Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ, sự giúp đỡ dù ít hay nhiều, dù là trực tiếp hay gián tiếp của người khác. Trong suốt thời gian từ khi bắt đầu học tập ở giảng đường Đại Học đến nay, chúng em đã nhận được rất nhiều sự quan tâm, giúp đỡ của Thầy Cô, gia đình và bạn bè. Xin gửi lời cảm ơn chân thành đến gia đình, bè bạn, đã luôn là nguồn động viên to lớn, giúp chúng em vượt qua những khó khăn trong suốt quá trình học tập và thực hiện đồ án. Mặc dù đã rất cố gắng hoàn thiện đồ án với tất cả sự nỗ lực, tuy nhiên đồ án “Xây dựng chính sách an toàn sử dung phần mềm pfsense” chắc chắn sẽ không thể tránh khỏi những thiếu sót. Chúng em rất mong nhận được sự quan tâm, thông cảm và những đóng góp quý báu của các thầy cô và các bạn để đồ án này ngày càng hoàn thiện hơn. Sau cùng, chúng em xin kính chúc các thầy cô trong Khoa Công Nghệ Thông Tin dồi dào sức khỏe, niềm tin để tiếp tục thực hiện sứ mệnh cao đẹp của mình là truyền đạt kiến thức cho thế hệ mai sau. Trân trọng! Hà Nội, ngày 22 tháng 03 năm 2019 Sinh viên thực hiện: Trương Hồng Sơn 2 Mục Lục: CHƯƠNG I:KHÁI QUÁT TƯỜNG LỬA...........................................................................................................3 1. Đôi nét về tường tửa ...........................................................................................................................3 1.1 Tại sao chúng ta cần tường lửa? .........................................................................................................3 1.2 Tường lửa(Firewall) là gì?....................................................................................................................4 1.3 Cấu trúc và cách hoạt động của tường lửa(Firewall) ..........................................................................6 1.3.1 Cấu trúc FireWall: ...........................................................................................................................6 1.3.2 Các thành phần của tường lửa: ......................................................................................................7 1.3.3 Cách thức hoạt động của tường lửa:..............................................................................................8 CHƯƠNG II:MỤC ĐÍCH VÀ CHỨC NĂNG CỦA TƯỜNG LỬA........................................................................9 2. Mục đích và chức năng của tường lửa(Firewall).................................................................................9 2.1 Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :..............................................................9 2.2 Firewall bảo vệ chống lại cái gì ? .........................................................................................................9 2.3 Mục đích của tường lửa ....................................................................................................................10 2.4 Những tùy chọn triển khai tường lửa................................................................................................11 2.4.1 Tường lửa có trạng thái (Stateful firewall) ...................................................................................11 2.4.2 Tường lửa thế hệ tiếp theo (Next-generation firewalls - NGFW)..............................................12 2.4.3 Tường lửa dựa trên proxy (Proxy-based firewall):.....................................................................12 2.4.4 Tường lửa ứng dụng web (Web application firewall - WAF): ....................................................13 2.4.5 Phần cứng tường lửa: ...................................................................................................................14 2.4.6 Phầm mềm tường lửa:..................................................................................................................15 