Báo cáo chuyên Đề môn học cấu trúc dữ liệu và giải thuật nâng cao

CHƯNG 2: THUẬT TOÁN SẮP XẾP2.1 Thuật ton Buble sort2.1.1 Aliase B danh Trong Firewall Pfsense, Alias là mt tnh năng quan trọng giúp quản lýdanh sách các đa ch IP hoc các mc liê

TRƯỜNG ĐẠI HỌC ĐIỆN LỰCKHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ MÔN HỌC

“Cấu trúc dữ liệu và giải thuật nâng cao”

Sinh viên thực hiện :

Chuyên ngành : QUẢN TRỊ VÀ AN NINH MẠNG

PHIẾU CHẤM ĐIỂM

Các sinh viên thực hiện:

STT Họ và tên sinh viên

MỤC LỤC

LỜI MƠ ĐẦU 5

CHƯNG 1 THUẬT TOÁN ĐỆ QUY 6

1.1 Tông quan v đệ quy 6

1.1.1 Khái niệm 6

1.1.2 Tác dng của tương la Error! Bookmark not defined 1.2 Kh đệ quy bằng ngăn xếp 7

1.2.1 Đc điểm của an toàn mng 7

1.2.2 Các hnh thc tấn cng mng phô biến 8

1.2.3 Các m hnh bảo mât mng 10

1.2.4 Các biện pháp bảo mât 11

CHƯNG 2: THUẬT TOÁN SẮP XẾP 13

2.1 Thuât toán Buble sort 13

2.1.1 Aliase ( B danh) 13

2.1.2 Rules ( Luât) 14

2.1.3 NAT ( Biên dch đa ch mng) 15

2.1.4 Routing ( Đnh tuyến) 17

2.1.5 Virtual Ips ( IP ảo) 18

2.1.6 Schedules ( Lch trnh) 20

2.1.7 Traffic Sharper ( Quản lý băng thng) 21

2.2 Mt số chc năng và dch v khác 22

2.2.1 VPN 22

2.2.2 Package Manager ( Trnh quản lý gi) 24

2.2.3 Captive Portal ( Công cố đnh) 24

2.2.4 DHCP ( Giao thc cấu hnh host đng) 26

2.2.5 Snort 27

CHƯNG 3: XÂY DỰNG V CHẠY TH NGHIỆM MÔ HNH TRIÊN KHAI PFSENSE 29

3.1 Cài đt và cấu hnh máy ảo 29

3.1.2 Firewall Pfsense 2.7.0 31

3.1.3 Ubuntu Server 22.04 34

3.1.4 Windows 10 37

3.1 Triển khai phn th nghiệm 41

3.1.3 Bảng đa ch IP các thiết b 42

3.2 Cấu hnh thiết b Router 44

3.2.3 Cấu hnh đa ch IP cho các công router R2 44

3.2.4 Cấu hnh đnh tuyến tnh 44

3.2.5 Cấu hnh cấp IP đng cho các PC ti chi nhánh H Ch Minh 44

3.3 Cấu hnh Firewall Pfsense 45

3.3.3 Cấu hnh đa chi IP cho các công 45

3.3.4 Cấu hnh đnh tuyến 45

3.3.5 Cấu hnh Aliases( B danh) 46

3.3.6 Cấu hnh Rules ( Luât) 47

3.3.7 Cấu hnh DHCP 49

3.3.8 Cấu hnh DNS 50

3.3.9 Cấu hnh NAT ( Biên dch đa ch mng) 51

3.3.10 Cấu hnh Schedules 52 3.3.11 Cấu hnh Traffic Shaper 52 3.3.12 Cấu hnh VPN 54

3.3.13 Cấu hnh Snort 58

3.4 Cấu hnh Web Server 59

3.5 Kết quả chy th nghiệm 61

3.5.3 Kiểm tra dch v DHCP 61

3.5.4 Kiểm tra tnh liên thng trong mng 65

3.5.5 Kiểm tra dch v Web 69

3.5.6 Kiểm tra dch v DNS 70

3.5.7 Kiểm tra dch v VPN 71

3.5.8 Kiểm tra tnh năng Snort 74

KẾT LUẬN V HƯỚNG PHÁT TRIÊN 77 TI LIỆU THAM KHẢO 78

MỤC LỤC ẢNH

Hnh 1.1: Gii thiệu v Firewall 6

Hnh 1.5: Gii thiệu Malware attack 8

Hnh 1.6: Gii thiệu Phishing attack Error! Bookmark not defined Hnh 1.7: Gii thiệu Man-in-the-middle attack Error! Bookmark not defined Hnh 1.8: Gii thiệu DoS và DDoS Error! Bookmark not defined Hnh 1.9: Gii thiệu SQL injection Error! Bookmark not defined Hnh 1.10: Gii thiệu Zero day attack Error! Bookmark not defined Hnh 2.1: Chc năng Aliase của Firewall PFsense 13

