Thực tiễn triển khai cho thấy việc tổ chức cấp phát địa chỉ IP hợp lý sẽ là tiền đề trong việc đơn giản hóa các luật trong quản lý truy cập trên một hệ thống mạng lớn có nhiều vùng khác
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VINH
Trang 2BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VINH
NGUYỄN HỒNG CHÂU
NÂNG CAO HIỆU QUẢ TRONG QUẢN LÝ
TRUY CẬP MẠNG VÀ SỬ DỤNG HỆ THỐNG FIREWALL PFSENSE VỚI TẬP NGƯỜI DÙNG ĐỘNG
Chuyên ngành: Công nghệ thông tin
Mã số: 60480201
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Người hướng dẫn khoa học: TS Lê Hồng Trang
ĐỒNG THÁP, 2017
Trang 3LỜI CAM ĐOAN
Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi, các số liệu, kết quả nêu trong luận văn là trung thực và chưa được công bố trong các công trình khác Tôi xin hoàn toàn chịu trách nhiệm về đề tài của mình
Đồng Tháp, tháng 3 năm 2017
Nguyễn Hồng Châu
Trang 4Tôi xin chân thành cảm ơn đồng nghiệp, đơn vị công tác đã giúp đỡ tôi trong quá trình học tập và thực hiện Luận văn
Do thời gian nghiên cứu có hạn nên luận văn vẫn còn những thiếu sót, rất mong nhận được sự góp ý của các Thầy cô, Anh chị, bạn bè đồng nghiệp
Học viên
Nguyễn Hồng Châu
Trang 5MỤC LỤC
Trang phụ bìa
Lời cam đoan 1
Lời cảm ơn 2
Mục lục 3
Danh mục các chữ viết tắt 7
Danh mục các bảng 10
Danh mục các hình 11
Mở đầu 13
Chương 1: Tổng quan vấn đề nghiên cứu 15
1.1 Tổng quan về tường lửa 15
1.1.1 Khái niệm tường lửa 15
1.1.2 Phân loại tường lửa 15
1.1.2.1 Tường lửa cứng 15
1.1.2.2 Tường lửa mềm 15
1.1.3 Chức năng của tường lửa 16
1.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng 16
1.3 Các thành phần cơ bản của việc quản lý truy cập mạng 19
1.4 Các mô hình quản lý truy cập mạng 21
1.4.1 Mô hình quản lý truy cập phân tán 21
1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal 21
1.4.3 Mô hình quản lý truy cập NAC của Cisco 22
1.4.4 Mô hình quản lý truy cập với PFSense 24
1.5 Vấn đề xác thực khi triển khai quản lý truy cập 25
1.5.1 Xác thực với 802.1X 26
1.5.2 Xác thực với địa chỉ MAC 27
1.5.3 Xác thực với Captive Portal 27
1.6 Tổng quan về PFSense 28
Trang 61.6.1 Giới thiệu về tường lửa PFSense 28
1.6.2 Một số chức năng của tường lửa PFSense 29
1.6.3 Một số dịch vụ của tường lửa PFSense 29
Kết luận chương 1 31
Chương 2: Quản lý việc sử dụng tường lửa PFSense 32
2.1 Sơ đồ triển khai 32
2.2 Cài đặt PFSense 32
2.3 Quản lý truy cập trong tường lửa PFSense 36
2.3.1 Chức năng tường lửa trong PFSense 36
2.3.2 Chức năng VPN trong PFSense 38
2.3.3 Dịch vụ DHCP Server 39
2.3.4 Dịch vụ Captive Portal 41
2.3.5 Dịch vụ cân bằng tải (load balancing) 42
2.4 Ứng dụng định tuyến trong PFSense 43
2.5 XML trong quản lý cấu hình của PFSense 43
2.6 Các hạn chế của PFSense 45
2.6.1 Hạn chế chung của PFSense 45
2.6.2 Hạn chế về dịch vụ DHCP 46
Kết luận chương 2 48
Chương 3: Xây dựng bộ công cụ PFSenseMan trên nền tảng PFSense 49
3.1 Tổng quan về công cụ PFSenseMan 49
3.2 Quản lý người dùng thông qua cấp phát địa chỉ IP 50
3.3 Phân tích cấu hình của hệ thống tường lửa PFSense 51
3.4 Thiết kế kiến trúc công cụ PFSenseMan 53
3.4.1 Kiến trúc tổng thể của công cụ PFSenseMan 53
3.4.2 Biểu đồ Use Case tổng quát 55
3.4.3 Biểu đồ tuần tự 56
Trang 73.4.4 Biểu đồ lớp 56
3.5 Xây dựng các bản mẫu (templates) chung 58
3.6 Phiên làm việc của PFSenseMan 64
3.7 Các kết quả đạt được 65
3.7.1 Hiệu quả về mặt thời gian 65
3.7.2 Hiệu quả về mặt tổ chức quản lý 67
Chương 4: Bảo mật thông tin trên điện thoại di động 69
4.1 Tổng quan về công nghệ VPN 69
4.1.1 Khái niệm 69
4.1.2 Các công nghệ VPN 69
4.1.3 Phân loại VPN 70
4.1.4 Những ưu điểm của VPN 71
4.2 Các thành phần cơ bản của Cryptography 71
4.2.1 Mã hóa khối 72
4.2.2 Mã hóa dòng 72
4.2.3 Thuật toán mã hóa đối xứng 72
4.2.4 Thuật toán mã hóa bất đối xứng 73
4.2.5 Hàm băm 73
4.2.6 HMAC 74
4.2.7 Chữ ký số 74
4.2.8 Quản lý key 74
4.3 Sơ lược về IPSec và SSL 74
4.3.1 IPSec 74
4.3.2 SSL 75
4.4 IPSec trong VPN 76
4.4.1 Khái niệm 76
4.4.2 Phạm vi hoạt động của IPSec 77
Trang 84.4.3 Vai trò của IPSec 77
4.4.4 Những tính năng của IPSec 78
4.5 Cấu hình IPSec trong tường lửa PFSense 78
4.6 Cấu hình IPSec trên điện thoại di động Iphone 81
4.7 Ví dụ tổng quát về cách thức hoạt động của IPSec 84
Kết luận và hướng phát triển 86
Tài liệu tham khảo 88
Phụ lục 89
Trang 9DANH MỤC CÁC CHỮ VIẾT TẮT
AP Access Point
AH Authentication Header
ARP Address Resolution Protocol
API Application Programming Interfaces
AES Advanced Encryption Standard
BGP Border Gateway Protocol
CARP Common Address Redundancy Protocol
CPU Central Processing Unit
DH Diffie Hellman
DES Digital Encryption Standard
DMZ Demilitarized Zone
DHCP Dynamic Host Configuration Protocol
DNS Domain Name Services
DOM Document Object Model
EAP Extensible Authentication Protocol
ESP Encapsulating Security Payload
HMAC Hashed Message Authentication Code
HTTP Hyper Text Transfer Protocol
HTML Hyper Text Markup Language
IDEA International Data Encryption Algorithm
IETF Internet Engineering Task Fore
IP Internet Protocol
IKE Internet Key Exchange
ISP Internet Service Provider
ICMP Internet Control Message Protocol
