TÊN đề TÀI TÌM HIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.09 MB, 116 trang )
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC GIA ĐỊNH
KHOA CƠNG NGHỆ THƠNG TIN
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
TÊN ĐỀ TÀI
TÌM HIỂU VÀ TRIỂN KHAI OPNSENSE FIREWALL
Giảng viên hướng dẫn: ThS. NGUYỄN NGỌC ĐẠI
Sinh viên thực hiện: KHƯU MINH HIẾU
MSSV: 1731102006 Lớp:11DHTTMT Khóa: 11
Thành phố Hồ Chí Minh, tháng 11 năm 2020
LỜI CẢM ƠN
Trong thời gian thực tập tại Công ty TNHH giải pháp cơng nghệ
Phương Đơng em đã có cợ hội áp dụng những kiến thức đã học, đồng thời em
đã học hỏi nhiều kinh nghiệm trong thời gian thực tập tại cơng ty. Và em đã
hồn thành bài báo cáo thực tập của mình bằng sự nỗ lực của bản thân.
Sau gần 2 tháng tìm hiểu và thực hiện, đề tài "TÌM HIỂU VÀ TRIỂN
KHAI OPNSENSE FIREWALL" đã hồn thành, em đã nhận được nhiều sự
động viên, khích lệ từ thầy cô và bạn bè và anh, chị ở phòng IT.
Em xin gửi lời cảm ơn trân trọng nhất của mình tới thầy giáo hướng
dẫn báo cáo thực tập tốt nghiệp, Ths. Nguyễn Ngọc Đại, bộ môn Truyền
thông và mạng máy tính, khoa Cơng nghệ thơng tin, trường đại học Gia Định,
người đã tận tình hướng dẫn và chỉ bảo em, cung cấp cho em những kiến
thức và tài liệu quý giá, giúp em định hướng trong quá trình nghiên cứu thực
hiện báo cáo thực tập tốt nghiệp. Nhờ sự giúp đỡ tận tâm của thầy, em mới có
thể hoàn thành được đồ án này.
Em xin cảm ơn Ban Giám Đốc Công ty TNHH giải pháp công nghệ
Phương Đông đã tạo mọi điều kiện thuận lợi cho em trong thời gian thực tập.
Cuối cùng em xin cảm ơn anh chị phịng IT của cơng ty đã giúp đỡ em rất
nhiều, cung cấp những số liệu để em hoàn thành tốt chuyên đề thực tập tốt
nghiệp này.
TP. Hồ Chí Minh, ngày 13 tháng 11 năm 2020
Sinh viên thực hiện
Khưu Minh Hiếu
ĐÁNH GIÁ CỦA ĐƠN VỊ THỰC TẬP
1. Thái độ tác phong trong thời gian thực tập:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
2. Kiến thức chuyên môn:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
3. Nhận thức thực tế:
..................................................................................................................
.................................................................................................................... .
...................................................................................................................
4. Đánh giá khác:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
5. Đánh giá chung kết quả thực tập:
...................................................................................................................
...................................................................................................................
...................................................................................................................
………………, ngày ……… tháng ……… năm …………
TM. Đơn vị thực tập
(Ký tên, đóng dấu)
ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN
1. Thái độ tác phong trong thời gian thực tập:
..................................................................................................................
.................................................................................................................... .
...................................................................................................................
2. Kiến thức chuyên môn:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
3. Nhận thức thực tế:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
4. Đánh giá khác:
...................................................................................................................
.................................................................................................................... .
...................................................................................................................
5. Đánh giá chung kết quả thực tập:
...................................................................................................................
...................................................................................................................
...................................................................................................................
