Professional Documents
Culture Documents
MỞ ĐẦU..........................................................................................................1
GIỚI THIỆU VỀ CÔNG TY TNHH GIẢI PHÁP CÔNG NGHỆ
PHƯƠNG ĐÔNG...........................................................................................4
CHƯƠNG 1. CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP.............5
1.1. Định nghĩa firewall, chức năng, cấu trúc và phân loại:.........................5
1.1.1. Định nghĩa firewall:........................................................................5
1.1.2. Chức năng của firewall:..................................................................5
1.1.3. Cấu trúc firewall:............................................................................5
1.1.4. Phân loại firewall:...........................................................................6
1.2. Các giải pháp firewall:...........................................................................6
1.2.1. Phần mềm mã nguồn mở OPNSense Firewall:...............................7
1.2.2. Phần mềm nguồn mở IPCop firewall:.............................................9
1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@Office:....10
1.2.4. Phần mềm FortiGate Antivirus Firewall:.....................................11
1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ:.........................12
CHƯƠNG 2. GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE...........................14
2.1. Giới thiệu lịch sử xuất xứ của OPNSense:...........................................14
2.2. Một số tính năng của Pfsense:..............................................................16
2.2.1. OPNSense Aliases:........................................................................16
2.2.2. NAT:...............................................................................................16
2.2.3. Firewall Rules:..............................................................................17
2.2.4. Firewall Schedules:.......................................................................17
2.3. Một số dịch vụ của OPNSense:............................................................17
2.3.1. DHCP Server:................................................................................17
2.3.2. Cài đặt Package:...........................................................................17
2.3.3. Backup và Recovery:.....................................................................18
2.3.4. Load Balancer:..............................................................................18
2.3.5. VPN trên OPNSense:.....................................................................18
2.3.6. Remote Desktop:............................................................................18
2.4. Cài đặt OPNSense:...............................................................................19
CHƯƠNG 3. TRIỂN KHAI OPNSENSE..................................................39
3.1. Mô hình triển khai:...............................................................................39
3.2. Tính năng của OPNSense Firewall:.....................................................39
3.2.1. OPNSense Aliases:........................................................................39
3.2.2. Firewall Rules................................................................................40
3.2.3. NAT:...............................................................................................44
3.2.4. IDS/IPS:.........................................................................................47
3.2.5. Firewall Schedules:.......................................................................51
3.3. Dịch vụ của OPNSense:.......................................................................53
3.3.1. DHCP Server:................................................................................53
3.3.2. Cài đặt Package:...........................................................................55
3.3.3. Backup và Recovery:.....................................................................56
3.3.4. Traffic Shaping:.............................................................................57
3.3.5. VPN:..............................................................................................61
3.3.6. Captive Portal:..............................................................................76
3.3.6.1. Chuẩn bị:....................................................................................76
3.3.6.2. Thiết lập:.....................................................................................76
3.3.7. Load Balancing:............................................................................87
3.3.8. Failover:........................................................................................94
3.3.9. Web Filtering:................................................................................96
KẾT LUẬN.................................................................................................108
1. Kết quả đạt được:..................................................................................108
2. Những mặt hạn chế:..............................................................................108
3. Hướng phát triển tương lai:...................................................................108
TÀI LIỆU THAM KHẢO............................................................................109
MỞ ĐẦU
Trong những năm gần đây, nền công nghệ thông tin của đất nước ta
đã có những bước tiến vượt bậc. Đi đôi cùng với sự phát triển về công
nghệ, mạng lưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện cho
các dịch vụ gia tăng, trao đổi thông qua mạng bùng nổ. Nhưng cùng với sự
phát triển của hệ thống mạng, đặc biệt là sự phát triển rộng khắp của hệ
thống mạng toàn cầu (Internet), các vụ tấn công phá hoại trên mạng diễn ra
ngày càng nhiều và ngày càng nghiêm trọng hơn. Chúng xuất phát từ rất
nhiều mục đích, như là để khẳng định khả năng của bản thân, để thoả mãn
một lợi ích cá nhân, hay vì những mâu thuẫn, cạnh tranh…nhưng tựu
chung lại đã gây ra một hậu quả rất nghiêm trọng cả về vật chất và uy tín
của doanh nghiệp, tổ chức.
Đối với các doanh nghiệp, vai trò của Internet là không thể phủ
nhận, ứng dụng thương mại điện tử vào công việc kinh doanh giúp cho các
doanh nghiệp không những giảm đi các chi phí thông thường mà còn có thể
mở rộng đối tác, quảng bá sản phẩm cũng như liên kết với khách hàng.
