TÌM HI u v b o m t và TRI n KHAI h ể ề ả ậ ể ệ THỐNG TƯỜNG lửa PFSENSE CHO MẠNG DOANH NGHIỆP

HCMKHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỀU VỀ BẢO MẬT VÀ TRIỂN KHAI TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP TP... HCMKHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN C

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH

ĐỀ TÀI:

TÌM HIỀU VỀ BẢO MẬT VÀ TRIỂN KHAI

TƯỜNG LỬA PFSENSE CHO MẠNG

DOANH NGHIỆP

TP HỒ CHÍ MINH – 12/2021

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH

ĐỀ TÀI:

TÌM HIỀU VỀ BẢO MẬT VÀ TRIỂN KHAI

TƯỜNG LỬA PFSENSE CHO MẠNG

DOANH NGHIỆP

TP.HỒ CHÍ MINH – 12/2021

I

LỜI CAM ĐOANNhóm chúng em xin cam đoan n i dung c a đồ án chuyên ngành đề tài “ Tìm

hiểu về bảo mật và triển khai tường lửa pfsense cho mạng doạnh nghiệp” là s

n ph m c a nhóm chúng em Nh ng v n đề đư c tr nh bày trong đồ án này là k t qu c

a quá tr nh h c t p, nghiên c u, làm việc c a nhóm T t c tài liệu tham kh o đều c xu t

x r ràng và đư c tr ch dẫn h p pháp

Nhóm chúng em xin ch u hoàn toàn trách nhiệm cho l i cam đoan c a m nh

TP.Hồ Ch Minh, ngày tháng năm 2021

Ngư i cam đoan

Nguyễn Văn Phát Phạm Việt Cường Trần Cao Đăng Duy

II

LỜI CẢM ƠN

Đầu tiên, nhóm chúng em xin gửi l i c m ơn chân thành đ n các gi ng viên Trư

ng Đại h c Công Nghệ TP.HCM – HUTECH, đặc biệt là quý thầy, cô thu c khoaCông Nghệ Thông Tin đã nhiệt tình gi ng dạy và truyền đạt cho em nh ng ki n th c

về Công Nghệ Thông Tin vô cùng bổ ích trong th i gian thực hành báo cáo này.Nhóm chúng em xin chân thành bày tỏ lòng bi t ơn đ n Thầy Ths Nguyễn LêVăn ngư i đã h t lòng giúp đỡ và tạo m i điều kiện tốt nh t cho nhóm chúng emhoàn thành báo cáo này Thầy đã hướng dẫn r t t n tình, gi i đáp nh ng thắc mắc vàhướng em đi đúng ti n đ để hoàn thành bài báo cáo này m t cách tốt nh t

Cuối cùng, nhóm chúng em xin gửi l i c m ơn đ n gia đ nh, các anh ch và các bạn

đã hỗ tr cho em r t nhiều trong suốt quá trình h c t p, nghiên c u và thực hiện đề tài m tcách hoàn chỉnh Nhóm chúng em xin kính chúc Ban Giám Hiệu nhà trư ng cùng quýThầy Cô s c khỏe, luôn vui vẻ và đạt nhiều thành công trong công việc

