Tại sao chọn pfsense để bảo vệ hệ thống mạng
Mô tả tài liệuVì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng.
Tóm tắt nội dungHỆ THỐNG ĐÀO TẠO CHUYÊN GIA MẠNG QUỐC TÀI HOÀN THÀNH MÔN HỌC “CompTIA Security + hiểu Pfsense viên hướng dẫn: Sinh viên: Lớp: 4, 2011 Mục lục TOC \o "1-3" \h \z \u I. Giới thiệu Firewall Cài đặt và cấu hình Cài đặt hình card mạng cho máy Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN 8 4. Cấu hình Pfsense qua giao diện web - Cài đặt Backup and Một số ứng dụng và dịch vụ cơ bản của Tính năng của pfsense pfSense Firewall Firewall Traffic Virtual IPs 20 2 .Một số dịch vụ của Captive DHCP Load VPN trên VPN OpenVPN Site to Triển khai mô hình mạng Nhận Giới thiệu Firewall bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA…. Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài thì PFSENSE là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng. Trong khi đó phần mềm miễn phí này còn có nhiều tính năng ấn tượng đối với miễn phí, tuy nhiên cũng có một số hạn chế. Pfsense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP. Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ bridge hoặc cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung. pfSense cung cấp network address (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Tunneling Protocol (PPTP), Generic Routing (GRE) và Session Protocol (SIP) khi sử dụng NAT. pfSense được dựa trên FreeBSD và giao thức Common Address Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải. Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và bạn không thể chỉ định được lưu lượng cho qua một kết Cài đặt và cấu hình Cài đặt máy tính cài Pfsense chúng ta bỏ đĩa pfSense LiveCD vào ổ CD/DVD để tiến hành cài hình Welcom to 99 để bắt đầu quá trình cài đặt Pfsense lên máy Accept these settings để chấp nhận việc cài đặt Install hoặc Custom Install để cài đặt vào ổ diện textmode pfsense sau khi cài hình card mạng cho máy an Option : 1 và Chọn số 1 để bắt đầu thiết lập các you want to setup VLANs now -> Chọn N Dựa vào địa chỉ MAC để phân biệt card mạng Internal và le0 để thiết lập Interface LAN , le1 để thiết lập Interface WAN .Nếu máy có 2 card mạng WAN thì chọn thêm le2 để thiết lập Interface WAN2 Sau khi thiết lập đủ Interface thì bạn để trống và ấn Enter khi được hỏi “Enter the Optional …” Chọn Y để tiến hành quá trình thiết lập card tin card mạng của pfsense sau khi được thiết lập 3. Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN Thiết lập IP cho card mạng LAN chọn 2 ,Nhập IP mà bạn muốn đặt và Enter the new LAN subnet bit count : 24 và “Y” để thiết lập DHCP cấp phát IP cho các máy Client (Network dải IP cấp phát cho Client (Như trong hình từ 10.0.0.10 > ) 4. Cấu hình Pfsense qua giao diện web - máy Client -> Vào trình duyệt và gõ vào IP internal của pfsense và đăng nhập băng tài khoản và mật khẩu mặc định : admin - báo DNS Server cho máy Pfsense -> múi giờ cho pfsense > giao diện WAN, có thể chọn giữa nhiều kết nối khác nhau như Static, Dynamic Host Protocol (DHCP), Protocol và PPPoE. Chọn kết nối thích hợp như được cấu hình bởi ISP của hình LAN hoàn toàn rất đơn giản. Nếu bạn chưa thực hiện thì trước khi cài đặt, bạn chỉ cần thiết lập địa chỉ lập lại mật khẩu admin truy cập vào diện cấu hình Pfsense trên nền web. 5. Cài đặt dùng có nhu cầu thêm các chức năng mở rộng của chương trình cài đặt pfSense ,bạn có thể thêm các gói từ một lựa chọn các phần mềm Gói có thể được cài đặt bằng cách sử dụng Package Manager, nằm tại menu System. Package Manager sẽ hiển thị tất cả các gói có sẵn bao gồm một mô tả ngắn gọn về chức năng của nó. Để cài đặt một gói phần mềm, hãy nhấp vào "Add" biểu tượng trên bên phải của trang. Sau khi hoàn thành cài đặt , gói mới sẽ hiển thị trong packages" của pfSense Package bỏ một Packages pfSense là tương đối dễ dàng. Từ quan điểm gói cài đặt, chọn "Hủy bỏ" biểu tượng từ phần bên phải của trang. Việc này sẽ khởi chạy trình cài đặt gói, mà sẽ hiển thị sự tiến bộ của việc loại bỏ gói. 5. Backup and Sao lưu hay khôi phục cấu hình pfsense vào sao lưu hay khôi phục cấu hình pfsense cũng tương đối dễ dàng. Bạn chỉ cần chọn khu vực cần sao lưu hay khôi phục cấu hình của Aliases, NAT, traffic Một số ứng dụng và dịch vụ cơ bản của Tính năng của pfsense pfSense Aliases Aliases có thể giúp bạn tiết kiệm một lượng lớn thời gian nếu bạn sử dụng chúng một cách chính xác Một Aliases ngắn cho phép bạn sử dụng cho một host ,cổng hoặc