HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC THỰC TẬP CƠ SỞ Đề tài: Nghiên cứu, triển khai tường lửa Pfsense ứng dụng doanh nghiệp Sinh viên thực hiện: QUẢN ĐỨC THẮNG AT150552 BÙI THỊ HẢI YẾN AT150364 NGUYỄN VĂN LÂM AT150531 Nhóm 78 Giảng viên hướng dẫn: ThS LÊ THỊ HỒNG VÂN Hà Nội, 10-2021 ĐÁNH GIÁ QUYỂN ĐỒ ÁN THỰC TẬP CƠ SỞ (Dùng cho giảng viên hướng dẫn) Tên giảng viên đánh giá: Họ tên Sinh viên: MSSV: Tên đồ án: Chọn mức điểm phù hợp cho sinh viên trình bày theo tiêu chí đây: Rất (1); Kém (2); Đạt (3); Giỏi (4); Xuất sắc (5) Có kết hợp lý thuyết thực hành (20) Nêu rõ tính cấp thiết quan trọng đề tài, vấn đề giả thuyết (bao gồm mục đích tính phù hợp) phạm vi ứng dụng đồ án Cập nhật kết nghiên cứu gần (trong nước/quốc tế) Nêu rõ chi tiết phương pháp nghiên cứu/giải vấn đề Có kết mơ phỏng/thưc nghiệm trình bày rõ ràng kết đạt 1 2 3 4 5 5 5 5 Có khả phân tích đánh giá kết (15) Kế hoạch làm việc rõ ràng bao gồm mục tiêu phương pháp thực dựa kết nghiên cứu lý thuyết cách có hệ thống Kết trình bày cách logic dễ hiểu, tất kết phân tích đánh giá thỏa đáng Trong phần kết luận, tác giả rõ khác biệt (nếu có) kết đạt mục tiêu ban đầu đề đồng thời cung cấp lập luận để đề xuất hướng giải thực tương lai Kỹ viết đồ án (10) Đồ án trình bày mẫu quy định với cấu trúc chương logic đẹp mắt (bảng biểu, hình ảnh rõ ràng, có tiêu đề, đánh số thứ tự giải thích hay đề cập đến đồ án, có lề, dấu cách sau dấu chấm, dấu phẩy v.v), có mở đầu chương kết luận chương, có liệt kê tài liệu tham khảo có trích dẫn quy định Kỹ viết xuất sắc (cấu trúc câu chuẩn, văn phong khoa học, lập luận logic có sở, từ vựng sử dụng phù hợp v.v.) Thành tựu nghiên cứu khoa học (5) (chọn trường hợp) 10a 10b 10c Có báo khoa học đăng chấp nhận đăng/đạt giải SVNC khoa học giải cấp Viện trở lên/các giải thưởng khoa học (quốc tế/trong nước) từ giải trở lên/ Có đăng ký phát minh sáng chế Được báo cáo hội đồng cấp Viện hội nghị sinh viên nghiên cứu khoa học không đạt giải từ giải trở lên/Đạt giải khuyến khích kỳ thi quốc gia quốc tế khác chun ngành TI contest Khơng có thành tích nghiên cứu khoa học Điểm tổng Điểm tổng quy đổi thang 10 /50 Nhận xét khác (về thái độ tinh thần làm việc sinh viên) Ngày: … / … / 20… Người nhận xét (Ký ghi rõ họ tên) LỜI CẢM ƠN Sau tháng nỗ lực tìm hiểu thực thực tập sở “Nghiên cứu, triển khai tường lửa Pfsense ứng dụng doanh nghiệp” hồn thành, ngồi cố gắng thành viên, chúng em nhận giúp đỡ tận tình cán hướng dẫn ThS Lê Thị Hồng Vân – Khoa Công nghệ thông tin Học viện Kỹ thuật Mật Mã,… Chúng em xin gửi lời cảm ơn trận trọng tới thầy cô tận tình hướng dẫn, bảo, tạo điều kiện tốt để chúng em hồn thành thực tập sở này! NHĨM SINH VIÊN THỰC HIỆN Quản Đức Thắng Bùi Thị Hải Yến Nguyễn Văn Lâm LỜI NĨI ĐẦU Như biết, cơng nghệ thơng tin phát triển giúp ích nhiều cho doanh nghiệp Thay lưu trữ thơng tin sổ sách trước gây tốn ngày cần nhập thông tin lên phần mềm tất ghi nhận lại Tất nhân có thẩm quyền xem thông tin liên quan lúc nơi qua internet mà không cần đến hỗ trợ trực tiếp phận Chính nhờ tiện lợi mà cơng nghệ phát triển áp dụng vào tất quy trình doanh nghiệp Tuy nhiên, tất bị phụ thuộc nhiều vào công nghệ tồn lỗ hổng mà thơng