(LUẬN văn THẠC sĩ) nâng cao hiệu quả quản lý truy cập mạng cho hệ thống firewall PFSense với tập người dùng động luận văn ths công nghệ thông tin 60 08 15

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐINH HỒNG NGỌC NÂNG CAO HIỆU QUẢ QUẢN LÝ TRUY CẬP MẠNG CHO HỆ THỐNG FIREWALL PFSENSE VỚI TẬP NGƢỜI DÙNG ĐỘNG IMPROVING MANAGEABILITY OF NETWORK ACCESS CONTROL FOR PFSENSE FIREWALL WITH A LARGE AND DYNAMIC SET OF USERS Ngành : Công nghệ thông tin Chuyên ngành : Truyền liệu mạng máy tính Mã số : LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS HOÀNG XUÂN TÙNG Hà Nội - năm 2014 TIEU LUAN MOI download : skknchat@gmail.com LỜI CAM ĐOAN Tôi xin cam đoan kết đạt đƣợc luận văn sản phẩm riêng cá nhân tơi, khơng chép lại ngƣời khác Trong tồn nội dung luận văn điều đƣợc trình bày cá nhân đƣợc tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng đƣợc trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, tháng 11 năm 2014 Đinh Hồng Ngọc TIEU LUAN MOI download : skknchat@gmail.com MỤC LỤC MỞ ĐẦU CHƢƠNG 1: TỔNG QUAN VỀ QUẢN LÝ TRUY CẬP MẠNG 11 1.1 Các thành phần toán Quản lý truy cập mạng 11 1.2 Các cách tiếp cận triển khai quản lý truy cập mạng 13 1.3 Vấn đề xác thực triển khai Quản lý truy cập 16 1.3.1 Xác thực với 802.1x 16 1.3.2 Xác thực với MAC filter 17 1.3.3 Xác thực với Captive Portal 17 1.4 Một số mơ hình quản lý truy cập 18 1.4.1 Mơ hình quản lý truy cập phân tán 18 1.4.2 Mơ hình quản lý truy cập dựa Captive Portal 18 1.4.3 Mơ hình quản lý truy cập NAC Cisco 19 1.4.4 Mơ hình quản lý truy cập với PFSense 21 Kết luận chƣơng 22 CHƢƠNG QUẢN LÝ TRUY CẬP TRONG PFSENSE 23 2.1 Giới thiệu PFSense 23 2.2 Quản lý truy cập firewall PFSense 23 2.2.1 Chức firewall PFSense 23 2.2.2 Dịch vụ DHCP Server 26 2.2.3 Dịch vụ cân tải (Load balancing) 28 2.2.4 Ứng dụng định tuyến PFSense 28 2.2.5 Dịch vụ Captive Portal 29 2.2.6 Chức VPN PFSense 29 2.3 XML quản lý cấu hình PFSense 30 2.4 Các hạn chế PFSense 32 2.4.1 Các hạn chế chung PFSense 32 2.4.2 Hạn chế dịch vụ DHCP 33 Kết luận chƣơng 34 CHƢƠNG ĐỀ XUẤT VÀ THỰC HIỆN 35 TIEU LUAN MOI download : skknchat@gmail.com 3.1 Bài tốn quản lý ngƣời dùng thơng qua cấp phát địa IP 35 3.2 Tổng quan công cụ PFSenseMan 35 3.3 Phân tích tệp cấu hình hệ thống firewall PFSense 37 3.4 Thiết kế kiến trúc công cụ PFSenseMan 38 3.4.1 Kiến trúc tổng thể công cụ PFSenseMan 39 3.4.2 Biểu đồ use case tổng quát 40 3.4.3 Biểu đồ 41 3.4.4 Biểu đồ lớp 41 3.5 Xây dựng mẫu (Templates) chung 43 3.6 Phiên làm việc PFSenseMan 47 CHƢƠNG CÁC KẾT QUẢ ĐẠT ĐƢỢC 49 4.1 Hiệu mặt thời gian 49 4.2 Hiệu mặt tổ chức quản lý 50 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 52 TÀI LIỆU THAM KHẢO 54 PHỤ LỤC 55 Phụ lục 1: Biểu đồ use case quản lý DHCP 55 Phụ lục 2: Biểu đồ use case quản lý Aliases 57 Phụ lục 3: Biểu đồ thêm nhóm NSD vào quản lý DHCP 58 Phụ lục 4: Biểu đồ thêm nhóm