Đề xuất quy trình, giải pháp phòng chống với Firewall Pfsense

Pfsense không chỉ là một giải pháp firewall mạnh mẽ, mà còn cung cấp nhiều tính năng bảo mật tiên tiến, giúp bảo vệ hệ thống mạng trước các cuộc tấn công.  Trong bài viết này, chúng ta sẽ cùng tìm hiểu về đề xuất quy trình, giải pháp phòng chống với Firewall Pfsense.

Xem thêm:

Phân loại Firewall – Các loại tường lửa

Các thành phần cơ bản của Firewall

1. Cập nhật các rule

Địa chỉ IP của Firewall Pfsense được triển khai:

Địa chỉ LAN và WAN trên Pfsense

Để có thể vào được trang cấu hình của firewall pfsense, người dùng cần truy cập thông qua cổng LAN. Các rule trong firewall pfsense được đặt trong mục firewall  -> rules trên thanh tiêu đề của firewall pfsense.

Tab rule trên Pfsense

Mặc định trong pfsense sẽ có 2 rule chính là LAN và WAN. Rule trong LAN giúp quản lý những quy tắc gói tin trong mạng nội bộ. Nó cho phép người quản trị thiết lập các quy tắc để kiểm soát truy cập và chặn hoặc cho phép các kết nối giữa các máy trong mạng LAN, như quản lý truy cập vào các trang web cụ thể. Trong đó, rule WAN được sử dụng để quản lý giao tiếp ra ngoài hệ thống. Nó bảo vệ mạng khỏi các mối đe dọa từ bên ngoài và quản lý các kết nối đến các dịch vụ và ứng dụng chạy trên các máy chủ trong mạng.

Rule cho phép các máy giao tiếp với nhau trong LAN

Để có thể phát hiện cuộc tấn công DoS, ta vào Services -> Snort. Lựa chọn quy tắc LAN rules, trong phần costom.rules, viết nội dung sau:

“alert tcp any any -> 192.168.30.134 80 (msg:”Phát hiện có dấu hiệu tấn công DoS”; sid:100001; threshold: type threshold, track by_src, count 100, seconds 60;)

alert udp any any -> 192.168.30.134 80 (msg:”Phát hiện có dấu hiệu tấn công DoS”; sid:100002; threshold: type threshold, track by_src, count 100, seconds 60;)”

Rule phát hiện tấn công DoS

2. Quản lý truy cập và chặn IP độc hại

Chẳng hạn trong một công ty, việc quản lý truy cập vào các trang web cũng được để ý. Khi nhân viên cố gắng truy cập vào trang web không cần thiết như trang báo trong giờ làm việc, tường lửa sẽ nhận diện URL của trang web và so sánh với các quy tắc bảo mật đã thiết lập. Nếu URL bị cấm, tường lửa sẽ ngăn chặn kết nối này, thông báo cho người dùng rằng truy cập bị từ chối.

Chẳng hạn, việc quản lý truy cập áp dụng với trang web vnexpress.net, là một trang báo, dựa trên các nguyên tắc đã được thiết lập như sau:

  • Action: Block (giúp chặn truy cập).
  • Interface: LAN.
  • Source: Address or alias. Ở đây là sale, do đã gom nhóm địa chỉ vào phòng sale.
  • Destination: Address or alias. Ở đây là trangbao, với địa chỉ là express.net
  • Log: Lựa chọn thêm log giúp thông báo sẽ được lưu vào log trên firewall.

Quản lý truy cập chặn trang báo

Kết quả: Khi truy cập vào trang vnexpress.net đã bị chặn do các thiết lập trước đó, mặc dù tình trạng máy vẫn đang có mạng.

Trang web đã bị chặn

3. Giám sát và phân tích log

Dựa trên quy tắc đã được thiết lập trong chặn trang web vnexpress.net, chức năng ghi log đã được đánh dấu. Điều này giúp biết được khi có người đang cố gắng truy cập vào trang tin tức này, sẽ có cảnh báo được đẩy về, và được nằm trong tab Status -> System Logs -> Firewall.

Log khi truy cập vào trang bị chặn

Dựa vào bảng thông số trên, người quản trị hoàn toàn có thể biết được ngày giờ cũng như địa chỉ ip nào đang truy cập đến trang web mà firewall đang chặn. Đảm bảo rằng việc ghi log trên firewall đang hiệu quả.

