Mạng Internet ngày phát triển ngày rộng rãi lứa tuổi sử dụng Bên cạnh lợi ích tuyệt vời xem video, hình ảnh, xem phim, tra cứu thơng tin… tiềm tàng nguy bị xâm nhập bất hợp pháp đánh cắp liệu cá nhân Do mà Firewall xuất giải pháp vơ hữu hiệu cho doanh nghiệp, cá nhân Firewall đời giúp ngăn chặn công mạng xảy ra, lọc tất thông tin thông qua kết nối Internet vào mạng hệ thống máy tính cá nhân doanh nghiệp Firewall đóng vai trị thiết bị cung cấp cho công ty tổ chức giải pháp để kiểm soát cách chặt chẽ việc kết nối Internet họ Các tường lửa ngăn chặn hết tất lượng truy cập đến từ IP không rõ ràng Ở thực hành tìm hiểu xây dựng mơ hình mạng an tồn sử dụng tường lửa pfSense, pfSense đánh giá tường lửa nguồn mở tốt
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ THỰC TẬP TỐT NGHIỆP XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE Sinh viên thực hiện: Nguyễn Quang Tuấn AT110279 Hướng dẫn: ThS Cao Minh Tuấn Hà Nội, - 2020 MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU CHƯƠNG I: FIREWALL PFSENSE 1.1 Tổng quan tường lửa 1.1.1 Static packet-filtering firewall 1.1.2 Application-level firewall 1.1.3 Circuit-level firewall 1.1.4 Stateful inspection firewall 1.1.5 Các mơ hình triển khai tường lửa 1.2 Tổng quan pfsense .11 1.2.1 PfSense gì? .11 1.2.2 Một số phương pháp triển khai thực tế .12 1.2.3 Tính Pfsense 12 1.2.4 VPN 18 1.2.5 Một số dịch vụ firewall pfsense 19 CHƯƠNG II: XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE 22 2.1 Mơ hình 22 2.2 Cài đặt PfSense 22 2.3 Thiết lập luật mạng LAN 31 2.3.1 Client mạng LAN 31 2.3.2 Thiết lập luật 33 2.4 Thiết lập luật mạng DMZ 43 2.5 Thiết lập luật VPN .45 2.5.1 Cài đặt OpenVPN 51 2.5.2 Thiết lập luật cho VPN 60 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 62 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… Hà Nội, ngày tháng năm 2020 GIÁO VIÊN HƯỚNG DẪN LỜI CẢM ƠN Em xin gửi lời cảm ơn chân thành tri ân sâu sắc thầy khoa An tồn thơng tin, đặc biệt thầy Cao Minh Tuấn đã nhiệt tình hướng dẫn, tạo điều kiện tốt để em hoàn thành báo cáo thực tập tốt nghiệp Trong trình thực tập, trình làm báo cáo thực tập, khó tránh khỏi sai sót, mong thầy, bỏ qua Đồng thời trình độ lý luận kinh nghiệm thực tiễn hạn chế nên báo cáo khơng thể tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp thầy, để học thêm nhiều kinh nghiệm hoàn thành tốt đồ án tốt nghiệp Cuối em kính chúc q thầy, dồi sức khỏe thành công nghiệp cao quý Em xin chân thành cảm ơn! LỜI MỞ ĐẦU Mạng Internet ngày phát triển ngày rộng rãi lứa tuổi sử dụng Bên cạnh lợi ích tuyệt vời xem video, hình ảnh, xem phim, tra cứu thơng tin… tiềm tàng nguy bị xâm nhập bất hợp pháp đánh cắp liệu cá nhân Do mà Firewall xuất giải pháp vơ hữu hiệu cho doanh nghiệp, cá nhân Firewall đời giúp ngăn chặn công mạng xảy ra, lọc tất thông tin thông qua kết nối Internet vào mạng hệ thống máy tính cá nhân doanh nghiệp Firewall đóng vai trị thiết bị cung cấp cho công ty tổ chức giải pháp để kiểm soát cách chặt chẽ việc kết nối Internet họ Các tường lửa ngăn chặn hết tất lượng truy cập đến từ IP không rõ ràng Ở thực hành tìm hiểu xây dựng mơ hình mạng an tồn sử dụng tường lửa pfSense, pfSense đánh giá tường lửa nguồn mở tốt CHƯƠNG I: FIREWALL PFSENSE 1.1 Tổng quan tường lửa Tường lửa công cụ cần thiết việc quản lý kiểm soát lưu lượng mạng, thiết bị mạng