NSD vào quản lý aliases 59 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 DANH MỤC CÁC CHỮ VIẾT TẮT NAC Network Access Control NAP Network Access Protection TNC Trusted Network Connect AP Access Point VPN Virtual Network Private RADIUS Remote Authentication Dial In User Service DMZ Demilitarized Zone DHCP Dynamic Host Configuration Protocol OTP Interface DNS Domain Name Services ISP Internet Service Provider ARP Address Resolution Protocol CARP Common Address Redundancy Protocol PF Packages Filter PVS Posture Validation Server RIP Routing Information Protocol BGP Border Gateway Protocol OSPF Open Shortest Path First MD5 Message-Digest algorithm SHA Secure Hash Algorithm XML Extensible Markup Language API Application Programming Interfaces XPath XML Path Language XSL Style-sheet Language (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU VÀ ĐỒ THỊ Hình 1.1: Mơ hình NAC thực với chế độ in-line 14 Hình 1.2: Mơ hình NAC thực với chế độ out-of-band 15 Hình 1.3: Mơ hình xác thực thực với 802.1x (nguồn: [12]) 16 Hình 1.4: Mơ hình xác thực dựa MAC filter PFSense 17 Hình 1.5: Mơ hình xác thực sử dụng Captive Portal 19 Hình 1.6: Mơ hình xác thực NAC Cisco (nguồn [13]) 20 Hình 2.1: Hoạt động tƣờng lửa dòng liệu (nguồn [5]) 24 Hình 2.2: Ví dụ cấu hình luật đƣợc áp dụng 25 Hình 2.3: WebGUI cấu hình DHCP Server PFSense 26 Hình 2.4: Tùy chọn tính MAC filter DHCP Server 27 Hình 2.5: Mơ hình kết nối trao đổi với DHCP server 31 Hình 2.6: Mơ hình truy xuất liệu thơng qua cấu trúc tệp tin xml 32 Bảng 3.1: Bảng tính kiểm tra PFSenseMan 36 Hình 3.1: Biểu đồ kiến trúc tổng thể cơng cụ PFSenseMan 39 Hình 3.2: Biểu đồ use case tổng quát công cụ PFSenseMan 40 Hình 3.3: Biểu đồ lớp tổng quát cơng cụ PFSenseMan 41 Hình 3.4: Cấu trúc thẻ PFSense version 2.1 43 Hình 3.5: Cấu trúc template 44 Hình 3.6: Cấu trúc template 45 Hình 3.6: Cấu trúc template 45 Hình 3.8: Cấu trúc template 46 Hình 3.9: Cấu trúc template thơng tin ngƣời sử dụng 46 Bảng 4.1: So sánh hiệu thời gian 50 Bảng 4.2: So sánh hiệu tổ chức quản lý 51 (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 LỜI CẢM ƠN Để hoàn thành nội dung luận văn tác giả nhận đƣợc nhiều giúp đỡ từ quan, đồn thể cá nhân Trƣớc hết tơi xin chân thành cảm ơn thầy giáo, cô giáo Khoa Công nghệ thông tin, trƣờng Đại học Công nghệ, Đại học Quốc gia Hà Nội tận tình giảng dạy, trang bị cho kiến thức quý báu suốt q trình học tập trƣờng Tơi xin bày tỏ lịng biết ơn sâu sắc đến Tiến sĩ Hồng Xuân Tùng – Ngƣời thầy trực tiếp hƣớng dẫn tơi q trình xây dựng hồn thành luận văn Cuối tơi xin bày tỏ lịng biết ơn chân thành đến gia đình, bạn bè ngƣời ln động viên, giúp đỡ tơi nhiệt tình để hoàn thành luận văn Hà nội, tháng 11 năm 2014 Học viên Đinh Hồng Ngọc (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 MỞ ĐẦU Quản lý ngƣời sử dụng truy cập mạng toán phổ biến nay, tổ chức, doanh nghiệp có nhu cầu quản lý với đặc thù riêng Trong toán cấp phát địa IP động toán cốt lõi thực tiễn triển khai mơ hình mạng, nhằm mục đích tự động hóa đảm bảo tính suốt ngƣời sử dụng, quán ngƣời quản trị Nó tốn độc lập với mơ hình mạng đơn giản, ngƣời sử dụng, toán toán quản lý truy cập mơ hình mạng lớn có sử dụng hệ thống tƣờng lửa nhằm kiểm soát truy cập Thực tiễn triển khai cho thấy việc tổ chức cấp phát địa IP hợp lý tiền đề việc đơn giản hóa luật toán quản lý truy cập hệ thống mạng lớn có nhiều vùng khác nhƣ vùng Database, vùng Aplication, vùng DMZ, vùng WAN mạng hệ thống mạng có sử dụng tƣờng lửa Trong q trình cơng tác chúng tơi ứng dụng triển khai hệ thống tƣờng lửa mã nguồn mở PFSense nhằm quản lý kiểm soát truy cập mạng ngƣời sử dụng đầu cuối Học viện Cảnh sát nhân dân Sử dụng PFSense triển khai thực tế cho thấy tính DHCP PFSense cơng cụ hiệu với nhiều tính nhƣ:  Cho phép quản lý cấp phát địa IP tập trung  Tính DHCP PFSense đƣợc tích hợp VLAN ID nên áp dụng triển khai VLAN độc lập hệ thống  Tích hợp tính MAC filter vào DHCP  Dễ dàng sử dụng, trực quan sử dụng giao diện WebGUI Tuy việc quản trị khả lọc địa MAC (MAC Filter) dịch vụ DHCP PFSense tập trung vào vấn đề nhiều bất tiện hệ thống có đặc thù quản trị riêng nhƣ: (a) số lƣợng địa cần quản trị (tức số ngƣời dùng) lớn, (b) tập địa cần quản trị động Điều khiến cho việc sử dụng PFSense quản trị truy cập mạng tốn nhiều chi phí thời gian nhân lực lực hoạt động nhƣ tính (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 PFSense hoàn toàn đáp ứng việc phục vụ hầu hết tập ngƣời dùng có cấu hình Do luận văn chúng tơi đề xuất phƣơng án mở rộng khả quản lý cho tính DHCP PFSense với công cụ tự xây dựng gọi PFSenseMan nhằm nâng cao hiệu mặt thời gian, tổ chức, nhân lực việc quản lý truy cập mạng ngƣời sử dụng đầu cuối hệ thống mạng có số lƣợng ngƣời sử dụng lớn thay đổi thƣờng xuyên Để chứng minh tính khả thi nhƣ tính hiệu của PFSenseMan, ứng dụng công cụ vào môi trƣờng Học viện Cảnh sát nhân dân Cảnh sát nhân dân với số lƣợng ngƣời dùng 4000 ngƣời, số lƣợng ngƣời sử dụng thƣờng xuyên thay đổi theo thời gian Thực tế triển khai PFSenseMan cho thấy PFSenseMan kết hợp với PFSense hoàn toàn đáp ứng đòi hỏi yêu cầu bảo mật, quản lý truy cập tài nguyên mạng ví dụ nhƣ mơi trƣờngcủa Học viện Cảnh sát nhân dân Cảnh sát nhân dân, với thao tác nghiệp vụ quản trị đƣợc tối ƣu hóa nhằm giảm thiểu chi phí thời gian, nhân lực nhƣ giảm thiểu lỗi cấu hình xảy nhân tố chủ quan nhƣ sai sót thao tác ngƣời quản trị Kết ứng dụng cho thấy môi trƣờng sử dụng nhƣ hiệu sử dụng thể qua khía cạnh sau:  Đối với ngƣời sử dụng: Đáp ứng yêu cầu kết nối nhanh  Đối với ngƣời quản trị hệ thống: o Hiệu hàng nghìn mặt thời gian cho việc thực cấu hình với khoảng 4000 ngƣời sử dụng, tần suất thay đổi trung bình 1000 ngƣời/năm o Khả kiểm soát trùng lặp địa