Trang 10IPS Intrusion Prevention System
IPSec Internet Protocol Security
MD5 Message Digest algorithm 5
MAC Medium Access Control
MPLS Multi Protocol Label Switching
NTP Network Time Protocol
NAT Network Address Translation
NAC Network Access Control
NAP Network Access Protection
OTP One Time Password
OSI Open Systems Interconnection
OSPF Open Shortest Path First
PC Personal Computer
PVS Posture Validation Server
P2P Peer to Peer
PPP0E Point to Point Protocol over Ethernet
PPTP Point to Point Tunneling Protocol
PKI Public Key Infrastructure
PSK Pre Shared Key
RC2 Release Candidate 2
RIP Routing Information Protocol
RADIUS Remote Authentication Dial-In User Service RAM Random Access Memory
SHA Secure Hash Algorithm
SPD Security Policy Database
SNMP Simple Network Management Protocol SOAP Simple Object Access Protocol
Trang 11SMTP Simple Mail Transfer Protocol
SSL Secure Sockets Layer
TKIP Temporal Key Integrity Protocol
TCP Transmission Control Protocol
TNC Trusted Network Connect
TLS Transport Layer Security
UDP User Datagram Protocol
VPN Virtual Network Private
VLAN Virtual Local Area Network
WAN Wide Area Network
W3C World Wide Web Consutirum
WSDL Web Services Description Language
XML Extensible Markup Language
XSL Extensible Stylesheet Language
XSLT Extensible Stylesheet Language Transformations
Trang 12DANH MỤC CÁC BẢNG
Bảng 3.1 Bảng các tính năng trong bộ kiểm tra của PFSenseMan 50 Bảng 3.2 So sánh hiệu quả về thời gian 67 Bảng 3.3 So sánh hiệu quả về tổ chức quản lý 68
Trang 13DANH MỤC CÁC HÌNH ẢNH
Hình 1.1 Tường lửa cứng 15
Hình 1.2 Tường lửa mềm 15
Hình 1.3 Mô hình NAC thực hiện với chế độ in-line 17
Hình 1.4 Mô hình NAC thực hiện với chế độ out-of-band 18
Hình 1.5 Mô hình xác thực sử dụng Captive Portal 22
Hình 1.6 Mô hình xác thực NAC của Cisco 23
Hình 1.7 Mô hình xác thực thực hiện với 802.1X 26
Hình 1.8 Mô hình xác thực dựa trên địa chỉ MAC trong PFSense 27
Hình 2.1 Sơ đồ triển khai hệ thống mạng bằng tường lửa PFSense 32
Hình 2.2 Giao diện chính và Logo của tường lửa PFSense 32
Hình 2.3 Chọn Accept these settings 33
Hình 2.4 Chọn Quick/Easy Install 33
Hình 2.5 Chọn OK 34
Hình 2.6 Chọn Standard Kernel 34
Hình 2.7 Chọn Reboot để khởi động lại PFSense 35
Hình 2.8 Quá trình cài đặt PFSense trên máy hoàn tất 35
Hình 2.9 Hoạt động của tường lửa và dòng dữ liệu 36
Hình 2.10 Ví dụ về cấu hình các luật được áp dụng 37
Hình 2.11 Cấu hình DHCP Server trong PFSense 39
Hình 2.12 Tùy chọn tính năng MAC trong DHCP Server 40
Hình 2.13 Bảo mật cho các thiết bị di động bằng phương 42
Hình 2.14 Mô hình kết nối và trao đổi với DHCP Server 45
Hình 2.15 Mô hình truy xuất dữ liệu thông qua cấu trúc tệp tin xml 45
Hình 3.1 Biểu đồ kiến trúc tổng thể công cụ PFSenseMan 54
Hình 3.2 Biểu đồ Use Case tổng quát của công cụ PFSenseMan 55
Trang 14Hình 3.3 Biểu đồ lớp tổng quát của công cụ PFSenseMan 57
Hình 3.4 Cấu trúc thẻ <LAN> trong PFSense 59
Hình 3.5 Cấu trúc <LAN> template 61
Hình 3.6 Cấu trúc <OTP> template 62
Hình 3.7 Cấu trúc <Aliases> template 62
Hình 3.8 Cấu trúc <STATICMAP> template 63
Hình 3.9 Cấu trúc Template thông tin người sử dụng 63
Hình 4.1 Mô hình Remote Access 70
Hình 4.2 Mô hình Site-to-site 70
Hình 4.3 IPSec trong tường lửa PFSense 76
Hình 4.4 IPSec hoạt động tại tầng Network Layer-Layer 3 77
Hình 4.5 Giao diện đăng nhập vào tường lửa PFSense 78
Hình 4.6 Chọn IPSec trong VPN 79
Hình 4.7 Chọn Mobile Clients 79
Hình 4.8 Tiến hành tạo và khai báo các giá trị trong Mobile Clients 80
Hình 4.9 Tạo tài khoản để đăng nhập trên Iphone 80
Hình 4.10 Giao diện màn hình Iphone 81
Hình 4.11 Chọn Settings -> General 81
Hình 4.12 Chọn kết nối VPN 82
Hình 4.13 Chọn IPSec và khai báo các giá trị 82
Hình 4.14 Disible Wifi để kết nối bằng VPN 83
Hình 4.15 Đăng nhập bằng tài khoản đã tạo trong tường lửa PFSSense 83
Hình 4.16 Kết nối mạng bằng VPN 84
Trang 15MỞ ĐẦU
Ngày nay việc đảm bảo an ninh, an toàn thông tin luôn được đặt lên hàng đầu, là chủ đề luôn được các cấp, các ngành quan tâm trong lĩnh vực công nghệ thông tin Nhu cầu đảm bảo an ninh thông tin dữ liệu trên mạng máy tính là cấp thiết trong các hoạt động kinh tế, chính trị, xã hội, giáo dục, quốc phòng, an ninh, đối ngoại … Thực tế ứng dụng công nghệ thông tin luôn gặp phải những rủi ro đột nhập trái phép, tấn công, lấy cắp thông tin, phá hoại …
Tường lửa là công cụ cần thiết trong việc quản lý và kiểm soát lưu lượng mạng Mỗi cơ quan, tổ chức, doanh nghiệp có những nhu cầu quản lý với những đặc thù riêng Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA … Tuy nhiên những thành phần kể trên tương đối tốn kém Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong khi mà chúng ta giao tiếp với hệ thống mạng bên ngoài thì PFSense là một giải pháp tiết kiệm và hiệu quả đối với người sử dụng
Bên cạnh đó Quản lý người sử dụng truy cập mạng là một vấn đề phổ biến hiện nay, mỗi tổ chức, cơ quan, doanh nghiệp có những nhu cầu quản lý với những đặc thù riêng Việc cấp phát địa chỉ IP động là một vấn đề cốt lõi trong thực tiễn triển khai các mô hình mạng, nhằm mục đích tự động hóa và đảm bảo tính trong suốt đối với người sử dụng và nhất quán đối với người quản trị Nó