Nhưng chấp nhận điều đó cũng có nghĩa là doanh nghiệp đang đứng trước
nguy cơ đối mặt với các rủi ro và nguy hiểm từ Internet. Chính vì lý do đó
vấn đề an ninh mạng đang trở nên nóng bỏng hơn bao giờ hết, các doanh
nghiệp cũng đã dần nhận thức được điều này và có những quan tâm đặc
biệt hơn tới hạ tầng an ninh mạng. Một trong những thành phần căn bản và
hữu ích nhất có thể kể tới trong hạ tầng đó là hệ thống firewall – công nghệ
đang ngày càng được cải tiến và phát triển đa dạng, phong phú. Xuất phát
từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệ thống firewall để
bảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải pháp nào đó cho
vấn đề này.
1
Khái niệm này đã có từ rất lâu khi công nghệ thông tin nói chung và
mạng máy tính nói riêng phát triển. Thay đổi qua từng thời kì từ những sản
phẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậc
như hiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đáp
ứng nổi trội. Luôn luôn được quan tâm trong rất nhiều các công nghệ trên
thị trường bảo mật, các dòng firewall ngày nay với tính đa dạng đã có thể
phù hợp với nhu cầu của tất cả các doanh nghiệp đặt ra, từ những hệ thống
lớn và hiện đại đến những hệ thống nhỏ, đơn giản.
Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến
hạ tầng an ninh mạng của mình thì firewall là một trong thành phần nên
được quan tâm hàng đầu. Phải có những tiêu chí và giới hạn đặt ra cho sản
phẩm tùy thuộc vào điều kiện và mục đích. Yêu cầu về hệ thống firewall vì
thế cũng có sự khác nhau với từng đối tượng doanh nghiệp. Với các doanh
nghiệp nhỏ mà mục đích chính là trao đổi thông tin, liên lạc thì có lẽ một
sản phẩm firewall đơn giản với giá cả vừa phải đáp ứng được các yêu cầu
tối thiểu như tính năng lọc gói, NAT, khả năng lọc virus, quét mail, ngăn
chặn thư rác hay kết nối VPN…(một security gateway all-in-one ngăn cách
giữa mạng nội bộ và internet) là sự lựa chọn hợp lý. Nhưng đối với các
doanh nghiệp cỡ vừa hoặc khá lớn thì hệ thống firewall không đơn giản chỉ
có thế, có thể có nhiều firewall với các chức năng chuyên dụng đứng kết
hợp với nhau tại vùng biên của mạng tạo nên một sức mạnh và khả năng
đáp ứng hiệu năng cao cho truy nhập vào ra, hơn thế (mà đặc biệt với các
doanh nghiệp kinh doanh dịch vụ) có khi firewall chỉ làm nhiệm vụ bảo vệ
cho một phần nhỏ của mạng có vai trò quan trọng hoặc cần mức độ an toàn
cao (như hệ thống server hosting dịch vụ…). Với doanh nghiệp lớn và rất
lớn (tập đoàn, ISP…) thì yêu cầu lại phức tạp hơn rất nhiều. Hệ thống cần
được thiết kế và tính toán chi tiết, không đơn giản là một thiết bị bảo vệ
đơn thuần mà nó còn phải phối hợp với các thành phần bảo mật khác trên
2
mạng tạo ra một hạ tầng thống nhất và có khả năng tự phản ứng và đáp trả
lại tấn công mạng.
Để hướng tới mục tiêu tạo ra một sản phẩm hữu ích và thiết thực, đồ
án tập trung vào việc phân tích các rủi ro và nhu cầu cần bảo vệ của doanh
nghiệp, tìm hiểu các công nghệ hiện tại thích hợp để từ đó xây dựng nên hệ
thống firewall đáp ứng yêu cầu đặt ra. Chính vì thấy tầm quan trọng của
vấn đề bảo mật nên em chọn đề tài “TÌM HIỂU VÀ TRIỂN KHAI HỆ
THỐNG TƯỜNG LỬA OPNSENSE” làm đồ án thực tập tốt nghiệp của
mình.
3
GIỚI THIỆU VỀ CÔNG TY TNHH GIẢI PHÁP CÔNG
NGHỆ PHƯƠNG ĐÔNG
Công Ty TNHH Giải Pháp Công Nghệ Phương Đông là một trong
những công ty cung cấp các sản phẩm công nghệ và các dịch vụ và giải
pháp về công nghệ tại Việt Nam. Công ty được thành lập vào ngày
25/01/2016. Công Ty TNHH Giải Pháp Công Nghệ Phương Đông đã và
đang từng bước xây dựng và phát triển vững mạnh, đạt nhiều thành tựu và
dần khẳng định vị thế là đơn vị công nghệ tiên phong. Công Ty TNHH Giải
Pháp Công Nghệ Phương Đông không chỉ là điểm tựa an toàn cho khách
hàng cá nhân mà còn sát cánh với các doanh nghiệp trong sự nghiệp phát
triển công nghệ Việt Nam.