………………, ngày ……… tháng ……… năm …………
Giảng viên hướng dẫn
(Ký tên, ghi rõ họ tên)
MỤC LỤC
MỤC LỤC
MỞ ĐẦU..........................................................................................................1
GIỚI THIỆU VỀ CÔNG TY TNHH GIẢI PHÁP CÔNG NGHỆ
PHƯƠNG ĐÔNG...........................................................................................4
CHƯƠNG 1. CÔNG NGHỆ FIREWALL VÀ CÁC GIẢI PHÁP.............5
1.1. Định nghĩa firewall, chức năng, cấu trúc và phân loại:.........................5
1.1.1. Định nghĩa firewall:........................................................................5
1.1.2. Chức năng của firewall:..................................................................5
1.1.3. Cấu trúc firewall:............................................................................5
1.1.4. Phân loại firewall:...........................................................................6
1.2. Các giải pháp firewall:...........................................................................6
1.2.1. Phần mềm mã nguồn mở OPNSense Firewall:...............................7
1.2.2. Phần mềm nguồn mở IPCop firewall:.............................................9
1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@Office:....10
1.2.4. Phần mềm FortiGate Antivirus Firewall:.....................................11
1.3. Đánh giá, tổng kết và phân tích, lựa chọn cơng nghệ:.........................12
CHƯƠNG 2. GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE...........................14
2.1. Giới thiệu lịch sử xuất xứ của OPNSense:...........................................14
2.2. Một số tính năng của Pfsense:..............................................................16
2.2.1. OPNSense Aliases:........................................................................16
2.2.2. NAT:...............................................................................................16
2.2.3. Firewall Rules:..............................................................................17
2.2.4. Firewall Schedules:.......................................................................17
2.3. Một số dịch vụ của OPNSense:............................................................17
2.3.1. DHCP Server:................................................................................17
2.3.2. Cài đặt Package:...........................................................................17
2.3.3. Backup và Recovery:.....................................................................18
2.3.4. Load Balancer:..............................................................................18
2.3.5. VPN trên OPNSense:.....................................................................18
2.3.6. Remote Desktop:............................................................................18
2.4. Cài đặt OPNSense:...............................................................................19
CHƯƠNG 3. TRIỂN KHAI OPNSENSE..................................................39
3.1. Mơ hình triển khai:...............................................................................39
3.2. Tính năng của OPNSense Firewall:.....................................................39
3.2.1. OPNSense Aliases:........................................................................39
3.2.2. Firewall Rules................................................................................40
3.2.3. NAT:...............................................................................................44
3.2.4. IDS/IPS:.........................................................................................47
3.2.5. Firewall Schedules:.......................................................................51
3.3. Dịch vụ của OPNSense:.......................................................................53
3.3.1. DHCP Server:................................................................................53
3.3.2. Cài đặt Package:...........................................................................55
3.3.3. Backup và Recovery:.....................................................................56
3.3.4. Traffic Shaping:.............................................................................57
3.3.5. VPN:..............................................................................................61
3.3.6. Captive Portal:..............................................................................76
3.3.6.1. Chuẩn bị:....................................................................................76
3.3.6.2. Thiết lập:.....................................................................................76
3.3.7. Load Balancing:............................................................................87
3.3.8. Failover:........................................................................................94
3.3.9. Web Filtering:................................................................................96
KẾT LUẬN.................................................................................................108
1. Kết quả đạt được:..................................................................................108
2. Những mặt hạn chế:..............................................................................108
3. Hướng phát triển tương lai:...................................................................108
TÀI LIỆU THAM KHẢO............................................................................109
MỞ ĐẦU
Trong những năm gần đây, nền công nghệ thông tin của đất nước ta
đã có những bước tiến vượt bậc. Đi đôi cùng với sự phát triển về công
nghệ, mạng lưới cơ sở hạ tầng cũng đã được nâng cấp, tạo điều kiện cho
các dịch vụ gia tăng, trao đổi thông qua mạng bùng nổ. Nhưng cùng với sự
phát triển của hệ thống mạng, đặc biệt là sự phát triển rộng khắp của hệ
thống mạng toàn cầu (Internet), các vụ tấn công phá hoại trên mạng diễn ra
ngày càng nhiều và ngày càng nghiêm trọng hơn. Chúng xuất phát từ rất
nhiều mục đích, như là để khẳng định khả năng của bản thân, để thoả mãn
một lợi ích cá nhân, hay vì những mâu thuẫn, cạnh tranh…nhưng tựu
chung lại đã gây ra một hậu quả rất nghiêm trọng cả về vật chất và uy tín
của doanh nghiệp, tổ chức.
Đối với các doanh nghiệp, vai trị của Internet là khơng thể phủ
nhận, ứng dụng thương mại điện tử vào công việc kinh doanh giúp cho các
doanh nghiệp không những giảm đi các chi phí thơng thường mà cịn có thể
mở rộng đối tác, quảng bá sản phẩm cũng như liên kết với khách hàng.
Nhưng chấp nhận điều đó cũng có nghĩa là doanh nghiệp đang đứng trước
nguy cơ đối mặt với các rủi ro và nguy hiểm từ Internet. Chính vì lý do đó
vấn đề an ninh mạng đang trở nên nóng bỏng hơn bao giờ hết, các doanh
nghiệp cũng đã dần nhận thức được điều này và có những quan tâm đặc
biệt hơn tới hạ tầng an ninh mạng. Một trong những thành phần căn bản và
hữu ích nhất có thể kể tới trong hạ tầng đó là hệ thống firewall – công nghệ
đang ngày càng được cải tiến và phát triển đa dạng, phong phú. Xuất phát
từ nhu cầu thực tế, khi các doanh nghiệp rất cần một hệ thống firewall để
bảo vệ họ, đồ án ra đời hy vọng có thể tìm kiếm một giải pháp nào đó cho
vấn đề này.
