Gáy TR ẦN ĐÌN H CHI ẾN MS SV: N19 DC AT0 10 Đề Tài: Lớ p: D19 CQ AT0 1-N BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “Khai thác xây dựng hệ thống bảo mật mạng chế dự phòng tường lửa pfSense” Người hướng dẫn : Sinh viên thực : Mã số sinh viên : ThS ĐÀM MINH LỊNH TRẦN ĐÌNH CHIẾN N19DCAT010 Lớp : Khoá : D19CQAT01-N 2019-2024 Hệ Đại Học Chính Quy : TP.HCM, tháng 8/ 2023 i BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC Đề tài: “Khai thác xây dựng hệ thống bảo mật mạng chế dự phòng tường lửa pfSense” Người hướng dẫn : Sinh viên thực : Mã số sinh viên : Lớp : Khoá : Hệ : ThS ĐÀM MINH LỊNH TRẦN ĐÌNH CHIẾN N19DCAT010 D19CQAT01-N 2019-2024 Đại Học Chính ii BÁO CÁO TTTN ĐẠI HỌC LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời tri ân sâu sắc đến thầy cô Học Viện Công Nghệ Bưu Chính Viễn Thơng sở TP.HCM tận tình dẫn dắt truyền đạt cho em nhiều kiến thức quý báu học kỳ vừa qua Đặc biệt, em xin gửi lời cảm ơn chân thành đến TS Đàm Minh Lịnh Thầy hướng dẫn tận tình, truyền đạt kiến thức, bảo cho em suốt thời gian học tập thực đề tài Kính chúc thầy gia đình nhiều sức khỏe thành công sống Và xin chân thành cảm ơn tất bạn sát cánh, giúp đỡ, động viên thời điểm khó khăn, tiếp thêm động lực ý chí vượt qua khó khăn suốt trình học tận trường Tuy nhiên, thời gian kiến thức chun mơn cịn hạn chế nhiều yếu tố khách quan khác nên q trình thực đề tài khơng tránh khỏi sai sót Kính mong lời nhận xét góp ý thầy bạn để em hồn thiện thân Một lần nữa, em xin chân thành cảm ơn! TP.HCM, tháng 07 năm 2023 Sinh viên thực Trần Đình Chiến BÁO CÁO TTTN ĐẠI HỌC MỤC LỤC LỜI CẢM ƠN MỤC LỤC MỞ ĐẦU Lý chọn đề tài Khái quát đề tài Phương pháp nghiên cứu CHƯƠNG I: CƠ SỞ LÝ THUYẾT .8 EVE-NG (Emulated Virtual Environment) Vmware Workstation Pro, công cụ SCP, FileZilla, Cisco IOS image 1.1 EVE-NG (Emulated Virtual Enviroment) Vmware Workstation Pro 1.1.1 EVE-NG (Emulated Virtual Environment): 1.1.2 VMware Workstation Pro: 1.2 Công cụ SCP, FileZilla, Cisco IOS Image 10 CHƯƠNG II ĐỀ XUẤT MƠ HÌNH VÀ CÁC NỀN TẢNG XÁC THỰC .22 CHƯƠNG III TRIỂN KHAI THỰC NGHIỆM VÀ ĐÁNH GIÁ KẾT QUẢ.25 1.1 Cấu hình High Availability 25 1.2 Cấu hình CARP pfSense 27 1.3 Cấu hình NAT Outbound .29 1.4 Cấu hình DHCP 32 1.5 Tạo rule từ ngồi internet khơng thể ping vào vùng DMZ 33 1.6 Test thử Ping từ máy thật đến mát DMZ 34 1.7 Set Rule cho máy LAN máy DMZ Internet 35 1.8 => Kết luận: Thành cơng cài đặt hệ thống dự phịng tường lửa pfSense 40 CHƯƠNG IV: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 41 Kết luận: 41 Hướng phát triển: 41 TÀI LIỆU THAM KHẢO 43 BÁO CÁO TTTN ĐẠI HỌC Hình Hình MỤC LỤC HÌNH ẢNH Máy ảo vmware workstation pro 17 14 Cài đặt vị trí lưu máy ảo pfsense 20 Hình Hình Hình Hình Hình Hình Hình Hình 10 Hình 11 Hình 12 Hình 13 Hình 14 Hình 15 Hình 16 Hình 17 Hình 18 Hình 19 Hình 20 Hình 21 Hình 22 Hình 23 Hình 24 Hình 25 Hình 26 Hình 27 Cấu hình pfSense 20 Cấu hình WAN 21 Cấu hình pfSense 21 Cấu hình pfSense 22 Cấu hình địa interface(s) 22 Cấu hình địa interface(s) 23 Cấu hình địa interface(s) 23 Cấu hình địa interface(s) 24 Đăng nhập vào pfSense 24 Màn hình đăng nhập pfSense .25 Sơ đồ tổng quát mô hình 26 Cấu hình High Availability Sync 29 Cấu hình High Availability PfSense Passive .30 điền option ấn