Với mục tiêu lấy sự hài lòng của khách hàng làm trọng tâm của hoạt
động kinh doanh, Công Ty TNHH Giải Pháp Công Nghệ Phương Đông
liên tục hoàn thiện cơ chế hoạt động, đào tạo đội ngũ cán bộ nhân viên toàn
hệ thống nhằm nâng cao chất lượng dịch vụ, phục vụ ngày càng tốt hơn
nhu cầu đa dạng của khách hàng. Công Ty TNHH Giải Pháp Công Nghệ
Phương Đông luôn nỗ lực để khẳng định vị trí là công ty công nghệ uy tín
cao trên thị trường, cùng với chất lượng dịch vụ tốt, qua đó cung cấp cho
khách hàng các sản phẩm công nghệ có chất lượng tốt, an toàn và linh hoạt.
Hiện nay, Công Ty TNHH Giải Pháp Công Nghệ Phương Đông đang
cung cấp rất nhiều sản phẩm công nghệ và các dịch vụ giải pháp công nghệ
như: Buôn bán máy vi tính, các thiết bị ngoại vi, phần mềm, xử lý dữ liệu,
xuất bản phần mềm, hoạt động viễn thông có dây, cho thuê các máy chủ
riêng phục vụ cho nhu cầu công việc ,….
4
CHƯƠNG 1. CÔNG NGHỆ FIREWALL VÀ CÁC
GIẢI PHÁP
1.1. Định nghĩa firewall, chức năng, cấu trúc và phân loại:
1.1.1. Định nghĩa firewall:
Firewall là một phần của hệ thống hay mạng máy tính được thiết kế
để điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập
không được phép trong khi cho phép các truyền thông hợp lệ. Nó cũng là
một hay một nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã
hóa, giải mã hay proxy lưu lượng trao đổi của các máy tính giữa các miền
bảo mật khác nhau dựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác.
5
Circuit level gateway.
Các chính sách mạng (network policy).
Các cơ chế xác thực nâng cao (advanced authentication
mechanisms).
Thống kê và phát hiện các hoạt động bất thường (logging and
detection of suspicious activity).
Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp
Không có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng
như thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều
đó không có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi
những tiềm năng trong cơ hội kinh doanh. Bản thân các doanh nghiệp cũng
có những nhận thức ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ
6
tiền ra để trang bị các thiết bị bảo mật cho mình, tất nhiên giá cả của thiết
bị đó phải ở mức chấp nhận được. Các nhà cung cấp dịch vụ bảo mật đã bắt
tay vào để tạo ra các sản phẩm cung cấp hệ thống an toàn “ tất cả-trong-
một” (all-in-one) cho một công ty, tổ chức. Các giải pháp đó có thể là phần
cứng cũng như phần mềm nhưng đặc điểm nổi trội của nó là được tạo nên
hướng tới nhu cầu trong hoạt động kinh doanh của các doanh nghiệp. Được
tối ưu cho mục đích sử dụng , các doanh nghiệp không cần đến một hệ
thống phức tạp với độ an toàn cao, họ chỉ cần một hệ thống có thể bảo vệ
họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họ cũng muốn tích
hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảo mật đó. Bằng
cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra các nhận định
hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạng cho
các doanh nghiệp.
7
danh sách dài các tính năng liên quan và các gói cài đặt hữu ích được bổ
sung tạo nên một hệ thống linh hoạt và vững chắc.
OPNsense có hầu hết các tính năng có trên các tường lửa thương mại
đắt tiền và nhiều tính năng khác theo từng trường hợp. Ta có thể kể đến
một số tính năng như:
Traffic Shaper
Two-factor Authentication throughout the system
Captive portal
Forward Caching Proxy (transparent) with Blacklist support
Virtual Private Network (site to site & road warrior,
IPsec, OpenVPN & legacy PPTP support)
High Availability & Hardware Failover ( with
configuration synchronization & synchronized state
tables)
Intrusion Detection and Prevention
Build-in reporting and monitoring tools including RRD
Graphs
Netflow Exporter
Network Flow Monitoring
Support for plugins
DNS Server & DNS Forwarder
DHCP Server and Relay
Dynamic DNS
Encrypted configuration backup to Google Drive
Stateful inspection firewall
Granular control over state table
802.1Q VLAN support
8
1.2.2. Phần mềm nguồn mở IPCop firewall:
Cùng với pfSense firewall, IPCop firewall cũng là sản phẩm được
đánh giá cao và sử dụng phổ biến hiện nay trong thế giới nguồn mở. IPCop
là một phần được tách ra từ Linux, bắt nguồn từ SmoothWall và phát triển
thành một dự án riêng. Bản thân IPCop cũng tương tự như pfSense firewall
là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nền
RedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phép
IPCop được cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thông
thường mà không có bất kì một đòi hỏi nào khác, hay nói chính xác nó là
một hệ điều hành hoàn chỉnh với tính năng firewall. Kế thừa từ
SmoothWall nhưng mã của IPCop đã được thay đổi để chạy trên file
system là ext3, thêm vào độ tin cậy cho sản phẩm, ngoài ra nó cũng được
bổ sung vào các tính năng tối ưu của phiên bản SmoothWall như hỗ trợ
ADSL. Hầu hết các ứng dụng trên phiên bản SmoothWall hiện nay đều có
trên IPCop, hơn thế nó còn được cung cấp tốt và hỗ trợ nhiều dịch vụ hơn.