sử dụng để lọc lưu lượng truy cập, thường triển khai mạng riêng mạng kết nối đến Internet Ngoài tường lửa triển khai để phân chia phịng ban cơng ty Nếu khơng có tường lửa, hệ thống mạng khơng thể hạn chế lưu lượng truy cập độc hại từ Internet thâm nhập vào mạng nội Lưu lượng mạng thơng qua tường lửa lọc dựa sách thiết lập, gọi lọc danh sách kiểm soát truy cập (ACL) Chúng lệnh có nhiệm vụ lọc luồng liệu nguy hại khơng cho phép truy cập, có kết nối cho phép vượt qua hàng rào an ninh cung cấp tường lửa Tường lửa biện pháp hiệu việc ngăn chặn hay lọc lưu lượng truy cập, chống lại lượt truy cập không hợp pháp cố gắng kết nối từ bên vào mạng nội bên trong, đồng thời ngăn chặn liệu độc hại dựa thông tin gói vào, ứng dụng, giao thức hay địa nguồn Hầu hết tường lửa cung cấp chế log, kiểm định khả giám sát hệ thống phát xâm nhập (IDS) Cần lưu ý tường lửa ngăn chặn virus mã độc hay lây lan qua đường khác người dùng vơ tình hay cố ý cho phép đoạn mã độc thực thi đằng sau tường lửa Ngoài hoạt động kết nối mạng, tường lửa cịn lưu lại thơng tin kiện như: Thời gian boot/reboot thiết bị tường lửa Trạng thái dịch vụ như: proxy, dịch vụ phụ thuộc Thay đổi cấu hình Lỗi hệ thống tường lửa Tường lửa phần giải pháp bảo mật tổng thể Với tường lửa có nhiều chế bảo mật tập trung nơi, điều tạo rủi ro làm hệ thống mạng bị kết nối trường hợp thiết bị tường lửa có cố Để bảo vệ tốt cho hệ thống cần kết hợp nhiều tường lửa với để bổ trợ cho trường hợp tường lửa bị công Có bốn loại tường lửa bản: (Simple) Packet Filters, Circuit-Level, ApplicationLevel Stateful Multilayer Inspection Cũng có nhiều cách để tạo tường lửa an toàn cách kết hợp hai nhiều loại tường lửa vào giải pháp tường lửa 1.1.1 Static packet-filtering firewall Packet-filter lọc lưu lượng truy cập cách kiểm tra thơng tin header gói tin Thơng thường, sách để tường lửa lọc dựa vào thơng số liên quan tới IP nguồn, IP đích, cổng dịch vụ Tường lửa dạng cung cấp chế xác thực người dùng hay xác định gói tin đến từ bên hay bên mạng riêng, dẫn đến việc dễ dàng bị lừa với gói tin giả mạo Static packet filter xem khởi đầu cho hệ thống tường lửa, hoạt động lớp (lớp Mạng) mô hình OSI Nó coi thiết bị định tuyến xem router thông thường Hình 1: Packet-filter mơ hình OSI 1.1.2 Application-level firewall Một tường lửa lớp Ứng dụng gọi tường lửa proxy Proxy máy tính làm nhiệm vụ chép gói tin từ mạng đến mạng khác; việc chép đồng thời đổi địa nguồn địa đích để bảo vệ thông tin mạng riêng mạng hệ thống Tường lửa lớp Ứng dụng lọc lưu lượng mạng dựa dịch vụ Internet dùng để chuyển nhận liệu Một proxy server cách để tập trung dịch vụ ứng dụng thơng qua máy đơn lẻ, phân tích gói liệu Khi gói từ bên đến cổng này, chúng kiểm tra đánh giá để xác định sách an tồn có cho phép gói vào mạng nội hay không Loại tường lửa ảnh hưởng đến hiệu suấtcủa mạng gói tin đến tường lửa phải kiểm tra đánh giá để xác định trước cho phép vào mạng nội Tường lửa lớp ứng dụng xem hệ tường lửa thứ hai, chúng hoạt động lớp ứng dụng (lớp 7) mơ hình OSI Hình 2: Tường lửa lớp ứng dụng 1.1.3 Circuit-level firewall Tường lửa Circuit-level dùng để khởi tạo phiên kết nối hai người dùng tin cậy Chúng hoạt động lớp Phiên (lớp 5) mơ hình OSI SOCKS (SOCKetS TCP/IP) dạng tường lửa circuit-level thường áp dụng Tường lửa circuitlevel biết đến circuit proxy, quản lý kết nối dựa