TÌM HIỂU FIREWALL PFSENSE VÀ SMOOTHWALL
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.66 MB, 105 trang )
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA CÔNG NGHỆ THÔNG TIN
=======0o0=======
BÁO CÁO THUYẾT TRÌNH LINUX
ĐỀ TÀI: 01
TÌM HIỂU FIREWALL PFSENSE VÀ SMOOTHWALL
GVHD: Lê Ngọc Sơn.
Nhóm Trình Bày:
Nguyễn Chí Tâm-0964125.
Đặng Quang Tân-0964127.
Phân Công Công Việc:
Mssv
Họ Tên
Công việc
0964125
Nguyễn Chí Tâm
Tìm hiểu Smoothwall
0964127
Đặng Quang Tân
Tìm hiểu Pfsense
Mục Lục
I. Firmewall là gì? 1
1. Định nghĩa. 1
3. Các thành phần của Firemwall 2
4. Những hạn chế của Firewall 2
II. Firewall pfSense. 3
1.Giới thiệu Firewall Pfsense: 3
2. Một số chức năng chính của Firewall Pfsense:
2.1: Aliases. 3
2.2: Rules (Luật). 4
2.3: Firewall Schedules. 5
2.4: NAT. 6
2.5: Traffic shaper (Quản lý băng thông). . 7
2.6: Virtual Ips. 9
3.Một số dịch vụ của pfsense
3.1: captive portal 10
3.2: DHCP Server. 11
3.3: DHCP Relay. 12
3.4: Load Balancing. 13
3.5: VPN PPTP. Để sử dụng chức năng này bạn vào VPN => PPTP. 13
3.6: Một số chức năng khác. 15
4. Mô Hình. 15
5. Cài đặt Fimrewall pfsense, Cấu hình interface và DHCP server. 16
5.1: Cài Đặt Pfsense. 16
5.2: Cấu hình card mạng cho máy Pfsense. 26
5.3: Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN 27
5.4: Máy Client xin IP do PFSENSE cấp phát 29
6. Tiến hành cấu hình một số dịch vụ trong Pfsense:…………………………………31
6.1: Cấu hình pfsense và cân bằng tải( load balancer)………………………………31
6.2: Cấu hình VPN server 43
6.3. Quản lý băng thông với Traffic Sharper 53
7. Đánh giá…………… ………………………………………………………………63
III. FIREWALL SMOOTHWALL. 63
1. Giới thiệu Firewall Smoothwall. 63
2. Smoothwall Express có 3 mode hoạt động lúc cài đặt. 64
3. Các loại cấu hình Network. 64
4. Ưu điểm. 64
5. Hạn chế 65
6. Một số chức năng trong Smoothwall. 65
6.1. Ip block: 65
6.2 . WebProxy: 66
6.3. Outgoing: 67
6.4. IDS: 68
6.5. Remote Access: 69
6.6. DHCP: 70
6.7. Timed Access: 71
6.8. Pop3 proxy: 72
6.9. Interface: 73
6.10. Time. 74
6.11. Static dns: 75
6.12. IM proxy. 76
7. Cài đặt và Cấu hình Smoothwall: 77
7.1. Cài Đặt: Cho đĩa cd hoặc file iso Smoothwall Express vào. 77
7.2.Cấu hình Smoothwall. 89
7.3. Cấu hình DHCP. 91
7.4. Cấu hình web proxy. 93
7.5. Cấu hình IDS(snort): 95
7.6. Bật tính năng SSH để remote access. 96
7.7. Cài đặt thêm một số chức năng cho Smoothwall 98
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 1
I. Firmewall là gì?
1. Định nghĩa.
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.
Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng
(Trusted network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,
tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy
nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa
mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet:
2. Chức năng.
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và Internet.
Intranet
firewall Internet
Cụ thể:
Cho phép hoặc cấm những dịch vụ từ bên trong truy nhập ra ngoài.
Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng.
Cho phép hoặc cấm những dịch vụ bên ngoài truy nhập vào trong .
i hc Khoa Hc T Nhiờn
Khoa Cụng Ngh Thụng Tin
FIREWALL TRấN LINUX
Firewall Trờn Linux Page 2
Kim soỏt a ch truy nhp, cm a ch truy nhp.
Theo dừi lung d liu mng gia bờn trong (Intranet) v bờn ngoi
(Internet).
3. Cỏc thnh phn ca Firemwall
Firewall chun bao gm mt hay nhiu cỏc thnh phn sau õy:
B lc packet (packet-filtering router)
Cng ng dng (application-level gateway hay proxy server)
Cng mch (circuite level gateway)
4. Nhng hn ch ca Firewall.
Firewall không đủ thông minh nh- con ng-ời để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm
nhập của những nguồn thông tin không mong muốn nh-ng phải xác định rõ các
thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi
qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một
đ-ờng dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-
driven attack). Khi có một số ch-ơng trình đ-ợc chuyển theo th- điện tử, v-ợt qua
firewall vào trong mạng đ-ợc bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus
trên các dữ liệu đ-ợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của
các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm
soát của firewall.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 3
II. Firewall pfSense.
1. Giới thiệu Firewall Pfsense:
Pfsense là một phiên bản mã nguồn mở, miễn phí, được tùy chỉnh cho bản phân
phối FreeBSD để sử dụng như firewall hay router .
Pfsense có thể được quản trị dễ dàng bằng giao diện web.
Pfsense bao gồm rất nhiều tính năng và được ứng dụng rộng rãi từ SOHO cho tới
các tổ
PfSense là một gói phần mềm firewall hoàn chỉnh, nó có thể được cài đặt trên một
PC hay một embedded PC.Với phần mềm miễn phí được phát triển trên phiên bản
của FreeBSD, Pfsense được cài đặt đơn giản, tương thích với một PC cấu hình thấp.
Đặc điểm cũng khá quan trọng là cấu hình để cài đặt và sử dụng phần mềm Pfsense
không đòi hỏi phải cao như những phần mềm mới hiện nay. Chúng ta chỉ cần một
máy tính P3, Ram 128, HDD 1GB thì cũng đủ để dựng nên một tường lửa Pfsense
bảo vệ mạng bện trong
2. Một số chức năng chính của Firewall Pfsense:
2.1: Aliases.
Với tính năng này chúng ta có thể gom nhóm các ports, hosts hoặc Network(s)
khác nhau và đặt cho chúng một cái tên chung để thiết lập nhưng quy tắc
được dễ dàng và nhanh chóng hơn. Để vào Aliases của pfsense vào Firewall →
Aliases.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 4
Các thành phần trong Aliases:
- Hosts : tạo nhóm các địa chỉ IP
- Network : tạo nhóm các mạng
- Port : Cho phép gom nhóm các port nhưng không cho phép tạo nhóm
các protocol. Các protocol được sử dụng trong các rule
2.2: Rules (Luật).
Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào Firewall →
Rules.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 5
Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các rules để
quản lí mạng bên trong firewall.
Một số lựa chọn trong Destination và Source.
- Any : tất cả
- Single host or alias: Một địa chỉ ip hoặc là một bí danh.
- Lan subnet: Đường mạng Lan
- Network : Địa chỉ mạng
- Lan address: Tất cả địa chỉ mạng nội bộ
- Wan address: Tất cả địa chỉ mạng bên ngoài
- PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPTP
- PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE
2.3: Firewall Schedules.
Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời điểm
nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong
tuần.
Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các
doanh nghiệp muốn quản lí nhân viên sử dụng internet trong giò hành chính.
