BÁO cáo THỰC tập tốt NGHIỆP đại học đề tài NGHIÊN cứu về TƯỜNG lửa PFSENSE

Tác dụng của tường lửa- Một tường lửa có thể lọc lưu lượng từ các nguồn truy cập nguy hiểm nhưhacker, một số loại virus tấn công để chúng không thể phá hoại hay lam tê liệt hệ thống của

BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC

Đề tài:

“NGHIÊN CỨU VỀ TƯỜNG LỬA

PFSENSE”

Sinh viên thực hiện : VŨ HOÀNG

Lớp

Khóa

Hệ

: D17CQAT01-N : 2017 – 2022 : ĐẠI HỌC CHÍNH QUY TP.HCM, tháng … năm 2021

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC

Đề tài:

“NGHIÊN CỨU VỀ TƯỜNG LỬA

PFSENSE”

Sinh viên thực hiện : VŨ HOÀNG

Lớp

Khóa

Hệ

: D17CQAT01-N : 2017 – 2022 : ĐẠI HỌC CHÍNH QUY TP.HCM, tháng … năm 2021

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CƠ SỞ TẠI TP HỒ CHÍ MINH

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc Khoa Công nghệ thông tin 2 TP Hồ Chí Minh, ngày 24 tháng 07 năm 2021

PHIẾU GIAO ĐỀ CƯƠNG THỰC TẬP TỐT NGHIỆP

Căn cứ Quyết định số /QĐ-HVCS ngay /07/2021 của Phó Giám đốc Họcviện – Phụ trách Cơ sở tại TP Hồ Chí Minh về việc “Giao nhiệm vụ thực tập tốt nghiệpcho sinh viên – Hệ Đại học chính quy – Khóa 2017-2021 – Nganh Công nghệ thông tin,

Đa phương tiện, An toan thông tin”;

Khoa Công nghệ thông tin 2 giao nhiệm vụ thực hiện đề cương thực tập tốt nghiệpcho sinh viên:

1 Họ và tên sinh viên : VŨ HOÀNG Mã SV: N17DCAT030

Nganh: An toàn thông tin

Đơn vị cơ sở tiếp nhận thực tập: Fujinet System JSC

Địa chỉ: WASECO, 10 Phổ Quang, Q.Tân Bình

Số ĐT… SốFax:………

4 Đề cương thực tập:

Lý thuyết:

KHOA CÔNG NGHỆ THÔNG TIN 2

LỜI CẢM ƠN

Lời đầu tiên, em xin phép gửi lời tri ân sâu sắc đến các thầy cô trường Học Viện CôngNghệ Bưu Chính Viễn Thông cơ sở tại TP.HCM đã tận tình dẫn dắt va truyền đạt cho emrất nhiều kiến thức quý báu trong trong những năm học vừa qua

Đặc biệt, em xin gửi lời cảm ơn chân thanh nhất tới ThS.Huỳnh Thanh Tâm Thầy đãtruyền đạt kiến thức, hướng dẫn em nghiên cứu va thực hanh trong suốt quá trình thựchiện đề tai Em không chỉ tiếp thu thêm được nhiều kiến thức mới ma còn học được tinhthần va thái độ lam việc nghiêm túc từ thầy Đó sẽ la những hanh trang cần thiết cho quátrình lam việc trong tương lai

Em xin chân thanh cảm ơn ban lãnh đạo Công ty Cổ phần FUJINET SYSTEMS(FUJINET SYSTEMS JSC) đã chấp nhận cho em thực tập trục tuyến trong giai đoạn giãncách, phòng chống dịch theo chỉ thị 16 va tạo điều kiện cho em tham gia học hỏi, áp dụngnhững kiến thức vao thực tế ma em đã được học được tại trường

Vì lần đầu em được tiếp xúc với môi trường lam việc thực tế tại công ty nên bai lamcủa em còn có nhiều thiếu sót Em rất mong nhận được sự thông cảm va đóng góp ý kiếncủa quý thầy cô va phía công ty cùng toan thể các bạn

Sau cùng, em xin chúc quý thầy cô khoa Công nghệ thông tin 2 va thầy Huỳnh ThanhTâm thật dồi dao sức khỏe để tiếp tục truyền đạt kiến thức cho thế hệ mai sau