Hnh 2.2: Chc năng Rules của Firewall PFsense 14

Hnh 2.3: Chc năng NAT của Firewall PFsense 15

Hnh 2.4: Chc năng Routing của Firewall PFsense 17

Hnh 2.5: Chc năng Virtual Ips của Firewall PFsense 18

Hnh 2.6: Chc năng Schedules của Firewall PFsense 20

Hnh 2.7: Chc năng Traffic Sharper của Firewall PFsense 21

Hnh 2.8: OpenVPN của Firewall PFsense 22

Hnh 2.9: Chc năng Captive Portal của Firewall PFsense 25

Hnh 2.10: Tnh năng Snort trên Firewall PFsense 27

Hnh 3.1 Cài đt EVE-NG trên VMware 30

Hnh 3.2 Khi đng cng c EVE-NG 30

Hnh 3.3 Cài đt và khi dng PFsense 33

Hnh 3.4 Giao diện web quản tr của Pfsense 33

Hnh 3.5 Tải và cài đt Ubuntu Server trên máy ảo VMware 34

Hnh 3.6 Trang web mc đnh của Apache2 35

Hnh 3.7 Giao diện Web sau khi đưa ni dung website lên server 36

Hnh 3.8 To máy ảo cho windows 10 38

Hnh 3.9 Cài đt máy Windows 10 39

Hnh 3.10 Khi đng windows 10 40

Hnh 3.12: Bảng đa ch IP 43

Hnh 3.13: Cấu hnh đa ch IP cho các công router R2 44

Hnh 3.14: Cấu hnh đnh tuyến tnh trên router R2 44

Hnh 3.15: Cấu hnh DHCP trên router R2 44

Hnh 3.16: Cấu hnh đa chi IP cho các công Firewall Pfsense 45

Hnh 3.17: Cấu hnh đnh tuyến trên Firewall 45

Hnh 3.18: Cấu hnh Aliase( B danh) 46

Hnh 3.19: Cấu hnh Rules ( Luât) công WAN 47

Hnh 3.20: Cấu hnh Rules ( Luât) công LAN 48

Hnh 3.21: Cấu hnh Rules ( Luât) công DMZ 48

Hnh 3.22: Cấu hnh DHCP 49

Hnh 3.23: Cấu hnh DNS 50

Hnh 3.24: Cấu hnh NAT ( Biên dch đa ch mng) 51

Hnh 3.25: Cấu hnh Schedules( Lch trnh) 52

Hnh 3.26: Cấu hnh Traffic Shaper 52

Hnh 3.27: Gii hn UPLOAD là 10 Mbit/s 52

Hnh 3.28: Gii hn DOWNLOAD là 10 Mbit/s 53

Hnh 3.29: To OpenVPN trên Firewall Pfsense 54

Hnh 3.30: To Certificate Authority 54

Hnh 3.31: Khai báo thng tin để add CA 55

Hnh 3.32: Thiết lâp VPN Server 55

Hnh 3.33: Thiết lâp Tunnel Setting 56

Hnh 3.34: Thiết lâp Firewall rule 56

Hnh 3.35: To tài khoản s dng cho ngươi dng s dng vpn 57

Hnh 3.36: Cấu hnh Snort 58

Hnh 3.37: Cấu hnh đa ch IP cho Web Server 59

Hnh 3.38: Cài đt dch v  Apache2 59

Hnh 3.39: Source code đưc lưu trữ ti thư mc cấu hnh dch v web 59

Hnh 3.40: Kiểm tra giao diện dch vu ̣ Web 60

Hnh 3.41: Kiểm tra DHCP trên Pc kinh doanh ti tr s chnh 61

Hnh 3.42: Kiểm tra DHCP trên Pc kế toán ti tr s chnh 62

Hnh 3.43: Kiểm tra DHCP trên Pc marketing ti tr s chnh 62

Hnh 3.44: Kiểm tra DHCP trên Pc kinh doanh ti tru ̣ s chnh 63

Hnh 3.45: Kiểm tra DHCP trên Pc ky ̃ thuât ti chi nhánh 64

Hnh 3.46: Kiểm tra DHCP trên Pc kinh doanh ti chi nhánh 64

Hnh 3.47: Kiểm tra t Pc giám đốc ti tr s chnh ping ti pc k thuât ti chi nhánh 65

Hnh 3.48: Kiểm tra ping t Pc kinh doanh ti tr s chnh ping ti pc kinh doanh ti chi nhánh 66

Hnh 3.49: Kiểm tra ping t máy web server ti Firewall Pfsense 68

Hnh 3.50: Kiểm tra truy câp internet t máy web server 68

Hnh 3.51: Kiểm tra dch v Web sau khi Public 69

Hnh 3.52: Kiểm tra thng tin ip máy tnh của nhn viên 70

Hnh 3.53: Kiểm tra t máy kinh doanh ti website.vugiahien.vn 70

Hnh 3.54: Kiểm tra đa ch IP t máy windows 10 71

Hnh 3.55: Kiểm tra ping t windows10 ti IP local của Web server 71

Hnh 3.56: Login tài khoản vpn đã đưc to trên Firewall Pfsense 72

Hnh 3.57: VPN thành cng t máy Windows10 72

Hnh 3.58: Ping thành cng t máy window10 ti Web server sau khi dng VPN 73

Hnh 3.59: Remote Web Server t Windows10 73

Hnh 3.60: Đa ch IP của máy Kali linuxs 74

Hnh 3.61: Thực hiện Scan hệ thống trên máy Kali linux 74

Hnh 3.62: Bât dch v Snort trên Pfsense 75

Hnh 3.63: Cảnh báo v hot đng bất thương của Snort 75

Hnh 3.64: Thng tin v đa ch IP đã b block bi Snort 76

DANH MỤC TỪ VIẾT TẮT

STT Ký hiệu chữ viết tắt Chữ viết đầy đủ (Anh – Việt)

Dch sang đa ch vât lý mng

Giao thc Internet

Mng riêng ảo4

5

6

7

8

LƠI M ĐẦUCng nghệ thng tin (Information Technology) là mt ngành khoa học vàc cả các yếu tố như cng nghệ và kinh tế trong đ Các sinh viên chú ý nếu ctiếng Anh mà đã c tiếng Việt tưng ng th khng cn để nguyên bản tiếngAnh trong ngoc Viết như dòng th nhất cho trương hp t tiếng Anh đ chưaphô dng và các em tm s dng các thuât ngữ tiếng Việt.