Để tạo một Schedules mới vào Firewall => Schedules : Nhấn dấu +
ví dụ: ở đây Tạo lịch tên GioLamViec của tháng 11 Từ thứ hai đến thứ bẩy và thời
gian từ 7giờ đến 17 giờ.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 6
Sau khi tạo xong nhấn Add Time => Save.
2.4: NAT.
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng
chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.
Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outboundt
NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outboundt NAT… nếu cần.
Ví dụ: ở đây ta NAT qua port 1723(PPTP) cho cấu hình VPN với IP NAT là:
192.168.2.100
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 7
2.5: Traffic shaper (Quản lý băng thông).
Với tính năng Traffic Sharper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và
hiệu quả hơn.
Để cấu hình Traffic Sharper ta chọn Firewall => Traffic Sharper =>Next
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 8
Trong Traffic Sharper Hỗ trợ Voice IP.
Hỗ trợ Hỗ trợ mạng ngang hàng như BitTorent , CuteMX,….
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 9
Hỗ trợ mạng chơi game như BattleNET , Battlefield2,…và một số game trực tuyến
2.6: Virtual Ips.
Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho
những việc như chuyển tiếp cổng NAT, NAT Outbound, và NAT 1:1. Họ cũng cho phép
các tính năng như failover, và có thể cho phép các dịch vụ trên router để gắn kết với địa
chỉ IP khác nhau.
CARP.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 10
Có thể được sử dụng bởi các bức tường lửa chính nó để chạy các dịch vụ hoặc
được chuyển tiếp
Tạo ra lớp 2 traffic cho các VIP
Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ
chờ)
Các VIP đã được trong cùng một subnet IP của giao diện thực
Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
Proxy ARP.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được
chuyển tiếp
Tạo ra lớp 2 giao thông cho các VIP
Các VIP có thể được trong một subnet khác với IP của giao diện thực
Không trả lời gói tin ICMP ping.
Other.
Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao
mà không cần thông báo lớp 2
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được
chuyển tiếp
Các VIP có thể được trong một subnet khác với các giao diện IP
Không trả lời ICMP Ping.
3. Một số dịch vụ của pfsense
3.1: captive portal
Captive portal cho phép admin có thể chuyển hướng client tới một trang web khác, từ
trang web này client có thể phải chứng thực trước khi kết nối tới internet. Tính năng
captive portal nằm ở mục Services/captive portal
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 11
Captive portal: Tinh chỉnh các chức năng của Captive Portal.
- Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal.
- Maximum concurrent connections:Giới hạn các connection trên mỗi
ip/user/mac
- Idle timeout:Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định
thì sẽ ngắt kết nối của ip/user/mac.
- Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.
- Logout popup windows: Xuất hiện 1 popup thông báo cho ip/user/mac
- Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng
nhập
Pass-though MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ
qua,không authentication.
Allowed IP address: Các IP address được cấu hình sẽ không authentication.
Users: Tạo local user để dùng kiểu authentication: local user
File Manager: Upload trang quản lý của Captive portal lên pfsense.
Có 3 kiểu chứng thực client:
No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định mà
không chứng thực.
Local user manager: pfsense hỗ trợ tạo user để chứng thực.
Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ ip của
radius, port, )
3.2: DHCP Server.
Dịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin cấu hình cho các client
trong mạng LAN.
Tính năng này nằm trong Services => DHCP server
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 12
Bật tính năng cấp IP động cho các máy client.
Ta có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng.
3.3 : DHCP Relay.
Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client nằm trong một
subnet nào đó tới một DHCP server cho trước.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 13
Chỉ được phép chạy một trong dịch vụ DHCP server và DHCP relay
3.4: Load Balancing.
Với chức năng này bạn có thể điều phối mạng hay còn gọi là cân bằng tải mạng
Có 2 loại load balacing trên pfSense:
Gateway load balancing: được dùng khi có nhiều kết nối WAN. Client bên trong
LAN khi muốn kết nối ra ngoài Internet thì pfSense lựa chon card WAN để
chuyển packet ra card đó giúp cho việc cân bằng tải cho đường truyền.
