Page 1

GVHD: LÊ GIA TỰ

MỤC LỤC Contents MỤC LỤC 1 MỤC TIÊU BÁO CÁO 1 CẤU TRÚC BÁO CÁO 2 CÁC THUẬT NGỮ TRONG BÁO CÁO 3 CHƯƠNG I: FIREWALL PFSENSE 5 I.Giới thiệu Firewall pfSense. 5 II. Một số ứng dụng và dịch vụ cơ bản của pfsense. 6 1. Tính năng của pfsense firewall. 6 2. Một số dịch vụ của pfsense. 13 CHƯƠNG II: KẾT QUẢ VÀ THỰC NGHIỆM 19 I. Mục tiêu thực nghiệm. 19 II. Mô hình thực nghiệm. 19 III. Công cụ thực nghiệm. 20 IV. Các bước thực nghiệm. 20 1. Cài đặt máy ảo và pfsense. 20 2. Triển khai thực nghiệm một số ứng dụng và dịch vụ của pfsense V. Nhận xét và đánh giá kết quả đạt được. 51 KẾT LUẬN HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 52 TÀI LIỆU THAM KHẢO 53

28

MỤC TIÊU BÁO CÁO Ngày nay, công nghệ thông tin ngày càng phát triển cao và đạt được những thành tựu to lớn. Nó còn đóng vai trò quan trọng trong việc truyền thông tin, nhu cầu trao đổi thông tin và tính bảo mật trên các hệ thống mạng của con người ngày càng cao. Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA…. Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn quá nhiều tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi chúng ta giao tiếp với hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng. PfSense là một ứng dụng mã nguồn mở có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng hệ thống mạng của mình mà không bị giới hạn về sự bảo mật. Với nhiều ưu điểm bên cạnh sự ổn định và khả năng linh hoạt của nó nên PfSense được sử dụng rộng rải ở mọi nơi, từ nhà riêng đến các doanh nghiệp.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 1


GVHD: LÊ GIA TỰ Chính vì vậy, nhóm em chọn đề tài “ PFSENSE” nhằm nghiên cứu và tìm hiểu sâu hơn về tính năng định tuyến vào tường lửa từ đó xây dựng một mô hình ứng dụng có tính bảo mật cao ở tất cả các mạng trong việc trao đổi thông tin giữa những người sử dụng với nhau bằng cách sử dụng ứng dụng PFSENSE.

CẤU TRÚC BÁO CÁO Đồ án bao gồm hai chương: Chương I: có hai phần: giới thiệu pfsense firewall. tìm hiều một số tính năng và dịch vụ cơ bản của pfsense firewall. Chương II là chương kết quả và thực nghiệm trong chương này gồm có năm phần: mục tiêu thực nghiệm. mô hình thực nghiệm. công cụ thực nghiệm. các bước thực ngiệm. nhận xét và đánh giá kết quả đạt được. Kết luận hướng phát triển của đề tài. Tài liệu tham khảo.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 2