TP.Hồ Ch Minh, ngày tháng năm 2021

III

Mục Lục

L I CAM ĐOAN II

L I CẢM ƠN III DANH MỤC HÌNH ẢNH VI

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1

1.1 Lý do chọn đề tài 1

1.2 Nội dung báo cáo 1

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 3

2.1 Tổng quan về cộng nghệ firewall 3

2.1.1 Định nghĩa firewall 3

2.1.2 Chức năng của firewall 3

2.1.3 Cấu trúc firewall 3

2.1.4 Phân loại firewall 4

2.2 Giới thiệu tường lửa pfsense 4

2.3.1 pfSense Aliases 5

2.3.2 NAT 5

2.3.3 Firewall Rules 6

2.3.4 Firewall Schedules 6

2.4 Một số dịch vụ của Pfsense 6

2.4.1 DHCP Server 6

2.4.2 Cài đặt Packages 6

2.4.3 Cấu hình NTP Server cho Pfsense 7

2.4.4 Cài đặt Failover và Load Balancing cho Ffsense 7

2.4.5 High Availability Sync và CARP 7

2.5 Cài đặt Pfsense 7

2.6 Triển khai Pfsense 15

2.6.1 Tính năng của Pfsense 15

2.6.2 Một số dịch vụ của Pfsense 19

CHƯƠNG 3: KẾT LUẬN 45

3.1 Kết quả đạt được 45

3.2 Những mặt hạn chế 45

IV

3.3 Hướng phát triển trong tương lai 45

TÀI LIỆU THAM KHẢO 46

V

DANH MỤC HÌNH ẢNH

Hình 1: Mô hình tường lửa pfsense 5

Hình 2: Màn hình welcome to pfsense 8

Hình 3: Hệ thống hỏi có muốn tạo VLANs không, chọn “N” 8

Hình 4: Chọn card mạng WAN thứ nhất, chọn card “ em1” 9

Hình 5: Chọn card cho mạng LAN bên trong “em0” 9

Hình 6: Chọn card mạng cho WAN2 “em2” 10

Hình 7: Sau khi gán xong, chọn “y” 10

Hình 8: Cài đặt các Interface (card mạng) Chọn mục 2 11

Hình 9: Cài đặt IP cho mạng LAN, chọn “2” 11

Hình 10: Chọn địa chỉ Ipv4 “10.10.10.10” 12

Hình 11: Chọn “24” là Subnetmask 12

Hình 12: Hệ thống hỏi mình có nên kích hoạt chức năng DHCP không ? Chọn “y” là đồng ý Pfsese là DHCP Server 13

Hình 13: Gán Range Ipv4 cần cấp cho mạng LAN “10.10.10.100” và kết thúc là “ 10.10.10.200” 13

Hình 14: Hệ thống hỏi có cấu hình Pfsense làm Webserver không, chọn “n” không đồng ý Nếu đồng ý thì chức năng tái hiện trong cách cài đặt Virtual Server 14

Hình 15: Cài đặt hoàn tất 14

Hình 16: Giao diện Aliases 15

Hình 17: Giao diện NAT 15

Hình 18: Giao diện Rules 16

Hình 19: Giao diện Edit Rules 16

Hình 20: Giao diện Firewall Schedules 17

Hình 21: Giao diện Edit Firewall Schedules 17

Hình 22: Tạo ví dụ lịch học trong tuần của Firewall Schedules 18

Hình 23: Kết quả của ví dụ trong Firewall Schedules 18

Hình 24: Giao diện của DHCP Server 19

Hình 25: Giao diện của Package Manager 20

Hình 26: Thử cài đặt trên Package Manager 20

Hình 27: Đã cài đặt thành công 21

Hình 28: Giao diện Web của Pfsense 22

Hình 29: Pfsense Dashboard 22

Hình 30: NTP 23

Hình 31: Settings NTP 24

Hình 32: Kiểm tra Sevices của NTP 24

Hình 33: Kết quả NTP hoạt động 25

Hình 34: Giao diện đồ họa Dashboard Pfsense 26

Hình 35: Cấu hình Interface WAN thành WAN1 26

VI

Hình 36: Cấu hình OTP 1 thành WAN2 27

Hình 37: Bỏ chọn Block Private Networks để bỏ chặn traffic từ hệ thống mạng nội bộ 27

