HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC THỰC TẬP CƠ SỞ Đề tài: Nghiên cứu, triển khai tường lửa Pfsense ứng dụng doanh nghiệp Sinh viên thực hiện: QUẢN ĐỨC THẮNG AT150552 BÙI THỊ HẢI YẾN AT150364 NGUYỄN VĂN LÂM AT150531 Nhóm 78 Giảng viên hướng dẫn: ThS LÊ THỊ HỒNG VÂN Hà Nội, 10-2021 ĐÁNH GIÁ QUYỂN ĐỒ ÁN THỰC TẬP CƠ SỞ (Dùng cho giảng viên hướng dẫn) Tên giảng viên đánh giá: Họ tên Sinh viên: MSSV: Tên đồ án: Chọn mức điểm phù hợp cho sinh viên trình bày theo tiêu chí đây: Rất (1); Kém (2); Đạt (3); Giỏi (4); Xuất sắc (5) Có kết hợp lý thuyết thực hành (20) Nêu rõ tính cấp thiết quan trọng đề tài, vấn đề giả thuyết (bao gồm mục đích tính phù hợp) phạm vi ứng dụng đồ án Cập nhật kết nghiên cứu gần (trong nước/quốc tế) Nêu rõ chi tiết phương pháp nghiên cứu/giải vấn đề Có kết mơ phỏng/thưc nghiệm trình bày rõ ràng kết đạt 1 2 3 4 5 5 5 5 Có khả phân tích đánh giá kết (15) Kế hoạch làm việc rõ ràng bao gồm mục tiêu phương pháp thực dựa kết nghiên cứu lý thuyết cách có hệ thống Kết trình bày cách logic dễ hiểu, tất kết phân tích đánh giá thỏa đáng Trong phần kết luận, tác giả rõ khác biệt (nếu có) kết đạt mục tiêu ban đầu đề đồng thời cung cấp lập luận để đề xuất hướng giải thực tương lai Kỹ viết đồ án (10) Đồ án trình bày mẫu quy định với cấu trúc chương logic đẹp mắt (bảng biểu, hình ảnh rõ ràng, có tiêu đề, đánh số thứ tự giải thích hay đề cập đến đồ án, có lề, dấu cách sau dấu chấm, dấu phẩy v.v), có mở đầu chương kết luận chương, có liệt kê tài liệu tham khảo có trích dẫn quy định Kỹ viết xuất sắc (cấu trúc câu chuẩn, văn phong khoa học, lập luận logic có sở, từ vựng sử dụng phù hợp v.v.) Thành tựu nghiên cứu khoa học (5) (chọn trường hợp) 10a 10b 10c Có báo khoa học đăng chấp nhận đăng/đạt giải SVNC khoa học giải cấp Viện trở lên/các giải thưởng khoa học (quốc tế/trong nước) từ giải trở lên/ Có đăng ký phát minh sáng chế Được báo cáo hội đồng cấp Viện hội nghị sinh viên nghiên cứu khoa học không đạt giải từ giải trở lên/Đạt giải khuyến khích kỳ thi quốc gia quốc tế khác chun ngành TI contest Khơng có thành tích nghiên cứu khoa học Điểm tổng Điểm tổng quy đổi thang 10 /50 Nhận xét khác (về thái độ tinh thần làm việc sinh viên) Ngày: … / … / 20… Người nhận xét (Ký ghi rõ họ tên) LỜI CẢM ƠN Sau tháng nỗ lực tìm hiểu thực thực tập sở “Nghiên cứu, triển khai tường lửa Pfsense ứng dụng doanh nghiệp” hồn thành, ngồi cố gắng thành viên, chúng em nhận giúp đỡ tận tình cán hướng dẫn ThS Lê Thị Hồng Vân – Khoa Công nghệ thông tin Học viện Kỹ thuật Mật Mã,… Chúng em xin gửi lời cảm ơn trận trọng tới thầy cô tận tình hướng dẫn, bảo, tạo điều kiện tốt để chúng em hồn thành thực tập sở này! NHĨM SINH VIÊN THỰC HIỆN Quản Đức Thắng Bùi Thị Hải Yến Nguyễn Văn Lâm LỜI NĨI ĐẦU Như biết, cơng