TP Hồ Chí Minh, ngay 24 tháng 7 năm 2021

SINH VIÊN THỰC HIỆN ĐỀ TÀI

Vũ Hoang

VŨ HOÀNG - N17DCAT030 5

MỤC LỤC

LỜI CẢM ƠN 4

DANH MỤC CÁC KÍ HIỆU VIẾT TẮT 8

DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH 9

LỜI MỞ ĐẦU 12

1 2 Mục tiêu 12

Phương pháp nghiên cứu 12

CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE 13

1 Tổng quan về tường lửa 13

1 1 1 Tường lửa là gì ? 13

.2 Tác dụng của tường lửa 14

2 Tường lửa PfSense 15

.1 Giới thiệu về PfSense 15

CHƯƠNG II: TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG LỬA PFSENSE 18

1 Các chức năng và dịch vụ cơ bản của firewall pfSense 18

2 1 1 1 1 1 1 1 1 Aliases (Bí danh) 18

.2 Rules ( Luật) 19

.3 NAT (Biên dịch địa chỉ mạng) 20

.4 Routing (Định tuyến) 20

.5 Virtual Ips ( IP ảo) 21

.6 Schedules ( Lịch trình) 22

.7 Traffic Sharper ( Quản lý băng thông) 23

2 Một số chức năng và dịch vụ khác 24

2.1 VPN 24

2.1.1 Open VPN 25

2.1.2 IPSec (Giao thức bảo mật internet) 26

2.1.3 L2TP (Giao thức đường hầm 2 lớp) 27 2

2

6

2.4 DHCP (Giao thức Cấu hình Host Động) 31

2.4.1 DHCP Server 31

.4.2 DHCP relay 32

2 CHƯƠNG III: TÌM HIỂU VÀ XÂY DỰNG MÔ HÌNH TRIỂN KHAI PFSENSE 33

1 2 Cài đặt PfSense 33

Triển khai mô hình với tường lửa pfSense 38

2.1 Mô hình Firewall topology cho mạng doanh nghiệp 38

2.1.1 Chuẩn bị 38

2.1.2 Cài đặt máy ảo 39

2.1.3 Cấu hình interface 40

2.2 Thực nghiệm một số kịch bản 44

2.2.1 Cấu hình rules cho các máy kết nối với nhau 44

2.2.2 Cấu hình rules chặn một số kết nối 48

2.2.3 Cấu hình NAT để máy trong LAN kết nối đến internet 50

2.2.4 Cấu hình NAT Port Forward để đưa web server lên internet 52

2.2.5 Cấu hình dịch vụ Captive Portal cho các máy trong LAN 55

2.2.6 Thiết lập lịch trình cho luật 57

CHƯƠNG IV: ĐÁNH GIÁ VÀ KẾT LUẬN 60

TÀI LIỆU THAM KHẢO 61

DANH MỤC CÁC KÍ HIỆU VIẾT

P2P

Voice Over IPPeer to PeerPPTP

MAC

DANH MỤC CÁC BẢNG, SƠ ĐỒ,

Hình 1- 1 Tường lửa 13

Hình 1- 2 Công dụng của tường lửa 14

Hình 2- 1 Tường lửa PfSense 15

Hình 2- 2 pfSense Firewall 16

Hình 2- 3 Giao diện web của PfSense 17

Hình 3- 1 Aliases pfSense 18

Hình 3- 2 Edit Aliases 18

Hình 3- 3 Rules pfSense 19

Hình 3- 4 NAT Port Forward pfSense 20

Hình 3- 5 NAT 1:1 pfSense 20

Hình 3- 6 NAT Outbound pfSense 20

Hình 3- 7 Routing pfSense 21

Hình 3- 8 Virtual IPs pfSense 22

Hình 3- 9 Firewall Schedules 22

Hình 3- 10 Schedule details 23

Hình 3- 11 Traffic Sharper pfSense 23

Hình 4- 1 VPN 24

Hình 4- 2 Available VPN Service 25

Hình 4- 3 OpenVPN pfSense 25

Hình 4- 4 OpenVPN pfSense – Cryptographic Setting 1 26

Hình 4- 5 OpenVPN pfSense – Cryptographic Setting 2 26

Hình 4- 6 IPSec pfSense - Tunnel 27

Hình 4- 7 L2TP pfSense 28

Hình 4- 8 Package Manage 28

Hình 4- 9 Captive portal example 29

Hình 4- 10 Captive portal configuration 30

Hình 4- 11 Captive portal configuration 2 30

Hình 4- 12 Captive portal configuration 3 30

Hình 5- 1 pfSense download page 33

Hình 5- 2 Installing-mode 33