IP (khả mở rộng PFSenseMan cung cấp) o Dễ dàng tổ chức địa IP cách hợp lý đáp ứng yêu cầu xây dựng luật kiểm soát truy cập tài nguyên hệ thống mạng (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 10 o Ứng dụng khiến cho việc quản trị ngƣời sử dụng đầu cuối nhanh chóng thơng qua việc xây dựng mơ hình truy cập mạng đơn giản tốn chi phí (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 45 Cùng với việc phân tích đặc điểm nhóm ngƣời sử dụng khác hệ thống mạng Học viện Cảnh sát nhân dân Bằng phƣơng pháp xác định đƣợc cấu trúc Template quan trọng cho công cụ PFSenseMan là:  Cấu trúc Template (Hình 3.5)  Cấu trúc Template (Hình 3.6) Hình 3.6: Cấu trúc template  Cấu trúc Template (Hình 3.7) Hình 3.6: Cấu trúc template (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 46  Cấu trúc Template (Hình 3.8) Hình 3.8: Cấu trúc template  Cấu trúc Template Thơng tin người sử dụng (Hình 3.9) Cấu trúc Template nhằm mục đích xây dựng cấu trúc liệu đầu vào, đầu tệp tin excel bao gồm: MACAddr, IPAddr, Description mở rộng thêm thành phần khác nhƣ DNSServer, Getway… nhằm mục đích xây dựng luật truy cập đến tài nguyên hệ thống mạng theo quy định ngƣời quản trị hệ thống MacAdr 3C:97:0E:33:74:D6 50:46:5D:2F:20:53 54:53:ED:AC:9D:D9 00:FF:1E:F3:14:FB 54:53:ED:2D:7D:DE 10:BF:48:31:B3:72 E0:DB:55:83:37:3E E0:DB:55:85:DF:80 3C:97:0E:2E:9B:6F 00:16:D4:9E:84:24 B8:70:F4:37:A7:30 B8:88:E3:A4:81:E2 78:84:3C:90:FF:17 E8:03:9A:9C:BA:69 IPAddr 192.179.1.100 192.179.1.101 192.179.1.102 192.179.1.103 192.179.1.104 192.179.1.105 192.179.1.106 192.179.1.107 192.179.1.108 192.179.1.109 192.179.1.110 192.179.1.111 192.179.1.112 192.179.1.113 Description D380701 D380702 D380704 D380715 D380044 D380265 D380261 D380352 D380386 D380133 D380355 D380531 D380183 D380180 Hình 3.9: Cấu trúc template thông tin người sử dụng (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 47 Ngồi cịn số Template khác như: Template_Sheet, Template_Sheet_Row nhằm mục đích định dạng cấu trúc xuất liệu định dạng excel để tiện cho trình xử lý liệu ngƣời quản trị hệ thống 3.6 Phiên làm việc PFSenseMan PFSenseMan hoạt động Web Các thao tác thay đổi cấu hình PFSense thơng qua PFSenseMan đƣợc thực theo phiên làm việc (session) ngƣờng dùng với ứng dụng PFSenseMan Công cụ ứng dụng PFSenseMAN sử dụng session để lƣu thông tin liệu tệp tin template phục vụ cho việc truy xuất khai thác, xử lý (thêm mới, cập nhật, xóa) kết xuất liệu cho ngƣời sử dụng session đặc điểm: Tệp cấu hình hệ thống PFSense có kích lớn, quan hệ thẻ XML phức tạp cho trình xây dựng bảng lƣu trữ Phiên làm việc (session) khoảng thời gian ngƣời sử dụng giao tiếp với ứng dụng Session bắt đầu ngƣời sử dụng truy cập vào ứng dụng lần đầu tiên, kết thúc ngƣời sử dụng thoát khỏi ứng dụng Mỗi session có định danh (ID), session khác có ID khác Trong ngữ cảnh ứng dụng web website định