Tài liệu Khóa luận nghiên cứu firewall pfsense

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN TP.HCM KHOA CÔNG NGHỆ THÔNG TIN KHÓA LUẬN TỐT NGHIỆP NGHIÊN CỨU FIREWALL PFSENSE Giảng viên hướng dẩn : TH.S NGUYỄN THẮNG Sinh viên thực hiện : 1. NGUYỄN NGỌC THUẬN 2. PHẠM HỒNG TIẾN Ngành : Mạng Máy Tính Khóa : 2008 – 2011 Tp. Hồ Chí Minh, Tháng 06 năm 2011 MỞ ĐẦU Ngày nay, máy tính không còn là một phương tiện quý hiếm mà ngày càng trở thành công cụ làm việc và giải trí thông dụng của con người mặt khác internet cũng đã quá quen thuộc với chúng ta. Đứng trước vai trò thông tin hoạt động cạnh tranh gay gắt, các tổ chức doanh nghiệp vừa và nhỏ điều tìm mọi biện pháp xây dựng hoàn thiện hệ thống thông tin của mình nhằm bảo mật thông tin và dữ liệu của doanh nghiệp. Ở Việt Nam cũng có rất nhiều doanh nghiệp đã và đang triển khai cho mình những cơ sở hạ tầng mạng an toàn và bảo mật tối đa nhầm chống lại những sự tấn công bất hợp pháp từ bên ngoài cũng như bên trông nội bộ doanh nghiệp. Nhưng vấn đề tài chính luôn là vấn đề doanh nghiệp đặt lên hàng đầu. Với mục đích đó trong thời gian thực tập nhóm em đã tự tìm hiểu các khái niệm cơ bản về bảo mật trên tường lửa cùng với những kiến thức được học ở trường, nhóm em mong muốn triển khai được một hệ thống bảo mật sử dụng công nghệ Firewall dựa trên phần mềm mã nguồn mở pfSense có nhiều tính năng ứng dụng trong thực tiễn. Với sự hướng dẫn tận tình của thầy Nguyễn Thắng nhóm em đã hoàn thành báo cáo này. Tuy đã cố gắng nhưng chắc rằng không tránh khỏi những thiếu sót. Nhóm em mong nhận được sư thông cảm và góp ý của quí thầy cô. Nhóm em xin chân thành cảm ơn. TP Hồ Chí Minh, ngày 18 thánh 6 năm 2011 Nhóm sinh viên thực hiện: Phạm Hồng Tiến Nguyễn Ngọc Thuận LỜI CẢM ƠN Sau khoảng thời gian nổ lực thực hiện, tìm hiểu và triển khai “Phần mềm mã nguồn mở pfSense” đã phần nào hoàn thành. Ngoài sự nổ lực của bản thân, chúng em đã nhân được sự khích lệ rất nhiều từ phía nhà trường, thầy cô trong khoa. Chính điều này đã mang lại cho chúng em sự động viên rất lớn để chúng em có thể hoàn thành tốt báo cáo của mình. Chúng em xin cảm ơn nhà trường nói chung và khoa CNTT nói riêng đã đem lại cho chúng em nguồn kiến thức vô cùng quý giá để chúng em có thể hoàn thành tốt báo cáo. Em xin chân thành cảm ơn các thầy cô thuộc bộ môn MMT khoa CNTT, đặc biệt là thầy Nguyễn Thắng – giáo viên hướng dẫn chúng em đã tận tình hướng dẫn và truyền đạt cho chúng em nhiều kiến thức về lĩnh vực công nghệ trong quá trình học tập cũng như trong quá trình làm báo cáo. Một lần nữa, em xin chân thành cảm ơn tất cả mọi người… TP Hồ Chí Minh, ngày 18 thánh 6 năm 2011 Nhóm sinh viên thực hiện: Phạm Hồng Tiến Nguyễn Ngọc Thuận NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẨN .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. .............................................................................................................................................. Mục Lục I. Giới thiệu Firewall pfSense................................................... Trang 01 II. Cài đặt và cấu hình................................................................ Trang 02 1. Cài đặt pfSense ..................................................................... Trang 02 2. Cấu hình Card mạng LAN và WAN cho pfSense.................. Trang 06 3. Cấu hình pfSense qua giao diện WebGUI ............................. Trang 08 4. Cài đặt packages ................................................................... Trang 11 5. Backup And Recovery .......................................................... Trang 12 III. Một số dịch vụ của pfSense ................................................... Trang 13 1. DHCP Server ........................................................................ Trang 13 1.1. Giới Thiệu ................................................................... Trang 13 1.2. Các tính năng trong menu DHCP Server...................... Trang 13 1.3. Cấu hình DHCP ........................................................... Trang 14 2. Captive portal ....................................................................... Trang 15 2.1. Giới thiệu..................................................................... Trang 15 2.2. Tính năng chính trong Captive portal........................... Trang 16 2.3. Các tính năng trong menu Captive portal ..................... Trang 16 2.4. Cấu hình Captive portal dùng tính năng local uses....... Trang 19 3. Load Balancer....................................................................... Trang 21 3.1. Giới thiệu..................................................................... Trang 21 3.2. Các tính năng trong menu Load Balancer .................... Trang 22 3.3. Cấu hình Load Balancer............................................... Trang 23 4. VPN ..................................................................................... Trang 26 4.1. Giới thiệu..................................................................... Trang 26 4.2. PPTP VPN Server........................................................ Trang 27 4.2.1. Các tính năng trong menu PPTP VPN Server .... Trang 27 4.2.2. Cấu hình PPTP VPN.......................................... Trang 28 5. PPPoE Server........................................................................ Trang 33 5.1. Giới Thiệu ................................................................... Trang 33 5.2. Các tính năng trong menu của PPPoE Server............... Trang 33 5.3. Cấu hình PPPoE Server ............................................... Trang 34 6. Dynamic DNS....................................................................... Trang 37 6.1. Giới thiệu..................................................................... Trang 37 6.2. Các tính năng trong menu Dynamic DNS .................... Trang 38 IV. Một số ứng dụng trong Firewall pfSense…………………Trang 39 1. Firewall Rules.........................................................................Trang 39 2. NAT……………………………………………………….....Trang 41 3. Traffic Shaper………………………………………………..Trang 41 4. Virtual IP…………………………………………………….Trang 47 5. Firewall Schedules………………………………………..…Trang 49 6. State Table…………………………………………………...Trang 50 V. Thiết kế và cài đặt hệ thống mạng sử dụng pfSense làm Firewall………………………………………………….……Trang 52 1. Sơ đồ hệ thống mạng………………………………………...Trang 52 2. Tóm tắt sơ lược về mô hình……………………………….…Trang 55 3. Triển khai tính năng DHCP Server………………………….Trang 55 4. Triển khai tính năng VPN……………………………………Trang 58 5. Triển khai tính năng Captive Portal chứng thực Radius…….Trang 66 6. Triển khai tính năng Load Balancer…..……………..………Trang 76 7. Triển khai tính năng VPN Ipsec…………………………..…Trang 81 DANH SÁCH HÌNH Hình 1 Màn hình Wellcom to pfSense............................... Trang 02 Hình 2 Màn hình chính của pfSense .................................. Trang 06 Hình 3 Giao diện chính của pfSense trên Web .................. Trang 11 Hình 4 Giao diện Install Package....................................... Trang 11 Hình 5 Giao diện Backup and Recovery............................ Trang 12 Hình 6 Giao diện tính năng dịch vụ DHCP Server ............ Trang 13 Hình 7 Giao diện tính năng dịch vụ Captive Portal............ Trang 16 Hình 8 Tính năng chính trong dịch vụ Load Balancer ....... Trang 22 Hình 9 Các tính năng dịch vụ PPTP VPN Server .............. Trang 27 Hình 10 Các tính năng dịch vụ PPPoE Server ................... Trang 33 Hình 11 Mô hình dịch vụ Dynamic DNS........................... Trang 37 Hình 12 Giao diện Firewall Rules ..................................... Trang 39 Hình 13 Giao diện Firewall NAT ...................................... Trang 41 Hình 14 Giao diện Traffic Shaper...................................... Trang 42 Hình 15 Các tính năng Virtual Ips ..................................... Trang 47 Hình 16 Giao diện Firewall Schedules .............................. Trang 49 Hình 17 Giao diện State Table........................................... Trang 50 Hình 18 Mô hình triển khai Firewall pfSense .................... Trang 52 I. Giới thiệu pfSense Firewall  An toàn thông tin, dữ liệu là vấn đề cấp thiết đặt ra cho các tổ chức, doanh nghiêp vừa và nhỏ, nhưng đồng thời đó cũng là một gánh nặng chi phí trong trường hợp tài chính hạn hẹp. Phải làm thế nào, và liệu các thiết bị “Tường lửa tất cả trong một “ có phải là giải pháp ?  Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA. Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng. PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững, đây là một dự án bảo mật tập trung vào các hệ thống nhúng. pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. PfSense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với firewall/router miễn phí, tuy nhiên cũng có một số hạn chế. PfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung. pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT. PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Trang 1 II. Cài đặt và cấu hinh 1. Cài đặt pfSense  Sử dụng máy ảo VMWare 7.1 để tiến hành cài đặt pfSense Hình 1 Màn hình wellcom to pfSense !!  Hiển thị địa chỉ MAC của 3 card mạng Trang 2  Lần lượt nhập :le0(Enter),le1(Enter),le2(Enter),(Enter)  Nhập Y để tiếp tục  Nhập 99 để cài đặt pfSense vào ổ cứng Trang 3  Chọn Accept these setting để chấp nhận cài đặt  Chọn Quick/Easy Install để cài đặt vào ổ cứng Trang 4  Chọn Uniprocessor kernel(one processor) để tiếp tục  Quá trình cài đặt đã hoàn thành. Chọn Reboot để khởi động lại pfSense Trang 5 2. Cấu hình card mạng LAN và WAN cho pfsense Hình 2 Màng hình chính của pfsense  Chọn 2 để cấu hình địa chỉ ip cho card LAN  Nhập địa chỉ : 172.16.1.1  Nhập Subnet Masks: 24  Nhập N để bỏ qua bước cấu hình DHCP Trang 6  Từ Menu Interface chọn WAN  SelectedType : static  IP Address : 192.168.1.10/24  Gateway : 192.168.1.1  Chọn Save để lưu lại cấu hình Trang 7 3. Cấu hình pfSense qua giao diện WebGUI  Gõ địa chỉ IP Card mạng LAN để đăng nhập vào pfsense  Nhập địa chỉ DNS cho pfSense  Chọn Next để tiếp tục Trang 8  Chọn muối thời gian cho pfSense  Chọn Next để tiếp tục  Cấu hình địa chỉ IP cho card mạng WAN  SelectedType : static  IP Address : 192.168.1.10/24  Gateway : 192.168.1.1  Chọn Next để tiếp tục Trang 9  Cấu hình địa chỉ IP cho card mang LAN  Nhấn Next để tiếp tục  Nhập mật khẩu của Admin  Khởi động lại pfSense  Sau đó đăng nhập bằng mật khẩu mới Trang 10 Hình 3 Giao diện màn hình chính của pfSense trên nền Web 4. Cài đặt Packages Hình 4 Giao diện Install Package  Để mở rộng chương trình tôi có thể thêm gói cài đặt cần thiết  Để cài đặt tôi nhấp vào “Add” Trang 11  Quá trình cài đặt Package đang được thực hiện  Sau khi cài thành công Package sẽ được hiển thị ở Tab “Installed packages” 5. Backup And Recovery  Từ Menu Diagnostics chọn Backup/restore Hinh 5 Giao diện Backup and Recovery  Việc sao lưu và phục hồi tương đối đễ dàng. Chỉ cần chọn khu vực cần sao lưu hay phục hồi. Trang 12 III. Một số dịch vụ của pfSense 1. DHCP Server 1.1 Giới Thiệu DHCP viết tắt của từ Dynamic Host Configuration Protocol - Giao thức cấu hình Host động. Giao thức cung cấp phương pháp thiết lập các thông số cần thiết cho hoạt động của mạng TCP/IP giúp giảm khối lượng công việc cho quản trị hệ thống mạng. DHCP server là một máy chủ có cài đặt dịch vụ DHCP. Nó có chức năng quản lý sự cấp phát địa chỉ IP động và các dữ liệu cấu hình TCP/IP. Pfsense cung cấp dịch vụ DHCP server dùng để tự động cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho các máy client khi nó tham gia vào mạng. 1.2 Các tính năng trong menu DHCP Server Hình 6 Giao diện tính năng dịch vụ DHCP Server Trang 13  Enable DHCP server on LAN interface : Cho phép dịch vụ DHCP server trong pfsense hoạt động.  