BÁO CÁO THỰC TẬP TỐT NGHIỆP NGHIÊN CỨU VÀ TRIỂN KHAI FIREWALL PFSENSE ĐỂ ĐẢM BẢO AN TOÀN ỨNG DỤNG DOANH NGHIỆP

MỤC LỤC MỞ ĐẦU.................................................................................................... 1 1. Lý do chọn đề tài .................................................................................... 2 2. Phạm vi nghiên cứu ................................................................................ 3 3. Kết quả đạt được..................................................................................... 3 CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG MẠNG VÀ ĐẢM BẢO AN TOÀN THÔNG TIN CHO HỆ THỐNG SỬ DỤNG ..................... 4 1.1 Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp ............................................................................................................ 4 1.2 Các ứng dụng dịch vụ mạng................................................................. 5 1.2.1 TCP/IP .............................................................................................. 5 1.2.2 DHCP................................................................................................ 5 1.2.3 LDAP................................................................................................ 7 1.2.4 RADIUS.......................................................................................... 10 1.2.5 DNS Forwarder............................................................................... 12 1.2.6 Squid proxy..................................................................................... 13 1.2.7 Captive portal.................................................................................. 14 1.2.8 Load Balancer................................................................................. 15 1.2.9 Firewall ........................................................................................... 16 1.3 Một số giải pháp quản lý tài nguyên và truy cập internet .................. 19 1.3.1 Giới thiệu các giải pháp.................................................................. 19 1.4 Quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense .................................................................................................... 23 CHƯƠNG II GIẢI PHÁP ỨNG DỤNG CÔNG NGHỆ PFSENSE NHẰM ĐẢM BẢO AN TOÀN CHO HỆ THỐNG ỨNG DỤNG MẠNG...................................................................................................... 29 2.1 Mô tả hiện trạng mạng tại doanh nghiệp............................................ 29 2.1.1 Kiến trúc hệ thống .......................................................................... 29 2.1.2 Nguyên lý hoạt động:...................................................................... 34 2.1.2.1 DHCP cho hệ thống quản lý tài nguyên và truy cập internet của doanh nghiệp............................................................................................ 34 2.1.2.2 Chứng thực người sử dụng cho hệ thống quản lý tài nguyên và truy cập internet của doanh nghiệp.......................................................... 35 2.1.2.3 FireWall cho hệ thống quản lý tài nguyên và truy cập internet của doanh nghiệp............................................................................................ 36 2.1.2.4 Routing và Load balancing cho hệ thống quản lý tài nguyên và truy cập internet của doanh nghiệp.......................................................... 38 2.2 Sơ lược về Firewall Pfsense ............................................................... 39 2.3 Chi tiết chức năng của PfSense .......................................................... 40 2.3.1 Aliaes.............................................................................................. 40 2.3.2 Rules ............................................................................................... 41 2.3.3 Firewall schedules .......................................................................... 42 2.3.4 NAT ................................................................................................ 43 2.3.5 Traffice shapper (Quản lý băng thông)........................................... 43 2.3.6 Virtual IPs....................................................................................... 44 2.3.7 Proxy ARP...................................................................................... 45 2.3.8 CARP.............................................................................................. 45 2.3.9 Other ............................................................................................... 46 2.4 Dịch vụ của Pfsense firewall.............................................................. 46 2.4.1 Captive portal.................................................................................. 46 2.4.2 DHCP Server .................................................................................. 48 2.4.3 DHCP replay................................................................................... 48 2.4.4 Load Balancer................................................................................. 48 2.4.5 Một số dịch vụ khác........................................................................ 49 2.4.6 Ví dụ về chức năng của Firewall Pfsense....................................... 49 CHƯƠNG III THỰC NGHIỆM GIẢI PHÁP ỨNG DỤNG PFSENSE ỨNG DỤNG TẠI DOANH NGHIỆP................................. 50 3.1 THIẾT LẬP VÀ CẤU HÌNH TƯỜNG LỬA PFSENSE.................. 50 3.1.1 Mô tả ............................................................................................... 50 3.1.2 Chuẩn bị.......................................................................................... 50 3.1.3 Mô hình cài đặt ............................................................................... 50 3.1.4 Các bước thực hiện ......................................................................... 51 3.1.5 Chuẩn bị các máy ảo....................................................................... 51 3.1.6 Máy ảo Server 2016........................................................................ 53 3.1.7 Máy ảo PfSense .............................................................................. 56 3.1.8 Cài đặt tường lửa PfSense .............................................................. 57 3.1.9 Tạo tập luật theo kịch bản............................................................... 61 3.1.10 Kịch bản 1: Cho phép máy trạm trong mạng LAN Ping ra Internet .................................................................................................................. 62 3.1.11 Kịch bản 2: Cho phép máy tính trong mạng LAN truy vấn DNS ra Internet..................................................................................................... 64 3.1.12 Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập website qua cổng 80, 443...................................................................................... 66 3.1.13 Kịch bản 4: Cho phép máy tính ngoài Internet truy cập vào website trên máy chủ DMZ ..................................................................... 67 KẾT LUẬN ............................................................................................. 73 TÀI LIỆU THAM KHẢO ..................................................................... 74

