TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT-HÀN KHOA KHOA HỌC MÁY TÍNH ĐỒ ÁN TỐT NGHIỆP NGÀNH MẠNG MÁY TÍNH ĐỀ TÀI NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG FIREWALL MÃ NGUỒN MỞ CHO DOANH NGHIỆP VỪA VÀ NHỎ SVTH: Nguyễn Đức Trung Lớp: CCMM03C Niên khóa: 2009 – 2012 CBHD: Ths.Đặng Quang Hiển Đà Nẵng, tháng năm 2012 LỜI CẢM ƠN Sau ba tháng nỗ lực tìm hiểu thực hiện, đồ án “Nghiên cứu triển khai hệ thống firewall mã nguồn mở cho doanh nghiệp vừa nhỏ” hoàn thành, ngồi cố gắng thân, em cịn nhận nhiều động viên, khích lệ từ gia đình, thầy bạn bè Em xin chân thành cảm ơn thầy cô Trường Cao Đẳng Công Nghệ Thông Tin Hữu Nghị Việt – Hàn truyền đạt nhiều kinh nghiệm kiến thức quý báu cho em suốt trình học tập trường Đặc biệt em xin tỏ lòng biết ơn sâu sắc tới Thầy Đặng Quang Hiển – giảng viên khoa khoa học máy tính thầy khoa tận tình giúp đỡ em suốt trình thực đồ án tốt nghiệp Mặc dù em cố gắng để hoàn thành đồ án tốt nghiệp này, tham khảo nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức nhiều hạn chế, khơng thể tránh khỏi thiếu sót Em mong nhận thơng cảm đóng góp, bảo tận tình q thầy bạn để đồ án ngày hoàn thiện Một lần em xin gửi lời cảm ơn chân thành nhất! Đà Nẵng, tháng năm 2012 Sinh viên thực Nguyễn Đức Trung – Lớp CCMM03C MỤC LỤC Trang LỜI CẢM ƠN ii MỤC LỤC i Trang i DANH MỤC CÁC TỪ VIẾT TẮT .iv DANH MỤC CÁC HÌNH VẼ v MỞ ĐẦU .vii CHƯƠNG TỔNG QUAN VÀ GIẢI PHÁP VỀ AN TOÀN – AN NINH MẠNG ix 1.1.TỔNG QUAN VỀ AN TOÀN – AN NINH MẠNG .ix 1.1.1.An tồn mạng ix 1.1.2.Các đặc trưng kỹ thuật an toàn mạng x 1.1.3.Đánh giá đe dọa, điểm yếu hệ thống kiểu công xi 1.1.3.1.Đánh giá đe dọa xi 1.1.3.2.Các lỗ hổng điểm yếu mạng .xii 1.1.3.3.Các kiểu công xiv 1.1.3.4.Các biện pháp phát hệ thống bị công xv 1.1.4.Một số cơng cụ an ninh – an tồn mạng xvi 1.1.4.1.Thực an ninh – an toàn từ cổng truy nhập dùng tường lửa xvi 1.1.4.2.Mã hóa thơng tin .xvii 1.1.5.Một số giải pháp dùng cho doanh nghiệp vừa nhỏ xvii 1.2.GIẢI PHÁP AN TOÀN – AN NINH MẠNG VỚI FIREWALL xviii 1.2.1.Khái niệm xviii 1.2.2.Chức xix 1.2.3.Kiến trúc Firewall xx 1.2.3.1.Kiến trúc Dual – homed Host .xx 1.2.3.2.Kiến trúc Screend Host .xxi 1.2.3.3.Kiến trúc Screened Subnet Host .xxiii i 1.2.4.Các thành phần Firewall chế hoạt động xxiv 1.2.4.1.Thành phần .xxiv 1.2.4.2.Cơ chế hoạt động xxiv 1.2.5.Kỹ thuật Firewall xxviii 1.2.6.Những hạn chế Firewall xxviii 1.3.MẠNG RIÊNG ẢO – VPN xxix 1.3.1.Giới thiệu VPN .xxix 1.3.1.1.Khái niệm VPN xxix 1.3.1.2.