mạng có thể được sử dụng khi tạo các rules trong pfSense .Sử dụng Aliases sẽ giúp bạn cho phép bạn lưu trữ nhiều mục trong một nơi duy nhất có nghĩa là bạn không cần tạo ra nhiều rules cho nhóm các máy hoặc cổng Việc sửa đổi rules trở nên dẽ dàng hơn 1.2 cung cấp network address (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Tunneling Protocol (PPTP), Generic Routing (GRE) và Session Protocol (SIP) khi sử dụng Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể. Thiết lập mặc định của NAT cho các kết nối outbound là tuy nhiên bạn có thể thay đổi kiểu manual nếu cần. 1.3 Firewall Rules Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào Firewall → Rules. Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các rules để quản lí mạng bên trong add rules mới nhấn vào biểu tương dấu Ví dụ: Tạo rules Cấm truy cập web sử dụng công 80 cho các máy LAN trong đó MayLan là tên Aliases .Sau khi tạo xong nhấn Save và Apply Firewall Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần. Để tạo một Schedules mới vào Firewall > Schedules : Nhấn dấu + Ví dụ:Tạo lịch tên của tháng 12 Từ thứ hai đến thứ bẩy và thời gian từ 8 giờ đến 17 giờ Sau khi tạo xong nhấn Add Time Bên dưới sẽ hiện ra lịch chi tiết vừa thiết lập Xong nhấn Save 1.5 Traffic Sharper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả Shaping là phương pháp tối ưu hóa kết nối Internet. Nó tăng tối đa tốc độ trong khi đảm bảo tối thiểu thời gian trễ .Khi sử dụng những gói dữ liệu ACK được sắp xếp thứ tư ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải về được tiếp tục với tốc độ tối đa. Cấu hình Traffic Sharper để quản lý băng giao diện Web của Pfsense -> chọn Firewall -> Traffic Inside là Lan -> nhập vào tốc độ download của đường truyền Outside chọn Wan và nhập vào tốc độ Upload của đường trợ Voice IP > trợ mạng ngang hàng như BitTorent , CuteMX, iMesh…. Hỗ trợ mạng chơi game như BattleNET , Xbox360 ,và một số game trực lí băng thông của một số ứng dụng khác như Remote Service ,VPN, Web,Mail , Virtual IPs Một Virtual IPs có thể sử dụng bất kỳ địa chỉ IP của pfSense, đó không phải là một địa chỉ IP chính. Trong các tình huống khác nhau, mỗi trong số đó có các tính năng riêng của nó. Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound, và NAT 1:1. Họ cũng cho phép các tính năng như failover, và có thể cho phép các dịch vụ trên router để gắn kết với địa chỉ IP khác thể được sử dụng bởi các bức tường lửa chính nó để chạy các dịch vụ hoặc được chuyển ra lớp 2 traffic cho các VIP Có thể được sử dụng cho (tường lửa và tường lửa chủ failover chế độ VIP đã được trong cùng một subnet IP của giao diện thực Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển ra lớp 2 giao thông cho các VIP Các VIP có thể được trong một subnet khác với IP của giao diện trả lời gói tin ICMP thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2 Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển VIP có thể được trong một subnet khác với các giao diện trả lời ICMP Ping. 2 .Một số dịch vụ của Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại lớn. Tính năng này giúp redirect trình duyệt của người dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng . Tính năng này tiên tiến hơn các kiểu đăng nhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khan như kiểu năng captive portal nằm ở mục portal: Tinh chỉnh các chức năng của Captive Portal. MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ qua,không Allowed IP address: Các IP address được cấu hình sẽ không Users: Tạo local user để dùng kiểu local user File Manager: Upload trang quản lý của Captive portal lên captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal. Maximum hạn các trên mỗi Idle mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ ngắt kết nối của Hard timeout: Giới hạn thời gian kết nối của mỗi Logout popup windows: Xuất hiện 1 popup thông báo cho Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập MAC Đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense quản lý kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay đổi mac address nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối. Chọn kiểu chứng thực. Pfsense hỗ trợ 3 kiểu: No pfsense sẽ điều hướng người dùng tới 1 trang nhất định mà không chứng thực. Local user manager: pfsense hỗ trợ tạo user để chứng thực. Radius Chứng thực bằng radius server (Cần chỉ ra địa chỉ ip của radius, port, ...) Tạo trang index.htm có nội dung: |