GVHD: LÊ GIA TỰ

CÁC THUẬT NGỮ TRONG BÁO CÁO Từ viết tắt

Từ đầy đủ

Chú thích

DNS

Domain Name System

Hệ thống tên miền

LOAD BANACER

Load Banacer

Cân Bằng Tải

ACL

Access Control List

Danh sách điều khiển truy cập

VoIP

Voice Over IP

Kĩ thuật mã hóa giọng nói dưới dạng các gói tin trên mạng IP

DHCP SERVER

Dynamic Host Configuration Protocol Server

Máy chủ DHCP

NAT

Network Address Translation

Chuyển đổi địa chỉ mạng

WAN

Wide Area Network

Mạng diện rộng

IP

Internet Protocol

Giao thức internet

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 3


GVHD: LÊ GIA TỰ LAN

Local Area Network

Mạng cục bộ

QoS

Quality of Services

Chất lượng dịch vụ

UDP

User Datagram Potocol

Giao thức truyền tải nhanh

TCP

Transmission Control Protocol

Giao thức truyền tải an toàn

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 4


GVHD: LÊ GIA TỰ

CHƯƠNG I: FIREWALL PFSENSE I.Giới thiệu Firewall pfSense. Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA…. Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp với hệ thống mạng bên ngoài (Internet) thì pfsense là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng. Pfsense là một ứng dụng mã nguồn mở có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. với nhiều ưu điểm của nó nên được phổ biến ở mọi nơi, từ nhà riêng đến doanh nghiệp. Bắt đầu vào năm 2004, khi mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế. Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung. pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT. PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và bạn không thể chỉ định được lưu lượng cho qua một kết nối.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 5


GVHD: LÊ GIA TỰ II. Một số ứng dụng và dịch vụ cơ bản của pfsense. 1. Tính năng của pfsense firewall. 1.1. PfSense Aliases.

Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử dụng chúng một cách chính xác. Một Aliases ngắn cho phép bạn sử dụng cho một host, cổng hoặc mạng có thể được sử dụng khi tạo các rules trong pfSense .Sử dụng Aliases sẽ giúp bạn cho phép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa là bạn không cần tạo ra nhiều rules cho nhóm các máy hoặc cổng. Việc sửa đổi rules trở nên dẽ dàng hơn 1.2. NAT. PfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT. Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần. 1.3. Firewall Rules. Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào Firewall → Rules. Mặc định pfsense cho phép mọi trafic ra/vào hệ thống. Bạn phải tạo ra các rules để quản lí mạng bên trong firewall.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 6


GVHD: LÊ GIA TỰ

Để add rules mới nhấn vào biểu tương dấu

Ví dụ: Tạo rules Cấm truy cập web sử dụng công 80 cho các máy LAN trong đó MayLan là tên Aliases .Sau khi tạo xong nhấn Save và Apply Changes

1.4 .Firewall Schedules. Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 7


GVHD: LÊ GIA TỰ

Để tạo một Schedules mới vào Firewall > Schedules : Nhấn dấu +

Ví dụ:Tạo lịch tên GioLamViec của tháng 12 Từ thứ hai đến thứ bẩy và thời gian từ 8 giờ đến 17 giờ Sau khi tạo xong nhấn Add Time

Bên dưới sẽ hiện ra lịch chi tiết vừa thiết lập Xong nhấn Save 1.5 .Traffic shaper. Traffic Sharper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn Traffic Shaping là phương pháp tối ưu hóa kết nối Internet. Nó tăng tối đa tốc độ trong khi đảm bảo tối thiểu thời gian trễ .Khi sử dụng những gói dữ liệu ACK được sắp xếp thứ tư ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải về được tiếp tục với tốc độ tối đa.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 8


GVHD: LÊ GIA TỰ Cấu hình Traffic Sharper để quản lý băng thông Mở giao diện Web của Pfsense -> chọn Firewall -> Traffic Sharper

Chọn Next

Chọn Inside là Lan -> nhập vào tốc độ download của đường truyền Outside chọn Wan và nhập vào tốc độ Upload của đường truyền Chọn Next

Hỗ trợ Voice IP > Next

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 9


GVHD: LÊ GIA TỰ

Chọn Next

Hỗ trợ mạng ngang hàng như BitTorent , CuteMX, iMesh….

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 10


GVHD: LÊ GIA TỰ

Hỗ trợ mạng chơi game như BattleNET , Xbox360 ,và một số game trực tuyến

Quản lí băng thông của một số ứng dụng khác như Remote Service ,VPN, Messengers, Web,Mail , Miscellaneous

1.6. Virtual IPs. Một Virtual IPs có thể sử dụng bất kỳ địa chỉ IP của pfSense, đó không phải là một địa chỉ IP chính. Trong các tình huống khác nhau, mỗi trong số đó có các tính năng riêng của nó. Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound, và NAT