Ưu điểm VPN .xxx 1.3.2.Kiến trúc VPN xxxi 1.3.3.Các loại VPN .xxxi 1.3.4.Các yêu cầu giải pháp VPN .xxxii CHƯƠNG TỔNG QUAN VỀ FIREWALL PFSENSE .xxxiii 1.4.GIỚI THIỆU FIREWALL PFSENSE .xxxiii 1.5.MỘT SỐ CHỨC NĂNG CHÍNH CỦA FIREWALL PFSENSE xxxiv 1.5.1.Aliases xxxiv 1.5.2.Rules (Luật) .xxxv 1.5.3.Firewall Schedules xxxvi 1.5.4.NAT xxxvi 1.5.5.Traffic shaper (Quản lí băng thơng) .xxxvii 1.5.6.Virtual IPs xxxvii 1.6.MỘT SỐ DỊCH VỤ CỦA FIREWALL PFSENSE xxxviii 1.6.1.Captive Portal .xxxviii 1.6.2.DHCP Server xxxix 1.6.3.DHCP Relay xl 1.6.4.Load Balancer xl 1.6.5.VPN PPTP xli 1.6.6.Một số chức khác .xlii ii CHƯƠNG CÀI ĐẶT VÀ TRIỂN KHAI FIREWALL PFSENSE .xliii 1.7.CÀI ĐẶT FIREWALL PFSENSE .xliii 1.7.1.Mơ hình triển khai xliii 1.7.1.1.Mơ hình thực tế xliii 1.7.1.2.Mô hình giả lập xliv 1.7.2.Cài đặt hệ thống xlv 1.7.2.1.Cài đặt Routing and Remote Access Windows Server 2003 xlv 1.7.2.2.Cài đặt pfSense xlv 1.8.CẤU HÌNH FIREWALL PFSENSE xlvi 1.8.1.Cấu hình card mạng cho Firewall pfSense xlvi 1.8.2.Cấu hình Load Balancing xlvii 1.8.2.1.Cấu hình Load Balancing xlvii 1.8.2.2.Firewall Rule .xlvii 1.8.3.Cấu hình Captive Portal xlviii 1.8.4.Cấu hình VPN Server .xlviii 1.8.4.1.Cấu hình VPN Server xlviii 1.8.4.2.Cấu hình NAT Inbound cho VPN Client kết nối đến pfSense xlix 1.9.KIỂM TRA VÀ TỐI ƯU HỆ THỐNG .xlix KẾT LUẬN .li DANH MỤC TÀI LIỆU THAM KHẢO .52 NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN .53 iii DANH MỤC CÁC TỪ VIẾT TẮT CARP Commom Address Redundancy Protocol DMZ Denilitarized Zone DoS Denial of Services FTP File Transfer Protocol HTTP Hypertext Transfer Protocol IP Internet Protocol LAN Local Area Network NAT Network Address Translation OSI Open Systems Interconnection PPTP Point-to-Point Tunneling Protocol SMTP Simple Mail Transfer Protocol VPN Virtual Private Network WAN Wide Area Network iv DANH MỤC CÁC HÌNH VẼ Hình 1.1 Sơ đồ mạng cho doanh nghiệp nhỏ .xvii Hình 1.2 Sơ đồ mạng cho doanh nghiệp cỡ vừa xviii Hình 1.3 Mơ hình tường lửa đơn giản xix Hình 1.4 Kiến trúc Dual – homed Host .xx Hình 1.5 Kiến trúc Screened Host .xxii Hình 1.6 Kiến trúc Screened Subnet xxiii Hình 1.7 Lọc gói tin xxv Hình 1.8 Cổng mạch xxvii Hình 1.9 Mơ hình mạng VPN điển hình xxx Hình 1.10 Cấu trúc đường hầm xxxi Hình 2.1 Biểu tượng pfSense xxxiii Hình 2.2 Mơ hình triển khai pfSense cho doanh nghiệp nhỏ xxxiv Hình 2.3 Chức Firewal: Aliases .xxxiv Hình 2.4 Thiết lập Firewall: Aliases xxxv Hình 2.5 Chức Firewall: Rules .xxxv Hình 2.6 Thiết lập chức Firewall Schedules xxxvi Hình 2.7 Chức Firewall Schedules xxxvi Hình 2.8 Chức NAT xxxvii Hình 2.9 Chức Traffic Shaper xxxvii Hình 2.10 Chức Virtual IPs xxxvii Hình 2.11 Dịch vụ Captive Portal xxxviii Hình 2.12 Chạy dịch vụ DHCP Server xxxix Hình 2.13 Tính cấp IP động xl Hình 2.14 Cấp địa IP tĩnh .xl Hình 2.15 Dịch vụ DHCP Relay xl Hình 2.16 Dịch vụ Load Balancer