Nâng cao hiệu quả quản lý truy cập mạng cho hệ thống firewall PFSense với tập người dùng động

Thực tiễn triển khai cho thấy việc tổ chức cấp phát địa chỉ IP hợp lý sẽ là tiền đề trong việc đơn giản hóa các luật trong bài toán quản lý truy cập trên một hệ thống mạng lớn có nhiều v

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

ĐINH HỒNG NGỌC

NÂNG CAO HIỆU QUẢ QUẢN LÝ

TRUY CẬP MẠNG CHO HỆ THỐNG FIREWALL PFSENSE VỚI TẬP NGƯỜI DÙNG ĐỘNG

IMPROVING MANAGEABILITY OF NETWORK ACCESS CONTROL FOR PFSENSE FIREWALL WITH A LARGE AND

DYNAMIC SET OF USERS

Ngành : Công nghệ thông tin

Chuyên ngành : Truyền dữ liệu và mạng máy tính

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HOÀNG XUÂN TÙNG

Hà Nội - năm 2014

LỜI CAM ĐOAN

Tôi xin cam đoan kết quả đạt được trong luận văn là sản phẩm của riêng cá nhân tôi, không sao chép lại của người khác Trong toàn bộ nội dung của luận văn những điều được trình bày hoặc là của cá nhân hoặc là được tổng hợp từ nhiều nguồn tài liệu Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp pháp

Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình

Hà Nội, tháng 11 năm 2014

Đinh Hồng Ngọc

MỤC LỤC

MỞ ĐẦU 8

CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ TRUY CẬP MẠNG 11

1.1 Các thành phần cơ bản của bài toán Quản lý truy cập mạng 11

1.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng 13

1.3 Vấn đề xác thực khi triển khai Quản lý truy cập 16

1.3.1 Xác thực với 802.1x 16

1.3.2 Xác thực với MAC filter 17

1.3.3 Xác thực với Captive Portal 17

1.4 Một số mô hình quản lý truy cập 18

1.4.1 Mô hình quản lý truy cập phân tán 18

1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal 18

1.4.3 Mô hình quản lý truy cập NAC của Cisco 19

1.4.4 Mô hình quản lý truy cập với PFSense 21

Kết luận chương 1 22

CHƯƠNG 2 QUẢN LÝ TRUY CẬP TRONG PFSENSE 23

2.1 Giới thiệu PFSense 23

2.2 Quản lý truy cập trong firewall PFSense 23

2.2.1 Chức năng firewall trong PFSense 23

2.2.2 Dịch vụ DHCP Server 26

2.2.3 Dịch vụ cân bằng tải (Load balancing) 28

2.2.4 Ứng dụng định tuyến trong PFSense 28

2.2.5 Dịch vụ Captive Portal 29

2.2.6 Chức năng VPN trong PFSense 29

2.3 XML trong quản lý cấu hình của PFSense 30

2.4 Các hạn chế của PFSense 32

2.4.1 Các hạn chế chung của PFSense 32

2.4.2 Hạn chế về dịch vụ DHCP 33

Kết luận chương 2 34

CHƯƠNG 3 ĐỀ XUẤT VÀ THỰC HIỆN 35

3.1 Bài toán quản lý người dùng thông qua cấp phát địa chỉ IP 35

3.2 Tổng quan về công cụ PFSenseMan 35

3.3 Phân tích tệp cấu hình của hệ thống firewall PFSense 37

3.4 Thiết kế kiến trúc công cụ PFSenseMan 38

3.4.1 Kiến trúc tổng thể của công cụ PFSenseMan 39

3.4.2 Biểu đồ use case tổng quát 40

3.4.3 Biểu đồ tuần tự 41

3.4.4 Biểu đồ lớp 41

3.5 Xây dựng các bản mẫu (Templates) chung 43

3.6 Phiên làm việc của PFSenseMan 47

CHƯƠNG 4 CÁC KẾT QUẢ ĐẠT ĐƯỢC 49

4.1 Hiệu quả về mặt thời gian 49

4.2 Hiệu quả về mặt tổ chức quản lý 50

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 52

TÀI LIỆU THAM KHẢO 54

PHỤ LỤC 55

Phụ lục 1: Biểu đồ use case quản lý DHCP 55

Phụ lục 2: Biểu đồ use case quản lý Aliases 57

Phụ lục 3: Biểu đồ tuần tự thêm mới nhóm NSD vào quản lý DHCP 58

Phụ lục 4: Biểu đồ tuần tự thêm mới nhóm NSD vào quản lý aliases 59

DANH MỤC CÁC CHỮ VIẾT TẮT

NAC Network Access Control

NAP Network Access Protection

TNC Trusted Network Connect

AP Access Point

VPN Virtual Network Private

RADIUS Remote Authentication Dial In User Service DMZ Demilitarized Zone

DHCP Dynamic Host Configuration Protocol OTP Interface

DNS Domain Name Services

ISP Internet Service Provider

ARP Address Resolution Protocol

CARP Common Address Redundancy Protocol

PF Packages Filter

PVS Posture Validation Server

RIP Routing Information Protocol

BGP Border Gateway Protocol

OSPF Open Shortest Path First

MD5 Message-Digest algorithm 5

SHA Secure Hash Algorithm

XML Extensible Markup Language

API Application Programming Interfaces

XPath XML Path Language

XSL Style-sheet Language

DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU VÀ ĐỒ THỊ

Hình 1.1: Mô hình NAC thực hiện với chế độ in-line 14

Hình 1.2: Mô hình NAC thực hiện với chế độ out-of-band 15

Hình 1.3: Mô hình xác thực thực hiện với 802.1x (nguồn: [12]) 16

Hình 1.4: Mô hình xác thực dựa trên MAC filter trong PFSense 17

Hình 1.5: Mô hình xác thực sử dụng Captive Portal 19

Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [13]) 20

Hình 2.1: Hoạt động của tường lửa và dòng dữ liệu (nguồn [5]) 24

Hình 2.2: Ví dụ về cấu hình các luật được áp dụng 25

Hình 2.3: WebGUI cấu hình DHCP Server trong PFSense 26

Hình 2.4: Tùy chọn tính năng MAC filter trong DHCP Server 27

Hình 2.5: Mô hình kết nối và trao đổi với DHCP server 31

Hình 2.6: Mô hình truy xuất dữ liệu thông qua cấu trúc tệp tin xml 32

Bảng 3.1: Bảng các tính năng trong bộ kiểm tra của PFSenseMan 36

Hình 3.1: Biểu đồ kiến trúc tổng thể công cụ PFSenseMan 39

Hình 3.2: Biểu đồ use case tổng quát của công cụ PFSenseMan 40

Hình 3.3: Biểu đồ lớp tổng quát của công cụ PFSenseMan 41

Hình 3.4: Cấu trúc thẻ <LAN> trong PFSense version 2.1 43

Hình 3.5: Cấu trúc <LAN> template 44

Hình 3.6: Cấu trúc <OTP> template 45

Hình 3.6: Cấu trúc <OTP> template 45

Hình 3.8: Cấu trúc <STATICMAP> template 46

Hình 3.9: Cấu trúc template thông tin người sử dụng 46

Bảng 4.1: So sánh hiệu quả về thời gian 50

Bảng 4.2: So sánh hiệu quả về tổ chức quản lý 51

Tôi xin bày tỏ lòng biết ơn sâu sắc đến Tiến sĩ Hoàng Xuân Tùng – Người thầy đã trực tiếp hướng dẫn tôi trong quá trình xây dựng và hoàn thành luận văn này

Cuối cùng tôi xin bày tỏ lòng biết ơn chân thành đến gia đình, bạn bè những người luôn động viên, giúp đỡ tôi rất nhiệt tình để hoàn thành luận văn

Hà nội, tháng 11 năm 2014

Học viên

Đinh Hồng Ngọc

MỞ ĐẦU

Quản lý người sử dụng truy cập mạng là một bài toán phổ biến hiện nay, mỗi tổ chức, doanh nghiệp có những nhu cầu quản lý với những đặc thù riêng Trong đó bài toán cấp phát địa chỉ IP động là một bài toán cốt lõi trong thực tiễn triển khai các mô hình mạng, nhằm mục đích tự động hóa và đảm bảo tính trong suốt đối với người sử dụng, và nhất quán đối với người quản trị Nó có thể

là một bài toán độc lập với các mô hình mạng đơn giản, ít người sử dụng, cũng

có thể là một bài toán con trong bài toán quản lý truy cập đối với các mô hình mạng lớn hơn có sử dụng các hệ thống tường lửa nhằm kiểm soát truy cập Thực tiễn triển khai cho thấy việc tổ chức cấp phát địa chỉ IP hợp lý sẽ là tiền đề trong việc đơn giản hóa các luật trong bài toán quản lý truy cập trên một hệ thống mạng lớn có nhiều vùng khác nhau như vùng Database, vùng Aplication, vùng DMZ, vùng WAN và các mạng con trong hệ thống mạng có sử dụng tường lửa Trong quá trình công tác chúng tôi đã ứng dụng triển khai hệ thống tường lửa mã nguồn mở PFSense nhằm quản lý và kiểm soát truy cập mạng đối với người sử dụng đầu cuối tại Học viện Cảnh sát nhân dân Sử dụng PFSense trong triển khai thực tế cho thấy tính năng DHCP trong PFSense là một công cụ hiệu quả với nhiều tính năng như:

 Cho phép quản lý cấp phát địa chỉ IP tập trung

 Tính năng DHCP của PFSense được tích hợp các VLAN ID nên có thể áp dụng triển khai trên từng VLAN độc lập trong cùng một hệ thống duy nhất

 Tích hợp tính năng MAC filter vào trong DHCP

 Dễ dàng sử dụng, trực quan do sử dụng giao diện WebGUI

Tuy vậy việc quản trị khả năng lọc địa chỉ MAC (MAC Filter) của dịch vụ DHCP trong PFSense mới chỉ tập trung vào các vấn đề cơ bản và còn nhiều bất tiện khi hệ thống có những đặc thù quản trị riêng như: (a) số lượng địa chỉ cần quản trị (tức số người dùng) lớn, và (b) tập các địa chỉ cần quản trị là động Điều này khiến cho việc sử dụng PFSense trong quản trị truy cập mạng tốn nhiều chi phí về thời gian và nhân lực mặc dù năng lực hoạt động cũng như tính năng của

PFSense là hoàn toàn đáp ứng việc phục vụ hầu hết mọi tập người dùng khi đã

có cấu hình đúng

Do đó trong luận văn này chúng tôi đề xuất phương án mở rộng khả năng quản lý cho tính năng DHCP của PFSense với các công cụ tự xây dựng gọi là

việc quản lý truy cập mạng đối với người sử dụng đầu cuối trong một hệ thống mạng có số lượng người sử dụng lớn và thay đổi thường xuyên Để chứng minh tính khả thi cũng như tính hiệu của của PFSenseMan, chúng tôi đã ứng dụng

thường xuyên thay đổi theo thời gian Thực tế triển khai PFSenseMan cho thấy

cầu về bảo mật, quản lý truy cập tài nguyên trên mạng ví dụ như môi trườngcủa Học viện Cảnh sát nhân dân Cảnh sát nhân dân, với các thao tác nghiệp vụ quản

thao tác của người quản trị

Kết quả ứng dụng cho thấy trong một môi trường sử dụng như trên hiệu quả sử dụng thể hiện qua những khía cạnh sau:

 Đối với người sử dụng: Đáp ứng yêu cầu kết nối nhanh

 Đối với người quản trị hệ thống:

o Hiệu quả hơn hàng nghìn giờ về mặt thời gian cho việc thực hiện cấu hình với khoảng 4000 người sử dụng, tần suất thay đổi trung bình 1000 người/năm

o Khả năng kiểm soát trùng lặp địa chỉ IP (khả năng mở rộng do PFSenseMan cung cấp)

o Dễ dàng tổ chức địa chỉ IP một cách hợp lý đáp ứng các yêu cầu xây dựng các luật kiểm soát truy cập tài nguyên trên hệ thống mạng

o Ứng dụng khiến cho việc quản trị người sử dụng đầu cuối nhanh chóng hơn thông qua đó việc xây dựng mô hình truy cập mạng cũng đơn giản ít tốn kém về chi phí hơn