nghệ thơng tin phát triển giúp ích nhiều cho doanh nghiệp Thay lưu trữ thơng tin sổ sách trước gây tốn ngày cần nhập thông tin lên phần mềm tất ghi nhận lại Tất nhân có thẩm quyền xem thông tin liên quan lúc nơi qua internet mà không cần đến hỗ trợ trực tiếp phận Chính nhờ tiện lợi mà cơng nghệ phát triển áp dụng vào tất quy trình doanh nghiệp Tuy nhiên, tất bị phụ thuộc nhiều vào công nghệ tồn lỗ hổng mà thơng tin, liệu bị đánh cắp gây thiệt hại lợi ích, lợi nhuận danh tiếng cơng ty. Sau hàng loạt vụ công mạng quy mô lớn diễn gần đây, vấn đề bảo mật liệu doanh nghiệp trở nên nóng hết Bên cạnh những phần mềm diệt virus, cổng giao tiếp hệ thống,chúng ta cần ý đến yếu tố tường lửa - Firewall Tường lửa hàng phòng vệ chống lại kẻ hay xâm nhập trộm, hệ thống bảo mật mạng, giám sát kiểm soát lưu lượng mạng đến dựa quy tắc bảo mật xác định trước Firewall chia làm loại, gồm Firewall cứng thông dụng như: NAT, Cisco ASA 5500,… Firewall mềm như: Norton 360 Premium, Avast Premium Security, Bitdefender Total Security Tuy nhiên, loại Firewall kể tương đối tốn Đối với doanh nghiệp vừa nhỏ, với khoảng 1000 người sử dụng, họ muốn công cụ tường lửa miễn phí hoạt động ổn định với hiệu cao, tối ưu hóa mã nguồn khơng cần tảng phần cứng mạnh PfSense giải pháp hợp lý Xuất phát từ nhu cầu thực tế nêu trên, chúng em định chọn nghiên cứu đề tài “Nghiên cứu, triển khai tường lửa Pfsense ứng dụng doanh nghiệp” với mục đích tìm hiểu chế hoạt động Firewall Pfsense phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp vấn hành trơn tru, an toàn hạn chế cố xảy  Mục tiêu đạt sau hoàn thành thực tập sở:  Nắm khái niệm, đặc điểm, chức tường lửa tường lửa hệ Pfsense  Khai thác tính Firewall Pfsense  Triển khai áp dụng mơ hình tường lửa Pfsense cho doanh nghiệp AriesGroup  Phạm vi nghiên cứu: • Nghiên cứu cơng cụ tường lửa Pfsense • Nghiên cứu triển khai hệ thống tường lửa Pfsense cho doanh nghiệp MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA VÀ TƯỜNG LỬA THẾ HỆ MỚI PFSENSE -1 1.1 Khái quát an ninh mạng -1 1.1.1 An ninh mạng nguy an tồn mạng máy tính 1.1.2 Các mức bảo vệ an toàn mạng -2 1.2 Tổng quan tường lửa (Firewall) 1.2.1 Định nghĩa 1.2.2 Chức -3 1.2.3 Cấu trúc 1.2.4 Tập luật tường lửa -5 1.3 Phân loại -6 1.3.1 Phân loại theo môi trường thực thi 1.3.2 Phân loại theo trạng thái 1.3.3 Phân loại theo xu hướng sử dụng 1.3.4 Phân loại theo tầng hoạt động 1.3.5 Một số tường lửa khác 1.4 Tường lửa hệ (NGFW) 1.4.1 Định nghĩa 1.4.2 Tường lửa truyền thống tường lửa hệ -9 1.4.3 Lợi ích tầm quan trọng tường lửa hệ -10 1.4.4 Giới thiệu tường lửa Pfsense 11 CHƯƠNG 2: TÍNH NĂNG VÀ DỊCH VỤ CỦA FIREWALL PFSENSE -13 2.1 Một số tính Firewall Pfsense 13 2.1.1 Pfsense Rules 13 2.1.2 NAT -15 2.1.3 Firewall Aliases 16 2.1.4 