xl v Hình 2.17 Dịch vụ VPN PPTP xli Hình 2.18 Tạo user VPN .xli Hình 2.19 Tạo Rule VPN .xli Hình 3.1 Mơ hình triển khai thực tế xliii Hình 3.2 Mơ hình triển khai giả lập xliv Hình 3.3 Cấu hình Routing and Remote Access xlv Hình 3.4 Kết sau cấu hình xlv Hình 3.5 Lựa chọn chế độ cài đặt xlvi Hình 3.6 Cài đặt VLANs xlvi Hình 3.7 Interface WAN xlvii Hình 3.8 Interface LAN xlvii Hình 3.9 Interface OPT1 xlvii Hình 3.10 Khai báo DNS Server xlvii Hình 3.11 Cấu hình Load Balancing xlvii Hình 3.12 Thiết lập Rule cho Load Balancing .xlviii Hình 3.13 Captive Portal xlviii Hình 3.14 Tạo user cho captive portal xlviii Hình 3.15 Cấu hình VPN PPTP xlix Hình 3.16 Tạo User VPN xlix Hình 3.17 Tạo Rule cho VPN xlix Hình 3.18 Cấu hình NAT Inbound cho VPN xlix vi MỞ ĐẦU Lý chọn đề tài Ngày nay, máy tính mạng internet phổ biến rộng rãi, tổ chức, cá nhân có nhu cầu sử dụng máy tính mạng máy tính để tính tốn, lưu trữ, quảng bá thông tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính khơng quản lý dễ dàng bị công, gây hậu nghiêm trọng Xác định tầm quan trọng việc bảo mật hệ thống mạng doanh nghiệp nên em chọn nghiên cứu đề tài “Nghiên cứu triển khai hệ thống Firewall mã nguồn mở cho doanh nghiệp vừa nhỏ” với mục đích tìm hiểu sâu sắc chế hoạt động phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp vấn hành trơn tru, an toàn hạn chế cố xảy Mục đích nghiên cứu Nghiên cứu hệ thống Firewall mã nguồn mở với pfSense Triển khai hệ thống Firewall mã nguồn mở với pfSense cho doanh nghiệp vừa nhỏ Đối tượng phạm vi nghiên cứu Nghiên cứu mơ hình hệ thống Firewall mã nguồn mở với pfSense Nghiên cứu triển khai hệ thống Firewall mã nguồn mở với pfSense cho doanh nghiệp vừa nhỏ Phương pháp nghiên cứu Dưới hướng dẫn giảng viên hướng dẫn Tìm hiểu tài liệu liên quan pfSense hệ thống Firewall triển khai với pfSense Triển khai thực nghiệm mơ hình hệ thống mạng để kiểm chứng lý thuyết nghiên cứu Ý nghĩa khoa học thực tiễn đề tài - Ý nghĩa khoa học: Cung cấp tài liệu học tập tham khảo cho khóa sau Cung cấp tài liệu tập huấn triển khai hệ thống Firewall mã nguồn mở với pfSense vii - Ý nghĩa thực tiễn: Sau thực đề tài giúp sinh viên nâng cao khả nghiên cứu, cách xây dựng hệ thống Firewall với pfSense viii 1.6.6 Một số chức khác - System log: theo dõi hoạt động hệ thống pfSense dịch vụ mà pfSense cung cấp Mọi hoạt động hệ thống dịch vụ ghi lại - System Status: Liệt kê thơng tin tình trạng hệ thống - Service Status: Hiển thị trạng thái tất service có hệ thống Mỗi service có hai trạng thái là: running, stopped - Interface Status: Hiển thị thông tin tất card mạng - RRD Graph: Hiển thị thông tin dạng đồ thị Các thông tin mà RRD Graph