CHƯƠNG 1: TỔNG QUAN VỀ QUẢN LÝ TRUY CẬP MẠNG

Quản lý truy cập mạng là một bài toán tổng quát và phổ biến hiện nay Tùy theo nhu cầu khác nhau của các tổ chức, doanh nghiệp mà họ lựa chọn các giải pháp khác nhau nhằm đáp ứng các yêu cầu quản gồm: Triển khai, thiết lập chính sách bảo mật và khắc phục các sự cố; Lập kế hoạch và chọn giải pháp phù hợp cho việc hợp lý hoá băng thông; Phân đoạn mạng nhằm mục tiêu hợp lý hoá băng thông, giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng; Quản trị mạng trong một hệ thống tập trung, vân vân

Cùng với đó việc các công nghệ xác thực, bảo mật khác nhau ra đời khiến cho bài toán “Quản lý truy cập mạng” càng trở nên thiết thực, phong phú hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn Có thể kể đến các giải pháp như: 802.1x [1], Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Netwwork Admission Control) [14], Mircosoft có gói giải pháp NAP (Network Access Protection) [15], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted Network Connect) [16], vân vân Nội dung chương này đề cập đến một số giải pháp phổ biến hiện nay, các chuẩn

về xác thực đồng thời đưa ra những nhận định, phân tích những điểm mạnh, điểm yếu của các giải pháp, các chuẩn xác thực của các giải pháp trên

1.1 Các thành phần cơ bản của bài toán Quản lý truy cập mạng

Tùy theo nhu cầu quản lý, đặc thù về chính sách truy cập tài nguyên khác nhau mà mỗi tổ chức, doanh nghiệp lựa chọn cho mình quy mô của bài toán quản lý truy cập mạng khác nhau Tuy vậy có 4 thành phần cơ bản cấu thành bài toán quản lý truy cập mạng gồm:

Authenticate: Người sử dụng đầu cuối bắt buộc phải xác thực trước khi kết

nối truy cập mạng Có 3 tùy chọn(02 tùy chọn less và 01 tùy chọn based) cho giải pháp xác thực kết nối mạng:

Agent- 802.1x : Đây là chuẩn xác thực như là một cách tiếp cận an toàn, thường được dùng trong xác thực qua các thiết bị access point Còn gọi là chính sách truy cập tiền kiểm tra qua các bước:

o Người sử dung kết nối vào mạng (qua AP hoặc Switch)

o AP/Switch khởi động 802.1x (EAP) để xác thực

o Người sử dụng xác thực theo chính sách đã đặt ra

o Nếu xác thực thành công người sử dụng sẽ được nhận một địa chỉ

IP theo phân hoạch để kết nối vào mạng, ngược lại sẽ bị từ chối kết nối mạng và không nhận được địa chỉ IP do hệ thống cấp phát

 Web-based Authentication: Đây là phương thức xác thực dựa trên nền tảng Web, nó thường được triển khai như một hệ thống Captive Portal [2] Còn gọi là chính sách xác thực hậu kiểm tra qua các bước:

o Người sử dụng kết nối mạng và nhận 01 địa chỉ IP, các gói tin đi qua hệ thống sẽ bị chặn lại

o Người sử dụng sẽ được chuyển hướng đến cổng xác thực thông tin trên nền web browser

o Người sử dụng xác thực theo tài khoản được cung cấp

o Trong trường hợp xác thực thành công người sử dụng sẽ được cấp quyền truy cập mạng theo các chính sách đã được thiết lập trước đó, ngược lại các gói tin kết nối đến hệ thống mạng tiếp tục bị chặn lại

 Agent-based: Người sử dụng sẽ được cung cấp các phần mềm Agent, việc xác thực sẽ do các Agent này đảm nhiệm thay cho con người theo các chính sách đã được thiết lập trước đó với từng nhóm Agent khác nhau

Enviroment: Sử dụng các thông tin môi trường của người sử dụng như là

một chính sách kiểm soát truy cập, ví dụ như các chính sách antivirus, license, cập nhật các bản vá lỗi của hệ điều hành… trên các thiết bị truy cập đầu cuối Để

sử dụng các thông tin này hệ thống quản lý truy cập phải đảm bảo các câu hỏi: Người sử dụng kết nối mạng từ đâu? Người sử dụng yêu cầu truy cập đến cái gì? Vấn đề an ninh trên các thiết bị đầu cuối như thế nào? Thông tin môi trường có thể bao gồm một số vấn đề sau:

 Phương thức truy cập (wired, wireless, VPN)

 Cách thức quản lý truy cập dựa vào thời gian hoặc phiên

 Nền tảng hệ điều hành của các thiết bị đầu cuối (Windows, MAC…)

 Phương thức xác thực ( user/pass hoặc MAC filter)

 Các công cụ hỗ trợ an ninh (Phần mềm antivirus, firewall)

 Các ứng dụng (đang chạy)

 Các cấp của bản vá lỗi

Access Control: Quản lý truy cập dựa trên các thiết bị phần cứng hoặc là

các chính sách về an ninh thông tin, các yêu cầu cụ thể bao gồm:

 Cho phép hoặc từ chối kết nối mạng

 Cấp phát địa chỉ IP của mỗi VLAN tương ứng khi kết nối với quyền truy cập và môi trường truy cập mạng

 Lọc các gói tin đi qua hệ thống mạng

 Kiểm tra trạng thái tường lửa trên các thiết bị đầu cuối

 Gửi các cảnh báo đến người sử dụng khi phát hiện ra vấn đề vi phạm các yếu tố an ninh, bảo mật, vân vân

Management: Quản lý truy cập dựa trên các thiết bị phần cứng hoặc là các

chính sách về an ninh thông tin (phần mềm) Tất cả các cấu hình về chính sách

và điều khiển truy cập đều được thể hiện qua giao diện trực quan, giúp người quản trị dễ dàng cấu hình hệ thống cũng như các hoạt động giám sát một cách hiệu quả

1.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng

Tùy theo yêu cầu triển khai, hạ tầng hệ thống mạng và các yêu cầu quản lý

mà người xây dựng hệ thống có thể tiếp cận theo một trong các triết lý sau:

Agent-less hay Agent-based

Agent-less: Việc xác thực kết nối hệ thống mạng và truy xuất tài nguyên

dựa vào yếu tố con người chứ không phụ thuộc vào các phần mềm cài đặt trên các thiết bị đầu cuối, các chính sách truy cập do hệ thống đặt ra sẽ được phản hồi bởi các tương tác của người sử dụng với hệ thống đó Ví dụ như xác thực bằng username/password, mã xác thực sử dụng giao thức RADIUS[2] để đảm nhiệm hay xác thực MAC filter do người sử dụng cung cấp địa chỉ MAC

Ưu điểm của phương pháp này là không cần cài đặt các phần mềm trên thiết bị đầu cuối và dễ dàng, nhanh chóng triển khai, tuy vậy nhược điểm của nó

là người sử dụng phải quản lý và khai báo với hệ thống các thông tin trên thiết bị đầu cuối khi cần thiết

Agent-based: Việc xác thực kết nối hệ thống mạng và truy xuất tài nguyên

dựa vào phần mềm Agent-client được cài đặt trên thiết bị của người sử dụng đầu cuối Phần mềm này sẽ thay con người làm các thao tác thu thập thông tin trên thiết bị và gửi yêu cầu về Server để từ đó các chính sách truy cập được áp dụng

Ưu điểm của phương pháp này là có thể triển khai rất nhiều giải pháp xác thực, quản lý truy cập khác nhau đảm bảo yếu tố an toàn, an ninh khi các thiết bị

đầu cuối kết nối vào mạng Nhược điểm của phương pháp này là thiết bị đầu cuối phụ thuộc vào hệ điều hành, việc quản trị hệ thống sẽ rất phức tạp và khó khăn Khi không có sự hiểu rõ sâu sắc về kiến trúc mạng sẽ không thể xây dựng các chính sách để đáp ứng được các yêu cầu quản lý truy cập

Inline hay Out-of-band

Inline: Mô hình này nhằm kiểm soát chặt chẽ việc truy cập từ bên trong

các mạng con, việc triển khai mô hình này sẽ tốt hơn về mặt quản lý truy cập tài nguyên trên mạng, trao đổi thông tin giữa các mạng con, giữa mạng con với vùng DMZ…Tuy vậy nó cũng có những hạn chế như: Chi phí triển khai cao, hiệu suất sử dụng mạng thấp và có nguy cơ nghẽn cổ chai tại các getway của các mạng con khi thiết bị quản lý bị lỗi

Hình 1.1: Mô hình NAC thực hiện với chế độ in-line

Out-of-band: Mô hình này thích hợp cho việc triển khai các hệ thống

mạng công cộng, việc kiểm soát truy cập chủ yếu giữa mạng Internal và mạng External Ưu điểm của mô hình này là chi phí triển khai thấp, ít ảnh hưởng đến lưu lượng mạng Nhược điểm của mô hình này là khó khăn trong việc thiết lập quản lý truy cập tài nguyên trong mạng

Hình 1.2: Mô hình NAC thực hiện với chế độ out-of-band

Pre-Admission hay Post-Admission

Pre-Admission: Tiền kiểm tra là cách tiếp cận yêu cầu xác thực trước khi

hệ thống cấp phát địa chỉ IP cho thiết bị đầu cuối cho phép kết nối mạng, giải pháp này thường áp dụng trong các chuẩn 802.1x [1] hoặc chức năng DHCP có tích hợp MAC filter Ưu điểm của nó là ngăn ngừa được sự phá hoại của các chương trình virus gửi các thông tin đến hệ thống hoặc các thiết bị khác trong mạng Đối với giải pháp DHCP tích hợp tính năng MAC filter còn giúp cho việc xây dựng các luật quản lý truy cập đến các tài nguyên dễ dàng và linh hoạt hơn

Post-Admission: Hậu kiểm tra là cách tiếp cận thiết bị đầu cuối khi yêu

cầu kết nối vào hệ thống mạng sẽ được cung cấp địa chỉ IP, tuy nhiên các gói tin gửi đi từ phía thiết bị đầu cuối sẽ bị chặn lại cho đến khi người sử dụng hoàn thành xác thực trên một trang web được hệ thống tự động chuyển hướng tới Giải pháp này thường được triển khai như một dịch vụ Captive Portal dựa trên giao thức RADIUS[2] Ưu điểm của cách tiếp cận này là dễ dàng triển khai, tuy nhiên nhược điểm của nó là khó khăn trong việc xây dựng các luật truy xuất tài nguyên Hầu như cách tiếp cận này được triển khai trong môi trường mạng công cộng truy cập Internet chứ không được triển khai đối với hệ thống mạng đòi hỏi các yêu cầu về luật truy xuất tài nguyên phức tạp

1.3 Vấn đề xác thực khi triển khai Quản lý truy cập

Trong bất kỳ bài toán quản lý truy cập mạng nào vấn đề xác thực luôn là yếu tố đầu tiên cần quan tâm, chính sách truy cập quan hệ mật thiết với vấn đề xác thực khi thiết bị đầu cuối kết nối vào hệ thống mạng Các yếu tố xác thực như MAC filter [3][4] được tích hợp trong DHCP message hay 802.1x [1] thường là những yếu tố đầu tiên cần tính đến khi triển khai các giải pháp về quản lý truy cập

1.3.1 Xác thực với 802.1x

Đây là chuẩn xác thực phổ biến nhất hiện nay được áp dụng trong các chuẩn kết nối LAN hoặc WLAN, trong các chuẩn kết nối không dây như 802.11 phương thức xác thực sử dụng các khóa bí mật dựa trên mã hóa TKIP hoặc AES

Hình 1.3: Mô hình xác thực thực hiện với 802.1x (nguồn: [12])

Điểm mạnh

 Có thể ngăn chặn các kết nối đến mạng trước khi thiết bị đầu cuối nhận được địa chỉ IP

