Đang tải... (xem toàn văn)
Internet đang trở thành một phần không thể thiếu trong đời sống của mọi người và các đối tượng khác nhau, nhưng nó cũng tiềm ẩn những nguy cơ như xâm nhập trái phép và đánh cắp thông tin cá nhân. Vì vậy, Firewall là một giải pháp hiệu quả cho cá nhân và doanh nghiệp để ngăn chặn các cuộc tấn công mạng và lọc thông tin từ kết nối Internet đến hệ thống của họ. Firewall giúp doanh nghiệp kiểm soát chặt chẽ việc kết nối Internet của mình và ngăn chặn lượng truy cập đến từ các IP không rõ ràng. Trong bài thực hành này, chúng ta sẽ tìm hiểu và xây dựng mô hình mạng an toàn sử dụng tường lửa pfSense một giải pháp tường lửa nguồn mở được đánh giá là tốt nhất hiện nay.
MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU CHƯƠNG I: FIREWALL PFSENSE 1.1 Tổng quan tường lửa 1.1.1 Static packet-filtering firewall 1.1.2 Application-level firewall 1.1.3 Circuit-level firewall 1.1.4 Stateful inspection firewall 1.1.5 Các mơ hình triển khai tường lửa 1.2 Tổng quan pfsense .11 1.2.1 PfSense gì? .11 1.2.2 Một số phương pháp triển khai thực tế .12 1.2.3 Tính Pfsense 12 1.2.4 VPN 18 1.2.5 Một số dịch vụ firewall pfsense 19 CHƯƠNG II: XÂY DỰNG BÀI THỰC HÀNH: BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE 22 2.1 Mơ hình 22 2.2 Cài đặt PfSense 22 2.3 Thiết lập luật mạng LAN 31 2.3.1 Client mạng LAN 31 2.3.2 Thiết lập luật 33 2.4 Thiết lập luật mạng DMZ 43 2.5 Thiết lập luật VPN .45 2.5.1 Cài đặt OpenVPN 51 2.5.2 Thiết lập luật cho VPN 60 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 62 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… TP Hồ Chí Minh, ngày 08 tháng 05 năm 2023 GIÁO VIÊN HƯỚNG DẪN LỜI MỞ ĐẦU Internet trở thành phần thiếu đời sống người đối tượng khác nhau, tiềm ẩn nguy xâm nhập trái phép đánh cắp thông tin cá nhân Vì vậy, Firewall giải pháp hiệu cho cá nhân doanh nghiệp để ngăn chặn công mạng lọc thông tin từ kết nối Internet đến hệ thống họ Firewall giúp doanh nghiệp kiểm soát chặt chẽ việc kết nối Internet ngăn chặn lượng truy cập đến từ IP không rõ ràng Trong thực hành này, tìm hiểu xây dựng mơ hình mạng an toàn sử dụng tường lửa pfSense - giải pháp tường lửa nguồn mở đánh giá tốt CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL VÀ PFSENSE 1.1 Tổng quan tường lửa 1.1.1 Khái niệm Firewall Firewall (Tường lửa) hệ thống an ninh mạng, dựa phần cứng phần mềm, sử dụng quy tắc để kiểm soát lưu lượng truy cập vào, khỏi hệ thống Tường lửa hoạt động rào chắn mạng an tồn mạng khơng an tồn Nó kiểm soát truy cập đến nguồn lực mạng thơng qua mơ hình kiểm sốt chủ động Nghĩa là, lưu lượng truy cập phù hợp với sách định nghĩa tường lửa truy cập vào mạng, lưu lượng truy cập khác bị từ chối 1.1.2 Các chức Firewall Chức Firewall kiểm sốt luồng thông tin từ Intranet Internet Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) Cho phép cấm dịch vụ không phép truy nhập vào (từ Internet vào Intranet) Theo dõi luồng liệu mạng Internet Intranet Kiểm soát địa truy nhập, cấm địa truy nhập Kiểm soát người sử dụng việc truy nhập người sử dụng Kiểm sốt nội dung thơng tin thơng tin lưu chuyển mạng 1.1.3 Phân loại Firewall Firewall chia làm loại gồm: Firewall cứng Firewall mềm a Loại thứ 1: Firewall cứng Firewall cứng nằm mạng máy tính cục Internet, Firewall cứng