Xác thực với Captive Portal
Captive Portal là một giải pháp xác thực mạng hiệu quả, yêu cầu người dùng phải được chuyển hướng đến một trang web trước khi truy cập Tại đây, người dùng cần nhập tài khoản và mật khẩu để hoàn tất quá trình xác thực.
Formatted: Heading 3, Left, Indent: First line:
0", Space Before: 0 pt, After: 0 pt, Line spacing: single
Captive Portal chuyển đổi trình duyệt web thành công cụ xác thực hiệu quả bằng cách chặn tất cả các gói tin, không phân biệt địa chỉ IP và cổng, cho đến khi người dùng hoàn thành quá trình xác thực trên trang web được hệ thống chuyển hướng đến.
Một số mô hình quản lý truy cập
Mô hình quản lý truy cập phân tán
Mô hình quản lý cấp phát địa chỉ phân tán thường được áp dụng trong các mạng cỡ nhỏ nhờ vào việc triển khai dễ dàng Tuy nhiên, trong các mạng cỡ vừa và lớn, mô hình này ít được sử dụng do yêu cầu phải chia tách thành nhiều mạng con và các vấn đề liên quan đến bảo mật, quản lý băng thông, quản lý truy cập tài nguyên, định tuyến, và các đặc điểm khác của mạng.
Khả năng xác thực hạn chế trên các thiết bị access point, không hỗ trợ việc sao lưu cấu hình xác thực
Khả năng quản lý truy cập thiếu tính nhất quán do việc kiểm soát truy cập độc lập trên các thiết bị khác nhau
Cấu hình thiết bị phần cứng hạn chế có thể làm cho hệ thống mạng trở nên phức tạp và khó kiểm soát, đặc biệt khi số lượng người sử dụng đầu cuối tăng cao.
Mô hình quản lý truy cập dựa trên Captive Portal
Mô hình quản lý truy cập Captive Portal thường được sử dụng trong các mạng công cộng, cho phép kiểm soát truy cập qua một cửa duy nhất Một số phần mềm phổ biến hỗ trợ Captive Portal bao gồm PFSense, Amigopod, ArubaOS Integration, CentOS và Chillispot.
Captive Portal là giải pháp yêu cầu người dùng chuyển hướng đến một trang web đặc biệt trước khi truy cập mạng Kỹ thuật này biến trình duyệt web thành công cụ chứng thực hiệu quả, ngăn chặn tất cả các gói tin cho đến khi người dùng hoàn thành chứng thực trên trang được chuyển hướng.
Hình 1.5: Mô hình xác thực sử dụng Captive Portal
Captive Portal sử dụng máy chủ chứng thực Radius để thực hiện xác thực, giúp giảm thiểu thời gian quản lý kết nối mạng Tuy nhiên, việc điều hướng truy cập tài nguyên trong mạng cho các thiết bị đầu cuối vẫn gặp khó khăn và không đảm bảo các yêu cầu về quản lý truy xuất tài nguyên.
Mô hình quản lý truy cập NAC của Cisco
Cisco là công ty tiên phong trong việc phát triển khái niệm NAC (Network Access Control), với kiến trúc NAC tập trung vào việc kiểm soát các thiết bị đầu cuối trước khi chúng kết nối vào mạng Các yếu tố chính được chú trọng bao gồm Antivirus, Health Agent và Patch Agent.
Giải pháp NAC của Cisco hoạt động dựa trên chế độ Agent-based và giới thiệu khái niệm Posture Validation Server (PVS), cho phép quản trị viên thiết lập các chính sách truy cập mạng tập trung Tuy nhiên, giải pháp này gặp khó khăn trong việc quản lý các vấn đề phát sinh từ thiết bị đầu cuối Hơn nữa, cơ chế hoạt động của các Agent phụ thuộc vào các chương trình antivirus, anti-malware và patch của bên thứ ba, dẫn đến việc người dùng cuối gặp khó khăn trong việc kết nối mạng nếu không kịp thời cập nhật các bản vá và bản cập nhật.
Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [13])
Một số lợi ích trong giải pháp NAC của Cisco
Network Access Control (NAC) là một giải pháp an toàn cho việc quản lý truy cập, tập trung vào việc kiểm soát an ninh trên thiết bị đầu cuối Mặc dù có nhiều thách thức trong việc triển khai NAC, như lựa chọn mô hình, chi phí đầu tư và các chính sách truy cập tài nguyên mạng, nhưng lợi ích của NAC là rất cần thiết cho việc thiết lập các hệ thống mạng hiện đại.