Hình 5- 3 Installing-Accept 34

Hình 5- 4 Installing-Purpose 34

Hình 5- 5 Installing-Select Keymap 35

Hình 5- 6 Installing 5 35

Hình 5- 7 Installing-Process bar 36

Hình 5- 8 Installing-Manual Configuration 36

Hình 5- 9 Installing-Conplete 37

Hình 5- 10 pfSense main screen 37

Hình 6- 1 Setup VMWare pfSense 39

Hình 6- 2 Setup VMWare LAN 39

Hình 6- 3 Setup VMWare DMZ 39

Hình 6- 4 Assign Interfaces 40

Hình 6- 5 VLANs set up 40

Hình 6- 6 Enter WAN interface name 40

Hình 6- 7 LAN and DMZ interface names 40

Hình 6- 8 pfSense's web interface 41

Hình 6- 9 Dash board 41

Hình 6- 10 System setting 42

Hình 6- 11 WAN interface 42

Hình 6- 12 LAN interface 43

Hình 6- 13 DMZ interface 43

Hình 6- 14 pfSense interfaces 44

Hình 7- 1 WAN's rules 44

Hình 7- 2 Allow WAN to any 45

Hình 7- 3 Allow LAN to any rules 45

Hình 7- 4 DMZ’s rule 45

Hình 7- 5 Allow DMZ to any 46

Hình 7- 6 Ping from LAN to WAN 46

Hình 7- 7 Ping from LAN to DMZ 46

Hình 7- 8 Ping from DMZ to LAN 47

Hình 7- 9 Ping from DMZ to WAN 47

Hình 7- 10 Ping from WAN to LAN 48

Hình 7- 11 Ping from WAN to DMZ 48

Hình 7- 12 Block WAN to LAN 49

Hình 7- 13 Ping fail from WAN to LAN 49

Hình 7- 14 Block DMZ to LAN 49

Hình 7- 15 Ping fail from DMZ to LAN 50

Hình 7- 16 NAT Outbound rule 50

Hình 7- 17 NAT Outbound rule 2 51

Hình 7- 18 NAT Outbound rule 3 51

Hình 7- 19 NAT Outbound ping test 51

Hình 7- 20 Access internet 52

Hình 8- 1 Basic html web 52

Hình 8- 2 IIS index file 52

Hình 8- 3 Searching IIS 53

Hình 8- 4 Start running server 53

Hình 8- 5 Open NAT 53

Hình 8- 6 Port Forward rule setting 54

Hình 8- 7 Access website 54

Hình 9- 1 Captive Portal configuration 55

Hình 9- 2 Custom Login page 55

Hình 9- 3.Captive Portal Authentication 56

Hình 9- 4 Captive Portal Zones 56

Hình 9- 5 Login page 56

Hình 9- 6 Destination page 57

Hình 10- 1 Schedule information 57

Hình 10- 2 Setup Date/Time 58

Hình 10- 3 Advanced options 58

Hình 10- 4 Select schedule 58

Hình 10- 5 Rule has applied schedule 59

LỜI MỞ ĐẦU

Sự phát triển của cuộc cách mạng công nghiệp 4.0 khiến cho thông tin trở thanhmột trong những thứ giá trị nhất Việc bảo mật thông tin cũng như quản lý hệ thống đã lamột phần không thể thiếu trong thời đại hiện nay Các doanh nghiêp, tổ chức đều có nhucầu quản lý mạng nội bộ va giữ cho thông tin được bảo vệ một cách chặt chẽ để tránh chothông tin bị rò rỉ hay khai thác bất hợp pháp Chính vì thế ma đã có nhiều cách thức được

sử dụng để thực hiện điều nay, một trong số đó chính la sử dụng tường lửa

Thông qua đề tai “NGHIÊN CỨU TƯỜNG LỬA PFSENSE” của bản thân Emmong muốn góp một phần nhỏ vao việc nghiên cứu va tìm hiểu phân tích các phươngthức bảo mật va quản lý hệ thống bằng tường lửa cho việc học tập va nghiên cứu Từ đónâng cao trình độ cũng như kiến thức của bản thân

Tuy nhiên, vì thời gian va kiến thức còn hạn chế nên trong quá trình lam đề tai emkhông thể tránh khỏi những thiếu xót, kính mong nhận được những thời nhận xét va góp