Hình 38: Sau khi cấu hình tất cả Interface 28

Hình 39: Giao diện Gateways để cấu hình Monitor IP 28

Hình 40: Cấu hình Monitor IP cho WAN1 29

Hình 41: Cấu hình Monitor IP cho WAN2 29

Hình 42: Kết quả sau khi cấu hình 30

Hình 43: Giao diện của Gateway Groups 30

Hình 44: Tạo Groups 31

Hình 45: Giao diện của Firewall Rules 31

Hình 46: Chỉnh sửa Gateway cho mạng LAN 32

Hình 47: Kết quả sau khi chỉnh sửa 32

Hình 48: Kết quả LoadBalancer 33

Hình 49: Traffic Graph 33

Hình 50: Tạo Group WAN1 Failover 34

Hình 51: Tạo Group WAN2 Failover 34

Hình 52: Giao diện sau khi tạo các Group 35

Hình 53: Tạo Rules WAN1 Failover cho card mạng LAN 36

Hình 54: Tạo Rules WAN2 Failover cho card mạng LAN 37

Hình 55: Bảng liệt kê sau khi thêm các Rules 37

Hình 56: Gán DNS Server cho Gateway 38

Hình 57: Kết quả 38

Hình 58: Cấu hình Pfsense 1 39

Hình 59: Cấu hình Pfsense 2 39

Hình 60: Giao diện cài đặt High Availability Sync và CARP 40

Hình 61: Giao diện cài đặt High Availability Sync và CARP 40

Hình 62: Giao diện cài đặt High Availability Sync và CARP 41

Hình 63: Cấu hình IP ảo cho LAN và WAN 42

Hình 64: Thực hiện quá trình 43

Hình 65: Thực hiện quá trình 43

VII

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI

1.1 Lý do chọn đề tài

Trong th i kỳ nhân loại con ngư i đang phát triển công nghiệp hóa, hiện đại h a đ

t nước, ngành công nghệ thông tin c a đ t nước ta đã c nh ng thành công vư t b c

Đi đôi cùng với sự phát triển về công nghệ thông tin, mạng lưới cơ sở hạ tầngmạng máy tính và truyền thông cũng đã đư c nâng c p, tạo điều kiện cho các d ch

vụ mạng gia tăng, trao đổi thông qua mạng phổ bi n trên toàn cầu Nhưng cùng với

sự phát triển mạnh mẽ c a hệ thống mạng máy tính, đặc biệt là sự phát triển r ngkhắp nơi c a hệ thống mạng Internet, các vụ t n công phá hoại và l y cắp d liệu trênmạng diễn ra ngày càng nhiều và ngày càng nghiêm tr ng hơn Chúng xu t phát từ

r t nhiều mục đ ch khác nhau như là để đánh cắp d liệu quan tr ng, truyền mã đ chay vì nh ng mâu thuẫn, cạnh tranh…nhưng t p trung lại đã gây ra m t h u qu r tnghiêm tr ng c về v t ch t và uy tín c a doanh nghiệp đang sử dụng mạng

Chính vì th y tầm quan tr ng c a v n đề b o m t mạng máy tính c a doanh nghiệpnên chúng em đã ch n đề tài ch n đề tài “TÌM HIỂU VỀ BẢO MẬT VÀ TRIỂN KHAI

HỆ THỐNG TƯỜNG LỬA PFSENSE CHO MẠNG DOANH NGHIỆP” làm đồ ánchuyên ngành c a nhóm chúng em N i dung đồ án gồm 3 chương

Chương 1: Tổng quan đề tàiChương 2: Cơ sở lý thuy tChương 3: K t lu n

1.2 Nội dung báo cáo

Chương 1: Tổng quan về đề tài

Chương 2: Cơ sở lí thuy t

- Tổng quan về công nghệ firewall và giới thiệu pfsense

- Cài đặt pfsense

- Triển khai pfsense

Chương 3: K t lu n.

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

2.1 Tổng quan về cộ ng nghệ Firewall

2.1.1 Định nghĩa Firewall

Firewall là m t phần c a hệ thống hay mạng máy t nh đư c thi t k để điều khiểntruy nh p gi a các mạng bằng cách ngăn chặn các truy c p không đư c phép trong khicho phép các truyền thông h p lệ N cũng là m t hay m t nhóm các thi t b đư c c u h nh

để cho phép, ngăn c n, mã hóa, gi i mã hay proxy lưu lư ng trao đổi c a các máy tính

gi a các miền b o m t khác nhau dựa trên m t b các lu t (rule) hay tiêu chu n nào khác

