TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường LỜI CẢM ƠN Em xin gửi lời cảm ơn trân trọng nhất của mình tới thầy giáo hướng dẫn tốt nghiệp, Ths. Vũ Chí Cường, bộ môn Truyền thông và mạng máy tính, khoa Công nghệ thông tin, trường đại học Vinh, người đã tận tình hướng dẫn và chỉ bảo em, cung cấp cho em những kiến thức và tài liệu quý giá, giúp em định hướng trong quá trình nghiên cứu thực hiện đồ án tốt nghiệp. Nhờ sự giúp đỡ tận tâm của thầy, em mới có thể hoàn thành được đồ án này. Em xin bày tỏ lòng biết ơn sâu sắc nhất tới các thầy cô giáo trong trường đại học Vinh nói chung và khoa Công nghệ thông tin nói riêng, những người đã trang bị cho em nền tảng kiến thức quý giá trong suốt 5 năm học vừa qua. Cuối cùng, em xin cảm ơn gia đình, bạn bè và những người thân đã luôn luôn thương yêu, động viên và khuyến khích em trong thời gian qua. Ngày 25 tháng 11 năm 2012 Người thực hiện Tôn Thất Hải SVTH: Tôn Thất Hải 49K-CNTT Trang 1 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường LỜI MỞ ĐẦU Trong những năm gần đây, nền công nghệ thông tin của đất nước ta đã có những bước tiến vượt bậc. Đi đôi cùng với sự phát triển về công nghệ, mạng lưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện cho các dịch vụ gia tăng, trao đổi thông qua mạng bùng nổ. Nhưng cùng với sự phát triển của hệ thống mạng, đặc biệt là sự phát triển rộng khắp của hệ thống mạng toàn cầu (Internet), các vụ tấn công phá hoại trên mạng diễn ra ngày càng nhiều và ngày càng nghiêm trọng hơn. Chúng xuất phát từ rất nhiều mục đích, như là để khẳng định khả năng của bản thân, để thoả mãn một lợi ích cá nhân, hay vì những mâu thuẫn, cạnh tranh…nhưng tựu chung lại đã gây ra một hậu quả rất nghiêm trọng cả về vật chất và uy tín của doanh nghiệp, tổ chức. Đối với các doanh nghiệp, vai trò của Internet là không thể phủ nhận, ứng dụng thương mại điện tử vào công việc kinh doanh giúp cho các doanh nghiệp không những giảm đi các chi phí thông thường mà còn có thể mở rộng đối tác, quảng bá sản phẩm cũng như liên kết với khách hàng. Nhưng chấp nhận điều đó cũng có nghĩa là doanh nghiệp đang đứng trước nguy cơ đối mặt với các rủi ro và nguy hiểm từ Internet. Chính vì lý do đó vấn đề an ninh mạng đang trở nên nóng bỏng hơn bao giờ hết, các doanh nghiệp cũng đã dần nhận thức được điều này và có những quan tâm đặc biệt hơn tới hạ tầng an ninh mạng. Một trong những thành phần căn bản và hữu ích nhất có thể kể tới trong hạ tầng đó là hệ thống firewall – công nghệ đang ngày càng được cải tiến và phát triển đa dạng, phong phú. Xuất phát từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệ thống firewall để bảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải pháp nào đó cho vấn đề này. Khái niệm này đã có từ rất lâu khi công nghệ thông tin nói chung và mạng máy tính nói riêng phát triển. Thay đổi qua từng thời kì từ những sản phẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậc như hiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đáp ứng nổi trội. Luôn luôn được quan tâm trong rất nhiều các công nghệ trên thị trường bảo mật, các dòng firewall ngày nay với tính đa dạng đã có thể phù hợp với nhu cầu của tất cả các doanh nghiệp đặt ra, từ những hệ thống lớn và hiện đại đến những hệ thống nhỏ, đơn giản. Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến hạ tầng an ninh mạng của mình thì firewall là một trong thành phần nên được quan tâm hàng đầu. Phải có những tiêu chí và giới hạn đặt ra cho sản phẩm tùy thuộc vào điều kiện và mục đích. Yêu cầu về hệ thống firewall vì thế cũng có sự khác nhau với từng đối tượng doanh nghiệp. Với các doanh nghiệp nhỏ mà mục đích SVTH: Tôn Thất Hải 49K-CNTT Trang 2 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường chính là trao đổi thông tin, liên lạc thì có lẽ một sản phẩm firewall đơn giản với giá cả vừa phải đáp ứng được các yêu cầu tối thiểu như tính năng lọc gói, NAT, khả năng lọc virus, quét mail, ngăn chặn thư rác hay kết nối VPN…(một security gateway all-in-one ngăn cách giữa mạng nội bộ và internet) là sự lựa chọn hợp lý. Nhưng đối với các doanh nghiệp cỡ vừa hoặc khá lớn thì hệ thống firewall không đơn giản chỉ có thế, có thể có nhiều firewall với các chức năng chuyên dụng đứng kết hợp với nhau tại vùng biên của mạng tạo nên một sức mạnh và khả năng đáp ứng hiệu năng cao cho truy nhập vào ra, hơn thế (mà đặc biệt với các doanh nghiệp kinh doanh dịch vụ) có khi firewall chỉ làm nhiệm vụ bảo vệ cho một phần nhỏ của mạng có vai trò quan trọng hoặc cần mức độ an toàn cao (như hệ thống server hosting dịch vụ…). Với doanh nghiệp lớn và rất lớn (tập đoàn, ISP…) thì yêu cầu lại phức tạp hơn rất nhiều. Hệ thống cần được thiết kế và tính toán chi tiết, không đơn giản là một thiết bị bảo vệ đơn thuần mà nó còn phải phối hợp với các thành phần bảo mật khác trên mạng tạo ra một hạ tầng thống nhất và có khả năng tự phản ứng và đáp trả lại tấn công mạng. Để hướng tới mục tiêu tạo ra một sản phẩm hữu ích và thiết thực, đồ án tập trung vào việc phân tích các rủi ro và nhu cầu cần bảo vệ của doanh nghiệp, tìm hiểu các công nghệ hiện tại thích hợp để từ đó xây dựng nên hệ thống firewall đáp ứng yêu cầu đặt ra. Chính vì thấy tầm quan trọng của vấn đề bảo mật nên em chọn đề tài “TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE” làm đồ án tốt nghiệp của mình. Nội dung đồ án gồm 3 chương. Chương 1: Công nghệ firewall và các giải pháp Chương 2: Giới thiệu và cài đặt PfSense. Chương 3: Triển khai PfSense Do nhiều yếu tố khách quan và tầm hiểu biết chưa sâu sắc nên đồ án còn nhiều thiếu sót và hạn chế, em rất mong nhận được ý kiến đóng góp của quý Thầy, Cô giáo và các bạn để có thể hoàn thiện hơn nữa. SVTH: Tôn Thất Hải 49K-CNTT Trang 3 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường MỤC LỤC 1.1. Định nghĩa, chức năng, cấu trúc và phân loại .5 1.2. Các giải pháp firewall 6 Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp 6 1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ 10 2.1. Giới thiệu lịch sử xuất xứ của pfSense-------------------------------------11 2.3.5. VPN trên Pfsense------------------------------------------------------------15 3.1. Tính năng của pfsense firewall 25 3.1.1. PFSense Aliases ------------------------------------------------------------25 3.1.2. NAT---------------------------------------------------------------------------26 3.1.3. Firewall Rules----------------------------------------------------------------27 3.1.4. Firewall Schedules----------------------------------------------------------28 3.2. Một số dịch vụ của pfsense 29 3.2.1. DHCP Server----------------------------------------------------------------29 3.2.2. Cài đặt Packages-------------------------------------------------------------29 3.2.3. Backup and Recovery------------------------------------------------------31 3.2.4. Load Balancer----------------------------------------------------------------32 3.2.5. VPN trên Pfsense------------------------------------------------------------38 3.2.6. Cấu hình Remote Desktop-------------------------------------------------48 SVTH: Tôn Thất Hải 49K-CNTT Trang 4 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường CHƯƠNG I: CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP 1.1. Định nghĩa, chức năng, cấu trúc và phân loại 1.1.1. Định nghĩa firewall Firewall là một phần của hệ thống hay mạng máy tính được thiết kế để điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập không được phép trong khi cho phép các truyền thông hợp