có thể là một bài toán độc lập với các mô hình mạng đơn giản, ít người sử dụng cũng có thể là một bài toán con trong bài toán quản lý truy cập đối với các mô hình mạng lớn hơn có sử dụng các hệ thống tường lửa nhằm kiểm soát truy cập Thực tiễn triển khai cho thấy việc tổ chức cấp phát địa chỉ IP hợp lý sẽ là tiền
đề trong việc đơn giản hóa các luật trong quản lý truy cập trên một hệ thống mạng lớn có nhiều vùng khác nhau như vùng database, vùng aplication, vùng DMZ, vùng WAN và các mạng con trong hệ thống mạng có sử dụng tường lửa
Trang 16Trong quá trình công tác chúng tôi đã ứng dụng triển khai hệ thống tường
lửa mã nguồn mở PFSense nhằm quản lý và kiểm soát truy cập mạng đối với
người sử dụng đầu cuối tại Trường Cao đẳng Cộng đồng Đồng Tháp Sử dụng
PFSense trong triển khai thực tế cho thấy tính năng DHCP trong PFSense là
một công cụ hiệu quả với nhiều tính năng như:
- Cho phép quản lý cấp phát địa chỉ IP tập trung
- Tính năng DHCP của PFSense được tích hợp các VLAN ID nên có thể
áp dụng triển khai trên từng VLAN độc lập trong cùng một hệ thống duy nhất
- Tích hợp tính năng MAC vào trong DHCP
- Sử dụng giao diện Web
Tuy nhiên việc quản trị khả năng lọc địa chỉ MAC của dịch vụ DHCP trong
PFSense mới chỉ tập trung vào các vấn đề cơ bản và còn nhiều bất tiện khi hệ
thống có những đặc thù quản trị riêng như: số lượng địa chỉ cần quản trị (tức số
người dùng) lớn và tập các địa chỉ cần quản trị là động Điều này khiến cho
việc sử dụng PFSense trong quản trị truy cập mạng tốn nhiều chi phí về thời
gian và nhân lực
Do đó, trong luận văn này chúng tôi đề xuất phương án mở rộng khả năng
quản lý cho tính năng DHCP của PFSense với công cụ tự xây dựng gọi là
PFSenseMan nhằm nâng cao hiệu quả về mặt thời gian tổ chức nhân lực trong
việc quản lý truy cập mạng đối với người sử dụng đầu cuối trong một hệ thống
mạng có số lượng người sử dụng lớn và thay đổi thường xuyên Vì vậy tôi chọn
nội dung: “Nâng cao hiệu quả trong quản lý truy cập mạng và sử dụng hệ thống
Firewall PFSense với tập người dùng động” làm vấn đề nghiên cứu
Trang 17CHƯƠNG 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1 Tổng quan về tường lửa
1.1.1 Khái niệm tường lửa
Tường lửa là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Thông thường tường lửa được đặt giữa các mạng bên trong (intranet) và các mạng bên ngoài (internet) Vai trò chính
là bảo mật thông tin, ngăn chặn sự truy cập không mong muốn từ bên ngoài và cấm truy cập từ bên trong tới một số địa chỉ nhất định trên internet
1.1.2 Phân loại tường lửa
Tường lửa được chia làm hai loại, gồm tường lửa cứng và tường lửa mềm
1.1.2.1 Tường lửa cứng
Tường lửa cứng là những tường lửa được tích hợp trên Router
Hình 1.1 Tường lửa cứng
Đặc điểm của tường lửa cứng:
Không được linh hoạt như tường lửa mềm, không thể thêm chức năng, thêm quy tắc như tường lửa mềm Tường lửa cứng hoạt động ở tầng thấp hơn tường lửa mềm (tầng network và tầng transport) Tường lửa cứng không thể kiểm tra nội dung của một gói tin, một số tường lửa cứng thông dụng: NAT, Cisco …
1.1.2.2 Tường lửa mềm
Tường lửa mềm là những tường lửa được cài đặt trên các Server
Hình 1.2 Tường lửa mềm
Trang 18Đặc điểm của tường lửa mềm:
Tính linh hoạt cao: có thể thêm bớt các quy tắc, các chức năng Tường lửa mềm hoạt động ở tầng cao hơn tường lửa cứng (tầng aplication) Tường lửa mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa) Một số tường lửa mềm thông dụng: Zone Alarm, Microsoft ISA, Norton Firewall …
1.1.3 Chức năng của tường lửa
Chức năng chính của tường lửa là kiểm soát luồng thông tin từ giữa mạng bên trong và mạng bên ngoài Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong và mạng bên ngoài
- Cho phép hoặc cấm những dịch vụ truy cập ra ngoài
- Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong
- Theo dõi luồng dữ liệu mạng giữa mạng bên trong và mạng bên ngoài
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
- Kiểm soát người sử dụng và việc truy cập của người sử dụng Kiểm soát nội dung thông tin lưu chuyển trên mạng
1.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng
Tùy theo yêu cầu triển khai, hạ tầng hệ thống mạng và các yêu cầu quản lý
mà người xây dựng hệ thống có thể tiếp cận theo một trong các triết lý sau:
Agent-less hay Agent-based
Agent-less: việc xác thực kết nối hệ thống mạng và truy xuất tài nguyên dựa
vào yếu tố con người chứ không phụ thuộc vào các phần mềm cài đặt trên các thiết bị đầu cuối, các chính sách truy cập do hệ thống đặt ra sẽ được phản hồi bởi các tương tác của người sử dụng với hệ thống đó Ví dụ như xác thực bằng username/password, mã xác thực sử dụng giao thức RADIUS [7] để đảm nhiệm hay xác thực bằng địa chỉ MAC do người sử dụng cung cấp
Ưu điểm của phương pháp này là không cần cài đặt các phần mềm trên các thiết bị đầu cuối và dễ dàng, nhanh chóng triển khai Tuy vậy nhược điểm của
Trang 19nó là người sử dụng phải quản lý và khai báo với hệ thống các thông tin trên thiết bị đầu cuối khi cần thiết
Agent-based: việc xác thực kết nối hệ thống mạng và truy xuất tài nguyên
