Đại học Công Nghệ Thông Tin Đại học quốc gia Tp.HCM Đề tài: Tìm hiểu cơng cụ Pfsense Các thành viên nhóm: Nguyễn Tiến Thành MSSV: 08520354 Nguyễn Vũ An MSSV: 08520517 Phạm Ngọc Sơn MSSV: 08520317 Giáo viên: Vũ Trí Dũng Mục lục Chương I:Giới Thiệu .3 1.1 Tổng quan an ninh mạng: .3 1.2 Sự cần thiết sử dụng công cụ mạng: 1.2.1 Bảo vệ liệu: 1.2.2 Bảo vệ tài nguyên mạng: .4 1.3 Giới thiệu Firewall: 1.3.1 Firewall gì: 1.3.2 Chức Firewall 1.4 Tổng quan viết: Chương II:Tìm hiểu PfSenSe 2.1 Tổng quan PfSenSe 2.2 Cài đặt PfSenSe hệ thống mạng cho báo cáo 2.2.1 Hệ thống mạng sử dụng báo cáo 2.2.2 Cài đặt pfSense .10 2.2.3 Cài đặt địa cho WAN qua Web GUI: 14 2.2.4 Khai báo DNS: .17 2.3 Các tính PfSenSe 18 2.3.1 PfSenSe Aliases: 18 2.3.2 NAT: 18 2.3.3 Firewall Rules: .18 2.3.4 Firewall Schedules: 20 2.4 Một vài dịch vụ PfSense .21 2.4.1 DHCP Server: .21 2.4.2 Network LoadBalancer: 22 2.4.3 VPN (PPTP): 24 2.4.4 Remote Desktop: 32 Chương III:So sánh PFSenSe với FireWall khác 35 3.1 So Sanh PfSenSe với ISA Server: 35 3.1.1 Ưu điểm: .35 3.1.2 Khuyết điểm: 35 3.2 So Sánh PfSenSe với Firewall cứng: 35 3.2.1 Ưu điểm: .35 3.2.2 Khuyết điểm: 35 Kết Luận: .36 Tài liệu tham khảo: 36 Chương I:Giới Thiệu 1.1 Tổng quan an ninh mạng: Theo kết điều tra Cơng ty an ninh mạng Bkav, có 85.000 máy tính Việt Nam bị lấy cắp liệu nhiễm virus mạng botnet Ramnit Đây tình trạng đáng báo động nhiều thơng tin quan trọng cá nhân, tổ chức Việt Nam nằm tay tin tặc.Qua theo dõi phân tích biến thể virus cho thấy, mạng lưới botnet Ramnit hacker điều khiển giao thức IRC thông qua nhiều máy chủ đặt Mỹ, Nga, Đức Trung Quốc Kết điều tra cho thấy hacker tạo lập botnet Ramnit cách phát tán virus qua tất đường như: USB, khai thác lỗ hổng phần mềm, gửi email đính kèm virus, gửi link qua chương trình chat… Virus Ramnit giả mạo phần mềm phổ biến như: Macromedia Flash Player, Adobe Acrobat Reader, Windows Update… hòng qua mặt người sử dụng Chính thế, chúng dễ dàng lây nhiễm số lượng lớn máy tính cách nhanh chóng Khi lây nhiễm vào máy tính chiếm quyền điều khiển, virus Ramnit đánh cắp liệu máy tính nạn nhân, từ mật ứng dụng FTP đến cookie trình duyệt FireFox, Chrome, Internet Explorer Với thông tin lấy được, hacker kiểm sốt tài khoản email, tài khoản ngân hàng… nạn nhân Đồng thời, máy tính nạn nhân, virus mở cổng hậu (backdoor) cho phép hacker lấy file liệu máy Điều nguy hiểm virus Ramnit hoạt động âm thầm, nên người dùng khó phát máy tính có bị nhiễm hay khơng, bị nhiễm từ Sự việc hàng chục nghìn máy tính bị kiểm sốt lấy cắp liệu vấn đề nghiêm trọng, cho thấy tình trạng lộ, lọt thông tin Việt Nam trở nên đáng báo động Điều không gây thiệt hại cho cá nhân người sử dụng máy tính, mà đe dọa an tồn an ninh tổ chức, doanh nghiệp, gây ảnh hưởng đến an ninh quốc gia Cũng thống kê có 88 website quan, doanh nghiệp Việt Nam bị hacker xâm nhập, có 9trường hợp gây hacker nước, 79 trường hợp hacker nước ngồi.Trong tháng có 3.068 dòng virus máy tính xuất Việt Nam Các virus lây nhiễm trên5.627.000 lượt máy tính Virus lây nhiều tháng qua W32.Sality.PE lây nhiễm 415.000 lượt máy tính (http://www.bkav.com.vn/tin_tuc_noi_bat/-/view_content/content/hon-85-000-may-tinh-taiviet-nam-da-bi-lay-cap-du-lieu) 1.2 Sự cần thiết sử dụng công cụ mạng: 1.2.1 Bảo vệ liệu: Thông tin