1. PfSense Aliases
Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử dụng chúng một cách chính xác
Một Aliases ngắn cho phép bạn sử dụng cho một host ,cổng hoặc mạng có thể được sử dụng khi tạo các rules trong pfSense .Sử dụng Aliases sẽ giúp bạn cho phép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa là bạn không cần tạo ra nhiều rules cho nhóm các máy hoặc cổng
Việc sửa đổi rules trở nên dẽ dàng hơn.
2. NAT
PfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần.
3. Firewall Rules
Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào Firewall → Rules.
Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các rules để quản lí mạng bên trong firewall
Để add rules mới nhấn vào biểu tương dấu
Ví dụ: Tạo rules Cấm truy cập web sử dụng công 80 cho các máy LAN trong đó MayLan là tên Aliases .Sau khi tạo xong nhấn Save và Apply Changes.
Bạn đang xem trước 20 trang tài liệu Nghiên Cứu Và Báo cáo PfSense, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Đại Học Công Nghệ TP.Hồ Chí Minh
Khoa Cao Đẳng Thực Hành
QUẢN TRỊ MẠNG
SVTH:Trương Hoài Nhân
MSSV:12200066
Lớp:C12QM11
Năm 2013
MỤC LỤC
Nghiên Cứu Và Báo Cáo PfSense
Nội Dung Lý Thuyết
Giới thiệu PfSense
PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó.
Với tư cách một tường lửa, pfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP. Cho ví dụ, nếu chúng ta sử dụng lọc địa chỉ nguồn và thiết lập địa chỉ IP được kiểm tra là subnet của mạng bên trong thì bất cứ lưu lượng hay bất cứ yêu cầu nào được tạo ra từ địa chỉ đó sẽ bị phân tích và được lọc phụ thuộc vào các nguyên tắc của tường lửa. Nếu chúng ta sử dụng lọc địa chỉ đích thì tường lửa sẽ kiểm tra địa chỉ IP mà lưu lượng sẽ đi, và nếu địa chỉ đích thỏa mãn các nguyên tắc của tường lửa thì một hành động thích hợp sẽ được thực thi.
Một trong những tính năng tường lửa tốt nhất là khả năng P0F (passive operating system fingerprinting – tạm được dịch là: khả năng lấy dấu vân tay hệ điều hành thụ động), tính năng này sẽ phát hiện một cách thụ động hệ điều hành của kết nối và cho phép tường lửa khóa các kết nối dựa trên hệ điều hành của nút đang kết nối. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung. pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.
PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và bạn không thể chỉ định được lưu lượng cho qua một kết nối.
PfSense hỗ trợ VPN trong sử dụng Internet Protocol Security (IPSec), OpenVPN hoặc PPTP. Do có một số hạn chế với NAT nên IPSec VPN cũng bị hạn chế khi kết nối thông qua NAT, hạn chế ở đây thể hiện ở chỗ thiếu đi sự hỗ trợ cho các máy khách VPN di động hoặc từ xa. Phần mềm cũng thiếu các tính năng IPSec nâng cao như NAT Traversal trong Internet key exchange (IKE), thành phần vẫn được biết đến với tên NAT-T và Xauth.
Tính năng pfsense
PfSense Aliases
Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử dụng chúng một cách chính xác
Một Aliases ngắn cho phép bạn sử dụng cho một host ,cổng hoặc mạng có thể được sử dụng khi tạo các rules trong pfSense .Sử dụng Aliases sẽ giúp bạn cho phép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa là bạn không cần tạo ra nhiều rules cho nhóm các máy hoặc cổng
Việc sửa đổi rules trở nên dẽ dàng hơn.
NAT
PfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi sử dụng NAT.
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên bạn có thể thay đổi kiểu manual nếu cần.
Firewall Rules
Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào Firewall → Rules.
Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các rules để quản lí mạng bên trong firewall
Để add rules mới nhấn vào biểu tương dấu
Ví dụ: Tạo rules Cấm truy cập web sử dụng công 80 cho các máy LAN trong đó MayLan là tên Aliases .Sau khi tạo xong nhấn Save và Apply Changes.
Firewall Schedules
Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần.
Để tạo một Schedules mới vào Firewall > Schedules : Nhấn dấu +
Ví dụ:Tạo lịch tên GioLamViec của tháng 12 Từ thứ hai đến thứ bẩy và thời gian từ 8 giờ đến 17 giờ
Sau khi tạo xong nhấn Add Time
Bên dưới sẽ hiện ra lịch chi tiết vừa thiết lập
Xong nhấn Save.
Traffic shaper
Traffic Sharper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn
Traffic Shaping là phương pháp tối ưu hóa kết nối Internet. Nó tăng tối đa tốc độ trong khi đảm bảo tối thiểu thời gian trễ .Khi sử dụng những gói dữ liệu ACK được sắp xếp thứ tư ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải về được tiếp tục với tốc độ tối đa.