tin, liệu bị đánh cắp gây thiệt hại lợi ích, lợi nhuận danh tiếng cơng ty Sau hàng loạt vụ công mạng quy mô lớn diễn gần đây, vấn đề bảo mật liệu doanh nghiệp trở nên nóng hết Bên cạnh phần mềm diệt virus, cổng giao tiếp hệ thống,chúng ta cần ý đến yếu tố tường lửa - Firewall Tường lửa hàng phòng vệ chống lại kẻ hay xâm nhập trộm, hệ thống bảo mật mạng, giám sát kiểm soát lưu lượng mạng đến dựa quy tắc bảo mật xác định trước Firewall chia làm loại, gồm Firewall cứng thông dụng như: NAT, Cisco ASA 5500,… Firewall mềm như: Norton 360 Premium, Avast Premium Security, Bitdefender Total Security Tuy nhiên, loại Firewall kể tương đối tốn Đối với doanh nghiệp vừa nhỏ, với khoảng 1000 người sử dụng, họ muốn công cụ tường lửa miễn phí hoạt động ổn định với hiệu cao, tối ưu hóa mã nguồn khơng cần tảng phần cứng mạnh PfSense giải pháp hợp lý Xuất phát từ nhu cầu thực tế nêu trên, chúng em định chọn nghiên cứu đề tài “Nghiên cứu, triển khai tường lửa Pfsense ứng dụng doanh nghiệp” với mục đích tìm hiểu chế hoạt động Firewall Pfsense phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp vấn hành trơn tru, an toàn hạn chế cố xảy  Mục tiêu đạt sau hoàn thành thực tập sở:  Nắm khái niệm, đặc điểm, chức tường lửa tường lửa hệ Pfsense  Khai thác tính Firewall Pfsense  Triển khai áp dụng mơ hình tường lửa Pfsense cho doanh nghiệp AriesGroup  Phạm vi nghiên cứu: • • Nghiên cứu công cụ tường lửa Pfsense Nghiên cứu triển khai hệ thống tường lửa Pfsense cho doanh nghiệp MỤC LỤC DANH MỤC HÌNH VẼ CHƯƠNG 1: TỔNG QUAN VỀ TƯỜNG LỬA VÀ TƯỜNG LỬA THẾ HỆ MỚI PFSENSE 1.1 Khái quát an ninh mạng 1.1.1 An ninh mạng nguy an tồn mạng máy tính An ninh mạng (Cyber Security): hành động bảo vệ máy tính, máy chủ, thiết bị di động, hệ thống điện tử, mạng liệu khỏi công độc hại An ninh mạng biết đến đảm bảo an ninh công nghệ thông tin điện tử Cụm từ áp dụng cho lĩnh vực, từ kinh doanh điện toán chia thành nhiều danh mục phổ biến An ninh máy tính: Là tập hợp an ninh mạng Loại bảo mật sử dụng phần cứng phần mềm để bảo vệ liệu gửi từ máy tính cá nhân thiết bị khác đến hệ thống mạng lưới thông tin An ninh máy tính thực chức bảo vệ sở hạ tầng công nghệ thông tin chống lại liệu bị chặn, bị thay đổi đánh cắp tội phạm mạng Với mạng máy tính bạn có nguy bị xâm phạm ? Câu trả lời xác thời điểm, vị trí hệ thống có khả xuất hiện, kể đến: • Người bên hacker • Người làm việc cơng ty • Các ứng dụng mà cán nhân viên công ty sử dụng để thực nhiệm vụ thương mại họ • Các hệ điều hành chạy máy tính cá nhân, máy chủ, thiết bị khác • Hạ tầng sở mạng sử dụng để truyền tải liệu qua mạng, định tuyến (router), chuyển mạch (switch), tập trung (hub)… • Các điểm yếu giao thức mạng • Các điểm yếu việc hoạch định sách • Các điểm yếu cơng nghệ máy tính • Các điểm yếu cấu hình thiết bị 1.1.2 Các mức bảo vệ an toàn mạng Vì khơng thể có giải pháp an toàn tuyệt đối, nên người ta phải sử dụng đồng thời nhiều mức bảo vệ khác để tạo thành nhiều lớp “rào chắn” hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thông tin cất giữ máy tính, đặc biệt Server mạng Vì cố gắng tập trung vào việc xây dựng mức “rào chắn” từ vào cho hệ thống kết nối vào mạng Hình 1-1: Các mức bảo vệ an tồn mạng • Quyền truy nhập (Access Rights): Đây lớp bảo vệ sâu nhất, nhằm kiểm sốt tài ngun (thơng tin) mạng quyền hạn (có thể thực thao tác gì) tài nguyên Hiện việc xác lập quyền thường người quản trị mạng định Tuy nhiên, kiểm soát cấu trúc liệu chi tiết mức độ an tồn cao • Đăng nhập/Mật (Login/Password): Lớp bảo vệ thực kiểm soát quyền truy nhập mức hệ thống (tức truy nhập vào mạng) Đây phương pháp bảo vệ phổ biến đơn giản phí tổn có hiệu Mỗi người sử dụng (kể người quản trị mạng) muốn vào mạng để sử dụng tài nguyên mạng phải có tên đăng ký mật • Mã hóa liệu (Data Encryption): Để bảo mật thơng tin truyền mạng, người ta sử dụng phương pháp mã hoá (Encryption) Dữ liệu biến đổi từ dạng nhận thức sang dạng không nhận thức theo thuật tốn (tạo mật mã) biến đổi ngược lại (giải mã) trạm nhận Đây lớp bảo vệ thông tin quan trọng sử dụng rộng rãi môi trường mạng 10 Hình 3-70: Rules / WAN / Add Tiếp vào Firewall / Rules / OpenVPN để thêm Aliases vừa tạo vào luật phần OpenVPN 90 • Tiếp theo vào System -> User Manager để tạo User: vpn01 / password: 12345678 • User Certificates -> chọn CA: vpngroup78 -> Nhấn Save 91  Tại máy ảo win10 ta install package vừa cài đặt phía để tạo OpenVPN GUI Hình 3-71: OpenVPN GUI • Sau cài đặt xong ta sử dụng OpenVPN để kết nối đến hệ thống mạng nội LAN • Để kết nối đường truyền ta click vào biểu tượng taskbar chọn Connect 92 Hình 3-72: OpenVPN GUI / Connect • Bây ta kiểm tra kết xem máy win10 thơng sang hệ thống mạng LAN hay chưa cách ping theo địa ip Pfsense 192.168.8.10 máy win7 192.168.8.104, kết quả:  Vậy kết ping thành cơng 3.3.5 Backup and Recovery • Doanh nghiệp bắt buộc cần phải thực việc Backup Restore cấu hình thường xuyên định kỳ để đảm bảo tránh khỏi rủi ro bị liệu bị kẻ xấu công lấy cắp liệu Do ta triển khai sau: • Giả sử dùng 1mays chạy window7 hệ thống mạng LAN với địa IP 192.168.8.104 truy cập vào Pfsense để cấu hình Backup Restore • Truy cập đường dẫn Diagnostics -> Backup & Restore 93 Hình 3-73: Backup & Restore/ Backup & Restore + Backup Area : Muốn backup phần cấu hình chọn phần hình Ở ta chọn backup All 94 Skip RRD data : pfSense records data hệ thống sử dụng open-source RRD toolset để xuất graphic liệu , RRD graphs giúp quản trị chẩn đoán liệu hệ thống good way để monitor troubleshoot hệ thống Ở backup cấu hình nên ta bỏ không check vào ô backup RRD Encryption : Muốn đặt mật cho file xml cấu hình check điền mật vào Sau bấm Download để tải máy Hình 3-74: Download as XML • Tiếp theo ta tiến hành Restore Backup từ file xml phía Truy cập Diagnostics -> Backup & Restore -> Restore Backup 95 Hình 3-75: Backup & Restore -> Restore Backup Nếu phần trước backup file xml có đặt mật ta check vào Encryption nhập mật vào sau bấm Restore Configuration 3.3.6 Cấu hình Remote Desktop • Giả sử ta có máy chạy window7 hệ thống mạng VLAN8 có IP là: 192.168.8.104 nằm phịng kỹ thuật máy chạy window 10 hệ thống mạng WAN có IP là: 192.168.0.61 • Bây ta triển khai Remote Desktop từ win10 sang win7 thơng qua cổng WAN: 192.168.0.63 Pfsense sau: • Trước tiên ta cấu hình cổng NAT port Pfsense, vào Firewall -> NAT 96 Hình 3-76: NAT • Port forward -> • Tiếp theo ta điền thơng tin hình