ý của quý thầy cô

1 Mục tiêu

-Tìm hiểu về các chức năng của firewall PfSense

Nắm được ý nghĩa va cách sử dụng các dòng lệnh của firewall PfSense

Tìm hiểu các mô hình triển khai PfSense

2 Phương pháp nghiên cứu

CHƯƠNG I: GIỚI THIỆU VỀ TƯỜNG LỬA PFSENSE

1 Tổng quan về tường lửa

1.2 Tác dụng của tường lửa

- Một tường lửa có thể lọc lưu lượng từ các nguồn truy cập nguy hiểm nhưhacker, một số loại virus tấn công để chúng không thể phá hoại hay lam tê liệt

hệ thống của người dùng Ngoai ra vì các nguồn truy cập ra vao giữa mạng nội

bộ va mạng khác đều phải thông qua tường lửa nên tường lửa còn có tác dụngtheo dõi, phân tích các luồng lưu lượng truy cập va quyết định sẽ lam gì vớinhững luồng lưu lượng đáng ngờ như khoá lại một số nguồn dữ liệu không chophép truy cập hoặc theo dõi một giao dịch đáng ngờ nao đó

Hình 1- 2 Công dụng của tường lửa

-Lưu lượng mạng thông qua tường lửa được lọc dựa trên các chính sách đãđược thiết lập, còn được gọi la các bộ lọc hoặc danh sách kiểm soát truy cập(ACL) Chúng la một bộ các chỉ lệnh có nhiệm vụ lọc ra các luồng dữ liệunguy hại hoặc không được cho phép truy cập, chỉ có các kết nối cho phép mớivượt qua hang rao an ninh của tường lửa

Do đó, việc thiết lập tường lửa la hết sức quan trọng, đặc biệt la đối với nhữngmáy tính thường xuyên kết nối internet

2 Tường lửa PfSense

2.1 Giới thiệu về PfSense

Hình 2- 1 Tường lửa PfSense

- PfSene la một dự án nguồn mở dựa trên nền tảng hệ điều hanh FreeBSD vađược sử dụng như một tường lửa (firewall) hoặc một thiết bị định tuyến

(router) Cùng với các chức năng quản lý mạnh mẽ, thân thiện với người dùngnên pfSense được cộng đồng sử dụng rộng rãi trong môi trường doanh nghiệpvừa va nhỏ

-PfSense yêu cầu cấu hình phần cứng thấp nên phù hợp cho việc tích hợp vaocác thiết bị tích hợp khác nhau nhằm tăng tính linh động va hiệu suất trong quátrình vận hanh

PfSense la tường lửa mềm, tức la ta chỉ cần một máy tính bất kì, hoặc tốt hơn

la một máy chủ, rồi cai đặt pfSense la đã có ngay một tường lửa mạnh mẽ cho

hệ thống mạng trong doanh nghiệp Trong phân khúc tường lửa cho doanhnghiệp vừa va nhỏ, với khoảng dưới 1000 người sử dụng, pfSense được đánhgiá la tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp ứng lên tới hangtriệu kết nối đồng thời Không những thế, tường lửa pfSense còn có nhiều tínhnăng mở rộng tích hợp, tất cả trong một, vượt xa các tưởng lửa thông thường,

kể cả các tường lửa cứng của các hãng nổi tiếng về thiết bị mạng

Hình 2- 2 pfSense Firewall

- PfSense bao gồm một số tính năng:

o Tường lửa tầng L3, L4, L7

o Chặn truy cập theo khu vực địa lý

o Quản lý chất lượng QoS

o Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)

o Cho phép chạy song hanh, failover

o Hỗ trợ ngôn ngữ tiếng Việt

o Tự động cập nhật black list

o Tự động nâng cấp phiên bản

- PSense được nhiều nha quản trị hệ thống tin tưởng vì tính tin cậy, cung cấpnhiều tính năng chỉ có thể được tìm thấy trên các thiết bị vật lý chuyên lamfirewall như Cisco, FView Postortigate, sophos, Draytek, … hoặc phần mềmFirewall khác

- Do tính linh hoạt khi nâng cấp máy chủ, hoan toan miễn phí, dễ sử dụng quảntrị của Firewall pfSense la một trong những điểm mạnh nhất, khi nó cho phépngười dùng cai đặt thêm các gói tiện ích mở rộng từ bên thứ 3 cung cấp dịchvụ.