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 11


GVHD: LÊ GIA TỰ 1:1. Họ cũng cho phép các tính năng như failover, và có thể cho phép các dịch vụ trên router để gắn kết với địa chỉ IP khác nhau. CARP Có thể được sử dụng bởi các bức tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp Tạo ra lớp 2 traffic cho các VIP Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ) Các VIP đã được trong cùng một subnet IP của giao diện thực Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa. Proxy ARP Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp Tạo ra lớp 2 giao thông cho các VIP Các VIP có thể được trong một subnet khác với IP của giao diện thực Không trả lời gói tin ICMP ping. Khác Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2 Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp Các VIP có thể được trong một subnet khác với các giao diện IP Không trả lời ICMP Ping. 1.7. REPORT. Là tính năng báo cáo các máy trong mạng con mà pfsense này quản lý đã truy cập những trang web nào với lưu lượng là bao nhiêu.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 12


GVHD: LÊ GIA TỰ

2. Một số dịch vụ của pfsense. 2.1. Captive portal. Captive portal là một tính năng thuộc dạng flexibles, chỉ có trên các firewall thương mại lớn. Tính năng này giúp redirect trình duyệt của người dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng. Tính năng này tiên tiến hơn các kiểu đăng nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khan như kiểu authentication WPA,WPA2. Tính năng captive portal nằm ở mục Services/captive portal

Captive portal: Tinh chỉnh các chức năng của Captive Portal. Pass-though MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ qua,không authentication. Allowed IP address: Các IP address được cấu hình sẽ không authentication. Users: Tạo local user để dùng kiểu authentication: local user File Manager: Upload trang quản lý của Captive portal lên pfsense.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 13


GVHD: LÊ GIA TỰ

Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal. Maximum concurrent connections:Giới hạn các connection trên mỗi ip/user/mac Idle timeout:Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ ngắt kết nối của ip/user/mac. Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac. Logout popup windows: Xuất hiện 1 popup thông báo cho ip/user/mac Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập

MAC filtering: Đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense quản lý kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay đổi mac address nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối. Authentication: Chọn kiểu chứng thực. Pfsense hỗ trợ 3 kiểu:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 14


GVHD: LÊ GIA TỰ No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định mà không chứng thực. Local user manager: pfsense hỗ trợ tạo user để chứng thực. Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ ip của radius, port, ...)

Tạo trang index.htm có nội dung: <form method="post" action="$PORTAL_ACTION$"> <input name="auth_user" type="text"> <input name="auth_pass" type="password"> <input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$"> <input name="accept" type="submit" value="Continue"> </form> Rồi chọn browse trong portal page content rồi up file này lên. Rồi bấm SAVE để lưu lại. Cuối cùng ta tạo user trong tab user của captive portal.

2.2 .DHCP Server. Dhcp server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 15


GVHD: LÊ GIA TỰ

Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng

2.3. Load Balancer. Chức năng cân băng tải của pfsense có những đặc điểm Ưu điểm - Miễn phí. - Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm. - Dễ cài đặt, cấu hình. Hạn chế - Phải trang bị thêm modem nếu không có sẵn. - Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác. - Vẫn chưa có tính năng lọc URL như các thiết bị thương mại. - Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình Để cấu hình load balancing vào Services -> Load Balancer

Ấn vào nút

để thêm Pool

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 16


GVHD: LÊ GIA TỰ

Cấu hình như sau: Name: LoadBalancer Type: Gateway Behavior : Load Balancing Monitor IP: Chọn monitor IP của gateway interface nào thì phần chọn Interface name tương ứng , ấn vào add to pool . Save lại và ấn Apply Change

Sang tab LAN, Ấn vào dấu + để thêm rule Action chọn Pass Protocol chọn any Gateway: chọn LoadBalancer Save và Apply Rule Để kiểm tra vào Status / Load Balancer

Hai đường truyền đều Online

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 17


GVHD: LÊ GIA TỰ

Khi một đường truyền Offline.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 18