Kiểm soát, quản lý truy cập, quản lý khai tác tài nguyên trên mạng đối người sử dụng đầu cuối
Ngăn chặn các chương trình mã độc, virus lây lan, phát tán ra toàn bộ hệ thống mạng
Loại bỏ các mối nguy hiểm tiềm ẩn từ các thiết bị client thông qua việc kiểm soát các thiết bị đầu cuối
Nâng cao tính sẵn sàng của hệ thống mạng và giảm sự gián đoạn cung cấp dịch vụ cho thiết bị đầu cuối
Đảm bảo các thiết bị đầu cuối sử dụng các chương trình diệt virus và tường lửa đúng cách, đáp ứng các chính sách đặt ra.
Mô hình quản lý truy cập với PFSense
PFSense là một phần mềm tường lửa miễn phí và mạnh mẽ, cho phép quản lý tập trung các yêu cầu cấu hình cho doanh nghiệp và tổ chức Hệ thống này cung cấp nhiều dịch vụ khác nhau trong một môi trường nhất quán, đảm bảo các tính năng cơ bản cần thiết cho mạng cỡ lớn, đáp ứng yêu cầu về bảo mật, định tuyến và cân bằng tải.
Dịch vụ tường lửa: được thực hiện bởi gói Packetages filtering (PF) tích hợp trong nhân của FreeBSD [8]
Dịch vụ DHCP + và MAC address filtering: Đƣợc thực hiện bởi (DHCPd tích hợp trong nhân của FreeBSD)
Dịch vụ Captive Portal: Đƣợc cung cấp bởi (FreeRadius [9])
Dịch vụ Proxy / Load balancing: Đƣợc cung cấp bởi (Squid [10] và /CARP [8])
Traffic Shaper: Đƣợc cung cấp bởi dummynet and ipfw trong nhân của FreeBSD
NAT + routing: Đƣợc cung cấp bởi Quagga [11]
Tính năng DHCP trong PFSense đƣợc tích hợp thêm MAC filter tạo cho chúng những ƣu điểm nổi trội trong quản lý truy cập nhƣ:
Cho phép cấu hình cấp phát địa chỉ động độc lập cho từng VLAN, hỗ trợ nhiều subnet khác nhau (từ 0 đến 32 bit) Điều này giúp thiết lập cấu hình cấp phát địa chỉ động cho mỗi VLAN với số lượng người dùng tùy ý.
Cho phép triển khai MAC filter tập trung, dựa vào ánh xạ 1-1 giữa địa chỉ MAC và địa chỉ IP từ gói tin ARP request phía client gửi đến
Có thể ngăn chặn kết nối từ các thiết bị client đến hệ thống mạng trong trường hợp các thiết bị client thiết lập địa chỉ tĩnh
Hỗ trợ giao diện người sử dụng trên nền web do vậy người quản trị có thể quản lý cấu hình dễ dàng, trực quan
Tích hợp đầy đủ cấu hình các dịch vụ khác nhƣ WINS, DNS Server, NTP Server, vân vân
Hỗ trợ đầy đủ file logs để người quản trị tiện theo dõi quá trình cấp phát địa chỉ động trên hệ thống
Cấp phát địa chỉ IP trong PFSense là cơ sở để xây dựng chính sách truy cập tài nguyên mạng Quá trình này được tích hợp trong một hệ thống đồng nhất, giúp quản trị viên quản lý băng thông cho từng thiết bị client Ngoài ra, việc xây dựng các luật truy cập tài nguyên cũng dựa trên chính sách cấp phát địa chỉ IP, đồng thời hỗ trợ định tuyến trong mô hình mạng với yêu cầu quản lý phức tạp.
Nội dung chương này làm rõ nội hàm và một số khái niệm của bài toán
Quản lý truy cập mạng hiện nay đóng vai trò quan trọng trong việc xây dựng mô hình mạng hướng người sử dụng Bài viết này giới thiệu một số kiến trúc mô hình quản lý truy cập phổ biến, bao gồm mô hình quản lý truy cập phân tán, mô hình dựa trên Captive Portal, mô hình dựa trên firewall và mô hình quản lý truy cập NAC của Cisco.
Chương này giới thiệu hệ thống mã nguồn mở PFSense, một tường lửa mạnh mẽ và miễn phí, tích hợp tính năng định tuyến cùng nhiều dịch vụ khác nhau, mang lại giải pháp hiệu quả cho các vấn đề về mạng.
Quản lý truy cập mạng là yếu tố quan trọng trong việc cung cấp dịch vụ độc lập và phong phú, phù hợp cho các hệ thống mạng cỡ vừa và lớn Nó tập trung vào việc quản lý quyền truy xuất tài nguyên mạng cho người dùng cuối, đáp ứng nhu cầu của một tập người dùng đa dạng.
Chương 2 sẽ cung cấp cái nhìn sâu sắc về hệ thống tích hợp PFSense cùng với các ứng dụng thực tiễn trong bài toán “Quản lý truy cập mạng” Bên cạnh đó, chương này cũng sẽ nêu rõ những ưu điểm và nhược điểm của việc triển khai hệ thống, đồng thời đề xuất các hướng khắc phục sẽ được trình bày trong chương 3.