2.2 Một số ưu điểm của PfSense

- Miễn phí, đó chính la ưu thế vượt trội của tường lửa pfSense Những thiết bịFirewall chuyên dụng đến từ các hãng chuyên nghiệp như Cisco, Juniper,Fortigate, Check Point… đều la những thiết bị mạnh mẽ, nhưng lại có chi phícao Do vậy nếu muốn tối ưu về chi phí sử dụng, người dùng nên cân nhắc giảipháp pfSense

-PfSense hoạt động ổn định với hiệu năng cao va đã được tối ưu hóa mã nguồn

va cả hệ điều hanh Cũng chính vì thê, pfSense không cần nền tảng phần cứngmạnh

Nếu doanh nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉcần cai đặt lên một máy tính cá nhân la có thể bắt đầu hoạt động Điều đó gópphần lam giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt khi doanhnghiệp muốn có nhiều hơn một tường lửa

- Có thể cấu hình pfSense một cách dễ dang, thông qua giao diện web

Hình 2- 3 Giao diện web của PfSense

CHƯƠNG II: TÌM HIỂU CÁC CHỨC NĂNG CỦA TƯỜNG

- Các thanh phần trong Aliases:

o Host: tạo nhóm các địa chỉ IP

o Network: tạo nhóm các mạng

o Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhómcác protocol Các protocol được sử dụng trong các rule

Hình 3- 2 Edit Aliases

1.2 Rules ( Luật)

- La nơi lưu các luật của tường lửa

- Mặc định pfSense cho phép mọi lưu thông ra/vao hệ thống Chúng ta phải tạocác rules để quản lý mạng bên trong firewall

Hình 3- 3 Rules pfSense

- Một số lựa chọn trong Destination va Source

o Any: Tất cả

o Single host or alias: Một địa chỉ ip hoặc la một bí danh

o Lan subnet: Đường mạng Lan

o Network: địa chỉ mạng

o Lan address: Tất cả địa chỉ mạng nội bộ

o Wan address: Tất cả địa chỉ mạng bên ngoai

o PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thứcPPT

o PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thứcPPPoE

1.3 NAT (Biên dịch địa chỉ mạng)

- Trong Firewall cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổngchuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể

Hình 3- 4 NAT Port Forward pfSense

- Một trong những tính năng chính của một Firewall ngoai việc lọc va thực hiệnNAT la định tuyến được lưu thông trong mạng Chức năng nay bao gồm :

Hình 3- 7 Routing pfSense

1.5 Virtual Ips ( IP ảo)

- Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NATthông qua IP ảo Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP vamột loại khác Mỗi loại đều rất hữu ích trong các tình huống khác nhau Tronghầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sửdụng Proxy ARP hoặc CARP Trong tình huống ma ARP không cần thiết,chẳng hạn như khi các IP công cộng bổ sung được định tuyến bởi nha cung cấpdịch vụ mạng, sẽ sử dụng IP ảo loại khác

Hình 3- 8 Virtual IPs pfSense

- Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượngcho những việc như chuyển tiếp cổng NAT, NAT Outbound va NAT 1:1 Họcũng cho phép các tính năng như failover, va có thể cho phép dịch vụ trênrouter để gắn kết với địa chỉ IP khác nhau

1.6 Schedules ( Lịch trình)

- Các rule của firewall có thể được chỉ định hoạt động vao nhưng thời điểm nhấtđịnh trong ngay hoặc các ngay trong tuần Đây la một chức năng rất hay vathường được các doanh nghiệp sử dụng để quản lý nhân viên sử dụng internettheo quy định

Hình 3- 9 Firewall Schedules

- Người dùng có thể tùy chỉnh linh hoạt từng ngay trong tháng, từng khoảng thờigian trong ngay.

Hình 3- 10 Schedule details

1.7 Traffic Sharper ( Quản lý băng thông)

- Phần lớn trong các hệ thống mạng, các user phải dùng chung một kết nốiinternet Khi một user sử dụng hết băng thông của hệ thống thì những userkhác sẽ bị ảnh hưởng, không thể truy cập internet hoặc rất chậm Cách giảiquyết vấn đề nay đó la triển khai dịch vụ traffic shapping (QoS) cho hệ thống

Hình 3- 11 Traffic Sharper pfSense

- Các tùy chọn cấu hình:

o Traffic sharper: tùy chỉnh schedule, băng thông upload/download củainterface

o Voice Over Ip (VOIP): sử dụng cho điện thoại VoIP

o Penalty Box: giám sát những host bị phạt khi dùng quá giới hạn băngthông

o Peer to Peer (P2P) networking: danh cho các kết nối peer to peer

o Network Games: cung cấp các quyền ưu tiên cho các hoạt động chơigame

o Raise or lower other application: tối ưu traffic cho các ứng dụng khác

Hình 4- 2 Available VPN Service

2.1.1 Open VPN

- OpenVPN la một VPN mã nguồn mở sử dụng sử dụng giao thức SSLv3/TLSv1

va OpenSSL để tạo ra các kết nối site-to-site an toan Nó cho phép các bên xácthực lẫn nhau bằng khóa bí mật chia sẻ trước (pre-shared secret key) va chứng thưkhoá công khai (public key certificate) hoặc tên người dùng/mật khẩu