dựa vào phần mềm Agent-client được cài đặt trên thiết bị của người sử dụng đầu cuối Phần mềm này sẽ thay con người làm các thao tác thu thập thông tin trên thiết bị và gởi yêu cầu về server để từ đó các chính sách truy cập được áp dụng
Ưu điểm của phương pháp này là có thể triển khai rất nhiều giải pháp xác thực, quản lý truy cập khác nhau đảm bảo yếu tố an toàn, an ninh khi các thiết
bị đầu cuối kết nối vào mạng Nhược điểm của phương pháp này là thiết bị đầu cuối phụ thuộc vào hệ điều hành, việc quản trị hệ thống sẽ rất phức tạp và khó khăn Khi không có sự hiểu rõ sâu sắc về kiến trúc mạng sẽ không thể xây dựng các chính sách để đáp ứng được các yêu cầu quản lý truy cập
Inline hay Out-of-band
Inline: mô hình này nhằm kiểm soát chặt chẽ việc truy cập từ bên trong các
mạng con, việc triển khai mô hình này sẽ tốt hơn về mặt quản lý truy cập tài nguyên trên mạng, trao đổi thông tin giữa các mạng con, giữa mạng con với vùng DMZ … Tuy vậy nó cũng có những hạn chế như: chi phí triển khai cao, hiệu suất sử dụng thấp và có nguy cơ nghẽn cổ chai tại các gateway của các mạng con khi thiết bị quản lý bị lỗi.
Hình 1.3 Mô hình NAC thực hiện với chế độ inline
Trang 20Out-of-band: mô hình này thích hợp cho việc triển khai các hệ thống mạng
công cộng, việc kiểm soát truy cập chủ yếu giữa mạng internal và mạng external Ưu điểm của mô hình này là chi phí triển khai thấp, ít ảnh hưởng đến lưu lượng mạng Nhược điểm của mô hình này là khó khăn trong việc thiết lập quản lý truy cập tài nguyên trong mạng
Hình 1.4 Mô hình NAC thực hiện với chế độ Out-of-band
Pre-admission hay Post-admission
Pre-admission: tiền kiểm tra là cách tiếp cận yêu cầu xác thực trước khi hệ
thống cấp phát địa chỉ IP cho thiết bị đầu cuối cho phép kết nối mạng, giải pháp này thường áp dụng trong các chuẩn 802.1X [3] hoặc chức năng DHCP có tích hợp địa chỉ MAC Ưu điểm của nó là ngăn ngừa được sự phá hoại của các chương trình virus gởi các thông tin đến hệ thống hoặc các thiết bị khác trong mạng Đối với giải pháp DHCP tích hợp tính năng MAC còn giúp cho việc xây dựng các luật quản lý truy cập đến các tài nguyên dễ dàng và linh hoạt hơn
Post-admission: hậu kiểm tra là cách tiếp cận thiết bị đầu cuối khi yêu cầu
nối vào hệ thống mạng sẽ được cung cấp địa chỉ IP, tuy nhiên các gói tin gởi đi
từ phía thiết bị đầu cuối sẽ bị chặn lại cho đến khi người sử dụng hoàn thành xác thực trên một trang web được hệ thống tự động chuyển hướng tới Giải pháp này thường được triển khai như một dịch vụ Captive Portal dựa trên giao
Trang 21thức RADIUS [7] Ưu điểm của cách tiếp cận này là dễ dàng triển khai, tuy nhiên nhược điểm của nó là khó khăn trong việc xây dựng các luật truy xuất tài nguyên Hầu như cách tiếp cận này được triển khai trong môi trường mạng công cộng truy cập internet chứ không được triển khai đối với hệ thống mạng đòi hỏi các yêu cầu về luật truy xuất tài nguyên phức tạp
1.3 Các thành phần cơ bản của việc quản lý truy cập mạng
Tùy theo nhu cầu quản lý, đặc thù về chính sách truy cập tài nguyên khác nhau mà mỗi cơ quan, doanh nghiệp lựa chọn cho mình quy mô quản lý truy cập mạng khác nhau Tuy vậy có 4 thành phần cơ bản quản lý truy cập mạng bao gồm:
Authenticate: người sử dụng đầu cuối bắt buộc phải xác thực trước khi kết
nối truy cập mạng Có 3 tùy chọn (2 tùy chọn Agent – less và 1 tùy chọn Agent – based) cho giải pháp xác thực kết nối mạng
802.1X: đây là chuẩn xác thực như là một cách tiếp cận an toàn, thường được
dùng trong xác thực qua các thiết bị access point Còn gọi là chính sách truy cập tiền kiểm tra qua các bước:
- Người sử dụng kết nối vào mạng (qua AP hoặc Switch)
- AP/Switch khởi động 802.1X (EAP) để xác thực
- Người sử dụng xác thực theo chính sách đã đặt ra
- Nếu xác thực thành công người sử dụng sẽ được nhận một địa chỉ IP theo phân hoạch để kết nối vào mạng, ngược lại sẽ bị từ chối kết nối mạng và không nhận được địa chỉ IP do hệ thống cấp phát
Web – based Authentication: đây là phương thức xác thực dựa trên nền
tảng Web, nó thường được triển khai như một hệ thống Captive Portal [7] Còn gọi là chính sách xác thực hậu kiểm tra qua các bước:
- Người sử dụng kết nối mạng và nhận một địa chỉ IP, các gói tin đi qua hệ thống sẽ bị chặn lại
Trang 22- Người sử dụng sẽ được chuyển hướng đến cổng xác thực thông tin trên nền web browser
- Người sử dụng xác thực theo tài khoản được cung cấp
- Trong trường hợp xác thực thành công người sử dụng sẽ được cấp quyền truy cập mạng theo các chính sách đã được thiết lập trước đó, ngược lại các gói tin kết nối đến hệ thống mạng tiếp tục bị chặn lại
Agent – based: người sử dụng sẽ được cung cấp các phần mềm Agent, việc
xác thực sẽ do các Agent này đảm nhiệm thay cho con người theo các chính sách đã được thiết lập trước đó với từng nhóm Agent khác nhau
Enviroment: sử dụng các thông tin môi trường của người sử dụng như là
một chính sách kiểm soát truy cập, ví dụ như các chính sách antivirus, license cập nhật các bản vá lỗi của hệ điều hành … trên các thiết bị truy cập đầu cuối
Để sử dụng các thông tin này hệ thống quản lý truy cập phải đảm bảo các câu hỏi:
- Người sử dụng kết nối mạng từ đâu?