QUẢN LÝ TRUY CẬP TRONG PFSENSE
Giới thiệu PFSense
PFSense là một hệ thống tường lửa mã nguồn mở, tích hợp nhiều tính năng như định tuyến, phân tải và quản lý địa chỉ, được phát triển bằng ngôn ngữ PHP.
PFSense là một phần mềm tường lửa mã nguồn mở được phát triển trên hệ điều hành FreeBSD, cung cấp giao diện quản trị web thân thiện và dễ sử dụng Việc cấu hình hệ thống diễn ra một cách trực quan, giúp người dùng dễ dàng thao tác và ghi nhớ Giao diện quản trị của PFSense được xây dựng bằng Apache và PHP, mang lại trải nghiệm quản lý hiệu quả cho người dùng.
PFSense không chỉ là một hệ thống tường lửa mạnh mẽ và linh hoạt, mà còn hỗ trợ chức năng định tuyến cơ bản Nó cung cấp nhiều tính năng và công cụ quản lý, điều khiển truy cập hiệu quả Đặc biệt, PFSense cho phép các nhà phát triển tích hợp các gói dịch vụ cần thiết mà không cần thỏa thuận pháp lý, mang lại sự linh hoạt tối đa cho người dùng.
PFSense là một hệ thống mạng phổ biến, đã đạt hơn một triệu lượt tải về và được triển khai rộng rãi trong nhiều môi trường khác nhau Từ các mạng gia đình với vài máy tính đến các hệ thống mạng phức tạp của tập đoàn, trường đại học và tổ chức, PFSense cung cấp giải pháp bảo vệ và quản lý truy cập cho hàng ngàn thiết bị trong hệ thống mạng.
Dự án PFSense, được phát triển từ năm 2004 bởi Chris Buechler và Scott Ullrich, bắt nguồn từ m0n0wall, đã chứng minh tính hữu ích và khả dụng của mình Mặc dù trong giai đoạn đầu, PFSense gặp một số hạn chế về driver hỗ trợ thiết bị máy chủ, nhưng hiện nay, những nhược điểm này đã được khắc phục PFSense ngày càng được ứng dụng rộng rãi trong các tổ chức và doanh nghiệp vừa và nhỏ.
Quản lý truy cập trong firewall PFSense
PFSense có vai trò quan trọng trong việc lọc các gói tin, không phụ thuộc vào cách triển khai cụ thể Bài viết này sẽ giới thiệu các nguyên tắc cơ bản của tường lửa và những thành phần chính cần thiết để thiết lập và kiểm soát lưu lượng gói tin hiệu quả.
2.2.1 Chức năng firewall trong PFSense
Nguyên lý điều khiển gói tin của firewall
PFSense, giống như nhiều hệ thống tường lửa khác, hoạt động theo quy trình chặt chẽ: đầu tiên, gói tin phải trải qua lớp lọc liên kết, sau đó được kiểm tra bởi bộ quy tắc động, tiếp theo là kiểm tra tính hợp pháp, lọc cổng và địa chỉ IP Cuối cùng, địa chỉ mạng và cổng sẽ được truyền đạt Quy trình này được minh họa qua sơ đồ dòng dữ liệu.
Hình 2.1: Hoạt động của tường lửa và dòng dữ liệu (nguồn [5])
PFSense là một trong những ứng dụng phổ biến nhất cho hệ thống firewall mềm, với tính năng chính là lọc gói tin Nó sử dụng giao diện WebGUI để thiết lập các quy tắc cho hầu hết các giao thức như TCP, UDP, ICMP, nhưng không hỗ trợ giao thức P2P PFSense có khả năng áp dụng cho các mô hình mạng với hàng nghìn người dùng, giúp lọc hiệu quả các gói tin đi qua hệ thống.
PFSense đã trở thành một trong những hệ thống tường lửa mã nguồn mở phổ biến nhất hiện nay, với hàng triệu lượt tải xuống và sử dụng Hệ thống này không chỉ mạnh mẽ mà còn dễ dàng tích hợp với các thiết bị tường lửa phần cứng của các thương hiệu lớn như Cisco và Juniper.
PFSense cung cấp các tệp nhật ký và biểu đồ như biểu đồ lưu lượng và biểu đồ RRD, giúp người quản trị theo dõi lưu lượng mạng, cũng như các gói tin bị chặn, cho phép, và từ chối Thông qua đó, quản trị viên có thể xây dựng các chính sách truy cập phù hợp với tình hình thực tế.
Các thuật ngữ cơ bản của chức năng firewall
Rule và Ruleset là 2 thuật ngữ đƣợc sử dụng xuyên suốt trong phần này
Một Rule hay Ruleset là tập hợp các cấu hình giúp cho phép hoặc ngăn chặn gói tin giữa các thiết bị hoặc mạng Hệ thống firewall PFSense thực hiện các luật theo thứ tự từ trên xuống dưới, trong trường hợp có mâu thuẫn, luật ở trên sẽ được ưu tiên.
