Đại học Công Nghệ Thông Tin Đại học quốc gia Tp.HCM Đề tài: Tìm hiểu công cụ Pfsense Các thành viên nhóm: Nguyễn Tiến Thành MSSV: 08520354 Nguyễn Vũ An MSSV: 08520517 Phạm Ngọc Sơn MSSV: 08520317 Giáo viên: Vũ Trí Dũng Mục lục Chương I:Giới Thiệu Chương II:Tìm hiểu PfSenSe Chương III:So sánh PFSenSe với FireWall khác 36 Kết Luận: 37 Chương I:Giới Thiệu 1.1 Tổng quan an ninh mạng: Theo kết điều tra Công ty an ninh mạng Bkav, có 85.000 máy tính Việt Nam bị lấy cắp liệu nhiễm virus mạng botnet Ramnit Đây tình trạng đáng báo động nhiều thông tin quan trọng cá nhân, tổ chức Việt Nam nằm tay tin tặc.Qua theo dõi phân tích biến thể virus cho thấy, mạng lưới botnet Ramnit hacker điều khiển giao thức IRC thông qua nhiều máy chủ đặt Mỹ, Nga, Đức Trung Quốc Kết điều tra cho thấy hacker tạo lập botnet Ramnit cách phát tán virus qua tất đường như: USB, khai thác lỗ hổng phần mềm, gửi email đính kèm virus, gửi link qua chương trình chat… Virus Ramnit giả mạo phần mềm phổ biến như: Macromedia Flash Player, Adobe Acrobat Reader, Windows Update… hòng qua mặt người sử dụng Chính thế, chúng dễ dàng lây nhiễm số lượng lớn máy tính cách nhanh chóng Khi lây nhiễm vào máy tính chiếm quyền điều khiển, virus Ramnit đánh cắp liệu máy tính nạn nhân, từ mật ứng dụng FTP đến cookie trình duyệt FireFox, Chrome, Internet Explorer Với thông tin lấy được, hacker kiểm soát tài khoản email, tài khoản ngân hàng… nạn nhân Đồng thời, máy tính nạn nhân, virus mở cổng hậu (backdoor) cho phép hacker lấy file liệu máy Điều nguy hiểm virus Ramnit hoạt động âm thầm, nên người dùng khó phát máy tính có bị nhiễm hay không, bị nhiễm từ Sự việc hàng chục nghìn máy tính bị kiểm soát lấy cắp liệu vấn đề nghiêm trọng, cho thấy tình trạng lộ, lọt thông tin Việt Nam trở nên đáng báo động Điều không gây thiệt hại cho cá nhân người sử dụng máy tính, mà đe dọa an toàn an ninh tổ chức, doanh nghiệp, gây ảnh hưởng đến an ninh quốc gia Cũng thống kê có 88 website quan, doanh nghiệp Việt Nam bị hacker xâm nhập, có 9trường hợp gây hacker nước, 79 trường hợp hacker nước ngoài.Trong tháng có 3.068 dòng virus máy tính xuất Việt Nam Các virus lây nhiễm trên5.627.000 lượt máy tính Virus lây nhiều tháng qua W32.Sality.PE lây nhiễm 415.000 lượt máy tính (http://www.bkav.com.vn/tin_tuc_noi_bat/-/view_content/content/hon-85-000-may-tinh-taiviet-nam-da-bi-lay-cap-du-lieu) 1.2 Sự cần thiết sử dụng công cụ mạng: 1.2.1 Bảo vệ liệu: Thông tin lưu trữ máy phải đảm bảo số yêu cầu sau: - Tính toàn vẹn: thông tin không bị sửa đổi - Tính bảo mật: thông tin quân sự, kinh doanh… phải đảm bảo không bị tiết lộ 1.2.2 Bảo vệ tài nguyên mạng: -Ngăn chặn việc công xâm nhập hệ thống sửa đổi,tìm kiếm thông tin nhạy cảm… dung để công mạng khác - Nếu máy tính bạn không bảo vệ, bạn kết nối Internet, tất truy cập vào mạng cho phép, hacker lợi dụng trojan, virus truy cập lấy cắp thông tin cá nhân cuả bạn máy tính Chúng cài đặt đoạn mã để công file liệu máy tính Chúng sử dụng máy tính cuả bạn để công máy tính gia đình doanh nghiệp khác kết nối Internet 1.3 Giới thiệu Firewall: 1.3.1 Firewall gì: -Trong Công nghệ mạng thông tin, FireWall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thông số thông tin khác không mong muốn -Internet FireWall tập hợp thiết bị (bao gồm phần cứng phần mềm) đặt ạng tổ chức, công ty, hay quốc gia (Intranet) Internet Phân loại Firewall: Firewall chia làm loại, gồm Firewall phần cứng Firewall phần mềm:  Firewall phần cứng: Là firewall tích hợp Router Đặc điểm: • Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) • Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) • Firewall cứng kiểm tra nột dung gói tin  Firewall mềm: Là Firewall cài đặt Server Đặc điểm: • Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức • Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) • Firewal mềm kiểm tra nội dung gói tin (thông qua từ khóa) Ví dụ Firewall mềm: Zone Alarm, Norton Firewall… 1.3.2 Chức Firewall Chức Firewall kiểm soát luồng thông tin từ Intranet Internet Thiết lập chế điều khiển dòng thông tin mạng bên (Intranet) mạng Internet Cụ thể là: • Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) • Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) • Theo dõi luồng liệu mạng Internet Intranet • Kiểm soát địa truy nhập, cấm địa truy nhập • Kiểm soát người sử dụng việc truy nhập người sử dụng • Kiểm soát nội dung thông tin thông tin lưu chuyển mạng “The firewall itself is positioned logically between the internal network (the LAN) and the external network(the WAN)” (TACTICAL PERIMETER DEFENSE , p 156) 1.4 Tổng quan viết: Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành phần kể tương đối tốn Vì người dùng không muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên (Internet) PFSENSE giải pháp tiết kiệm hiệu tương đối tốt người dùng Bài báo cáo Firewall pfSense sẽ giải vấn đề bảo mật cho doanh nghiệp vừa nhỏ Sau giới thiệu hiểu rõ tính pfsense biết điểm mạnh yếu pfsense với phần mềm khác Chương II:Tìm hiểu PfSenSe 2.1 Tổng quan PfSenSe pfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng cho phép bạn mở rộng mạng mà không bị thỏa hiệp bảo mật Bẳt đầu vào năm 2004, m0n0wall bắt đầu chập chững– dự án bảo mật tập trung vào hệ thống nhúng – pfSense có triệu download sử dụng để bảo vệ mạng tất kích cỡ, từ mạng gia đình đến mạng lớn của công ty Ứng dụng có cộng đồng phát triển tích cực nhiều tính bổ sung phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng Trong phần mềm miễn phí có nhiều tính ấn tượng firewall/router miễn phí, nhiên có số hạn chế Pfsense hỗ trợ lọc địa nguồn địa đích, cổng nguồn cổng đích hay địa IP Nó hỗ trợ sách định tuyến hoạt động chế độ bridge transparent, cho phép bạn cần đặt pfSense thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung pfSense cung cấp network address translation (NAT) tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) Session Initiation Protocol (SIP) sử dụng NAT pfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phòng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phòng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải Tuy nhiên có hạn chế với chỗ thực cân lưu lượng phân phối hai kết nối WAN bạn định lưu lượng cho qua kết nối 2.2 Cài đặt PfSenSe hệ thống mạng cho báo cáo 2.2.1 Hệ thống mạng sử dụng báo cáo: 2.2.2 Mô hình mạng sau Cụ thể mô hình này, server pfSense có đường kết nối WAN đường vào LAN Vì vậy, thực lab này, phải có kết nối wan để cung cấp đường internet từ hai ISP khác Nhưng thực hiện, ta có đường kết nối internet server Vì vậy, với lab thực WMWare, sử dụng máy ảo Windows Server 2003 để chia đường kết nối thành đường (qua tính Routing and Remote Access), server pfSense thực VMware Cấu hình card mạng cho WinSer2k3: Có network interface: - Interface ( interface mặc định) bridge để kết nối Internet IP 192.168.0.4/24, gateway 192.168.0.1 -Interface thứ hai Adapter2 nối với VMnet2: IP 192.168.2.3/24 -Interface thứ ba Adapter3 nối với VMnet3 IP 192.168.3.3/24 Cấu hình máy PfSenSe:Có network interface, interface nối với interface windows server 2003 để có đường internet, Interface nối vào LAN - Interface ( interface mặc định) nối vào VMnet2 với ip 192.168.2.2/24 (gateway 192.168.2.3) - Interface thứ hai Adapter2 nối vào VMnet3 với IP 192.168.3.2/24(gateway 192.168.3.3) - Interface thứ ba Adapter3 nối vào VMnet4 (interface LAN) với IP 192.168.0.1/24 2.2.3 Cài đặt pfSense Cho đĩa PfSense vào giao diện menu boot Tiếp theo 10 -Tiếp theo Chúng ta phải chỉnh định lưu lượng truy cập