circuit, nội dung lưu lượng mạng Chúng cho phép từ chối chuyển tiếp gói tin dựa nơi mà gói tin cần gởi đến (địa nguồn/đích, số portnguồn/đích) Tường lửa circuit-level xem hệ thứ hai tường lửa chế hoạt động gần giống với tường lửa lớp ứng dụng Hình 3: Circuit-level firewall 1.1.4 Stateful inspection firewall Tường lửa kiểm tra trạng thái đánh giá trạng bối cảnh lưu lượng mạng Bằng cách kiểm tra nguồn địa đích, sử dụng ứng dụng, nguồn gốc, mối quan hệ gói gói trước session Tường lửa kiểm tra trạng thái cấp phạm vi truy cập rộng cho người dùng hoạt động có thẩm quyền, chủ động theo dõi ngăn chặn người sử dụng thực hoạt động trái phép Tường lửa kiểm tra trạng thái thường hoạt động hiệu so với tường lửa mức Ứng dụng, xem tường lửa hệ thứ ba, hoạt động lớp Mạng lớp Giao vận (lớp 4) mơ hình OSI Hình 4: Stateful inspection firewall 1.1.5 Các mơ hình triển khai tường lửa Có ba dạng kiến trúc tường lửa thường triển khai là: lớp, hai lớp, ba lớp (còn gọi nhiều lớp) Kiến trúc tường lửa lớp kết nối thông qua router đến Internet (hoặc vùng mạng khơng an tồn khác) Mơ hình tường lửa lớp hữu ích việc ngăn chặn công bản, kiến trúc thực chế bảo mật tối thiểu Kiến trúc tường lửa hai lớp sử dụng tường lửa có ba network interface trở lên, cho phép thiết lập thêm vùng DMZ Extranet để giao tiếp với mạng bên DMZ sử dụng đặt hệ thống máy chủ thơng tin mà người dùng bên ngồi truy cập Một kiến trúc ba lớp việc triển khai nhiều mạng mạng nội Internet ngăn cách tường lửa Mỗi tường lửa có quy tắc lọc nghiêm ngặt để hạn chế quyền truy cập bất hợp lệ vào hệ thống mạng liệu nhạy cảm Mạng thường triển khai vùng DMZ Lớp mạng thứ hai có nhiệm vụ lớp mạng chuyển tiếp nhằm phục vụ tính phức tạp theo yêu cầu máy chủ vùng DMZ (ví dụ: database, web service…) Mạng thứ ba back-end hỗ trợ mạng nội Kiến trúc an toàn nhất, nhiên mức độ triển khai quản lý phức tạp so với kiến trúc cịn lại Hình 5: Mơ hình tường lửa lớp 10 Nếu kết chưa thành cơng Ngun nhân lần đầu cài đặt, Directory Browsing chưa bật Khắc phục cách: Trong giao diện Features views, ta vào Directory Browsing để kiểm tra 49 Ta thấy Directory Browsing bị Disabled, cần Enable load lại trình duyệt kiểm tra => Thành cơng b Cấu hình Nat Web Server Trên máy pfsense ta cấu hình NAT để public website bên ngồi: Firewall > NAT, chọn Add 50 • Interface: WAN • Protocol: TCP • Source: any • Dest Address: WAN address • Dest Prots: 80 (HTTP) • NAT IP: 20.1.1.20 (IP máy WEB/FTP/EMAIL) • NAT Port: 80 (HTTP) Trên Client LAN, Internet (WAN) ta tiến hành nhập địa IP card WAN (192.168.1.6) hiển thị nội dung website vừa tạo máy WEB/FTP/EMAIL Máy Internet: 51 Máy mạng LAN: Như vậy, public website thành công 2.5 Thiết lập luật VPN 2.5.1 Cài đặt OpenVPN PfSense hỗ trợ IPSec, OpenVPN, PPTP Nếu cần kết nối VPN nhanh có băng thơng hữu so với yêu cầu kết nối SSL VPN mà đảm bảo bảo mật tốt, chọn IPSec VPN Cũng cần lưu ý thêm có số hạn chế IPSec VPN trên pfSense Với cấu hình IPSec đơn giản, hạn chế pfSense đảm bảo mức độ làm việc tốt với cài đặt (liền kề) site-to-site Nên ta sử dụng OpenVPN để khắc phục số hạn chế IPSec OpenVPN cho phép tăng độ an tồn sử dụng SSL Đầu tiên, ta vào System > Cert Manager > CAs chọn Add để tạo CA 52 Ấn Save, ta kết quả: Tiếp theo sang Tab Certificates, ta chọn Add: 53 Sau điền thông tin xong ấn Save, ta tạo thành công Certificates