4. Thiết lập NAT

Thông thường, khi truy cập vào web server, người dùng sẽ truy cập trực tiếp qua địa chỉ ip của web server, ở đây là 192.168.30.134 trên cổng LAN. Nhưng nếu muốn người dùng bên ngoài có thể truy cập đến web server với mục đích nào đó, ta có thể sử dụng NAT giúp chuyển tiếp địa chỉ mà không sợ để lộ địa chỉ IP trong mạng nội bộ. Đây cũng là một cách bảo mật mạng LAN cần thiết, giúp giảm thiểu các nguy cơ từ bên ngoài do rò rỉ IP.

Trên giao diện chính của Pfsense, chọn tab Firewall -> NAT -> Pord Forward, thêm một chính sách mới. Thiết lập các thông số như sau:

  • Interface: WAN.
  • Address Family: IPv4.
  • Protocol: TCP.
  • Destination: WAN address.
  • Rediect target IP: 192.168.30.134 (Địa chỉ của web server).
  • Description: Mở port CentOS

NAT port máy chủ web

Kiểm tra trên máy vật lý đang trong dải của WAN, truy cập tới địa chỉ cổng WAN trên Firewall Pfsense, sẽ thấy web server.

5. Tạo nhóm người dùng

Việc sử dụng aliases cho phép quản lý và điều chỉnh các quy tắc firewall dễ dàng hơn bằng cách nhóm các địa chỉ IP, mạng, hoặc URL cụ thể thành một nhóm duy nhất. Điều này không chỉ tăng cường bảo mật mà còn giúp đơn giản hóa việc quản trị hệ thống.

Chẳng hạn, với việc chặn một số trang web, nếu thông thường người dùng sẽ tiến hành chặn từng trang web một. Nhưng khi gom thành một nhóm, thay vì phải viết nhiều rule, người dùng chỉ cần một rule duy nhất mà vẫn đảm bảo việc chặn. Điều này không chỉ giúp cấu hình các nguyên tắc đơn giản hơn, mà còn thể hiện tính chuyên nghiệp.

Trên tab của Pfsense, chọn Firewall -> Aliases, nhấn Add để thêm một nhóm người dùng mới. Thiết lập một số thông tin như sau:

  • Name: Đặt tên cho nhóm người dùng ( Ở đây đang đặt là trangbao).
  • Description: Tên mô tả của nhóm người dùng.
  • IP or FQDN: thêm một số trang theo url hoặc địa chỉ IP để gom nhóm.

Tạo nhóm người dùng

6. Quản lý băng thông

Quản lý băng thông là một phương pháp giúp đảm bảo rằng các ứng dụng và dịch vụ quan trọng luôn có đủ băng thông để hoạt động hiệu quả, đồng thời ngăn chặn việc sử dụng băng thông quá mức từ các ứng dụng không quan trọng.

Đối với những máy không cần quá nhiều tài nguyên, việc giảm bớt vừa giúp tiết kiệm, tránh lãng phí băng thông vừa là một phương án giúp hệ thống luôn hoạt động một cách liên tục, hiệu quả.

Trên tab của Pfsense, chọn Firewall -> Traffic Shaper -> Limiters, tích chọn New Limiter để tạo mới một file giới hạn băng thông. Cấu hình một số thông tin như sau:

  • Name: Đặt tên cho file giới hạn, ở đây đặt là Download8M
  • Bandwidth: 8
  • Bw type: Mbit/s
  • Description: Giới hạn download 8M

Giới hạn băng thông khi download

Tiếp tục cấu hình một file khi upload:

Giới hạn băng thông khi upload

Truy cập vào trang web đo tốc độ mạng, thực hiện đo tốc độ trước khi áp dụng chính sách giới hạn băng thông.

Tốc độ mạng trước khi giới hạn băng thông

Sau khi đã tạo được file giới hạn băng thông, vào Firewall -> Rule -> LAN, lựa chọn rule muốn áp dụng chính sách giới hạn băng thông.

Tốc độ mạng sau khi giới hạn băng thông

7. Kiểm tra hoạt động sau khi triển khai

Dựa vào rule đã được cấu hình trong snort, với nguyên tắc hiện cảnh báo khi có dấu hiệu tấn công DoS, snort sẽ hiện cảnh báo cho người quản trị tại Service -> Snort -> Alerts.

Phát hiện dấu hiệu tấn công DoS

Tại đây, người quản trị có thể biết được địa chỉ nào đang gửi hàng loạt gói tin đến máy chủ web, từ đó có thể chặn địa chỉ đó.