Deny unknown clients : không cấp phát ip cho các máy client không được xác định.  Range : giới hạng địa chỉ cấp phát cho các máy client.  Default lease time : mặc định thời gian dhcp cấp phát IP cho client ngừng hoạt động (mặc định nếu không nhập vào là 7200 giây).  Maximun lease time : thời gian tối đa máy client được sử dụng IP do dhcp cấp phát (mặc định là 86400 giờ ). 1.3 Cấu hình  Tính năng DHCP Server nằm ở mục Service/DHCP Server. Trang 14  Chọn Enable DHCP server on LAN interface để bật chức năng DHCP server.  Range: giới hạn vùng địa chỉ IP mà DHCP Server cấp cho các máy client.  DNS Server : cấp phát địa chỉ phân giải tên miền DNS.  Gateway: địa chỉ IP thông ra ngoài mạng.  Chọn Save để lưu lại cấu hình. Bên máy Client  Máy Client đã nhận được IP từ pfSense. 2. Captive portal 2.1 Giới thiệu  Captive portal là một tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại lớn. tính năng này giúp chuyển hướng trình duyệt của người dùng vào một trang Web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng (hoặc cấm không cho người khác dùng mạng của mình). Tính năng này tiên tiến hơn các kiểu đăng nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khang như kiểu authentication WPA, WPA2.  Captive Portal cho phép việc chứng thực có hiệu quả, hoặc chuyển hướng click chuột thông qua trang web để truy cập vào mạng. Điều này thường được dùng vào Trang 15 các vị trí mạng nóng, nhưng cũng được sử dụng rộng rãi trong các mạng doanh nghiệp thêm một lớp bảo mật truy cập mạng không dây hoặc Internet. 2.2 Tính năng chính trong Captive portal  Captive portal: tinh chỉnh các chức năng của Captive Portal.  Pass-though MAC: các MAC address được cấu hình trong thư mục này sẽ bỏ qua, không chứng thực.  Allowed IP address: các IP address được cấu hình sẽ không chứng thực.  User : tạo local user để dùng kiểu chứng thực local user.  Hai tính năng Pass-though MAC và Allowwed IP address được dùng để cấu hình server.  File Manager: tải trang quản lý của Captive portal lên pfSense. 2.3 Các tính năng trong menu Captive portal Hình 7 Giao diện tính năng dịch vụ Captive Portal Trang 16  Enable captive portal : đánh dấu chọn nếu muốn sử dụng captive portal.  Maximum concurrent connections: giới hạn các connection trên mỗi ip/user/mac. Giới hạn số lượng kết nối qua các cổng thông tin của mỗi IP client. Tính năng này ngăn chặng từ chối dịch vụ từ các máy tính client gửi lưu lượng mạng truy cập liên tục mà không chứng thực.  Idle timeout: ngắt kết nối sau một thời gian cố định mỗi ip truy cập.  Hard timeout : buộc ngắt kết nối của tất cả các client sau thời gian đã được cài đặt sẵn.  Logout popup windows: lựa chon tới cửa sổ pop up với button đăng nhập xuất hiện 1 popup thông báo cho ip/user/mac\.  Redirect URL: địa chỉ URL mà người dùng sẽ được chuyển hướng tới sau khi đăng nhập.  MAC filtering: đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense quản lý kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay đổi mac address nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối. Trang 17  Authentication: chọn kiểu authentication. Pfsense hỗ trợ 3 kiểu  No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định mà không chứng thực. Điều này có nghĩa người dùng sử chỉ cần nhấp chuột thông qua các trang thông tin của mình mà không cần chấp nhận thông tin.  Local user manager: pfsense hỗ trợ tạo user để authentication. Một cơ sở dữ liệu người dùng cục bộ có thể được cấu hình và dùng để xác thực.  Radius authentication: đây là phương pháp chứng thực ưa thích cho môi trường doanh nghiệp và các ISP. Nó có thể được sử dụng để xác thực từ Microsoft Active Directory và các server khác có RADIUS. authentication bằng radius server (cần chỉ ra địa chỉ ip của radius, port, ...).  Tính năng trong RADIUS : buộc phải chứng thực lại, accounting có thể gửi thông tin câp nhật. RADIUS MAC portal xác thực cho phép captive để xác thực đến máy chủ RADIUS bằng cách sử dụng địa chỉ MAC của client như tên người dùng và mật khẩu, cho phép cấu hình server dự phòng RADIUS. Trang 18  HTTPS login: dùng https.  Https sever name: tên server để cấu hình trong trang portal.  Https certificate/private key: kiểu chứng thực https.  Portal page contents: dùng để up file portal lên pfsense. Trang portal có dạng:

2.4 Cấu hình Captive Portal dùng tính năng local users Trang 19  Đầu tiên chọn interface đế áp captive portal: chọn LAN nếu là mạng nội bộ, hoặc các OPT cho vùng DMZ. Để giới hạn người dùng tải file nên chỉ cho 1 người dùng 10 connections. Do pfsense thường cài trên các máy cũ, chậm nên đặt idle time out khoảng 5 phút để giảm tải cho pfsense. Để Hard timeout là 0 và có thể đánh dấu hoặc không đánh dấu vào mục logout popup window, đánh dấu vào concurrent user login nếu muốn trong 1 thời điểm chỉ có 1 user đăng nhập. Vì chứng thực kiểu local user nên không quan tâm tới các mục trong authentication with radius.Sau đó, tạo trang index.html có nội dung.