Firewall Schedules 18 2.1.5 Traffic shaper 20 2.1.6 Virtual Ips 22 2.2 Một số dịch vụ Firewall Pfsense -23 2.2.1 Captive portal 23 2.2.2 DHCP Server 25 2.2.3 Load Balancer -27 2.2.4 VPN -27 2.2.5 Một số chức khác -28 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA PFSENSE VỚI MƠ HÌNH CƠNG TY CỔ PHẦN CÔNG NGHỆ MỚI ARIESGROUP -30 3.1 Khảo sát thực trạng Công ty cổ phần công nghệ AriesGroup 30 3.1.1 Yêu cầu -30 3.1.2 Phân tích 31 3.2 Thiết kế hệ thống mạng cho doanh nghiệp sử dụng Pfsense 31 3.2.1 Phân tích cụ thể hệ thống 31 3.2.2 Mơ hình triển khai 32 3.3 Triển khai tường lửa 33 3.3.1 Cấu hình Aliases, Schedules, Rules 33 3.3.2 Cấu hình Load Balancing 51 3.3.3 Cấu hình Captive Portal 54 3.3.4 Cấu hình VPN Server -69 3.3.5 Backup and Recovery 83 3.3.6 Cấu hình Remote Desktop -86 KẾT LUẬN 92 TÀI LIỆU THAM KHẢO 93 DANH MỤC HÌNH VẼ Hình 1-1: Các mức bảo vệ an toàn mạng .2 Hình 1-2: Firewall Hình 1-3: Mơ hình triển khai hệ thống Firewall Pfsense 11 Hình 2-1: Firewall Rules 13 Hình 2-2: Cấu hình Rule 14 Hình 2-3: NAT Port Forward .15 Hình 2-4: NAT 1:1 .16 Hình 2-5: NAT Outbound 16 Hình 2-6: Aliases .17 Hình 2-7: Cấu hình Aliases 17 Hình 2-8: Schedules 18 Hình 2-9: Kết cấu hình xong Schedules 19 Hình 2-10: Rule chọn áp dụng Schedules 19 Hình 2-11: Traffic Shaper 20 Hình 2-12: Cấu hình Traffic Shaper: Upload5MB .20 Hình 2-13: Cấu hình Traffic Shaper: Download10MB 21 Hình 2-14: Rule chọn áp dụng Traffic Shaper 21 Hình 2-15: In/ Out pipe 22 Hình 2-16: Virtural IPs .23 Hình 2-17: Captive portal login page 24 Hình 2-18: Captive portal 25 Hình 2-19: Cấu hình DHCP Server 26 Hình 2-20: VPN 27 Hình 3-1: Mơ hình triển khai tường lửa thực tế 31 Hình 3-2: Tạo Aliases 33 Hình 3-3: Tốc độ upload 34 Hình 3-4: Tốc độ download .34 Hình 3-5: Cấu hình Schedules 35 Hình 3-6: Tạo Rules 36 Hình 3-7: Rules 38 Hình 3-8: Kết tốc độ Upload Download 41 Hình 3-9: Tạo luật cho vùng DMZ 42 Hình 3-10: Tạo Snort 45 Hình 3-11: Snort Interface 46 Hình 3-12: Kết thử nghiệm Snort 46 Hình 3-13: Dùng Nmap quét cổng .47 Hình 3-14: Ping of Death 48 Hình 3-15: Rule block IP 48 Hình 3-16: Thử nghiệm công Dos 49 Hình 3-17: Aps dụng Rules có sắn cho Snort .50 Hình 3-18: Cấu hình cho WAN .51 Hình 3-19: Cấu hình Monitor IP 52 Hình 3-20:Cấu hình Gateway Groups 52 Hình 3-21: Firewall rules cho Gateway Groups 53 Hình 3-22: Kiểm tra Load Balancer 54 Hình 3-23: Tạo tài khoản người dùng xác thực 54 Hình 3-24: Captive Portal Zone 54 Hình 3-25: Cấu hình Captive Portal Zone 56 Hình 3-26: Cấp quyền cho người dùng Captive Portal 57 Hình 3-27: Cài đặt gói pfBlockerNG 58 Hình 3-28: Cấu hình pfBlockerNG 59 Hình 3-29: Kích hoạt pfBlockerNG 60 Hình 3-30: Cấu hình danh sách địa bị chặn 62 Hình 3-31: Kích hoạt DNS resolver 64 Hình 3-32: Cấu hình DNSBL 