GVHD: LÊ GIA TỰ

CHƯƠNG II: KẾT QUẢ VÀ THỰC NGHIỆM I. Mục tiêu thực nghiệm. Do máy tính và mạng internet đã được phổ biến rộng rãi, các tổ chức, cá nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lý sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng. Nhu cầu đặt ra ở đây là tìm nhiều giải pháp bảo vệ hệ thống mạng bên trong khi mà ta giao tiếp với hệ thống bên ngoài phải có tính bảo mật cao. Pfsense là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng. Mục tiêu của việc demo thực nghiệm là hiểu sâu hơn và rỏ hơn về các tính năng, ứng dụng cũng như các dịch vụ của Pfsense firewall. Cách tạo các rules, các dịch vụ như thế nào hoạt động ra sao, cách tạo một report và cách quản lý người dùng bên trong firewall như thế nào… II. Mô hình thực nghiệm.

Mô tả: Trong mô hình trên gồm hai đường mạng LAN và WAN, từ mạng nội bộ (LAN) các PC (client) muốn truy cập ra bên ngoài internet (WAN) phải đi qua Pfsense

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 19


GVHD: LÊ GIA TỰ firewall chúng ta sẻ cấu hình các tính năng và dịch vụ trên Pfsense firewall để quản lí các PC bên trong LAN. Đường mạng bên ngoài WAN tương ứng với IP: 192.168.1.x và IP bên trong LAN là 172.16.5.x Trong mô hình trên chúng ta sử dụng: Một máy ảo đề làm Pfsense firewall máy này có hai card mạng: card bên ngoài WAN có ip tương ứng 192.168.1.x do ADSL cấp ip động cho. card bên trong LAN chúng ta cấu hình ip tương ứng là 172.16.5.10. một máy client chạy win xp trong LAN đặt ip là 172.16.5.12 máy client này có nhiệm vụ truy cập vào máy Pfsense firewall đề cấu hình các tính năng và dịch vụ đề quản lí mạng LAN bên trong này. III. Công cụ thực nghiệm. Trong bài báo cáo này chúng ta sử dụng các công cụ sau: Phần mềm VMware, file iso pfsense, file iso của win xp, một đường mạng kết nối với internet đề sử dụng các dich vụ và để test các tính năng cũng như dịch vụ mà chúng ta đã tạo trên máy Pfsense firewall. cùng với các phần mềm và công cụ hổ trợ khác. IV. Các bước thực nghiệm. 1. Cài đặt máy ảo và pfsense. 1.1. Cài đặt. Chọn create a new virtual machine để tạo máy ảo pfsense mới.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 20


GVHD: LÊ GIA TỰ Chọn next để tiếp tục:

Chọn đường dẫn đến thư mục chứa file cài đặt pfsense sau đó chọn next:

Chọn như trên sau đó chọn next:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 21


GVHD: LÊ GIA TỰ

Đặt tên sau đó chọn next:

Chọn next và sau đó chọn finish

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 22


GVHD: LÊ GIA TỰ 1.2. Cấu hình máy ảo pfsense.

Chọn edit => virtual network editor. Chúng ta cấu hình card vmnet2 ở chế độ hostonly, card vmnet0 chúng ta để ở chế độ bridged sau đó chọn ok.

Chọn vm => settings Chúng ta add thêm hai card vmnet0 và vmnet2 vào giống như hình trên sau đó chọn ok. Tiếp theo khởi động máy ảo pfsense và tạo.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 23


GVHD: LÊ GIA TỰ

Ta thấy xuất hiện 2 card mạng chọn n để cấu hình ip cho card mạng.

Chúng ta chọn card wan là em0.

Chọn card lan là em1

Chọn y:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 24


GVHD: LÊ GIA TỰ

Chọn 2 sẽ xuất hiện màn hình sau:

Chọn tiếp 2 để cấu hình ip cho mạng lan:

Nhập vào ip: 172.16.5.10 subnet 24 và chọn yes để cấp dhcp.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 25


GVHD: LÊ GIA TỰ

Chúng ta đã cấu hình ip cho mạng LAN xong Chúng ta add thêm máy ảo đề cấu hình pfsense và máy ảo này có card mạng như hình sau.