1
Khái niệm này đã có từ rất lâu khi cơng nghệ thơng tin nói chung và
mạng máy tính nói riêng phát triển. Thay đổi qua từng thời kì từ những sản
phẩm và công nghệ đơn giản nhất cho đến những bước phát triển vượt bậc
như hiện nay để cho ra đời những thiết kế với sức mạnh và khả năng đáp
ứng nổi trội. Luôn luôn được quan tâm trong rất nhiều các cơng nghệ trên
thị trường bảo mật, các dịng firewall ngày nay với tính đa dạng đã có thể
phù hợp với nhu cầu của tất cả các doanh nghiệp đặt ra, từ những hệ thống
lớn và hiện đại đến những hệ thống nhỏ, đơn giản.
Chính vì những lẽ trên mà khi doanh nghiệp thực sự chú trọng đến
hạ tầng an ninh mạng của mình thì firewall là một trong thành phần nên
được quan tâm hàng đầu. Phải có những tiêu chí và giới hạn đặt ra cho sản
phẩm tùy thuộc vào điều kiện và mục đích. Yêu cầu về hệ thống firewall vì
thế cũng có sự khác nhau với từng đối tượng doanh nghiệp. Với các doanh
nghiệp nhỏ mà mục đích chính là trao đổi thơng tin, liên lạc thì có lẽ một
sản phẩm firewall đơn giản với giá cả vừa phải đáp ứng được các yêu cầu
tối thiểu như tính năng lọc gói, NAT, khả năng lọc virus, quét mail, ngăn
chặn thư rác hay kết nối VPN…(một security gateway all-in-one ngăn cách
giữa mạng nội bộ và internet) là sự lựa chọn hợp lý. Nhưng đối với các
doanh nghiệp cỡ vừa hoặc khá lớn thì hệ thống firewall khơng đơn giản chỉ
có thế, có thể có nhiều firewall với các chức năng chuyên dụng đứng kết
hợp với nhau tại vùng biên của mạng tạo nên một sức mạnh và khả năng
đáp ứng hiệu năng cao cho truy nhập vào ra, hơn thế (mà đặc biệt với các
doanh nghiệp kinh doanh dịch vụ) có khi firewall chỉ làm nhiệm vụ bảo vệ
cho một phần nhỏ của mạng có vai trị quan trọng hoặc cần mức độ an toàn
cao (như hệ thống server hosting dịch vụ…). Với doanh nghiệp lớn và rất
lớn (tập đồn, ISP…) thì u cầu lại phức tạp hơn rất nhiều. Hệ thống cần
được thiết kế và tính tốn chi tiết, khơng đơn giản là một thiết bị bảo vệ
đơn thuần mà nó cịn phải phối hợp với các thành phần bảo mật khác trên
2
mạng tạo ra một hạ tầng thống nhất và có khả năng tự phản ứng và đáp trả
lại tấn công mạng.
Để hướng tới mục tiêu tạo ra một sản phẩm hữu ích và thiết thực, đồ
án tập trung vào việc phân tích các rủi ro và nhu cầu cần bảo vệ của doanh
nghiệp, tìm hiểu các cơng nghệ hiện tại thích hợp để từ đó xây dựng nên hệ
thống firewall đáp ứng u cầu đặt ra. Chính vì thấy tầm quan trọng của
vấn đề bảo mật nên em chọn đề tài “TÌM HIỂU VÀ TRIỂN KHAI HỆ
THỐNG TƯỜNG LỬA OPNSENSE” làm đồ án thực tập tốt nghiệp của
mình.
3
GIỚI THIỆU VỀ CÔNG TY TNHH GIẢI PHÁP CÔNG
NGHỆ PHƯƠNG ĐƠNG
Cơng Ty TNHH Giải Pháp Cơng Nghệ Phương Đơng là một trong
những công ty cung cấp các sản phẩm công nghệ và các dịch vụ và giải
pháp về công nghệ tại Việt Nam. Công ty được thành lập vào ngày
25/01/2016. Công Ty TNHH Giải Pháp Công Nghệ Phương Đông đã và
đang từng bước xây dựng và phát triển vững mạnh, đạt nhiều thành tựu và
dần khẳng định vị thế là đơn vị công nghệ tiên phong. Công Ty TNHH Giải
Pháp Công Nghệ Phương Đông không chỉ là điểm tựa an tồn cho khách
hàng cá nhân mà cịn sát cánh với các doanh nghiệp trong sự nghiệp phát
triển công nghệ Việt Nam.