lệ. Nó cũng là một hay một nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã hóa, giải mã hay proxy lưu lượng trao đổi của các máy tính giữa các miền bảo mật khác nhau dựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác. 1.1.2. Chức năng của firewall Chức năng chính của firewall là kiểm soát lưu lượng giữa hai hay nhiều mạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều khiển luồng thông tin giữa chúng. Cụ thể là: • Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng. • Theo dõi luồng dữ liệu trao đổi giữa các mạng. • Kiểm soát người sử dụng và việc truy nhập của người sử dụng. • Kiểm soát nội dung thông tin lưu chuyển trên mạng. 1.1.3. Cấu trúc của firewall SVTH: Tôn Thất Hải 49K-CNTT Trang 5 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường Không hoàn toàn giống nhau giữa các sản phẩm được thiết kế bởi các hãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúc của một firewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơn trong phần 2.2 về các công nghệ firewall): • Bộ lọc gói (packet filtering) • Application gateways / Proxy server • Circuit level gateway • Các chính sách mạng (network policy) • Các cơ chế xác thực nâng cao (advanced authentication mechanisms) • Thống kê và phát hiện các hoạt động bất thường (logging and detection of suspicious activity) 1.1.4. Phân loại firewall Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩm firewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kế chuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên các mạch điện tử tích hợp) và firewall mềm (phần mềm firewall được cài đặt trên máy tính thông thường)…Nhưng có lẽ việc phân loại firewall thông qua công nghệ của sản phẩm firewall đó được xem là phổ biến và chính xác hơn tất cả. 1.2. Các giải pháp firewall Khái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đa dạng của các sản phẩm firewall khác nhau trên thị trường thì công nghệ firewall cũng ngày một đổi mới với những xử lý phức tạp và cao cấp hơn. Phần sau xin trình bày khái quát về quá trình phát triển của công nghệ firewall. Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng như thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều đó không có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi những tiềm năng trong cơ hội kinh doanh. Bản thân các doanh nghiệp cũng có những nhận thức ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ tiền ra để trang bị các thiết bị bảo mật cho mình, tất nhiên giá cả của thiết bị đó phải ở mức chấp nhận được. Các nhà cung cấp dịch vụ bảo mật đã bắt tay vào để tạo ra các sản phẩm cung cấp hệ thống an toàn “ tất cả-trong-một” (all-in-one) cho một công ty, tổ SVTH: Tôn Thất Hải 49K-CNTT Trang 6 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường chức. Các giải pháp đó có thể là phần cứng cũng như phần mềm nhưng đặc điểm nổi trội của nó là được tạo nên hướng tới nhu cầu trong hoạt động kinh doanh của các doanh nghiệp. Được tối ưu cho mục đích sử dụng , các doanh nghiệp không cần đến một hệ thống phức tạp với độ an toàn cao, họ chỉ cần một hệ thống có thể bảo vệ họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họ cũng muốn tích hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảo mật đó. Bằng cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra các nhận định hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạng cho các doanh nghiệp. 