Tiếp theo tạo User, cách chọn System > User Manager, Chọn Add điền thông tin để tạo user : “vpn” , password: “1234567890” 54 Ấn Save, tạo thành công User: Tiếp theo ta phải cài gói OpenVPN mặc định pfsense chưa cài đặt Từ System > Package Manager, chọn Tab Available Packages search OpenVPN để cài đặt: 55 Tiếp theo vào mục VPN, chọn OpenVPN > Wizards Ở Type of Server chọn Local User Access Chọn Next Chọn CA, nhấn next: 56 Certificates ta chọn vừa tạo Certificars trên, chọn Next Tiếp theo, ta cài Tunnel Network 30.1.1.0/24 Local Network 192.168.1.0/24 57 Tiếp tục nhấn Next Nhấn Finish để kết thúc hoàn tất cài đặt 58 Tiếp theo Click vào client Export, kéo xuống mục User để tải xuống VPN Chọn Current Windows Installer để tải về, Sau mở gói cài đặt để Run 59 Ta đăng nhập tài khoản vpn1 vừa tạo chọn OK Như ta cài xong để kết nối với VPN 60 2.5.2 Thiết lập luật cho VPN Để thiết lập luật cho VPN, System > Rules, sau ta chọn Tab OpenVPN để thiết lập luật Khi cài đặt VPN ta tích vào Firewall Rules OpenVPN, hệ thống tự động tạo cho luật, luật OpenVPN luật WAN cho phép kết nối VPN từ xa qua cổng 1194 Để chặn truy cập VPN, ta cần chặn VPN kết nối qua cổng 1194 xong 61 KẾT LUẬN Hoàn tồn miễn phí, giá ưu vượt trội của tường lửa pfSense Tuy nhiên, rẻ khơng có nghĩa chất lượng, tường lửa pfSense hoạt động ổn định với hiệu cao, tối ưu hóa mã nguồn hệ điều hành Cũng thê, pfSense khơng cần tảng phần cứng mạnh Nếu doanh nghiệp đường truyền tốc độ cao, tường lửa pfSense cần cài đặt lên máy tính cá nhân bắt đầu hoạt động Điều góp phần làm giảm chi phí triển khai, đồng thời tạo nên linh hoạt, tính mở rộng/sẵn sàng chưa có, doanh nghiệp muốn có nhiều tường lửa Khơng tường lửa, pfSense hoạt động thiết bị mạng tổng hợp với đầy đủ tính tồn diện sẵn sàng lúc Khi có vấn đề hệ thống mạng phát sinh, thay phải loay hoay tìm thiết bị thời gian đặt hàng, doanh nghiệp kết hợp tính đa dạng pfSense để tạo thành giải pháp hợp lý, khắc phục cố lập tức.Không phần quan trọng khả quản lý Tường lửa pfSense quản trị cách dễ dàng, sáng qua giao diện web Như vậy, tường lửa pfSense kết hợp hoàn hảo mạnh mẽ, đem lại hợp lý cho nhà tài chính, tin tưởng cho nhà quản trị mạng Là lựa chọn hợp lý, đem lại an tâm, nhiều lợi ích cho cơng ty, doanh nghiệp 62 TÀI LIỆU THAM KHẢO [1] https://www.youtube.com/watch?v=Ti7G6WyeUa4 [2] https://www.youtube.com/watch?v=UxjqHRUEIz8&t=599s [3] https://sites.google.com/site/itopenlab/open-system-box/pfsensefirewall/pfsense-toan-tap [4] https://dongpolice.com/cai-dat-va-cau-hinh-pfsense-toan-tap/ [5] https://www.youtube.com/watch?v=dYrmmgtPv5o [6] https://anninhmang.edu.vn/huong-dan-tao-cau-hinh-rule-trong-pfsense/ [7] https://www.pfsense.org/download/ [8] http://cemis.ueb.edu.vn/bai-viet-Bao-ve-mang-voi-pfSense-1154.html 63 ... 18 1 .2. 5 Một số dịch vụ firewall pfsense 19 CHƯƠNG II: XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE 22 2. 1 Mơ hình 22 2. 2 Cài đặt PfSense. .. bị hư hỏng 21 CHƯƠNG II: XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE 2. 1 Mơ hình - WAN: 1 92. 168.1.0 /24 Sử dụng card mạng VmNet0 (Auto bridging) - Phân vùng mạng kết nối... Internet họ Các tường lửa ngăn chặn hết tất lượng truy cập đến từ IP không rõ ràng Ở thực hành tìm hiểu xây dựng mơ hình mạng an tồn sử dụng tường lửa pfSense, pfSense đánh giá tường lửa nguồn mở