đến gateway cách thiết lập rule firewall cách vào Firewall=>Rules chọn tab LAN Thêm Rule sau: Interface:Lan Destination:any Protocol:any Gateway:Loadblancer Source:Lan subnet 2.4.3 VPN (PPTP): VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa 25 Để thiết lập kết nối VPN(PPTP)ta vào VPN=>PPTP Check chọn Enable PPTP Server No PPTP User:quy định số kết nối đến VPNServer time Server Address:Địa VPN Server Remote address range:dãy địa cấp cho client kết nối vào VPN Server Save lại.Sau qua tab User để thêm User truy cập 26 Sau ta cấu hình Rule phép truy cập qua VPN Firewall=>Rules Interface:PPTP VPN Protocol:any Destination:any Gateway:Loadbalancer 27 Sau ta cấu hình Nat Inbound cho máy Lan Firewall=>NAT 28 Interface:PPTP VPN Protocol:TCP Source port range:PPTP Destination port range:PPTP Redirect target port:192.168.2.2 Cấu hình VPN cho máy client thuộc mạng External VPN máy PfSenSe: 29 30 31 32 Ping thử vào máy Mạng Lan để kiểm tra: 2.4.4 Remote Desktop: Để Remote Desktop từ máy bên máy Remote Server ta cần NAT port 3389 máy PfSense trỏ máy Remote Server Vào Firewall=>NAT.Bấm vào nút 33 Interface:Wan Destination port range:MS RDP Protocol:TCP Redirect target IP:192.168.0.50 Source:any Redirect target port:MS RDP Test Remote Desktop:Trên máy client 34 “PfSense 2.0 cookbook-Matt Williamson” 35 Chương III:So sánh PFSenSe với FireWall khác 3.1 So Sanh PfSenSe với ISA Server: ISA Server tưởng lửa chuyên dụng cung cấp Microsoft.Tương thích với hệ thống windowm,tuy nhiên giá thành cao khó cấu hình 3.1.1 3.1.2 Ưu điểm: • Không đòi hỏi cao phần cứng • Là phần mềm mã nguồn mở,không đòi hỏi chi phí • Dể cấu hình • Dễ cấu hình thêm dựa vào việc install package từ trang chủ • Tương thích với hệ thống doanh nghiệp vừa nhỏ Khuyết điểm: • Giao diện cấu hình wa Web GUI • Không tích hợp với hệ điều hành Windown • Không hỗ trợ từ nhà sản xuất hay hãng phát hành • Chưa lọc URL firewall khác • Phải trang bị thêm modem sãn 3.2 So Sánh PfSenSe với Firewall cứng: 3.2.1 Ưu điểm: • Dễ cấu hình • Backup Restore đơn giản 36 3.2.2 • Không tốn chi phí • Không đòi hỏi cao kiến thức chuyên môn Khuyết điểm: • Do Firewall phần mềm nên dễ bị khai thác lỗ hổng bảo mật với Firewall phần cứng • Các Firewall phần cứng hỗ trợ cao từ phận chăm sóc khách hàng…vd Cisco Draytek • Firewall phần cứng thường chạy ổn định • Firewall phần cứng có tính bảo mật cao • Các Firewall phần cứng không bị phụ thuộc vào môi trường cài đặt Kết Luận: Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành phần kể tương đối tốn Vì người dùng không muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên (Internet) Pfsense giải pháp tiết kiệm hiệu tương đối tốt người dùng Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm Pfsense không đòi hỏi phải cao phần mềm Chúng ta cần máy tính P3, Ram 128, HDD 1GB đủ để dựng nên tường lửa Pfsense bảo vệ mạng bện PfSense ứng dụng có chức định tuyến vào tường lửa mạnh ứng dụng cho phép bạn mở rộng mạng mà không bị thỏa hiệp bảo mật.Phần mềm thiết kế nhỏ gọn, dễ dàng cấu hình thông qua giao diện web đặc biệt có khả cài đặt thêm gói dịch vụ để mở rộng tính Tường lửa pfSense đáp ứng mạng doanh nghiệp nhỏ dễ dàng quản lý cung cấp nhiều tính để sản phẩm thương mại Mặc dù số tính sử dụng doanh nghiệp lớn nhiều hạn chế, không khuyên bạn sử dụng môi trường lớn Với cộng đồng phát triển 37 tích cực ứng dụng này, dự án nên giải vấn đề tính bổ sung Bạn hoàn toàn bổ sung pfSense vào danh sách giải pháp firewall/router mạng phát triển, giá thành thấp miễn phí Tài liệu tham khảo: + Sách pfSenSe 2.0 cookbook Matt Williamson + Forum Nhatnghe.com-Mục viết tiêu biểu: http://www.nhatnghe.com/forum/showthread.php?t=89833\8 + PfSenSe Doc –Tutorial http://doc.pfsense.org/index.php/Tutorials 38 39