PFSense cho phép xây dựng các luật theo nguyên tắc ưu tiên, trong đó các luật chung được đặt phía dưới và các luật riêng được đặt phía trên Nguyên tắc này giúp hạn chế tối đa các ngoại lệ có thể bị bỏ sót khi PFSense thực thi các luật theo thứ tự từ trên xuống dưới.
Hình 2.2: Ví dụ về cấu hình các luật được áp dụng (nguồn: PFSense screenshot)
State table là bảng trạng thái kết nối Khi một kết nối đƣợc thực hiện,
PFSense tạo ra một bảng trạng thái dựa trên các quy tắc đã được thiết lập, từ đó xác định việc cho phép hoặc từ chối các gói tin gửi và nhận giữa clients và địa chỉ đích Bảng trạng thái này áp dụng cho nhiều giao thức khác nhau, bao gồm ICMP, UDP, TCP và một số giao thức khác.
Hệ thống PFSense mặc định thiết lập bảng trạng thái với 10.000 kết nối đồng thời, nhưng có thể điều chỉnh kích thước này trong phần tùy chọn phụ thuộc vào số lượng người sử dụng trong mạng Cần lưu ý rằng mỗi trạng thái kết nối sẽ tiêu tốn khoảng 1KB bộ nhớ RAM.
Aliases giúp nhóm các ports, hosts hoặc networks thành tên, dễ dàng sử dụng trong cấu hình firewall rules, NAT, và traffic shaper Điều này tạo ra các tập quy tắc ngắn gọn và dễ quản lý hơn.
CARP (Common Address Redundancy Protocol) là một giao thức cho phép nhiều thiết bị trong cùng một mạng chia sẻ tập hợp các địa chỉ IP, nhằm cung cấp chuyển đổi dự phòng cho hệ thống tường lửa, định tuyến và cân bằng tải Giao thức này được tích hợp và sử dụng phổ biến trong hệ điều hành FreeBSD.
DHCP Server là dịch vụ quan trọng trong mạng, có nhiệm vụ cấp phát địa chỉ IP cho các máy client Dịch vụ này thường được kích hoạt mặc định trên các subnet hoặc VLAN, đồng thời gán địa chỉ gateway và DNS Server nếu dịch vụ DNS forwarder được bật Ngoài ra, còn nhiều tùy chọn khác có thể cấu hình cho dịch vụ này.
Mỗi VLAN đều có tính năng DHCP riêng biệt, cho phép kích hoạt hoặc vô hiệu hóa độc lập Người dùng có thể dễ dàng vượt qua kiểm soát truy cập bằng cách thiết lập địa chỉ IP tĩnh, vì vậy PFSense cung cấp tính năng kiểm tra tính hợp lệ của thiết bị thông qua địa chỉ MAC bằng cách kiểm tra gói tin ARP khi client xin cấp phát địa chỉ IP Điều này cải thiện đáng kể hạn chế của dịch vụ DHCP Server, trở thành công cụ hữu ích với giao diện WebGUI giúp quản trị viên thiết lập mạng an toàn, ngăn chặn xâm nhập trái phép từ các client Tuy nhiên, việc cấp phát địa chỉ IP theo địa chỉ MAC trong mạng có nhiều người sử dụng có thể tốn kém về thời gian và nhân sự.
Hình 2.4: Tùy chọn tính năng MAC filter trong DHCP Server (nguồn: PFSense screenshot)
DHCP trong PFSense cho phép cấu hình tối đa 2 máy chủ chạy dịch vụ WINS Server, 2 máy chủ này không nhất thiết phải đặt trong cùng một subnet
Để điều hướng các thiết bị client đến các máy chủ WINS Server, cần phải cấu hình định tuyến giữa subnet và địa chỉ IP của các máy chủ này.
When the DNS Forwarder service is in use, the DHCP Server will automatically assign the DNS server's address to clients when the DNS field is left blank during IP address allocation.
XML trong quản lý cấu hình của PFSense
Gần đây, XML đã được áp dụng rộng rãi trong công nghệ quản trị mạng và được đề xuất như một giải pháp thay thế cho các công cụ quản trị hiện có Mặc dù hầu hết các thiết bị mạng đều tích hợp SNMP agent và được quản lý bởi SNMP manager, nhưng sự phát triển nhanh chóng của mạng Internet và các thiết bị mạng đã khiến quản trị dựa trên SNMP trở nên khó khăn và kém hiệu quả Do đó, quản trị mạng dựa trên XML được coi là một giải pháp khả thi để khắc phục những hạn chế này.