Save 30 Cấu hình Vitual IPs WAN 31 Cấu hình Vituals IPs LAN 32 Cấu hình Vituals IPs DMZ 32 Cấu hình NAT Outbound 33 Cấu hình LAN to WAN .34 Cấu hình LAN to WAN .34 Cấu hình ISAKMP 35 Hồn tất cấu hình LAN to WAN 35 Cấu hình DHCP 36 Cấu hình DHCP 36 Cấu hình DHCP 36 Hình 28 Hình 29 Cấu hình DHCP 36 Tạo Rule để vùng ngồi khơng thể ping vào DMZ .37 Hình 30 Cấu hình Source Destination 37 BÁO CÁO TTTN ĐẠI HỌC Hình 31 Hình 32 Hình 33 Hình 34 Hình 35 Hình 36 Hình 37 Hình 38 Hình 39 Hình 40 Hình 41 Hình 42 Hình 43 Hình 44 Hình 45 IP máy DMZ 38 Ping từ máy thật đến máy DMZ 38 Ping từ máy DMZ đến máy WAN thành công 38 Ping từ máy LAN tới máy WAN thành công .39 Cấu hình rule máy lan ngồi internet 39 Ping thử máy Lan internet 39 Cấu hình rule để truy cập pfsense từ bên ngồi 40 Cấu hình rule để truy cập PfSense từ bên ngồi .40 Cấu hình hồn tất .41 Đã vào pfSense từ máy thật .41 Tắt pfSense Active 42 PfSense Passive tự động đổi thành master 42 Khi bật lại pfSense Active 43 IP 192.168.1.2 tự động chuyển đường chạy 43 IP 192.168.1.3 tự động chuyển đường chạy dự phòng 44 Document continues below Discover more from: máy tính Mang INT1336 Học viện Cơng ng… 266 documents Go to course Luận văn nghiên cứu 59 ứng dụng Blockchain Mang máy tính 100% (12) NHDT MMT - Đề ơn 42 thi trắc nghiệm… Mang máy tính 92% (26) De tai iot su dung 84 esp - hệ thống cảm… Mang máy tính 100% (7) Bai giang Computer 193 Network 2012 1118 Mang máy tính 93% (14) DE-thi kì tin học sở Mang máy tính BÁO CÁO TTTN ĐẠI HỌC 100% (5) 300 cau hoi trac MỞ ĐẦU 53 nghiem kien truc… Mang máy Lý chọn đề tài 100% (5) Cùng với phát triển công nghệ thông tin, công nghệtính mạng máy tính đặt biệt mạng Internet ngày phát triển đa dạng phong phú Các dịch vụ mạng Internet xâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin trao đổi Internet đa dạng nội dung hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác tin cậy Quan trọng bảo mật mạng: Trong thời đại kỹ thuật số ngày nay, bảo mật mạng trở thành yếu tố quan trọng Mạng máy tính tổ chức phải đối mặt với nguy công ngày phức tạp từ hacker, phần mềm độc hại hoạt động gián điệp Vì vậy, việc nghiên cứu triển khai hệ thống bảo mật mạng hiệu cần thiết Sự phát triển pfSense: pfSense hệ thống tường lửa mã nguồn mở dựa hệ điều hành FreeBSD, tiếng với tính dễ sử dụng khả mở rộng cao Nó cung cấp tính bảo mật mạnh mẽ tường lửa, VPN, quản lý băng thông quản lý quy tắc mạng Sự phát triển ổn định pfSense tạo điều kiện thuận lợi cho việc nghiên cứu triển khai chế dự phòng bảo mật tảng Cơ chế dự phịng: Cơ chế dự phịng đóng vai trị quan trọng việc đảm bảo tính sẵn sàng liên tục hệ thống bảo mật mạng Bằng cách triển khai chế dự phòng tường lửa pfSense, sử dụng tuyến internet lưu, cấu hình tường lửa dự phịng, kết hợp với hệ thống giám sát cảnh báo, ta tăng khả chống chịu cơng đảm bảo mạng máy tính hoạt động bình thường có cố xảy Tính ứng dụng: Việc nghiên cứu triển khai hệ thống bảo mật mạng chế dự phòng tường lửa pfSense khơng mang tính lý thuyết mà cịn có tính ứng dụng cao Các tổ chức doanh nghiệp tận dụng kiến thức kỹ từ đề tài để nâng cao bảo mật mạng bảo vệ hệ thống khỏi mối đe dọa Khái quát đề tài Lý Thuyết: Tìm hiểu :  EVE-NG (Emulated Virtual Environment) Vmware Workstation Pro, công