bên Hình 3-77: NAT / Port Forward • Interface: WAN • Address Family: Ipv4 • Protocol: TCP 97 • Destination: WAN address • Destination port range: MS RDP • Redirect target IP: Single host / 192.168.8.104 • Redirect target port: MS RDP • Description: NAT Remote Sau điền hết thông tin ta nhấn Save -> kết hình: 98 Tiếp theo ta thêm phần vừa cấu hình vào Rule để áp dụng cho WAN Vào Firewall -> Rules, sau điền thơng số sau: • Action: Pass • Interface: WAN • Address Family: Ipv4 • Protocol: TCP Hình 3-78: Tạo Rules cho Remote desktop Mục Source: Source: any Mục Destination: + Destination: Single host or alias / 192.168.8.104 + Destination Port Range: MS RDP (3389) 99 Cuối ta nhấn Save để lưu thông tin vừa nhập Vào Vmware Workstation, khởi động máy ảo win7 win10 • Win7: Vào Mycomputer -> Properties Hình 3-79: Remote Setting 100 • Chọn mục Remote settings -> Tại Remote Desktop, tích vào ô: Allow connections from computers running any version of Remote Desktop (less secure) -> OK • Win10: Vào Search -> Remote Desktop Connection Computer: 192.168.0.63 -> Connect User name: User 101 Hình 3- 66: Remote Desktop Connection • Password: pass máy win7  Kết ta truy nhập thành công vào máy win7 để điều khiển Hình 3-80: Remote Desktop Connection / Connected 102 KẾT LUẬN Sau trình tìm hiểu nghiên cứu, đề tài đạt số kết Đã hiểu rõ khái niệm, đặc điểm tường lửa tường lửa hệ Nắm số chức năng, dịch vụ tường lửa pfSense Thiết kế hệ thống sử dụng firewall pfSense cho doanh nghiệp ARIESGROUP Bên cạnh thời gian điều kiện thực tế nhiều hạn chế, đồ án nhiều sai sót chưa triển khai chức cần thiết, chưa tìm hiểu hết chức Firewall pfSense.Việc triển khai tìm hiểu chưa có điều kiện thực tế, nhiều vấn đề qua tài liệu khơng đánh giá hết ưu nhược điểm ứng dụng Em mong nhận đóng góp ý kiến Thầy Cơ bạn để em có thêm kiến thức kinh nghiệm tiếp tục hoàn thiện nội dung nghiên cứu đề tài Em xin chân thành Cảm ơn! 103 TÀI LIỆU THAM KHẢO [1] Buechler, Christopher M., and Jim Pingle PfSense: The Definitive Guide: The Definitive Guide to the PfSense Open Source Firewall and Router Distribution, 2009 [2] Math Williamson (2011), Pfsense Cookbook [3] Manuj Aggarwal (2018), Network Security with PfSense [4] William Stallings, Network and Internetwork Security [5] Bức tường lửa Internet An ninh mạng, NXB Bưu Điện [6] Nguyễn Tấn Phương (2010), Tìm hiểu Firewall, Khoa CNTT – Đại học Duy Tân [7] https://www.slideshare.net/hacker21/pf-sense-firewall [8] https://mona.guide/firewall-la-gi/ [9] https://mdungblog.wordpress.com/pfsense-la-gi-tong-quan-ve-pfsense/ 104 ... Triển khai áp dụng mơ hình tường lửa Pfsense cho doanh nghiệp AriesGroup  Phạm vi nghiên cứu: • • Nghiên cứu cơng cụ tường lửa Pfsense Nghiên cứu triển khai hệ thống tường lửa Pfsense cho doanh. .. CẢM ƠN Sau tháng nỗ lực tìm hiểu thực thực tập sở ? ?Nghiên cứu, triển khai tường lửa Pfsense ứng dụng doanh nghiệp? ?? hoàn thành, cố gắng thành viên, chúng em cịn nhận giúp đỡ tận tình cán hướng dẫn... thái + Tường lửa trạng thái ( Stateful Firewall): Loại tường lửa tổng hợp kết hợp loại tường lửa khác tường lửa chuyển đổi địa IP, tường lửa cổng mạch tường lửa proxy Dùng luật tường lửa ứng dụng,