kiểm tra tất liệu đến từ Internet, qua gói liệu an tồn chặn gói liệu nguy hiểm tiềm ẩn Để bảo vệ hiệu mà không cản trở hiệu suất, tường lửa firewall cứng yêu cầu người thiết lập phải có kiến thức chun sâu khơng phải giải pháp khả thi cho công ty phận cơng nghệ thơng tin chun dụng Tuy nhiên, doanh nghiệp có nhiều máy tính, kiểm sốt an ninh mạng từ thiết bị đơn giản hóa cơng việc Các doanh nghiệp thường có tường lửa phần cứng chun dụng có nhiều cơng cụ khác để giúp chặn mối đe dọa ngoại vi mạng Bằng cách này, người quản trị lọc email lưu lượng truy cập web (trong số thứ khác) cho tất người Tường lửa phần cứng tích hợp vào định tuyến nằm máy tính Internet Người quản trị thường sử dụng lọc gói, có nghĩa họ quét tiêu đề gói để xác định nguồn gốc, nguồn gốc, địa đích kiểm tra với quy tắc người dùng có xác định để đưa định cho phép / từ chối Tường lửa phần cứng thiết lập cho thời gian phản hồi nhanh phần cứng phần mềm đồng cách tối đa giúp phát huy hết hiệu tường lửa phần cứng giúp xử lý nhiều lưu lượng truy cập Tường lửa có hệ điều hành riêng bị cơng hơn, điều lần làm giảm nguy bảo mật ra, tường lửa phần cứng có điều khiển bảo mật nâng cao Tường lửa phần cứng thành phần mạng nội bộ, quản lý tốt b Loại thứ 2: Firewall mềm Firewall mềm cài đặt máy tính cá nhân mạng Khơng giống Firewall cứng, Firewall mềm dễ dàng phân biệt chương trình máy tính, điều cho phép liệu vào chương trình chặn chương trình khác Firewall mềm lọc liệu gửi đi, phản hồi từ xa cho yêu cầu gửi Nhược điểm Firewall mềm cho doanh nghiệp là: yêu cầu cài đặt, cập nhật quản trị máy tính cá nhân Firewall mềm cài đặt máy chủ riêng lẻ giúp chặn yêu cầu kết nối sau xác định xem u cầu có hợp lệ hay khơng Firewall xử lý tất yêu cầu cách sử dụng tài nguyên máy chủ Trong so sánh với Firewall cứng, Firewall mềm Firewall Opensource (tường lửa mã nguồn mở) dễ cấu hình thiết lập Firewall mềm cung cấp cho người dùng quyền kiểm sốt hồn tồn lưu lượng truy cập Internet họ thông qua giao diện thân thiện với người dùng yêu cầu khơng có kiến thức 1.1.4 Kiến trúc Firewall a Kiến trúc Dual-homed Host Dual-homed Host hình thức xuất việc bảo vệ mạng nội Dual-homed Host máy tính có hai giao tiếp mạng (Network interface): nối với mạng cục nối với mạng (Internet) Hệ điều hành Dual-home Host sửa đổi để chức chuyển gói tin (Packet forwarding) hai giao tiếp mạng không hoạt động Để làm việc với máy Internet, người dùng mạng cục trước hết phải login vào Dual-homed Host, từ bắt đầu phiên làm việc Ưu điểm Dual-homed Host: Cài đặt dễ dàng, không yêu cầu phần cứng phần mềm đặc biệt Dual-homed Host yêu cầu cấm khả chuyển gói tin, vậy, thơng thường hệ Unix, cần cấu hình dịch lại nhân (Kernel) hệ điều hành đủ Nhược điểm Dual-homed Host: Không đáp ứng yêu cầu bảo mật ngày phức tạp, hệ phần mềm tung thị trường Khơng có khả chống đỡ đợt cơng nhằm vào thân nó, Dual-homed Host bị đột nhập, trở thành đầu cầu lý tưởng để công vào mạng nội Đánh giá Dual-homed Host: Để cung cấp dịch vụ cho người sử dụng mạng nội có số giải pháp sau: Kết hợp với Proxy Server cung cấp Proxy Service Cấp tài khoản người dùng máy dual-homed host mà người sử dụng muốn sử dụng dịch vụ từ Internet hay dịch vụ từ external network họ phải logging in vào máy Phương pháp cấp tài khoản người dùng máy