Chúng ta khởi động máy này lên cài Firefox vào máy và đăng nhập và pfsense để cấu hình.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 26


GVHD: LÊ GIA TỰ

Đăng nhập theo địa chỉ: http://172.16.5.10 username: admin password: pfsense 1.3. Cài đặt các gói tin. nhập vào pfsense và cài các gói tin sau: vào system chọn packages chọn tiếp Available packages sau đó tìm và cài đặt 3 gói tin sau: squid, squidGuard, lightsquid. Cài gói squid:

Tiếp tục với gói squidGuard:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 27


GVHD: LÊ GIA TỰ

Tiếp tục với gói lightsquid:

2. Triển khai thực nghiệm một số ứng dụng và dịch vụ của pfsense 2.1. Cấu hình ACL cấm search Tiếp tục vào services chọn proxy server và cấu hình giống bảng sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 28


GVHD: LÊ GIA TỰ

Sau đó chọn save. Tiếp tục chọn tab cache Mgmt và cấu hình như bảng sau:

Sau đó chọn save. Sau đó chọn tab access control và cấu hình như bảng sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 29


GVHD: LÊ GIA TỰ

Sau đó chọn save. Vào tab status chọn services để kiểm tra các dịch vụ đã chạy như hình sau:

Tiếp tục vào tab services chọn proxy filter chọn target categories và cấu hình như bảng sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 30


GVHD: LÊ GIA TỰ

Sau đó chọn save sẽ xuất hiện bảng sau:

Chọn tiếp tab Groups ACL và cấu hình như hình sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 31


GVHD: LÊ GIA TỰ

Sau đó chọn save sẽ xuất hiện bảng sau:

Sau đó chọn common ACL và cấu hình như sau:

Sau khi cấu hình xong chọn save để lưu lại. Tiếp tục chọn tab General settings đánh dấu check và chọn Apply cho nó STARTED và chọn save

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 32


GVHD: LÊ GIA TỰ

Chọn tiếp tab system chọn General setup và cấu hình giống bảng sau: chọn save để lưu lại. Sau đó chọn system => genneral setup và cấu hình như sau:

Sau khi cấu hình xong chọn save để lưu lại. Sau đó vào internet và nhập địa chỉ www.tuoitre.com.vn Sau khi nhập xong địa chỉ như trên nhấn Enter sẽ xuất hiện màn hình sau:

Tiếp tục bạn nhập www.game.com Sau khi nhập xong địa chỉ như trên nhấn Enter sẽ xuất hiện màn hình sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 33


GVHD: LÊ GIA TỰ

2.2. Cấm download. Từ cửa sổ Proxy filter squidguard chọn tab target categories như hình sau: Chọn dấu

sẽ xuất hiện bảng và cấu hình như sau:

Chọn save sẻ xuất hiện hình sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 34


GVHD: LÊ GIA TỰ

Tiếp tục chọn tab: Groups ACL

Sẽ xuất hiện bảng và cấu hình như sau:

Sau đó chọn save Tiếp tục chọn tab: common ACL sẽ xuất hiện bảng và cấu hình như bảng sau:

Sau đó chọn save Chọn tiếp tab: General settings và cấu hình như bảng sau: Chú ý: Bỏ dấu check để STOPPED và chọn lại dấu check để STARTED giống bảng sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 35


GVHD: LÊ GIA TỰ

Sau đó chọn save Mở tab mới truy cập trang web như hình sau:

Khi download một bài hát về máy sẽ xuất hiện bảng sau:

2.3. Firewall Schedules. Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần. Để tạo một Schedules mới vào Firewall > schedules: Nhấn dấu +

Tạo lịch tên lichLamViec của tháng 03 Từ thứ hai đến thứ bẩy và thời gian từ 8 giờ đến 17 giờ như hình sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 36