Nếu muốn chạy phiên bản SmoothWall ta phải có sản phẩm được phân
phối từ nhà sản xuất và không miễn phí, trong khi đó IPCop là phần mềm
có bản quyền và được cung cấp hoàn toàn miễn phí từ GPL. Được sử dụng
chính như một firewall, internet gateway cho các doanh nghiệp vừa và nhỏ,
IPCop có các đặc trưng và tính năng chính sau:
Tính năng firewall dựa trên IPTable/IPChains
Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, ISDN
modem, hay ADSL modem, và có thể hỗ trợ các kết nối PPP
hay PPPoE ADSL tới mạng Ethernet.
Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng)
Quản trị thông qua giao diện web
Truy nhập từ xa thông qua dịch vụ SSH server cung cấp
DHCP server
9
Caching DNS
TCP/UDP port forwarding
Hệ thống phát hiện xâm nhập Snort
Hỗ trợ IPSec VPN
…
10
Ngăn ngừa xâm nhập với khả năng không cho phép một ứng
dụng nào đó như các hệ thống chia sẻ file ngang hàng (peer-
to-peer file-sharing systems) đặc trưng.
Kiểm soát lưu lượng giao thông mạng (traffic monitoring) và
công cụ xử lí sự cố (troubleshooting tools) có thể dùng để gán
nhiều băng thông hơn cho các ứng dụng quan trọng.
Các tính năng mạng riêng ảo VPN (virtual private network) để
đảm bảo an toàn cho kết nối với các văn phòng chi nhánh.
Khả năng tạo ra các điểm truy cập không dây với WPA2 (Wi-
Fi Protected Access) và IPSec (Internet Protocol Security).
Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 người
dùng. Thiết bị 500W giá 449 USD/ 5 người dùng. Cả hai sản phẩm đều có
thể cấp phép cho 25 hoặc vô hạn người dùng. Những người đăng kí cập
nhật tường lửa và chống virus sẽ phải trả ít nhất 10 USD/tháng.
11
Chế độ NAT hoặc định tuyến
Chế độ trong suốt
VLANvà các domain ảo
Hệ thống ngăn chặn xâm nhập
Mạng riêng ảo (VPN)
Tính năng dự phòng
Quản lý qua giao diện web
Hỗ trợ giao diện dòng lệnh
Thống kê và báo cáo
1.3. Đánh giá, tổng kết và phân tích, lựa chọn công nghệ:
Việc đầu tiên và quan trọng trong bài toán xây dựng hệ thống
firewall là việc lựa chọn công nghệ nào sẽ được áp dụng. Rõ ràng với một
firewall được tích hợp trong một phần cứng chuyên dụng sẽ là một thiết bị
hoàn hảo. Nhưng thực tế, các sản phẩm phần cứng đó không dễ dàng có thể
có được ở Việt Nam, đi kèm với nó là việc giá thành sản phẩm bị tăng lên
do chi phí phần cứng.
Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lập
một firewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tận
dụng phần cứng có sẵn trong công ty mình để làm nền triển khai phần mềm
bên trên. Phần mềm cần được thiết kế để sao có thể chạy trên các phần
cứng không đòi hỏi giá thành cao cũng như dễ dàng thay thế và sửa chữa
được. Và lựa chọn được đưa ra khi sử dụng các phần mềm mã nguồn mở
để xây dựng hệ thống.
Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chi
phí khi không phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mã
nguồn mở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phù
hợp với nhu cầu sử dụng. Các phần mềm mã nguồn mở cũng nối tiếng
12
trong sự tùy biến của mình, có thể hoạt động trên những phần cứng không
yêu cầu cấu hình cao (một máy tính Pentium IV 3.0GHZ, RAM 1GB là có
thể đủ với vai trò một firewall hoàn thiện cho một doanh nghiệp dưới 100
người dùng).
Trong quá trình tìm hiểu, có rất nhiều phần mềm mã nguồn mở được
thiết kế để đóng vai trò một gateway như vậy. Mỗi phần mềm có những ưu
nhược điểm khác nhau. Trong số đó, OPNSense (https://opnsense.org/)
được lựa chọn vì nó phù hợp với chức năng của một firewall hoàn thiện. Sở
dĩ như vậy là bởi vì OPNSense có được những ưu điểm trong việc dễ dàng
cài đặt và vận hành (một trong những trở ngại so với sản phẩm thương mại
của phần mềm nguồn mở), cùng với đó là nền tảng hệ thống ổn định và các
chức năng phong phú được cung cấp mà đồ án xin được trình bày rõ ngay
sau đây
13
CHƯƠNG 2. GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE
14
OPNsense chứa một giao diện rất phong phú được viết bằng Phalcon
PHP, đó là một niềm vui thực sự. Ngoài việc OPNsense hấp dẫn hơn giao
diện người dùng của pfSense, nó được phần nào tạo ra bởi niềm tin của
nhóm rằng giao diện đồ họa không nên có quyền truy cập root, vì điều này
có thể gây ra các vấn đề bảo mật.