cụ SCP, FileZilla, Cisco IOS image 10 BÁO CÁO TTTN ĐẠI HỌC  Giao thức định tuyến động ISIS, RIP  Tập lệnh Firewall pfSense  Cấu hình chế dự phịng firewall pfSense Thực hành: Xây dựng hệ thống bảo mật mạng chế dự phòng tường lửa pfSense Phương pháp nghiên cứu Cấu trúc báo cáo gồm chương Chương 1: Cơ sở lý thuyết Chương 2: Đề xuất mơ hình tảng xác thực Chương 3: Triển khai thực nghiệm đánh giá kết Chương 4: Kết luận hướng phát triển 11 BÁO CÁO TTTN ĐẠI HỌC CHƯƠNG I: CƠ SỞ LÝ THUYẾT EVE-NG (Emulated Virtual Environment) Vmware Workstation Pro, công cụ SCP, FileZilla, Cisco IOS image 1.1 EVE-NG (Emulated Virtual Enviroment) Vmware Workstation Pro - EVE-NG (Emulated Virtual Environment) VMware Workstation Pro hai cơng cụ ảo hóa phổ biến sử dụng để tạo quản lý môi trường ảo máy tính Dưới số thông tin công cụ: 1.1.1 EVE-NG (Emulated Virtual Environment): - EVE-NG tảng ảo hóa mạnh mẽ linh hoạt thiết kế để phục vụ cho việc thiết lập mô mạng phức tạp Được xây dựng dựa tảng Linux, EVE-NG cung cấp mơi trường ảo hóa cho thiết bị mạng phổ biến Cisco, Juniper, Fortinet, Palo Alto, nhiều nhà cung cấp khác Tính EVE-NG bao gồm: Hỗ trợ hình ảnh thiết bị mạng từ nhiều nhà cung cấp Giao diện web thân thiện dễ sử dụng Khả kéo thả để kết nối thiết bị tạo mạng ảo Hỗ trợ tích hợp Docker KVM (Kernel-based Virtual Machine) Thư viện lab mẫu cộng đồng sôi người dùng chia sẻ tài nguyên lab  Tích hợp giả lập băng thông để kiểm tra hiệu suất mạng  EVE-NG sử dụng rộng rãi việc huấn luyện mạng, thực hành kiến thức giải vấn đề phức tạp môi trường mạng      1.1.2 VMware Workstation Pro: - VMware Workstation Pro sản phẩm VMware, nhà cung cấp dẫn đầu cơng nghệ ảo hóa VMware Workstation Pro cho phép người dùng tạo quản lý máy ảo máy tính chạy hệ điều hành Windows Linux Nó hỗ trợ nhiều hệ điều hành khách, bao gồm Windows, Linux, macOS nhiều hệ điều hành khác Tính VMware Workstation Pro bao gồm:  Hỗ trợ loạt hệ điều hành khách  Tích hợp tính mạnh mẽ chia sẻ tệp, snapshot, clone máy ảo tích hợp dễ dàng với dịch vụ đám mây VMware vSphere VMware Cloud 12 BÁO CÁO TTTN ĐẠI HỌC Hình – Hiện CARP master Hình – Hiện CARP Backup 1.4 Cấu hình NAT Outbound Hình 20 Cấu hình NAT Outbound 33 BÁO CÁO TTTN ĐẠI HỌC Hình 21 Cấu hình LAN to WAN Hình 22 Cấu hình LAN to WAN 34 BÁO CÁO TTTN ĐẠI HỌC Hình 23 Cấu hình ISAKMP Hình 24 Hồn tất cấu hình LAN to WAN 35 BÁO CÁO TTTN ĐẠI HỌC 1.5 Cấu hình DHCP Hình 25 Cấu hình DHCP Hình 26 Cấu hình DHCP Hình 27 Cấu hình DHCP 36 BÁO CÁO TTTN ĐẠI HỌC Hình 28 Cấu hình DHCP 1.6 Tạo rule từ ngồi internet khơng thể ping vào vùng DMZ Hình 29 Tạo Rule để vùng ngồi khơng thể ping vào DMZ Hình 30 Cấu hình Source Destination 37 BÁO CÁO TTTN ĐẠI HỌC 1.7 Test thử Ping từ máy thật đến mát DMZ Hình 31 IP máy DMZ Hình 32 Ping từ máy thật đến máy DMZ Hình 33 Ping từ máy DMZ đến máy WAN thành công 38 BÁO CÁO TTTN ĐẠI HỌC Hình 34 Ping từ máy LAN tới máy WAN thành công 1.8 Set Rule cho máy LAN máy DMZ ngồi Internet Hình 35 Cấu hình rule máy lan ngồi internet Hình 36 Ping thử máy Lan ngồi internet 39 BÁO CÁO TTTN ĐẠI HỌC Hình 37 Cấu hình rule để truy cập pfsense từ bên ngồi Hình 38 Cấu hình rule để truy cập PfSense từ bên 40 BÁO CÁO TTTN ĐẠI HỌC Hình 39 Cấu hình hồn tất Hình 40 Đã vào pfSense từ máy thật 41 BÁO