CHƯNG 1 THUẬT TOÁN ĐỆ QUY1.1 Tông quan v đệ quy

1.1.1 Khi niệm

zxd

 Hinh 1.1: Gơ thêu v FrewallFont chữ: Times New Romans cỡ chữ 13, bảng mã Unicode; căn hai bênl trái 3,5 cm; l trên, l dưi: 2,5 cm; l phải 2cm; giãn dòng 1.5; li vào đudòng 1 cm; khng đưc nén (condensed) hoc giãn (expanded) các chữ ngoitr những trương hp đc biệt

Tương la c thể đưc cấu hnh để chn hoc cho phép các lưu lưngmng dựa trên các quy tắc đưc thiết lâp trưc đ Các quy tắc này c thể đưcthiết lâp để chn hoc cho phép lưu lưng mng t các đa ch IP c thể, cáccông mng hoc các giao thc mng c thể

1.2 Khử đệ quy bằng ngăn xếp

1.2.1 Đc đim của an toàn mng

An toàn mng là mt lnh vực quan trọng trong thế gii k thuât số hiện đi Đểbảo vệ thng tin, dữ liệu và hệ thống mng khỏi các mối đe dọa và tấn cng, cmt số đc điểm chnh:

1 Bảo mât thng tin: Bảo mât thng tin đảm bảo rằng dữ liệu quan trọng khngb truy câp, sa đôi hoc xa bi ngươi khng c quyn truy câp Điu nàythương đòi hỏi việc s dng mã ha thng tin và quản lý quyn truy câp

2 Xác thực và ủy quyn: Hệ thống an toàn mng thương yêu cu xác thựcngươi dng và cấp quyn truy câp dựa trên vai trò của họ Điu này giúpngăn chn ngươi khng c quyn truy câp vào thng tin hay hệ thống quantrọng

3 Kiểm tra và giám sát: Các hệ thống an toàn mng thương đưc thiết lâp đểtheo dõi và ghi li các hot đng trong mng, giúp phát hiện sm các hotđng đáng ngơ và tấn cng

4 Bảo vệ mng khng dy: Mng khng dy thương là điểm yếu trong hệthống an toàn mng, do đ, việc bảo vệ và mã ha kết nối khng dy rấtquan trọng

5 Bảo vệ khỏi mã đc: Phn mm đc hi, chẳng hn như virus, malware vàphn mm đc hi khác, c thể gy hi cho hệ thống Do đ, bảo vệ khỏi mãđc là mt phn quan trọng của an toàn mng

6 Firewall: Firewall là mt cng c quan trọng trong việc kiểm soát lưu lưngmng, ngăn chn các kết nối khng mong muốn và bảo vệ hệ thống khỏi tấncng t bên ngoài

7 Quản lý rủi ro: An toàn mng thương liên quan đến việc xác đnh và quản lýcác rủi ro tim ẩn Các hệ thống và dữ liệu cn đưc đánh giá để xác đnh vàgiảm thiểu rủi ro

8 Phản ng và phc hi: Các kế hoch phản ng và phc hi dữ liệu sau khi

giúp đảm bảo rằng hệ thống c thể khi phc sau khi b tấn cng hoc gp sự cố.

9 Chnh tr và tun thủ: Chnh tr an toàn mng và tun thủ các quy tắc và quyđnh là quan trọng để đảm bảo an toàn mng trong tô chc hoc hệ thống cthể

10.Hỗ tr và đào to: Ngươi dng và nhn viên cn đưc đào to v các quy tắc

và thực hành an toàn mng để giúp ngăn chn các lỗ hông t s h conngươi

1.2.2 Cc hnh thưc tấn cng mng phô biến

 Hinh 1.5: Gơ thêu Malware attack 

Lỗ hông Zero-day (0-day vulnerabilities) là các lỗ hông bảo mât chưađưc cng bố, các nhà cung cấp phn mm chưa biết ti, và d nhiên, chưa cbản vá chnh thc Chnh v thế, việc khai thác những lỗ hông “mi ra lò” nàyv cng nguy hiểm và kh lương, c thể gy hâu quả nng n lên ngươi dng vàcho chnh nhà phát hành sản phẩm

1 Cc loi khc

Ngoài ra, còn rất nhiu hnh thc tấn cng mng khác như: Tấn cngchuỗi cung ng , Tấn cng Email, Tấn cng vào con ngươi, Tấn cng ni b tôchc,

tiến ha phc tp, tinh vi đòi hỏi các cá nhn, tô chc phải liên tc cảnh giác &câp nhât các cng nghệ phòng chống mi.

1.2.3 Cc m hnh bảo mật mng

C nhiu m hnh bảo mât mng đưc s dng để đảm bảo an toàn cho hệ thống

và dữ liệu trong mi trương mng Dưi đy là mt số m hnh bảo mât mngphô biến:

1 M hnh Perimeter (Firewall): Trong m hnh này, mt tương la(firewall) đưc đt  ranh gii giữa mng ni b và mng ngoi vi(Internet) Firewall kiểm soát lưu lưng mng đến và ra khỏi mng nib, ngăn chn các kết nối khng mong muốn và tấn cng t bên ngoài.M hnh này đc biệt hữu ch cho việc bảo vệ mng ni b khỏi các nguyc t Internet

2 M hnh Zero Trust: M hnh Zero Trust giả đnh rằng khng c ai hocbất kỳ thiết b nào đưc tin tưng mc đnh Thay v tâp trung vào bảo vệperimeter, m hnh này yêu cu xác thực và kiểm tra ngươi dng và thiếtb mỗi khi truy câp hệ thống hay dữ liệu, bất kể họ  trong hoc ngoàimng ni b

3 M hnh Segmentation: Trong m hnh này, mng ni b đưc chia thànhcác phn đon (segments) riêng biệt, và quyn truy câp giữa các phnđon đưc kiểm soát cht chẽ Điu này giúp ngăn chn sự ly lan của tấncng t mt phn đon sang phn đon khác trong trương hp xm nhâp

4 M hnh VPN (Virtual Private Network): VPN s dng mã ha để to kếtnối an toàn giữa mng ni b và các thiết b hoc ngươi dng  xa, chophép họ truy câp tài nguyên mng mà khng cn tiếp cân trực tiếp quaInternet Điu này bảo vệ dữ liệu truyn qua kết nối VPN khỏi việc bđánh cắp hoc theo dõi

5 M hnh Honey Pot: M hnh này đt các thiết b giả mo (honey pots)trên mng để la và thu thâp thng tin v tấn cng t ngươi tấn cng.Honey pots khng cha dữ liệu thực tế và đưc s dng để phát hiện vànghiên cu các hnh thc tấn cng mi

6 M hnh SIEM (Security Information and Event Management): M hnhnày liên quan đến việc thu thâp và phn tch dữ liệu liên quan đến an toànmng t nhiu ngun khác nhau để phát hiện các hot đng đáng ngơ vàtấn cng.