CHƯƠNG III: ĐÔI ĐIỀU VỀ PFSENSE...........................................................................................................16 3. Giới thiệu về pfsense:........................................................................................................................16 3.1 Tính năng của pfsense .......................................................................................................................17 3.1.1 Aliases: ..........................................................................................................................................17 3.1.2 NAT(Network Address Translation):.............................................................................................17 3.1.3 Firewall rules.................................................................................................................................17 3.1.4 Traffic shaper................................................................................................................................17 3.1.5 VPN(Virtual Private Network).......................................................................................................19 3.1.6 Squid Guard ..................................................................................................................................19
TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MÔN HỌC GIAO THỨC AN NINH MẠNG Đề tài: XÂY DỰNG CHÍNH SÁCH AN TỒN SỬ DỤNG PHẦN MỀM PFSENSE Giáo viên hướng dẫn: Lê Mạnh Hùng Sinh viên thực hiện: Trương Hồng Sơn Lớp: D11QTANM Hà Nội, tháng năm 2019 TRƯỜNG ĐẠI HỌC ĐIỆN LỰC KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MÔN HỌC GIAO THỨC AN NINH MẠNG Đề tài: XÂY DỰNG CHÍNH SÁCH AN TOÀN SỬ DỤNG PHẦN MỀM PFSENSE Giáo viên hướng dẫn: TS Nguyễn Thị Thanh B Sinh viên thực hiện: Trương Hồng Sơn Lớp: D11QTANM Hà Nội, tháng năm 2019 Lời Nói Đầu Trên thực tế khơng có thành công mà không gắn liền với hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp người khác Trong suốt thời gian từ bắt đầu học tập giảng đường Đại Học đến nay, chúng em nhận nhiều quan tâm, giúp đỡ Thầy Cô, gia đình bạn bè Xin gửi lời cảm ơn chân thành đến gia đình, bè bạn, ln nguồn động viên to lớn, giúp chúng em vượt qua khó khăn suốt q trình học tập thực đồ án Mặc dù cố gắng hoàn thiện đồ án với tất nỗ lực, nhiên đồ án “Xây dựng sách an tồn sử dung phần mềm pfsense” chắn tránh khỏi thiếu sót Chúng em mong nhận quan tâm, thơng cảm đóng góp quý báu thầy cô bạn để đồ án ngày hoàn thiện Sau cùng, chúng em xin kính chúc thầy Khoa Công Nghệ Thông Tin dồi sức khỏe, niềm tin để tiếp tục thực sứ mệnh cao đẹp truyền đạt kiến thức cho hệ mai sau Trân trọng! Hà Nội, ngày 22 tháng 03 năm 2019 Sinh viên thực hiện: Trương Hồng Sơn Mục Lục: CHƯƠNG I:KHÁI QUÁT TƯỜNG LỬA Đôi nét tường tửa 1.1 Tại cần tường lửa? 1.2 Tường lửa(Firewall) gì? 1.3 Cấu trúc cách hoạt động tường lửa(Firewall) 1.3.1 Cấu trúc FireWall: 1.3.2 Các thành phần tường lửa: 1.3.3 Cách thức hoạt động tường lửa: CHƯƠNG II:MỤC ĐÍCH VÀ CHỨC NĂNG CỦA TƯỜNG LỬA Mục đích chức tường lửa(Firewall) 2.1 Nhiệm vụ FireWall bảo vệ vấn đề sau : 2.2 Firewall bảo vệ chống lại ? 2.3 Mục đích tường lửa 10 2.4 Những tùy chọn triển khai tường lửa 11 2.4.1 Tường lửa có trạng thái (Stateful firewall) 11 2.4.2 Tường lửa hệ (Next-generation firewalls - NGFW) 12 2.4.3 Tường lửa dựa proxy (Proxy-based firewall): 12 2.4.4 Tường lửa ứng dụng web (Web application firewall - WAF): 13 2.4.5 Phần cứng tường lửa: 14 2.4.6 Phầm mềm tường lửa: 15 CHƯƠNG III: ĐÔI ĐIỀU VỀ PFSENSE 16 Giới thiệu pfsense: 16 3.1 Tính pfsense 17 3.1.1 Aliases: 17 3.1.2 NAT(Network Address Translation): 17 3.1.3 Firewall rules 17 3.1.4 Traffic shaper 17 3.1.5 VPN(Virtual Private Network) 19 3.1.6 Squid Guard 19 CHƯƠNG I:KHÁI QUÁT TƯỜNG LỬA