- Người sử dụng yêu cầu truy cập đến cái gì?
- Vấn đề an ninh trên các thiết bị đầu cuối như thế nào?
Thông tin môi trường có thể bao gồm một số vấn đề sau:
- Phương thức truy cập (wired, wireless, VPN)
- Cách thức quản lý truy cập dựa vào thời gian hoặc phiên
- Nền tảng hệ điều hành của các thiết bị đầu cuối (windows, MAC …)
- Phương thức xác thực (user/pass hoặc địa chỉ MAC)
- Các công cụ hỗ trợ an ninh (phần mềm antivirus, firewall)
- Các ứng dụng (đang chạy)
- Các cấp của bản vá lỗi
Access Control: quản lý truy cập dựa trên các thiết bị phần cứng hoặc là các
chính sách về an ninh thông tin, các yêu cầu cụ thể bao gồm:
Trang 23- Cho phép hoặc từ chối kết nối mạng
- Cấp phát địa chỉ IP của mỗi VLAN tương ứng khi kết nối với quyền truy cập và môi trường truy cập mạng
- Lọc các gói tin đi qua hệ thống mạng
- Kiểm tra trạng thái tường lửa trên các thiết bị đầu cuối
- Gởi các cảnh báo đến người sử dụng khi phát hiện ra vấn đề vi phạm các yếu tố an ninh, bảo mật …
Management: quản lý truy cập dựa trên các thiết bị phần cứng hoặc là các
chính sách về an ninh thông tin Tất cả các cấu hình về chính sách và điều khiển truy cập đều được thể hiện qua giao diện trực quan, giúp người quản trị cấu hình hệ thống cũng như các hoạt động giám sát một cách hiệu quả
1.4 Các mô hình quản lý truy cập mạng
1.4.1 Mô hình quản lý truy cập phân tán
Mô hình quản lý cấp phát địa chỉ phân tán được ứng dụng phổ biến trong các mạng cỡ nhỏ, việc triển khai tương đối rõ ràng, ít được xây dựng cho các mạng
cỡ vừa và lớn, đòi hỏi chia tách thành nhiều mạng con và những yêu cầu về bảo mật, quản lý băng thông, quản lý truy cập tài nguyên, định tuyến … do một số đặc điểm của chúng như:
Khả năng xác thực hạn chế trên các thiết bị access point, không hỗ trợ việc sao lưu cấu hình xác thực
Khả năng quản lý truy cập thiếu tính nhất quán do việc kiểm soát truy cập độc lập trên các thiết bị khác nhau
Cấu hình trên các thiết bị phần cứng hạn chế dẫn đến việc hệ thống mạng trở nên phức tạp, khó kiểm soát nếu số lượng người sử dụng đầu cuối lớn
1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal
Mô hình quản lý truy cập dựa trên kỹ thuật Captive Portal thường được triển khai trong các mạng công cộng, việc kiểm soát truy cập được thực hiện trên
Trang 24một cửa duy nhất, một số phần mềm phổ biến hiện nay về Captive Portal như: PFSense, Amigopod and Aruba OS Integration, Centos, Chillispot …
Captive Portal là một giải pháp buộc người sử dụng trước khi truy cập vào mạng phải chuyển hướng tới một trang web đặc biệt Kỹ thuật Captive Portal biến Web browser thành một công cụ chứng thực hiệu quả Việc này được thực hiện thông qua việc ngăn chặn tất cả các gói tin (bất kể địa chỉ IP và port nào) cho đến khi nào người sử dụng vượt qua được chứng thực trên trang web mà
hệ thống chuyển hướng đến
Hình 1.5 Mô hình xác thực sử dụng Captive Portal Captive Portal có thể sử dụng các máy chủ chứng thực Radius [7] để thực hiện việc xác thực, việc này giảm thiểu khá nhiều thời gian cho việc quản lý kết nối mạng, tuy nhiên việc điều hướng truy cập tài nguyên trong mạng đối với các thiết bị đầu cuối là khó khăn và không đảm bảo được các yêu cầu về quản lý truy xuất tài nguyên
1.4.3 Mô hình quản lý truy cập NAC của Cisco
Cisco là hãng đầu tiên đặt nền móng cho khái niệm NAC sau này, kiến trúc NAT của Cisco tập trung vào các mục tiêu kiểm soát cơ bản đối với các thiết
bị đầu cuối trước khi kết nối mạng như: Antivirus, Health Agent, Patch Agent
Trang 25Giải pháp NAC của Cisco dựa trên chế độ hoạt động Agent – based, Cisco cũng định nghĩa ra một số khái niệm như PVS, PVS là một phần trong các chính sách truy cập mạng của người sử dụng cuối cho phép người quản trị thiết lập các chính sách về truy cập tập trung Tuy nhiên giải pháp NAC của Cisco đã thất bại trong việc không quản lý được các vấn đề phát sinh ở thiết bị đầu cuối, sau nữa là cơ chế hoạt động của các Agent phụ thuộc vào các chương trình Antivirus, Antimailware, batch … của các hãng thứ ba, do vậy gây khó khăn trong việc thiết lập kết nối mạng cho người sử dụng đầu cuối không cập nhật kịp thời các bản vá lỗi, các bản update.