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC GIA ĐỊNH KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO

THỰC TẬP TỐT NGHIỆP

NGHIÊN CỨU VÀ TRIỂN KHAI FIREWALL PFSENSE ĐỂ ĐẢM BẢO AN TOÀN ỨNG DỤNG DOANH NGHIỆP

Giảng viên hướng dẫn: ThS ĐINH HOÀNG GIA

Sinh viên thực hiện: NGUYỄN VIẾT LONG SƠN

MSSV: 2104110006 Lớp: K15DCPM01 Khóa: 2021_DHCQ_K15

Thành phố Hồ Chí Minh, tháng 07 năm 2024

LỜI CẢM ƠN

Trong suốt khoảng thời gian thực tập tốt nghiệp, em đã nhận được nhiều sự hỗ trợ, giúp đỡ, đóng góp ý kiến và chỉ bảo nhiệt tình từ thầy Đinh Hoàng Gia Em xin chân thành cảm ơn thầy đã hướng dẫn và chỉ dạy em trong thời gian vừa qua

Bên cạnh đó, em cũng đã học hỏi được nhiều điều quý báu từ bạn bè và các anh chị cùng công ty Em xin gửi lời cảm ơn chân thành đến anh Trịnh Việt Dũng và anh Nguyễn Duy Nam, những người đã nhiệt tình hướng dẫn và hỗ trợ em trong suốt quá trình thực tập

Trong hai tháng thực tập, em đã tích lũy được nhiều kiến thức chuyên môn và kỹ năng làm việc cần thiết Tuy nhiên, do vốn kiến thức còn hạn chế và khả năng tiếp thu thực tế còn nhiều bỡ ngỡ, em đã cố gắng hết sức để hoàn thành báo cáo nhưng chắc chắn sẽ khó tránh khỏi những thiếu sót Kính mong thầy cô xem xét và góp ý để bài báo cáo của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

ĐÁNH GIÁ CỦA ĐƠN VỊ THỰC TẬP 1 Thái độ tác phong trong thời gian thực tập:

2 Kiến thức chuyên môn:

3 Nhận thức thực tế:

4 Đánh giá khác:

5 Đánh giá chung kết quả thực tập:

………, ngày ……… tháng ……… năm …………

TM Đơn vị thực tập

(Ký tên, đóng dấu)

ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN 1 Thái độ tác phong trong thời gian thực tập:

2 Kiến thức chuyên môn:

3 Nhận thức thực tế:

4 Đánh giá khác:

5 Đánh giá chung kết quả thực tập:

………, ngày ……… tháng ……… năm …………

Giảng viên hướng dẫn

(Ký tên, ghi rõ họ tên)

TRƯỜNG ĐẠI HỌC GIA ĐỊNH KHOA CÔNG NGHỆ

Giảng viên hướng dẫn: ThS ĐINH HOÀNG GIA

Tên doanh nghiệp (đơn vị) đến thực tập: CÔNG TY TNHH TTV ĐÔNG SÀI GÒN

Địa chỉ: 40 Đường số 40, Khu dân cư Vạn Phúc, Phường Hiệp Bình Phước, TP.Thủ Đức, TP.Hồ Chí Minh

tại DN (Ký tên và ghi

rõ họ tên)

Nhận xét của giảng viên hướng dẫn (Ký tên và ghi

rõ họ tên)

1

Tuần 1 (Từ ngày 20/05 đến ngày 26/05)

Nghiên cứu tài liệu về Firewall Pfsense, cách thức hoạt động của hệ thống cũng như điều kiện cần và

đủ để vận hành được hệ thống

2

Tuần 2 (Từ ngày 27/05 đến ngày 02/06)