Rồi chọn browse trong portal page content để up file này lên. Bấm SAVE để lưu lại. Cuối cùng tạo user trong tab user của captive portal. Trang 20 3. Load Banlancer 3.1 Giới thiệu Network Load Balancing hay còn gọi là cân bằng tải, đây là một dịch vụ tích hợp trong pfSense với nhiều tính năng hữu ích, nó có hai kiểu cân bằng tải, hỗ trợ khi một trong hai đường ADSL bị ngắt thì nó sẽ sử dụng đường còn lại hoặc nó có thể gôm cả hai đường ADSL này thành một để tăng tốc độ tải xuống. Khả năng load balancing của pfSense rất tốt nó vẫn làm việc bình thường khi rút một trong hai đường ADSL nhưng khi cắm lại 2 đường thì tốc độ tải xuống được tăng tốc độ lên rất nhanh. Chức năng cân băng tải của pfsense có những đặc điểm.  Ưu điểm - Miễn phí. - Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm. - Dễ cài đặt, cấu hình.  Hạn chế - Phải trang bị thêm modem nếu không có sẵn. - Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác. - Vẫn chưa có tính năng lọc URL như các thiết bị thương mại. - Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình. Trang 21 3.2 Các tính năng trong menu Load Banlancer  Hai thành phần menu chính trong Load Banlancing. Pool : thành phần chứa cấu hình interface WAN và OPT1 hoặc các server. Vitural Server : thành phần chứa cấu hình các server ảo. Hình 8 Tính năng chính trong dịch vụ Load Banlancer  Hình ảnh dưới đây là chi tiết các thành phần trong menu Pool. Trang 22  Name : tên pool cấu hình trong load banlancing.  Description : mô tả chi tiết pool cấu hình  Type : lựa chọn load bằng gateway hoặc bằng server (khi load bằng server bạn cần nhập vào đia chỉ interface server ).  Behavior : khi chọn Load Banlacing chỉ có tối đa interface WAN và OPT1 nếu trường hợp nhiều WAN thì lựa chọn tính năng Failover.  Port : đây là cổng mà các máy client đang yêu cầu và server đang lắng nghe.  Monitor : hỗ trợ hai giao thức TCP và ICMP khi sử dụng load banlancing bằng server.  Monitor IP : IP gateway interface mặc định ra ngoài đầu tiên sau khi load banlancing.  Interface Name : lựa chọn interface cấu hình. 3.3 Cấu Hình  Vào Interface để cấu hình IP cho WAN và OPT1. Tùy vào cấu hình cụ thể mà sẽ chọn IP hay là DHCP. Trang 23  Sau khi cấu hình IP cho WAN và OPT1 xong sẽ cấu hình load banlancing.  Vào Services/Load Banlancer  Ấn vào nút + để thêm Pool. Trang 24  Save và ấn Apply Change  Tiếp tục sang tiếp tab LAN, ấn vào dấu + để thêm rule  Sau khi Save va Apply Rule là đã hoàn thành cấu hình. Trang 25 4. VPN trên pfSense 4.1 Giới thiệu  VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết nối các địa điểm hoặc người dùng từ xa với một mạng LAN ở trụ sở trung tâm.Thay vì dùng kết nối thật khá phức tạp như các đường dây thuê bao số,VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.  Trước đây, để truy cập từ xa vào hệ thống mạng,người ta thường sừ dụng phương thức Remote Access quay số dựa trên mạng điện thoại.Phương thức này vừa tốn kém vừa không an toàn.  VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.  Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa và địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian.  Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.  Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền.  PfSense hổ trợ VPN trong sử dụng Internet Protocol Security(IPSec), OpenVPN hoặc PPTP. Trang 26 4.2 PPTP VPN Server 4.2.1 Các tính năng trong menu PPTP VPN Server Hình 9 các tính năng dịch vụ PPTP VPN Server     Chọn Enable PPTP server để bật tính năng VPN. Max. Concurrent connections : mặc định số lượng kết nối tối đa là 16. Server address : Địa chỉ server mà client sẽ kết nối vào. Remote address range: Dải địa chỉ IP sẽ cấp cho các client khi kết nối VPN.  RADIUS : Chứng thực qua RADIUS  RADIUS shared secrect : chứng thực khóa bí mật dùng chung. Trang 27 4.2.2 Cấu hình PPTP VPN  Để sử dụng chức năng này bạn vào VPN/PPTP.  Chọn Save và chuyển qua tab User để tạo tài khoản. Trang 28  Tiếp tục vào Firewall tao rules cho phép VPN truy cập vào mạng Trang 29       Action : Pass Interface : PPTP Protocol : any Gateway : default Description : VPN Rules Chọn Save Tại VPNClient Trong Network Connections chọn Create a new connection. Trang 30 Trang 31  Kết nối VPNClient với VPNServer thành công  VPNClient đã nhận được IP từ VPNServer.  Kết nối thành công đến mạng nội bộ. Trang 32 5. PPPoE Server 5.1 Giới thiệu  Ponit-to-Point Protocol (hoặc PPP) là giao thức liên kết dữ liệu thường được dùng để thiết lặp một kết nối trực tiếp giữa hai nút mạng. Nó có thể cung cấp kết nối xác thực, mã hóa việc truyền dữ liệu.  PfSense cung cấp một PPPoE Server. Một cơ sở dữ liệu người dùng cục bộ có thể được dùng để xác thực, và RADIUS chứng thực với tùy chọn accounting cũng được hỗ trợ. 5.2 Các tính năng trong menu của PPPoE Server Hinh 10 các tính năng dịch vụ PPPoE Server Trang 33  Enable PPPoE server : cho phép bật các tinh năng của PPPoE server.  Interface : lựa chọn card interface kết nối giữ hai điểm.  