GVHD: LÊ GIA TỰ

Sau khi cấu hình xong chọn add time và chọn save sẽ xuất hiện bảng sau:

2.4. DHCP SERVER. Chọn tab services => DHCP server sẽ xuất hiện bảng sau và cấu hình như sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 37


GVHD: LÊ GIA TỰ

Sau khi cấu hình xong chọn save. Vào cửa sổ cmd nhập lệnh ipconfig /release và sau đó nhập lệnh ipconfig /renew để xin ip mới như hình sau:

2.5. Cài đặt và cấu hình REPORT. Vào Tab Status chọn proxy report sẽ xuất hiện cửa sổ và cấu hình như sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 38


GVHD: LÊ GIA TỰ

Sau khi cấu hình xong chọn save. Tiếp tục chọn tab Lightsquid report xuất hiện cửa sổ ta chọn ngày cần xem tiếp tục chọn như sau:

Sẽ xuất hiện các thông tin như sau:

2.6. Cài đặt và cấu hình bắt chat. Trước tiên chúng ta cài yahoo messenger sau khi cài xong chúng ta vào pfsense để cài gói tin như hình sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 39


GVHD: LÊ GIA TỰ

Sau khi cài xong vào services chọn dịch vụ imspector xuất hiện màn hình sau:

Cấu hình như trên sau đó chọn change. Tiếp tục vào firewall để cấu hình các rules sau: Chọn LAN và sau đó add thêm các rule mới như sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 40


GVHD: LÊ GIA TỰ

Sau khi cấu hình như trên chọn save và chọn apply changes.

Sau khi cấu hình như trên chọn save và chọn apply changes. Tiếp sau đó là đăng nhập vào yahoo.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 41


GVHD: LÊ GIA TỰ

Chọn người để gởi tin nhắn và kết quả như sau:

Đã bắt được chat yahoo. Để lấy những dòng chat này tiếp tục cấu hình như sau: Cài tiếp gói tin ntop như sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 42


GVHD: LÊ GIA TỰ

Tiếp đó chúng ta vào google tìm và download phần mền winscp về và cài vào máy:

Sau khi cài xong gói tin ntop và winscp vào phần advanced của pfsense và cấu hình:

Chọn save đề lưu lại. Sau đó từ cửa sổ của winscp đăng nhập như sau với password là: pfsense

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 43


GVHD: LÊ GIA TỰ

Sau khi chọn login xuất hiện cửa sổ sau:

Chọn theo đường dẩn root\var\imspector\yahoo\thanhngan9664 chúng ta sẽ thấy tập tin chứa nội dung chat chọn copy sang cửa sổ bên trái và mở lên xem như hình sau:

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 44


GVHD: LÊ GIA TỰ

2.7. cấu hình load Balancer: Mô hình:

Mô tả: Với mô hình trên chúng ta có hai Pfsense firewall trong đó có một firewall chính và một firewall dự phòng khi firewall chính gặp sự cố các máy trong LAN có thể truy cập ra mạng ngoài WAN thông qua firewall dự phòng. Trong mô hình trên chúng ta sử dụng hai máy ảo để làm Pfsense firewall và mỗi máy có 3 card mang với ip như sau: Pfsense 1 Pfsense 2 WAN: 192.168.1.5 WAN: 192.168.1.6 WAN2: 192.168.3.1 WAN2: 192.168.3.2 LAN IP: 192.168.2.1 LAN IP: 192.168.2.2

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 45


GVHD: LÊ GIA TỰ 2 địa chỉ IP dưới đây sẽ được chia sẻ giữa các bức tường lửa. WAN Virtual IP: 192.168.1.100 Mạng LAN ảo IP: 192.168.2.100 Các bước cấu hình cụ thể như sau: Sau khi đã cấu hình xong máy ảo Pfsense 1 ta có hình như sau:

Còn đây là hình của máy ảo Pfsense 2:

Sau đó chúng ta add thêm một máy ảo XP để làm client và để đăng nhập cấu hình cho Pfsense firewall.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 46