OPNsense cung cấp các cập nhật bảo mật hàng tuần để nhanh chóng
đáp ứng các mối đe dọa. Nó bao gồm nhiều tính năng nâng cao mà bạn
thường chỉ tìm thấy trong các tường lửa thương mại như Forward Caching
Proxy và Intrusion Detection. Nó cũng hỗ trợ việc sử dụng OpenVPN.
Tường lửa sử dụng hệ thống ngăn chặn xâm nhập nội tuyến. Đây là
một hình thức kiểm tra gói sâu mạnh mẽ, trong đó OPNsense không chỉ
chặn địa chỉ IP hoặc cổng mà còn kiểm tra và dừng các gói dữ liệu cá nhân
hoặc các kết nối trước khi chúng đến được người gửi. OPNsense cũng cung
cấp LibreSSL trên OpenSSL.
Giao diện người dùng có thanh tìm kiếm đơn giản và mô-đun sức
khỏe hệ thống mới. Mô-đun này tương tác và cung cấp phản hồi trực quan
15
khi phân tích mạng của bạn. Bây giờ, bạn có thể xuất dữ liệu của mình ở
định dạng CSV để phân tích thêm.
2.2.2. NAT:
OPNSense cung cấp network address translation (NAT) và tính
năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với
Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation
(GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.
16
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần
sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1)
cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound
là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần.
17
2.3.3. Backup và Recovery:
Dịch vụ này giúp người dùng có thể sao lưu hay khôi phục cấu hình
pfsense lại.
Hạn chế:
- Phải trang bị thêm modem nếu không có sẵn.
- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.
- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.
18
2.4. Cài đặt OPNSense:
Trên máy tính cài OPNsense chúng ta bỏ đĩa OPNSense LiveCD
Installer.. vào ổ CD/DVD để tiến hành cài đặt.
Nhấn bất kỳ nút nào để bắt đầu quá trình cài đặt.
19
Tiến hành log in vào với username là installer và password là opnsense.
Chúng ta sẽ được chuyển hướng tới màn hình cài đặt. Chọn OK để bắt đầu.
20
Chọn vào Accept these Settings.
21
Chọn vào dòng đầu tiên.
22
Chọn Yes.
23
Thiết lập root password khi đăng nhập vào firewall.
Sau khi hoàn tất chọn reboot để khởi động lại firewall.
24
Tiến hành đăng nhập vào firewall bằng tài khoản root vừa tạo.
25
Bây giờ chúng ta sẽ tiến hành chia Interface. Chọn option 1.
Firewall sẽ hỏi muốn cấu hình VLAN hay không. Chọn No.
26
Chọn card mạng WAN. Ở đây là em0.
Firewall hỏi chúng ta có muôn thực thi các cấu hình vừa nãy. Chọn Yes.
Các Interface còn lại chúng ta sẽ tiến hành tạo trong phần WebGUI.
27
Tiếp theo chúng ta sẽ tiến hành đặt IP cho các Interface. Chọn Option 2.
Chọn card mạng cần cấu hình. Ở đây sẽ chọn card LAN trước.
28
Firewall sẽ hỏi chúng ta muốn cấu hình IP thông qua DHCP. Chọn No.
Enter để trống.
Firewall sẽ hỏi chúng ta muốn cấu hình DHCP trên Interface này không.
Chọn No.
29
Chọn No.
Bây giờ chúng ta có thể truy cập vào WebGUI bằng địa chỉ như trên.
30
Máy Client trong mạng LAN tiến hành đặt IP tĩnh. Và truy cập vào
WebGUI của OPNSense.
Đăng nhập bằng tài khoản root tạo lúc cài đặt.
31
Khi đăng nhập vào chúng ta sẽ tiến hành thiết lập một vài Setup thông qua
Wizard.
32
Chọn Timezone cho OPNSense.
Theo như mô hình bên trên là chúng ta sẽ xin DHCP cho WAN nên chúng
ta sẽ Next qua bước này.
33
Card LAN chúng ta cũng cấu hình rồi nên chọn Next để qua bước tiếp theo.
Phần root password nếu muốn giữ passwd cũ thì chỉ cần bỏ trống còn nếu
muốn đổi mới thì nhập passwd mới vào.
34
Reload lại firewall.
35
Giao diện DashBoard của OPNSense.