Number of PPPoE server users : số lượng các máy client tham gia vào.  Server Address : địa chỉ server của PPPoE.  Remote Address Range : dải địa chỉ sẽ cấp khi các máy client kết nối vào.  RADIUS : Chứng thực bằng RADIUS cho các máy client truy cập.  RADIUS server : địa chỉ của RADIUS server.  RADIUS shared secrect : khóa dùng để chứng thực với RADIUS server. 5.3 Cấu hình PPPoE Server  Click vào Enable PPPoE server dể bật các tính năng của PPPoE server.  Chọn Save tiếp tục chuyển sang tab User để tạo tài khoản. Trang 34  Có thể gán IP cố định cho mỗi user trong mục IP address.  Chọn save  Tiếp tục vào Firewall tạo rule cho phép các máy client truy cập vào PPPoE server.  Chọn tab PPPoE VPN để tiếp tục cấu hình.  Chọn Add rules với biểu tượng để thêm cấu hình. Trang 35  Chọn Save  Nhấn Apply Changes để hoàn thành cấu hình Trang 36 6. Dynamic DNS 6.1 Giới thiệu Hinh 11 mô hình dịch vụ Dynamic DNS  Dynamic DNS là một hệ thống cho phép tên miền internet được gán một địa chỉ bị thay đổi liên tục giá trị, điều này giúp cho các máy tính trên mạng có thể kết nối đến hệ thống mà không cần phải biết địa chỉ IP hiện tại của chúng.  Để thực hiện dịch vụ Dynamic DNS nhà cung cấp dịch vụ cần phải thiết lập thời gian truy cập địa chỉ IP sớm nhất (thông thường khoảng vài phút), đều này giúp cho các máy tính trên internet truy cập đến hệ thống khi có sự thay đổi địa chỉ IP xảy ra mà thời gian gián đoạn IP rất ít.  Dịch vụ Dynamic DNS được cung cấp trên một phạm vi rộng lớn bởi nhiều tổ chức khác nhau, các nhà cung cấp này sẽ duy trùy địa chỉ IP hiện tại trong cơ sở dữ liệu và cung cấp cơ chế cập nhật lại địa chỉ IP khi có yêu cầu.  Một Dynamic DNS client cho phép bạn đăng ký IP công cộng của bạn với số nhà cung cấp dịch vụ DNS động : DynDNS. DHS, DyNS, easyDNS, No-IP,ODS.org, ZoneEdit.  Chỉ có thể cập nhật một tài khoản với một nhà cung cấp duy nhất.  Nếu tôi có một moden, có được IP công cộng cho pfSense một IP riêng thì các IP riêng sẽ được đăng ký với nhà cung cấp dịch vụ DNS. Trang 37 6.2 Các tính năng trong menu Dynamic DNS          Chọn Enable để kích hoạt tính năng trong Dynamic DNS. Service type : lựa chọn kiểu dịch vụ DNS. Host name : nhập vào đầy đủ tên miền bạn muốn sử dụng. MX (Mail Exchange) : là một bảng ghi có tác dụng trả lời lại cho các máy client biết đâu là Mail server, Web server hoặc FTP server . Wildcards : Cho phép sử dụng wildcards. User name : tài khoản người dùng. Pass : mật khẩu người dùng. Enable : cho phép bật các tính năng cập nhật Dynamic DNS. Hostname : đặt lại tên miền DNS cho server. Trang 38 IV. Một số ứng dụng trong Firewall pfSense 1. Firewall Rules Hinh 12 giao diện Firewall Rules  Nơi lưu các rules (Luật) của Firewall. Lọc theo nguồn và đích IP, giao thức IP, cổng nguồn và đích cho TCP và UDP lưu lượng truy cập, có khả năng giới hạn kết nối đồng thời, cho phép các nhóm bí danh, tên mạng và các cổng. Điều này giúp giữ cho tường lửa của bạn sạch sẽ, đặc biệt là trong các môi trường với nhiều địa chỉ IP công cộng và các Server rất nhiều.  Vô hiệu hóa bộ lọc. Tôi có thể tắt tường lửa lọc hoàn toàn nếu muốn chuyển pfSense vào một route khác.  Mặc định pfSense cho phép mọi traffic ra vào hệ thống. Bạn phải tạo ra các rules để quản lí mạng bên trong Firewall. Trang 39  Để vào rules, từ menu Firewall chọn Rules  Để thêm rules click vào biểu tượng Trang 40 2. NAT Hinh 13 giao diên Firewall NAT  PfSense cung cấp Network Address Translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunnelling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.  Trong Firewall cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các Host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên cũng có thể thay đổi kiểu manual nếu cần. 3. Traffic Shaper  Traffic Shape giúp theo dõi và quản băng thông mạng dễ dàng và hiệu quả hơn, điều khiển lưu lượng mạng máy tính để tối ưu hóa hiệu suất, độ trễ thấp hơn, hoặc tăng băng thông bằng cách trì hoãn, có thể sử dụng các gói dữ liệu đáp ứng theo tiêu chí nhất định.  Traffic Shaping là phương pháp tối ưu hóa kết nối Internet. Nó tăng tối đa tốc độ trong khi đảm bảo tối thiểu thời gian trễ. Khi sử dụng những gói dữ liệu ACK Trang 41 được sắp xếp thứ tư ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải về được tiếp tục với tốc độ tối đa.  Để sử dụng tính năng này vào Firewall/Traffic Shaper Hinh 14 giao diện Traffic Shaper  Chọn Next để tiếp tục Trang 42  Inside : sử dụng mạng LAN.  Download : tốc độ liên kết với mạng LAN la 1024 kbits/second.  Outside : sử dụng mạng WAN.  Upload : tốc độ upload là 512 kbits/second.  Nhấn Next để tiếp tục  Hỗ trợ Voice IP.  Chọn Next để tiếp tục Trang 43  Hỗ trợ nhiều mạng ngang hang.  Chọn Next để tiếp tục. Trang 44  Hỗ trợ cho nhiều game.  