 Dễ dàng triển khai với các mô hình mạng nhỏ, ít đòi hỏi các yêu cầu

về quản lý truy cập tài nguyên

Điểm yếu

 Khó khăn trong việc quản lý với số lượng thiết bị lớn và thường

xuyên thay đổi

 Không phải tất cả các yếu tố cần phát hiện, quản lý đều được hỗ trợ

trong chuẩn 802.1x

 Chi phí để triển khai lớn đối với mô hình quản lý tập trung

1.3.2 Xác thực với MAC filter

Mỗi thiết bị card mạng có một địa chỉ MAC duy nhất, do vậy việc xác thực

dựa vào MAC filter thực chất là việc xây dựng một danh sách các địa chỉ MAC

được cho phép hay từ chối kết nối mạng Phương pháp xác thực này thường

được tích hợp trong dịch vụ DHCP

Hình 1.4: Mô hình xác thực dựa trên MAC filter trong PFSense

Việc xác thực dựa trên MAC filter là phương pháp đòi hỏi nhiều công sức

trong việc tạo lập danh sách các địa chỉ MAC, nó cũng không phải là phương

pháp xác thực an toàn tuyệt đối vì người sử dụng đầu cuối có thể giả mạo địa chỉ

MAC để truy cập đến hệ thống mạng Mặt khác do việc xác thực này được tích

hợp trong dịch vụ DHCP do vậy nó làm hạn chế các tính năng của DHCP Tuy

vậy việc sử dụng chúng một cách hợp lý sẽ rất hiệu quả trong việc quản lý truy

cập tài nguyên trong một hệ thống mạng phức tạp

1.3.3 Xác thực với Captive Portal

Captive Portal là một giải pháp xác thực bằng cách buộc người sử dụng

người dùng cần nhập tài khoản và mật khẩu của mình để xác thực Kỹ thuật

Formatted: Heading 3, Left, Indent: First line:

0", Space Before: 0 pt, After: 0 pt, Line spacing: single

Captive Portal biến Web browser thành một côngcụ xác thực hiệu quả Việc này được thực hiện thông qua việc ngăn chặn tất cả các gói tin (bất kể địa chỉ IP và port nào) cho đến khi nào người sử dụng vượt qua được chứng thực trên trang web mà hệ thống chuyển hướng đến.

1.4 Một số mô hình quản lý truy cập

1.4.1 Mô hình quản lý truy cập phân tán

Mô hình quản lý cấp phát địa chỉ phân tán được ứng dụng phổ biến trong các mạng cỡ nhỏ, việc triển khai tương đối dễ dàng, ít được xây dựng cho các mạng cỡ vừa và lớn, đòi hỏi chia tách thành nhiều mạng con và những yêu cầu

về bảo mật, quản lý băng thông, quản lý truy cập tài nguyên, định tuyến, vân vân

1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal

Mô hình quản lý truy cập dựa trên kỹ thuật Captive Portal thường được triển khai trong các mạng công cộng, việc kiểm soát truy cập được thực hiện trên một cửa duy nhất, một số phần mềm phổ biến hiện nay về Captive Portal như: PFSense, Amigopod and ArubaOS Integration, CentOS, Chillispot, vân vân Captive Portal là một giải pháp buộc người sử dụng trước khi truy cập vào mạng phải phải chuyển hướng tới một trang web đặc biệt Kỹ thuật Captive Portal biến Web browser thành một công cụ chứng thực hiệu quả Việc này được thực hiện thông qua việc ngăn chặn tất cả các gói tin (bất kể địa chỉ IP và port nào) cho đến khi nào người sử dụng vượt qua được chứng thực trên trang web

mà hệ thống chuyển hướng đến

Hình 1.5: Mô hình xác thực sử dụng Captive Portal

Captive Portal có thể sử dụng các máy chủ chứng thực Radius [2] để thực hiện việc xác thực, việc này giảm thiểu khá nhiều thời gian cho việc quản ký kết nối mạng, tuy nhiên việc điều hướng truy cập tài nguyên trong mạng đối với các thiết bị đầu cuối là khó khăn và không đảm bảo được các yêu cầu về quản lý truy xuất tài nguyên

1.4.3 Mô hình quản lý truy cập NAC của Cisco

Cisco là hãng đầu tiên đặt nền móng cho khái niệm NAC (Network Access Control) sau này, kiến trúc NAC của Cisco tập trung vào các mục tiêu kiểm soát

cơ bản đối với các thiết bị đầu cuối trước khi kết nối mạng như: Antivirus, Health Agent, Patch Agent

Giải pháp NAC của Cisco dựa trên chế độ hoạt động Agent-based, Cisco cũng định nghĩa ra một số khái niệm như Posture Validation Server (PVS), PVS

là một phần trong các chính sách truy cập mạng của người sử dụng cuối cho phép người quản trị thiết lập các chính sách về truy cập tập trung Tuy nhiên giải pháp NAC của Cisco đã thất bại trong việc không quản lý được các vấn đề phát sinh ở thiết bị đầu cuối, sau nữa là cơ chế hoạt động của các Agent phụ thuộc vào các chương trình anti-virus, anti-mailware, patch, vân vân của các hãng thứ

ba, do vậy gây khó khăn trong việc thiết lập kết nối mạng cho người sử dụng đầu cuối không cập nhật kịp thời các bản vá lỗi, các bản update

Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [13])

Một số lợi ích trong giải pháp NAC của Cisco

Như vậy có thể thấy Network Access Control là một giải pháp tương đối an toàn cho việc quản lý truy cập, tập trung vào việc kiểm soát các vấn đề an ninh trên thiết bị đầu cuối Mặc dù còn rất nhiều vấn đề khi triển khai NAC trong thực tế như lựa chọn mô hình, chi phí đầu tư, các chính sách truy cập tài nguyên mạng, vân vân Tuy nhiên những lợi ích khi triển khai NAC là cần thiết cho nhu cầu thiết lập các hệ thống mạng ngày nay, các lợi ích đó gồm:

 Kiểm soát, quản lý truy cập, quản lý khai tác tài nguyên trên mạng đối người sử dụng đầu cuối

 Ngăn chặn các chương trình mã độc, virus lây lan, phát tán ra toàn bộ hệ thống mạng

 Loại bỏ các mối nguy hiểm tiềm ẩn từ các thiết bị client thông qua việc kiểm soát các thiết bị đầu cuối

 Nâng cao tính sẵn sàng của hệ thống mạng và giảm sự gián đoạn cung cấp dịch vụ cho thiết bị đầu cuối

 Đảm bảo các thiết bị đầu cuối sử dụng các chương trình diệt virus và tường lửa đúng cách, đáp ứng các chính sách đặt ra