XML (Extensible Markup Language) là một siêu ngôn ngữ đánh dấu mở rộng, được W3C chuẩn hóa để chuyển đổi dữ liệu trên Web, phổ biến trong kinh doanh, thương mại điện tử và phát triển ứng dụng Nó hỗ trợ nhiều tiêu chuẩn như lược đồ XML, mô hình đối tượng tài liệu (DOM), API, XPath và XSL Việc áp dụng các kỹ thuật liên quan đến XML mang lại nhiều giải pháp hiệu quả, đồng thời giúp mở rộng khả năng quản trị mạng Sử dụng XML trong quản trị mạng hiện nay mang lại nhiều lợi ích đáng kể.
Lƣợc đồ XML có thể đƣợc sử dụng để định nghĩa cấu trúc thông tin
Giao thức của XML phát triển rộng giống nhƣ HTTP đƣợc sử dụng để truyền dữ liệu chính xác
DOM APIs đƣợc sử dụng để dễ dàng truy cập và quản lý đa dạng dữ liệu từ các ứng dụng
Biểu thức Xpath đƣợc sử dụng để truy cập các đối tƣợng địa chỉ hiệu quả mà không cần quản lý dữ liệu
XSLT là công cụ hữu hiệu trong việc xử lý dữ liệu quản trị, giúp đơn giản hóa quy trình và tạo ra các tài liệu HTML với nhiều giao diện người dùng đa dạng.
WSDL và SOAP đƣợc sử dụng để định nghĩa dịch vụ Web với các thao tác quản trị ở bậc cao
PFSense tích hợp công nghệ XML để quản lý cấp phát địa chỉ động và các dịch vụ khác, hoạt động như một giải pháp cơ sở dữ liệu Quá trình truy xuất dữ liệu từ XML được mô hình hóa rõ ràng, như thể hiện trong Hình 2.5 và Hình 2.6.
Hình 2.5: Mô hình kết nối và trao đổi với DHCP server
Hình 2.6: Mô hình truy xuất dữ liệu thông qua cấu trúc tệp tin xml
Các hạn chế của PFSense
2.4.1 Các hạn chế chung của PFSense
Lỗi do xung đột pakages
Trong quá trình nghiên cứu, việc cài đặt các ứng dụng đóng gói trên FreeBSD có thể gây ra lỗi hệ thống và làm cho firewall hoạt động không ổn định Hơn nữa, do PFSense và FreeBSD là các hệ thống mã nguồn mở, nên việc phát triển các gói ứng dụng tích hợp thường thiếu sự kiểm duyệt và thử nghiệm kỹ lưỡng như các sản phẩm thương mại khác.
Hạn chế về cấu hình mặc định
Khi mới cài đặt, hệ thống chỉ hỗ trợ mô hình mạng cho khoảng 500 người dùng Để phục vụ số lượng người dùng lớn hơn, cần can thiệp vào file cấu hình và thay đổi các tham số tài nguyên hệ thống Điều này xuất phát từ kinh nghiệm thực tế, vì tài liệu của PFSense không cung cấp hướng dẫn cụ thể.
Thiếu tính ổn định của tính năng sao lưu dự phòng
Việc nâng cấp hệ thống hoặc cài đặt thêm gói backup và restore toàn bộ cấu hình sang một hệ thống mới thường tốn nhiều thời gian và không ổn định, so với việc thực hiện backup và restore trên cùng một hệ thống và phiên bản.
Phần mềm mã nguồn mở thường gặp phải các lỗi hệ thống do phụ thuộc vào sự phát triển của cộng đồng, dẫn đến việc giải quyết vấn đề có thể mất thời gian Để khắc phục tình trạng này, người dùng có thể xem xét mua gói hỗ trợ trả phí hàng năm.
Không tương thích với các phần cứng mới
Không tương thích với các thiết bị phần cứng mới do phải chờ PFSense đƣợc cộng đồng xây dựng lại trên phiên bản FreeBSD mới hơn
2.4.2 Hạn chế về dịch vụ DHCP
Khi PFSense được triển khai để quản lý một hệ thống mạng phức tạp với số lượng người dùng lớn và động, cũng như yêu cầu phân chia mạng thành nhiều vùng, nó sẽ bộc lộ một số nhược điểm.
Hạn chế khi số lượng người dùng lớn
Khi số lượng người dùng vượt quá 500 và thường xuyên thay đổi, việc quản lý cấp phát địa chỉ IP bằng tính năng cấu hình DHCP của PFSense sẽ trở nên tốn kém Điều này là do PFSense chỉ hỗ trợ cấu hình đơn lẻ cho từng trường hợp, gây khó khăn trong việc quản lý hiệu quả.
Tại Học viện CSND, mỗi kỳ có khoảng 1000 học viên nhập học và ra trường, trong khi việc thay đổi cấu hình mạng cho các học viên sử dụng mất khoảng 4 người và kéo dài trong 4 tuần.