Với rule phát hiện các truy cập ra ngoài internet, khi một thiết bị truy cập ra trang web bất kì, snort sẽ hiện cảnh báo đồng thời chặn địa chỉ đó.

Phát hiện truy cập vào trang web bên ngoài

Các địa chỉ IP này sẽ bị chặn trong 1 giờ. Tuỳ vào nhu cầu của người quản trị, có thể tăng thời gian chặn, tối đa 28 ngày.

Tự động chặn địa chỉ IP đó

8. Đánh giá giải pháp

Thông qua việc thực hiện mô phỏng các cuộc tấn công, chúng ta đều thấy được những tác hại khôn lường mà các cuộc tấn công gây ra. Tuy nhiên việc sử dụng các biện pháp bảo mật, đặc biệt là firewall giúp phần nào ngăn chặn được những rủi ro. Việc triển khai các giải pháp bảo mật với CSF cũng như Firewall Pfsense đã mang lại hiệu quả rõ rệt trong việc bảo vệ mạng LAN khỏi các mối đe dọa. Một số giải pháp được thử nghiệm như cập nhật rule, quản lý truy cập và chặn IP độc hại, giám sát và phân tích log, thiết lập NAT và quản lý băng thông đã giúp nâng cao khả năng kiểm soát và bảo vệ hệ thống mạng không chỉ tác nhân bên ngoài mà còn là những rủi ro bên trong.

Đối với firewall cứng, chúng ta sẽ có một lớp bảo vệ toàn bộ hệ thống mạng LAN, đảm bảo ngăn cách giữa mạng nội bộ và Internet, hạn chế rủi ro của các cuộc tấn công. Ngoài ra, không chỉ có firewall cứng, mà chúng ta hoàn toàn có thể sử dụng firewall mềm như windows firewall để bảo vệ chi tiết từng máy tính trong tổ chức hoặc doanh nghiệp.

Mỗi biện pháp bảo mật sẽ có những ưu điểm riêng, nhưng nhìn chung, chúng đều có chung mục đích giúp đảm bảo an ninh mạng hoạt động suôn sẻ, thuận lợi, góp phần tạo nên sự phát triển cho doanh nghiệp, tổ chức.

  • Đối với những doanh nghiệp hoặc tổ chức lớn, với dữ liệu và hệ thống quan trọng, mà cần một giải pháp mạnh mẽ, nhiều tính năng và khả năng mở rộng tốt, thì có thể sử dụng firewall như Check Point và Cisco.
  • Đối với doanh nghiệp và các tổ chức nhỏ hơn, mà vẫn muốn đảm bảo an ninh mạng, cần một giải pháp cân bằng hơn giữa chi phí và hiệu suất, thì có thể sử dụng firewall như Fortinet và Juniper.
  • Đối với doanh nghiệp và tổ chức nhỏ, có nguồn chi phí thấp, mà vẫn muốn có giải pháp firewall thì có thể lựa chọn Firewall Pfsense. Đặc biệt Pfsense có thể sử dụng miễn phí với những tính năng vừa đủ trong môi trường thử nghiệm thử nghiệm. Ngoài ra, chỉ với khoảng chưa đến 10 triệu, các doanh nghiệp đã có thể sở hữu một firewall cứng mà pfsense cung cấp với các dịch vụ nổi bật như không cần license, VPN miễn phí, có tính bảo mật cao, cân bằng tải, chống malware, virus, Dos, DDos và hỗ trợ nhiều tính năng khác.
  • Ngoài ra, đối với cá nhân thì có thể sử dụng firewall mềm như windows firewall, CSF, zore alarm, comodo firewall, norton firewall.

Firewall Pfsense là một trong những giải pháp firewall mã nguồn mở mạnh mẽ và linh hoạt nhất hiện nay, phù hợp cho nhiều loại hệ thống mạng. Qua bài viết này, bạn đã nắm bắt được quy trình và các giải pháp phòng chống hiệu quả để bảo vệ hệ thống mạng của mình trước những mối đe dọa an ninh mạng. Cảm ơn bạn đã tham khảo an ninh mạng máy tính trên ttnguyen.net.

Bài viết liên quan:

Chức năng, kiến trúc và nguyên tắc hoạt động của Firewall

Lịch sử ra đời và phát triển của Firewall

Cài đặt Iptables trên Ubuntu | Các lệnh cơ bản

Nguyễn Tiến Trường

Mình viết về những điều nhỏ nhặt trong cuộc sống, Viết về câu chuyện những ngày không có em