Vẽ mô hình sơ đồ hệ thống Firewall Pfsense, chuẩn bị những thiết bị cần

thiết để triển khai dự án

3

Tuần 3 (Từ ngày 03/06 đến ngày 09/06)

Xây dựng một máy chủ Windown Server 2016, cấu

hình mạng LAN ,WAN hướng vào Firewall Pfsense và đi ra ngoài Internet

4

Tuần 4 (Từ ngày10/06

đến ngày 16/06)

Tiến hành cài đặt Firewall Pfsense trên

máy chủ Vmware cấu hình LDAP,

DHCP, NAT

5

Tuần 5 (Từ ngày 17/06 đến ngày 23/06)

Thực tập làm việc với thiết bị mạng thực tế

tại công ty

6

Tuần 6 (Từ ngày 24/06 đến ngày 30/06)

Thực tập hệ thống mạng, camera giám

sát tại các tòa nhà

7

Tuần 7 (Từ ngày 01/07 đến ngày 07/07)

Tiến hành cài đặt phần mềm làm việc

của công ty triển khai cho các user sử

dụng và khắc phục một số lỗi về phần

mềm

8

Tuần 8 (Từ ngày 08/07 đến ngày 14/07)

Vận hành và duy trì các phần mềm của công ty đảm bảo các user sử dụng ổn định

nhất

9

Tuần 9 (Từ ngày 15/07 đến ngày 21/07)

Triển khai Server chịu trách nhiệm backup dữ liệu từ server NAS Cấu hình phần quyền các

chức năng của User trên hệ thống, nghiên cứu các phương án tối ưu

cho công ty 10

Tuần 10 (Từ ngày 22/07 đến ngày 28/07)

Tổng hợp, viết báo cáo

1.3 Một số giải pháp quản lý tài nguyên và truy cập internet 19

1.3.1 Giới thiệu các giải pháp 19

1.4 Quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense 23

CHƯƠNG II GIẢI PHÁP ỨNG DỤNG CÔNG NGHỆ PFSENSE NHẰM ĐẢM BẢO AN TOÀN CHO HỆ THỐNG ỨNG DỤNG MẠNG 29

2.1 Mô tả hiện trạng mạng tại doanh nghiệp 29

2.1.1 Kiến trúc hệ thống 29

2.1.2 Nguyên lý hoạt động: 34

2.1.2.1 DHCP cho hệ thống quản lý tài nguyên và truy cập internet của doanh nghiệp 34

2.1.2.2 Chứng thực người sử dụng cho hệ thống quản lý tài nguyên và

truy cập internet của doanh nghiệp 35

2.1.2.3 FireWall cho hệ thống quản lý tài nguyên và truy cập internet của doanh nghiệp 36

2.1.2.4 Routing và Load balancing cho hệ thống quản lý tài nguyên và truy cập internet của doanh nghiệp 38

2.2 Sơ lược về Firewall Pfsense 39

2.3 Chi tiết chức năng của PfSense 40

2.4.6 Ví dụ về chức năng của Firewall Pfsense 49

CHƯƠNG III THỰC NGHIỆM GIẢI PHÁP ỨNG DỤNG PFSENSE ỨNG DỤNG TẠI DOANH NGHIỆP 50

3.1 THIẾT LẬP VÀ CẤU HÌNH TƯỜNG LỬA PFSENSE 50

3.1.1 Mô tả 50

3.1.2 Chuẩn bị 50

3.1.3 Mô hình cài đặt 50

3.1.4 Các bước thực hiện 51

3.1.5 Chuẩn bị các máy ảo 51

3.1.6 Máy ảo Server 2016 53

3.1.7 Máy ảo PfSense 56

3.1.8 Cài đặt tường lửa PfSense 57

3.1.9 Tạo tập luật theo kịch bản 61

3.1.10 Kịch bản 1: Cho phép máy trạm trong mạng LAN Ping ra Internet 62 3.1.11 Kịch bản 2: Cho phép máy tính trong mạng LAN truy vấn DNS ra Internet 64 3.1.12 Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập website qua cổng 80, 443 66 3.1.13 Kịch bản 4: Cho phép máy tính ngoài Internet truy cập vào

