1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiểu hệ thống firewall pfsense cho doanh nghiệp cung cấp hosting

72 10 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm Hiểu Hệ Thống Firewall Pfsense Cho Doanh Nghiệp Cung Cấp Hosting
Tác giả Trần Ngọc Đăng Khoa, Đoàn Duy Khôi
Người hướng dẫn Trần Thị Bích Vân
Trường học Trường Đại Học Công Nghiệp Thực Phẩm Tp Hồ Chí Minh
Chuyên ngành Công Nghệ Thông Tin
Thể loại báo cáo
Năm xuất bản 2021
Thành phố Tp Hồ Chí Minh
Định dạng
Số trang 72
Dung lượng 23,17 MB

Cấu trúc

  • LỜI CAM ĐOAN

  • LỜI CẢM ƠN

  • NHIỆM VỤ ĐỀ TÀI

  • Chương 1 Tìm hiểu về hệ thống Firewall

    • 1.1Firewall là gì ?

    • 1.2Các chức năng chính của Firewall

    • 1.3Phân loại Firewall

  • Chương 2. TỔNG QUAN VỀ TƯỜNG LỬA PFSENSE

    • 2.1 Tường lửa pfsense.

    • 2.2 Lợi ích của pfsense

  • Chương 3. CÀI ĐẶT PFSENSE

    • 3.1 Tạo máy ảo pfsense

    • 3.2 Cấu hình IP và thiết lập DHCP

    • 3.3 Cấu hình pfsense trên web

  • Chương 4. CẤU HÌNH CÁC DỊCH VỤ TRONG PFSENSE

    • 4.1 Cấu hình Aliases

    • 4.2 Cấu hình Schedule

    • 4.3 Captive Portal

    • 4.4 OpenVPN

    • 4.5 Squid Proxy

    • 4.6 Snort

    • 4.7 Suricata

Nội dung

Tìm hiểu về hệ thống Firewall

Firewall là gì ?

Tường lửa (Firewall) là hệ thống an ninh mạng, có thể là phần cứng hoặc phần mềm, giúp kiểm soát lưu lượng truy cập vào và ra khỏi hệ thống Nó hoạt động như một rào chắn giữa mạng an toàn và không an toàn, đảm bảo chỉ những lưu lượng truy cập phù hợp với chính sách đã định nghĩa mới được phép truy cập vào mạng, trong khi mọi lưu lượng không phù hợp sẽ bị từ chối.

Các chức năng chính của Firewall

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa

Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).

Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

Theo dõi luồng dữ liệu mạng giữa Internet và Intranet Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

Kiểm soát người sử dụng và việc truy nhập của người sử dụng Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

Phân loại Firewall

Firewall được chia làm 2 loại gồm: Firewall cứng và Firewall mềm.

Firewall mềm l à những Firewall được cài đặt trên Server. Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).

Firewall cứng: Là những firewall được tích hợp trên Router. Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)

- Firewall cứng không thể kiểm tra được nột dung của gói tin.

TỔNG QUAN VỀ TƯỜNG LỬA PFSENSE

Tường lửa pfsense

PfSense là một ứng dụng định tuyến và tường lửa miễn phí mạnh mẽ, cho phép mở rộng mạng mà không ảnh hưởng đến bảo mật Ra mắt vào năm 2004, pfSense đã thu hút hơn 1 triệu lượt tải và được sử dụng để bảo vệ mạng ở mọi quy mô, từ gia đình đến doanh nghiệp lớn Với một cộng đồng phát triển năng động, pfSense liên tục cập nhật các tính năng mới nhằm nâng cao bảo mật, độ ổn định và tính linh hoạt.

Pfsense cung cấp nhiều tính năng tương tự như các thiết bị tường lửa và router thương mại, bao gồm giao diện người dùng web (GUI) giúp quản lý dễ dàng và hiệu quả.