Chọn Next để tiếp tục. Trang 45  Quản lý băng thông của một số ứng dụng khác. Trang 46 4. Virtual IPs Hinh 15 các tính năng của Virtual IPs  Một Virtual IPs có thể sử dụng bất kỳ địa chỉ IP của pfSense, đó không phải là một địa chỉ IP chính. Trong các tình huống khác nhau, điều có các tính năng riêng của nó. Virtual IP được sử dụng để cho phép pfSense thực hiện đúng cách chuyển tiếp lưu lượng cho những cổng NAT, NAT Outbound, và NAT 1:1. Tính năng này cũng cho phép các tính năng như failover, và có thể cho phép các dịch vụ trên router để gắn kết với địa chỉ IP khác nhau. Trang 47  CARP : có thể sử dụng bởi các tường lửa của chính nó để chạy các dịch vụ hoặc được chuyển tiếp, tạo ra hai lớp traffic cho các VIP. Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ). Các VIP đã được đưa vào trong cùng một subnet IP của giao diện thực. Trả lời ICMP ping nếu được phép theo quy tắt tường lửa.  Proxy ARP : Không thể sử dụng được vì bị chặng bởi các tường lửa của chính nó, nhưng có thể được chuyển tiếp, tạo ra lớp hai traffic cho các VIP, Các VIP có thể được đưa vào trong một subnet khác với IP của giao diện thực, không trả lời gói tin ICMP ping.  Other : có thể được sử dụng nếu nó cung cấp cho bạn VIP mặc dù bạn không cần gửi thông báo ở tầng hai. Không thể sử dụng bởi tường lửa của nó, nhưng có thể được chuyển tiếp, các VIP có thể được đưa vào trong một subnet khác với interface IP. Không trả lời ICMP ping. Trang 48 5. Firewall Schedules  Các Firewall rules có thể được sắp xếp để nó có thể chỉ hoạt động vào các thời điểm nhất định cụ thể hoặc các ngày trong tuần. Đây là một tính năng giúp cho bạn kiểm soát được thời gian làm việc ngoài ra schedule còn giúp bạn có một lịch làm việc cụ thể và rõ ràng hơn. Để lập một thời gian làm việc tôi chọn Firewall/Schedules Hình 16 giao diện Firewall Schedules Để thêm một schedules mới tôi chọn Trang 49 6. State Table Hình 17 giao diện State Table  State table (Bảng trạng thái tường lửa) : Duy trì thông tin về kết nối mạng  Hầu hết các tường lửa không có khả năng kiểm soát các bảng trạng thái nhưng pfSense thì khác. PfSense cho phép kiểm soát các bảng trang thái nhờ vào khả năng của pfOpenBSD.  State table có kích thước mặc định là 10.000 bảng, nhưng nó có thể tăng lên đến kích thước mong muốn. Mỗi state chiếm khoảng 1 KB bộ nhớ RAM.  Chức năng  Hạn chế các kết nối đồng thời của Client.  Hạn chế các State trên Server.  Xác định thời gian chờ.  Xác định loại state.  State table cung cấp nhiều tùy chọn cho pfSense xử lý.  Giữ cho state làm việc với tất cả các giao thức.  Điều chỉnh state chỉ với giao thức TCP.  Synproxy state kết nối đến TCP giúp bảo vệ các Server chống lại các Server giả mạo TCP SYN. Trang 50  Lựu chọn tối ưu hóa state.  PfSense cung cấp bốn lựa chọn để tối ưu hóa.  Bình thường - thuật toán mật định.  Độ trễ cao - hữu ích cho các liên kết độ trễ cao, chẳng hạn như kết nối vệ tinh.  Aggressive – kết nối nhanh hơn. Hiệu quả sử dụng tài nguyên phần cứng. Trang 51 V. Thiết kế và cài đặt hệ thống mạng sử dụng pfSense làm Firewall 1. Sơ đồ hệ thống mạng Hình 18 mô hình triển khai Firewall pfSense  Mô hình mạng bao gồm 8 máy tính như sau :  Một máy Domain Control (DC), File Server, Mail Server, RADIUS Server  Một máy Web Server nằm trong vùng DMZ  Một máy pfsense làm nhiệm vụ bảo vệ mạng nội bộ bên trong  Một máy pfsense làm nhiệm vụ bảo vệ mạng bên ngoài  Một máy Win 2k3 giả lập Router mạng thứ 1  Một máy Win 2k3 giả lập Router mạng thứ 2  Hai máy XP Client 1 và XP Client 2 làm nhiệm vụ Test Trang 52  Đặt địa chỉ IP tĩnh cho các máy như sau : Máy DC, File Server, Mail Server Máy Web Server Card Mạng LAN Card Mạng LAN IP Address 192.168.6.1 IP Address 20.0.0.1 Subnet mask 255.255.255.0 Subnet mask 255.0.0.0 Default gateway 192.165.6.254 Default gateway 20.0.0.254 Preferred DNS 192.168.6.1 Preferred DNS 20.0.0.1 Máy pfSense trong Card Mạng LAN WAN IP Address 192.168.6.254 20.0.0.254 Subnet mask 255.255.255.0 255.0.0.0 Default gateway 20.0.0.255 Máy pfSense ngoài Card Mạng LAN WAN 1 WAN 2 IP Address 20.0.0.255 10.0.0.1 30.0.0.1 Subnet mask 255.0.0.0 255.0.0.0 255.0.0.0 10.0.0.100 30.0.0.100 Default gateway Trang 53 Máy Win 2k3 giả lập ADSL 1 Card Mạng LAN WAN IP Address 10.0.0.100 192.168.1.111 Subnet mask 255.0.0.0 255.255.255.0 Default gateway 192.168.1.1 Máy Win 2k3 giả lập ADSL 2 Card Mạng LAN WAN IP Address 30.0.0.100 192.168.1.222 Subnet mask 255.0.0.0 255.255.255.0 Default gateway 192.168.1.1 Máy XP Client 1 Test Card Mạng Máy XP Client 2 Test Card Mạng LAN IP Address 192.168.6.2 IP Address 192.168.6.3 Subnet mask 255.0.0.0 Subnet mask 255.0.0.0 Default gateway 192.168.6.254 Default gateway 192.168.6.254 Trang 54 LAN 2. Tóm tắt sơ lược về mô hình  Trong mô hình này, tôi sẽ sử dụng Windows Server 2003 để giả lặp hai router ADSL. Ở đây, tôi cấu hình một số tính năng của Window Server 2003 như Domain Controller (DC), File server, Web server, RADIUS server 3. Triển khai tính năng DHCP Server  Từ trình duyệt Web gõ địa chỉ IP của máy pfSense bên trong để cấu hình dịch vụ cấp IP động DHCP Server.  Tại Menu Service chọn DHCP Server. Trang 55  Cấu hình DHCP Server như sau:  Chọn Enable DHCP Server on LAN interface.  