 Dễ dàng tích hợp được với giải pháp Endpoint Protection

1.4.4 Mô hình quản lý truy cập với PFSense

PFSense là một hệ thống tường lửagiải pháp phần mềm tích hợp mạnh mẽ hoàn toàn miễn phí, cho phép quản lý tập trung hầu hết các yêu cầu cấu hình của

hệ thống nhất quán, đảm bảo đầy đủ các tính năng cơ bản cho một hệ thống mạng cỡ lớn, đòi hỏi các yêu cầu về bảo mật, định tuyến, cân bằng tải như:

(DHCPd tích hợp trong nhân của FreeBSD)

 Traffic Shaper: Được cung cấp bởi dummynet and ipfw trong nhân của FreeBSD

 NAT + routing: Được cung cấp bởi Quagga [11]

Tính năng DHCP trong PFSense được tích hợp thêm MAC filter tạo cho chúng những ưu điểm nổi trội trong quản lý truy cập như:

 Cho phép cấu hình cấp phát địa chỉ động độc lập trên từng VLAN riêng biệt Hỗ trợ nhiều subnet khác nhau (từ 0 32 bit) do vậy có thể thiết lập cấu hình cấp phát địa chỉ động cho mỗi VLAN khác nhau với

 Hỗ trợ đầy đủ file logs để người quản trị tiện theo dõi quá trình cấp phát địa chỉ động trên hệ thống

Bài toán cấp phát địa chỉ IP trong PFSense đóng vai trò như một tiền đề để

từ đó xây dựng các chính sách truy cập tài nguyên của hệ thống mạng Nó được tích hợp một cách xuyên suốt trong một hệ thống nhất quán Từ việc xây dựng chính sách cấp phát địa chỉ IP cho các thiết bị clients người quản trị sẽ thực hiện các bước tiếp theo như: Quản lý băng thông đến từng thiết bị clients Xây dựng các luật truy cập đến tài nguyên hệ thống dựa vào các luật Định tuyến trong một

mô hình mạng đòi hỏi các yêu cầu quản lý phức tạp

Kết luận chương 1

Nội dung chương này làm rõ nội hàm và một số khái niệm của bài toán

“Quản lý truy cập mạng” tổng quát Bài toán “Quản lý truy cập mạng” hiện nay đóng một vai trò hết sức quan trọng, thiết thực trong việc xây dựng các mô hình mạng hướng người sử dụng Cũng trong chương này chúng tôi cũng giới thiệu một số kiến trúc mô hình Quản lý truy cập phổ biến hiện nay như: Mô hình quản

lý truy cập phân tán, Mô hình quản lý truy cập dựa trên Captive Portal, Mô hình quản lý truy cập dựa trên firewal và mô hình quản lý truy cập NAC của Cisco Nội dung chương này còn giới thiệu sơ bộ về hệ thống tích hợp mã nguồn

mở PFSense, một hệ thống tường lửa mạnh mẽ, miễn phí tích hợp tính năng định tuyến và rất nhiều dịch vụ khác nhau PFSense thiết thực với bài toán

“Quản lý truy cập mạng” vì nó cung cấp các dịch vụ độc lập, phong phú cho phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập người dùng đa dạng, tập chung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với người

sử dụng đầu cuối

Nội dung chương 2 sẽ giới thiệu kỹ hơn về hệ thống tích hợp PFSense và những ứng dụng bài toán “Quản lý truy cập mạng” thực tế đã được triển khai Đồng thời cũng nêu bật những ưu điểm, nhược điểm khi triển khai và hướng khắc phục sẽ được thực hiện ở nội dung chương 3

CHƯƠNG 2 QUẢN LÝ TRUY CẬP TRONG PFSENSE

2.1 Giới thiệu PFSense

PFSense [6][7] là được giới thiệu với cộng đồng công nghệ như một hệ thống tường lửa mã nguồn mở, có tích hợp nhiều tính năng khác như chức năng

định tuyến, phân tải, quản lý địa chỉ, vân vân được viết bằng ngôn ngữ PHP

thống được thực hiện một cách trực quan, dễ nhớ, dễ thao tác Giao diện quản trị của PFSense được thực hiện với Apache và PHP

Ngoài việc là một hệ thống tường lửa mạnh mẽ, linh hoạt, và hỗ trợ chức năng định tuyến làm nền tảng, PFSense còn hỗ trợ rất nhiều các tính năng cũng như các công cụ quản lý, điều khiển truy cập Song song với đó PFSense cho phép những người phát triển tích hợp các gói dịch vụ cần thiết khác mà không cần bất kỳ một thỏa thuận về tính pháp lý nào

PFSense là một hệ thống phổ biến với hơn một triệu lượt tải về kể từ khi dự

án được triển khai và đã được chứng minh trong vô số các cài đặt khác nhau từ các mạng gia đình với một vài máy tính, đến các hệ thống mạng của các tập đoàn, trường đại học và các tổ chức khác để bảo vệ, quản lý truy cập hàng ngàn thiết bị trong hệ thống mạng

Dự án PFSense được phát triển từ năm 2004 bởi Chris Buechler and Scott Ullrich với tiền thân là m0n0wall và đã cho thấy đó là một dự án hữu ích, khả dụng Tuy vậy giai đoạn đầu PFSense còn một số hạn chế về driver hỗ trợ các thiết bị máy chủ Ngày nay PFSense đã khắc phục nhược điểm này và được ứng dụng ngày càng rộng rãi cho các tổ chức, doanh nghiệp vừa và nhỏ

2.2 Quản lý truy cập trong firewall PFSense

Một trong những chức năng chính của PFSense là lọc các gói tin đi qua nó, bất kể triển khai PFSense theo ứng dụng nào Phần này giới thiệu các nguyên tắc

cơ bản của tường lửa và một số thành phần chính trong việc thiết lập điều khiển các gói tin

2.2.1 Chức năng firewall trong PFSense

Nguyên lý điều khiển gói tin của firewall

Cũng như nhiều hệ thống firewall khác [5], PFSense hoạt động theo nguyên tắc: Khi tường lửa nhận một gói tin, đầu tiên gói tin đó phải trải qua lớp lọc liên kết Sau đó, nó được kiểm tra bởi bộ quy tắc động; tiếp đến là kiểm tra tính hợp pháp, lọc cổng và IP Cuối cùng, việc truyền đạt địa chỉ mạng/cổng được thực hiện Hoạt động trên được mô tả qua sơ đồ dòng dữ liệu (Hình 2.1)

