TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM KHOA CNTT - NGÀNH ATTT ĐỀ TÀI: FIREWALL PFSENSE GSVGD: ThS Nguyễn Thanh Phong LỚP: 18DATA1 NHÓM THỰC HIỆN: Đỗ Chiến Anh Tú – MSSV: 1811770070 Nguyễn Quang Long – MSSV: 1811770020 TP Hồ Chí Minh, ngày 25 tháng năm 2020 LỜI MỞ ĐẦU Trong thời đại nay, công nghệ thông tin giữ vai trò thiết yếu vô quan trọng đời sống người “Internet” hay “mạng”, từ phổ biến hai thập kỷ trở lại đây, ln xung quanh chúng ta, đóng vai trị quan trọng việc truyền thơng tin, nhu cầu trao đổi thơng tin tính bảo mật hệ thống mạng người ngày cao Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA… Tuy nhiên thành phần kế tương đối tốn Vì người dùng khơng muốn tốn q nhiều tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) giao tiếp với hệ thống mạng bên (Internet) pfSense giải pháp tiết kiệm hiệu tương đối tốt Đối với người dùng LỜI CẢM ƠN Đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến Trường Đại học Công Nghệ TP Hồ Chí Minh đưa mơn học sở an tồn thơng tin vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên môn – thầy Nguyễn Thanh Phong dạy, truyền đạt kiến thức quý báu cho em suốt thời gian học tập vừa qua Trong thời gian học lớp thầy, em có thêm cho nhiều kiến thức bổ ích, tinh thần học tập hiệu quả, nghiêm túc Đây chắn kiến thức quý báu, hành trang để em vững bước sau Bộ mơn sở an tồn thơng tin mơn học thú vị, vơ bổ ích có tính học thuật cao Đảm bảo cung cấp đủ kiến thức sinh viên Tuy nhiên, vốn kiến thức nhiều hạn chế khả tiếp thu thực tế nhiều bỡ ngỡ Mặc dù chúng em cố gắng chắn đề tài khó tránh khỏi thiếu sót nhiều chỗ cịn chưa xác, kính mong thầy xem xét góp ý để tiểu luận em hoàn thiện Chúng em xin chân thành cảm ơn! CÁC TỪ VIẾT TẮT CĨ TRONG BÀI THUYẾT TRÌNH Từ viết tắt DMZ FreeBSD IDS IPS PowerPC MIPS ARM SPARC NICs LAGG GUI BGP VPN DHCP DNS SNMP Từ đầy đủ NTPD PPPoE IGMP ACK RADIUS LDAP CARP ARP ICMP VIP PIX ASA Chú thích CHƯƠNG 1: FIREWALL PFSENSE  Open Source operating system tập trung chức router/firewall  pfSense open source statefull firewall mở rộng application package system  Được thiết kế để quản lý dễ dàng qua giao diện web  Based on FreeBSD  Được phát triển từ năm 2004 Chris Buechler Scott Ullrich  IPv4 and IPv6 compatible Giới thiệu pfSense The pfSense project phân phối tường lửa mạng miễn phí, dựa hệ điều hành FreeBSD với nhân tùy chỉnh bao gồm gói phần mềm miễn phí bên thứ ba để có thêm chức năng. phần mềm pfSense, với trợ giúp hệ thống gói, cung cấp chức tương tự nhiều tường lửa thương mại thơng thường, mà khơng có giới hạn giả tạo nào. Nó thay thành cơng tường lửa thương mại tên tuổi mà bạn tưởng tượng nhiều cài đặt khắp giới, bao gồm Check Point, Cisco PIX, Cisco ASA, Juniper, Sonicwall, Netgear, Watchguard, Astaro, v.v pfSense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mai, chẳng hạn GUI bên Web tạo quản lý cách firewall, router miễn phí, nhiên có số hạn chế pfSense hỗ trợ lọc địa nguồn địa đích, cổng nguồn cổng đích hay địa IP Nó hỗ trợ sách định tuyến hoạt động chế độ Bridge Transparent, cho phép bạn cần đặt pfSense thiết bị mạng mà khơng cần địi hỏi việc cấu hình bổ sung pfSense cung cấp network address translation (NAT) tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Roungting Encapsulation(GRE) Sesion Initiation Protocol(SIP) sử dụng NAT pfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phòng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phịng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải Tuy nhiên có hạn chế với chỗ thực cân lưu lượng phân phối hai kết nối WAN bạn định lưu lượng cho qua kết nối Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm pfSense khơng địi hỏi cao Chúng ta cần máy tính P3,Ram 128 MB ,HDD 1GB đủ để dựng tường lửa pfSense Tuy nhiên đặc thù pfSense tường lửa ngăn nguy hại mạng WAN mạng LAN nên máy cài đặt pfSense yêu cầu tối thiểu card mạng Về ưu nhược điểm pfSense:  Ưu điểm:  Chi phí  Dùng phần cứng phổ dụng  Tính IDS/IPS tương đương sản phẩm thương mại  Nhược điểm:  Cần nhiều thời gian công sức để cài đặt kiểm thử  Khó cài đặt giám sát kiểm soát ứng dụng  Chưa sẵn sàng cho 10Gbps Thông tin yêu cầu pfSense:  pfSense tương thích với FreeBSD hardware i386 amd64 platforms  pfSense không hỗ trợ PowerPC, MIPS, ARM, SPARC  Network Interfaces  Tất NICs hỗ trợ pfSense, tất driver tương thích.Tuy nhiên Intel Pro/100, Pro/1000 NICs Solid driver support in FreeBSD lại driver tương thích tốt với pfSense  Wireless Adapters  Đa số hỗ trợ, nhiên nhà phát triển thường dùng Atheros hardware Sơ đồ cấu tạo pfSense: Các ứng dụng pfSense:  Perimeter Firewall Là dạng phổ biến pfSense  Hỗ trợ nhiều WAN, LAN, DMZ  BGP, connection redundancy, load balancing  LAN, WAN Router  Wireless Access Point  Special Purpose Appliances  VPN appliance  DNS Server  Sniffer Appliance  DHCP Server Appliance  Supports VLANs Với cài đặt pfSense cung cấp dịch vụ cho cấu hình firewall routing sau:  IPv4/IPv6 DHCP Server  DHCP/DHCPv6 Relay  DNS Resolver  DNS Forwarder  Dynamic DNS  SNMP  UPnP & NAT-PMP  NTPD  Wake on LAN  PPPoE Server  IGMP Proxy CÁC TÍNH NĂNG VÀ DỊCH VỤ CƠ BẢN CỦA PFSENSE 2.1 Các tính pfSense: 2.1.1 Firewall Aliases Aliases tính giúp bạn tiết kiệm lượng lớn thời gian bạn sử dụng chúng cách xác Một Aliases ngắn cho phép bạn sử dụng cho host, cổng mạng sử dụng tạo rules pfSense Sử dụng Aliases giúp cho phép bạn lưu trữ nhiều mục nơi có nghĩa bạn khơng cần tạo nhiều rules cho nhóm máy cổng Và việc sửa đổi rules trở nên đơn giản Các thành phần Aliases: Host: tạo nhóm địa IP Network: tạo nhóm mạng Port: Cho phép gom nhóm port khơng cho phép tạo nhóm protocol Các protocol sử dụng rule 2.1.2 NAT 10 PfSense cung cấp network address translation(NAT) tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation(GRE) Session Initiation Protocol (SIP) sử dụng NAT Trong firewall bạn cấu hình thiết lập cho NAT cần sử dụng cổng chuyển tiếp cho dịch vụ cấu hình NAT tĩnh (1:1) cho host cụ thể Thiết lập mặc định NAT cho kết nối outbound automatic/dynamic, nhiên bạn thay đổi kiểu manual cần 2.1.3 Firewall Rules Nơi lưu rules (Quy tắc) firewall, mặc định pfSense cho phép traffic vào hệ thống Bạn phải tạo rules để quản lý mạng bên firewall Một số lựa chọn Destination Source 11 Any: Tất Single host or alias: Một địa ip bí danh Lan subnet: Đường mạng Lan Network: địa mạng Lan address: Tất địa mạng nội Wan address: Tất địa mạng bên PPTP clients: Các clients thực kết nối VPN sử dụng giao thức PPTP PPPoE clients: Các clients thực kết nối VPN sử dụng giao thức PPPoE Vd trên: Tạo rule cấm web sử dụng port 80 cho máy LAN MayLan tên Aliases Sau tạo xong nhấn save Apply Changes 12 2.1.4 Firewall Schedules Các firewall rules xếp để hoạt động khỏang thời gian định ngày vào ngày định cụ thể ngày tuần Để thêm schedules ta chọn nút Add góc phải Khi cấu hình xong t chọn Add Time để vào khoảng thời gian sau ấn save 2.1.5 Traffic Shaper 13 Tính giúp bạn theo dõi quản trị băng thông mạng dễ dàng hiệu Traffic Shaping phương pháp tối ưu hóa kết nối Internet Nó tăng tối đa tốc độ đảm bảo tối thiểu thời giân trễ Khi sử dụng gói liệu ACK xếp thứ tự ưu tiên đường truyền tải lên, điều cho phép tiến trình tải tiếp tục với tốc độ tối đa Để tạo traffic shaper bạn vào Limiters > New Limiters Sau nhấn Add Schdule Save để hoàn tất 2.1.6 Virtual IPs Một virtual IPs sử dụng địa IP pfSense, khơng phải địa IP Trong tình hướng khác nhau, số có tính riêng Virtual IP sử dụng phép pfSense cách chuyển tiếp lưu lượng cho nhwuxng việc chuyển tiếp cổng NAT, NAT Outbound, NAT (1:1) Họ cho phép tính failover, cho phép dịch vụ router để gắn kết với địa IP khác CARP Có thể sử dụng tường lửa để chạy dịch vụ chuyển tiếp Tạo lớp lưu lượng cho VIP 14 Có thể sử dụng cho clustering (tường lửa tường lửa chủ failover chế độ chờ) Các VIP subnet IP giao diện thực Sẽ trả lời ICMP ping phép theo quy tắc tường lửa Proxy ARP Không thể sử dụng tường lửa nó, chuyển tiếp Tạo lớp lưu lượng cho VIP Các VIP subnet khác với IP giao diện thực Khơng trả lời gói tin ICMP ping Other Có thể sử dụng tuyến đường cung cấp cho bạn VIP bạn dù mà không cần thông báo lớp Không thể sử dụng tường lửa nó, chuyển tiếp Các VIP subnet khác với giao diện IP Không trả lời ICMP ping 2.1.7 Report Là tính báo cáo máy mạng mà pfSense quản lý truy cập trang web với lưu lượng 15 2.2 Các dịch vụ pfSense: 2.2.1 User Management Trình quản lý người dùng cung cấp khả tạo quản lý nhiều tài khoản người dùng. Các tài khoản sử dụng để truy cập GUI, sử dụng dịch vụ VPN IPsec OpenVPN sử dụng Captive Portal Trình quản lý Người dùng đặt tại System > User Manager. Từ người dùng, nhóm, máy chủ quản lý cài đặt chi phối hành vi Trình quản lý người dùng thay đổi Trình quản lý người dùng sử dụng để xác định nguồn xác thực bên RADIUS LDAP 2.2.2 Certificate Management/Certificate Authority 2.2.3 VPN Server 2.2.4 Load Balancer 2.2.5 Captive Portal 2.2.6 Package Manager 2.2.7 DHCP Server 16 CHƯƠNG 2: KẾT QUẢ VÀ THỰC NGHIỆM Mục tiêu demo: Mục tiêu demo hiểu sâu rõ tính ứng dụng dịch vụ pfSense firewall Cách tạo rules, dịch vụ hoạt động sao, cách tạo report cách quản lý người dùng bên firewall Mơ hình: Cơng cụ thực hiện: Phần mềm VMware 15pro, file iso pfSense, iso win 7, đường mạng kết nối với internet để sử dụng dịch vụ để tét tính dịch vụ tạo pfSense firewall, với phần mềm công cụ hỗ trợ khác 17 CHƯƠNG 3: KẾT LUẬN Sau hoàn thành nội dung đồ án này, em học hỏi nhiều thêm hội để mở mang kiến thức tìm hiểu sâu pfsense Nó giúp em phát triển phương pháp luận, cách đặt vấn đề giải vấn đề liên quan đến pfsense cách thực tế Do thời gian cịn nhiều hạn chế, khn khổ đồ án kinh nghiệm thực tiễn chưa nhiều nen không tránh khỏi sai sót nhầm lẫn Được giúp đỡ thầy cô khoa công nghệ thông tin không giúp chúng em làm tốt có chất lượng mà cịn trang bị cho chúng em kiến thức vũng vàng việc học tập nghien cứu mà cịn cơng tác sau 18 TÀI LIỆU THAM KHẢO [1] https://docs.netgate.com/pfsense/en/latest/ [2] https://viblo.asia/p/network-gioi-thieu-ve-pfsense-N0bDM6LXv2X4 [3] https://fit.ptithcm.edu.vn/wp-content/uploads/2017/08/PSAD-and- PFSense.pdf? fbclid=IwAR2Ms0EGlA0kCqOlaU7gVEF6ybpuoFlS0ZKnRbBqDp_8v4ykwXT_5ReirQ [4] https://quantrimang.com/bao-ve-mang-voi-pfsense-50308 [5] https://vi.wikipedia.org/wiki/PfSense [6] 19 ... ARP ICMP VIP PIX ASA Chú thích CHƯƠNG 1: FIREWALL PFSENSE  Open Source operating system tập trung chức router /firewall  pfSense open source statefull firewall mở rộng application package system... tốt với pfSense  Wireless Adapters  Đa số hỗ trợ, nhiên nhà phát triển thường dùng Atheros hardware Sơ đồ cấu tạo pfSense: Các ứng dụng pfSense:  Perimeter Firewall Là dạng phổ biến pfSense. .. Thông tin yêu cầu pfSense:  pfSense tương thích với FreeBSD hardware i386 amd64 platforms  pfSense không hỗ trợ PowerPC, MIPS, ARM, SPARC  Network Interfaces  Tất NICs hỗ trợ pfSense, tất driver