Range : 192.168.6.10 to 192.168.6.200  DNS Server : 192.168.6.1  8.8.8.8  Gateway : 192.168.6.254  Chọn Save  Test máy WinXP Client  Vào Start >> Chọn Run >>Gõ “cmd”.  Sử dụng lênh “ipconfig/release” để bỏ đi địa chỉ ip cũ.  Sử dụng lênh “ipconfig/renew” để lấy địa chỉ IP mới từ DHCP Server. Trang 56  Sử dụng lệnh “Ipconfig /all ” để xem toàn bộ địa chỉ IP trên máy Trang 57 4. Triển khai tính năng VPN  Từ trình duyệt Web gõ địa chỉ IP của “pfSense bên ngoài” để cấu hình qua giao diện Web.  Từ Menu VPN chọn PPTP Trang 58  Cấu hình VPN PPTP như sau:  Chọn Enable PPTP Server.  Server address : 192.168.1.10 (IP card WAN của máy pfSense bên ngoài)  Remote address range : 20.0.0.16/28  Qua tab Users để tao User VPN  Nhấn nút “Add” và tạo User để kết nối VPN  Từ Menu Firewall chọn rules Trang 59  Qua Tab PPTP VPN chọn Add  Cấu hình VPN PPTP như sau:  Action : Pass  Interface : PPTP  Protocol : any  Source : any  Destination :any  Decription : default  Chọn Save. Trang 60  Sau khi cài đặt xong  Từ Menu Firewall chọn NAT.  Tại Tab Port Forward chọn Add Trang 61  Cấu hình NAT như sau :  Interface : PPTP  Protocol : TCP  External port range : PPTP  NAT IP : 192.168.1.10  Local Port ; PPTP  Chọn Save Trang 62  Cấu hình tại máy VPN Client  Vào Network and Sharing Center chọn Set up a new connection or network  Chọn Connnect to a workplace Chọn Next  Chọn User my Internet connection (VPN) Chọn Next Trang 63  Nhập vào địa chỉ IP VPN Server .  Nhập Username và Password để truy cập vào VPN Server .  Quá trình chứng thực Username và Password đang được thực hiện. Trang 64  Kết nối thành công.  IP được cấp từ VPN Server  Ping thành công đến địa chỉ IP của Webserver và Mail Server  Truy cập thành công vào Web Mail của mạng nội bộ Trang 65 5. Triển khai tính năng Captive Portal chứng thực RADIUS Server  Tại máy Win 2k3 DC nhập địa chỉ IP như hình bên dưới.  Cài thêm dịch vụ Authentication Service  Vào Start >> Controll panel >>Add or Remove Programe >> Chọn Add/Remove Windowns Components.  Chọn Networking Services Chọn Details Trang 66  Chọn Internet Authentication Service Chọn OK Chọn Next để cài đặt  Sau khi cài đặt xong tôi vào  Start >> Programs >> Administrator Tool >> Internet Authentication Service Trang 67  Tại cửa sổ Authentication Service >>click phải chuột vào Remote Access Polices >> Chọn New Remote Access Policy Chọn Next  Chọn Set up a custom policy  Policy name : Radius Chọn Next Trang 68  Add thêm Windows-Groups Chọn Add  Tiếp tục Add Group Domain Users Click OK Chọn Next Trang 69  Chọn Grant remote access permission Chọn Next  Chọn Edit Profile  Chuyển qua Tab Authentication >> chọn Unencrypted authentication (PAP,CHAP). Trang 70 Chọn Next >> Finish  Nhấn phải chuột vào RADIUS Clients >> chọn New RADIUS Client  Nhấp địa chỉ IP của pfSense bên trong. Chọn Next Trang 71  Nhập một khóa bí mật giữa Win 2k3 với pfSense bên trong. Chọn Finish  Vào Start >> Programs >> Administrator Tool >> Active Diretory Users and Computer.  Click phải chuột vào Group RAS and JAS Server >> Chọn Properties  Qua Tab Members Add Group Domain Users Trang 72  Click phải chuột vào User “kd” chọn Properties  Qua Tab Dial-in chọn Allow access Click OK  Cấu hình tương tư đối với User kt, ns.  Chuyển qua cấu hình bên máy pfSense bên trong  Tại Menu Services chọn Captive Portal Trang 73 Trang 74  Cấu hình Captive Portal như sau:  Chọn Enable Captive Portal  Interface : LAN  Maximum concurrent connections : 10 per  Ide timeout : 5 minutes  Hard timeout : 60 minutes  Redrection URL : http://www.google.com.vn  Chọn RADIUS authentication  IP address : 192.168.6.1  Shared secret : hongtien510  Portal page contents : chọn đường dẩn đến trang Web index.html  Authentication error … : chọn đường dẩn dến trang Web index.html  Chọn SAVE  Nội dung trang Index.html

 Test Captive Portal trên máy Win XP Client  Trước khi sử dụng Web, Firewall pfSense sẽ yêu cầu chứng thực Username và Password của User được tạo trong DC. Chọn Continue Trang 75  Sau khi chứng thực thành công sẻ chuyển đến trang http ://www.google.com.vn 6. Triển khai tính năng Load Balancing Với pfSense, người dùng có thể dễ dàng cấu hình chia sẻ mạng và nếu đường mạng đầu tiên bị hỏng, đường thứ hai sẽ thế vào ngay và ngược lại.  