PfSense, được xây dựng trên nền tảng FreeBSD và sử dụng giao thức Common Address Redundancy Protocol (CARP), cung cấp tính năng dự phòng hiệu quả bằng cách cho phép quản trị viên kết hợp nhiều tường lửa vào một nhóm tự động chuyển đổi khi gặp sự cố Hệ thống này hỗ trợ nhiều kết nối mạng diện rộng (WAN), giúp thực hiện cân bằng tải một cách linh hoạt.

Lợi ích của pfsense

Tường lửa pfSense hoàn toàn miễn phí, mang lại lợi thế vượt trội về giá cả mà không làm giảm chất lượng Nó hoạt động ổn định với hiệu suất cao, đã được tối ưu hóa cả mã nguồn lẫn hệ điều hành Do đó, pfSense không yêu cầu phần cứng mạnh mẽ; ngay cả khi doanh nghiệp không có đường truyền tốc độ cao, chỉ cần cài đặt trên một máy tính cá nhân là đủ để bắt đầu Điều này không chỉ giúp giảm chi phí triển khai mà còn mang lại sự linh hoạt và khả năng mở rộng chưa từng có cho doanh nghiệp.

Hình 1 Lợi ích mà Pfsense đem lại

CÀI ĐẶT PFSENSE

Tạo máy ảo pfsense

Vào New Virtual Machine Wizard sau đó chọn Other để chọn VersionFreeBSD Đặt tên cho máy Pfsense, sau đó chọn nơi lưu trữ

Tùy chỉnh dung lượng ổ cứng

Card mạng đầu tiên chọn Card Bridged của card mạng của máy thật để vào mạng

Add thêm 1 card chọn Host Only

Sau đó tiến hành chạy máy ảo

Chọn OK để tiếp tục cài đặt

Cấu hình IP và thiết lập DHCP

Chưa cần cấu hình VLAN nên sẽ chọn no

Chọn Card em0 làm WAN

Chọn Option 2 để tiền hình đặt IP address

Chọn card số 2 ( LAN em1) để cài đặt

Phần IPv6 “Click Enter ” để bỏ qua

Chọn “y”thiết lập DHCP cho LAN

Cấp phát địa chỉ từ 192.168.8.10 -> 192.168.8.25

Máy Window 10 sử dụng card VMnet 8 Host-only để cùng đường mạng với máy Pfsense

Cấu hình pfsense trên web

Đăng nhập vào pfsense trên web để cấu hình với tài khoản mặc định Username : admin

Khi đăng nhập thành công vào pfsense thì tại máy pfsense sẽ hiện thông báo đã đăng nhập

Chỉnh Timezone Asia/Ho_Chi_Minh sau đó chọn Next

Nhấn Finish để hoàn thành cài đặt Đây là giao diện Dashboard của Pfsen

CẤU HÌNH CÁC DỊCH VỤ TRONG PFSENSE

Cấu hình Aliases

Aliases là tính năng vô cùng hữu hiệu của pfsense Một Aliases có thể định nghĩa được rất nhiều port hoặc một host hoặc nhiều dãy IP.

Ví dụ đơn giản, bạn muốn block IP Facebook-Facebook là một dãy IP rất nhiều lớp mạng, ta không thể làm từng Rules trên Firewall để chặn

Facebook, nó làm ta mất nhiều thời gian, làm chậm hệ thống, làm khó khăn cho việc quản trị Và chỉ cần ta tạo một Aliases có Tên là

To block access to Facebook.com, create an IP alias named IP_Facebook on your firewall By setting up a rule to block this alias, you can effectively restrict access to Facebook Additionally, ensure that you configure the alias with the website hufi.edu.vn for proper implementation.