CÁO TTTN ĐẠI HỌC - Khi tắt pfSense Active pfSense Passive với ip 192.168.1.3 tự động đổi thành Master chạy theo đường dây cài đặt Hình 41 Tắt pfSense Active Hình 42 PfSense Passive tự động đổi thành master 42 BÁO CÁO TTTN ĐẠI HỌC Hình 43 Khi bật lại pfSense Active Hình 44 IP 192.168.1.2 tự động chuyển đường chạy 43 BÁO CÁO TTTN ĐẠI HỌC Hình 45 IP 192.168.1.3 tự động chuyển đường chạy dự phịng 1.9 => Kết luận: Thành cơng cài đặt hệ thống dự phòng tường lửa pfSense 44 BÁO CÁO TTTN ĐẠI HỌC CHƯƠNG IV: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết luận: Đề tài "Khai thác xây dựng hệ thống bảo mật mạng chế dự phòng tường lửa pfSense" chủ đề quan trọng hấp dẫn lĩnh vực bảo mật mạng Trong trình thực đề tài, có hiểu biết áp dụng kiến thức tường lửa pfSense, chế dự phòng, phương pháp bảo mật mạng để xây dựng hệ thống bảo mật mạng hiệu Hệ thống bảo mật mạng dự phịng pfSense giúp ngăn chặn xử lý mối đe dọa bảo mật mạng cách hiệu quả, đảm bảo tính khả dụng, toàn vẹn bảo mật liệu hệ thống mạng Cơ chế dự phòng cho phép hệ thống chuyển đổi tự động sang tùy chọn khác có cố xảy ra, giúp đảm bảo mạng hoạt động cách liên tục mà không bị gián đoạn Hướng phát triển: Mặc dù đề tài trình bày việc khai thác xây dựng hệ thống Z mật mạng chế dự phòng pfSense, nhiều hướng phát triển tiềm để nâng cao tính hiệu bảo mật hệ thống: Nâng cấp chế dự phòng: Nghiên cứu triển khai chế dự phòng phức tạp hơn, bao gồm tự động chuyển đổi tường lửa khác nhau, dự phòng sở liệu, giải pháp bảo mật mạng liên quan khác Tích hợp AI Machine Learning: Áp dụng trí tuệ nhân tạo học máy để phát dự đoán mối đe dọa tiềm ẩn dựa liệu lưu lượng mạng hành vi trước Mở rộng quản lý theo dõi: Phát triển giao diện quản lý trực quan tiện lợi để giám sát điều khiển hệ thống bảo mật mạng dự phòng Kiểm tra thử nghiệm liên tục: Thực kiểm tra thử nghiệm liên tục để đảm bảo tính tin cậy hiệu hệ thống dự phịng Phân tích cố cải thiện khả phục hồi: Nghiên cứu cách tự động phân tích nguyên nhân cố cải thiện trình phục hồi sau xảy cố 45 BÁO CÁO TTTN ĐẠI HỌC Hợp tác với cộng đồng cộng đồng pfSense: Tham gia vào cộng đồng pfSense để trao đổi kinh nghiệm, học hỏi chia sẻ kiến thức việc xây dựng hệ thống bảo mật mạng dự phòng Tóm lại, việc khai thác xây dựng hệ thống bảo mật mạng chế dự phòng tường lửa pfSense hướng phát triển quan trọng lĩnh vực bảo mật mạng, nhiều hội để nâng cao tính hiệu hệ thống tương lai 46 BÁO CÁO TTTN ĐẠI HỌC TÀI LIỆU THAM KHẢO Tài liệu thức pfSense: pfSense Documentation: Đây tài liệu thức pfSense, cung cấp thông tin chi tiết cách cấu hình, quản lý triển khai hệ thống pfSense Sách pfSense: "pfSense: The Definitive Guide" by Christopher M Buechler and Jim Pingle: Đây sách đầy đủ chi tiết cách triển khai quản lý pfSense pfSense Bookstore: Tài liệu chế dự phòng bảo mật mạng: "Network Security Essentials: Applications and Standards" by William Stallings: "Firewalls and Internet Security: Repelling the Wily Hacker" by William R Cheswick, Steven M Bellovin, and Aviel D Rubin: Bài viết tài liệu trực tuyến: Netgate Forum: Diễn đàn cộng đồng pfSense SANS Institute Reading Room: Hướng dẫn thực hành ví dụ: pfSense Hangouts: Video hướng dẫn buổi thảo luận trực tiếp pfSense, cung cấp ví dụ cụ thể cách triển khai cấu hình 47