Xây dựng hệ thống firewall với PFSENSE

Discussion in 'Security' started by magicvn, Aug 11, 2014.

Thread Status:
Not open for further replies.
  1. magicvn

    magicvn New Member

    Joined:
    Aug 10, 2014
    Messages:
    25
    Likes Received:
    0
    Trophy Points:
    0
    I. Giới thiệu

    • pfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật.
    • Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng
    • pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty.
    • Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó
    [​IMG]


    • Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế.
    - Các ứng dụng:
    • Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP.
    • Nó cũng hỗ trợ chính sách định tuyến
    • có thể hoạt động trong các chế độ bridge hoặc transparent
    • cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung.
    • pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng,
    - Tuy nhiên ứng dụng này vẫn còn một số hạn chế với
    • Point-to-Point Tunneling Protocol (PPTP)
    • Generic Routing Encapsulation (GRE)
    • Session Initiation Protocol (SIP) khi sử dụng NAT.
    - pfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng.
    - Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và chúng ta không thể chỉ định được lưu lượng cho qua một kết nối
     
  2. magicvn

    magicvn New Member

    Joined:
    Aug 10, 2014
    Messages:
    25
    Likes Received:
    0
    Trophy Points:
    0
    II. Mô hình

    [​IMG]

    III. Cài đặt và cấu hình Pfsense

    1. Cài đặt Pfsense

    Trên máy tính cài Pfsense chúng ta bỏ đĩa pfSense-LiveCD vào CD/DVD để tiến hành cài đặt

    [​IMG]

    Màn hình Welcom to FreeBSD! Chào đón chúng ta đến với mã nguồn mở Firewall Pfsense

    [​IMG]

    Nhấn “I” để bắt đầu cài đặt pfscense

    [​IMG]

    Chọn Accept these settings Chấp nhận việc cài đặt Pfsense.

    [​IMG]

    Chọn Install Pfsense bắt đầu cài Pfsense vào ổ cứng.

    [​IMG]

    <Ad3:…> Chọn ổ cứng mà Pfsense cần cài đặt.

    [​IMG]

    Chọn Format this Disk. Định dạng lại ổ cứng bằng chính chương trình Pfsense.

    [​IMG]

    Chọn Use this geometry Định dạng Cylinders, Heads, Sectors theo chuẩn Pfsense.

    [​IMG]

    Format Ad3 Để bắt đầu tiến hành định dạng theo thiết lập trên.

    [​IMG]

    Chọn Partition Disk Tạo Partiton cho ổ cứng.

    [​IMG]

    Chọn Accept and Create Chấp nhận quá trình tạo Partition.

    [​IMG]

    Chọn Yes, Partition ad0 Xác nhận việc tạo Partition.

    [​IMG]

    Chọn OK.

    [​IMG]

    Chọn Accept and Install Bootblocks Chấp nhận tạo bootBlocks lên ổ cứng.

    [​IMG]

    Chọn OK.

    [​IMG]

    Chọn <1: … > Thiết lập Primary cho Partition.

    [​IMG]

    Chọn OK.

    [​IMG]

    Chọn OK.

    [​IMG]

    Chọn Accept and Create.

    [​IMG]

    Quá trình cài đặt Pfsense lên ổ cứng.

    [​IMG]

    Chọn <Symmetric Multipocessing kernel (More than one processor)>

    [​IMG]

    Cài đặt kernel Pfscense

    [​IMG]

    Quá trình cài đặt hoàn tất nhấn chọn < Reboot> để khởi động lại.
     
  3. magicvn

    magicvn New Member

    Joined:
    Aug 10, 2014
    Messages:
    25
    Likes Received:
    0
    Trophy Points:
    0
    2. Cấu Cấu hình card WAN và LAN cho máy Pfsense

    [​IMG]

    Màn hình Welcome của pfScense sau khi cài đặt thành công

    [​IMG]

    Pfscence hỏi chúng ta có cấu hình VLAN không? Nhấn “N” để bỏ qua
    Chọn card mạng WAN, nhập le0 -> nhấn enter.

    [​IMG]

    Chọn card mạng LAN, nhập le1 -> nhấn enter.

    [​IMG]

    Nhấn “enter” để kết thúc

    [​IMG]

    Nhập “Y” để tiếp tục sử lý.