Hạn chế khi nhu cầu truy cập hệ thống mạng phức tạp
Khi người dùng cần sử dụng mạng tại nhiều vị trí xa nhau, hệ thống mạng cần được chia thành nhiều VLAN độc lập dựa trên khoảng cách địa lý Để đáp ứng yêu cầu này, số lần thay đổi địa chỉ khi cấu hình cho người dùng sẽ tương ứng với số lượng VLAN được thiết lập.
Số lượng thao tác cấu hình cần thiết cho toàn bộ người dùng sẽ được tính bằng công thức: (số VLAN) x (số người sử dụng) Điều này cho thấy rằng việc quản lý VLAN có thể trở nên phức tạp khi số lượng người dùng và VLAN tăng lên.
Tại Học viện CSND, môi trường học tập và rèn luyện đặc thù yêu cầu học viên sinh hoạt tập trung tại trường, dẫn đến nhu cầu truy cập mạng của mỗi học viên trung bình tại ba vị trí: Ký túc xá, Giảng đường và Thư viện.
Khó quy hoạch địa chỉ cho tập người dùng động
Khi xây dựng các luật truy xuất tài nguyên cho từng nhóm đối tượng trong một hệ thống mạng hỗn hợp, việc quy hoạch và phân bổ địa chỉ IP trở nên phức tạp và khó khăn Những khó khăn này xuất phát từ nhiều lý do khác nhau.
Việc xây dựng các luật truy xuất dựa trên cách tổ chức địa chỉ IP thành các nhóm khác nhau có thể dẫn đến những sai sót và nhầm lẫn khi thay đổi cấu hình một cách đơn lẻ và thường xuyên với số lượng lớn.
Xung đột xảy ra khi 2 quản trị viên cùng cập nhật
Các địa chỉ IP rất dễ bị trùng lặp khiến những người dùng bị trùng IP không thể dùng mạng đồng thời
Chương này giới thiệu về hệ thống mã nguồn mở PFSense và các dịch vụ của nó, nhấn mạnh tính ưu việt trong quản lý người dùng cho hệ thống mạng lớn với nhiều người sử dụng PFSense hỗ trợ nhiều dịch vụ như xác thực, truy cập từ xa, quản lý băng thông và định tuyến, đồng thời đảm bảo tính bảo mật cao, đáp ứng nhu cầu phức tạp của mạng lưới hiện đại.
Trong chương này, chúng tôi sẽ đánh giá các ưu và nhược điểm của dịch vụ DHCP trong PFSense, một dịch vụ quan trọng và phổ biến trong các hệ thống mạng, nhờ vào tính năng lọc MAC của nó.
Mục tiêu của luận văn này là cải tiến dịch vụ DHCP trong PFSense thông qua công cụ PFSenseMan, nhằm nâng cao hiệu quả về thời gian, tổ chức và công sức cho người quản trị Chương 3 sẽ tập trung vào việc phân tích bài toán cụ thể và các vấn đề phát sinh khi xây dựng công cụ PFSenseMan.
Formatted: Indent: First line: 0.39", No bullets or numbering
ĐỀ XUẤT VÀ THỰC HIỆN
Phiên làm việc của PFSenseMan
PFSenseMan là một ứng dụng web cho phép người dùng thay đổi cấu hình PFSense thông qua các phiên làm việc riêng biệt Mỗi thao tác cấu hình được thực hiện trong từng phiên làm việc của ứng dụng PFSenseMan, đảm bảo tính linh hoạt và tiện lợi cho người sử dụng.
Công cụ PFSenseMAN sử dụng session để lưu trữ thông tin dữ liệu từ các tệp template, giúp người dùng dễ dàng truy xuất, khai thác và xử lý dữ liệu như thêm mới, cập nhật hoặc xóa Điều này đặc biệt quan trọng do tệp cấu hình của hệ thống PFSense có kích thước lớn và mối quan hệ phức tạp giữa các thẻ trong XML, ảnh hưởng đến quá trình xây dựng các bảng lưu trữ.
Phiên làm việc (session) là khoảng thời gian mà người dùng tương tác với một ứng dụng, bắt đầu từ lần truy cập đầu tiên cho đến khi người dùng thoát khỏi ứng dụng Mỗi session được xác định bằng một định danh (ID) duy nhất, và các session khác nhau sẽ có ID khác nhau Trong ngữ cảnh của ứng dụng web, việc xác định thời điểm bắt đầu và kết thúc session phụ thuộc vào cách thức hoạt động của website.
