pfSense firewall là một phần mềm mã nguồn mở trên hệ điều hành FreeBSD. Những tính năng chính của pfSensenhư sau: Stateful firewall Network Address Translation (NAT) High Availability MultiWAN Server Load Balancing Virtual Private Network (VPN) PPPoE Server Dynamic DNS Captive Portal IDSIPS (Snort, Suricata) CacheProxy (Squid) DHCP Server and Relay Reporting and Monitoring (RRD Graphs, Real Time Information…)
MỤC LỤC MỤC LỤC I PFSense gì? II Mơ hình triển khai III Cài đặt pfSense IV Cấu hình số tính pfSense Một số thiết lập ban đầu .5 Add cổng mạng Kích hoạt, cấu hình địa IPcác cổng mạng Cấu hình DHCP cổng mạng 10 V Cấu hình Firewall pfSense .12 Tìm hiểu luật mặc định Interfaces 12 a Rules mặc định WAN .12 b Rules mặc định VLAN10 12 c Rules mặc định VLAN20 VLAN30 .13 Cấu hình số luật pfSense 13 a Cho phép VLAN 20 truy cập dịch vụ http https 13 b Cấu hình NAT Port để từ Internet truy cập vào Web Server vùng DMZ 16 Hướng dẫn giả lập dịch vụ để kiểm tra cổng .18 VI Cấu hình IDS/IPS pfSense .20 Cài đặt Snort 20 Cấu hình tập luật Snort 21 a Các tập luật đóng gói sẵn 21 b Cấu hình sử dụng tập luật Snort 21 Cấu hình Snort giám sát WAN 23 Thử nghiệm scan vào cổng WAN 26 a Thử nghiệm với cấu hình Snort 26 b Cấu hình để tự động block IP thực scan vào WAN .27 VII Một số hình ảnh triển khai thực tế pfSense 29 Dashboard 29 DHCP Server 30 Firewall Log 30 3.Block hosts 34 HỆ THỐNG FIREWALL PFSENSE _ I PFSense gì? pfSense firewall phần mềm mã nguồn mở hệ điều hành FreeBSD Những tính pfSensenhư sau: - Stateful firewall - Network Address Translation (NAT) - High Availability - Multi-WAN - Server Load Balancing - Virtual Private Network (VPN) - PPPoE Server - Dynamic DNS - Captive Portal - IDS/IPS (Snort, Suricata) - Cache/Proxy (Squid) - DHCP Server and Relay - Reporting and Monitoring (RRD Graphs, Real Time Information…) Tính đầy của Pfsense link sau: https://www.pfsense.org/about-pfsense/features.html * Download cài PFSense - Link download: https://www.pfsense.org/download/ - Lựa chọnđể download file ISO cài đặt hệ thống 64bits sau: II Mơ hình triển khai Yêu cầu triển khai - Hệ thống mạng chia thành 02 vùng mạng: LAN-Workstations WAN-vùng mạng biên (có thể chia nhỏ thàng nhiều vùng mạng cho quan có điều kiện) - Máy chủ có 02 cổng mạng để sử dụng cho vùng Workstation WAN pfSense khơng địi hỏi máy chủ có cấu hình cao, cấu hình tối thiểu chạy pfSense bán thị trường sau: III Cài đặt pfSense - Cho đĩa cài đặt vào khởi động Server, chờ xuất cửa sổ hình sau: - Enter để chuyển qua bước - Chọn Install, sau Enter - Chọn Continue with default keymap, sau Enter - Chọn Auto (UFS), sau Enter - Chọn No, sau Enter - Chọn Reboot, sau Enter để khởi động lại Sau khởi động lại máy, xuất cửa sổ hình cài đặt xong pfSense IV Cấu hình số tính pfSense Một số thiết lập ban đầu - Gắn máy tính vào cổng LAN, sau đặt địa IP với lớp mạng LAN hình Trong trường hợp này, đặt IP cho máy tính 192.168.1.2/24, sau dùng trình duyệt web truy cập vào https://192.168.1.1(tên đăng nhập mật mặc định admin/pfsense) - Sau đăng nhập thành công giao diện sau: - Chọn Next để tiếp tục - Chọn Next để tiếp tục - Nhập vào Hostname Domain, sau chọn Next - Chọn Timezone Asia/Ho_Chi_Minh, sau chọn Next - Phần Configure WAN Interface chọn DHCP(tùy theo thực tế triển khai mà chọn Static IP, PPPoE, PPTP, L2TP… cấu hình phù hợp để pfSense kết nối với Internet) - Nhập địa lớp mạng LAN theo quy hoạch Sơ đồ nên sử dụng lớp mạng 192.168.11.0/24 để gán cho LAN hình - Nhập mật cho