Đôi nét tường tửa Tại cần tường lửa? - Internet đời đem lại nhiều lợi ích lớn cho người, nhân tố hàng đầu góp phần vào phát triển nhanh chóng giới nói Internet kết nối người tới gần Chính khả kết nối rộng rãi mà nguy an tồn mạng máy tính lớn Đó nguy bị cơng mạng máy tính, công để lấy liệu, công nhằm mục đích phá hoại làm tê liệt hệ thống máy tính lớn, cơng thay đổi sở liệu … - Trước nguy đó, vấn đề đảm bảo an tồn cho mạng máy tính trở nên cấp thiết quan trọng hết Các nguy bị công ngày nhiều ngày tinh vi hơn, nguy hiểm Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng địi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thôi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt yêu cầu phải có cơng cụ để chống xâm nhập mạng bất hợp pháp từ bên mạng, ngun nhân dẫn tới đời Firewall (Tường lửa) - Một Firewall có thể lo ̣c các lưu lươ ̣ng Internet nguy hiể m hacker, các loa ̣i sâu, và mô ̣t số loại virus trước chúng có thể gây tru ̣c trặc hệ thống Ngoài ra, Firewall có thể giúp cho máy tính tránh tham gia các cuô ̣c tấ n công vào các máy tính khác mà không hay biế t Viê ̣c sử du ̣ng mô ̣t Firewall là cực kỳ quan tro ̣ng máy tiń h kế t nố i Internet, trường hơ ̣p có mô ̣t kế t nố i băng thông rô ̣ng hoă ̣c kết nối DSL/ADSL Tường lửa(Firewall) gì? - Tường lửa (Firewall) hệ thống an ninh mạng, dựa phần cứng phần mềm, sử dụng quy tắc để kiểm soát traffic vào, khỏi hệ thống Tường lửa hoạt động rào chắn mạng an toàn mạng khơng an tồn Nó kiểm sốt truy cập đến nguồn lực mạng thơng qua mơ hình kiểm soát chủ động Nghĩa là, traffic phù hợp với sách định nghĩa tường lửa truy cập vào mạng, traffic khác bị từ chối - - Bất kì máy tính kết nối tới Internet cần có firewall, giúp quản lý phép vào mạng phép khỏi mạng Việc có “người gác cổng” để giám sát việc xảy quan trọng lý do: Thứ nhất, máy tính kết nối mạng thường kết nối vĩnh viễn với Internet Thứ hai, máy tính trực tuyến lại có chữ ký điện tử riêng, gọi Internet Protocol address (hay gọi địa IP): Nếu khơng có firewall hỗ trợ, chẳng khác bạn mở cửa nhà để đón trộm vào - Một firewall cấu hình xác ngăn chặn điều xảy giúp máy tính “ẩn” cách hiệu quả, cho phép người dùng thoải mái thưởng thức giới trực tuyến mang lại Firewall khơng giống chương trình diệt virus Thay vào đó, làm việc với cơng cụ nhằm đảm bảo máy tính bảo vệ từ hầu hết mối công nguy hại phổ biến - Windows XP, Vista bao gồm firewall, gọi Windows Firewall, kích hoạt theo mặc định Hãy kiểm tra firewall bạn cách: Người dùng XP nên kích vào Start → Control Panel, sau kích vào đường link Switch to Classic View trước kích đúp vào icon Windows Firewall: kiểm tra xem nút On kích hoạt hay chưa - Người dùng Windows Vista Windows phải kích vào Start → Control Panel → System and Security (hoặc Security Windows Vista) Sau đó, tìm dịng Windows Firewall kích vào (trong Vista) kích vào Check firewall status (đối với Windows 7) - Trong số trường hợp, Firewall thiết lập mạng nội cô lập miền an tồn Ví dụ mơ hình thể mạng cục sử dụng Firewall để ngăn cách phòng máy hệ thống mạng tầng Cấu trúc cách hoạt động tường lửa(Firewall) 1.3.1 Cấu trúc FireWall: - Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router - Các phần mềm quản lí an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) 1.3.2 Các thành phần tường lửa: - Một FireWall bao gồm hay nhiều thành phần sau: - Bộ lọc packet (packet- filtering router) - Cổng ứng dụng (Application-level gateway hay proxy server) Cổng mạch (Circuite level gateway) 1.3.3 Cách thức hoạt động tường lửa: - Công việc firewall khó khăn, có nhiều liệu hợp pháp cần cấp phép cho vào máy tính kết nối mạng Ví dụ, truy cập vào trang web Quantrimang.com, đọc tin tức, tips cơng nghệ thơng tin liệu trang web cần truyền từ tới máy thông qua mạng để hồn thành q trình - - Một firewall cần biết khác biệt lưu