website trên máy chủ DMZ 67

KẾT LUẬN 73

TÀI LIỆU THAM KHẢO 74

MỤC LỤC HÌNH ẢNH

Hình 1: Mô hình kết nối giữa client/server 8

Hình 2: LDAP thông điệp 9

Hình 3: Những thông điệp Client gửi cho server 10

Hình 5: Tường lửa làm nhiệm vụ bảo vệ 17

Hình 6: Mô hình xác thực NAC của Cisco 20

Hình 7: Mô hình xác thực sử dụng Captive Portal 22

Hình 8: Mô hình sử dụng PFSense 23

Hình 10: Mô hình hệ thống mạng doanh nghiệp – PFSense 32

Hình 11: Thông tin hệ thống Server PFSense 33

Hình 12: Mô hình hệ thống mạng chia Vlan tại doanh nghiệp 35

Hình 13: Trang làm việc Aliaes 40

Hình 14: Thiết lập chi tiết các thành phần trong Aliases 41

Hình 15: Thiết lập Rules 42

Hình 16: Thiết lập Rules 43

Hình 17: Thiết lập Traffice shapper 44

Hình 18: Thiết lập Virtual IPs 44

Hình 19: Thiết lập Captive portal 47

Hình 20: Thiết lập DHCP Server 48

Hình 21: Thiết lập Mô hình cài đặt Pfsense 51

Hình 22: Thông số windown 10 52

Hình 23: Thông số windown server 2016 53

Hình 24: Cấu hình IP windown server 2016 53

Hình 25: Cài đặt máy chủ web IIS 54

Hình 26: Cài đặt tính năng máy chủ web IIS 55

Hình 27: Cài đặt tính năng máy chủ web IIS 55

Hình 28: Thông số của Pfsense 56

Hình 29: Chọn đĩa cài đặt Pfsense 57

Hình 30: Màn hình khởi động Pfsense (1) 57

Hình 31: Màn hình khởi động Pfsense (2) 58

Hình 32: Màn hình khởi động Pfsense (3) 58

Hình 33: Màn hình chính Pfsense 59

Hình 34: Thông ra ngoài Internet 59

Hình 35: Ping tới Windown server 2016 60

Hình 36: Thông tin chung Pfsense 61

Hình 37: Thông tin về cổng mạng Pfsense 61

Hình 38: Kịch bản 0 62

Hình 39: Kịch bản 0 (1) 62

MỞ ĐẦU

Chúng ta đang sống trong một thế kỷ mới, thế kỷ phát triển khủng khiếp của công nghệ thông tin Công nghệ thông tin đã đạt đến một giai đoạn phát triển cao đó là số hóa toàn bộ thông tin, kết nối mạnh mẽ và tạo nên sự liên kết giữa chúng ta Tất cả các loại thông tin, dữ liệu âm thanh, hình ảnh có thể được chuyển đổi thành dạng kỹ thuật số để bất kỳ máy tính nào cũng có thể lưu trữ và chuyển tiếp cho nhiều người Từ đó, dữ liệu được số hóa sẽ trở thành những tài nguyên được chia sẻ trên mạng và internet Do đó, việc quản lý tài nguyên và truy cập internet của người dùng là một vấn đề tổng quát và phổ biến hiện nay Việc quản lý tài nguyên và truy cập internet của người dùng cần đáp ứng được nhiều nhu cầu quản lý khác nhau của các đơn vị, tổ chức hoặc các doanh nghiệp bằng cách chọn các giải pháp khác nhau Mục đích của việc quản lý tài nguyên và truy cập internet là tăng hiệu quả và sáng tỏ hơn trong việc sử dụng tài nguyên và truy cập internet Việc quản lý tài nguyên và truy cập internet cũng là việc quản lý được nội dung truy cập của người dùng, tăng hiệu năng làm việc và khả năng học tập của người dùng Việc quản lý tài nguyên và truy cập internet cũng là việc quản lý được lưu lượng sử dụng và dung lượng sử dụng của người dùng, tránh làm ảnh hưởng đến chất lượng của hệ thống và việc sử dụng của các cá nhân khác Việc quản lý tài nguyên và truy cập internet cũng là việc bảo đảm an toàn và bảo mật thông tin của người dùng khi hoạt động trong hệ thống Việc quản lý tài nguyên và truy cập internet cũng là việc quản lý số người truy cập tài nguyên và internet Để quản lý tài nguyên và truy cập internet của người dùng, cần phải xây dựng một hệ thống quản lý tài nguyên và truy cập internet Với nhiều kỹ thuật mới hiện nay, có rất nhiều giải pháp được đưa ra để quản lý tài nguyên và truy cập internet của