65 Hình 3-33: Cấu hình DNSBL Groups 66 Hình 3-34: Rule tạo cho DNSBL 68 Hình 3-35: Kiểm tra DNSBL .68 Hình 3-70: Rules / WAN / Add Tiếp vào Firewall / Rules / OpenVPN để thêm Aliases vừa tạo vào luật phần OpenVPN 81  Tiếp theo vào System -> User Manager để tạo User: vpn01 / password: 12345678  User Certificates -> chọn CA: vpngroup78 -> Nhấn Save 82  Tại máy ảo win10 ta install package vừa cài đặt phía để tạo OpenVPN GUI Hình 3-71: OpenVPN GUI  Sau cài đặt xong ta sử dụng OpenVPN để kết nối đến hệ thống mạng nội LAN  Để kết nối đường truyền ta click vào biểu tượng taskbar chọn Connect 83 Hình 3-72: OpenVPN GUI / Connect  Bây ta kiểm tra kết xem máy win10 thơng sang hệ thống mạng LAN hay chưa cách ping theo địa ip Pfsense 192.168.8.10 máy win7 192.168.8.104, kết quả:  Vậy kết ping thành công 3.3.5 Backup and Recovery  Doanh nghiệp bắt buộc cần phải thực việc Backup Restore cấu hình thường xuyên định kỳ để đảm bảo tránh khỏi rủi ro bị liệu bị kẻ xấu cơng lấy cắp liệu Do ta triển khai sau:  Giả sử dùng 1mays chạy window7 hệ thống mạng LAN với địa IP 192.168.8.104 truy cập vào Pfsense để cấu hình Backup Restore  Truy cập đường dẫn Diagnostics -> Backup & Restore 84 Hình 3-73: Backup & Restore/ Backup & Restore + Backup Area : Muốn backup phần cấu hình chọn phần hình Ở ta chọn backup All 85 Skip RRD data : pfSense records data hệ thống sử dụng open-source RRD toolset để xuất graphic liệu , RRD graphs giúp quản trị chẩn đoán liệu hệ thống good way để monitor troubleshoot hệ thống Ở backup cấu hình nên ta bỏ khơng check vào ô backup RRD Encryption : Muốn đặt mật cho file xml cấu hình check điền mật vào Sau bấm Download để tải máy Hình 3-74: Download as XML  Tiếp theo ta tiến hành Restore Backup từ file xml phía Truy cập Diagnostics -> Backup & Restore -> Restore Backup 86 Hình 3-75: Backup & Restore -> Restore Backup Nếu phần trước backup file xml có đặt mật ta check vào Encryption nhập mật vào sau bấm Restore Configuration 3.3.6 Cấu hình Remote Desktop  Giả sử ta có máy chạy window7 hệ thống mạng VLAN8 có IP là: 192.168.8.104 nằm phòng kỹ thuật máy chạy window 10 ngồi hệ thống mạng WAN có IP là: 192.168.0.61  Bây ta triển khai Remote Desktop từ win10 sang win7 thông qua cổng WAN: 192.168.0.63 Pfsense sau:  Trước tiên ta cấu hình cổng NAT port Pfsense, vào Firewall -> NAT 87 Hình 3-76: NAT  Port forward ->  Tiếp theo ta điền thơng tin hình bên Hình 3-77: NAT / Port Forward  Interface: WAN  Address Family: Ipv4  Protocol: TCP 88  Destination: WAN address  Destination port range: MS RDP  Redirect target IP: Single host / 192.168.8.104  Redirect target port: MS RDP  Description: NAT Remote Sau điền hết thông tin ta nhấn Save -> kết hình: 89 Tiếp theo ta thêm phần vừa cấu hình vào Rule để áp dụng cho