Cấu hình Load Balancer trên Pfsense Ngoài  Từ trình duyệt Web gõ địa chỉ 20.0.0.255 để cấu hình pfsense Ngoài qua giao diện WEB  Vào Menu Services chọn Load Balancer sau đó chọn Add new pool để tạo Loadblancer Trang 76  Cấu hình Loadbalancer như sau:  Name : Load Balancer  Type : Gateway  Behavior : Chọn Load Balancing  Monitor IP : chọn WAN’s Gateway và WAN2’s Gateway  Interface Name : Chọn WAN và WAN2  Chọn Add to pool Trang 77  Từ Menu Firewall chọn Rules  Qua Tab LAN và cấu hình giống như hình bên dưới  Qua Tab WAN và cấu hình như hình bên dưới  Qua Tab WAN 2 và cấu hình như bên dưới Trang 78  Test Load Balancer trên Windows XP Client Vào Menu Status chọn Load Balancer để xem trạng thái của 2 Card mạng  Trường hợp 2 Card WAN đều Online Tại máy XP Client vào CMD gõ lệnh “ping google.com.vn”  Trường hợp Card WAN 1 Offline Card WAN 2 Online Trang 79 Tại máy XP Client vào CMD gõ lệnh “ping google.com.vn”  Trường hợp WAN 1 Online và WAN 2 Offline Tại máy XP Client vào CMD gõ lệnh “ping google.com.vn” Trang 80 7. Triển khai tính năng VPN IPSec  Cấu hình VPN Ipsec trên máy Pfsense Ngoài  Từ trình duyệt Web gõ vào địa chỉ Card Lan của Pfsense Ngoài để cấu hình VPN Ipsec bằng trình duyệt Web  Vào Menu VPN chọn IP sec, chuyển qua Tab Pre-shared keys để cấu hình mật khẩu bí mật giữa 2 máy Pfsense  Chuyển qua Tab Tunnels để tạo đương hầm bí mật trao đổi giữ liệu giữa 2 máy Trang 81  Cấu hình VPN IP như sau:  Interface : WAN  Local subnet : LAN subnet  Remote subnet : 172.16.1.0/24  Remote gateway : 192.168.1.222  Negotiation mode : main Trang 82  Encryption algosrithm : 3DES  Hash algorithm : SHA1  Group : 2  Lifetime : 28800  Authentication method : Pre-shared key  Pre-Shared Key : pfsense  Protocol : ESP  Encryption : 3DES  Hash : SHA1 , MD5  Lifetime : 3600  Chọn SAVE Tunnels kết nối đến mạng 192.168.1.222 đã được tạo Từ Menu Firewall chọn Rules và cấu hình như hình bên dưới Trang 83  Cấu hình VPN Ipsec trên máy Pfsense VPN IPsec  Cấu hình VPN Ipsec cũng tương tự cấu hình trên Pfsense Ngoài  Từ Menu Firewall chọn Rules và cấu hình như hình bên dưới  Test VPN Ipsec trên máy Win2K3 Webserver và WinXP VPN Ipsec  Tại máy Win2K3 Webserver ping thành công đến WinXP Ipsec Trang 84  Tại máy WinXP Ipsec ping thành công đến Win2K3 Webserver  Trạng thái kết nối của VPN Ipsec tại máy Pfsense Ngoai  Trạng thái kết nối của VPN Ipsec tại máy Pfsense VPN Ipsec  THE END  Trang 85 KẾT LUẬN Cấu hình của pfSense cũng không khác với các cấu hình của bất cứ firewall và router mạng nào có sử dụng cấu hình Web. Sau khi đăng nhập bằng username và password mặc định, bạn có thể cấu hình các giao diện của tường lửa và các rule cho nó. Để việc quản lý trên Web an toàn, cần thay đổi mật khẩu mặc định và thiết lập kiểu session thành HTTPS trên các thuộc tính cài đặt chung. Ở đây bạn cũng có thể thiết lập các thiết lập DNS của tường lửa. Cấu hình LAN hoàn toàn rất đơn giản. Nếu bạn chưa thực hiện thì trước khi cài đặt, bạn chỉ cần thiết lập địa chỉ IP. Trong giao diện WAN, có thể chọn giữa nhiều kết nối khác nhau như Static, Dynamic Host Configuration Protocol (DHCP), Point-to-Point Protocol trên cáp Ethernet (PPPoE) và BigPond. Chọn kết nối thích hợp như được cấu hình bởi ISP của bạn Khi đã cấu hình các giao diện mạng đúng cách, bạn có thể thiết lập các chính sách tường lửa. Cũng như bất kỳ thiết bị tường lửa nào, việc thiết lập chính sách tường lửa yêu cầu bạn phải chọn một giao diện (WAN hoặc LAN), địa chỉ nguồn, cổng và địa chỉ đích, các giao thức và dịch vụ và các kiểu hành động như cho qua, khóa hoặc reject. Hành động khóa sẽ drop hoàn toàn các gói dữ liệu trong khi đó hành động reject sẽ trả về một đáp trả "unreachable" cho host đang khởi tạo kết nối. Để bảo mật, bạn nên chọn hành động khóa hơn là reject. Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần. Chúng tôi đã test một số rule tường lửa đã được tạo chẳng hạn như các rule cho việc khóa truy cập FTP vào các mạng bên ngoài và pfSense đã khóa dịch vụ này một cách thành công Chúng tôi cũng test các tính năng VPN của pfSense. Nó hỗ trợ IPSec, OpenVPN, và cả PPTP. Nếu bạn cần một kết nối VPN nhanh và có ít băng thông hiện hữu so với được yêu cầu bởi các kết nối SSL VPN mà vẫn đảm bảo bảo mật tốt, hãy chọn IPSec VPN. Nếu bạn đã quản lý cấu hình IPSec VPN trước đây, khi đó bạn sẽ thấy rằng việc cấu hình IPSec trong VPN rất đơn giản và có thể được thực hiện trong một vài phút. Bảo đảm rằng các tham số cho các thuật toán trong sử dụng đều chung nhau cho cả hai một cách xuyên suốt. Cũng cần lưu ý thêm là có một số hạn chế của IPSec VPN trên pfSense Developers Wiki. Với cấu hình IPSec đơn giản, các hạn chế của pfSense có thể vẫn đảm bảo ở mức độ nào đó và nó làm việc tốt với các cài đặt (liền kề) site-to-site mà chúng tôi đã test. Mặc dù vậy với các ứng dụng quan trọng liên quan đến việc giải quyết các máy khác di động và sự thẩm định thì bạn sẽ thấy sự thiếu và hạn chế trong cấu hình IPSec Trang 86 TÀI LIỆU THAM KHẢO Tiếng Việt: Diễn đàn Nhất Nghệ : http://www.nhatnghe.com/forum/showthread.php?p=475722 http://nhatnghe.com/forum/showthread.php?t=89833 http://www.nhatnghe.com/forum/showthread.php?p=500629 http://nhatnghe.com/forum/showthread.php?t=93399 http://www.nhatnghe.com/forum/showthread.php?t=93403 Diễn đàn Mait : http://forum.mait.vn/mang-bao-mat/2293-tai-lieu-pfsense.html Diễn đàn Quản Trị Mạng : http://www.quantrimang.com.vn/baomat/giaiphapbaomat/50308_Bao-ve-mang-voipfSense.aspx Tiếng Anh: Diễn đàn pfsense : http://forum.pfsense.org/ http://doc.pfsense.org/index.php/Category:Documentation http://doc.pfsense.org/index.php/Category:Howto http://doc.pfsense.org/index.php/Tutorials Trang 87