7 M hnh Cloud Security: Đối vi các m hnh đám my, an toàn mngthương liên quan đến việc s dng các dch v bảo mât đám my, kiểmsoát quyn truy câp và theo dõi các hot đng trong mi trương đám my

8 M hnh BYOD (Bring Your Own Device): Trong m hnh này, tô chcphải quản lý và bảo mât các thiết b cá nhn mà nhn viên s dng để truycâp mng ni b Điu này đòi hỏi việc triển khai các chnh sách và cngnghệ để đảm bảo tnh bảo mât

1.2.4 Cc biện php bảo mật

C nhiu biện pháp bảo mât mng mà bn c thể triển khai để bảo vệ hệ thống

và dữ liệu của bn khỏi các mối đe dọa và tấn cng Dưi đy là mt số biệnpháp quan trọng:

  Mã ha dữ liệu: S dng mã ha để bảo vệ dữ liệu quan trọng trong quátrnh truyn và lưu trữ Mã ha đảm bảo rằng ngươi khng c quyn truycâp khng thể đọc hoc sa đôi dữ liệu

  Firewall: Thiết lâp và cấu hnh tương la để kiểm soát lưu lưng mng vàngăn chn các kết nối khng mong muốn hoc tấn cng t bên ngoài.  Câp nhât và Bảo tr: Đảm bảo hệ thống và phn mm lun đưc câp nhâtvi các bản vá bảo mât mi nhất để bảo vệ khỏi các lỗ hông đã biết.  Xác thực mnh: S dng xác thực mnh bằng cách kết hp hai hocnhiu yếu tố xác thực, chẳng hn như mât khẩu và mã xác minh (OTP),

để đảm bảo ngươi dng là ai họ ni họ là

  Kiểm tra và giám sát: Theo dõi và ghi li các hot đng mng để pháthiện sm các hot đng đáng ngơ hoc tấn cng

  Quản lý quyn truy câp: Hn chế quyn truy câp để đảm bảo rằng ngươidng ch c quyn truy câp vào những tài nguyên mà họ cn để làm việc.  Phn đon mng (Network Segmentation): Chia mng ni b thành cácphn đon riêng biệt để ngăn chn sự ly lan của tấn cng t mt phnđon sang phn đon khác.

  Quản lý bản quyn và giấy phép: Đảm bảo rằng bn tun thủ các quyns hữu tr tuệ và giấy phép phn mm khi s dng các ng dng và dchv trên mng

  Chnh tr an toàn mng: Xy dựng và thực hiện các chnh tr và quy tắc antoàn mng trong tô chc, bao gm chnh sách bảo mât và quá trnh bảomât

  Đào to nhn viên: Đào to nhn viên v các nguy c bảo mât mng vàcách phòng nga các mối đe dọa Ngươi dng nắm vững những nguy c c bản sẽ giúp ngăn chn nhiu tấn cng

  Bảo mât thiết b di đng: Đảm bảo rằng thiết b di đng như điện thoithng minh và máy tnh bảng cũng đưc bảo mât và tun thủ các chnh tr

an toàn mng

  Sao lưu và khi phc dự phòng: Thực hiện quá trnh sao lưu thươngxuyên và chuẩn b kế hoch khi phc dự phòng để đảm bảo dữ liệu cthể đưc phc hi sau sự cố

  Máy chủ Proxy: S dng máy chủ proxy để ẩn đa ch IP thực của máychủ và ngăn chn tấn cng trực tiếp lên máy chủ

CHƯNG 2: THUẬT TOÁN SẮP XẾP2.1 Thuật ton Buble sort

2.1.1 Aliase ( B danh)

Trong Firewall Pfsense, Alias là mt tnh năng quan trọng giúp quản lýdanh sách các đa ch IP hoc các mc liên quan đến mng mt cách dễ dàng.Alias cho phép bn đt tên và gom nhm các IP li vi nhau, t đ giúp choviệc quản lý Firewall Pfsense tr nên dễ dàng hn

 Hinh 2.1: Chưc năng Alase ca Frewall PFsenseCác Alias c thể đưc s dng để đi diện cho mt hoc nhiu đa ch IP,mt hoc nhiu khu vực mng (subnet), các port (công), các protocol, và cácdch v (service) Alias cho phép bn to mt danh sách các mc này, và s dng li chúng trong nhiu quy tắc Firewall khác nhau

Mt v d s dng Alias trong Firewall Pfsense là khi bn muốn cho phéptruy câp vào mt danh sách các trang web nhất đnh Thay v to mt rule chomỗi trang web, bn c thể to mt Alias cha danh sách các đa ch IP của cáctrang web đ và s dng Alias này trong mt rule duy nhất

Ngoài ra, Alias cũng cho phép bn dễ dàng câp nhât và quản lý danh sáchcác đa ch IP, khu vực mng, port, protocol, và service mt cách hiệu quả Khidanh sách này thay đôi, bn ch cn câp nhât Alias và các rule s dng Alias đ

sẽ đưc câp nhât tự đng

V vây, Alias là mt tnh năng rất hữu ch trong Firewall Pfsense, giúpcho việc quản lý và bảo vệ mng tr nên dễ dàng và hiệu quả hn

2.1.2 Rules ( Luật)

Rules (quy tắc) là mt chc năng quan trọng của tương la PFsense, đưcs dng để quản lý và kiểm soát lưu lưng dữ liệu trên mng Mỗi quy tắc đnhngha mt tâp hp các điu kiện để kiểm tra lưu lưng dữ liệu và mt hành đng

để thực hiện nếu các điu kiện đưc đáp ng

 Hinh 2.2: Chưc năng Rules ca Frewall PFsenseQuy tắc c thể đưc thiết lâp cho các giao thc khác nhau như TCP,UDP, ICMP, vv và c thể đưc áp dng cho các đa ch IP, port và giao thc cthể Các quy tắc đưc áp dng liên tc t trên xuống dưi và thương đưc ưutiên theo th tự để đảm bảo rằng các quy tắc đưc áp dng chnh xác