Dùng nslookup để xem địa chỉ của hufi.edu.vn

Sau đó điền thông tin vào để cấu hình

Chọn “Apply Change” để lưu cài đặt

Sau đó vào firewall -> Rules chọn tab LAN

Chọn Action Block để chặn kết nối Ở hàng Protocol chọn Any Ở phần Destination chọn “single host or alias"và điền tên aliases đã tạo ở bước trước

Test vào những trang web khác bình thường

Test vào trang hufi.edu.vn thì không kết nối được

Test ping sẽ hiện“Request timed out”

Cấu hình Schedule

When setting up firewall rules in Pfsense, it's essential to create Aliases for defining IP ranges, hosts, and services, as well as implementing access policies based on specific days and times Pfsense provides a scheduling feature that allows users to create new schedules easily To create a new schedule, navigate to Firewall -> Schedules and click the Add button, then name the schedule and customize the days of the month as needed.

Tùy chỉnh thời gian sau đó đặt tên cho khoảng thời gian đó tiếp theo AddTime

Tiếp theo đó vào Rules để thêm thời gian thực thi vào

Tại Schedule chọn khoảng thời gian đã tạo ở phần trước

Sau đó điều chỉnh độ ưu tiên cho hợp lý

Kiểm tra vào web hufi.edu.vn vào giờ trưa thì kết nối được

Captive Portal

Captive portal là một trang web trung gian giúp bảo vệ hệ thống mạng, yêu cầu người dùng nhập tên và mật khẩu hợp lệ hoặc chỉ cần nhấp vào tham gia để truy cập Chức năng này thường được áp dụng cho các hệ thống mạng không dây, nhưng cũng có thể sử dụng trên các kết nối có dây tại trung tâm thương mại, tiệm internet hoặc tại nhà.

Để thiết lập mạng không dây hiệu quả, bước đầu tiên là kích hoạt DHCP Server, điều này giúp cung cấp địa chỉ IP tự động cho các thiết bị kết nối, tránh tình trạng xung đột địa chỉ IP Trong giao diện quản lý Web Interface của pfSense, bạn cần chọn mục Services và sau đó chọn DHCP Server.

Sau đó chúng ta sẽ set range cho DHCP

Để tạo tài khoản người dùng cho phép xác thực và truy cập internet, bạn cần chọn System, sau đó vào User Manager và nhấn Add.

Sau đó điền những thông tin cho user

Và set cho user có thể đăng nhập vào Captive Portal

Bước 3.Chọn Services, tiếp tục chọn Captive Portal sau đó chọn Add.

Nhập thông tin tương tự như hình sau để tạo ra Captive Portal

Bước 4 Cấu hình cho Captive Portal

Chọn logo và background cho web xác

Chọn database tài khoản để đăng nhập vào web xác thực

Kiểm tra ở máy thử khi vào đường mạng thì sẽ hiện web xác thực

Sau đó đăng nhập user và password đã tạo ở bước trước sẽ connect được vào mạng

OpenVPN

Bước 1: Downloads gói Openvpn-client-export

Bước 3: Tạo Certificate để cấp phát cho Server (pfSense) và user(user khi chứng thực vpn )

Bước 4: Cấu hình OpenVPN sử dụng Wizard method

Bước 5: Vào chọn Client Export để tiến hành Downloads VPN cho user

Bước 6: Vào status chọn OpenVPN để xem VPN đã hoạt động.

Bước 7: Chạy OpenVPN quyền Administrator

Bước 8: Connect VPN , Login user

Và kiểm tra ở phần Status của OpenVPN sẽ hiện thông tin vừa đăng nhập vào

Squid Proxy

Bước 1 : Tải về 2 gói Squid và SquidGuard để tiến hành cấu hình proxy

Bước 2 : Trước tiên ta vào Services - > Squid Proxy Server

Bước 3 : Chọn Tab Local Cache Ở phần Cache Replacement chọn Heap LFUDA.

