BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN TP.HCM KHOA CÔNG NGHỆ THÔNG TIN KHÓA LUẬN TỐT NGHIỆP NGHIÊN CỨU FIREWALL PFSENSE Giảng viên hướng dẩn : TH.S NGUYỄN THẮNG Sinh viên thực hiện : 1. NGUYỄN NGỌC THUẬN 2. PHẠM HỒNG TIẾN Ngành : Mạng Máy Tính Khóa : 2008 – 2011 Tp. Hồ Chí Minh, Tháng 06 năm 2011 MỞ ĐẦU Ngày nay, máy tính không còn là một phương tiện quý hiếm mà ngày càng trở thành công cụ làm việc và giải trí thông dụng của con người mặt khác internet cũng đã quá quen thuộc với chúng ta. Đứng trước vai trò thông tin hoạt động cạnh tranh gay gắt, các tổ chức doanh nghiệp vừa và nhỏ điều tìm mọi biện pháp xây dựng hoàn thiện hệ thống thông tin của mình nhằm bảo mật thông tin và dữ liệu của doanh nghiệp. Ở Việt Nam cũng có rất nhiều doanh nghiệp đã và đang triển khai cho mình những cơ sở hạ tầng mạng an toàn và bảo mật tối đa nhầm chống lại những sự tấn công bất hợp pháp từ bên ngoài cũng như bên trông nội bộ doanh nghiệp. Nhưng vấn đề tài chính luôn là vấn đề doanh nghiệp đặt lên hàng đầu. Với mục đích đó trong thời gian thực tập nhóm em đã tự tìm hiểu các khái niệm cơ bản về bảo mật trên tường lửa cùng với những kiến thức được học ở trường, nhóm em mong muốn triển khai được một hệ thống bảo mật sử dụng công nghệ Firewall dựa trên phần mềm mã nguồn mở pfSense có nhiều tính năng ứng dụng trong thực tiễn. Với sự hướng dẫn tận tình của thầy Nguyễn Thắng nhóm em đã hoàn thành báo cáo này. Tuy đã cố gắng nhưng chắc rằng không tránh khỏi những thiếu sót. Nhóm em mong nhận được sư thông cảm và góp ý của quí thầy cô. Nhóm em xin chân thành cảm ơn. TP Hồ Chí Minh, ngày 18 thánh 6 năm 2011 Nhóm sinh viên thực hiện: Phạm Hồng Tiến Nguyễn Ngọc Thuận LỜI CẢM ƠN Sau khoảng thời gian nổ lực thực hiện, tìm hiểu và triển khai “Phần mềm mã nguồn mở pfSense” đã phần nào hoàn thành. Ngoài sự nổ lực của bản thân, chúng em đã nhân được sự khích lệ rất nhiều từ phía nhà trường, thầy cô trong khoa. Chính điều này đã mang lại cho chúng em sự động viên rất lớn để chúng em có thể hoàn thành tốt báo cáo của mình. Chúng em xin cảm ơn nhà trường nói chung và khoa CNTT nói riêng đã đem lại cho chúng em nguồn kiến thức vô cùng quý giá để chúng em có thể hoàn thành tốt báo cáo. Em xin chân thành cảm ơn các thầy cô thuộc bộ môn MMT khoa CNTT, đặc biệt là thầy Nguyễn Thắng – giáo viên hướng dẫn chúng em đã tận tình hướng dẫn và truyền đạt cho chúng em nhiều kiến thức về lĩnh vực công nghệ trong quá trình học tập cũng như trong quá trình làm báo cáo. Một lần nữa, em xin chân thành cảm ơn tất cả mọi người… TP Hồ Chí Minh, ngày 18 thánh 6 năm 2011 Nhóm sinh viên thực hiện: Phạm Hồng Tiến Nguyễn Ngọc Thuận NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẨN .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. Mục Lục I. Giới thiệu Firewall pfSense................................................... Trang 01 II. Cài đặt và cấu hình................................................................ Trang 02 1. Cài đặt pfSense ..................................................................... Trang 02 2. Cấu hình Card mạng LAN và WAN cho pfSense.................. Trang 06 3. Cấu hình pfSense qua giao diện WebGUI ............................. Trang 08 4. Cài đặt packages ................................................................... Trang 11 5. Backup And Recovery .......................................................... Trang 12 III. Một số dịch vụ của pfSense ................................................... Trang 13 1. DHCP Server ........................................................................ Trang 13 1.1. Giới Thiệu ................................................................... Trang 13 1.2. Các tính năng trong menu DHCP Server...................... Trang 13 1.3. Cấu hình DHCP ........................................................... Trang 14 2. Captive portal ....................................................................... Trang 15 2.1. Giới thiệu..................................................................... Trang 15 2.2. Tính năng chính trong Captive portal........................... Trang 16 2.3. Các tính năng trong menu Captive portal ..................... Trang 16 2.4. Cấu hình Captive portal dùng tính năng local uses....... Trang 19 3. Load Balancer....................................................................... Trang 21 3.1. Giới thiệu..................................................................... Trang 21 3.2. Các tính năng trong menu Load Balancer .................... Trang 22 3.3. Cấu hình Load Balancer............................................... Trang 23 4. VPN ..................................................................................... Trang 26 4.1. Giới thiệu..................................................................... Trang 26 4.2. PPTP VPN Server........................................................ Trang 27 4.2.1. Các tính năng trong menu PPTP VPN Server .... Trang 27 4.2.2. Cấu hình PPTP VPN.......................................... Trang 28 5. PPPoE Server........................................................................ Trang 33 5.1. Giới Thiệu ................................................................... Trang 33 5.2. Các tính năng trong menu của PPPoE Server............... Trang 33 5.3. Cấu hình PPPoE Server ............................................... Trang 34 6. Dynamic DNS....................................................................... Trang 37 6.1. Giới thiệu..................................................................... Trang 37 6.2. Các tính năng trong menu Dynamic DNS .................... Trang 38 IV. Một số ứng dụng trong Firewall pfSense…………………Trang 39 1. Firewall Rules.........................................................................Trang 39 2. NAT……………………………………………………….....Trang 41 3. Traffic Shaper………………………………………………..Trang 41 4. Virtual IP…………………………………………………….Trang 47 5. Firewall Schedules………………………………………..…Trang 49 6. State Table…………………………………………………...Trang 50 V. Thiết kế và cài đặt hệ thống mạng sử dụng pfSense làm Firewall………………………………………………….……Trang 52 1. Sơ đồ hệ thống mạng………………………………………...Trang 52 2. Tóm tắt sơ lược về mô hình……………………………….…Trang 55 3. Triển khai tính năng DHCP Server………………………….Trang 55 4. Triển khai tính năng VPN……………………………………Trang 58 5. Triển khai tính năng Captive Portal chứng thực Radius…….Trang 66 6. Triển khai tính năng Load Balancer…..……………..………Trang 76 7. Triển khai tính năng VPN Ipsec…………………………..…Trang 81 DANH SÁCH HÌNH Hình 1 Màn hình Wellcom to pfSense............................... Trang 02 Hình 2 Màn hình chính của pfSense .................................. Trang 06 Hình 3 Giao diện chính của pfSense trên Web .................. Trang 11 Hình 4 Giao diện Install Package....................................... Trang 11 Hình 5 Giao diện Backup and Recovery............................ Trang 12 Hình 6 Giao diện tính năng dịch vụ DHCP Server ............ Trang 13 Hình 7 Giao diện tính năng dịch vụ Captive Portal............ Trang 16 Hình 8 Tính năng chính trong dịch vụ Load Balancer ....... Trang 22 Hình 9 Các tính năng dịch vụ PPTP VPN Server .............. Trang 27 Hình 10 Các tính năng dịch vụ PPPoE Server ................... Trang 33 Hình 11 Mô hình dịch vụ Dynamic DNS........................... Trang 37 Hình 12 Giao diện Firewall Rules ..................................... Trang 39 Hình 13 Giao diện Firewall NAT ...................................... Trang 41 Hình 14 Giao diện Traffic Shaper...................................... Trang 42 Hình 15 Các tính năng Virtual Ips ..................................... Trang 47 Hình 16 Giao diện Firewall Schedules .............................. Trang 49 Hình 17 Giao diện State Table........................................... Trang 50 Hình 18 Mô hình triển khai Firewall pfSense .................... Trang 52 I. Giới thiệu pfSense Firewall An toàn thông tin, dữ liệu là vấn đề cấp thiết đặt ra cho các tổ chức, doanh nghiêp vừa và nhỏ, nhưng đồng thời đó cũng là một gánh nặng chi phí trong trường hợp tài chính hạn hẹp. Phải làm thế nào, và liệu các thiết bị “Tường lửa tất cả trong một “ có phải là giải pháp ? Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA. Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng. PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững, đây là một dự án bảo mật tập trung vào các hệ thống nhúng. pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. PfSense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế. PfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung. pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT. PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Trang 1 II. Cài đặt và cấu hinh 1. Cài đặt pfSense Sử dụng máy ảo VMWare 7.1 để tiến hành cài đặt pfSense Hình 1 Màn hình wellcom to pfSense !! Hiển thị địa chỉ MAC của 3 card mạng Trang 2 Lần lượt nhập :le0(Enter),le1(Enter),le2(Enter),(Enter) Nhập Y để tiếp tục Nhập 99 để cài đặt pfSense vào ổ cứng Trang 3 Chọn Accept these setting để chấp nhận cài đặt Chọn Quick/Easy Install để cài đặt vào ổ cứng Trang 4 Chọn Uniprocessor kernel(one processor) để tiếp tục Quá trình cài đặt đã hoàn thành. Chọn Reboot để khởi động lại pfSense Trang 5 2. Cấu hình card mạng LAN và WAN cho pfsense Hình 2 Màng hình chính của pfsense Chọn 2 để cấu hình địa chỉ ip cho card LAN Nhập địa chỉ : 172.16.1.1 Nhập Subnet Masks: 24 Nhập N để bỏ qua bước cấu hình DHCP Trang 6 Từ Menu Interface chọn WAN SelectedType : static IP Address : 192.168.1.10/24 Gateway : 192.168.1.1 Chọn Save để lưu lại cấu hình Trang 7 3. Cấu hình pfSense qua giao diện WebGUI Gõ địa chỉ IP Card mạng LAN để đăng nhập vào pfsense Nhập địa chỉ DNS cho pfSense Chọn Next để tiếp tục Trang 8 Chọn muối thời gian cho pfSense Chọn Next để tiếp tục Cấu hình địa chỉ IP cho card mạng WAN SelectedType : static IP Address : 192.168.1.10/24 Gateway : 192.168.1.1 Chọn Next để tiếp tục Trang 9 Cấu hình địa chỉ IP cho card mang LAN Nhấn Next để tiếp tục Nhập mật khẩu của Admin Khởi động lại pfSense Sau đó đăng nhập bằng mật khẩu mới Trang 10 Hình 3 Giao diện màn hình chính của pfSense trên nền Web 4. Cài đặt Packages Hình 4 Giao diện Install Package Để mở rộng chương trình tôi có thể thêm gói cài đặt cần thiết Để cài đặt tôi nhấp vào “Add” Trang 11 Quá trình cài đặt Package đang được thực hiện Sau khi cài thành công Package sẽ được hiển thị ở Tab “Installed packages” 5. Backup And Recovery Từ Menu Diagnostics chọn Backup/restore Hinh 5 Giao diện Backup and Recovery Việc sao lưu và phục hồi tương đối đễ dàng. Chỉ cần chọn khu vực cần sao lưu hay phục hồi. Trang 12