session bắt đầu kết thúc Trong session, website lƣu trữ số thông tin nhƣ đánh dấu bạn login hay chƣa, kết trung gian Trong phiên làm việc, PFSenseMan sử dụng biến session web để lƣu trữ liệu tạm Các biến session quan trọng bao gồm: Session để lưu trữ thông tin thẻ lan  Session["LAN_FROM"]: Lƣu trữ thông tin từ địa thẻ  Session["LAN_TO"]: Lƣu trữ thông tin tới địa thẻ Session để lưu trữ thông tin thẻ  Session["OPT_FROM"]: Lƣu trữ thông tin từ địa thẻ  Session["OPT_TO"]: Lƣu trữ thông tin tới địa thẻ Session để lưu trữ thông tin thẻ (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 48  Session["OPT_STATICMAP"]: Lƣu trữ thông tin danh sách địa IP thẻ Việc sử dụng biến session giúp thời gian thao tác xử lý liệu cho ngƣời sử dụng nhanh chóng, xác khơng phải lập lại thơng tin nhiều lần Ngồi liệu đƣợc lƣu trữ tạm thời nên không gây ảnh hƣởng đến hệ thống chạy Session có thời gian sử dụng định, sau khoảng thời gian liệu ngƣời sử dụng hoàn toàn (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 49 CHƢƠNG CÁC KẾT QUẢ ĐẠT ĐƢỢC 4.1 Hiệu mặt thời gian PFSenseMan công cụ hỗ trợ hiệu cho hệ thống firewall PFSense việc tổ chức quản lý cấp phát địa IP động Với hệ thống sử dụng tính MAC filter việc lập danh sách địa MAC (blacklist or whitelist) nhiều thời gian ngƣời quản trị Ví dụ hệ thống mạng Học viện CSND có khoảng 4.000 người số người sử dụng thay đổi hàng năm khoảng 1000 người Trƣớc có PFSenseMan ngƣời quản trị hệ thống PFSense phải xử lý theo quy trình sau:  Thêm, sửa, xóa ghi thơng tin ngƣời sử dụng offline  Apply cấu hình offline thành online  Xây dựng luật truy xuất tài nguyên cho ngƣời nhóm ngƣời sử dụng thơng qua địa IP cấp phát Thời gian cho việc tạo lập danh sách cho phép ngƣời sử dụng kết nối mạng quản lý truy xuất khoảng (4 ngƣời) * (6 tuần); Thời gian cho việc thay đổi lƣợng ngƣời sử dụng (1000 ngƣời) khoảng (4 ngƣời) * (3 tuần) Sau có PFSenseMan ngƣời quản trị hệ thống xử lý theo quy trình:  Gửi link file Excel theo nhóm cho ngƣời sử dụng (học viên), yêu cầu ngƣời sử dụng tự điền thông tin ngƣời sử dụng đầu cuối gồm: {MAC address, thông tin tên, khóa, lớp… theo cấu trúc đƣợc cho sẵn}  Tiền sử lý file Excel liệu đầu vào gồm: Gán địa IP theo luật truy xuất tài nguyên đƣợc xây dựng trƣớc theo ánh xạ 1-1 địa IP địa MAC, kiểm tra tính hợp lệ địa MAC,…  Backup tệp cấu hình hệ thống PFSense (định dạng XML) mở chúng cơng cụ PFSenseMan  Import file cấu hình thơng tin ngƣời sử dụng vào PFSense thông qua PFSenseMan bao gồm bƣớc: (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 50 o Kiểm tra tính trùng lặp địa MAC, địa IP công cụ PFSenseMan (tự động loại bỏ trùng lặp thông qua hàm kiểm tra đƣợc xây dựng sẵn) o Sinh thẻ XML theo chuẩn cấu hình hệ thống PFSense thơng qua cơng cụ PFSenseMan o Xuất tệp cấu hình XML theo cấu trúc tệp cấu hình PFSense cơng cụ PFSenseMan  Restore file cấu