Theo mô hình chúng ta còn một vùng DMZ nên chúng ta sẽ tiến hành cấu
hình card mạng DMZ.
Interfaces Assignments Click vào dấu cộng như hình để thêm card
DMZ.
36
Lúc này sẽ xuất hiện một card mới với tên là OPT1. Nhấp đúp chuột vào
card này.
37
Chọn Static Ipv4 để cấu hình IP cho card DMZ này.
Quay trở lại DashBoard chúng ta đã thấy IP cho DMZ đã cấu hình thành
công.
38
CHƯƠNG 3. TRIỂN KHAI OPNSENSE.
39
Chọn vào dấu + ở hình để tiến hành thêm Alias mới.
Chúng ta có rất nhiều lựa chọn cho Aliases. Tùy vào nhu cầu sử dụng mà
chúng ta sẽ chọn Type thích hợp. Sau khi chọn xong nhấn Save.
40
Chọn Add để tiến hành thêm Rule.
Bây giờ chúng ta sẽ tạo một Rule Block Ping. Action chọn Block, Interface
là LAN, Protocol chọn ICMP.
41
Source là lớp mạng LAN, Destination là Any nghĩa là LAN có thể truy cập
Web, sử dụng Mail và các dịch vụ khác nhưng sẽ không cho thực hiện việc
ping ra ngoài Internet lẫn bên trong mạng nội bộ. Sau khi xong chọn Save.
42
Đây là hình ảnh trước khi cấu hình Rule chặn Ping. Từ LAN có thể ping
qua các lớp mạng khác.
Sau khi có Rule chặn ping thì bây giờ LAN không thể ping thới bất kỳ đâu
trong mạng nội bộ và bên ngoài Internet.
43
3.2.3. NAT:
Bây giờ chúng ta sẽ tiến hành NAT Port để Publish Web Server ở
vùng DMZ ra ngoài Internet.
Firewall NAT Port Forward. Chọn Add để tạo mới một NAT.
Chọn Interface WAN. Các cấu hình còn lại chọn như hình.
44
Destination chúng ta sẽ chọn WAN Addr, Des Port sẽ là DNS do chúng ta
dựng Webserver và có sử DNS để phân giải nên chúng ta cũng cần phải
NAT DNS. Redirect chúng ta sẽ cho chuyển qua IP của máy Web Server.
Redirect port cũng là DNS. Các lựa chọn còn lại để mặc định.
Như vậy chúng ta phân tích NAT Port này như sau: Khi có Traffic DNS từ
bên ngoài mà tới địa chi WAN thì firewall sẽ thực hiện việc chuyển tiếp
traffic đó qua IP của Web Server.
Chọn Save và Apply Changes. Sau đó tiếp tục tạo NAT Port cho Traffic
HTTP và HTTPS.
45
Hai NAT Port đã được tạo thành công.
Bây giờ chúng ta sẽ qua firewall Rule của WAN và DMZ để thực hiện mở
Rule cho việc Publish Web Server.
46
Firewall Rule của DMZ.
Trên máy Client bên ngoài Internet tiến hành truy cập vào Web Server.
3.2.4. IDS/IPS:
Chúng ta sẽ sử dụng Suricata để làm IPS/IDS. Trên OPNSense mặc
định Suricata đã có sẵn trong Firewall.
47
Chọn Services Intrution Detection Administration
Enable chức năng IPS/IDS lên. Mục Interface chọn hết tất cả Interface hoặc
tùy vào nhu cầu mà sẽ có lựa chọn thích hợp. Chọn Apply.
48
Mục Download tiến hành Enable và Download các ruleset về.
49
Bây giờ chúng ta sẽ dùng một máy Kali Linux thâm nhập vào mạng
LAN của mình có IP là: 172.24.46.101 tiến hành thực hiện Metaploit vào
mạng LAN của mình và sau đó chọn vào mục Alert để xem kết quả.
Kết quả.
50
Chọn vào hình cây viết để xem chi tiết log file.
51
Thiết lập ngày tháng mong muốn cho phù hợp với nhu cầu.
52
Qua Firewall Rule. Chọn rule mà muốn thiết lập Schedule, kéo xuống tìm
mục schedule và chọn schedule thích hợp mà mình vừa tạo.
53
Chọn Interface mà bạn muốn cấu hình DHCP lên đó. Ở đây là Interface
LAN. Tại mục Range chọn dãy IP của mạng.
Nhập vào DNS và Gateway cho DHCP ở card LAN. Sau đó chọn Save và
Apply Changes để lưu các thay đổi.
54
Qua máy Client tiến hành xin IP động.
55
Chọn vào Firmware Plugins Check for updates.
Sau khi check for update xong thì firewall sẽ hiện ra các gói plugin cho
người dùng. Bấm vào dấu + để tiến hành cài đặt gói về firewall.
Để tiến hành khôi phục lại thì vẫn đường dẫn trên chúng ta kéo xuống sẽ
thấy mục Restore.