Trong một session, website có thể lưu trữ một số thông tin như đánh dấu bạn đã login hay chƣa, các kết quả trung gian
Trong một phiên làm việc, PFSenseMan sử dụng các biến session của web để lưu trữ dữ liệu tạm Các biến session quan trọng này bao gồm:
Session để lưu trữ thông tin thẻ lan
Session["LAN_FROM"]: Lưu trữ thông tin từ địa chỉ trong thẻ
Session["LAN_TO"]: Lưu trữ thông tin tới địa chỉ trong thẻ
Session để lưu trữ thông tin thẻ
Session["OPT_FROM"]: Lưu trữ thông tin từ địa chỉ trong thẻ
Session["OPT_TO"]: Lưu trữ thông tin tới địa chỉ trong thẻ
Session để lưu trữ thông tin thẻ
Session["OPT_STATICMAP"]: Lưu trữ thông tin danh sách các địa chỉ IP trong thẻ
Sử dụng biến session giúp người dùng thao tác và xử lý dữ liệu nhanh chóng, chính xác mà không cần nhập lại thông tin nhiều lần Dữ liệu được lưu trữ tạm thời, không ảnh hưởng đến hệ thống đang hoạt động Tuy nhiên, session chỉ có thời gian sử dụng nhất định, sau đó dữ liệu sẽ bị mất hoàn toàn.
CÁC KẾT QUẢ ĐẠT ĐƯỢC
Hiệu quả về mặt thời gian
PFSenseMan là một công cụ hữu ích giúp quản lý cấp phát địa chỉ IP động cho hệ thống firewall PFSense Khi sử dụng tính năng lọc MAC, việc tạo danh sách địa chỉ MAC (blacklist hoặc whitelist) thường tốn nhiều thời gian cho người quản trị.
Ví dụ đối với hệ thống mạng của Học viện CSND có khoảng 4.000 người số người sử dụng thay đổi hàng năm khoảng 1000 người
Trước khi có PFSenseMan người quản trị hệ thống PFSense phải xử lý theo quy trình sau:
Thêm, sửa, xóa từng bản ghi thông tin người sử dụng offline
Apply cấu hình offline thành online
Xây dựng luật truy xuất tài nguyên cho mỗi người hoặc nhóm người sử dụng thông qua địa chỉ IP đã cấp phát
Thời gian để tạo lập danh sách cho phép người sử dụng kết nối mạng và quản lý truy xuất là khoảng 24 tuần cho 4 người Trong khi đó, việc thay đổi số lượng người sử dụng lên đến 1000 người sẽ mất khoảng 12 tuần cho 4 người.
Sau khi có PFSenseMan người quản trị hệ thống xử lý theo quy trình:
Gửi link file Excel theo nhóm cho người sử dụng (học viên), yêu cầu người sử dụng tự điền các thông tin của người sử dụng đầu cuối gồm:
{MAC address, các thông tin về tên, khóa, lớp… theo cấu trúc đƣợc cho sẵn}
Tiền xử lý file Excel dữ liệu đầu vào bao gồm việc gán địa chỉ IP theo quy tắc truy xuất tài nguyên đã được thiết lập trước, dựa trên ánh xạ 1-1 giữa địa chỉ IP và địa chỉ MAC, cũng như kiểm tra tính hợp lệ của địa chỉ MAC.
Backup tệp cấu hình hệ thống PFSense (định dạng XML) và mở chúng bằng công cụ PFSenseMan
Để nhập file cấu hình thông tin người sử dụng vào PFSense qua PFSenseMan, bạn cần thực hiện các bước sau: đầu tiên, kiểm tra tính trùng lặp địa chỉ MAC và địa chỉ IP bằng công cụ PFSenseMan, nơi tự động loại bỏ các trùng lặp nhờ vào các hàm kiểm tra có sẵn Tiếp theo, sử dụng PFSenseMan để sinh các thẻ XML theo chuẩn cấu hình của hệ thống PFSense Cuối cùng, xuất tệp cấu hình XML theo cấu trúc tệp của PFSense thông qua công cụ PFSenseMan.
Restore file cấu hình vào hệ thống firewall PFSense và khởi động lại hệ thống firewall PFSense
Thời gian thực hiện theo quy trình trên cho việc thêm mới hoặc thay đổi người sử dụng hàng năm mất thời gian khoảng (1 người) * (3 ngày)
Bảng 4.1 trình bày sự so sánh hiệu quả thời gian cho các thao tác thêm, sửa, xóa giữa việc sử dụng công cụ trực tiếp của hệ thống firewall PFSense và công cụ PFSenseMan.
So sánh hiệu quả về thời gian
Sử dụng công cụ có sẵn của PFsense
Sử dụng công cụ PFSenseMan
Thêm 01 danh sách Số bản ghi trong danh sách x 60s 10 phút cho cả danh sách
Cập nhật 01 danh sách Số bản ghi trong danh sách x 60s 10 phút cho cả danh sách
Xóa 01 danh sách Số bản ghi trong danh sách x 30s 10 phút cho cả danh sách
Bảng 4.1: So sánh hiệu quả về thời gian
Hiệu quả về mặt tổ chức quản lý
PFSenseMan là công cụ hỗ trợ PFSense giúp tiết kiệm thời gian và tối ưu hóa việc điều hướng truy xuất tài nguyên trong mạng Nó cho phép người sử dụng đầu cuối tổ chức và cấp phát địa chỉ IP một cách hợp lý, dễ dàng triển khai.