Đối vi Firewall PFsense, Rules c thể đưc s dng để kiểm soát truycâp mng, cấu hnh mng NAT, chn các đa ch IP đc hi, gii hn băngthng, xác đnh các quy tắc cho VPN, vv Các quy tắc còn c thể đưc s dng

để giám sát lưu lưng mng và báo cáo v các hot đng mng khng bnhthương

2.1.3 NAT ( Biên dch đa ch mng)

Chc năng NAT (Network Address Translation) là mt tnh năng quantrọng trong tương la Pfsense NAT đưc s dng để chuyển đôi đa ch IP củacác thiết b trong mng ni b sang đa ch IP của b đnh tuyến (router) ngoàimng, giúp cho các thiết b trong mng ni b c thể truy câp internet và giaotiếp vi các thiết b khác trên mng Internet

 Hinh 2.3: Chưc năng NAT ca Frewall PFsenseTrong Pfsense, NAT c thể đưc cấu hnh để cho phép các kết nối đến t bên ngoài đưc chuyển hưng đến các thiết b trong mng ni b thng qua cácquy tắc cấu hnh NAT Ngưc li, NAT cũng cho phép các kết nối ra ngoàiinternet t các thiết b trong mng ni b

Ngoài ra, NAT trong Pfsense cũng hỗ tr mt số tnh năng khác như PortForwarding, NAT Reflection, Outbound NAT và 1:1 NAT Các tnh năng nàycung cấp các phưng tiện cho việc cấu hnh và quản lý các quy tắc NAT phhp vi nhu cu của mng và ng dng s dng trên mng.

2.1.4 Routing ( Đnh tuyến)

Chc năng Routing của Firewall Pfsense là cho phép điu hưng dữ liệutrên mng của bn N giúp xác đnh cách mà các gi dữ liệu đưc chuyển tiếpgiữa các mng và các thiết b khác nhau trong mng

 Hinh 2.4: Chưc năng Routng ca Frewall PFsense

Pfsense hỗ tr nhiu loi routing, bao gm:

  Static routing: là loi routing c bản nhất, cho phép bn đnh tuyến cácgi dữ liệu đến đa ch IP c thể

  Dynamic routing: là loi routing tự đng, n s dng các giao thc đnhtuyến để tm kiếm đương đi tối ưu nhất cho các gi dữ liệu Pfsense hỗtr các giao thc đnh tuyến như OSPF, RIP và BGP

  Policy-based routing: cho phép bn xác đnh đương đi của các gi dữ liệudựa trên các tiêu ch như đa ch ngun, đa ch đch hoc công

  Load balancing: cho phép phn phối các gi dữ liệu đến các đương đikhác nhau, giúp tăng tốc đ truyn tải dữ liệu và tăng tnh sẵn sàng củamng

Vi chc năng Routing của Firewall Pfsense, bn c thể quản lý và điuhưng dữ liệu trên mng của bn mt cách linh hot và hiệu quả.

2.1.5 Virtual Ips ( IP ảo)

Chc năng Virtual IPs (VIPs) trong Firewall Pfsense là mt tnh năng chophép nhiu đa ch IP đưc gán cho mt giao diện mng đn VIPs cho phépmt số ng dng c thể chy trên nhiu máy chủ vât lý khác nhau nhưng vẫn ccng đa ch IP trên mng

 Hinh 2.5: Chưc năng Vrtual Ips ca Frewall PFsense

Các loi VIPs bao gm:

  IP Alias: cho phép đnh ngha thêm mt hoc nhiu đa ch IP cho mtgiao diện mng Điu này rất hữu ch khi bn muốn đnh tuyến các dchv đến máy tnh khác nhau trên mng LAN của bn

  CARP (Common Address Redundancy Protocol): mt giao thc dựa trênđa ch IP đưc s dng để cung cấp tnh năng cn bằng tải và sự dự phòng cho các máy chủ Khi mt máy chủ chnh s dng VIP của mnh,các máy chủ dự phòng c thể thay thế n mà khng cn sa đôi đa ch IPcủa VIP

  Proxy ARP (Address Resolution Protocol): cho phép các máy tnh kháctrên cng mt mng LAN đnh tuyến các yêu cu đến VIP của bn Điu

này cho phép các máy tnh khác trong mng LAN c thể truy câp vào cácdch v mà bn cung cấp thng qua VIP của bn.

Việc s dng VIPs giúp tăng tnh sẵn sàng và linh hot cho các ng dng

và dch v trên mng của bn

2.1.6 Schedules ( Lch trnh)

Chc năng Schedules trong Firewall Pfsense cho phép ngươi quản tr tolch trnh để áp dng các quy tắc tương la theo thơi gian c thể Vi chc năngnày, ngươi dng c thể thiết lâp các quy tắc tương la như mt kế hoch hàngngày, hàng tun, hàng tháng hoc theo mt lch trnh c thể Điu này rất hữu

ch để gii hn truy câp vào các dch v hoc ng dng ch trong thơi gian nhấtđnh, giúp quản tr mng c thể kiểm soát đưc lưu lưng mng và bảo mât hệthống

 Hinh 2.6: Chưc năng Schedules ca Frewall PFsense

V d, ngươi quản tr c thể thiết lâp mt quy tắc tương la cho phép truycâp vào mt ng dng c thể t 8h sáng đến 5h chiu th Hai đến th Sáu hàngtun Sau thơi gian đ, quy tắc sẽ tự đng b tắt và khng cho phép truy câp vào

ng dng đ Chc năng này giúp ngươi quản tr giảm thiểu rủi ro bảo mât vàquản lý tốt hn các hot đng truy câp mng của ngươi dng

2.1.7 Traffic Sharper ( Quản lý băng thng)

Chc năng Traffic Shaper của Firewall Pfsense cho phép quản lý băngthng mng để đảm bảo sự ôn đnh và cng bằng trong việc phn phối băngthng cho các ng dng và dch v