Hình 2.1: Hoạt động của tường lửa và dòng dữ liệu (nguồn [5])

Một trong những ứng dụng phổ biến nhất của PFSense là ứng dụng làm

một hệ thống firewall mềm, với tính năng cơ bản packet filter PFSense sử dụng giao diện WebGUI để thiết lập các Rules cho hầu hết các giao thức TCP, UDP, ICMP, vân vân, ngoại trừ giao thức P2P Có thể áp dụng PFSense cho mô hình mạng với số lượng người dùng hàng nghìn người để lọc các gói tin đi qua nó Với hàng triệu lượt download và sử dụng PFSense đã chứng minh nó là một hệ thống tường lửa mạnh mẽ và sử dụng phổ biến nhất hiện nay trong các hệ thống tường lửa mã nguồn mở PFSense cũng rất dễ dàng tích hợp với các thiết bị firewall cứng của các hãng lớn như Cisco, Juniper, vân vân

PFSense còn cung cấp các file logs, biểu đồ (traffic graph, RRD graph) để người quản trị có thể theo dõi lưu lượng, các gói tin block, pass, reject để từ đó xây dựng các chính sách truy cập cho phù hợp với thực tế

Các thuật ngữ cơ bản của chức năng firewall

Rule và Ruleset là 2 thuật ngữ được sử dụng xuyên suốt trong phần này

Một Rule hay một Ruleset là một tập các cấu hình cho phép hay ngăn chặn các gói tin từ thiết bị này đến thiết bị khác hoặc mạng này đến mạng khác Hệ thống firewall PFSense sẽ thực hiện các luật theo nguyên tắc lần lượt các luật từ trên xuống dưới, khi có sự mâu thuẫn về luật thì ưu tiên luật bên trên

PFSense cho phép xây các luật trên nguyên tắc: Các luật chung, được đặt phía dưới còn các luật riêng đặt phía trên Điều này hạn chế tối đa các ngoại lệ

có thể bỏ sót khi PFSense thực thi các luật tuần tự từ trên xuống dưới

Hình 2.2: Ví dụ về cấu hình các luật được áp dụng (nguồn: PFSense screenshot)

State table là bảng trạng thái kết nối Khi một kết nối được thực hiện,

PFSense xây dựng một bảng trạng thái dựa trên các Rule đã được xây dựng Từ bảng trạng thái này sẽ quyết định việc cho phép hoặc từ chối gửi hoặc nhận các gói tin được yêu cầu từ phía clients đến địa chỉ đích Bao gồm các gói tin sử dụng các giao thức khác nhau như ICMP, UDP, TCP và một số giao thức khác

Bảng trạng thái được hệ thống PFSense đặt mặc định là 10.000 kết nối đồng thời, có thể thay đổi thay đổi bảng kích thước này trong phần tùy chọn phụ thuộc vào hệ thống mạng đang quản lý có số lượng người sử dụng như thế nào, lưu ý mỗi trạng thái kết nối tương đương 1KB kích thước bộ nhớ RAM

Aliases cho phép gộp nhóm các ports, hosts hoặc networks thành tên và sử

dụng trong các cấu hình firewall rules, NAT, traffic shaper, vân vân điều này cho phép tạo ra các tập quy tắc ngắn gọn, dễ dàng quản lý hơn

CARP là một giao thức nhiều thiết bị trong cùng mạng chia sẻ tập hợp các

địa chỉ IP, mục đích của nó cung cấp chuyển đổi dự phòng được sử dụng cấu hình trong hệ thống tường lửa, định tuyến và cấu hình cân bằng tải Giao thức này được tích hợp và sử dụng nhiều trong hệ điều hành FreeBSD

2.2.2 Dịch vụ DHCP Server

DHCP Server là dịch vụ phổ biến trong các hệ thống mạng, dịch vụ này đảm nhiệm vai trò cấp phát địa chỉ IP cho các máy clients trong mạng Nó được kích hoạt mặc định trên các subnet hoặc VLAN, dịch vụ DHCP Server cũng đồng thời gán các địa chỉ geteway và địa chỉ DNS Server nếu như dịch vụ DNS forwarder được kích hoạt Ngoài ra còn rất nhiều tùy chọn khác khi cấu hình dịch vụ này

Hình 2.3: WebGUI cấu hình DHCP Server trong PFSense (nguồn: PFSense screenshot)

Trên mỗi VLAN đều hỗ trợ tính năng DHCP riêng biệt, nó được kích hoạt hay vô hiệu độc lập với nhau Như hầu hết các dịch vụ DHCP trên hệ thống khác người sử dụng dễ dàng vượt qua việc kiểm soát truy cập này bằng cách thiết lập địa chỉ IP tĩnh phù hợp cho thiết bị đầu cuối, do vậy PFSense cung cấp thêm tính năng kiểm tra tính hợp lệ của thiết bị đầu cuối thông qua địa chỉ MAC bằng cách kiểm tra gói tin ARP khi máy tính client bắt đầu thiết lập kết nối xin cấp phát địa chỉ IP Điều này đã cải thiện đáng kể những hạn chế của dịch vụ DHCP Server

và trở thành một trong những công cụ hữu ích, dễ dàng sử dụng với giao diện WebGUI giúp người quản trị thiết lập một hệ thống mạng an toàn, ngăn ngừa sự xâm nhập trái phép từ các clients Tuy vậy việc cấp phát địa chỉ IP cho từng clients theo địa chỉ MAC trong một quy mô mạng có nhiều người sử dụng thường phải chi phí rất cao về mặt thời gian, nhân sự

Hình 2.4: Tùy chọn tính năng MAC filter trong DHCP Server (nguồn: PFSense screenshot)

DHCP trong PFSense cho phép cấu hình tối đa 2 máy chủ chạy dịch vụ WINS Server, 2 máy chủ này không nhất thiết phải đặt trong cùng một subnet Nhưng để điều hướng các thiết bị clients đến các máy chủ đó thì phải được cấu hình định tuyến giữa subnet đó với địa chỉ IP của các máy chủ chạy dịch vụ WINS Server