Với mục tiêu lấy sự hài lòng của khách hàng làm trọng tâm của hoạt
động kinh doanh, Công Ty TNHH Giải Pháp Cơng Nghệ Phương Đơng
liên tục hồn thiện cơ chế hoạt động, đào tạo đội ngũ cán bộ nhân viên toàn
hệ thống nhằm nâng cao chất lượng dịch vụ, phục vụ ngày càng tốt hơn
nhu cầu đa dạng của khách hàng. Công Ty TNHH Giải Pháp Công Nghệ
Phương Đông ln nỗ lực để khẳng định vị trí là cơng ty cơng nghệ uy tín
cao trên thị trường, cùng với chất lượng dịch vụ tốt, qua đó cung cấp cho
khách hàng các sản phẩm cơng nghệ có chất lượng tốt, an tồn và linh hoạt.
Hiện nay, Cơng Ty TNHH Giải Pháp Công Nghệ Phương Đông đang
cung cấp rất nhiều sản phẩm công nghệ và các dịch vụ giải pháp công nghệ
như: Bn bán máy vi tính, các thiết bị ngoại vi, phần mềm, xử lý dữ liệu,
xuất bản phần mềm, hoạt động viễn thơng có dây, cho th các máy chủ
riêng phục vụ cho nhu cầu công việc ,….
4
CHƯƠNG 1. CÔNG NGHỆ FIREWALL VÀ CÁC
GIẢI PHÁP
1.1. Định nghĩa firewall, chức năng, cấu trúc và phân loại:
1.1.1. Định nghĩa firewall:
Firewall là một phần của hệ thống hay mạng máy tính được thiết kế
để điều khiển truy nhập giữa các mạng bằng cách ngăn chặn các truy cập
không được phép trong khi cho phép các truyền thơng hợp lệ. Nó cũng là
một hay một nhóm các thiết bị được cấu hình để cho phép, ngăn cản, mã
hóa, giải mã hay proxy lưu lượng trao đổi của các máy tính giữa các miền
bảo mật khác nhau dựa trên một bộ các luật (rule) hay tiêu chuẩn nào khác.
1.1.2. Chức năng của firewall:
Chức năng chính của firewall là kiểm sốt lưu lượng giữa hai hay
nhiều mạng có mức độ tin cậy khác nhau để từ đó thiết lập cơ chế điều
khiển luồng thông tin giữa chúng. Cụ thể là:
Cho phép hoặc ngăn cản truy nhập vào ra giữa các mạng.
Theo dõi luồng dữ liệu trao đổi giữa các mạng.
Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
Kiểm sốt nội dung thơng tin lưu chuyển trên mạng.
1.1.3. Cấu trúc firewall:
Khơng hồn tồn giống nhau giữa các sản phẩm được thiết kế bởi
các hãng bảo mật, tuy nhiên có những thành phần cơ bản sau trong cấu trúc
của một firewall nói chung (mà một số trong đó sẽ được tìm hiểu rõ hơn
trong phần 2.2 về các cơng nghệ firewall):
Bộ lọc gói (packet filtering).
Application gateways / Proxy server.
5
Circuit level gateway.
Các chính sách mạng (network policy).
Các cơ chế xác thực nâng cao (advanced authentication
mechanisms).
Thống kê và phát hiện các hoạt động bất thường (logging and
detection of suspicious activity).
1.1.4. Phân loại firewall:
Có rất nhiều tiêu chí có thể được sử dụng phân loại các sản phẩm
firewall, ví dụ như cách chia ra thành firewall cứng (thiết bị được thiết kế
chuyên dụng hoạt động trên hệ điều hành dành riêng cùng một số xử lý trên
các mạch điện tử tích hợp) và firewall mềm (phần mềm firewall được cài
đặt trên máy tính thơng thường)…Nhưng có lẽ việc phân loại firewall
thông qua công nghệ của sản phẩm firewall đó được xem là phổ biến và
chính xác hơn tất cả.
1.2. Các giải pháp firewall:
Khái niệm về firewall đã ra đời từ rất lâu, cùng với sự phát triển đa
dạng của các sản phẩm firewall khác nhau trên thị trường thì cơng nghệ
firewall cũng ngày một đổi mới với những xử lý phức tạp và cao cấp hơn.
Phần sau xin trình bày khái quát về quá trình phát triển của công nghệ
firewall.