2.1.2 Chức năng của Firewall

Ch c năng ch nh c a firewall là kiểm soát lưu lư ng gi a hai hay nhiều mạng

có m c đ tin c y khác nhau để từ đ thi t l p cơ ch điều khiển luồng thông tin gi achúng Cụ thể là:

- Cho phép hoặc ngăn c n truy nh p vào ra gi a các mạng

- Theo dõi luồng d liệu trao đổi gi a các mạng

- Kiểm soát ngư i sử dụng và việc truy nh p c a ngư i sử dụng

- Kiểm soát n i dung thông tin lưu chuyển trên mạng

2.1.3 Cấu trúc Firewall

Không hoàn toàn giống nhau gi a các s n ph m đư c thi t k bởi các hãng b o m t,tuy nhiên có nh ng thành phần cơ b n sau trong c u trúc c a m t firewall nói chung (mà

m t số trong đ sẽ đư c tìm hiểu r hơn trong phần 2.2 về các công nghệ firewall):

- B l c gói (packet filtering)

- Application gateways / Proxy server

- Circuit level gateway

- Các chính sách mạng (network policy)

- Các cơ ch xác thực nâng cao (advanced authentication mechanisms)

- Thống kê và phát hiện các hoạt đ ng b t thư ng (logging and detection of suspicious activity)

2.1.4 Phân loại firewall

Có r t nhiều tiêu chí có thể đư c sử dụ ng phân loại các s n ph m firewall, ví

dụ như cách chia ra thành firewall c ng (thi t b đư c thi t k chuyên dụng hoạt đ ngtrên hệ điều hành dành riêng cùng m t số xử lý trên các mạch điện tử tích h p) vàfirewall mềm (phần mềm firewall đư c cài đặt trên máy t nh thông thư ng)…Nhưng

c lẽ việc phân loại firewall thông qua công nghệ c a s n ph m firewall đ đư c xem làphổ bi n và chính xác hơn t t c

2.2 Giới thiệu tường lửa Pfsense

Để b o vệ cho hệ thống mạng bên trong thì chúng ta có nhiều gi i pháp như sử dụng Router Cisco, dùng tư ng lửa c a Microsoft như ISA…

Tuy nhiên nh ng thành phần kể trên tương đối tốn kém Vì v y đối với ngư i dùng không muốn tốn tiền nhưng lại muốn có m t tư ng lửa b o vệ hệ thống mạng bên trong (mạng n i b ) khi mà chúng ta giao ti p vối hệ thống mạng bên ngoài (Internet) thì pfsense

là m t gi i pháp ti t kiệm và hiệu qu tương đối tốt nh t đối với ngư i dùng.

PfSense là m t ng dụng có ch c năng đ nh tuy n vào tư ng lửa mạnh và miễn phí, ng dụng này sẽ cho phép bạn mở r ng mạng c a mình mà không b thỏa hiệp về sự b o m t Bẳt đầu vào năm 2004, khi monowall mới bắt đầu ch p ch ng đây là m t dự án b o m t t p trung vào các hệ thống nhúng pfSense đã có hơn 1 triệu download và đư c sử dụng để b o vệ các mạng ở t t c kích cỡ, từ các mạng gia đình đ n các mạng lớn c a c a các công ty Ứng dụng này có m t c ng đồng phát triển r t tích cực và nhiều tính năng đang đư c bổ sung trong mỗi phát hành nhằm c i thiện hơn n a tính b o m t, sự ổn đ nh và kh năng linh hoạt c a nó

Pfsense bao gồm nhiều t nh năng mà bạn vẫn th y trên các thi t b tư ng lửahoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự qu n lý m t cách

dễ dàng Trong khi đ phần mềm miễn phí này còn có nhiều tính năng n tư ng đối với firewall/router miễn ph , tuy nhiên cũng c m t số hạn ch

Pfsense hỗ trl c bởi đ a chỉ nguồn và đ a chỉ đ ch, cổng nguồn hoặc cổng đ ch

hay đ a chỉ IP N cũng hỗ tr ch nh sách đ nh tuy n và có thể hoạt đ ng trong các ch