Nếu dịch vụ DNS Forwarder đang được sử dụng thì khi cấp phát địa chỉ IP cho các clients dịch vụ DHCP Server mặc định sẽ gán địa chỉ của máy chủ DNS cho các clients này khi trường này bị bỏ trống

DNS Forwarder được kích hoạt mặc định trên hệ thống firewall PFSense,

sử dụng những máy chủ DNS được cấu hình trong hệ thống hoặc thu được tự động từ các ISP thu được từ các cấu hình WAN Interface (DHCP, PPPoE, PPTP) trong hệ thống và được lưu lại trong bộ nhớ đệm

Ở các phiên bản trước việc kết nối đến các máy chủ DNS theo nguyên tắc: Thử kết nối đến từng máy chủ, nếu thất bại thì chuyển sang máy chủ khác Điều này dẫn đến độ trễ khi một hay nhiều máy chủ DNS không thể kết nối được Từ phiên bản PFSense 1.2.3 trở đi việc truy vấn các máy chủ DNS được thực hiện cùng một lúc và nếu kết nối được đến mày chủ nào sẽ lưu cấu hình của máy chủ

đó trong bộ nhớ đệm, điều này đã cải thiện đáng kể tốc độ kết nối mạng

2.2.3 Dịch vụ cân bằng tải (Load balancing)

Chức năng cân bằng tải của PFSense được cung cấp bởi dummynet [8] nó

hỗ trợ triển khai theo cả 2 hướng Inbound và Outbound Hướng Outbound có thể triển khai chức năng này bằng cách kết hợp nhiều đường WAN vào nhằm đáp ứng băng thông lớn hơn cho các thiết bị trong mạng internal ra ngoài Internet Hướng Inbound được sử dụng bởi các nhà cung cấp dịch vụ như Webservice để

có thể đáp ứng yêu cầu truy cập đồng thời vào hệ thống với số lượng lớn PFSense cung cấp hai tùy chọn cho chức năng cân bằng tải đó là failover

và load balancer

 Tùy chọn failover cho phép triển khai các đường WAN dự phòng với các thứ tự ưu tiên từ 1 n Khi đường WAN thứ nhất bị lỗi hoặc hết băng thông sẽ tự động chuyển xuống các đường WAN có mức ưu tiên thấp hơn

 Tùy chọn load balancer cho phép hệ thống tự động chia tải đều trên các WAN dựa vào thời gian trả lời các request yêu cầu từ phía các client Nếu thời gian phản hồi các yêu cầu từ WAN thứ nhất chậm trễ thì yêu cầu sẽ được tự động chuyển sang các đường WAN khác Với tùy chọn này bắt buộc phải đặt một đường WAN làm mặc định Trong thực tế tùy thuộc vào nhu cầu thiết kế hệ thống mạng mà người quản trị có thể áp dụng một trong hai tùy chọn trên hoặc kết hợp cả hai tùy chọn với nhau để đạt được hiệu quả cần thiết

2.2.4 Ứng dụng định tuyến trong PFSense

Một tính năng cơ bản khác của PFSense đó là chức năng làm công cụ định tuyến Trong mô hình mạng cho các tổ chức như trường đại học, doanh nghiệp

cỡ vừa, lớn đòi hỏi hệ thống mạng phải được phân tách thành nhiều vùng riêng biệt như vùng DMZ, vùng Database Server, Aplication Server, vùng mạng LAN PFSense đáp ứng đầy đủ các yêu cầu về định tuyến với 2 cách thức triển khai dưới đây:

 Static Routes: Thiết lập bảng định tuyến tĩnh giữa các thiết bị router với các mạng con, các máy chủ cài đặt dịch vụ, vân vân, theo những cổng được khai báo trên hệ thống PFSense

 Routing Public IPs: Cấu hình định tuyến các địa chỉ IP công cộng khi muốn cấu hình một subnet cho một interface mạng bên trong hệ thống firewall Giao thức CARP thường được sử dụng trong cách thức triển khai này Cần ít nhất hai địa chỉ IP public một gán cho địa chỉ của WAN và một địa chỉ còn lại gán cho một cho các mạng con bên trong hệ thống firewall

Các giao thức định tuyến được hỗ trợ trong PFSense gồm RIP (Routing Information Protocol), BGP (Border Gateway Protocol) ngoài ra PFSense còn

hỗ trợ giao thức OSPF (Open Shortest Path First) được cài đặt như một packages tại một số điểm

2.2.5 Dịch vụ Captive Portal

Nội dung chương một đã đề cập đến một giải pháp quản lý truy cập dựa trên kỹ thuật Captive Portal, đó là phương pháp tự động chuyển hướng người sử dụng đến một trang xác thực được xây dựng bằng cách chặn bắt tất cả các gói tin (bất kể địa chỉ IP và port nào) cho đến khi nào người sử dụng vượt qua được chứng thực trên trang web mà hệ thống chuyển hướng đến PFSense cung cấp dịch vụ Captive Portal với những đặc điểm [6][7] như:

 Có thể cấu hình cho nhiều interface hoặc trên mỗi interface độc lập

 Captive Portal hỗ trợ xác thực với chính PFSense hoặc thông qua máy chủ FreeRadius

 Có 2 phương pháp xác thực: dựa vào cặp Username/Password hoặc Voucher key

 Hỗ trợ MAC filter trong xác thực

 Hỗ trợ xác thực theo thời gian thực hoặc theo phiên

2.2.6 Chức năng VPN trong PFSense

VPN là một tính năng hết sức quan trọng trong một hệ thống mạng, nó cung cấp dịch vụ truy cập thông tin nội bộ từ mọi nơi một cách an toàn, ít tốn kém trong xu thế hiện nay Từ những phiên bản 1.2.x về trước PFSense chỉ cung cấp một giao thức VPN duy nhất đó là PPTP với xác thực bằng cặp username/password nên tính năng VPN kém an toàn và dễ bị đánh cắp mật khẩu bằng nhiều cách khác nhau Do vậy từ phiên bản 2.0 trở đi PFSense cung cấp thêm 02 cách triển khai VPN gồm: IPSec, OpenVPN với các chứng thực an toàn