lưu trữ máy phải đảm bảo số yêu cầu sau: - Tính tồn vẹn: thơng tin khơng bị sửa đổi - Tính bảo mật: thơng tin qn sự, kinh doanh… phải đảm bảo không bị tiết lộ 1.2.2 Bảo vệ tài nguyên mạng: -Ngăn chặn việc công xâm nhập hệ thống sửa đổi,tìm kiếm thơng tin nhạy cảm… dung để cơng mạng khác - Nếu máy tính bạn không bảo vệ, bạn kết nối Internet, tất truy cập vào mạng cho phép, hacker lợi dụng trojan, virus truy cập lấy cắp thơng tin cá nhân cuả bạn máy tính Chúng cài đặt đoạn mã để công file liệu máy tính Chúng sử dụng máy tính cuả bạn để cơng máy tính gia đình doanh nghiệp khác kết nối Internet 1.3 Giới thiệu Firewall: 1.3.1 Firewall gì: -Trong Cơng nghệ mạng thơng tin, FireWall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thông số thông tin khác không mong muốn -Internet FireWall tập hợp thiết bị (bao gồm phần cứng phần mềm) đặt ạng tổ chức, công ty, hay quốc gia (Intranet) Internet Phân loại Firewall: Firewall chia làm loại, gồm Firewall phần cứng Firewall phần mềm:  Firewall phần cứng: Là firewall tích hợp Router Đặc điểm:    Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) Firewall cứng kiểm tra nột dung gói tin  Firewall mềm: Là Firewall cài đặt Server Đặc điểm:    Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) Firewal mềm kiểm tra nội dung gói tin (thơng qua từ khóa) Ví dụ Firewall mềm: Zone Alarm, Norton Firewall… 1.3.2 Chức Firewall Chức Firewall kiểm sốt luồng thơng tin từ Intranet Internet Thiết lập chế điều khiển dòng thơng tin mạng bên (Intranet) mạng Internet Cụ thể là:  Cho phép cấm dịch vụ truy nhập (từ Intranet Internet)  Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet)  Theo dõi luồng liệu mạng Internet Intranet  Kiểm soát địa truy nhập, cấm địa truy nhập  Kiểm soát người sử dụng việc truy nhập người sử dụng  Kiểm sốt nội dung thơng tin thông tin lưu chuyển mạng “The firewall itself is positioned logically between the internal network (the LAN) and the external network(the WAN)” (TACTICAL PERIMETER DEFENSE , p 156) 1.4 Tổng quan viết: Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành phần kể tương đối tốn Vì người dùng khơng muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên ngồi (Internet) PFSENSE giải pháp tiết kiệm hiệu tương đối tốt người dùng Bài báo cáo Firewall pfSense se giải vấn đề bảo mật cho doanh nghiệp vừa nhỏ Sau giới thiệu se hiểu rõ tính pfsense se biết điểm mạnh yếu pfsense với phần mềm khác Chương II:Tìm hiểu PfSenSe 2.1 Tổng quan PfSenSe pfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng se cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật Bẳt đầu vào năm 2004, m0n0wall bắt đầu chập chững– dự án bảo mật tập trung vào hệ thống nhúng – pfSense có triệu download sử dụng để bảo vệ mạng tất kích cỡ, từ mạng gia đình đến mạng lớn của cơng ty Ứng dụng có cộng đồng phát triển tích cực nhiều tính bổ sung phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng Trong phần mềm miễn phí có nhiều tính ấn tượng firewall/router miễn phí, nhiên có số hạn chế Pfsense hỗ trợ lọc địa nguồn địa đích, cổng nguồn cổng đích hay địa IP Nó hỗ trợ sách định tuyến hoạt động chế độ bridge transparent, cho phép bạn cần đặt pfSense thiết bị mạng mà khơng cần đòi hỏi việc cấu hình bổ sung pfSense cung cấp network address translation (NAT) tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) Session Initiation Protocol (SIP) sử dụng NAT pfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phòng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phòng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải Tuy nhiên có hạn chế với chỗ thực cân lưu lượng phân phối hai kết nối WAN bạn định lưu lượng cho qua kết nối 2.2 Cài đặt PfSenSe hệ thống mạng cho báo cáo 2.2.1 Hệ thống mạng sử dụng báo cáo: 2.2.2 Mơ hình mạng sau Cụ thể mơ hình này, server pfSense se có đường kết nối WAN đường vào LAN Vì vậy, thực lab này, phải có kết nối wan để cung cấp đường internet từ hai ISP khác Nhưng thực hiện, ta có đường kết nối internet khơng có server Vì vậy, với lab thực WMWare, sử dụng máy ảo Windows Server 2003 để chia đường kết nối thành đường (qua tính Routing and Remote Access), server pfSense thực VMware Cấu hình card mạng cho WinSer2k3: Có network interface: - Interface ( interface mặc định) se bridge để kết nối Internet IP 192.168.0.4/24, gateway 192.168.0.1 -Interface thứ hai Adapter2 se nối với VMnet2: IP 192.168.2.3/24 -Interface thứ ba Adapter3 se nối với VMnet3 IP 192.168.3.3/24 Cấu hình máy PfSenSe:Có network interface, interface nối với interface windows server 2003 để có đường internet, Interface nối vào LAN - Interface ( interface mặc định) se nối vào VMnet2 với ip 192.168.2.2/24 (gateway 192.168.2.3) - Interface thứ hai Adapter2 se nối vào VMnet3 với IP 192.168.3.2/24(gateway 192.168.3.3) - Interface thứ ba Adapter3 se nối vào VMnet4 (interface LAN) với IP 192.168.0.1/24 2.2.3 Cài đặt pfSense Cho đĩa PfSense vào giao diện menu boot Tiếp theo 10    Member Down: Kích hoạt liên kế interface thành viên bị down Packet Loss: Kích hoạt gói tin đến gateway bị cao ngưỡng xác định Packet Loss or High Latency: Kết hợp hai trường hợp trên, tùy chọn hay dùng Khi hai gateway có tier, chúng se load balancing Có nghĩa kết nối, lưu lượng mạng se định tuyến qua WAN theo kiểu round-robin Nếu gateway số gateway tier (trong gateway group) bị down, se khơng sử dụng gateway khác tier se hoạt động bình thường Như hình ta cấu hình cho Wan1 Wan2 loadblacing -Tiếp theo Chúng ta phải chỉnh định lưu lượng truy cập đến gateway cách thiết lập rule firewall cách vào Firewall=>Rules chọn tab LAN Thêm Rule sau: 23 Interface:Lan Destination:any Protocol:any Gateway:Loadblancer Source:Lan subnet 2.4.3 VPN (PPTP): VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Để thiết lập kết nối VPN(PPTP)ta vào VPN=>PPTP Check chọn Enable PPTP Server No PPTP User:quy định số kết nối đến VPNServer time 24 Server Address:Địa VPN Server Remote address range:dãy địa se cấp cho client kết nối vào VPN Server Save lại.Sau qua tab User để thêm User truy cập Sau ta cấu hình Rule phép truy cập qua VPN Firewall=>Rules Interface:PPTP VPN 25 Protocol:any Destination:any Gateway:Loadbalancer Sau ta cấu hình Nat Inbound cho máy Lan Firewall=>NAT 26 Interface:PPTP VPN Protocol:TCP Source port range:PPTP Destination port range:PPTP Redirect target port:192.168.2.2 Cấu hình VPN cho máy client thuộc mạng External VPN máy PfSenSe: 27 28 29 30 31 Ping thử vào máy Mạng Lan để kiểm tra: 2.4.4 Remote Desktop: Để Remote Desktop từ máy bên máy Remote Server ta cần NAT port 3389 máy PfSense