BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẦM TP HỒ CHÍ MINH KHOA CƠNG NGHỆ THƠNG TIN -  - BÁO CÁO Tìm hiểu hệ thống Firewall pfsense cho doanh nghiệp cung cấp hosting NGÀNH: CƠNG NGHỆ THƠNG TIN KHĨA: 2018 – 2022 GVHD: TRẦN THỊ BÍCH VÂN SVTH:TRẦN NGỌC ĐĂNG KHOA ĐỒN DUY KHƠI TP HỒ CHÍ MINH, THÁNG 06 NĂM 2021 BẢN NHẬN XÉT CỦA GVHD LỜI CAM ĐOAN Chúng cam đoan báo cáo thực hướng dẫn cô Trần Thị Bích Vân Các số liệu kết phân tích báo cáo trung thực TP.HCM, tháng năm 2021 SINH VIÊN THỰC HIỆN (Kí ghi rõ họ tên) Đồn Duy Khơi Trần Ngọc Đăng Khoa LỜI CẢM ƠN Để hoàn thành đề tài này, trước hết chúng em xin gửi lời cảm ơn chân thành đến quý thầy, cô giáo khoa Công nghệ Thông Tin trường Đại học Công nghiệp thực phẩm Tp Hồ Chí Minh truyền đạt kiến thức kinh nghiệm quý báu cho chúng em suốt trình học tập rèn luyện trường Trong trình thực đề tài chúng em gặp khơng khó khăn Nhưng với động viên giúp đỡ quý thầy cô, người thân bạn bè, chúng em hoàn thành tốt đề tài nghiên cứu có kinh nghiệm, kiến thức hữu ích cho thân Đặc biệt chúng em xin gởi lời cảm ơn sâu sắc đến Trần Thị Bích Vân , người trực tiếp hướng dẫn tận tình giúp đỡ chúng em suốt thời gian thực đề tài Dù cố gắng tránh khỏi sai sót Rất mong thơng cảm đóng góp ý kiến q thầy bạn để đề tài hoàn thiện Cuối cùng, xin kính chúc q thầy bạn sức khỏe, thành công công việc sống Chúng em xin chân thành cảm ơn! TP Hồ Chí Minh, tháng 5, năm 2021 SINH VIÊN THỰC HIỆN (Kí ghi rõ họ tên) Đồn Duy Khơi Trần Ngọc Đăng Khoa MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN NHIỆM VỤ ĐỀ TÀI Chương Tìm hiểu hệ thống Firewall 1.1 Firewall ? 1.2 Các chức Firewall 1.3 Phân loại Firewall Chương TỔNG QUAN VỀ TƯỜNG LỬA PFSENSE 2.1 Tường lửa pfsense 2.2 Lợi ích pfsense Chương CÀI ĐẶT PFSENSE 3.1 Tạo máy ảo pfsense .9 3.2 Cấu hình IP thiết lập DHCP 14 3.3 Cấu hình pfsense web 18 Chương CẤU HÌNH CÁC DỊCH VỤ TRONG PFSENSE 21 4.1 Cấu hình Aliases 21 4.2 Cấu hình Schedule 27 4.3 Captive Portal 30 4.4 OpenVPN 36 4.5 Squid Proxy 48 4.6 Snort 55 4.7 Suricata 65 NHIỆM VỤ ĐỀ TÀI Nội dung - Tìm hiểu tổng quan Firewall - Tìm hiều phần mềm mã nguồn mở Firewall Pfsense - Tìm hiểu dịch vụ Firewall Pfsense để tăng cường bảo mật cho hệ thống Các vấn đề cần giải - Tìm hiểu cán vấn đề Firewall - Triển khai cấu hình Firewall Pfsense - Triển khai số dịch vụ Pfsense Chương Tìm hiểu hệ thống Firewall 1.1 Firewall ? Tường lửa (Firewall) hệ thống an ninh mạng, dựa phần cứng phần mềm, sử dụng quy tắc để kiểm soát lưu lượng truy cập vào, khỏi hệ thống Tường lửa hoạt động rào chắn mạng an toàn mạng khơng an tồn Nó kiểm sốt truy cập đến nguồn lực mạng thơng qua mơ hình kiểm soát chủ động Nghĩa là, lưu lượng truy cập phù hợp với sách định nghĩa tường lửa truy cập vào mạng, lưu lượng truy cập khác bị từ chối 1.2 Các chức Firewall Chức Firewall kiểm sốt luồng thơng tin từ Intranet Internet Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) Theo dõi luồng liệu mạng Internet Intranet Kiểm soát địa truy nhập, cấm địa truy nhập Kiểm soát người sử dụng việc truy nhập người sử dụng Kiểm sốt nội dung thơng tin thông tin lưu chuyển mạng 1.3 Phân loại Firewall Firewall chia làm loại gồm: Firewall cứng Firewall mềm 1.3.1 Firewall mềm Firewall mềm Firewall cài đặt Server khóa) Đặc điểm Firewall mềm: - Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức - Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) - Firewal mềm kiểm tra nội dung gói tin (thơng qua từ 1.3.2 Firewall cứng Firewall cứng: Là firewall tích hợp Router Đặc điểm Firewall cứng: - Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) - Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) - Firewall cứng kiểm tra nột dung gói tin Chương TỔNG QUAN VỀ TƯỜNG LỬA PFSENSE 2.1 Tường lửa pfsense PfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật Bẳt đầu vào năm 2004, m0n0wal lmới bắt đầu chập chững– dự án bảo mật tập trung vào hệ thống nhúng – pfSense có triệu download sử dụng để bảo vệ mạng tất kích cỡ, từ mạng gia đình đến mạng lớn của công ty Ứng dụng có cộng đồng phát triển tích cực nhiều tính bổ sung phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt Pfsense bao gồm nhiều tính mà bạn thấy thiết bị tường lửa router thương mại, chẳng hạn GUI Web tạo quản lý cách dễ dàng PfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD, cung cấp khả dự phòng cách cho phép quản trị viên nhóm hai nhiều tường lửa vào nhóm tự động chuyển đổi dự phịng Vì hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên thực việc cân tải 2.2 Lợi ích pfsense Hoàn toàn miễn phí, giá ưu vượt trội tường lửa pfSense Tuy nhiên, rẻ khơng có nghĩa chất lượng, tường lửa pfSense hoạt động ổn định với hiệu cao, tối ưu hóa mã nguồn hệ điều hành Cũng thê, pfSense khơng cần tảng phần cứng mạnh Nếu doanh nghiệp khơng có đường truyền tốc độ cao, tường lửa pfSense cần cài đặt lên máy tính cá nhân bắt đầu hoạt động Điều góp phần làm giảm chi phí triển khai, đồng thời tạo nên linh hoạt, tính mở rộng/sẵn sàng chưa có, doanh nghiệp muốn có nhiều tường lửa Hình Lợi ích mà Pfsense đem lại Bước 1: Vào Firewall -> rules ->WAN -> add 56 Bước 2: Vào Firewall -> rules -> LAN ( rules mặc định lan sau setup pfsense) Bước 3: Vào Firewall -> rules ->DMZ -> add 57 Bước 4: Vào Firewall -> Nat -> Port Forward -> add ( public webserver) Bước 5: Đây web server 58 Bước 6: Truy cập vào web máy WAN Bước 7: Vào Services -> Snort -> Global Settings (update rules ) 59 Bước 8: Vào Services -> Snort ->Update Bước 9: Vào Services -> Snort ->add Wan -> Wan Setting (cấu hình rule snort) 60 Bước 10:Vào Services -> Snort ->add Wan-Rules -> chọn custom rule Bước 11: Custom Rules cảnh báo Ping -> Save 61 Bước 12: Chọn Start để chạy rule WAN Bước 13: Test lệnh Ping đến web server thông qua nat ip 62 Bước 14: Vào Service -> Snort chọn Alert để xem cảnh báo Bước 15: Test thêm vài rule * Scan Port alert tcp any any -> 192.168.1.0/24 22 (msg:"Nmap FIN Scan"; flags:F; sid: 1000000007; rev:1;) 63 * SQL injection alert tcp any any -> 192.168.1.0/24 80 (content:"%27"; msg:"Base Injection Attack"; classtype:Web-application-attack; react:block; sid: 1000000013;) 64 4.7 Suricata - Suricata snort tích hợp Pfsense, giúp cơng ty người giám sát mạng phát ngăn ngừa xâm nhập cơng từ bên ngồi Internet * Sử dụng card mạng bên snort: - Wan: 192.168.1.7 (do sử dụng DHCP nên ip mạng wan thay đổi) - Lan: 192.168.5.5 - DMZ: 192.168.10.2 => cài đặt suricata 65 Bước 1: Vào service->Suricata->Global Settings Bước 2: Tiến hành update rule cho Suricata 66 Bước 3: Tại Interfaces -> add rule Wan Bước 4: Tại mục Alert and Block settings -> save 67 Bước 5: Vào Wan rules -> chọn customs rules để thiết lập rule Bước 6: Tại Interfaces nhấn start để chạy rule Wan 68 Bước 7: Vào máy attacker thực công Bước 8: Tại mục Alert ,với rule dsize >10000 drop ip 69 Bước 9: Tại mục Block Suricata dựa rule thiết lập phát ip 192.168.1.12 ping tới web server với dsize >10000 Nên block ip 192.168.1.12 70 ... Tìm hiểu tổng quan Firewall - Tìm hiều phần mềm mã nguồn mở Firewall Pfsense - Tìm hiểu dịch vụ Firewall Pfsense để tăng cường bảo mật cho hệ thống Các vấn đề cần giải - Tìm hiểu cán vấn đề Firewall. .. đề Firewall - Triển khai cấu hình Firewall Pfsense - Triển khai số dịch vụ Pfsense Chương Tìm hiểu hệ thống Firewall 1.1 Firewall ? Tường lửa (Firewall) hệ thống an ninh mạng, dựa phần cứng phần... Chương Tìm hiểu hệ thống Firewall 1.1 Firewall ? 1.2 Các chức Firewall 1.3 Phân loại Firewall Chương TỔNG QUAN VỀ TƯỜNG LỬA PFSENSE 2.1 Tường lửa pfsense