Một số giải pháp firewall tiêu biểu dành cho doanh nghiệp
Khơng có đủ tài chính để trang bị các thiết bị bảo mật đắt tiền cũng
như thuê các chuyên gia bảo mật chăm sóc cho mạng doanh nghiệp, điều
đó khơng có nghĩa là thị trường bảo mật của các doanh nghiệp thiếu đi
những tiềm năng trong cơ hội kinh doanh. Bản thân các doanh nghiệp cũng
có những nhận thức ban đầu về các mối lo ngại bảo mật, và họ sẵn sàng bỏ
6
tiền ra để trang bị các thiết bị bảo mật cho mình, tất nhiên giá cả của thiết
bị đó phải ở mức chấp nhận được. Các nhà cung cấp dịch vụ bảo mật đã bắt
tay vào để tạo ra các sản phẩm cung cấp hệ thống an toàn “ tất cả-trongmột” (all-in-one) cho một công ty, tổ chức. Các giải pháp đó có thể là phần
cứng cũng như phần mềm nhưng đặc điểm nổi trội của nó là được tạo nên
hướng tới nhu cầu trong hoạt động kinh doanh của các doanh nghiệp. Được
tối ưu cho mục đích sử dụng , các doanh nghiệp không cần đến một hệ
thống phức tạp với độ an toàn cao, họ chỉ cần một hệ thống có thể bảo vệ
họ vừa đủ trước các mối an ninh bên ngoài, đồng thời họ cũng muốn tích
hợp nhiều tính năng để có thể khai thác từ các sản phẩm bảo mật đó. Bằng
cách điểm qua một số sản phẩm hiện tại, có thể từ đó đưa ra các nhận định
hữu ích từ các chuyên gia bảo mật mạng đối với vấn đề an ninh mạng cho
các doanh nghiệp.
1.2.1. Phần mềm mã nguồn mở OPNSense Firewall:
Là một trong số các sản phẩm firewall nguồn mở được đánh giá cao
hiện nay có thể so sanh ngang với cả Pfsense, nó hồn tồn miễn phí. Được
tách ra từ dự án xây dựng sản phẩm m0n0wall cho các hệ thống nhúng,
OPNSense được tập trung hướng tới việc cài đặt và chạy ổn định trên các
máy tính thơng thường. Bản thân OPNSense là một phần mềm độc lập
riêng biệt với hệ điều hành FreeBSD nhỏ gọn được thiết kế riêng và đóng
gói cùng, điều này cho phép OPNSense cài đặt và chạy trực tiếp lên các
máy tính thơng thường mà khơng cần phải cài đặt trước một hệ điều hành
nền nào khác. Kế thừa các tính năng từ m0n0wall, OPNSense đã phát triển
để trở thành một firewall mạnh mẽ với đầy đủ các tính năng đáp ứng được
nhu cầu từ những mạng gia đình, doanh nghiệp nhỏ cho đến các hệ thống
lớn với hàng ngàn thiết bị kết nối mạng. Để có được thành cơng đó là sự
phát triển vượt trội khi chỉ từ nền tảng lọc gói và định tuyến thuần túy, một
7
danh sách dài các tính năng liên quan và các gói cài đặt hữu ích được bổ
sung tạo nên một hệ thống linh hoạt và vững chắc.
OPNsense có hầu hết các tính năng có trên các tường lửa thương mại
đắt tiền và nhiều tính năng khác theo từng trường hợp. Ta có thể kể đến
một số tính năng như:
Traffic Shaper
Two-factor Authentication throughout the system
Captive portal
Forward Caching Proxy (transparent) with Blacklist support
Virtual Private Network (site to site & road warrior,
IPsec, OpenVPN & legacy PPTP support)
High
Availability
&
Hardware
Failover
(
with
configuration synchronization & synchronized state
tables)
Intrusion Detection and Prevention
Build-in reporting and monitoring tools including RRD
Graphs
Netflow Exporter
Network Flow Monitoring
Support for plugins
DNS Server & DNS Forwarder
DHCP Server and Relay
Dynamic DNS
Encrypted configuration backup to Google Drive
Stateful inspection firewall
Granular control over state table
802.1Q VLAN support
8
1.2.2. Phần mềm nguồn mở IPCop firewall:
Cùng với pfSense firewall, IPCop firewall cũng là sản phẩm được
đánh giá cao và sử dụng phổ biến hiện nay trong thế giới nguồn mở. IPCop
là một phần được tách ra từ Linux, bắt nguồn từ SmoothWall và phát triển
thành một dự án riêng. Bản thân IPCop cũng tương tự như pfSense firewall
là một phần mềm độc lập riêng biệt với hệ điều hành nhỏ gọn trên nền
RedHat’s Enterprise được thiết kế và đóng gói cùng, điều này cho phép
IPCop được cài đặt và vận hành riêng biệt trực tiếp lên các máy tính thơng
thường mà khơng có bất kì một địi hỏi nào khác, hay nói chính xác nó là
một hệ điều hành hồn chỉnh với tính năng firewall. Kế thừa từ
SmoothWall nhưng mã của IPCop đã được thay đổi để chạy trên file
system là ext3, thêm vào độ tin cậy cho sản phẩm, ngồi ra nó cũng được
bổ sung vào các tính năng tối ưu của phiên bản SmoothWall như hỗ trợ
ADSL. Hầu hết các ứng dụng trên phiên bản SmoothWall hiện nay đều có
trên IPCop, hơn thế nó cịn được cung cấp tốt và hỗ trợ nhiều dịch vụ hơn.