56
Chọn Restore Configuration.
57
Chọn Shaper Pipes.
58
Tạo ra Pipes Download như hình giới hạng băng thông lại là 3Mbps. Chọn
Save.
59
Chọn Interface ra Outside. Source là any vì chúng ta đang thiết lập rule cho
Download. Destination là lớp mạng LAN nơi chúng ta muốn giới hạn băng
thông lại. Check Enable trên rule.
60
Chọn Apply để lưu cấu hình.
Bây giờ qua máy Client và tiến hành tải một tệp về và kiểm tra tốc độ
Download của tệp đó.
3.3.5. VPN:
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường
là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường
dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa
mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Bây giờ chúng ta sẽ tiến hành dùng OpenVPN để thiết lập VPN
Client to Site cho hệ thống của chúng ta.
61
Chọn System Trust Authorities để tiến hành thêm Certificate
Authority.
62
Chọn Add.
63
Tạo Comman Name và chọn Save.
64
Certificate đã được tạo.
65
Chọn như hình và Save.
66
Lúc này chúng ta sẽ được chuyển qua mục tạo Certificate cho user hieukm
này. Chọn như hình.
67
Bây giờ chúng ta sẽ tiến hành thêm một SSL Server. Đi tới VPN
OpenVPN Servers. Chọn Add.
68
Chọn các thông số mã hóa như hình.
69
Nhập vào IP Tunnel và IP local mà chúng ta muốn remote tới.
Disable Ipv6, các lựa chọn cuối để mặc định. Sau đó chọn Save.
70
Tạo thành công SSL Server.
Bây giờ chúng ta sẽ cấu hình firewall rule để chấp nhận các traffic đi vào
LAN.
Đi tới Firewall Rules OpenVPN. Tạo rule cho phép traffic đi vào
LAN.
71
Cấu hình Export cho Client.
Đi tới VPN OpenVPN Client Export.
Chọn Export type là Viscosity. Các phần còn lại để mặc định.
72
Kéo xuống phía dưới và tiến hành tải file config về máy client.
Double Click file config vừa tải về để import các config của VPN vào máy
của Client.
73
VPN kết nối thành công.
74
Các rule dành cho OpenVPN cũng đã chạy thành công. Rule bao gồm cho
phép truy cập tất cả dịch vụ trong LAN và chặn ping.
Trên tường lửa chúng ta sẽ thấy được kết nối VPN của client hieukm.
75
3.3.6. Captive Portal:
Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các
firewall thương mại lớn. tính năng này giúp redirect trình duyệt của người
dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được
người dùng (hoặc cấm không cho người khác dùng mạng của mình). Tính
năng này tiên tiến hơn các kiểu dăng nhập như WPA, WPA2 ở chỗ người
dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là
bảng đăng nhập khô khang như kiểu authentication WPA, WPA2.
Card Bridge.
Ta sẽ tiến hành kết nối AP với OPNSense qua cổng có dây của
laptop. Dùng AP nối cổng LAN vào laptop. Truy cập vào AP và tắt DHCP
76
trên con AP này. Tiến hành đặt IP cho Card mạng này thông qua Web
Interface.
77
Enable Interface.
78
Thiết lập Rule cho vùng này có thể ra Internet và thiết lập một số Rule để
đảm bảo an toàn cho hệ thống tùy vào nhu cầu của hệ thống mà sẽ thiết lập
Rule thích hợp.
79
Cấu hình DHCP trên card mạng này.
80
Chọn Administration Chọn vào dấu + để tiến hành Add Zone.
Enable Zone, chọn Interface, chọn Authenticate là Local, thiết lập Idle
time,…
81
Chọn Save.
Qua tab Template, chọn biểu tượng Download và tiến hành tải Template
mẫu về.
82
Chọn vào dấu + và tiến hành Upload Template vừa tải lên Firewall.
83
Chọn Apply.
Tiến hành tạo User trên fiewall.
Bây giờ máy laptop client tiến hành kết nối vào AP.
84
Nhận được IP từ AP.
Mở trình duyệt lên lúc này chúng ta sẽ thấy mục yêu cầu login.
85
Sau khi Login.
86
3.3.7. Load Balancing:
Cân bằng tải có thể được sử dụng để chia tải giữa hai (hoặc nhiều)
ISP. Điều này nâng cao tổng băng thông khả dụng và / hoặc giảm tải trên
mỗi ISP.
Nguyên tắc rất đơn giản: Mỗi kết nối WAN (cổng vào) nhận được
một phần lưu lượng. Lưu lượng có thể được chia đều hoặc có trọng số.
Bước 1: Thêm Monitor IP:
Đi tới System ‣ Gateways ‣ Single
Chọn vào biểu tượng hình bút chì để tiến hành edit. Chọn vào các cổng
WAN chúng ta muốn.