MAC filter hay các giải pháp của các hãng như Cisco có gói giải pháp NAC (Network Admission Control) đã khiến cho bài toán quản lý tài nguyên và truy cập internet trở nên thiết thực, phong phú hơn và được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn.Tuy nhiên, để đáp ứng những nhu cầu mạnh mẽ và với chi phí thấp, sử dụng hệ thống tích hợp mã nguồn mở PFSense là một giải pháp rất thiết thực cho bài toán quản lý tài nguyên và truy cập internet Hệ thống PFSense cung cấp các dịch vụ độc lập, phong phú, cho phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập người dùng đa dạng, tập trung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với người sử dụng đầu cuối Quan trọng nhất là hệ thống phần mềm hoàn toàn miễn phí và phí triển khai thấp Vì vậy, mục tiêu được đặt ra là "Triển khai Firewall Pfsense để đảm bảo an toàn ứng dụng doanh nghiệp"

1 Lý do chọn đề tài

Trong giai đoạn khi con người đang tiến tới sự công nghiệp hóa, hiện đại hóa quốc gia, ngành công nghệ thông tin của nước ta đã đạt được những thành tựu đáng kể Theo kịp với sự phát triển của công nghệ thông tin, cơ sở hạ tầng mạng máy tính và truyền thông cũng đã được nâng cấp, tạo nên điều kiện cho các dịch vụ mạng tăng vọt, giao tiếp qua mạng trở nên phổ biến trên khắp thế giới Tuy nhiên, kèm theo sự phát triển toàn diện của hệ thống mạng Internet, các vụ tấn công hư hại và lấy cắp dữ liệu trên mạng xảy ra ngày một nhiều và ngày một nghiêm trọng hơn Những vụ việc này có nguồn gốc từ nhiều mục đích khác nhau để chiếm đoạt dữ liệu quan trọng, truyền tải mã độc hoặc do những mâu thuận, cạnh tranh Tuy nhiên, điều này đã gây ra nhiều hậu quả rất nghiêm trọng cả về mặt vật chất lẫn uy tín cho các doanh nghiệp đang sử dụng mạng Chính do thấy được sự quan trọng của vấn đề bảo mật mạng máy tính đối với doanh nghiệp mà em

đã chọn đề tài "Triển khai Firewall Pfsense để đảm bảo an toàn cho ứng dụng doanh nghiệp"

2 Phạm vi nghiên cứu

Báo cáo này chỉ tập trung nghiên cứu vào các cơ chế tích hợp và liên kết giữa các giao thức, dịch vụ và ứng dụng để thiết lập kế hoạch triển khai hệ thống Chỉ áp dụng các công cụ nghiên cứu đã có sẵn mà không thực hiện việc cải tiến hoặc phát triển các nghiên cứu hoặc thuật toán trong các lĩnh vực liên quan đến các công cụ này

3 Kết quả đạt được

Với mục đích đã đặt ra, tôi đã đạt được một số kết quả như sau: Đã giới thiệu một số khái niệm lý thuyết về các dịch vụ, ứng dụng mạng cơ bản cũng như một số giải pháp về quản lý tài nguyên và truy cập internet Đã tiến hành nghiên cứu sâu hơn về giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense Kết quả thể hiện rằng, giải pháp quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense là một lựa chọn phù hợp với nhu cầu xây dựng hệ thống quản lý tài nguyên và truy cập internet cho doanh nghiệp

CHƯƠNG I

TỔNG QUAN VỀ HỆ THỐNG MẠNG VÀ ĐẢM BẢO AN TOÀN THÔNG TIN CHO HỆ THỐNG SỬ DỤNG

GIẢI PHÁP TƯỜNG LỬA

1.1 Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp

Quản lý và truy cập tài nguyên internet hiện đại là một vấn đề phổ biến và quan trọng Theo yêu cầu và nhu cầu khác nhau của các tổ chức, doanh nghiệp, họ sẽ chọn các giải pháp khác nhau để đáp ứng các yêu cầu quản lý, bao gồm: triển khai, thiết lập chính sách bảo mật và khắc phục sự cố Lập kế hoạch và chọn giải pháp phù hợp để tối ưu hóa băng thông Phân đoạn mạng để tối ưu hóa băng thông, giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng Quản trị mạng trong một hệ thống tập trung Kèm theo đó, các công nghệ xác thực và bảo mật khác nhau đã được phát triển, làm cho vấn đề "Quản lý tài nguyên và truy cập internet" trở nên thực tế và đa dạng hơn, được áp dụng trong nhiều mô hình mạng khác nhau, từ nhỏ đến lớn Một số giải pháp phổ biến hiện nay bao gồm: Captive Portal, Firewall, DHCP tích hợp MAC filter, hay các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission Control), Microsoft có gói giải pháp NAP (Network Access Protection), hoặc tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted Network Connect) Chương này sẽ đề cập đến một số giải pháp, dịch vụ và ứng dụng mạng cơ bản cần thiết trong quản lý tài nguyên và truy cập internet