Nếu muốn chạy phiên bản SmoothWall ta phải có sản phẩm được phân
phối từ nhà sản xuất và khơng miễn phí, trong khi đó IPCop là phần mềm
có bản quyền và được cung cấp hồn tồn miễn phí từ GPL. Được sử dụng
chính như một firewall, internet gateway cho các doanh nghiệp vừa và nhỏ,
IPCop có các đặc trưng và tính năng chính sau:
Tính năng firewall dựa trên IPTable/IPChains
Mở rộng các cổng giao tiếp hỗ trợ: Analog modem, ISDN
modem, hay ADSL modem, và có thể hỗ trợ các kết nối PPP
hay PPPoE ADSL tới mạng Ethernet.
Hỗ trợ DMZ (sử dụng tối đa 4 giao diện mạng)
Quản trị thông qua giao diện web
Truy nhập từ xa thông qua dịch vụ SSH server cung cấp
DHCP server
9
Caching DNS
TCP/UDP port forwarding
Hệ thống phát hiện xâm nhập Snort
Hỗ trợ IPSec VPN
…
1.2.3. Phần mềm Firewall Check Point Technologies’ Safe@Office:
Check Point Software Technologies’ Safe@Office (giá $299 ) sử
dụng công nghệ INSPECT cung cấp một cho doanh nghiệp một bức tường
lửa chắc chắn, kiểm soát các truy nhập ra vào mạng của công ty. Các công
cụ Safe@Office 500 và Safe@Office 500W Unified Threat Management
được dựa trên các phần mềm Firewall-1 và VPN-1 của Check Point, được
sửa lại cho hợp với các thiết bị nhúng. Các thành phần được thiết kế để cài
đặt tại doanh nghiệp, do nhân viên tại văn phòng hoặc nhà cung cấp hay
bán lại dịch vụ quản lí. Tổng giám đốc Liran Eshel của SofaWare cho biết,
các sản phẩm Safe@Office đã thỏa mãn được những yêu cầu dễ sử dụng và
có thể thuê người ngồi quản lí là các yếu tố quan trọng cho các doanh
nghiệp. Các công cụ trong Safe@Office được thiết kế để giải quyết nhưng
chức năng bảo mật sau:
Tổ chức thơng báo rộng rãi các chính sách đến tồn thể nhân
viên công ty. Đồng thời tổ chức các buổi tập huấn, đào tạo
nhân viên nhằm áp dụng triệt để các quy định về khai thác tài
nguyên công ty.
Quét virus khi trao đổi e-mail, tải file về, duyệt nội dung web
hay trên bất cứ dịch vụ có cổng do người dùng định nghĩa nào
(user-defined port) với thông tin đặc tả cập nhật từ Check
Point.
10
Ngăn ngừa xâm nhập với khả năng không cho phép một ứng
dụng nào đó như các hệ thống chia sẻ file ngang hàng (peerto-peer file-sharing systems) đặc trưng.
Kiểm sốt lưu lượng giao thơng mạng (traffic monitoring) và
cơng cụ xử lí sự cố (troubleshooting tools) có thể dùng để gán
nhiều băng thông hơn cho các ứng dụng quan trọng.
Các tính năng mạng riêng ảo VPN (virtual private network) để
đảm bảo an toàn cho kết nối với các văn phòng chi nhánh.
Khả năng tạo ra các điểm truy cập không dây với WPA2 (WiFi Protected Access) và IPSec (Internet Protocol Security).
Giá khởi điểm của Safe@Office 500 là 299 USD cho thiết bị/ 5 người
dùng. Thiết bị 500W giá 449 USD/ 5 người dùng. Cả hai sản phẩm đều có
thể cấp phép cho 25 hoặc vơ hạn người dùng. Những người đăng kí cập
nhật tường lửa và chống virus sẽ phải trả ít nhất 10 USD/tháng.