 Hinh 2.7: Chưc năng Traffc Sharper ca Frewall PFsense

Vi chc năng Traffic Shaper, ngươi dng c thể to ra các rule để giihn tốc đ truy câp, xác đnh các ưu tiên cho các ng dng và dch v quantrọng hn, giúp tối ưu ha băng thng và tránh tnh trng quá tải

Firewall Pfsense hỗ tr mt số phưng pháp Traffic Shaper như CBQ,HFSC, PRIQ, RRULQ, ngoài ra còn c thể ty chnh các tham số như tốc đtruy câp, băng thng, đ trễ, để tối ưu ha quản lý băng thng mng

2.2 Mt s chưc năng và dch v khc

2.2.1 VPN

Firewall Pfsense cung cấp các tnh năng VPN để cho phép các kết nốimng đưc thiết lâp t xa mt cách an toàn Các giao thc VPN đưc hỗ tr baogm:

  OpenVPN: là giao thc VPN mã ngun m, đưc coi là an toàn và hiệuquả N đưc cung cấp vi giao diện ngươi dng trực quan và dễ sdng

  IPsec: là mt giao thc VPN phô biến, đưc s dng rng rãi trong cácdoanh nghiệp IPsec cho phép to ra các kết nối VPN an toàn và ôn đnh.  L2TP: là mt giao thc VPN tiêu chuẩn đưc s dng để to ra các kếtnối VPN an toàn giữa các máy tnh hoc thiết b mng

Firewall Pfsense cũng cung cấp tnh năng chuyển mch VPN, cho phépcác kết nối VPN đưc chuyển đôi giữa các máy chủ VPN khác nhau mt cách

dễ dàng và nhanh chng Ngoài ra, Firewall Pfsense cũng hỗ tr tnh năng xácthực đa nhn tố, bảo vệ các kết nối VPN bằng cách yêu cu các thng tin xácthực t nhiu ngun khác nhau

2.2.1.1 OpenVPN

OpenVPN là mt trong những dch v VPN đưc hỗ tr bi FirewallPfsense OpenVPN là mt giải pháp mã ngun m, cung cấp khả năng kết nốimnh mẽ và bảo mât thng qua việc s dng mã ha SSL/TLS

Vi OpenVPN, ngươi dng c thể truy câp mng ni b của tô chcthng qua kết nối Internet, giúp cung cấp tnh linh hot và tiện li cho nhn viênlàm việc t xa Ngoài ra, OpenVPN còn cung cấp nhiu tnh năng bảo mât, baogm khả năng xác thực hai yếu tố, bảo vệ chống li tấn cng DDoS và khả năngđnh tuyến thng minh để tối ưu ha hiệu suất kết nối.

Trong Firewall Pfsense, OpenVPN c thể đưc cấu hnh thng qua giaodiện web quản tr, cho phép ngươi dng dễ dàng to và quản lý các máy chủ vàmáy khách VPN Bên cnh đ, Pfsense còn hỗ tr các cấu hnh nng cao choOpenVPN như chuyển hưng đa ch IP, cấu hnh hn chế băng thng, quản lýđăng nhâp và giám sát lưu lưng mng

2.2.1.2 IPSec ( Giao thưc bảo mật Internet)

IPSec (Internet Protocol Security) là mt giao thc bảo mât mng dựatrên m hnh client-server để thiết lâp mt kênh kết nối bảo mât giữa hai hocnhiu thiết b mng IPSec đưc s dng phô biến trong các hệ thống VPN(Virtual Private Network) để to ra mt kênh kết nối an toàn giữa các mngkhác nhau

Firewall Pfsense hỗ tr IPSec VPN để cho phép các thiết b trong mngkết nối an toàn vi nhau thng qua Internet IPSec VPN cho phép truy câp timng ni b của tô chc t xa mt cách an toàn và bảo mât N s dng cácgiao thc mã ha để đảm bảo tnh toàn vẹn của dữ liệu và sự xác thực của ngươidng

Firewall Pfsense c thể hot đng như mt máy chủ IPSec VPN và cũngc thể đưc cấu hnh để kết nối vi mt máy chủ IPSec VPN bên ngoài Cáctnh năng bảo mât mnh của IPSec VPN làm cho n tr thành lựa chọn phô biếncho các tô chc và doanh nghiệp để thiết lâp các kết nối mng an toàn giữa cácchi nhánh và văn phòng làm việc t xa

2.2.1.3 L2TP ( Giao thưc đơng hầm 2 lớp)

L2TP (Layer 2 Tunneling Protocol) là mt giao thc VPN (VirtualPrivate Network) đưc s dng để to kết nối mng giữa các thiết b vi nhauthng qua mt kết nối Internet cng cng L2TP c khả năng mã ha dữ liệu vàgiúp tăng cương tnh bảo mât trong quá trnh truyn tải thng tin

Firewall Pfsense hỗ tr việc thiết lâp kết nối VPN L2TP cho phép ngươidng t xa kết nối đến mng ni b của tô chc hoc doanh nghiệp mt cách antoàn và bảo mât Việc s dng L2TP trên Firewall Pfsense cũng giúp quản trviên c thể theo dõi và quản lý lưu lưng dữ liệu truy câp t xa mt cách hiệuquả

2.2.2 Package Manager ( Trnh quản lý gi)

Package Manager là mt tnh năng của Firewall Pfsense cho phép ngươidng cài đt và quản lý các gi phn mm bô sung (packages) cho hệ thống củamnh Các packages này cung cấp các tnh năng và chc năng bô sung cho hệthống như: quản lý DNS, phn tch lưu lưng mng, phn tch bảo mât, quản lýngươi dng, quản lý dch v mng, v.v

Package Manager cho phép ngươi dng dễ dàng tm kiếm, tải v và càiđt các packages mt cách nhanh chng và tiện li N cũng cung cấp thng tinchi tiết v các packages đã cài đt và cho phép ngươi dng câp nhât cácpackages này khi c phiên bản mi

Package Manager giúp ngươi dng m rng và ty chnh hệ thốngFirewall Pfsense của mnh để ph hp vi nhu cu và yêu cu c thể của họ2.2.3 Captive Portal ( Công c đnh)

Chc năng Captive Portal của Firewall Pfsense là mt tnh năng giúp giihn truy câp Internet cho ngươi dng trong mt mng N hot đng bằng cáchyêu cu ngươi dng cung cấp thng tin xác thực để truy câp Internet, như tênngươi dng và mât khẩu hoc mt mã xác thực đưc cấp trưc Điu này giúp

hn chế sự truy câp của những ngươi khng c quyn truy câp vào mng, đngthơi cũng giúp quản lý và giám sát lưu lưng Internet trong mng.