1.2 Các ứng dụng dịch vụ mạng

1.2.1 TCP/IP

Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) hay còn được gọi là giao thức điều khiển truyền nhận/giao thức liên mạng, là một tập hợp các giao thức truyền thông được sử dụng để kết nối các thiết bị mạng với nhau trên internet TCP/IP có thể được sử dụng làm giao thức truyền thông trong các mạng máy tính riêng (mạng nội bộ) và bao gồm một tập hợp các quy tắc và thủ tục, được gọi là TCP/IP Protocol TCP và IP là hai giao thức chính trong bộ giao thức TCP/IP, và hoạt động như một lớp trừu tượng giữa các ứng dụng internet và hạ tầng

router/switch TCP/IP quy định cách dữ liệu được trao đổi qua internet bằng cách cung cấp thông tin liên lạc đầu cuối, xác định cách chia thành các packet, địa chỉ, truyền dẫn, định tuyến và nhận dữ liệu TCP/IP được thiết kế để đảm bảo độ tin cậy và có khả năng khôi phục tự động khi gặp sự cố trong quá trình truyền dữ liệu

1.2.2 DHCP

Giao thức DHCP (Dynamic Host Configuration Protocol) là một giao thức được thiết kế để giảm thiểu thời gian cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho người dùng khi họ kết nối vào mạng Dịch vụ DHCP mang lại nhiều lợi ích lớn cho người quản trị mạng Nó giúp giải quyết các vấn đề liên quan đến cố hữu phát sinh khi cần phải cấu hình thủ công

Tổng quan hơn, DHCP là một dịch vụ hỗ trợ quan trọng trong công tác quản trị và duy trì một mạng TCP/IP, mang lại nhiều lợi ích như:

+ Quản lý tập trung thông tin cấu hình IP + Cấu hình động cho các thiết bị

+ Sự linh hoạt

+ Khả năng mở rộng

Chức năng của DHCP bao gồm:

- Mỗi thiết bị trên mạng cơ sở TCP/IP cần có một địa chỉ IP duy nhất để truy cập mạng và các tài nguyên của nó Mà không có DHCP, việc cấu hình IP phải được thực hiện thủ công cho các máy tính mới, các máy tính di chuyển giữa các mạng con và các máy tính bị loại bỏ khỏi mạng

- Với việc triển khai DHCP trên mạng, quá trình này được quản lý tự động và tập trung Máy chủ DHCP quản lý vùng các địa chỉ IP và cấp phát một địa chỉ cho bất kỳ DHCP client nào khi nó kết nối vào mạng Vì địa chỉ IP được cấp phát động, nên chúng không còn được trả lại một cách tự động trong suốt thời gian sử dụng cho các vùng cấp phát lại

Các thuật ngữ trong DHCP:

- DHCP Server: máy quản lý việc cấu hình và cấp phát địa chỉ IP cho Client - DHCP Client: máy trạm nhận thông tin cấu hình IP từ DHCP Server - Scope: phạm vi liên tiếp của các địa chỉ IP có thể cho một mạng

- Exclusion Scope: là dải địa chỉ nằm trong Scope không được cấp phát động cho Clients

- Reservation: Địa chỉ đặt trước dành riêng cho máy tính hoặc thiết bị chạy các dịch vụ (tùy chọn này thường được thiết lập để cấp phát địa chỉ cho các Server, Printer…)

- Scope Options: các thông số được cấu hình thêm khi cấp phát IP động cho Client như DNS Server (006), Router (003)

Phương thức hoạt động của dịch vụ DHCP:

Dịch vụ DHCP hoạt động theo mô hình Client / Server Theo đó quá trình tương tác giữa DHCP client và server sẽ diễn ra theo các bước sau:

- Bước 1: Khi máy trạm khách khởi động, máy sẽ gửi gói tin phát sóng DHCP DISCOVER, yêu cầu một máy chủ phục vụ mình Gói tin này

cũng chứa địa chỉ MAC của trạm khách Nếu trạm khách không liên lạc được với máy chủ DHCP thì sau 4 lần truy vấn không thành công, nó sẽ tự động phát sinh ra một địa chỉ IP riêng cho chính mình nằm trong dãy 169.254.0.0 đến 169.254.255.255 để liên lạc tạm thời Và trạm khách vẫn duy trì việc phát tín hiệu phát sóng sau mỗi 5 phút để yêu cầu cấp IP từ DHCP Server