thể là: System, Traffic, Packet, Quality, Queues xlii CHƯƠNG CÀI ĐẶT VÀ TRIỂN KHAI FIREWALL PFSENSE 1.7 CÀI ĐẶT FIREWALL PFSENSE 1.7.1 Mơ hình triển khai Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm pfSense khơng địi hỏi phải cao phần mềm Chúng ta cần máy tính CPU P3, Ram 128 MB, HDD GB đủ để dựng nên tường lửa pfSense bảo vệ mạng bên Cụ thể mơ hình này, Server pfSense có hai đường kết nối WAN đường vào LAN, mục đích việc sử dụng hai đường kết nối WAN để thực chế độ Load Balancing (cân tải) để dự phòng kết nối (internet) cho mạng Tuy nhiên doanh nghiệp khơng có nhu cầu điều kiện th hai đường kết nối WAN hồn tồn sử dụng đường kết nối WAN Trong trình thực đề tài này, có đường kết nối internet khơng có Server Vì vậy, triển khai hệ thống VMWare, sử dụng máy ảo Windows Server 2003 để chia đường kết nối thành hai đường (qua tính Routing and Remote Access) nhằm mục đích triển khai chế độ Load Balancing, Server pfSense thực VMWare 1.7.1.1 Mô hình thực tế Hình 3.1 Mơ hình triển khai thực tế xliii 1.7.1.2 Mơ hình giả lập Hình 3.2 Mơ hình triển khai giả lập Mơ hình thực trình máy ảo WMWare Workstation, cụ thể: Máy ảo Windows Server 2003 - Có network interface:  Interface ( interface mặc định) bridge để kết nối Internet IP 192.168.0.2/24, gateway 192.168.0.1/24  Interface thứ hai Adapter nối với VMnet 2: IP 192.168.1.1/24  Interface thứ ba Adapter nối với VMnet 3: IP 192.168.2.1/24 Máy ảo pfSense - Có network interface, interface nối với interface Windows Server 2003 để có đường internet, interface nối vào LAN  Interface (interface mặc định nối vào VMnet với IP 192.168.1.2/24 (gateway 192.168.1.1)  Interface thứ hai Adapter nối vào VMnet với IP 192.168.2.2/24 (gatewat 192.168.2.1)  Interface thứ Adapter nối vào VMnet (interface LAN) với IP 10.0.0.1/24 xliv 1.7.2 Cài đặt hệ thống 1.7.2.1 Cài đặt Routing and Remote Access Windows Server 2003 Mục đích làm bước để giả lập kết nối internet (WAN) Nếu có đường kết nối internet khơng cần thực bước mà kết nối thẳng hai đường vào interface máy pfSense Sau thêm interface cấu hình IP cho interface Bắt đầy cấu hình Routing and Remote Access Vào Administrator tool => Routing and Remote Access Chọn Configure and Enable … để bật chức Routing and Remote Access Hình 3.3 Cấu hình Routing and Remote Access Hình 3.4 Kết sau cấu hình 1.7.2.2 Cài đặt pfSense Cài đặt pfSense cách bình thường Lưu ý đến bước chọn chế độ, nhớ nhấn 99 để vào chế độ cài đặt xlv Hình 3.5 Lựa chọn chế độ cài đặt Chọn n (no) setup VLANs Hình 3.6 Cài đặt VLANs Bước tiếp theo, tiến hành gán interface vào interface LAN, WAN, OPT1 (OPT1 interface tùy chọn thêm, có nhiệm vụ làm interface WAN thứ 