hình vào hệ thống firewall PFSense khởi động lại hệ thống firewall PFSense Thời gian thực theo quy trình cho việc thêm thay đổi ngƣời sử dụng hàng năm thời gian khoảng (1 ngƣời) * (3 ngày) Bảng 4.1 so sánh hiệu thời gian chi tiết cho thao tác thêm, sửa, xóa sử dụng cơng cụ trực tiếp hệ thống firewall PFSense sử dụng công cụ PFSenseMan So sánh hiệu thời gian Sử dụng cơng cụ có sẵn PFsense Sử dụng công cụ PFSenseMan Thêm 01 danh sách Số ghi danh sách x 60s 10 phút cho danh sách Cập nhật 01 danh sách Số ghi danh sách x 60s 10 phút cho danh sách Xóa 01 danh sách Số ghi danh sách x 30s 10 phút cho danh sách Bảng 4.1: So sánh hiệu thời gian 4.2 Hiệu mặt tổ chức quản lý PFSenseMan công cụ hỗ trợ PFSense hiệu mặt thời gian mà cịn cơng cụ hiệu mặt điều hƣớng truy xuất tài nguyên hệ thống mạng ngƣời sử dụng đầu cuối thông qua việc tổ chức cấp phát địa IP cách hợp lý, dễ dàng triển khai Thứ nhất: Đó tính tự động loại bỏ địa MAC địa IP trùng lặp, thêm ghi vào tệp cấu hình hệ thống firewall (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 51 PFSense thông qua kiểm tra tự động loại bỏ lỗi cấu trúc, lỗi trùng lặp địa MAC, địa IP đƣợc xây dựng công cụ Thứ hai: Đó khả tổ chức địa IP theo nhóm cách dễ dàng, thao tác xử lý địa IP phần mềm Microsoft Excel, từ ngƣời quản trị dễ dàng gộp nhóm địa IP thành nhóm phù hợp với alias trình xây dựng luật truy xuất tài nguyên mạng Thứ ba: Đó hỗ trợ khả tìm kiếm, hiển thị ghi theo dải địa IP để ngƣời quản trị dễ dàng thao tác sửa, xóa ghi Thứ tƣ: Đó khả hỗ trợ kết xuất ghi định dạng Excel để dễ dàng cho ngƣời quản trị công tác thông kê số lƣợng ngƣời sử dụng đầu cuối VLAN để từ xây dựng sách phân bổ băng thông mạng cách hợp lý Bảng 4.2 so sánh hiệu mặt tổ chức quản lý công cụ hệ thống firewall PFSense công cụ PFSenseMan Sử dụng cơng cụ có sẵn PFsense Sử dụng cơng cụ PFSenseMan Tính kiểm tra trùng lặp địa Mac Có Có Tính kiểm tra trùng lặp địa IP Khơng Có Tính tìm kiếm thơng tin 01 thiết bị Có Có Tính tìm kiếm theo dải địa IP Khơng Có Tùy chọn hiển thị số ghi Khơng Có Hỗ trợ kết xuất liệu định dạng Excel Khơng Có So sánh hiệu tổ chức Bảng 4.2: So sánh hiệu tổ chức quản lý (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 52 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Nội dung Luận văn tập chung tìm hiểu làm rõ số khái niệm, yếu tố toán tổng quát “Quản lý truy cập mạng” Đồng thời nêu số giải pháp quản lý truy cập mạng phổ biến (nội dung chƣơng 1) Trong giải pháp giải pháp quản lý truy cập mạng hệ thống tích hợp PFSense giải pháp tốt với đặc điểm: miễn phí, mạnh mẽ, đa dạng đƣợc chứng minh qua thực tế với hàng triệu lƣợt tải sử dụng nhiều môi trƣờng khác Trong chƣơng trình bày nội dung tìm hiểu ứng dụng dịch vụ hệ thống firewall PFSense vào môi trƣờng công tác thực tế Học viện Cảnh sát nhân dân đem lại hiệu tích cực, đồng thời đƣa nhận định hạn