Cấu hình Traffic Sharper để quản lý băng thông
Mở giao diện Web của Pfsense -> chọn Firewall -> Traffic Sharper
Chọn Next
Chọn Inside là Lan -> nhập vào tốc độ download của đường truyền
Outside chọn Wan và nhập vào tốc độ Upload của đường truyền
Chọn Next
Hỗ trợ Voice IP > Next
Chọn Next
Hỗ trợ mạng ngang hàng như BitTorent , CuteMX, iMesh.
Hỗ trợ mạng chơi game như BattleNET , Xbox360 ,và một số game trực tuyến
Quản lí băng thông của một số ứng dụng khác như Remote Service ,VPN, Messengers, Web,Mail , Miscellaneous.
Virtual Ips
Một Virtual IPs có thể sử dụng bất kỳ địa chỉ IP của pfSense, đó không phải là một địa chỉ IP chính. Trong các tình huống khác nhau, mỗi trong số đó có các tính năng riêng của nó. Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound, và NAT 1:1. Họ cũng cho phép các tính năng như failover, và có thể cho phép các dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.
CARP
Có thể được sử dụng bởi các bức tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp
Tạo ra lớp 2 traffic cho các VIP
Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ)
Các VIP đã được trong cùng một subnet IP của giao diện thực
Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
Proxy ARP
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp
Tạo ra lớp 2 giao thông cho các VIP
Các VIP có thể được trong một subnet khác với IP của giao diện thực
Không trả lời gói tin ICMP ping.
Khác
Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp
Các VIP có thể được trong một subnet khác với các giao diện IP
Không trả lời ICMP Ping.
Một số dịch vụ pfsense
Captive portal
Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại lớn. Tính năng này giúp redirect trình duyệt của người dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng . Tính năng này tiên tiến hơn các kiểu đăng nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khan như kiểu authentication WPA,WPA2.
Tính năng captive portal nằm ở mục Services/captive portal
Captive portal: Tinh chỉnh các chức năng của Captive Portal.
Pass-though MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ qua,không authentication.
Allowed IP address: Các IP address được cấu hình sẽ không authentication.
Users: Tạo local user để dùng kiểu authentication: local user
File Manager: Upload trang quản lý của Captive portal lên pfsense.
Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal.
Maximum concurrent connections:Giới hạn các connection trên mỗi ip/user/mac
Idle timeout:Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ
ngắt kết nối của ip/user/mac.
Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.
Logout popup windows: Xuất hiện 1 popup thông báo cho ip/user/mac
Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập
MAC filtering: Đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense quản lý kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay đổi mac address nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối.
Authentication: Chọn kiểu chứng thực. Pfsense hỗ trợ 3 kiểu:
No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định
mà không chứng thực.
Local user manager: pfsense hỗ trợ tạo user để chứng thực.
Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ ip của
radius, port, ...).
Rồi chọn browse trong portal page content rồi up file này lên. Rồi bấm SAVE để lưu lại.
Cuối cùng ta tạo user trong tab user của captive portal.
DHCP Server
DHCP Server chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng.
Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng.
Load Balancer
Chức năng cân băng tải của pfsense có những đặc điểm
Ưu điểm
- Miễn phí.
- Có khả năng bổ sung thêm tính năng bằng gói dịch vụ cộng thêm.
- Dễ cài đặt, cấu hình.
Hạn chế
- Phải trang bị thêm modem nếu không có sẵn.
- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác.
- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.
- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình.
Để cấu hình load balancing vào Services -> Load Balancer
Ấn vào nút để thêm Pool
Cấu hình như sau:
Name: LoadBalancer
Type: Gateway
Behavior : Load Balancing
Monitor IP: Chọn monitor IP của gateway interface nào thì phần chọn Interface name tương ứng , ấn vào add to pool . Save lại và ấn Apply Change
Sang tab LAN, Ấn vào dấu + để thêm rule
Action chọn Pass
Protocol chọn any
Gateway: chọn LoadBalancer
Save và Apply Rule
Để kiểm tra vào Status / Load Balancer
Hai đường truyền đều Online
Khi một đường truyền Offline.
VPN trên Pfsense
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
VPN PPTP
Để sử dụng chức năng này bạn vào VPN / PPTP
Chọn Enable PPTP server để bật tính năng VPN
Server address : Địa chỉ server mà client sẽ kết nối vào
Remote address range :Dải địa chỉ IP sẽ cấp khi VPN Client kết nối
RADIUS : Chứng thực qua RADIUS
Chọn Save và chuyển qua tab User để tạo tài khoản
Sau khi tạo xong user ,bạn vào Firewall Rules
Tạo Rules cho phép VPN client truy cập vào mạng
Trên VPN Client ,trong Network Connections chọn Create a new connection
Chọn Conect to the network at my workplace > Next
Chọn Virtual Provate Network connection > Next
Điền tên cho kết nối VPN > Next
Điền địa chỉ IP của VPN Server > Next
Điền tài khoản và mật khẩu và nhấn Connect.