dual-homed host phức tạp, lần người dùng muốn sử dụng dịch vụ phải logging in vào máy khác (dual-homed host) khác với máy họ, vấn đề không thuận tiện với người sử dụng Nếu dùng Proxy Server: khó cung cấp nhiều dịch vụ cho người sử dụng phần mềm Proxy Server Proxy Client loại dịch vụ có sẵn Hoặc số dịch vụ cung cấp nhiều khả đáp ứng hệ thống giảm xuống tất Proxy Server đặt máy Một khuyết điểm hai mơ hình là: mà máy dualhomed host nói chung Proxy Server bị đột nhập vào Người công (attacker) đột nhập vào hệ thống hiểu dịch vụ hệ thống đó, nắm bắt điểm yếu thực hành vi phá hoại tinh vi Trong hệ thống mạng dùng Ethernet Token Ring liệu lưu thơng hệ thống bị máy nối vào mạng đánh cắp liệu kiến trúc thích hợp với số mạng nhỏ b Kiến trúc Screend Subnet Host Với kiến trúc này, hệ thống bao gồm hai Packet-Filtering Router máy chủ Kiến trúc có độ an tồn cao cung cấp mức bảo mật: Network Application định nghĩa mạng perimeter network Mạng trung gian (DMZ) đóng vai trị mạng nhỏ, cô lập đặt Internet mạng nội Cơ bản, mạng trung gian cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng mạng trung gian, truyền trực tiếp qua mạng mạng trung gian Và thông tin đến, Router ngồi (Exterior Router) chống lại cơng chuẩn (như giả mạo địa IP), điều khiển truy nhập tới mạng trung gian Nó cho phép hệ thống bên truy nhập máy chủ Router (Interior Router) cung cấp bảo vệ thứ hai cách điều khiển mạng trung gian truy nhập vào mạng nội với truyền thông Bastion Host (máy chủ) Với thông tin đi, Router điều khiển mạng nội truy nhập tới mạng trung gian Nó cho phép hệ thống bên truy nhập tới máy chủ Quy luật Filtering Router yêu cầu sử dụng dịch vụ Proxy cách cho phép thông tin bắt nguồn từ Máy chủ Ưu điểm: Ba tầng bảo vệ: Router ngoài, Máy chủ, Router Chỉ có số hệ thống chọn mạng trung gian biết đến Internet qua bảng thông tin định tuyến trao đổi thông tin định tuyến DNS (Domain Name Server) Đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ Proxy Đánh giá kiến trúc Screend Subnet Host Đối với hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời khả theo dõi lưu thông người sử dụng hệ thống liệu trao đổi người dùng hệ thống cần bảo vệ kiến trúc phù hợp Để tăng độ an toàn mạng nội bộ, kiến trúc screened subnet sử dụng thêm mạng DMZ (DMZ hay perimeter network) để che phần lưu thông bên mạng nội Tách biệt mạng nội với Internet Sử dụng Screening Router (bộ định tuyến lọc): Router Router Áp dụng qui tắc dư thừa bổ sung thêm nhiều mạng trung gian (DMZ perimeter network) tăng khả bảo vệ cao Ngoài ra, cịn có kiến trúc biến thể khác như: sử dụng nhiều Bastion Host (máy chủ) (Máy chủ), ghép chung Router Router ngoài, ghép chung Bastion Host (máy chủ) (Máy chủ) Router 1.1.5 Các thành phần Firewall 1.1.5.1 Packet Filtering – Bộ lọc gói tin Bộ lọc gói tin cho phép hay từ chối gói tin mà nhận Nó kiểm tra toàn Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt máy chủ, đơn giản dịch vụ khơng cài đặt, khơng thể bị công Thông thường, số giới hạn ứng dụng cho dịch vụ telnet, DNS, FTP, SMTP xác thực tài khoản người dùng cài đặt máy chủ Máy chủ yêu cầu nhiều mức độ khác ví dụ tài khoản mật hay thẻ thông minh (thẻ từ) Mỗi proxy cài đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy trì nhật ký ghi chép lại tồn chi tiết liệu