1.2.4. Phần mềm FortiGate Antivirus Firewall:
Phần mềm FortiGate Antivirus Firewall (có giá khoảng $340 ) bao
gồm chức năng chống virus dựa trên công nghệ mạng, công cụ lọc nội
dung internet và email, tường lửa, mạng riêng ảo và hệ thống phát hiện,
ngăn chặn xâm nhập. Phần mềm này có thể cài đặt một cách dễ dàng và tự
động cập nhật từ FortiProtect. Phần mềm này có thể được cấu hình theo
nhiều cách khác nhau, thậm chí có thể cấu hình cho doanh nghiệp với 10
người dùng. Một số tính năng có thể kể đến:
Ngăn chặn virus
Lọc nội dung lưu lượng web
Lọc spam
Chức năng tường lửa
11
Chế độ NAT hoặc định tuyến
Chế độ trong suốt
VLANvà các domain ảo
Hệ thống ngăn chặn xâm nhập
Mạng riêng ảo (VPN)
Tính năng dự phịng
Quản lý qua giao diện web
Hỗ trợ giao diện dòng lệnh
Thống kê và báo cáo
1.3. Đánh giá, tổng kết và phân tích, lựa chọn cơng nghệ:
Việc đầu tiên và quan trọng trong bài toán xây dựng hệ thống
firewall là việc lựa chọn công nghệ nào sẽ được áp dụng. Rõ ràng với một
firewall được tích hợp trong một phần cứng chuyên dụng sẽ là một thiết bị
hoàn hảo. Nhưng thực tế, các sản phẩm phần cứng đó khơng dễ dàng có thể
có được ở Việt Nam, đi kèm với nó là việc giá thành sản phẩm bị tăng lên
do chi phí phần cứng.
Sau khi tiến hành khảo sát và tìm hiểu, giải pháp đưa ra là thiết lập
một firewall bằng phần mềm, khi triển khai, bản thân doanh nghiệp sẽ tận
dụng phần cứng có sẵn trong cơng ty mình để làm nền triển khai phần mềm
bên trên. Phần mềm cần được thiết kế để sao có thể chạy trên các phần
cứng khơng địi hỏi giá thành cao cũng như dễ dàng thay thế và sửa chữa
được. Và lựa chọn được đưa ra khi sử dụng các phần mềm mã nguồn mở
để xây dựng hệ thống.
Ưu điểm của phần mềm mã nguồn mở là rất rõ ràng, trước hết là chi
phí khi khơng phải bỏ tiền ra mua bản quyền phần mềm, thêm vào đó, mã
nguồn mở cho phép chỉnh sửa bên trong hệ thống để từ đó thay đổi cho phù
hợp với nhu cầu sử dụng. Các phần mềm mã nguồn mở cũng nối tiếng
12
trong sự tùy biến của mình, có thể hoạt động trên những phần cứng khơng
u cầu cấu hình cao (một máy tính Pentium IV 3.0GHZ, RAM 1GB là có
thể đủ với vai trị một firewall hồn thiện cho một doanh nghiệp dưới 100
người dùng).
Trong q trình tìm hiểu, có rất nhiều phần mềm mã nguồn mở được
thiết kế để đóng vai trị một gateway như vậy. Mỗi phần mềm có những ưu
nhược điểm khác nhau. Trong số đó, OPNSense ( />được lựa chọn vì nó phù hợp với chức năng của một firewall hồn thiện. Sở
dĩ như vậy là bởi vì OPNSense có được những ưu điểm trong việc dễ dàng
cài đặt và vận hành (một trong những trở ngại so với sản phẩm thương mại
của phần mềm nguồn mở), cùng với đó là nền tảng hệ thống ổn định và các
chức năng phong phú được cung cấp mà đồ án xin được trình bày rõ ngay
sau đây
13
CHƯƠNG 2. GIỚI THIỆU VÀ CÀI ĐẶT OPNSENSE
2.1. Giới thiệu lịch sử xuất xứ của OPNSense:
Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải
pháp như sử dụng Cisco ASA, dùng tường lửa của Microsoft như ISA….
Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối
với người dùng khơng muốn tốn tiền nhưng lại muốn có một tường lửa bảo
vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ
thống mạng bên ngồi (Internet) thì OPNSENSE là một giải pháp tiết kiệm
và hiệu quả tương đối tốt nhất đối với người dùng.
Dự án OPNsense bắt đầu vào tháng 1 năm 2015 như là một nhánh
của bức tường lửa pfSense đã được thiết lập. Nhóm nghiên cứu đã tuyên bố
rằng các lý do cho sự chuyển hướng của dự án bắt nguồn từ loại pfSense
được sử dụng vào thời điểm đó, và một phần từ niềm tin của họ rằng họ có
thể tạo một bức tường lửa an tồn hơn.