Hình 1.6 Mô hình xác thực NAC của Cisco Một số lợi ích trong giải pháp NAC của Cisco
Như vậy có thể thấy NAC là một giải pháp tương đối an toàn cho việc quản
lý truy cập, tập trung vào việc kiểm soát các vấn đề an ninh trên thiết bị đầu cuối Mặc dù còn rất nhiều vấn đề khi triển khai NAC trong thực tế như lựa chọn mô hình, chi phí đầu tư, các chính sách truy cập tài nguyên mạng … Tuy nhiên những lợi ích khi triển khai NAC là cần thiết cho nhu cầu thiết lập các hệ thống mạng ngày nay, các lợi ích đó gồm:
Trang 26- Kiểm soát, quản lý truy cập, quản lý khai thác tài nguyên trên mạng đối với người sử dụng đầu cuối
- Ngăn chặn các chương trình mã độc, virus lây lan, phát tán ra toàn bộ hệ thống mạng
- Loại bỏ các mối nguy hiểm tiềm ẩn từ các thiết bị client thông qua việc kiểm soát các thiết bị đầu cuối
- Nâng cao tính sẵn sàng của hệ thống mạng và giảm sự gián đoạn cung cấp dịch vụ cho thiết bị đầu cuối
- Đảm bảo các thiết bị đầu cuối sử dụng các chương trình diệt virus và tường lửa đúng cách, đáp ứng các chính sách đặt ra
- Tích hợp được với giải pháp Endpoint Protection
1.4.4 Mô hình quản lý truy cập với PFSense
PFSense là một hệ thống giải pháp phần mềm tích hợp mạnh mẽ hoàn toàn miễn phí, cho phép quản lý tập trung hầu hết các yêu cầu cấu hình của tổ chức
và doanh nghiệp Nó cung cấp nhiều dịch vụ khác nhau trong một hệ thống nhất quán, đảm bảo đầy đủ các tính năng cơ bản cho một hệ thống mạng cỡ lớn, đòi hỏi các yêu cầu về bảo mật, định tuyến, cân bằng tải như:
- Dịch vụ tường lửa được thực hiện bởi gói packages tích hợp trong nhân của FreeBSD
- Dịch vụ DHCP và địa chỉ MAC được thực hiện bởi DHCP tích hợp trong nhân của FreeBSD
- Dịch vụ Captive Portal được cung cấp bởi FreeRadius
- Dịch vụ Proxy/Load balancing được cung cấp bởi Squid và CARP
- Traffic Shaper được cung cấp bởi dummynet and ipfw trong nhân của FreeBSD
- NAT + Routing được cung cấp bởi Quagga
Trang 27Tính năng DHCP trong PFSense được tích hợp thêm địa chỉ MAC tạo cho chúng những ưu điểm nổi trội trong quản lý truy cập như:
- Cho phép cấu hình cấp phát địa chỉ động độc lập trên từng VLAN riêng biệt Hỗ trợ nhiều subnet khác nhau (từ 0 … 32 bit) do vậy có thể thiết lập cấu hình cấp phát địa chỉ động cho mỗi VLAN khác nhau với số lượng người dùng tùy ý
- Cho phép triển khai địa chỉ MAC tập trung, dựa vào ánh xạ 1-1 giữa địa chỉ MAC và địa chỉ IP từ gói tin ARP từ phía client gởi đến
- Có thể ngăn chặn kết nối từ các thiết bị client đến hệ thống mạng trong trường hợp các thiết bị client thiết lập địa chỉ tĩnh
- Hỗ trợ giao diện người sử dụng trên nền web do vậy người quản trị có thể quản lý cấu hình trực quan
- Tích hợp đầy đủ cấu hình các dịch vụ khác như WINS, DNS Server, NTP Server …
- Hỗ trợ đầy đủ file logs để người quản trị tiện theo dõi quá trình cấp phát địa chỉ động trên hệ thống
Việc cấp phát địa chỉ IP trong PFSense đóng vai trò như một tiền đề để từ đó xây dựng các chính sách truy cập tài nguyên của hệ thống mạng Nó được tích hợp một cách xuyên suốt trong một hệ thống nhất quán Từ việc xây dựng chính sách cấp phát địa chỉ IP cho các thiết bị client người quản trị sẽ thực hiện các bước tiếp theo như: quản lý băng thông đến từng thiết bị client, xây dựng các luật truy cập đến tài nguyên hệ thống dựa vào các luật, định tuyến trong một
mô hình mạng đòi hỏi các yêu cầu quản lý phức tạp
1.5 Vấn đề xác thực khi triển khai quản lý truy cập
Vấn đề xác thực luôn là yếu tố đầu tiên cần quan tâm, chính sách truy cập quan hệ mật thiết với vấn đề xác thực khi thiết bị đầu cuối kết nối vào hệ thống mạng Các yếu tố xác thực như MAC [5] [6] được tích hợp trong DHCP hay
Trang 28802.1X [3] thường là những yếu tố đầu tiên cần tính đến khi triển khai các giải pháp về quản lý truy cập
1.5.1 Xác thực với 802.1X
Đây là chuẩn xác thực phổ biến nhất hiện nay được áp dụng trong các chuẩn kết nối LAN hoặc WLAN, trong các chuẩn kết nối không dây như 802.1X phương thức xác thực sử dụng các khóa bí mật dựa trên mã hóa TKIP hoặc AES
Hình 1.7 Mô hình xác thực thực hiện với 802.1X Điểm mạnh:
- Có thể ngăn chặn các kết nối đến mạng trước khi thiết bị đầu cuối nhận được địa chỉ IP
- Dễ dàng triển khai với các mô hình mạng nhỏ, ít đòi hỏi các yêu cầu về quản lý truy cập tài nguyên
Trang 291.5.2 Xác thực với địa chỉ MAC
Mỗi thiết bị card mạng có một địa chỉ MAC duy nhất, do vậy việc xác thực dựa vào địa chỉ MAC thực chất là việc xây dựng một danh sách các địa chỉ MAC được cho phép hay từ chối kết nối mạng Phương pháp xác thực này thường được tích hợp trong dịch vụ DHCP