- Bước 2: Khi nhận được yêu cầu, các máy chủ trên mạng sẽ kiểm tra

khả năng cung cấp địa chỉ IP Nếu còn khả năng, chúng sẽ gửi lại cho trạm khách một gói tin DHCP OFFER, đề nghị cho thuê một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo Subnet Mask và địa chỉ của máy chủ Trong suốt thời gian thương thuyết, máy chủ sẽ không cấp phát địa chỉ IP này cho bất kỳ ai khác

- Bước 3: Trạm khách sẽ lựa chọn một trong những lời đề nghị DHCP

OFFER và gửi phát sóng lại gói tin DHCP REQUEST để chấp nhận lời đề nghị đó Điều này cho phép các máy chủ khác rút lại các lời đề nghị không được chấp nhận và sử dụng để cấp phát cho các trạm khách khác

- Bước 4: Máy chủ được trạm khách chấp nhận sẽ gửi ngược lại một

gói tin DHCP ACK để xác nhận Gói tin này sẽ cho biết địa chỉ IP, Subnet Mask và thời hạn sử dụng chính thức Ngoài ra, máy chủ còn gửi kèm những thông tin bổ sung như địa chỉ Gateway mặc định và địa chỉ máy chủ DNS

1.2.3 LDAP

- LDAP (Lightweight Directory Access Protocol) - là giao thức truy cập nhanh các dịch vụ thư mục - là một chuẩn mở rộng cho nghi thức truy cập thư mục

- LDAP là một giao thức tìm, truy nhập các thông tin dạng thư mục trên máy chủ Nó dùng giao thức dạng trạm khách/máy chủ để truy cập dịch vụ thư mục

- Ngoài ra, LDAP được tạo ra đặc biệt cho hành động "đọc" Do đó, việc xác thực người dùng thông qua "lookup" LDAP nhanh chóng, hiệu quả, ít tốn tài nguyên và đơn giản hơn so với việc truy vấn một tài khoản người dùng trên cơ sở dữ liệu Một số LDAP Server phổ biến bao gồm: OpenLDAP, OPENDS, Active Directory, …

Phương thức hoạt động của LDAP

- LDAP sử dụng giao thức giao tiếp client/server Giao thức này là một mô hình giữa một chương trình client chạy trên một máy tính, gửi yêu cầu qua mạng đến một máy tính khác đang chạy chương trình server (phục vụ)

- Chương trình server sẽ nhận yêu cầu, thực hiện nó, sau đó trả lại kết quả cho chương trình client

- Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máy tính đã được tối ưu hóa để thực hiện công việc đó

- Một máy server LDAP cần rất nhiều RAM để lưu trữ nội dung các thư mục, nhằm thực hiện các thao tác nhanh chóng Ngoài ra, máy này cũng cần đĩa cứng và bộ vi xử lý tốc độ cao Đây là tiến trình hoạt động trao đổi LDAP client/server:

Hình 1: Mô hình kết nối giữa client/server

- Client mở một kết nối TCP đến LDAP server và thực hiện thao tác bind Thao tác bind bao gồm tên của một directory entry và thông tin ủy nhiệm sẽ được sử dụng trong quá trình xác thực Thông tin ủy nhiệm thông thường là mật khẩu, nhưng cũng có thể là chứng chỉ điện tử để xác thực client

- Sau khi xác định được thao tác bind, kết quả của thao tác này được trả về cho client Client sau đó phát ra các yêu cầu tìm kiếm Server xử lý các yêu cầu và trả về kết quả cho client Sau khi tìm kiếm xong, server gửi thông điệp kết thúc việc tìm kiếm

- Client phát ra yêu cầu unbind, thông báo cho server biết rằng client muốn hủy bỏ kết nối Server sau đó đóng kết nối

LDAP là một giao thức hướng thông điệp

- Do client và server giao tiếp thông qua các thông điệp, client tạo một thông điệp (LDAP message) chứa yêu cầu và gửi nó đến server Server nhận được thông điệp này, xử lý yêu cầu của client, sau đó trả lại kết quả cho client cũng bằng một thông điệp LDAP

Hình 2: LDAP thông điệp

- Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, các kết quả này sẽ được gửi đến client thông qua nhiều thông điệp