2) Trong trường hợp này, em0 interface WAN (ứng với card VMnet 2), em1 interface OPT1 (ứng với VMnet 3) em2 interface LAN (ứng với VMnet 4) Sau khai báo LAN interface Tiến hành gán IP cho card LAN cách chọn số hình console, sau gán IP LAN xong, truy cập vào webConfiguration pfSense cách vào trình duyệt web gõ http:// $địa_chỉ_interface_LAN (ở http://10.0.0.1), đăng nhập tài khoản mặc định (admin/pfsense) 1.8 CẤU HÌNH FIREWALL PFSENSE 1.8.1 Cấu hình card mạng cho Firewall pfSense Ở dùng máy ảo XP, gán interface vào VMnet để làm máy client LAN Mọi thao tác cấu test kết nối sau thực máy Bây giờ, dùng webConfiguration để khai báo IP tĩnh (static), Gateway … cho interface WAN OPT1 (menu Interface => $Tên interface) cấp phát DHCP cho máy tính LAN quan interface LAN (Services => DHCP server, chọn tab LAN) xlvi Kiểm tra trạng thái interface cách vào Status => Interfaces Nếu trạng thái interface up bình thường Hình 3.7 Interface WAN Hình 3.8 Interface LAN Hình 3.9 Interface OPT1 Khai báo DNS cho pfSense cách vào System => General Setup Hình 3.10 Khai báo DNS Server 1.8.2 Cấu hình Load Balancing 1.8.2.1 Cấu hình Load Balancing Để cấu hình Load Balancing Ta chọn Services => Load Balancer Tại Behavior => Chọn vào Load Balancing Sau đưa danh sách WAN OPT1 vào danh sách Load balancing Chọn Save để lưu lai thơng tin cấu hình Hình 3.11 Cấu hình Load Balancing 1.8.2.2 Firewall Rule xlvii Vào Firewall => Rules, sau thiết lập Rule tab LAN Hình 3.12 Thiết lập Rule cho Load Balancing 1.8.3 Cấu hình Captive Portal Tính captive portal nằm mục Services => Captive Portal Hình 3.13 Captive Portal Tạo trang index.htm có nội dung: Rồi chọn browse… portal page content up file lên Bấm Save để lưu lại Cuối ta tạo user tab user captive portal Hình 3.14 Tạo user cho captive portal 1.8.4 Cấu hình VPN Server 1.8.4.1 Cấu hình VPN Server Để cấu hình VPN Server máy pfSense, ta chọn VPN => PPTP xlviii Hình 3.15 Cấu hình VPN PPTP Tạo User cho phép VPN Client kết nối VPN vào máy VPN Server Hình 3.16 Tạo User VPN Tạo Rule mở Port 1723 Hình 3.17 Tạo Rule cho VPN 1.8.4.2 Cấu hình NAT Inbound cho VPN Client kết nối đến pfSense Chọn menu Firewall => NAT Hình 3.18 Cấu hình NAT Inbound cho VPN 1.9 KIỂM TRA VÀ TỐI ƯU HỆ THỐNG Sau tiến hành cấu hình dịch vụ cần thiết hệ thống Bước quan trọng kiểm tra lại dịch vụ cấu hình, đảm bảo hệ thống an tồn chạy ổn định, việc cấu hình sai khơng tối ưu dẫn đến việc toàn hệ thống rơi vào tình trạng an tồn khơng ổn định xlix Việc kiểm tra tối ưu hệ thống cần tiến hành thật chi tiết với chức mà ta triển khai hệ thống Ngoài việc kiểm tra tối ưu cần tiến hành định kỳ để đảm bảo hệ thống trạng thái tốt l KẾT LUẬN