Bạn có thể bỏ qua bước này nếu bạn đã thiết lập IP giám sát và cả hai cổng
đều hiển thị là trực tuyến.
87
Kéo xuống tìm đến mục Monitor IP và sử dụng Monitor IP của Google
Chọn Save.
88
Chọn Save sau khi cấu hình xong.
Vì chúng ta cấu hình Load Balancing nên ở 2 Gateway ta chọn cùng Tier
với nhau.
Giải thích Trigger Level:
Member Down: Kích hoạt khi cổng bị mất gói 100%.
Packet Loss: Kích hoạt khi mất gói đến một cổng cao hơn ngưỡng đã
xác định.
High Latency: Kích hoạt khi độ trễ đối với cổng cao hơn ngưỡng đã
xác định của nó.
89
Packet Loss or High Latency: Kích hoạt cho một trong các điều kiện
trên.
Bước 3: Cấu hình DNS cho mỗi Gateway:
Đi tới System ‣ Settings ‣ General. Đảm bảo mỗi cổng có thiết lập
DNS riêng.
90
Bên dưới Gateway chọn WANGROUP chúng ta vừa tạo.
91
Cấu hình như 2 hình trên và chọn Save và Apply Changes.
92
Rule sau khi tạo.
Bây giờ qua Client và tiến hành Download. Như đã kiểm tra Download ở
phần Shaper tốc độ mặc định khi chưa Load Balancing là 8MB/s.
Sau khi cấu hình Load Balancing tốc độ đã tăng đáng kể 25MB/s.
93
3.3.8. Failover:
Đây là chế độ dự phòng trong các hệ thống mạng. Chúng sẽ được
kích hoạt khi hệ thống chính gặp sự cố vì bất kỳ lí do gì như treo máy, hư
máy, virus tấn công, bảo trì…
Đối với việc cấu hình Failover trên OPNSense thì các bước thực hiện
tương tự như Load Balancing:
• Thêm Monitor IP vào Gateway.
• Thêm Gateway Group.
• Chỉnh sử Rule sử dụng Gateway Group.
• Thêm quy tắc tường lửa cho lưu lượng DNS dành cho chính
tường lửa.
94
Qua máy Client tiến hành truy cập Internet.
95
3.3.9. Web Filtering:
Là một trong những tính năng lọc chất lượng cao. Với tính năng này,
bạn có thể bảo mật thông tin một cách an toàn. Hơn thế, nó còn giúp bạn
ngăn chặn một số đường link, trang web theo yêu cầu.
Lọc web dựa trên danh mục trong OPNsense được thực hiện bằng
cách sử dụng proxy tích hợp và một trong những danh sách đen thương mại
hoặc có sẵn miễn phí.
Bước 1: Cấu hình BlackList:
Tiến hành tải về file Blacklist:
http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz
Đi tới Services ‣ Web Proxy ‣ Administration chọn vào Remote
Access Control Lists. Chọn vào dấu + để thêm danh sách mới.
96
Cấu hình các thông số như hình trên. Phần URL chúng ta sẽ dán đường link
download của blacklist. Chọn Save.
Bây giờ chúng ta sẽ tiến hành tải ACL về và Apply những gì vừa cấu hình.
Chọn Download ACLs & Apply.
97
Sau khi tải xong chúng ta chọn vào hình cây viết trên list vừa tạo lúc này
tại mục Category chúng ta thấy có xuất hiện các dạng categories.
98
Cấu hình hai Rule như hình trên và cho lên đầu danh sách.
Tiếp theo chọn vào Add New Firewall Rule. Kéo xuống tới NAT
Reflection chọn Enable.
99
Chọn Save.
Tiếp tục Add Rule cho phần SSL. Và cũng chỉ chỉnh sửa Enable
phần NAT Reflection.
100
Chọn Authentication Setting.
101
Chọn như hình. Save.
102
Tiến hành Export CA về máy.
103
Chọn Install Certificate.
104
Import thành công.
105
Bây giờ qua máy Client tiến hành truy cập vào Facebook.
Truy cập bị từ chối. Mặc định của BlackList chúng ta cấu hình là Block hết
tất cả. Tùy vào yêu cầu của Cty mà chúng ta sẽ có những chính sách thích
hợp.
Bên cạnh đó chúng ta có thể cấm chỉ định một URL nào đó hoặc giới
hạn Subnet nào được duyệt website nào, Subnet nào bị cấm bằng ACL.
Quay lại Web Proxy. Chọn Access Control List. Tại mục Backlist chúng ta
thử đánh một URL bất kỳ.
Bây giờ dùng Client thử truy cập 2 địa chỉ này:
Youtube bị deny.
106
Twitter cũng tương tự.
107
KẾT LUẬN
108
TÀI LIỆU THAM KHẢO
[5]. https://www.tecmint.com/install-and-configure-opnsense-firewall/
[6]. https://en.wikipedia.org/wiki/OPNsense
109