 Hinh 2.9: Chưc năng Captve Portal ca Frewall PFsense

Captive Portal cho phép to mt trang đăng nhâp ty chnh, trang thngbáo hoc trang chuyển hưng cho ngươi dng khi họ truy câp Internet Tnhnăng này cũng cho phép to tài khoản ngươi dng riêng và quản lý lưu lưngInternet theo ngươi dng

Ngoài ra, Captive Portal cũng c tnh năng gii hn thơi gian s dngInternet của ngươi dng, cho phép to các chnh sách truy câp Internet linh hot

và ty chnh hn cho tng nhm ngươi dng khác nhau

2.2.4 DHCP ( Giao thưc cấu hnh host đng)

2.2.4.1 DHCP Server

DHCP (Dynamic Host Configuration Protocol) Server là mt chc năngcủa Firewall Pfsense cho phép tự đng cấp phát các thng tin cấu hnh IP chocác thiết b trong mt mng Khi mt thiết b kết nối đến mng, DHCP Server sẽ

tự đng cấp phát đa ch IP, subnet mask, default gateway, DNS server, NTPserver và các thng tin cấu hnh khác để thiết b c thể kết nối đến mng và truycâp internet

Pfsense hỗ tr cấu hnh DHCP Server vi nhiu ty chọn như:

  Cấp phát đa ch IP tnh hoc đng

  Thiết lâp thơi gian cho thuê đa ch IP (lease time)

  Tự đng câp nhât DNS server

  Cho phép khai báo tên min (domain name)

  Cấu hnh các thng số ty chọn như WINS server, NTP server, option 43,option 60,

Vi chc năng DHCP Server, Pfsense giúp quản lý và phn bô đa ch IPcho các thiết b trong mng mt cách dễ dàng và hiệu quả

2.2.4.2 DHCP relay

DHCP relay là mt tnh năng trên Firewall Pfsense, cho phép chuyển tiếpcác yêu cu DHCP t mng con sang mt DHCP server khác  mng ln hn.Khi mt máy tnh trong mt mng con yêu cu đa ch IP, thng thương n sẽgi yêu cu này ti mt DHCP server nằm trong mng đ Tuy nhiên, khi mtmng con đưc kết nối vi mt mng ln hn, chẳng hn như Internet, máy tnhtrong mng con sẽ khng tm thấy bất kỳ DHCP server nào trong mng củamnh

Trong trương hp này, DHCP relay sẽ đưc s dng để chuyển tiếp cácyêu cu DHCP t mng con ti mt DHCP server khác  mng ln hn Khi đ,

DHCP server sẽ trả lơi yêu cu DHCP và trả li đa ch IP ti máy tnh  mngcon.

Vi DHCP relay trên Firewall Pfsense, bn c thể cấu hnh để chuyểntiếp yêu cu DHCP t mt mng con đến mt hoc nhiu DHCP server  cácmng khác, giúp quản lý đa ch IP tr nên dễ dàng hn và hn chế sự cố mấtkết nối khi chuyển mch giữa các mng con

2.2.5 Snort

Snort là mt ng dng mã ngun m giúp phát hiện và ngăn chn các tấncng mng Trên pfSense, Snort c thể đưc tch hp để bô sung tnh năng bảomât cho tương la

 Hinh 2.10: Tnh năng Snort trn Frewall PFsenseDưi đy là mt số tnh năng Snort trên firewall pfSense:

  Phát hiện tấn cng mng: Snort s dng tâp luât để phát hiện các hành vikhng bnh thương trong lưu lưng mng N c thể phát hiện các tấncng như tấn cng DoS (Denial of Service), tấn cng Brute Force, xmnhâp máy chủ, và nhiu loi tấn cng mng khác

  Lọc lưu lưng mng: Snort cho phép bn thiết lâp các quy tắc (rules) đểlọc lưu lưng mng dựa trên các tiêu ch như đa ch IP ngun/đch, côngngun/đch, giao thc, và các yếu tố khác Điu này giúp kiểm soát lưulưng mng vào và ra khỏi hệ thống.

  Báo cáo và theo dõi: Snort cung cấp các cng c để theo dõi và báo cáov các hot đng mng bất thương Bn c thể xem các sự kiện đã đưcphát hiện, thống kê, và theo dõi tnh trng an ninh của hệ thống mng.  Quản lý và câp nhât luât Snort: Snort s dng mt tâp luât để phát hiệntấn cng Các luât này cn đưc câp nhât đnh kỳ để đảm bảo tnh hiệuquả PfSense cho phép bn quản lý và câp nhât luât Snort dễ dàng, đngthơi cung cấp khả năng ty chnh quy tắc

  Thiết lâp ngưỡng cảnh báo: Bn c thể đnh cấu hnh Snort để to cảnhbáo khi c các sự kiện mng quan trọng xảy ra Các cảnh báo c thể đưcgi qua email hoc log để quản lý c thể phản ng kp thơi

  Tch hp vi pfSense: Snort c thể tch hp trực tiếp vào pfSense, giúpquản lý bảo mât hệ thống dễ dàng hn Bn c thể cài đt và cấu hnhSnort trên giao diện quản tr web của pfSense

CHƯNG 3: XÂY DNG VÀ CHẠY TH NGHIỆM MÔ HNH TRIỂN

KHAI PFSENSE3.1 Cài đt và cấu hnh my ảo

3.1.1 Eve-ng

Bớc 1: Tải và cài đt EVE-NG

  Tải EVE-NG t trang chnh thc: EVE-NG Downloads

  Chọn phiên bản ph hp vi hệ điu hành của bn (Windows/Linux).Bớc 2: Mở VMware Workstation và to my ảo mới

