3.2.1 Cài đặt pfsense.
Download Pfsense tại đây: www.pfsense.org .Lựa chọn phiên bản x86 hay x64 tuỳ
theo cấu hình của máy.
- Khởi start máy Pfsense sau khi khởi chạy pfsense đợt 1 lát sẽ có thông báo ta chọn theo các hình ở dưới. Ta tiến hành cài đặt 2 máy pfsense.
Hình 3.2 : chọn accept
Hình 3.4: chọn continue with default keymap và select
Hình 3.5 : chọn auto BIOS -> ok
- Sau khi cài xong ta chọn reboot khi máy đã khỏi động ta có giao diện
Hình 3.6 : giao diện máy pfsense
Hình 3.7 : cài đặt ip
Chọn 1) để tiến hành cài đăt IP wan và 2) để tiến hành cài đặt IP lan Sau khi cài đặt ta có 2 máy pfsense với hai cấu hình như sau.
Hình 3.8 : Pfsense 1
Hình 3.9 : Pfsense 2
Từ máy winserver 2019 ta truy cập vào 2 firewall bằng giao diện web Sau khi cài đặt cơ bản firewall ta có giao diện của 2 pfsense như hình.
Hình 3.10 : giao diện web
3.2.2 Triển khai HA và CARP.
Ở giao diện quản lý pfsense 1 : ta chọn system > High Available sync Sau đó tích chọn và điển theo như hình.
Hình 3.11 : giao diện High Available sync
Tích chọn synchronize statse , ở đây sẽ dùng đường mạng lan để đồng bộ nên tôi chọn synchronize interface là LAN.
Điền IP Lan của pfsense 2 vào pfsync synchronize peer ip là : 172.16.1.253 Điền IP Lan của pfsense 2 vào synchronize config to ip là : 172.16.1.253
Hình 3.12 : cấu hình HA và CARP
Điền vào tên đăng nhập và mật khẩu đăng nhập của pfsense 2.
Hình 3.13 : cấu hình HA và CARP
Tích chọn các tính năng cần đồng bộ trừ DHCP server sau đó ta lưu lại
Ở Pfsense 1 ta chọn system > user manager tạo 1 tài khoản user , nếu qua pfsense có tài khoản user đã tạo thì hai máy đã backup dữ liệu.
Tiếp theo để pfsense cấp DHCP mà không bị lỗi do hai máy giành nhau cấp ip ta chọn firewall > virtual ips.
Hình 3.14 : tạo virtual ip cho wan và lan trên pfsense 1
Sau khi tạo xong pfsense2 cũng sẽ tự có 2 virtual ip do ta đã đồng bộ dữ liệu. Nhưng với độ ưu tiên thấp hơn con pfsense1.
Tiếp theo trên pfsense 1 chọn services > DHCP server.
Ta gán gateway là ip lan ảo vừa tạo và fallower peer ip là ip lan của pfsense 2 .
Hình 3.15 : gán gateway
Quay lại system > High Available sync ta bật đồng bộ DHCP lên , vậy là ta đã hoàn thành việc tạo HA và CARP.
3.2.3 Triển khai VPN client to site.
Ở hai máy pfsense ta vào system > package manager tìm và cài đặt gói openvpn.
Hình 3.16 cài đặt openvpn
Trước khi tạo vpn ta sẽ tạo 2 certifacate để xác thực.
Vào systeam > certificate manager bên phần CAs ta tạo 1 certificate như hình
Hình 3.17 : tạo certificate labtest
Hình 3.18 : tạo certificate testlab.rog
Sau khi tạo xong ta chọn VPN > Open VPN. Ta điền các thông tin vào theo như hình ở dưới Mã hóa ta chọn SSL/TLS+user auth
Ta chọn interface muốn kết nối là virtual ip wan : 192.168.1.200 Port : để mặc định hoặc điền 1 port tùy ý.
Ta chọn peer certificate là labtest và server certificate là testlab.org
Hình 3.20 : tạo server vpn
Chỗ tunnel network ta đặt 1 ip : 172.16.2.0/24
Hình 3.21 : tạo server vpn
Các thông số khác ta giữ nguyên.