lượng hợp pháp với loại liệu gây hại khác Firewall sử dụng rule ngoại lệ để làm việc với kết nối tốt loại bỏ kết nối xấu Nhìn chung, trình thực ẩn, người dùng không thấy khơng cần tương tác CHƯƠNG II:MỤC ĐÍCH VÀ CHỨC NĂNG CỦA TƯỜNG LỬA Mục đích chức tường lửa(Firewall) Nhiệm vụ FireWall bảo vệ vấn đề sau : - Dữ liệu : Những thông tin cần bảo vệ u cầu sau: Bảo mât Tính tồn vẹn - Tính kịp thời - Tài nguyên hệ thống - Danh tiếng công ty sở hữu thông tin cần bảo vệ - Firewall bảo vệ chống lại ? - Tấn cơng trực tiếp: Giả mạo địa IP Vơ hiệu hố chức hệ thống (deny service) - Lỗi người quản trị hệ thống Yếu tố người với tính cách chủ quan không hiểu rõ tầm quan trọng việc bảo mật hệ thống nên dễ dàng để lộ thơng tin quan trọng cho hacker Mục đích tường lửa - - Với Firewall, người sử dụng yên tâm thực thi quyền giám sát liệu truyền thơng máy tính họ với máy tính hay hệ thống khác Có thể xem Firewall người bảo vệ có nhiệm vụ kiểm tra "giấy thơng hành" gói liệu vào máy tính hay khỏi máy tính người sử dụng, cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Các giải pháp Firewall thực cần thiết, xuất phát từ cách thức liệu di chuyển Internet Giả sử gửi cho người thân thư để thư chuyển qua mạng Internet, trước hết phải phân chia thành gói nhỏ Các gói liệu tìm đường tối ưu để tới địa người nhận 10 thư sau lắp ráp lại (theo thứ tự đánh số trước đó) khơi phục nguyên dạng ban đầu - Việc phân chia thành gói làm đơn giản hố việc chuyển liệu Internet dẫn tới số vấn đề Nếu người với dụng ý khơng tốt gửi tới số gói liệu, lại cài bẫy làm cho máy tính khơng biết cần phải xử lý gói liệu làm cho gói liệu lắp ghép theo thứ tự sai, nắm quyền kiểm sốt từ xa máy tính gây nên vấn đề nghiêm trọng - Kẻ nắm quyền kiểm sốt trái phép sau sử dụng kết nối Internet để phát động công khác mà khơng bị lộ tung tích Firewall đảm bảo tất liệu vào hợp lệ, ngăn ngừa người sử dụng bên ngồi đoạt quyền kiểm sốt máy tính bạn Chức kiểm soát liệu Firewall quan trọng ngăn ngừa kẻ xâm nhập trái phép "cấy" virus có hại vào máy tính để phát động cơng cửa sau tới máy tính khác mạng Internet Những tùy chọn triển khai tường lửa 2.4.1 Tường lửa có trạng thái (Stateful firewall):Khi tường lửa tạo lần đầu tiên, chúng khơng có trạng thái, nghĩa phần cứng mà lưu lượng truy cập qua kiểm tra theo dõi gói lưu lượng mạng riêng chặn cho phép Bắt đầu từ đến cuối năm 1990, tiến tường lửa đời Tường lửa có trạng thái kiểm tra lưu lượng truy cập, liên quan đến trạng thái hoạt động đặc điểm kết nối mạng để cung cấp tường lửa tồn diện Việc trì trạng thái cho phép tường lửa cho lưu lượng định truy cập đến người dùng cụ thể chặn lượng truy cập tương tự đến người dùng khác 11 2.4.2 Tường lửa hệ (Next-generation firewalls NGFW):Qua nhiều năm tường lửa bổ sung thêm vơ số tính mới, bao gồm phân tích sâu gói (Deep Packet Inspection - DPI), phát xâm nhập, ngăn kiểm tra lưu lượng mã hóa Tường lửa hệ đề cập đến tường lửa tích hợp tính tiên tiến 2.4.3 Tường lửa dựa proxy (Proxy-based firewall):Các tường lửa hoạt động cổng nối người dùng cuối yêu cầu liệu nguồn liệu Tất lưu lượng truy cập lọc qua proxy trước chuyển cho người dùng cuối Điều 12 nhằm bảo vệ máy khách khỏi tiếp xúc với mối đe dọa cách che giấu danh tính người yêu cầu thông tin ban đầu 2.4.4 Tường lửa ứng dụng web (Web application firewall - WAF):Các tường lửa sử dụng cho ứng dụng cụ thể thay đặt điểm vào mạng lưới rộng Trong tường lửa dựa proxy thường bảo vệ máy khách người dùng cuối, tường lửa ứng dụng web bảo vệ máy chủ ứng dụng 13 2.4.5 Phần cứng tường lửa: Phần cứng tường lửa thường máy chủ đơn giản hoạt động router lọc lưu lượng truy cập chạy phần mềm tường lửa Những thiết bị đặt mạng công ty, router điểm kết nối nhà cung cấp dịch vụ Internet Một doanh nghiệp triển khai hàng chục tường lửa vật lý trung tâm liệu Người dùng cần xác