Khi Netgate mua lại pfSense và có ý muốn chỉ cung cấp bản thương
mại, thu hẹp bản miễn phí đã gây ra nhiều tranh cãi, nhiều thành viên trong
nhóm phát triển đã khơng đồng ý với định hướng của Netgate. Từ đó họ
quyết định dựng nên một open source firewall khác là OPNsense (vào năm
2014).
Khi dự án m0n0wall chính thức ngừng hoạt động và đóng cửa vào
tháng 2 năm 2015, nhà phát triển m0n0wall (Manuel Kasper) đã giới thiệu
đội ngũ developers của mình cho OPNsense. Như vậy, OPNsense chính
thức được xem như là người thừa kế chính thức của m0n0wall.
14
OPNsense chứa một giao diện rất phong phú được viết bằng Phalcon
PHP, đó là một niềm vui thực sự. Ngồi việc OPNsense hấp dẫn hơn giao
diện người dùng của pfSense, nó được phần nào tạo ra bởi niềm tin của
nhóm rằng giao diện đồ họa khơng nên có quyền truy cập root, vì điều này
có thể gây ra các vấn đề bảo mật.
OPNsense cung cấp các cập nhật bảo mật hàng tuần để nhanh chóng
đáp ứng các mối đe dọa. Nó bao gồm nhiều tính năng nâng cao mà bạn
thường chỉ tìm thấy trong các tường lửa thương mại như Forward Caching
Proxy và Intrusion Detection. Nó cũng hỗ trợ việc sử dụng OpenVPN.
Tường lửa sử dụng hệ thống ngăn chặn xâm nhập nội tuyến. Đây là
một hình thức kiểm tra gói sâu mạnh mẽ, trong đó OPNsense khơng chỉ
chặn địa chỉ IP hoặc cổng mà còn kiểm tra và dừng các gói dữ liệu cá nhân
15
hoặc các kết nối trước khi chúng đến được người gửi. OPNsense cũng cung
cấp LibreSSL trên OpenSSL.
Giao diện người dùng có thanh tìm kiếm đơn giản và mơ-đun sức
khỏe hệ thống mới. Mô-đun này tương tác và cung cấp phản hồi trực quan
khi phân tích mạng của bạn. Bây giờ, bạn có thể xuất dữ liệu của mình ở
định dạng CSV để phân tích thêm.
Hình 2.1. Mơ hình triển khai.
2.2. Một số tính năng của Pfsense:
2.2.1. OPNSense Aliases:
Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử
dụng chúng một cách chính xác.
Một Aliases ngắn cho phép bạn sử dụng cho một host ,cổng hoặc mạng có
thể được sử dụng khi tạo các rules trong OPNSense .Sử dụng Aliases sẽ
giúp bạn cho phép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa
là bạn khơng cần tạo ra nhiều rules cho nhóm các máy hoặc cổng.
2.2.2. NAT:
OPNSense cung cấp network address translation (NAT) và tính
năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với
16
Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation
(GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần
sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1)
cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound
là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần.
2.2.3. Firewall Rules:
Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào
Firewall → Rules.
Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các
rules để quản lí mạng bên trong firewall.
2.2.4. Firewall Schedules:
Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào
các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể
hoặc các ngày trong tuần.
2.3. Một số dịch vụ của OPNSense:
2.3.1. DHCP Server:
DHCP Server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động
gán các địa chỉ IP cho khách hàng khi họ vào mạng.
2.3.2. Cài đặt Package:
Người dùng có nhu cầu thêm các chức năng mở rộng của chương
trình cài đặt OPNSense, bạn có thể thêm các gói từ một lựa chọn các phần
mềm.
17
Gói có thể được cài đặt bằng cách sử dụng Package Manager, nằm
tại menu System. Package Manager sẽ hiển thị tất cả các gói có sẵn bao
gồm một mơ tả ngắn gọn về chức năng của nó.
2.3.3. Backup và Recovery:
Dịch vụ này giúp người dùng có thể sao lưu hay khơi phục cấu hình
pfsense lại.
2.3.4. Load Balancer:
Chức năng cân băng tải của OPNSense có những đặc điểm:
Ưu điểm:
- Miễn phí.
- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.
- Dễ cài đặt, cấu hình.
Hạn chế:
- Phải trang bị thêm modem nếu khơng có sẵn.
- Khơng được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.
- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.
2.3.5. VPN trên OPNSense:
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường
là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường
dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa
mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
18
2.3.6. Remote Desktop:
Remote Desktop giúp bạn có thể điều khiển từ xa một máy tính trong
mạng của mình.
2.4. Cài đặt OPNSense:
Trên máy tính cài OPNsense chúng ta bỏ đĩa OPNSense LiveCD
Installer.. vào ổ CD/DVD để tiến hành cài đặt.
Màn hình Welcome của OPNSense.
19
