“BACHKHOA-NPOWER” − HỆ THỐNG ĐÀO TẠO CHUYÊN GIA MẠNG QUỐC TẾ -o0o ĐỀ TÀI HỒN THÀNH MƠN HỌC “CompTIA Security + Certification” Tìm hiểu Pfsense Firewall Giảng viên hướng dẫn: Sinh viên: Lớp: CNC6 Tháng 4, 2011 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Mục lục I Giới thiệu Firewall pfSense II Cài đặt cấu hình Pfsense Cài đặt Pfsense 2.Cấu hình card mạng cho máy Pfsense Đặt IP thiết lập DHCP cấp phát vào bên mạng LAN Cấu hình Pfsense qua giao diện web - WebGUI Cài đặt Packages 12 Backup and Recovery 13 III Một số ứng dụng dịch vụ pfsense 14 Tính pfsense firewall 14 1.1 pfSense Aliases 14 1.2 NAT 14 1.3 Firewall Rules 14 1.4 Firewall Schedules 16 1.5 Traffic shaper 17 1.6 Virtual IPs 20 Một số dịch vụ pfsense 22 2.1 Captive portal 22 2.2 DHCP Server 24 2.3 Load Balancer 25 VPN Pfsense 27 3.1 VPN PPTP 27 3.2 OpenVPN Site to Site 31 III Triển khai mơ hình mạng Font-BackEnd 36 IV Nhận xét 43 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN I Giới thiệu Firewall pfSense Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành phần kể tương đối tốn Vì người dùng khơng muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên (Internet) PFSENSE giải pháp tiết kiệm hiệu tương đối tốt người dùng pfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng cho phép bạn mở rộng mạng mà không bị thỏa hiệp bảo mật Bẳt đầu vào năm 2004, m0n0wall bắt đầu chập chững– dự án bảo mật tập trung vào hệ thống nhúng – pfSense có triệu download sử dụng để bảo vệ mạng tất kích cỡ, từ mạng gia đình đến mạng lớn của cơng ty Ứng dụng có cộng đồng phát triển tích cực nhiều tính bổ sung phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng Trong phần mềm miễn phí cịn có nhiều tính ấn tượng firewall/router miễn phí, nhiên có số hạn chế Pfsense hỗ trợ lọc địa nguồn địa đích, cổng nguồn cổng đích hay địa IP Nó hỗ trợ sách định tuyến hoạt động chế độ bridge transparent, cho phép bạn cần đặt pfSense thiết bị mạng mà khơng cần địi hỏi việc cấu hình bổ sung pfSense cung cấp network address translation (NAT) tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) Session Initiation Protocol (SIP) sử dụng NAT EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN pfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phịng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phịng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải Tuy nhiên có hạn chế với chỗ thực cân lưu lượng phân phối hai kết nối WAN bạn định lưu lượng cho qua kết nối EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN II Cài đặt cấu hình Pfsense Cài đặt Pfsense Trên máy tính cài Pfsense bỏ đĩa pfSense LiveCD Installer vào ổ CD/DVD để tiến hành cài đặt • Màn hình Welcom to FreeBSD! • Chọn 99 để bắt đầu trình cài đặt Pfsense lên máy tính EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN • Chọn Accept these settings để chấp nhận việc cài đặt Pfsense • Chọn Quick/Easy Install Custom Install để cài đặt vào ổ cứng Giao diện textmode pfsense sau cài xong EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN 2.Cấu hình card mạng cho máy Pfsense Enter an Option : Chọn số để bắt đầu thiết lập Interface Do you want to setup VLANs now -> Chọn N Dựa vào địa MAC để phân biệt card mạng Internal External Gõ le0 để thiết lập Interface LAN , le1 để thiết lập Interface WAN Nếu máy có card mạng WAN chọn thêm le2 để thiết lập Interface WAN2 Sau thiết lập đủ Interface bạn để trống ấn Enter hỏi “Enter the Optional …” Chọn Y để tiến hành trình thiết lập card mạng Thông tin card mạng pfsense sau thiết lập EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Đặt IP thiết lập DHCP cấp phát vào bên mạng LAN Thiết lập IP cho card mạng LAN chọn ,Nhập IP mà bạn muốn đặt Enter the new LAN subnet bit count : 24 Enter Chọn “Y” để thiết lập DHCP cấp phát IP cho máy Client (Network Internal) Tạo dải IP cấp phát cho Client (Như hình từ 10.0.0.10 > 10.0.0.100 ) Cấu hình Pfsense qua giao diện web - WebGUI Tại máy Client -> Vào trình duyệt gõ vào IP internal pfsense đăng nhập băng tài khoản mật mặc định : admin - pfsense EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN • Nhấn Next • Khai báo DNS Server cho máy Pfsense -> Next • Chọn múi cho pfsense > Next EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Trong giao diện WAN, chọn nhiều kết nối khác Static, Dynamic Host Configuration Protocol (DHCP), Point-to-Point Protocol PPPoE Chọn kết nối thích hợp cấu hình ISP bạn Cấu hình LAN hoàn toàn đơn giản Nếu bạn chưa thực trước cài đặt, bạn cần thiết lập địa IP 10 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Chọn Conect to the network at my workplace > Next Chọn Virtual Provate Network connection > Next 29 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Điền tên cho kết nối VPN > Next Điền địa IP VPN Server > Next Điền tài khoản mật nhấn Connect 30 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN 3.2 OpenVPN Site to Site Tạo Share key cho pfsense Vào Diagnostics > Command: Tại Execute Shell command chạy lệnh : openvpn genkey secret /dev/stdout nhấn Execute 31 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Để tạo kết nối Site to site vào VPN / OpenVPN Tại Tab Server nhấn 32 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Protocol : Giao thức sử dụng cho VPN Dynamic IP: Cho phép Client kết nối IP động cấp phát DHCP Server Local Port: Cổng OpenVPN server lắng nghe.Mặc định cổng 1194 Address pool: Địa pfsense cấp phát cho Client Remote network: Khai báo mạng mà pfsense kết nối đến Cryptography: Lựa chọn phương thức mã hóa Authentication method: Shared Key Shared key: Nhập Shared Key pfsense LZO compression : Nén gói tin chuyển liệu sử dụng LZO Chọn Save Tạo rules cho phép kết nối OpenVPN WAN 33 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Trên pfsense2 Vào VPN/OpenVPN chọn Tab Client nhấn Protocol : Giao thức mà server sử dụng cho VPN Server Address : Địa Server OpenVPN Server port : Cổng kết nối cho thiết lập VPN pfSense1 Interface IP : Địa IP mà server gán cho Client Remote network:Dải IP Internal pfsense1 34 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Lựa chọn phương thức mã hóa điền Shared key pfsense1 vào nhấn Save 35 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN III Triển khai mô hình mạng Font-BackEnd Mơ hình mạng Font/BackEnd giúp hệ thống mạng chống lại đợt công hacker giúp bảo vệ liệu Local an toàn dễ dang quản lí traffic mạng LAN Mơ hình có độ an tồn cao bù lại chi phí đầu tư cho tốn u cầu mơ hình mạng Front-Backend - Cấu hình dịch vụ Load Balancer cho WAN1 WAN2 - Public Web Server - Cho phép máy XP Internet Cấu hình dịch vụ Load Balancer Trên Pfsense1 vào Service / Load Balancer Nhấn để bắt đầu cấu hình 36 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Name : LoadBalancer Type : Gateway Behavior : Load Balancing Monitor IP Interface Name phải chọn tương tự Ví dụ : WAN2’s Gateway chọn WAN2 nhấn Add to pool Chọn Save Vào Status / Load Balancer để xem trạng thái dịch vụ 37 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Public WebServer Trên Pfsense vào Firewall / NAT: Port Forward Nhấn để thêm NAT rules External address : Chon Interface address ,nếu bạn muons vào web mạng LAN ,bạn có chon any Protocol : TCP External Port range : HTTP NAT IP : Địa Web Server Chọn Auto-add a firewall rule to permit traffic through this NAT rule > Save 38 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Cho phép máy XP2 Internet Trên pfsense vào Firewall / Aliases 39 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Tạo Aliase với tên Pfsense2 Tạo rule cho phép Pfsense Internet Action : Pass 40 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Interface: LAN Protocol : any Source : Single host or ailas > Pfsense2 Destination : any Gateway : default Trên máy Pfsense tạo rules cho phép máy mạng LAN duyệt web 41 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN Action : Pass Interface : LAN Protocol : TCP Source : Lan subnet Destination : any Destination port range : HTTP Chọn save kiểm tra 42 EBOOKBKMT.COM – CỘNG ĐỒNG KỸ THUẬT CƠ ĐIỆN IV Nhận xét Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành phần kể tương đối tốn Vì người dùng không muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp vối hệ thống mạng bên ngồi (Internet) Pfsense giải pháp tiết kiệm hiệu tương đối tốt người dùng Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm Pfsense khơng địi hỏi phải cao phần mềm Chúng ta cần máy tính P3, Ram 128, HDD 1GB đủ để dựng nên tường lửa Pfsense bảo vệ mạng bện pfSense ứng dụng có chức định tuyến vào tường lửa mạnh ứng dụng cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật.Phần mềm thiết kế nhỏ gọn, dễ dàng cấu hình thơng qua giao diện web đặc biệt có khả cài đặt thêm gói dịch vụ để mở rộng tính Tường lửa pfSense đáp ứng mạng doanh nghiệp nhỏ dễ dàng quản lý cung cấp nhiều tính để sản phẩm thương mại Mặc dù số tính sử dụng doanh nghiệp lớn nhiều hạn chế, tơi khơng khun bạn sử dụng môi trường lớn Với cộng đồng phát triển tích cực ứng dụng này, dự án nên giải vấn đề tính bổ sung Bạn hồn tồn bổ sung pfSense vào danh sách giải pháp firewall/router mạng phát triển, giá thành thấp miễn phí 43 ... cần 1.3 Firewall Rules Nơi lưu rules (Luật) Firewall Để vào Rules pfsense vào Firewall → Rules Mặc định pfsense cho phép trafic ra/vào hệ thống Bạn phải tạo rules để quản lí mạng bên firewall. .. Pfsense qua giao diện web - WebGUI Cài đặt Packages 12 Backup and Recovery 13 III Một số ứng dụng dịch vụ pfsense 14 Tính pfsense firewall 14 1.1 pfSense. .. hình Pfsense Cài đặt Pfsense Trên máy tính cài Pfsense bỏ đĩa pfSense LiveCD Installer vào ổ CD/DVD để tiến hành cài đặt • Màn hình Welcom to FreeBSD! • Chọn 99 để bắt đầu trình cài đặt Pfsense