GVHD: LÊ GIA TỰ

Các bước cấu hình trên máy ảo XP như sau: Xây dựng Cluster. Điều đầu tiên ta phải cấu hình là một quy tắc tường lửa trên cả hai firewall để cho phép các tường lửa có thể giao tiếp với nhau trên card WAN2. Chúng ta thực hiện như sau chọn Firewall=>rules=> bấm vào WAN2 nhấn vào nút "Thêm" để thêm một mục quy tắc tường lửa mới cấu hình như sau và chọn "Save" sau đó nhấn "Apply Changes".

Ở đây chúng ta phải cấu hình đồng bộ hóa CARP và cấu hình nó để có một bản sao lưu duy nhất, chọn Firewall => Vitrual IPs =>carp settings và cấu hình như:

sau save đó lưu các thay đổi.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 47


GVHD: LÊ GIA TỰ

Chúng ta đã hoàn tất cấu hình tường lửa sao lưu, bây giờ chúng ta phải đi và cấu hình đồng bộ hóa CARP trên tường lửa chính. Vào tường lửa chính chọn Firewall=>Vitrual IPs =>carp settings và cấu hình như: Password do minh đặt trong bài này password là: pfsense

Sau khi cấu hình xong chọn save để lưu lại.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 48


GVHD: LÊ GIA TỰ Bây giờ chúng ta cần phải cấu hình địa chỉ IP ảo mà cả hai tường lửa sẽ được sử dụng. Chúng ta sẽ thiết lập địa chỉ IP WAN đầu tiên, Chúng ta vào Firewall => Vitrual IPs nhấn nút "Thêm" để thêm một IP ảo mới, thiết lập địa chỉ IP, và ghi nhớ này là địa chỉ WAN sẽ được sử dụng trên toàn hệ thống của bạn bất kể tường lửa chính hoặc sao lưu được sử dụng. Tiếp theo, tạo một “Virtual IP Password”, “VHID Nhóm 1”, thêm một mô tả, sau đó lưu và áp dụng thay đổi và chọn apply changes.

Bây giờ chúng ta cần phải cấu hình một địa chỉ IP ảo cho giao diện LAN. làm tương tự như trên, sự khác biệt duy nhất là bạn thiết lập các "giao diện" với mạng LAN, thay đổi “VHID Nhóm 3” và một khác nhau "mô tả". Lưu các thay đổi và áp dụng, tiếp tục chọn apply changes.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 49


GVHD: LÊ GIA TỰ Sau khi cấu hình xong ta có bản sau:

Sau khi cấu hình xong chúng ta vào máy ảo XP

Client đặt lại ip như sau:

Sau đó chúng ta test từng firewall như sau: Tắt Pfsense 2 và ping kiểm tra xem có thông mạng từ LAN ra internet hay không, sau khi kiểm tra xong là thông thì bậc lại Pfsense 2 và tắt Pfsense 1sau đó tiếp tục ping kiểm tra kết quả vẩn thông. Chúng ta tắt hết hai Pfsense và ping kiểm tra thì không thông mạng. Kết quả đạt được là chúng ta đã tạo ra được một mô hình gồm một Pfsense chính và một Pfsense dự phòng.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 50


GVHD: LÊ GIA TỰ V. Nhận xét và đánh giá kết quả đạt được. Trong quá trình tìm hiểu và demo pfsense firewall chúng em đã thu được kết quả sau: Biết cách xây dựng các mô hình ứng dụng Pfsense firewall trong thực tế của các công ty và biết cách cấu hình để trờ thành một firewall. Nắm bắt và hiểu được quá trình hoạt động và các tính năng của pfsense. Triển khai được một số ứng dụng và dịch vụ của pfsense. Nắm được việc quản lý người dùng thông qua lịch làm việc và cấm truy cập một số trang web không được phép và cấm download. Bắt được cuộc trò chuyện thông qua yahoo chat… Giúp em hiểu sâu hơn về pfsense firewall.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 51