đ bridge hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở gi a các thi t b mạng mà

(NAT) và tính năng chuyển ti p cổng, tuy nhiên ng dụng này vẫn còn m t số hạn ch

với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT

PfSense đư c dựa trên FreeBSD và giao th c Common Address

Redundancy Protocol (CARP) c a FreeBSD, cung c p kh năng dự phòng bằng cách cho phép các qu n tr viên nhóm hai hoặc nhiều tư ng lửa vào m t nhóm tự đ

ng chuyển đổi dự phòng Vì nó hỗ tr nhiều k t nối mạng diện r ng (WAN) nên có thể thực hiện việc cân bằng t i Tuy nhiên có m t hạn ch với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lư ng phân phối gi a hai k t nối WAN và bạn không thể chỉ

đ nh đư c lưu lư ng cho qua m t k t nối

Hình 1: Mô h nh tư ng lửa Pfsense

2.3 Một số tính năng Pfsense

2.3.1 Pfsense Aliases

Aliases c thể giúp bạn ti t kiệm m t lư ng lớn th i gian n u bạn sử dụng chúng

m t cách chính xác

M t Aliases ngắn cho phép bạn sử dụng cho m t host ,cổng hoặc mạng c thể đư c

sử dụng khi tạo các rules trong pfSense Sử dụng Aliases sẽ giúp bạn cho phép bạn lưu tr nhiều mục trong m t nơi duy nh t c nghĩa là bạn không cần tạo ra nhiều rules cho nh m các máy hoặc cổng

2.3.2 NAT

PfSense cung c p network address translation (NAT) và t nh năng chuyển ti p cổng, tuy nhiên ng dụng này vẫn còn m t số hạn ch với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.

Trong Firewall bạn cũng c thể c u h nh các thi t l p NAT n u cần sử dụng cổng chuyển

ti p cho các d ch vụ hoặc c u h nh NAT tĩnh (1:1) cho các host cụ thể Thi t l p mặc

đ nh c a NAT cho các k t nối outbound là automatic/dynamic, tuy nhiên bạn c thể thayđổi kiểu manual n u cần

2.4.3 Cấu hình NTP Server cho Pfsense

D ch vụ này giúp ngư i dùng đòng b th i gian mạng. NTP (Network Time

Protocol) là để đồng b đồng hồ các hệ thống máy t nh thông qua mạng d liệu chuyển mạch g i với đ trễ bi n đổi D ch vụ này đư c thi t k để tránh nh hưởng c

a đ trễ bi n đổi bằng cách sử dụng b đệm jitter

2.4.4 Cài đặt Failover và Load Balancing cho Pfsense

Ch c năng này sử dụng nền t ng Pfsense để cân bằng t i cho traffic từ mạng LAN ra nhiều nhành WAN

2.4.5 High Availability Sync và CARP

High Availability c nghĩa là “Đ sẵn sàng cao“, nh ng máy ch , thi t b loại này luôn

luôn sẵn sàng phục vụ, ngư i sử dụng không c m th y n b trục trặc, hỏng h c gây giánđoạn Để đ m b o đư c điều đ , tối thiểu c m t cặp máy, thi t b chạy song song, liên tục liên lạc với nhau, cái ch nh hỏng, cái phụ sẽ l p t c bi t và tự đ ng thay th

Thông thư ng các nh m máy ch đư c g i là "CARP cluster" nhưng CARP chỉ là m t phần High Availability đạt đư c bằng cách sử dụng sự k t h p c a nhiều kỹ thu t c liên quan, bao gồm c CARP, trạng thái đồng b (pfsync), và c u h nh đồng b

(XMLRPC Sync)

Common Address Redundancy Protocol (CARP): đư c sử dụng bởi các node để chia

sẻ 1 IP o (virtual IP) gi a nhiều nút với nhau sao cho khi 1 node fail th IP o đ vẫn hoạt