Tính năng tự động loại bỏ các địa chỉ MAC hoặc địa chỉ IP trùng lặp khi thêm mới các bản ghi vào tệp cấu hình của hệ thống firewall giúp tối ưu hóa hiệu suất và bảo mật mạng.
PFSense sử dụng bộ kiểm tra tích hợp để tự động phát hiện và loại bỏ các lỗi cấu trúc, bao gồm lỗi trùng lặp địa chỉ MAC và địa chỉ IP, nhằm đảm bảo hệ thống hoạt động hiệu quả và ổn định.
Khả năng tổ chức địa chỉ IP thành các nhóm dễ dàng thông qua phần mềm Microsoft Excel giúp người quản trị thuận tiện trong việc gộp nhóm các địa chỉ IP Điều này hỗ trợ quá trình xây dựng các luật truy xuất tài nguyên trên mạng một cách hiệu quả, nhờ vào việc kết hợp các địa chỉ IP với các alias phù hợp.
Hỗ trợ khả năng tìm kiếm và hiển thị các bản ghi theo dải địa chỉ IP giúp người quản trị thực hiện các thao tác sửa và xóa bản ghi một cách dễ dàng hơn.
Thứ tư: Hệ thống cho phép xuất các bản ghi sang định dạng Excel, giúp người quản trị dễ dàng thống kê số lượng người sử dụng cuối trong từng VLAN, từ đó xây dựng các chính sách phân bổ băng thông hợp lý cho mạng.
Bảng 4.2 so sánh hiệu quả về mặt tổ chức quản lý giữa công cụ hiện tại của hệ thống firewall PFSense và công cụ PFSenseMan
So sánh hiệu quả về tổ chức Sử dụng công cụ có sẵn của PFsense
Sử dụng công cụ PFSenseMan
Tính năng kiểm tra trùng lặp địa chỉ Mac
Tính năng kiểm tra trùng lặp địa chỉ IP
Tính năng tìm kiếm thông tin của
Tính năng tìm kiếm theo dải địa chỉ IP
Tùy chọn hiển thị số bản ghi Không Có
Hỗ trợ kết xuất dữ liệu ra định dạng Excel
Bảng 4.2: So sánh hiệu quả về tổ chức quản lý
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
Luận văn này tập trung vào việc khám phá và làm rõ các khái niệm cũng như yếu tố liên quan đến bài toán tổng quát "Quản lý truy cập mạng" Bên cạnh đó, luận văn cũng trình bày một số giải pháp quản lý truy cập mạng phổ biến hiện nay trong chương 1.
Giải pháp quản lý truy cập mạng bằng hệ thống PFSense là một lựa chọn hiệu quả, nổi bật với tính miễn phí, mạnh mẽ và đa dạng, đã được chứng minh qua hàng triệu lượt tải về và ứng dụng trong nhiều môi trường khác nhau Chương 2 sẽ trình bày những nghiên cứu và ứng dụng dịch vụ của hệ thống firewall PFSense tại Học viện Cảnh sát nhân dân, cho thấy những hiệu quả tích cực mà nó mang lại, đồng thời nêu ra những hạn chế khi triển khai hệ thống này.
Chương 3 của chúng tôi đề xuất phát triển công cụ PFSenseMan để thay thế một số công cụ hiện có nhưng còn hạn chế trong việc tổ chức cấp phát địa chỉ IP, yếu tố quan trọng trong quản lý truy cập mạng của PFSense Công cụ này mang lại nhiều cải tiến nhằm nâng cao hiệu quả về thời gian và tổ chức quản lý Kết quả thực tế từ việc triển khai công cụ này sẽ được trình bày chi tiết trong chương 4.
Mặc dù PFSenseMan mang lại nhiều lợi ích, nhưng vẫn tồn tại một số hạn chế đáng kể Đầu tiên, PFSenseMan hiện được thiết kế như một ứng dụng độc lập, buộc người quản trị phải chuyển đổi giữa PFSenseMan và PFSense, dẫn đến quy trình cấu hình chưa thực sự tối ưu Thứ hai, sau khi hoàn tất cấu hình, việc khởi động lại hệ thống là cần thiết để cập nhật thiết bị, điều này có thể gây gián đoạn Sẽ tốt hơn nếu PFSenseMan được tích hợp sâu với PFSense, tạo thành một hệ thống đồng nhất, giúp quy trình cấu hình trở nên dễ dàng hơn và cho phép thực hiện cấu hình mà không cần khởi động lại hệ thống.
Trong tương lai chúng tôi dự kiến sẽ hoàn thiện hơn về đề tài khi có điều
FreeBSD sẽ được sử dụng để xây dựng các module trực tiếp trong hệ thống firewall PFSense, nhằm khắc phục những hạn chế hiện tại Đồng thời, việc này cũng sẽ mở rộng các dịch vụ khác của PFSense như Captive Portal và quản lý alias.