OpenVPN Site to Site
Tạo Share key cho pfsense
Vào Diagnostics > Command:
Tại Execute Shell command chạy lệnh : openvpn --genkey --secret /dev/stdout và nhấn Execute
Để tạo kết nối Site to site vào VPN / OpenVPN
Tại Tab Server nhấn
Protocol : Giao thức sử dụng cho VPN
Dynamic IP: Cho phép Client kết nối bằng IP động được cấp phát bởi DHCP Server
Local Port: Cổng OpenVPN server sẽ lắng nghe.Mặc định là cổng 1194
Address pool: Địa chỉ pfsense sẽ cấp phát cho Client.
Remote network: Khai báo mạng mà pfsense sẽ kết nối đến
Cryptography: Lựa chọn phương thức mã hóa
Authentication method: Shared Key
Shared key: Nhập Shared Key của pfsense
LZO compression : Nén gói tin khi chuyển dữ liệu sử dụng LZO
Chọn Save
Tạo rules cho phép kết nối OpenVPN trên WAN
Trên pfsense2
Vào VPN/OpenVPN chọn Tab Client nhấn
Protocol : Giao thức mà server sử dụng cho VPN
Server Address : Địa chỉ của Server OpenVPN
Server port : Cổng kết nối cho các thiết lập VPN trên pfSense1
Interface IP : Địa chỉ IP mà server sẽ gán cho Client
Remote network:Dải IP Internal của pfsense1
Lựa chọn phương thức mã hóa và điền Shared key của pfsense1 vào và nhấn Save.
Nội Dung Thực Hành
Lab1:Cài đặt máy PfSense
Chuẩn Bị
+ 1 máy cài PfSense 2 card mạng
+ 1 máy client
+ ISO cài PfSense : pfsense_proxy_2.1
Hướng dẩn cài đặt
Cho file iso Pfsense 2.1 vào
chọn card eM0 làm WAN
chọn card eM1 làm LAN
Chọn 99 để install
Login vào Pfsense bằng user: admin /pass:pfsense
Cài đặt các gói cần thiết
Lab2:Cấu hình proxy cho pfsense
Cấm máy client truy cập vào nhưng trang web bi cấm.
Cấm địa chỉ mạng, đường mạng, lớp mạng truy cập internet.
Chặn từ khóa , chặn download .
Ở đây chặn trang web tuoitre.vn, mp3.zing.vn.
Từ khóa mail, game,file dowload exe... và khi ta đăng nhập vào những điều cấm sẻ trả về trang quản lý của mình.
Chặn địa chỉ mạng, đường m ạng, lớp mạng
Khởi động lại dịch vụ.
Đây là khi ta đăng nhập vào trang web tuoitre.vn
Trả về trang quản lý của mình
Lab3:Captive Portal (Local)
Giới thiệu
Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại lớn. Tính năng này giúp redirect trình duyệt của người dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng . Tính năng này tiên tiến hơn các kiểu đăng nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khan như kiểu authentication WPA,WPA2.
Tính năng captive portal nằm ở mục Services/captive portal
Captive portal: Tinh chỉnh các chức năng của Captive Portal.
Pass-though MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ qua,không authentication.
Allowed IP address: Các IP address được cấu hình sẽ không authentication.
Users: Tạo local user để dùng kiểu authentication: local user
File Manager: Upload trang quản lý của Captive portal lên pfsense.
Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal.
Maximum concurrent connections:Giới hạn các connection trên mỗi ip/user/mac
Idle timeout:Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ
ngắt kết nối của ip/user/mac.
Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.
Logout popup windows: Xuất hiện 1 popup thông báo cho ip/user/mac
Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập
MAC filtering: Đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense quản lý kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay đổi mac address nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối.
Authentication: Chọn kiểu chứng thực. Pfsense hỗ trợ 3 kiểu:
No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định
mà không chứng thực.
Local user manager: pfsense hỗ trợ tạo user để chứng thực.
Thực hành
Tạo user trong pfsense.
User1/pass:123456
User2/pass:123456
Vào Captive portal >new zones
Check vào local User manager , bỏ check tai allow only user.
Đăng nhập vào google.com , khi đăng nhập sai user hoặc password
vào trang với user2/pass:123456
Đăng nhập thành công
Đây là những máy dùng đã truy cập web bằng user1 và user2
Lab4:Captive portal thông qua radius
Tạo user và group cho máy DC
Tạo radius client
Tạo group captive
Tạo 2 user : nhantruong1 và nhantruong2
Add 2 user vào group captive
Vào network authentication service> radius client >new radius client
Add ip:192.168.11.66(ip LAN cua may pfsense)
Lưu shared secret
Vào policies> new policies
Add group captive vào policies.
Vào máy pfsense > captive portal>new zones
Vào authentication >check vào RADIUS authentication, check vào PAP
Copy shared secret của máy DC vào phần shared secret
Vào lại google.com. khi đăng nhập sai user hoặc password
Vào lại google.com với user nhantruong1 và pass:P@ssword