đ ng bởi các node khác CARP đư c bắt nguồn từ OpenBSD như 1 thay th mã nguồn

mở cho giao th c route o VRRP (The Virtual Router Redundancy Protocol)

CARP sử dụng multicast v v y cần chú ý tới các switch trên hệ thống c hạn ch hoặc block, filter đ a chỉ multicast hay không

2.5 Cài đặt Pfsense

Hình 2: Màn hình welcome to pfsense

Hình 3: Hệ thống hỏi có muốn tạo VLANs không, ch n “N”

Hình 4: Ch n card mạng WAN thnh t, ch n card “ em1”

Hình 5: Ch n card cho mạng LAN bên trong “em0”

Hình 6: Ch n card mạng cho WAN2 “em2”

Hình 7: Sau khi gán xong, ch n “y”

Hình 8: Cài đặt các Interface (card mạng) Ch n mục 2

Hình 9: Cài đặt IP cho mạng LAN, ch n “2”

Hình 10: Ch n đ a chỉ Ipv4 “10.10.10.10”

Hình 11: Ch n “24” là Subnetmask

Hình 12: Hệ thống hỏi mình có nên kích hoạt ch c năng DHCP không ? Ch n

“y” là đồng ý Pfsese là DHCP Server

Hình 13: Gán Range Ipv4 cần c p cho mạng LAN “10.10.10.100” và k t thúc là

“ 10.10.10.200”

Hình 14: Hệ thố ng hỏ i có c u hình Pfsense làm Webserver không, ch n “n” không đồng

ý N u đồng ý thì ch c năng tái hiện trong cách cài đặt Virtual Server

Hình 15: Cài đặt hoàn t t

2.6 Triển khai Pfsense

2.6.1 Tính năng của Pfsense

2.6.1.1 Pfsense Aliases

Để tạo m t Aliases chúng ta vào Firewall -> Aliases

Hình 16: Giao diện Aliases

2.6.1.2 NAT

Để tạo m t NAT chúng ta vào Firewall ->NAT

Hình 17: Giao diện NAT

2.6.1.3 Firewall Rules

Để tạo m t Rules chúng ta vào Firewall -> Rules

Hình 18: Giao diện Rules

Để add các rules mới ta nh n vào biểu tư ng Add, rồi chúng ta thi t l p t nh năng cho nó

Hình 19: Giao diện Edit Rules

2.6.1.4 Firewall Schedules

Để tạo m t Schedules mới vào Firewall > Schedules

Hình 20: Giao diện Firewall SchedulesSau đ nh n vào Add để các Firewall rules có thể đư c sắp x p để nó có chỉ hoạt đ

ng vào các th i điểm nh t đ nh trong ngày hoặc vào nh ng ngày nh t đ nh cụ thểhoặc các ngày trong tuần

Hình 21: Giao diện Edit Firewall Schedules

Ví dụ: Tạo l ch Lichhoctrongtuan c a tháng 11 gồm các ngày th 3, 5, 7 và th i

điểm từ 7 gi 30 đ n 11 gi 15

Hình 22: Tạo ví dụ l ch h c trong tuần c a Firewall Schedules Sau khi tạo xong nh n Add Time

Xong rồi nh n save sẽ ra k t qu

Hình 23: K t qu c a ví dụ trong Firewall Schedules

2.6.2 Mộ t số dịch vụ của Pfsense

2.6.2.1 DHCP Server

DHCP chỉnh c u hình mạng TCP/IP bằng cách tự đ ng gán các đ a chỉ IP cho ngư i dùng khi vào mạng

Hình 24: Giao diện c a DHCP Server

2.6.2.2 Cài đặt Packages

Ngư i dùng c nhu cầu cài đặt thêm m t số ch c năng c a Pfsense

Ngư i dùng vào tại menu System Package Manager sẽ hiển th t t c các gói có sẵn bao gồm m t mô t ngắn g n về ch c năng c a nó

Để cài đặt m t gói phần mềm, hãy nh p vào "intall" biểu tư ng trên bên ph i

c a trang