chế hệ thống PFSense ứng dụng triển khai Nội dung chƣơng đề xuất xây dựng công cụ PFSenseMan thay cho số công cụ có sẵn (nhƣng cịn hạn chế) tốn tổ chức cấp phát địa IP – yếu tố cốt lõi cho xây dựng toán quản lý truy cập mạng PFSense với nhiều yếu tố cải tiến nhằm mục đích nâng cao hiệu mặt thời gian, tổ chức quản lý Các kết thực tế triển khai đƣợc nêu lên nội dung chƣơng Tuy công cụ hạn chế Hạn chế lớn PFSenseMan PFSenseMan đƣợc thiết kế nhƣ ứng dụng “out-of-thebox” PFSense Điều dẫn đến hạn chế sau Thứ nhất, ngƣời quản trị cần lần lƣợt sử dụng qua lại hệ thống phần mềm độc lập PFSenseMan PFSense Điều khiến cho thao tác nghiệp vụ cấu hình hệ thống dù hiệu nhƣng chƣa phải giải pháp tối ƣu Thứ hai, sau thực cấu hình thành cơng, ngƣời quản trị cần khởi động lại hệ thống sau cập nhật thiết bị sử dụng Sẽ tốt PFSenseMan đƣợc “tích hợp sâu” với PFSense để thành hệ thống hoàn chỉnh Điều giúp việc sử dụng hệ thống để cấu hình trở nên suốt đơn giản Ngồi giúp hỗ trợ thực cấu hình hệ thống online mà khơng cần phải khởi động lại hệ thống Trong tƣơng lai chúng tơi dự kiến hồn thiện đề tài có điều kiện tìm hiểu sâu mã nguồn hệ thống firewall PFSense, hệ điều hành (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 53 FreeBSD để từ xây dựng module trực tiếp hệ thống firewall PFSense nhằm loại bỏ hạn chế nêu Đồng thời mở rộng cho dịch vụ khác PFSense nhƣ Captive Portal, quản lý alias, vân vân (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 54 TÀI LIỆU THAM KHẢO [1] Jim Geier, “Implementing 802.1x Security Solutions for Wired and Wireless Networks”, Wiley Publising, 2008 [2] Sergey Poznyakoff, “Gnu Radius Reference Manual”, Published by Free Software Foundation, 2003 [3] Ralph Droms, Ted Lemon, “The DHCP Handbook”, 2nd Edition, SAMS, November 2002 [4] R Droms, W Arbaugh, “Authentication for DHCP Messages”, RFC 3118, June 2001 [5] Chirag Sheth, Rajesh Thakker, “Performance Evaluation and Comparative Analysis of Network Firewalls”, 2011 IEEE [6] Christopher M Buechler, Jim Pingle, “The Definitive Guide to the PFSense Open Source Firewall and Router Distribution”, 2009 [7] Matt Williamson, “PFSense Cookbook”, 2011 Packt Publishing [8] FreeBSD Handbook, “The FreeBSD Documentation Project”, 1995-2014 https://www.freebsd.org/doc/handbook/ [9] The FreeRADIUS Server http://freeradius.org/doc/ [10] Duane Wessels, “Squid: The Definitive Guide”, 2004, O'Reilly and Associates Publishing [11] http://www.nongnu.org/quagga/docs/quagga.html, Copyright © 1999-2005 Kunihiro Ishiguro, et al [12] Ofir Akin, CTO Blackhat USA 2006, http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Arkin.pdf [13] Benny Czarny, “Network Access Control Technologies”, OPSWAT Inc, https://www.opswat.com/sites/default/files/Network_Access_Control_Technol ogies.pdf [14] http://en.wikipedia.org/wiki/Network_Admission_Control [15] http://en.wikipedia.org/wiki/Network_Access_Protection [16] http://en.wikipedia.org/wiki/Trusted_Network_Connect Project and Contributors, 2014, (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 55 PHỤ LỤC Phụ lục 1: Biểu đồ use case quản lý DHCP uc Use case QL DHCP QL DHCP Them moi nguoi dung «include» Doc DS nguoi dung tu file excel Xuat du lieu Excel «extend» Xuat du lieu «extend» Hien thi danh sach nguoi dung Xuat du lieu XML Nguoi quan tri Cap nhat nguoi dung «include» Tim kiem «include» Loai bo nguoi dung PFSense Mã use case UC_use_case_them_moi_nguoi_dung Tên use case Thêm ngƣời dùng Mô tả Cho phép ngƣời quản trị thêm nhóm ngƣời dùng cách import danh sách thơng tin nhóm ngƣời dùng từ file excel khai báo trƣớc theo định dạng mẫu Tác nhân Ngƣời quản trị Điều kiện trƣớc Ngƣời quản trị phải giao diện PFSenseMan hiển thị danh sách ngƣời dùng VLAN có trƣớc Điều kiện sau Hiển thị thông tin danh sách ngƣời sử dụng vừa đƣợc tạo Dòng kiện Ngƣời dùng thực thao tác sau:  Bƣớc 1: Nhân viên thiết kế chọn chức cấu hình DHCP  Bƣớc 2: Chọn chức thêm danh sách tự động  Bƣớc 3: Chọn đƣờng dẫn đến tệp lƣu trữ danh sách ngƣời sử dụng (định dạng xls) (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 56  Bƣớc 4: Chọn chức xem tệp tin để phát lỗi trùng lặp IP, MAC, lỗi cấu trúc IP, MAC  Bƣớc 5: Chọn chức chấp nhận để ghi thông tin danh sách ngƣời sử dụng vào hệ thống PFSenseMan  Bƣớc 6: Hệ thống tiến hành lƣu liệu vào CSDL XML thông báo, hiển thị kết hình Dịng kiện Hệ thống thơng báo sai định dạng file xls bắt buộc chọn lại thay (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 57 Phụ lục 2: Biểu đồ use case quản lý Aliases uc QL Aliases QL nhom tap quyen (Aliases) Them nguoi dung v ao nhom quyen «include» Doc DS nguoi dung tu file excel Hien thi nhom quyen PFSense Rule Nguoi quan tri Loai bo nguoi dung khoi nhom quyen Xuat du lieu XML (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 58 Phụ lục 3: Biểu đồ thêm nhóm NSD vào quản lý DHCP sd Logical Vi Nguoi quan tri QL DHCP Form XML Templates Control XLM file Exccel Template Control Excel file DHCP Control DHCP Entity Mo form() Chon file cau hinh goc cua PFSense() Nhan dang mau theo Templates() Doc file XML() Hien thi danh sach nguoi dung() Them moi danh sach nguoi dung() Nhan dang theo mau() Doc file excel() Goi thu vien kiem tra loi() Tra ve thong bao loi() alt Loi cau truc MAC, trung IP Khoi tao danh sach nguoi dung() Hien thi ket qua danh sach nguoi dung them moi() (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 TIEU LUAN MOI download : skknchat@gmail.com (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15 (LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15(LUAN.van.THAC.si).nang.cao.hieu.qua.quan.ly.truy.cap.mang.cho.he.thong.firewall.PFSense.voi.tap.nguoi.dung.dong.luan.van.ths.cong.nghe.thong.tin.60.08.15