WAN Vào Firewall -> Rules, sau điền thơng số sau:  Action: Pass  Interface: WAN  Address Family: Ipv4  Protocol: TCP Hình 3-78: Tạo Rules cho Remote desktop Mục Source: Source: any Mục Destination: + Destination: Single host or alias / 192.168.8.104 + Destination Port Range: MS RDP (3389) 90 Cuối ta nhấn Save để lưu thông tin vừa nhập Vào Vmware Workstation, khởi động máy ảo win7 win10  Win7: Vào Mycomputer -> Properties Hình 3-79: Remote Setting 91  Chọn mục Remote settings -> Tại Remote Desktop, tích vào ơ: Allow connections from computers running any version of Remote Desktop (less secure) -> OK  Win10: Vào Search -> Remote Desktop Connection Computer: 192.168.0.63 -> Connect User name: User 92 Hình 3- 66: Remote Desktop Connection  Password: pass máy win7  Kết ta truy nhập thành công vào máy win7 để điều khiển Hình 3-80: Remote Desktop Connection / Connected 93 KẾT LUẬN Sau trình tìm hiểu nghiên cứu, đề tài đạt số kết Đã hiểu rõ khái niệm, đặc điểm tường lửa tường lửa hệ Nắm số chức năng, dịch vụ tường lửa pfSense Thiết kế hệ thống sử dụng firewall pfSense cho doanh nghiệp ARIESGROUP Bên cạnh thời gian điều kiện thực tế nhiều hạn chế, đồ án cịn nhiều sai sót chưa triển khai chức cần thiết, chưa tìm hiểu hết chức Firewall pfSense.Việc triển khai tìm hiểu chưa có điều kiện thực tế, nhiều vấn đề qua tài liệu khơng đánh giá hết ưu nhược điểm ứng dụng Em mong nhận đóng góp ý kiến Thầy Cô bạn để em có thêm kiến thức kinh nghiệm tiếp tục hoàn thiện nội dung nghiên cứu đề tài Em xin chân thành Cảm ơn! 94 TÀI LIỆU THAM KHẢO [1] Buechler, Christopher M., and Jim Pingle PfSense: The Definitive Guide: The Definitive Guide to the PfSense Open Source Firewall and Router Distribution, 2009 [2] Math Williamson (2011), Pfsense Cookbook [3] Manuj Aggarwal (2018), Network Security with PfSense [4] William Stallings, Network and Internetwork Security [5] Bức tường lửa Internet An ninh mạng, NXB Bưu Điện [6] Nguyễn Tấn Phương (2010), Tìm hiểu Firewall, Khoa CNTT – Đại học Duy Tân [7] https://www.slideshare.net/hacker21/pf-sense-firewall [8] https://mona.guide/firewall-la-gi/ [9] https://mdungblog.wordpress.com/pfsense-la-gi-tong-quan-ve-pfsense/ 95 ... tường lửa hệ Pfsense  Khai thác tính Firewall Pfsense  Triển khai áp dụng mơ hình tường lửa Pfsense cho doanh nghiệp AriesGroup  Phạm vi nghiên cứu: • Nghiên cứu cơng cụ tường lửa Pfsense •... “Nghiên cứu, triển khai tường lửa Pfsense ứng dụng doanh nghiệp” với mục đích tìm hiểu chế hoạt động Firewall Pfsense phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp... VÀ DỊCH VỤ CỦA FIREWALL PFSENSE 2.1 Một số tính Firewall Pfsense 2.1.1 Pfsense Rules Fireall pfSense hoạt động dựa vào rule mà người quản trị qui định Những rule giúp pfSense hiểu gói tin bị