Bước 4 : thêm thông số cho : Hard Disk Cache Size: 2048, Maximum ObjectSize : 512, Memory Cache Size : 512 Sau đó save cài đặt

Bước 5 : Tích hợp Antivirus ClamAV có sẵn trong gói Chọn Enable Squid antivirus check using ClamAV

Bước 6 : Chọn thời gian để hệ thống Updates

Bước 7 : Chuyển sang cấu hình SquidGuard Ở Tab General settings chọn Enable sau đó chọn Apply

Bước 8 : Chọn để enable GUI log, enable log, enable log retation

Bước 9 : Ở tab Time tùy chỉnh khung giờ tùy chỉnh :

Bước 10 : Xác định đối tượng cần chặn hay cho phép

Bước 11 : Ở mục Time chọn khung giờ đã tạo ở tab Time Target Rules Chọn access cho từng Target Deny để chặn các Target vừa tạo ở bước trên

Bước 12 : Ở tab Groups ACL phần Client điền các địa chỉ cần áp dụng proxy vào.

Bước 13 : Tiến hành test vào web hufi.edu.vn chặn ở bước trước thì đã chặn thành công

Snort

* Theo mô hình thì demo sẽ thực hiện tấn công vào web server thông qua cơ chế NAT ip của web , bên máy Wan sẽ vào web bằng ip 192.168.1.8

Bước 1: Vào Firewall -> rules ->WAN -> add

Bước 2: Vào Firewall -> rules -> LAN ( rules mặc định của lan sau khi setup pfsense)

Bước 3: Vào Firewall -> rules ->DMZ -> add

Bước 4: Vào Firewall -> Nat -> Port Forward -> add ( public webserver)

Bước 5: Đây là web server

Bước 6: Truy cập vào web bằng máy WAN

Bước 7: Vào Services -> Snort -> Global Settings (update rules )

Bước 8: Vào Services -> Snort ->Update

Bước 9: Vào Services -> Snort ->add Wan -> Wan Setting (cấu hình rule snort)

Bước 10:Vào Services -> Snort ->add Wan-Rules -> chọn custom rule

Bước 11:Custom Rules cảnh báo Ping -> Save

Bước 12: Chọn Start để chạy rule WAN

Bước 13: Test lệnh Ping đến web server thông qua nat ip ở trên

Bước 14: Vào Service -> Snort chọn Alert để xem các cảnh báo

Bước 15: Test thêm một vài rule

* Scan Port alert tcp any any -> 192.168.1.0/24 22 (msg:"Nmap FIN Scan"; flags:F; sid:1000000007; rev:1;)

* SQL injection alert tcp any any -> 192.168.1.0/24 80 (content:"%27"; msg:"Base InjectionAttack"; classtype:Web-application-attack; react:block; sid: 1000000013;)

Suricata

Suricata, giống như Snort, được tích hợp trên Pfsense, hỗ trợ các công ty và người quản lý mạng trong việc phát hiện và ngăn chặn các cuộc tấn công xâm nhập từ Internet.

* Sử dụng 3 card mạng như bên snort:

- Wan: 192.168.1.7 (do sử dụng DHCP nên ip của mạng wan thay đổi)

Bước 1: Vào service->Suricata->Global Settings

Bước 2: Tiến hành update rule cho Suricata

Bước 3: Tại Interfaces -> add rule Wan

Bước 4: Tại mục Alert and Block settings -> save

Bước 5: Vào Wan rules -> chọn customs rules để thiết lập 1 rule

Bước 6: Tại Interfaces nhấn start để chạy rule Wan

Bước 7: Vào máy attacker thực hiện tấn công

Bước 8: Tại mục Alert ,với rule là dsize >10000 thì nó sẽ drop ip đó

Ngày đăng: 24/12/2021, 21:53

HÌNH ẢNH LIÊN QUAN

Hình 1 Lợi ích mà Pfsense đem lại - Tìm hiểu hệ thống firewall pfsense cho doanh nghiệp cung cấp hosting
Hình 1 Lợi ích mà Pfsense đem lại (Trang 10)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w