Server load balancing: cho phép cân bằng tải cho các server của mình. Được dùng
phổ biến cho các web server, mail server và server ko hoạt động nữa thì sẽ bị
remove.
3.5: VPN PPTP.
Để sử dụng chức năng này bạn vào VPN => PPTP.
Chọn Enable PPTP server để bật tính năng VPN
Server address : Địa chỉ server mà client sẽ kết nối vào
Remote address range :Dải địa chỉ IP sẽ cấp khi VPN Client kết nối
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 14
RADIUS : Chứng thực qua RADIUS
Chọn Save và chuyển qua tab User để tạo tài khoản
Cần Tạo Rules cho phép VPN client truy cập vào mạng
Cuối cùng trên VPN Client ta tạo một connect để connect đến VPN server.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 15
3.6: Một số chức năng khác.
System Log: theo dõi mọi hoạt động của hệ thống pfSense và các dịch vụ mà
pfsense cung cấp. Mọi hoạt động của hệ thống và dịch vụ đều được ghi lai.
System Status: Liệt kê các thông tin và tình trạng của hệ thống.
Service Status: Hiển thị trạng thái của tất cả các service co trong hệ thống. Mỗi
service có hai trạng thái là: running, stopped
Interface Status: hiển thị thông tin của tất cả card mạng.
RRD Graph: Hiện thị các thông tin dưới dạng đồ thị.Các thông tin mà RRD Graph
sẽ thể hiện là: System,Traffic,Packets,Quality,Queues.
4. Mô Hình.
Ở mô hình này ta giả lập hai ROUTER ADSL1 và ROTER ADSL2 là 2 máy
win2k3.
Nhánh LAN thuộc đường mạng : 10.0.0.0/24.
Ta có 2 nhánh WAN là: 192.168.1.0/24 và 192.168.2.0/24.
Máy Firewall Pfsense có 3 card mạng: 1 card eth0 (host-only) dùng trong giao tiếp
LAN (mạng bên trong) và 2 card Bright (eth1 và eth2) dùng giao tiếp WAN ( mạng
bên ngoài)
Router ADSL1: 192.168.1.200
Router ADSL2: 192.168.2.200
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 16
eth0: 10.0.0.10/24
eth1: 192.168.1.100/24
eth2: 192.168.2.100/24
5. Cài đặt Fimrewall pfsense, Cấu hình interface và DHCP server.
5.1: Cài Đặt Pfsense.
Trên máy tính cài Pfsense chúng ta bỏ đĩa pfSense-1.2.3-LiveCD.iso vào để cài đặt
Màn hình Welcom to FreeBSD! Chào đón chúng ta đến với mã nguồn mở
Firewall Pfsense.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 17
chọn 99 để bắt đầu quá trình cài đặt
Chọn Accept these settings à Chấp nhận việc cài đặt Pfsense.
Chọn install pfsense để bắt đầu cài pfsense vào ổ cứng.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 18
chọn <Ad0:…> ổ cứng mà Pfsense cần cài đặt.
Chọn Format this Disk Định dạng lại ổ cứng bằng chính chương trình Pfsense.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 19
Chọn Use this geometry à Định dạng Cylinders, Heads, Sectors theo chuẩn
Pfsense.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 20
Format Ad0 Bắt đầu tiến hành định dạng theo thiết lập trên
Chọn Partition Disk Tạo Partiton cho ổ cứng.
Chọn Accept and Create Chấp nhận quá trình tạo Partition.
Đại học Khoa Học Tự Nhiên
Khoa Công Nghệ Thông Tin
FIREWALL TRÊN LINUX
Firewall Trên Linux Page 21
Chọn Yes, Partition ad0 Xác nhận việc tạo Partition.
Chọn OK.
Chọn <1: 7.99G (… ) > à Thiết lập Primary cho Partition.