trỏ máy Remote Server Vào Firewall=>NAT.Bấm vào nút 32 Interface:Wan Destination port range:MS RDP Protocol:TCP Redirect target IP:192.168.0.50 Source:any Redirect target port:MS RDP Test Remote Desktop:Trên máy client 33 “PfSense 2.0 cookbook-Matt Williamson” 34 Chương III:So sánh PFSenSe với FireWall khác 3.1 So Sanh PfSenSe với ISA Server: ISA Server tưởng lửa chuyên dụng cung cấp Microsoft.Tương thích với hệ thống windowm,tuy nhiên giá thành cao khó cấu hình 3.1.1 Ưu điểm:  Khơng đòi hỏi cao phần cứng  Là phần mềm mã nguồn mở,khơng đòi hỏi chi phí  Dể cấu hình  Dễ cấu hình thêm dựa vào việc install package từ trang chủ  Tương thích với hệ thống doanh nghiệp vừa nhỏ 3.1.2 Khuyết điểm:  Giao diện cấu hình wa Web GUI  Khơng tích hợp với hệ điều hành Windown  Không hỗ trợ từ nhà sản xuất hay hãng phát hành  Chưa lọc URL firewall khác  Phải trang bị thêm modem sãn 3.2 So Sánh PfSenSe với Firewall cứng: 3.2.1 Ưu điểm:  Dễ cấu hình  Backup Restore đơn giản  Khơng tốn chi phí  Khơng đòi hỏi cao kiến thức chuyên môn 3.2.2 Khuyết điểm:  Do Firewall phần mềm nên dễ bị khai thác lỗ hổng bảo mật với Firewall phần cứng  Các Firewall phần cứng hỗ trợ cao từ phận chăm sóc khách hàng…vd Cisco Draytek  Firewall phần cứng thường chạy ổn định  Firewall phần cứng có tính bảo mật cao  Các Firewall phần cứng khơng bị phụ thuộc vào mơi trường cài đặt Kết Luận: Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành phần kể tương đối tốn Vì người dùng khơng muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) 35 mà giao tiếp vối hệ thống mạng bên ngồi (Internet) Pfsense giải pháp tiết kiệm hiệu tương đối tốt người dùng Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm Pfsense khơng đòi hỏi phải cao phần mềm Chúng ta cần máy tính P3, Ram 128, HDD 1GB đủ để dựng nên tường lửa Pfsense bảo vệ mạng bện PfSense ứng dụng có chức định tuyến vào tường lửa mạnh ứng dụng se cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật.Phần mềm thiết kế nhỏ gọn, dễ dàng cấu hình thơng qua giao diện web đặc biệt có khả cài đặt thêm gói dịch vụ để mở rộng tính Tường lửa pfSense đáp ứng mạng doanh nghiệp nhỏ dễ dàng quản lý cung cấp nhiều tính để sản phẩm thương mại Mặc dù số tính sử dụng doanh nghiệp lớn nhiều hạn chế, tơi không khuyên bạn sử dụng môi trường lớn Với cộng đồng phát triển tích cực ứng dụng này, dự án nên giải vấn đề tính bổ sung Bạn hồn tồn bổ sung pfSense vào danh sách giải pháp firewall/router mạng phát triển, giá thành thấp miễn phí Tài liệu tham khảo: + Sách pfSenSe 2.0 cookbook Matt Williamson + Forum Nhatnghe.com-Mục viết tiêu biểu: http://www.nhatnghe.com/forum/showthread.php?t=89833\8 + PfSenSe Doc –Tutorial http://doc.pfsense.org/index.php/Tutorials 36 37 ... Chương II :Tìm hiểu PfSenSe 2.1 Tổng quan PfSenSe 2.2 Cài đặt PfSenSe hệ thống mạng cho báo cáo 2.2.1 Hệ thống mạng sử dụng báo cáo 2.2.2 Cài đặt pfSense ... Sau giới thiệu se hiểu rõ tính pfsense se biết điểm mạnh yếu pfsense với phần mềm khác Chương II :Tìm hiểu PfSenSe 2.1 Tổng quan PfSenSe pfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn... ngồi (Internet) PFSENSE giải pháp tiết kiệm hiệu tương đối tốt người dùng Bài báo cáo Firewall pfSense se giải vấn đề bảo mật cho doanh nghiệp vừa nhỏ Sau giới thiệu se hiểu rõ tính pfsense se biết