Hình 4- 3 OpenVPN pfSense

- Mã hóa OpenVPN bao gồm một kênh dữ liệu va một kênh điều khiển Kênh điềukhiển để xử lý việc trao đổi key, trong khi kênh dữ liệu mã hóa lưu lượng truy cậpweb của người dùng VPN

Hình 4- 4 OpenVPN pfSense – Cryptographic Setting 1

Hình 4- 5 OpenVPN pfSense – Cryptographic Setting 2

2.1.2 IPSec (Giao thức bảo mật internet)

- IPSec (Internet Protocal Sercurity) la một giao thức mạng để bảo mật quá trìnhtruyền tin va thường được liên kết với VPN IPSec đề ra một tập các chuẩnđược phát triển bởi Internet Engineering Tast Force (IETF)

Hình 4- 6 IPSec pfSense - Tunnel

-IPSec cho phép việc truyền tải dữ liệu được mã hóa an toan ở lớp mạng

(Network Layer) theo mô hình OSI thông qua các router mạng công cộngInternet được cung cấp phổ biến hiện nay như: ADSL router, FTTH router, …

IPSec được sử dụng như một chức năng xác thực được gọi la AuthenticationHearder (AH) Nó được dùng trong việc chứng thực/mã hóa, kết hợp chứcnăng authentication va integrity gọi la Encapsulating Security Payload (ESP),đảm bảo tính nguyên vẹn của dữ liệu, chống quá trình replay trong các phiênbảo mật

2.1.3 L2TP (Giao thức đường hầm 2 lớp)

- L2TP (Layer 2 Tunneling Protocal) la sự kết hợp của Point to Point TunnelingProtocal (PPTP) va giao thức Layer 2 Forwarding (L2F) Đây la một giao thứctunneling được thiết kế để hỗ trợ các kết nối VPN

- L2TP la một giao thức kết hợp có tất cả các tính năng của PPTP, nhưng chạytrên một giao thức truyền tải nhanh hơn la UDP L2TP sử dụng username,password, địa chỉ IP va khóa chia sẻ trước ( pre-shared key) để chứng thực kếtnối Nó dùng các port 500, 1701 va 4500 để trao đổi khóa UDP, thực hiện cáccấu hình, va NAT

Hình 4- 7 L2TP pfSense

- Giao thức nay thường được ghép nối với IPSec để đáp ứng payload dữ liệu.Khi được ghép nối với IPSec, L2TP cũng đều có thể sử dụng các key mã hóalên đến 256-bit va thuật toán 3DES

2.2 Package Manager ( Trình quản lý gói)

- Ngoai những dịch vụ có sẵn sau khi cai đặt pfSense, người dùng còn có thể caiđặt thêm những dịch vụ khác được hỗ trợ trong phiên bản pfSense đang sửdụng ở mục Package Manager

thiết kế đơn giản, với hướng dẫn va điều khoản sử dụng, ô Username va

Password để đăng nhập Chức năng nay thường được sử dụng ở những hệthống mạng không dây ở những nơi công cộng như quán ca phê, siêu thị, …

Các cấu hình chính của Captive Portal

o Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal

o Maximum concurrent connections: Giới hạn các connection trên mỗiip/user/mac

o Idle timeout: Nếu mỗi ip không còn truy cập mạng trong 1 thời gianxác định thì sẽ ngắt kết nối của ip/user/mac

o Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac

Hình 4- 10 Captive portal configuration

o Logout popup windows: Xuất hiện 1 popup thông báo cho ip / user /mac

o Pre-authentication redirect URL: Địa chỉ URL ma người dùng sẽ đượcdirect tới trước khi đăng nhập

o After authentication Redirection URL: Địa chỉ URL ma người dùng sẽđược direct tới sau khi đăng nhập

o Blocked MAC address redirect URL: Địa chỉ URL ma các MAC bịchặn khi truy cập sẽ tới

Hình 4- 11 Captive portal configuration 2

o Pass-through MAC auto entry: Các MAC address được cấu hình trongmục nay sẽ được bỏ qua không authentication

Hình 4- 12 Captive portal configuration 3