1.2.1. Phần mềm nguồn mở pfSense firewall Là một trong số các sản phẩm firewall nguồn mở được đánh giá cao nhất hiện nay, nó hoàn toàn miễn phí. Được tách ra từ dự án xây dựng sản phẩm m0n0wall cho các hệ thống nhúng, pfSense được tập trung hướng tới việc cài đặt và chạy ổn định trên các máy tính thông thường. Bản thân pfSense là một phần mềm độc lập riêng biệt với hệ điều hành FreeBSD nhỏ gọn được thiết kế riêng và đóng gói cùng, điều này cho phép pfSense cài đặt và chạy trực tiếp lên các máy tính thông thường mà không cần phải cài đặt trước một hệ điều hành nền nào khác. Kế thừa các tính năng từ m0n0wall, pfSense đã phát triển để trở thành một firewall mạnh mẽ với đầy đủ các tính năng đáp ứng được nhu cầu từ những mạng gia đình, doanh nghiệp nhỏ cho đến các hệ thống lớn với hàng ngàn thiết bị kết nối mạng. Để có được thành công đó là sự phát triển vượt trội khi chỉ từ nền tảng lọc gói và định tuyến thuần túy, một danh sách dài các tính năng liên quan và các gói cài đặt hữu ích được bổ sung tạo nên một hệ thống linh hoạt và vững chắc. Sau đây là danh sách một số đặc trưng và tính năng nổi bật của firewall pfSense: • Chức năng tường lửa lọc gói. • Công nghệ stateful • Dịch địa chỉ mạng (NAT) • Khả năng dự phòng (redundency) • Cân bằng tải: outbound/inbound • Mạng riêng ảo: SSL VPN, IPSec Site-to-site VPN, PPTP VPN • Giám sát và thống kê • Dynamic DNS • DHCP Server and Relay • PPPoE Server • DNS forwarder SVTH: Tôn Thất Hải 49K-CNTT Trang 7 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường • … 1.2.2. Phần mềm nguồn mở IPCop firewall Cùng với pfSense firewall vừa được trình bày ở trên, IPCop firewall cũng là sản phẩm được đánh giá cao và sử dụng phổ biến hiện nay trong thế giới nguồn mở. IPCop là một phần được tách ra từ Linux, bắt nguồn từ SmoothWall và phát triển thành một dự án riêng. Bản thân IPCop cũng tương tự như pfSense firewall là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nền RedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phép IPCop được cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thông thường mà không có bất kì một đòi hỏi nào khác, hay nói chính xác nó là một hệ điều hành hoàn chỉnh với tính năng firewall. Kế thừa từ SmoothWall nhưng mã của IPCop đã được thay đổi để chạy trên file system là ext3, thêm vào độ tin cậy cho sản phẩm, ngoài ra nó cũng được bổ sung vào các tính năng tối ưu của phiên bản SmoothWall như hỗ trợ ADSL. Hầu hết các ứng dụng trên phiên bản SmoothWall hiện nay đều có trên IPCop, hơn thế nó còn được cung cấp tốt và hỗ trợ nhiều dịch vụ hơn. Nếu muốn chạy phiên bản SmoothWall ta phải có sản phẩm được phân phối từ nhà sản xuất và không miễn phí, trong khi đó IPCop là phần mềm có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL. Được sử dụng chính như một firewall, internet gateway cho các doanh nghiệp vừa và nhỏ, IPCop có các đặc trưng và tính năng chính sau: • Tính năng firewall dựa trên IPTable/IPChains • Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, ISDN modem, hay ADSL modem, và có thể hỗ trợ các kết nối PPP hay PPPoE ADSL tới mạng Ethernet. • Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng) • Quản trị thông qua giao diện web • Truy nhập từ xa thông qua dịch vụ SSH server cung cấp • DHCP server • Caching DNS • TCP/UDP port forwarding • Hệ thống phát hiện xâm nhập Snort • Hỗ trợ IPSec VPN • … 1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@Office SVTH: Tôn Thất Hải 49K-CNTT Trang 8 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường Check Point Software Technologies’ Safe@Office (giá $299 ) sử dụng công nghệ INSPECT cung cấp một cho doanh nghiệp một bức tường lửa chắc chắn, kiểm soát các truy nhập ra vào mạng của công ty. Các công cụ Safe@Office 500 và Safe@Office 500W Unified Threat Management được dựa trên các phần mềm Firewall-1 và VPN-1 của Check Point, được sửa lại cho hợp với các thiết bị nhúng. Các thành phần được thiết kế để cài đặt tại doanh nghiệp, do nhân viên tại văn phòng hoặc nhà cung cấp hay bán lại dịch vụ quản lí. Tổng giám đốc Liran Eshel của SofaWare cho biết, các sản phẩm Safe@Office đã thỏa mãn