Hình 1.8 Mô hình xác thực dựa trên địa chỉ MAC trong PFSense Việc xác thực dựa trên địa chỉ MAC là phương pháp đòi hỏi nhiều công sức trong việc tạo lập danh sách các địa chỉ MAC, nó cũng không phải là phương pháp xác thực an toàn tuyệt đối vì người sử dụng đầu cuối có thể giả mạo địa chỉ MAC để truy cập đến hệ thống mạng Mặt khác do việc xác thực này được tích hợp trong dịch vụ DHCP do vậy nó làm hạn chế các tính năng của DHCP Tuy vậy việc sử dụng chúng một cách hợp lý sẽ rất hiệu quả trong việc quản lý truy cập tài nguyên trong một hệ thống mạng phức tạp
1.5.3 Xác thực với Captive Portal
Captive Portal là một giải pháp xác thực bằng cách buộc người sử dụng trước khi truy cập vào mạng phải được chuyển hướng tới một trang web, nơi người dùng cần nhập tài khoản và mật khẩu của mình để xác thực Kỹ thuật Captive Portal biến web browser thành một công cụ xác thực hiệu quả Việc này được
Trang 30thực hiện thông qua việc ngăn chặn tất cả các gói tin (bất kể địa chỉ IP và Port nào) cho đến khi nào người sử dụng vượt qua được chứng thực trên trang web
mà hệ thống chuyển hướng đến
1.6 Tổng quan về PFSense
1.6.1 Giới thiệu về tường lửa PFSense
PFSense [2] [4] được giới thiệu với cộng đồng công nghệ như một hệ thống tường lửa mã nguồn mở, có tích hợp nhiều tính năng khác như định tuyến, phân tải, quản lý địa chỉ … PFSense được phát triển và triển khai trên nền hệ điều hành FreeBSD PFSense cung cấp giao diện web dễ dàng cho việc quản trị, việc cấu hình hệ thống được thực hiện một cách trực quan Giao diện quản trị của PFSense được thực hiện với Apache và PHP
Ngoài việc là một hệ thống tường lửa mạnh mẽ, linh hoạt và hỗ trợ chức năng định tuyến làm nền tảng, PFSense còn hỗ trợ rất nhiều các tính năng cũng như các công cụ quản lý, điều khiển truy cập Song song với đó PFSense cho phép những người phát triển tích hợp các gói dịch vụ cần thiết khác mà không cần bất kỳ một thỏa thuận về tính pháp lý nào
PFSense là một hệ thống phổ biến với hơn một triệu lượt tải về kể từ khi dự
án được triển khai và đã được chứng minh trong vô số các cài đặt khác nhau từ các mạng gia đình với một vài máy tính, đến các hệ thống mạng của các tập đoàn, trường đại học và các tổ chức khác để bảo vệ, quản lý truy cập hàng ngàn thiết bị trong hệ thống mạng
Dự án PFSense được phát triển từ năm 2004 bởi Chris Buechler and Scott Ullrich với tiền thân là m0n0wall và đã cho thấy đó là một dự án hữu ích, khả dụng Tuy vậy giai đoạn đầu PFSense còn một số hạn chế về driver hỗ trợ các thiết bị máy chủ Ngày nay PFSense đã khắc phục nhược điểm này và được ứng dụng ngày càng rộng rãi cho các tổ chức, doanh nghiệp vừa và nhỏ
Trang 31Cài đặt và sử dụng phần mềm PFSense không đòi hỏi phải cao chỉ cần một máy tính P3, Ram 128, HDD 1GB thì cũng đủ dựng nên một tường lửa PFSense bảo vệ mạng bên trong
1.6.2 Một số chức năng của tường lửa PFSense
PFSense có các chức năng như:
Aliases: có thể gom nhóm các ports, host hoặc network khác nhau và đặt cho
chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn
Rules (luật): nơi lưu các luật của tường lửa
Firewall Schedules: các firewall rules có thể được sắp xếp để nó chỉ hoạt
động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định
cụ thể hoặc các ngày trong tuần
NAT: trong tường lửa có thể cấu hình các thiết lập NAT nếu cần sử dụng
cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh cho các host cụ thể
Traffic shaper: theo dõi và quản lý băng thông mạng dễ dàng và hiệu quả
hơn
Virtual Ips: được sử dụng để cho phép PFSense đúng cách chuyển tiếp lưu
lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound
1.6.3 Một số dịch vụ của tường lửa PFSense
PFSense có các dịch vụ như:
Captive Portal: cho phép admin có thể chuyển hướng clients tới một trang
web khác, từ trang web này client có thể phải chứng thực trước khi kết nối tới internet
DHCP Server: cho phép PFSense cấp địa chỉ IP và các thông tin cấu hình
cho các client trong mạng LAN
DHCP Relay: cho phép PFSense Forward yêu cầu cấp IP của client nằm
trong một subnet nào đó tới một DHCP Server cho trước
Trang 32Chỉ được phép chạy một dịch vụ DHCP Server và DHCP Relay
Load Balancing: có thể điều phối mạng hay còn gọi là cân bằng tải mạng
Trang 33vụ độc lập, phong phú cho phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập người dùng đa dạng, tập chung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với người sử dụng đầu cuối
Để tìm hiểu sâu sắc hơn về cơ chế hoạt động cũng như các tính năng của tường lửa PFSense, chúng tôi tiếp tục nghiên cứu quản lý việc sử dụng hệ thống tường lửa PFSense ở Trường Cao đẳng Cộng đồng Đồng Tháp, nhằm phát hiện
ra những ưu và nhược điểm để giúp cho hệ thống mạng trong trường luôn được vận hành tốt, an toàn và hạn chế các sự cố xảy ra
Trang 34