GVHD: LÊ GIA TỰ

KẾT LUẬN HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Kết luận: Pfsense firewall được đề cập tới trong đồ án hết sức cơ bản nhưng khá đầy đủ, toàn diện và mang tính tổng quan. Đồ án đã tìm hiểu những vấn đề cơ bản và đi sâu hơn ở nhiều khía cạnh và góc nhìn khác nhau để mọi người có thể hiểu hơn về pfsense. Sau khi hoàn thành nội dung đồ án này, em đã học hỏi rất nhiều và thêm cơ hội để mở mang kiến thức của mình và tìm hiểu sâu hơn về pfsense. Nó sẽ giúp em phát triển phương pháp luận, cách đặt vấn đề và giải quyết những vấn đề có liên quan đến pfsense một cách thực tế hơn. Do thời gian còn nhiều hạn chế, khuôn khồ của đồ án cũng như kinh nghiệm thực tiễn chưa nhiều nên không tránh khỏi những sai sót và nhầm lẫn. Được sự giúp đỡ của các thầy cô khoa công nghệ thông tin không chỉ giúp chúng em làm bài tốt hơn và có chất lượng hơn mà còn trang bị cho chúng em một kiến thức vững vàng trong việc học tập nghiên cứu mà còn trong công tác sau này. Hướng phát triển tương lai của đề tài: Qua việc tìm hiều tổng quan về pfsense chúng em nhận thấy được hướng phát triển tương lai của pfsense vẫn là một vần đề đáng tranh luận. Đặc điểm của pfsense cũng khá quan trọng là cấu hình để cài đặt và sử dụng phần mềm Pfsense không đòi hỏi phải cao như những phần mềm mới hiện nay. Chúng ta chỉ cần một máy tính P3, Ram 128, HDD 1GB thì cũng đủ để dựng nên một tường lửa Pfsense bảo vệ mạng bện trong. PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Phần mềm được thiết kế nhỏ gọn, dễ dàng cấu hình thông qua giao diện web và đặc biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng.

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 52


GVHD: LÊ GIA TỰ

TÀI LIỆU THAM KHẢO http://www.pfsense.org/index.php?option=com_content&task=view&id=50&Itemid =78 http://www.netlife.co.za/tech-guides/46-linuxoss-and-networking/34-bsd-dual-wanrouter-using-pfsense.html http://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(C ARP) http://4vn.eu/forum/showthread.php?t=78201#ixzz2IuiWmCtc http://quantrimang.edu.vn/he-thong/he-thong-mang-wan/pfsense-phan-3.htm http://quantrimang.edu.vn/he-thong/he-thong-mang-wan/pfsense-phan-1.htm http://quantrimang.edu.vn/he-thong/he-thong-mang-wan/pfsense-phan-2.htm http://quantrimang.edu.vn/he-thong/he-thong-mang-wan/pfsense-phan-4.htm http://quantrimang.edu.vn/he-thong/he-thong-mang-wan/pfsense-phan-5.htm http://www.nhatnghe.com/forum/archive/index.php?t-168316.html http://luanvantonghop.com/tai-lieu/6146-tim-hieu-pfsense-firewall http://forum.hdvnbits.org/phan-mem-hd/huong-dan-cau-hinh-load-balancing-bangpfsense-1475.html http://www.youtube.com/watch?v=SIVyJD2WAJ8 http://mirror.nus.edu.sg/pfSense/tutorials/mobile_ipsec/ http://www.howtoforge.com/how-to-configure-a-pfsense-2.0-cluster-using-carp

SVTH: Ngô Thành Ngân - Nguyễn Thị Màu - Nguyễn Lý Minh trí

Trang 53

Profile for Nam Ngan

Noi dung nghiên cứu pfsense  

Nội dung nghiên cứu firewall pfsense.Là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí,

Noi dung nghiên cứu pfsense  

Nội dung nghiên cứu firewall pfsense.Là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí,

Advertisement