được những yêu cầu dễ sử dụng và có thể thuê người ngoài quản lí là các yếu tố quan trọng cho các doanh nghiệp. Các công cụ trong Safe@Office được thiết kế để giải quyết nhưng chức năng bảo mật sau: • Tổ chức thông báo rộng rãi các chính sách đến toàn thể nhân viên công ty. Đồng thời tổ chức các buổi tập huấn, đào tạo nhân viên nhằm áp dụng triệt để các quy định về khai thác tài nguyên công ty. • Quét virus khi trao đổi e-mail, tải file về, duyệt nội dung web hay trên bất cứ dịch vụ có cổng do người dùng định nghĩa nào (user- defined port) với thông tin đặc tả cập nhật từ Check Point. • Ngăn ngừa xâm nhập với khả năng không cho phép một ứng dụng nào đó như các hệ thống chia sẻ file ngang hàng (peer-to-peer file- sharing systems) đặc trưng. • Kiểm soát lưu lượng giao thông mạng (traffic monitoring) và công cụ xử lí sự cố (troubleshooting tools) có thể dùng để gán nhiều băng thông hơn cho các ứng dụng quan trọng. • Các tính năng mạng riêng ảo VPN (virtual private network) để đảm bảo an toàn cho kết nối với các văn phòng chi nhánh. • Khả năng tạo ra các điểm truy cập không dây với WPA2 (Wi-Fi Protected Access) và IPSec (Internet Protocol Security). Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 người dùng. Thiết bị 500W giá 449 USD/ 5 người dùng. Cả hai sản phẩm đều có thể cấp phép cho 25 hoặc vô hạn người dùng. Những người đăng kí cập nhật tường lửa và chống virus sẽ phải trả ít nhất 10 USD/tháng. 1.2.4. Phần mềm FortiGate Antivirus Firewall Phần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) bao gồm chức năng chống virus dựa trên công nghệ mạng, công cụ lọc nội dung internet và email, tường lửa, mạng riêng ảo và hệ thống phát hiện, ngăn chặn xâm nhập. SVTH: Tôn Thất Hải 49K-CNTT Trang 9 TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE GVHD: Ths.Vũ Chí Cường Phần mềm này có thể cài đặt một cách dễ dàng và tự động cập nhật từ FortiProtect. Phần mềm này có thể được cấu hình theo nhiều cách khác nhau, thậm chí có thể cấu hình cho doanh nghiệp với 10 người dùng. Một số tính năng có thể kể đến: • Ngăn chặn virus • Lọc nội dung lưu lượng web • Lọc spam • Chức năng tường lửa • Chế độ NAT hoặc định tuyến • Chế độ trong suốt • VLANvà các domain ảo • Hệ thống ngăn chặn xâm nhập • Mạng riêng ảo (VPN) • Tính năng dự phòng • Quản lý qua giao diện web • Hỗ trợ giao diện dòng lệnh • Thống kê và báo cáo 1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ Việc đầu tiên và quan trọng trong bài toán xây dựng hệ thống firewall là việc lựa chọn công nghệ nào sẽ được áp dụng. Rõ ràng với một firewall được tích hợp trong một phần cứng chuyên dụng sẽ là một thiết bị hoàn hảo. Nhưng thực tế, các sản phẩm phần cứng đó không dễ dàng có thể có được ở Việt Nam, đi kèm với nó là việc giá thành sản phẩm bị tăng lên do chi phí phần cứng. Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lập một firewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tận dụng phần cứng có sẵn trong công ty mình để làm nền triển khai phần mềm bên trên. Phần mềm cần được thiết kế để sao có thể chạy trên các phần cứng không đòi hỏi giá thành cao cũng như dễ dàng thay thế và sửa chữa được. Và lựa chọn được đưa ra khi sử dụng các phần mềm mã nguồn mở để xây dựng hệ thống. Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chi phí khi không phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mã nguồn mở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phù hợp với nhu cầu sử dụng. Các phần mềm mã nguồn mở cũng nối tiếng trong sự tùy biến của mình, có thể hoạt động trên những phần cứng không yêu cầu cấu hình cao (một máy tính Pentium IV 3.0GHZ, RAM 1GB là có thể đủ với vai trò một firewall hoàn thiện cho một doanh nghiệp dưới 100 người dùng). SVTH: Tôn Thất Hải 49K-CNTT Trang 10