pfSense, sau chọn Next - Chọn Reload, sau chọn Finish để hồn thành Sau đăng nhập lại vào pfSense có giao diện sau 20 VI Cấu hình IDS/IPS pfSense Trên pfSense sử dụng Snort Suricata để cấu hình IDS/IPS Trong tài liệu này, tơi hướng dẫn cấu hình Snort pfSense Cài đặt Snort - Vào menu SystemPackage Manager - Chọn thẻ Available Packages - Nhập vào ô Search term: snort, sau chọn Search chọn Install để tiến hành cài đặt snort - Chờ cài đặt thành công sau 21 Cấu hình tập luật Snort a Các tập luật đóng gói sẵn Snort hỗ trợ tập luật đóng gói sẵn sau: - Snort VRT (Vulnerability Research Team) rules: free(nhưng phải đăng ký tài khoản http://www.snort.org) thương mại - Snort GPLv2 Community Rules: free, không cần đăng ký - Emerging Threats Open Rules: free, không cần đăng ký - Emerging Threats Pro Rules:thương mại - OpenAppID Open detectors and rules for application detection: free, không cần đăng ký Như vậy, tùy vào yêu cầu mà sử dụng tập luật phù hợp b Cấu hình sử dụng tập luật Snort - Vào menu ServicesSnortGlobal Setting, sau thiết lập số thơng tin hình sau chọn Save 22 - Sau lưu lại, chọn thẻ Updates, sau chọn Update Rules - Sau kiên nhẫn chờ đợi Snort cập nhật tập luật chọn 23 Cấu hình Snort giám sát WAN Có thể cấu hình Snort giám sát giao diện LAN, WAN Dưới hướng dẫn cấu hình giám sát cổng WAN sau: - Vào menu ServicesSnortSnort Interfaces, sau chọn Add - Chọn Enable interface chọn interface WAN(các thiết lập khác để mặc định) - Sau thiết lập xong chọn Save để lưu lại Khi xuất giao diện hình sau 24 - Click vào biểu tượng edit phần Actions (xem hình trên) - Sau thiết lập hình trên(phần Select the rulesets (Categories) Snort load at startup click vào Select All để chọ tất luật), sau chọn Save để lưu lại - Vào menu ServicesSnort Snort Interfaces 25 - Click vào biểu tượng Run phần Snort Status để khỏi động Snort cổng WAN Sau khởi động thành cơng hình sau 26 Thử nghiệm scan vào cổng WAN IP Wan PFSense 192.168.30.158.Máy tính có IP 192.168.30.34 scan vào cổng WAN nmap có kết sau: a Thử nghiệm với cấu hình Snort Vào menu ServicesSnort, sau chọn Alert có kết sau: 27 Như vậy, việc scan vào cổng WAN bị phát cảnh báo Snort b Cấu hình để tự động block IP thực scan vào WAN - Vào menu ServicesSnort Chọn thẻ Snort Interfaces, sau click vào biểu tượng Edit - Sau chọn Checking this option will automatically block hosts tha generate a Snort Alertnhư hình sau - Thực lại thao tác scan vào IP 192.168.30.158 cho kết 28 - Vào menu ServicesSnort, sau chọn thẻBlocked - IP 192.168.30.34 bị đưa vào danh sách Blocked 29 VII Một số hình ảnh triển khai thực tế pfSense Dashboard 30 DHCP Server Firewall Log 31 32 33 34 3.Block hosts Tài liệu giới thiệu hướng dẫn cài đặt, cấu hình tính pfSense Cịn nhiều tính hay pfSense để khai thác như: High Availability, Multi-WAN, Server Load Balancing, VPN, Captive Portal, Cache/Proxy… Tồn tài liệu pfSense tra cứu link sau: https://www.netgate.com/docs/pfsense/ ... triển khai thực tế pfSense 29 Dashboard 29 DHCP Server 30 Firewall Log 30 3.Block hosts 34 HỆ THỐNG FIREWALL PFSENSE _ I PFSense gì? pfSense. .. ảnh triển khai thực tế pfSense Dashboard 30 DHCP Server Firewall Log 31 32 33 34 3.Block hosts Tài liệu giới thiệu hướng dẫn cài đặt, cấu hình tính pfSense Cịn nhiều tính hay pfSense để khai thác... Information…) Tính đầy của Pfsense link sau: https://www .pfsense. org/about -pfsense/ features.html * Download cài PFSense - Link download: https://www .pfsense. org/download/ - Lựa chọnđể download file ISO