuyến nhà cung cấp dịch vụ mạng, sử dụng IP ảo loại khác Virtual IP sử dụng phép pfSense cách chuyển tiếp lưu lượng cho việc chuyển tiếp cổng NAT, NAT Outbound NAT 1:1 Họ cho phép tính failover, cho phép dịch vụ router để gắn kếtvới địa IP khác NHÓM – BẢO VÊ AN TOÀN MẠNG BẰNG FIREWALL PFSENSE 17 Thực hành Tại phần thực hành chúng em demo số luật Firewall Pfsense với mơ hình tường lửa lớp sau: Mơ hình gồm: - Tường lửa Pfsense với IP: 10.1.1.1 - Mạng LAN gồm: + Client (WIN 10) với IP 10.1.1.2 + Client (WIN 10 ) với IP 10.1.1.6 NHĨM – BẢO VÊ AN TỒN MẠNG BẰNG FIREWALL PFSENSE 18 Đăng nhập vào trang chủ Pfsense IP IP Pfsense: Để thiết lập mạng cho Firewall Pfsense cần làm theo bước sau: Firewall -> Rule -> LAN NHĨM – BẢO VÊ AN TỒN MẠNG BẰNG FIREWALL PFSENSE 19