mạng qua Điều có nghĩ lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy độc lập với proxy khác Bastion Host (máy chủ) Điều cho phép dễ dàng cài đặt proxy hay tháo gỡ proxy Ưu điểm: Cho phép người quản trị hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy cá nhân truy cập dịch vụ Cổng ứng dụng cho phép kiểm tra độ xác thực tốt có nhậy ký ghi chép lại thông tin truy cập hệ thống Các tập luật lọc cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc gói Nhược điểm: Cần phải có cấu hình máy user để user truy cập vào dịch vụ proxy Ví dụ telnet 1.1.5.3 Circuit Level Gate – Cổng mạch Circuit Level Gateway chức đặc biệt thực cổng ứng dụng Cổng mạch đơn giản chuyển tiếp kết nối TCP mà khơng thực hành động xử lý hay lọc gói Hình sau minh họa hành động sử dụng kết nối telnet qua cổng mạch Cổng mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục telnet Cổng mạch làm việc sợi dây, chép byte kết nối bên kết nối bên Tuy nhiên kết nối xuất từ hệ thống firewall nên che dấu thơng tin mạng nội Cổng vòng thường sử dụng cho kết nối Ưu điểm lớn Bastion Host (máy chủ) cấu hình để cung cấp cổng ứng dụng cho kết nối đến cổng vòng cho kết nối Điều làm cho hệ thống firewall dễ dàng sử dụng cho người dùng mạng nội muốn trực tiếp truy câp tới dịch vụ internet, cung cấp chức bảo vệ mạng nội từ cơng bên ngồi 1.2 Tổng quan phần mềm PFSense 1.2.1 Phần mềm PFSense gì? PfSene dự án nguồn mở dựa tảng hệ điều hành FreeBSD sử dụng tường lửa thiết bị định tuyến Chris Buechler Scott Ullrich hai tác giả sáng lập dự án m0n0wall năm 2004 Tuy nhiên thời điểm 2004, tác giả phải gặp vấn đề khó khăn mã nguồn họ khơng tương thích tốt với giải pháp tích hợp phần cứng (các thiết bị sử dụng 64MB RAM) PfSense với phát triển theo thời gian hỗ trợ rộng rãi tảng phần cứng khác đóng góp to lớn từ cộng động sử dụng mã nguồn mở giới Cùng với chức quản lý mạnh mẽ, thân thiện với người dùng nên pfSense cộng đồng sử dụng rộng rãi môi trường doanh nghiệp vừa nhỏ PfSense yêu cầu cấu hình phần cứng thấp nên phù hợp cho việc tích hợp vào thiết bị tích hợp khác nhằm tăng tính linh động hiệu suất trình vận hành Phiên pfSense công bố 2.4.4, tập trung phát triển tính hỗ trợ mơi trường mạng IPv6 PfSense bao gồm nhiều tính đặc biệt firewall trạng thái mà bạn thấy thiết bị tường lửa router thương mại lớn, chẳng hạn giao diện người dùng (GUI) Web tạo quản lý cách dễ dàng Trong phần mềm miễn phí cịn có nhiều tính ấn tượng firewall/router miễn phí, nhiên có số hạn chế PfSense hỗ trợ lọc địa nguồn địa đích, cổng nguồn cổng đích hay địa IP Nó hỗ trợ sách định tuyến chế hoạt động chế độ brigde transparent, cho phép bạn cần đặt pfSense thiết bị mạng mà khơng cần địi hỏi việc cấu hình bổ sung PfSense cung cấp chế NAT tính chuyển tiếp cổng, nhiên ứng dụng số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) Session Initiation Protocol (SIP) sử dụng NAT PfSense dựa FreeBSD giao thức Common Address Redundancy Protocol (CARP) FreeBSD Trong phân khúc tường lửa cho doanh nghiệp vừa nhỏ, với khoảng 1000 người sử dụng, pfSense đánh giá tường lửa nguồn mở tốt với khả đáp ứng lên tới hàng triệu kết nối đồng thời Không thế, tường lửa pfSense cịn có nhiều tính mở rộng tích hợp, tất một, vượt xa tưởng lửa thông thường, kể tường lửa cứng hãng tiếng thiết