CHƯƠNG 2: QUẢN LÝ VIỆC SỬ DỤNG HỆ THỐNG FIREWALL PFSENSE Ở TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG ĐỒNG THÁP
Hình 2.1 Sơ đồ triển khai hệ thống mạng bằng tường lửa PFSense
2.2 Cài đặt PFSense
Đầu tiên tải phiên bản PFSense về máy và tiến hành cài đặt
Hình 2.2 Giao diện chính và Logo của PFSense
Trang 35Hình 2.3 Chọn Accept these settings
Hình 2.4 Chọn Quick/Easy Install
Trang 36Hình 2.5 Chọn OK
Hình 2.6 Chọn Standard Kernel
Trang 37Hình 2.7 Chọn Reboot để khởi động lại PFSense
Hình 2.8 Quá trình cài đặt PFSense trên máy hoàn tất
Trang 382.3 Quản lý truy cập trong tường lửa PFSense
Một trong những chức năng chính của PFSense là lọc các gói tin đi qua nó, bất kể triển khai PFSense theo ứng dụng nào Phần này giới thiệu các nguyên tắc cơ bản của tường lửa và một số thành phần chính trong việc thiết lập điều khiển các gói tin
2.3.1 Chức năng tường lửa trong PFSense
Nguyên lý điều khiển gói tin của tường lửa
Cũng như nhiều hệ thống tường lửa khác [1], PFSense hoạt động theo nguyên tắc: khi tường lửa nhận một gói tin, đầu tiên gói tin đó phải trải qua lớp lọc liên kết Sau đó, nó được kiểm tra bởi bộ quy tắc động, tiếp đến là kiểm tra tính hợp pháp, lọc cổng và ip Cuối cùng, việc truyền đạt địa chỉ mạng/cổng được thực hiện Hoạt động trên được mô tả qua sơ đồ dòng dữ liệu hình 2.9
Hình 2.9 Hoạt động của tường lửa và dòng dữ liệu Một trong những ứng dụng phổ biến nhất của Pfsense là ứng dụng làm một
hệ thống tường lửa mềm Pfsense sử dụng giao diện Web để thiết lập các rules cho hầu hết các giao thức TCP, UDP, ICMP … ngoại trừ giao thức P2P Có thể
Trang 39áp dụng PFSense cho mô hình mạng với số lượng người dùng hàng nghìn người
để lọc các gói tin đi qua nó Với hàng triệu lượt tải và sử dụng PFSense đã chứng minh nó là một hệ thống tường lửa mạnh mẽ và sử dụng phổ biến nhất hiện nay trong các hệ thống tường lửa mã nguồn mở PFSense cũng có thể tích hợp với các thiết bị tường lửa cứng của các hãng lớn như Cisco, Juniper … PFSense còn cung cấp các file logs, biểu đồ (traffic graph, RRD graph) để người quản trị có thể theo dõi lưu lượng, các gói tin block, pass, reject để từ đó xây dựng các chính sách truy cập cho phù hợp với thực tế
Các thuật ngữ cơ bản của chức năng tường lửa:
Rule và Ruleset là hai thuật ngữ được sử dụng xuyên suốt trong phần này Một Rule hay một Ruleset là một tập các cấu hình cho phép hay ngăn chặn các gói tin từ thiết bị này đến thiết bị khác hoặc mạng này đến mạng khác Hệ thống tường lửa PFSense sẽ thực hiện các luật theo nguyên tắc lần lượt các luật từ trên xuống dưới, khi có sự mâu thuẫn thì ưu tiên luật bên trên
PFSense cho phép xây các luật trên nguyên tắc: các luật chung được đặt phía dưới còn các luật riêng đặt phía trên Điều này hạn chế tối đa các ngoại lệ có thể bỏ sót khi PFSense thực thi các luật tuần tự từ trên xuống dưới
Hình 2.10 Ví dụ về cấu hình các luật được áp dụng
Trang 40State table là bảng trạng thái kết nối Khi một kết nối được thực hiện, PFSense xây dựng một bảng trạng thái dựa trên các rule đã được xây dựng Từ bảng trạng thái này sẽ quyết định việc cho phép hoặc từ chối gởi hoặc nhận các gói tin được yêu cầu từ phía clients đến địa chỉ đích Bao gồm các gói tin sử dụng các giao thức khác nhau như ICMP, UDP, TCP và một số giao thức khác Bảng trạng thái được hệ thống PFSense đặt mặc định là 10.000 kết nối đồng thời, có thể thay đổi bảng kích thước này trong phần tùy chọn phụ thuộc vào hệ thống mạng đang quản lý có số lượng người sử dụng như thế nào, lưu ý mỗi trạng thái kết nối tương đương 1KB kích thước bộ nhớ RAM
Alias cho phép gộp nhóm các ports, host hoặc network thành tên và sử dụng trong các cấu hình firewall rules, nat, traffic shaper … điều này cho phép tạo ra các tập quy tắc ngắn gọn, dễ quản lý hơn
CARP là một giao thức nhiều thiết bị trong cùng mạng chia sẻ tập hợp các địa chỉ ip, mục đích của nó cung cấp chuyển đổi dự phòng được sử dụng cấu hình trong hệ thống tường lửa, định tuyến và cấu hình cân bằng tải Giao thức này được tích hợp và sử dụng nhiều trong hệ điều hành FreeBSD
2.3.2 Chức năng VPN trong PFSense
VPN là một tính năng hết sức quan trọng trong một hệ thống mạng, nó cung cấp dịch vụ truy cập thông tin nội bộ từ mọi nơi một cách an toàn, ít tốn kém trong xu thế hiện nay Từ những phiên bản 1.2.X về trước PFSense chỉ cung cấp một giao thức VPN duy nhất đó là PPTP với xác thực bằng cặp username/password nên tính năng VPN kém an toàn và dễ bị đánh cắp mật khẩu bằng nhiều cách khác nhau Do vậy từ phiên bản 2.0 trở đi PFSense cung cấp thêm hai cách triển khai VPN gồm: IPSec, OpenVPN với các chứng thực an toàn và hiệu quả hơn Mặc dù còn nhiều hạn chế trong việc thiết lập các cấu hình và tối ưu hóa các hỗ trợ xác thực đối với người sử dụng