  M VMware Workstation

  Chọn "File" > "New Virtual Machine" để bắt đu quá trnh to máy ảo.  Trong Wizard, chọn "Custom (advanced)" và nhấn "Next"

  Chọn "Workstation 16.x" hoc phiên bản mi nhất nếu c

  Chọn "I will install the operating system later" và nhấn "Next"

Bớc 3: Cấu hnh chi tiết my ảo

  Chọn hệ điu hành bn sẽ cài đt (Linux) và phiên bản (Other Linux 5.x

or later kernel 64-bit)

  Gán RAM cho máy ảo (ty thuc vào cấu hnh hệ thống, t nhất 4GB là lýtưng)

  Chọn "Use bridged networking" để máy ảo c thể truy câp mng

  Chọn "SCSI" và "Create a new virtual disk"

  Thiết lâp dung lưng ô đa (t nhất 40GB là lý tưng) và chọn "Storevirtual disk as a single file"

  Nhấn "Next" để tiếp tc và sau đ nhấn "Finish" để hoàn tất

Bớc 4: Cài đt hệ điu hành Linux trên my ảo

  Bât máy ảo và chọn ISO của hệ điu hành Linux để cài đt.  Tiến hành cài đt hệ điu hành như bnh thương

3.1.2 Firewall Pfsense 2.7.0

Để cài đt pfSense, hệ thống cn đáp ng mt số yêu cu c bản như sau:  Máy tnh vi các thng số ph hp vi phiên bản pfSense cài đt, tốithiểu là:

1 B vi x lý 64-bit dual core tr lên (hỗ tr Intel hoc AMD)

2 RAM tối thiểu là 1GB, tuy nhiên, vi mt mng ln, tốt nhất nêndng t nhất 4GB RAM

3 ô cng hoc ô USB vi dung lưng tối thiểu 8GB

4 Card mng hỗ tr đy đủ chc năng của pfSense

  USB flash drive hoc CD/DVD để boot và cài đt pfSense

  Truy câp vào máy tnh t xa để cài đt pfSense hoc trực tiếp cắm mànhnh, bàn phm và chut để cài đt

  Đối vi việc cấu hnh mt số tnh năng của pfSense, cn kiến thc c bảnv mng, firewall, routing và các khái niệm liên quan

Các bưc cài đt Firewall Pfsense trên Vmware Workstation:

Để cài đt Pfsense trên VMware Workstation, cn làm theo các bưc sau:Bớc 1: Tải xung tập tin ISO Pfsense

  Truy câp trang web chnh thc của Pfsense và tải xuống tệp ISO ph hpvi phiên bản cn cài đt

Bớc 2: To my ảo trên VMware Workstation

  M VMware Workstation và chọn "Create a New Virtual Machine" Tiếptheo, ta sẽ đưc hưng dẫn xy dựng máy ảo vi các ty chọn sau:  Choose the installation media: Chọn "Installer disc image file (iso)" vàchọn đến file ISO Pfsense va tải v

  Select a Guest Operating System: Chọn "FreeBSD"

  Name the Virtual Machine: Đt tên cho máy ảo

  Specify Disk Capacity: Chọn dung lưng ô cng cho máy ảo.

  Finish: Hoàn thành việc to máy ảo

Bớc 3: Cấu hnh thiết lập cho my ảo

Chọn máy ảo va to và chọn Edit virtual machine settings Trong đ, ta cnphải cấu hnh các thiết lâp sau:

Memory: Chọn dung lưng RAM ph hp cho máy ảo

Processors: Chọn số lưng CPU

CD/DVD: Chọn "Use ISO image file" và chọn đến file ISO Pfsense va tải v.Network Adapter: Chọn "Bridged" để cho phép kết nối mng giữa máy ảo vàmáy tnh thât

Hard Disk: Chọn dung lưng ô cng ph hp

Bớc 4: Cài đt Pfsense

Sau khi đã cấu hnh xong máy ảo, ta khi đng máy ảo và theo dõi các bưchưng dẫn để cài đt Pfsense trên VMware Workstation

Bớc 5: Hoàn tất cài đt và cấu hnh Pfsense

Sau khi cài đt Pfsense, ta cn cấu hnh các thiết lâp cn thiết để s dng Việccấu hnh Pfsense sẽ đưc thực hiện thng qua giao diện web của Pfsense Ta cthể truy câp vào giao diện web bằng cách s dng đa ch IP của Pfsense đưccấp phát trong quá trnh cài đt

3.1.3 Ubuntu Server 22.04

Các bưc cài đt Web Server trên Vmware Workstation

Để cài đt mt web server chy trên Ubuntu Server và VMware, cn làm theocác bưc sau:

Bớc 1: Tải và cài đt Ubuntu Server trên my ảo VMware

Truy câp trang web chnh thc của Ubuntu để tải xuống tệp ISO của UbuntuServer Tiếp đ, to mt máy ảo mi trên VMware và s dng tệp ISO để càiđt Ubuntu Server lên máy ảo đ

 Hinh 3.5 T v c đt Ubuntu Server trn máy o VMware

Bớc 2: Cài đt Apache2

Sau khi cài đt Ubuntu Server thành cng, m Terminal và chy lệnh sau để càiđt Apache2:

sudo apt-get update

sudo apt-get nstall apache2

Bớc 3: Kim tra Apache2 đã đợc cài đt thành cng hay cha

Sau khi cài đt xong, ta c thể kiểm tra xem Apache2 đã đưc cài đt thànhcng hay chưa bằng cách m trnh duyệt web và nhâp đa ch IP của máy ảoUbuntu Server Nếu bn thấy trang web mc đnh của Apache2 xuất hiện, đ làdấu hiệu cho thấy Apache2 đã đưc cài đt thành cng

 Hinh 3.6 Trang web mc đnh ca Apache2