bị mạng 1.2.2 Một số phương pháp triển khai thực tế Với tính linh hoạt, pfSense sử dụng nhiều mục đích khác thực tế Giá thành triển khai thấp so với thiết bị loại, hỗ trợ tính nâng cao VPN, BGP, Wirelsess, cân tải, QoS… Các chức thường sử dụng bao gồm: Tường lửa: với tính xử lý gói tin TCP/IP mạnh mẽ, nên pfSense dùng tường lửa nhằm cản lọc kết nối không hợp pháp đến phân vùng mạng định Thiết bị định tuyến mạng WAN/LAN: đóng vai trị router, pfSense hỗ trợ chức định tuyến PPoE, BGP… phù hợp cho doanh nghiệp triển khai với giá thành thấp mà không cần đầu tư thêm router chức Trong môi trường mạng LAN, pfSense hỗ trợ giao thức 802.1q cho phép nhân viên kỹ thuật hoạch định phân vùng mạng nội khác PfSense hỗ trợ băng thơng 3Gbps xử lý 500.000 gói tin/giây, pfSense sử dụng thay thiết bị switch lớp (yêu cầu có thêm card mạng) 1.2.3 Các chức PFSense Aliases Với tính gom nhóm ports, host Network(s) khác đặt cho chúng tên chung để thiết lập quy tắc dễ dàng nhanh chóng Các thành phần Aliases: Host: tạo nhóm địa IP Network: tạo nhóm mạng Port: Cho phép gom nhóm port khơng cho phép tạo nhóm protocol Các protocol sử dụng rule Rules (Luật) Nơi lưu rules (luật) Firewall Mặc định pfSense cho phép lưu thông ra/vào hệ thống Bạn phải tạo rules để quản lý mạng bên Firewall Một số lựa chọn Destination Source Any: Tất Single host or alias: Một địa ip bí danh Lan subnet: Đường mạng Lan Network: địa mạng Lan address: Tất địa mạng nội Wan address: Tất địa mạng bên PPTP clients: Các clients thực kết nối VPN sử dụng giao thức PPT PPPoE clients: Các clients thực kết nối VPN sử dụng giao thức PPPoE Schedules Chức lập lịch pfSense cho phép cấu hình thời gian hoạt động hệ thống cách tự động thông qua bảng thời gian thiết lập sẵn Bằng cách này, hệ thống pfSense tự động điều chỉnh firewall rule theo thời gian lập lịch Đây chế hay thực tế với yêu cầu doanh nghiệp muốn quản lý nhân viên sử dụng internet hành Để tạo Schedules mới, vào Firewall Schedules & Click “+” Virtual IPs Pfsense cho phép sử dụng nhiều địa IP công cộng kết hợp với chế NAT thơng qua IP ảo Có ba loại IP ảo có sẵn pfSense: Proxy ARP, CARP loại khác Mỗi loại hữu ích tình khác Trong hầu hết trường hợp, pfSense cung cấp ARP IPs, cần phải sử dụng Proxy ARP CARP Trong tình mà ARP không cần thiết, chẳng hạn IP công cộng bổ sung định tuyến nhà cung cấp dịch vụ mạng, sử dụng IP ảo loại khác Virtual IP sử dụng phép pfSense cách chuyển tiếp lưu lượng cho việc chuyển tiếp cổng NAT, NAT Outbound NAT 1:1 Họ cho phép tính failover, cho phép dịch vụ router để gắn kết với địa IP khác 1.2.4 Cài đặt & cấu hình PFSense máy ảo VMware Để cài đặt Pfsense cần chuẩn bị: - Tải cài đặt phần mềm Vmware: https://www.vmware.com Chọn phiên phù hợp với cấu hình máy tính PC hay laptop - Tải phiên pfSense (file ISO), cách truy cập vào trang chủ https://www.pfsense.org/download/, chọn phiên cần để tải Cài đặt Pfsense: Đầu tiên cần tạo máy ảo, sau bỏ file ISO vào tiến hành boot vào ổ CD Tạo 02 card mạng cho máy pfsense (tùy nhu cầu sử dụng) + Card đầu tiên, chọn chế độ Bridged để kết nối bên đồng thời làm card WAN + Card thứ hai, tạo Segments với tên LAN gắn vào để giả lập hệ thống mạng LAN cho pfSense Sau chuẩn bị xong, tiến hành mở máy lên đợi máy boot vào giao diện cài đặt pfSense