Ta vào system > user manager ta tạo 1 user vpn01 thuộc sertificate labtest. Sau đó vào lại VPN > openVPN > Client specific overrides để tạo 1 user client. Common name vpn01
Hình 3.22 : tạo client vpn
Lúc này đén client export ta đã thấy user vpn01 ta thực hiện tài file cài đặt và cài lên máy cần cài .
Hình 3.23 : tạo client vpn
Ta chọn Rule > wan ta mở 1 rule như hình
Hình 3.24 :rule mở port 60999
Trên rule > openVPN ta mở cho phép tất cả traffic đi qua là có thể kết nối client to server.
3.2.4 Triển khai Suricata.
Sau khi cài đặt ta vào services > suricata.
Ở interface ta add 1 đường wan vì tôi muốn quản lý qua wan
Hình 3.25 : triển khai suricata
Hình 3.26 : chọn block offenders
Sau khi cài xong ta đến phần wan rule > custom.rules . ở đây ta có thể viết rule. 1 số rule để test :
alert icmp 192.168.1.0/24 any -> any any (msg:"thong bao tan cong ping of dead";dsize:>10000;sid:1000001;rev:1;)
drop icmp 192.168.1.0/24 any -> any any (msg:"thong bao tan cong ping of dead";dsize:>10000;sid:1000001;rev:1;)
Hình 3.27 : triển khai 1 vài rule
Từ máy tính attack ta thực hiện ping of dead đến server
Hình 3.29 : cảnh báo xâm nhập Giải thích rule :
alert icmp 192.168.1.0/24 any -> any any (msg:"thong bao tan cong ping of dead";dsize:>10000;sid:1000001;rev:1;)
alert là hành động khi phát hiện gói tin ứng với luật. Giao thức sử dụng là ICMP.
Địa chỉ IP nguồn là 192.168.1.0/24 , tức là đến từ cổng wan. Port nguồn và đích đều là any , tức là bất kỳ port nào.
Địa chỉ IP đích là any , tức là đến bất cứ đâu trong mạng. Msg thông điệp thông báo khi phát hiện gói tin ứng với luật. dsize là tải trọng của gói tin mang.
Sid (Signature id) cho ta biết định danh riêng của mỗi signature. Định danh này được bắt đầu với số.
Rev (revision) mỗi sid thường đi kèm với một rev. Rev đại diện cho các phiên bản của signature. Mỗi khi signature được sửa đổi thì số rev được tăng lên bởi người tạo ra.
CHƯƠNG 4 : KẾT LUẬN
4.1 Đạt được
Đề tài cho ta thấy rõ được sự cần thiết của bảo mật, cũng cho thấy các kỹ thuật được ứng dụng trong firewall và IPS. Đồng thời cũng cho những hạn chế của phương pháp bảo mật hiện tại. Triển khai được hệ thống firewall pfsense , triển khai được 1 số tính năng mà pfsense hỗ trợ như HA và CARP . kết hợp với suricata để giúp bảo mật tốt hơn.
Các công nghệ về firewall và IPS còn rất nhiều, sức mạnh bảo mật là rất lớn, tuy nhiên do thời gian có hạn và kinh nghiệm thực tiễn của em còn chưa nhiều nên việc tiếp cận các công nghệ còn nhiều thiếu sót. Nên sự đóng góp của thầy cô và các bạn là vô cùng cần thiết và giúp em xây dựng được một kiến thức vững vàng trong việc nghiên cứu.
4.2 Khó khăn
- chưa triển khai chi tiết được suricata
Tài liệu hướng dẫn https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/firewall-rules.html#permitting- traffic-to-the-openvpn-server https://docs.netgate.com/pfsense/en/latest/highavailability/index.html https://adminvietnam.org/suricata-tren-pfsense/2698/ https://rules.emergingthreats.net/open/suricata/rules/ https://suricata.readthedocs.io/en/suricata-6.0.0/index.html