Để bảo vệ cho hệ thống mạng bên có nhiều giải pháp sử dụng Router Cisco, dùng tường lửa Microsoft ISA … Tuy nhiên thành phần kể tương đối tốn Vì người dùng không muốn tốn tiền lại muốn có tường lửa bảo vệ hệ thống mạng bên (mạng nội bộ) mà giao tiếp với hệ thống mạng bên ngồi (Internet) pfSense giải pháp tiết kiệm hiệu tương đối tốt người dùng Đặc điểm quan trọng cấu hình để cài đặt sử dụng phần mềm pfSense khơng địi hỏi phải cao phần mềm Chúng ta cần máy tính P3, Ram 128, HDD 1GB đủ để dựng nên tường lửa pfSense bảo vệ mạng bên pfSense ứng dụng có chức định tuyến vào tường lửa mạnh ứng dụng cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật Phần mềm thiết kế nhỏ gọn, dễ dàng cấu hình thơng qua giao diện web đặc biệt có khả cài đặt thêm gói dịch vụ để mở rộng tính Tường lửa pfSense đáp ứng nhu cầu mạng doanh nghiệp nhỏ dễ dàng quản lý cung cấp nhiều tính sản phẩm thương mại Mặc dù số tính sử dụng doanh nghiệp lớn nhiều hạn chế Với thời gian điều kiện thực tế nhiều hạn chế, đề tài dừng lại khả nghiên cứu triển khai chức cần thiết, chưa triển khai mơ hình thực tế khơng đánh giá hết ưu nhược điểm ứng dụng li Nghiên cứu triển khai hệ thống Firewall mã nguồn mở cho doanh nghiệp vừa nhỏ DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Văn Khoa (2006), Bảo vệ máy tính tường lửa, NXB Giao thơng vận tải [2] Nguyễn Tấn Phương (2010), Tìm hiểu Firewall, Khoa CNTT – Đại học Duy Tân Tiếng Anh [3] Christopher M Buechler and Jim Pingle (2009), pfSense: The Definitive Guide [4] Math Williamson (2011), pfSense Cookbook Nguồn từ Internet [5] http://www.pfsense.org [6] http://nhatnghe.com [7] http://www.linuxviet.com [8] http://www.mangmaytinh.org [9] http://www.hvaonline.net [10] http://tailieu.vn Nguyễn Đức Trung – Lớp CCMM03C Trang 52 Nghiên cứu triển khai hệ thống Firewall mã nguồn mở cho doanh nghiệp vừa nhỏ NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN Nguyễn Đức Trung – Lớp CCMM03C Trang 53 Nghiên cứu triển khai hệ thống Firewall mã nguồn mở cho doanh nghiệp vừa nhỏ Nguyễn Đức Trung – Lớp CCMM03C Trang 54 ... nghiên cứu Nghiên cứu hệ thống Firewall mã nguồn mở với pfSense Triển khai hệ thống Firewall mã nguồn mở với pfSense cho doanh nghiệp vừa nhỏ Đối tượng phạm vi nghiên cứu Nghiên cứu mô hình hệ. .. Nghiên cứu mô hình hệ thống Firewall mã nguồn mở với pfSense Nghiên cứu triển khai hệ thống Firewall mã nguồn mở với pfSense cho doanh nghiệp vừa nhỏ Phương pháp nghiên cứu Dưới hướng dẫn giảng... triển khai hệ thống Firewall mã nguồn mở cho doanh nghiệp vừa nhỏ? ?? với mục đích tìm hiểu sâu sắc chế hoạt động phát nhược điểm tìm giải pháp khắc phục nhược điểm để hệ thống mạng doanh nghiệp