định dung lượng thông qua mà họ cần tường lửa hỗ trợ dựa kích thước sở người dùng tốc độ kết nối Internet 14 2.4.6 Phầm mềm tường lửa: Thông thường người dùng cuối triển khai nhiều điểm cuối phần cứng tường lửa hệ thống phần mềm tường lửa trung tâm để quản lý việc triển khai Hệ thống trung tâm nơi sách tính cấu hình, nơi thực phân tích phản hồi lại mối đe dọa 15 CHƯƠNG III: ĐÔI ĐIỀU VỀ PFSENSE Giới thiệu pfsense: Để bảo vệ hệ thống mạng ta có nhiều giải pháp sử dụng router cisco, dùng firewall cứng, firewall mềm microsoft ISA … Những thiết bị tốn kinh phí doanh nghiệp vừa nhỏ giải pháp firewall mềm mã nguồn mở phương án hiệu Pfsense ứng dụng có chức định tuyến vào tường lửa mạng miễn phí dựa tảng FreeBSD có chức định tuyến tường lửa mạnh Pfsense cấu hình qua giao diện GUI web nên quản lý cách dễ dàng Nó hỗ trợ lọc theo địa nguồn, đích, port nguồn hay port đích đồng thời hỗ trợ định tuyến hoạt động chế độ bridge hay transparent Nếu sử dụng pfsense gateway, ta thấy rõ việc hỗ trợ NAT port forward pfsense thực cân tải hay failover đường mạng 16 Tính pfsense 3.1.1 Aliases: Trong pfsense firewall khơng thể có rule gồm nhiều nhóm IP nhóm port Vì vậy, điều ta cần làm gom nhóm IP, Port URL vào thành alias Một alias cho phép thay host, dải mạng, nhiều IP riêng biệt hay nhóm port, URL … Alias giúp ta tiết kiệm phần lớn thời gian bạn sử dụng cách xác thay sử dụng hàng loạt rule để thiết lập cho nhiều địa chỉ, ta sử dụng rule để gom nhóm lại 3.1.2 NAT(Network Address Translation): Pfsense có hỗ trợ nat static dạng nat 1:1 Điều kiện để thực nat 1:1 ta phải có IP public Khi thực nat 1:1 IP private nat ln IP public tương ứng port tương ứng IP public 3.1.3 Firewall rules: Là nơi lưu trữ tất luật ra, vào pfsense Mặc định PfSense cho phép kết nối ra, vào (tại cổng LAN có sẵn rule any) Ta phải tạo rule để quản lý mạng bên 3.1.4 Traffic shaper: Đây tính giúp quản trị mạng tinh chỉnh, tối ưu hóa đường truyền pfsense Trong pfsense, đường truyền băng thông chia hàng khác Có loại hàng pfsense: 17 - Hàng ACK: dành cho gói ACK (gói xác nhận) giao thức TCP ứng dụng cần hỗ trợ HTTP, SMTP … luồng thông tin ACK tương đối nhỏ lại cần thiết để trì tốc độ lưu thơng lớn - Hàng VoIP: dành cho loại lưu thông cần đảm bảo độ trễ nghiêm ngặt, thường 10ms VoIP, video conferences Hàng Games: dành cho loại lưu thông cần đảm bảo độ trễ - chặt chẽ, thường 50ms SSH, game online … Hàng OthersHigh: dành cho loại ứng dụng quan trọng có tính - - - - tương tác cao, cần đáp ứng nhanh, cần độ trễ thấp như: NTP, DNS, SNMP … Hàng OthersDefault: dành cho giao thức ứng dụng quan trọng có tính tương tác vừa, cần độ đáp ứng định HTTP, IMAP … Hàng OthersLow: dành cho giao thức ứng dụng quan trọng có tính tương tác thấp SMTP, POP3, FTP Hàng P2P: dành cho cho ứng dụng không tương tác, không cần đáp ứng nhanh bittorrent 18 - pfsense hỗ trợ giới hạn tốc độ download/upload IP dải IP với ta thiết lập thông số phần limiter 3.1.5 VPN(Virtual Private Network): Một tính khác thiếu gateway VPN Pfsense hỗ trợ VPN qua giao thức: IPSec, L2TP, PPTP OpenVPN 3.1.6 Squid Guard: Là package hỗ trợ xem report,thiết lập rules pfsense sau cài gói squid để hỗ trợ bảo vệ máy tính bạn Squid guard có giao diện dễ sử dụng tiện lợi hỗ trợ nhiều tính giúp công việc cài đặt dễ dàng 19 20 ... THỨC AN NINH MẠNG Đề tài: XÂY DỰNG CHÍNH SÁCH AN TỒN SỬ DỤNG PHẦN MỀM PFSENSE Giáo viên hướng dẫn: TS Nguyễn Thị Thanh B Sinh viên thực hiện: Trương Hồng Sơn Lớp: D11QTANM Hà Nội, tháng năm 2 019 ... pfsense: 16 3 .1 Tính pfsense 17 3 .1. 1 Aliases: 17 3 .1. 2 NAT(Network Address Translation): 17 3 .1. 3 Firewall rules 17 ... tiết kiệm phần lớn thời gian bạn sử dụng cách xác thay sử dụng hàng loạt rule để thiết lập cho nhiều địa chỉ, ta sử dụng rule để gom nhóm lại 3 .1. 2 NAT(Network Address Translation): Pfsense có