    [​IMG]

    Quá trình cấu hình card mạng đã kết thúc
     
  4. magicvn

    magicvn New Member

    Joined:
    Aug 10, 2014
    Messages:
    25
    Likes Received:
    0
    Trophy Points:
    0
    3. Thiết lập các thông số cơ bản cho pfScense
    Trong mạng lan, dùng một máy client mở trình duyệt và truy cập vào địa chỉ ip 192.168.1.1 để vào giao diện quản lý qua web của pfScense.

    [​IMG]

    Nhập username và pass mặc định (admin/pfscense) để login

    [​IMG]

    Cấu hình hostname, domain và DNS cho pfScense

    [​IMG]

    Cấu hình đồng bộ thời gian.

    [​IMG]

    Cấu hình card WAN. SelectedType chọn “Static”

    [​IMG]

    Đặt địa “IP Address” và “Gateway”.

    [​IMG]

    Nhấn “Next” để tiếp tục

    [​IMG]

    Cấu hình card “LAN”

    [​IMG]

    Thay đổi mật khẩu quản trị

    [​IMG]

    Kiểm tra lại cấu hình card WAN và LAN đúng mô hình chưa nhé.
     
  5. magicvn

    magicvn New Member

    Joined:
    Aug 10, 2014
    Messages:
    25
    Likes Received:
    0
    Trophy Points:
    0
    4. Cấu hình thêm interface vùng DMZ

    [​IMG]

    [​IMG]

    Vào “Interfaces” > “Assign”.

    [​IMG]

    Tại Tab “Ineterface assignments”. Chọn “+” để Add thêm card cho DMZ.

    [​IMG]

    Click “OTP1”

    [​IMG]
    [​IMG]

    Cấu hình như hình trên.

    [​IMG]

    Ipv4 address. Nhập “192.168.3.1” netmask chọn “24”. Chọn “save” để lưu lại cấu hình

    [​IMG]

    Chọn “Apply changes”.

    [​IMG]

    Kết quả sau khi cấu hình.
     
  6. magicvn

    magicvn New Member

    Joined:
    Aug 10, 2014
    Messages:
    25
    Likes Received:
    0
    Trophy Points:
    0
    5. Cấu hình public webserver

    Để public webserver ta dùng chức năng “Port Forward” trong “NAT” của pfScense

    [​IMG]

    Chọn “Firewall” > “NAT”

    [​IMG]

    Chọn “+” để thêm một rule

    [​IMG]

    Cấu hình như hình trên.

    [​IMG]

    Cấu hình như hình trên.

    [​IMG]

    Chọn “save” để lưu lại cấu hình.

    [​IMG]

    Chọn “Apply changes” để thay đổi có hiệu lực.
     
  7. magicvn

    magicvn New Member

    Joined:
    Aug 10, 2014
    Messages:
    25
    Likes Received:
    0
    Trophy Points:
    0
    6. Cấu hình Rule firewall

    Trong mô hình bài lab này chúng ta sẽ cấu hình rule với vùng DMZ như sau
    • Cấm kết nối trực tiệp vào mạng lan
    • Cấm truy cập đến firewall
    • Chỉ cho phép cập ra ngoài internet.

    6.1. Mô hình bài lab

    [​IMG]

    6.2. Cấu hình

    Vào “Firewall” > “Rule” > chuyển sang Tab DMZ.

    [​IMG]

    Mặc định firewall sẽ chặn tất cả. và thứ tự của rule được áp dụng là từ trên xuống.

    6.3. Tạo rule cho phép DMZ truy cập đến internet.

    Chọn “+” để thêm mới một rule

    [​IMG]

    Ation chọn “pass”, interface chọn “DMZ”, protocol chọn “any”

    [​IMG]

    Điền các thông số như hình trên > chọn “save” để lưu lại cấu hình.

    6.4. Tạo rule cấm truy cập mạng LAN

    [​IMG]

    Chọn “+” để thêm mới một rule

    [​IMG]

    Ation chọn “Block”, interface chọn “DMZ”, protocol chọn “any”

    [​IMG]

    Điền các thông số như hình trên > chọn “save” để lưu lại cấu hình.

    6.5. Tạo rule cấm truy cập firewall

    [​IMG]

    Chọn “+” để thêm mới một rule

    [​IMG]

    Ation chọn “Block”, interface chọn “DMZ”, protocol chọn “any”

    [​IMG]

    Điền các thông số như hình trên > chọn “save” để lưu lại cấu hình.

    6.6. Apply các rule đã cấu hình

    [​IMG]

    Nhấn “Apply change” để các rule đã cấu hình bắt đầu có hiệu lực
     
Thread Status:
Not open for further replies.

Share This Page