Hình 3: Những thông điệp Client gửi cho server

- Do LDAP là giao thức hướng thông điệp, client được phép phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc Trong LDAP, message ID được sử dụng để phân biệt các yêu cầu của client và các kết quả trả về của server

Hình 4: Nhiều kết quả tìm kiếm được trả về

- Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP linh động hơn các giao thức khác

1.2.4 RADIUS

- RADIUS là giao thức Remote Authentication Dial-In User Service được định nghĩa trong RFC 2865 Giao thức này cung cấp khả năng xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với SLIP và PPP Dial-up Các nhà cung cấp dịch vụ Internet (ISP) thường sử dụng giao thức này để xác thực người dùng khi họ truy cập Internet - Nó cần thiết trong tất cả các Network Access Server (NAS) để làm

việc với danh sách các username và password cho việc cấp phép RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường là một AAA Server (Authentication, Authorization, và Accounting)

- Trong kiến trúc hệ thống, RADIUS tạo ra khả năng tập trung các dữ liệu thông tin của người dùng và các điều kiện truy cập tại một điểm duy nhất (single point), đồng thời cung cấp giải pháp NAS cho hệ thống lớn

- Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identifier và một message Authenticator

Access Sau khi nhận được các thông tin, máy chủ AAA sử dụng các gói tin được cung cấp như NAS identifier và Authenticator để thẩm định xem NAS đó có được phép gửi các yêu cầu này hay không Nếu có, máy chủ AAA sẽ kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ liệu Nếu thông tin chính xác, nó sẽ gửi một thông điệp Access-Request quyết định việc truy cập của user được chấp nhận

- Trong quá trình xác thực, máy chủ AAA có thể trả về một RADIUS Access-Challenge mang một số ngẫu nhiên NAS sẽ chuyển thông tin này đến người dùng từ xa (ví dụ như sử dụng CHAP) Người dùng sau đó phải trả lời đúng các yêu cầu xác nhận (ví dụ như mã hóa password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request Nếu máy chủ AAA xác thực thành công thông tin của người dùng, nó sẽ trả về một message dạng RADIUS Access-Accept Nếu không, máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user

- Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi một gói tin RADIUS Accounting-Request (Start) tới máy chủ AAA Máy chủ sẽ thêm các thông tin vào file Log

của nó, ghi lại khi nào NAS cho phép user bắt đầu và kết thúc phiên làm việc RADIUS Accounting sẽ ghi lại quá trình xác thực của user và hệ thống Khi kết thúc phiên làm việc, NAS sẽ gửi một thông tin RADIUS Accounting-Request (Stop)

- RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và kiểm soát truy cập cho mạng Ban đầu được phát triển cho thiết lập kết nối từ xa, RADIUS hiện nay hỗ trợ cho máy chủ VPN, các điểm truy cập không dây, chứng thực chuyển mạch Internet, truy cập DSL và các loại truy cập mạng khác RADIUS được mô tả trong RFC 2865, “Remote Authentication Dial-in User Service” (RADIUS), và RFC 2866, “RADIUS Accounting” (Informational)

1.2.5 DNS Forwarder

- DNS Forwarder là một máy chủ DNS chuyên thực hiện truy vấn DNS thay cho nhiều máy chủ DNS khác Việc sử dụng DNS Forwarder giúp giảm tải các tác vụ xử lý khỏi các máy chủ DNS chính bằng cách chuyển tiếp các truy vấn này sang Forwarder Điều này giúp tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder, nâng cao hiệu suất và tốc độ xử lý

- Một chức năng quan trọng khác của DNS Forwarder là ngăn chặn các máy chủ DNS nội bộ chuyển tiếp yêu cầu trực tiếp tới các máy chủ DNS trên Internet Điều này đặc biệt quan trọng khi máy chủ DNS chứa tài nguyên bên trong miền DNS Thay vì để các máy chủ DNS nội bộ tự thực hiện các truy vấn và liên lạc với các máy chủ DNS khác, hệ thống sẽ được cấu hình để các máy chủ DNS nội bộ sử dụng một Forwarder cho tất cả các miền không được phân quyền Điều này giúp bảo mật và quản lý các truy vấn DNS một cách hiệu quả hơn

1.2.6 Squid proxy

- Squid proxy là một giải pháp proxy phần mềm mã nguồn mở tự do, được sử dụng phổ biến trong cộng đồng mạng Squid proxy thực hiện nhiệm vụ chuyển tiếp các yêu cầu từ phía client và đồng thời đóng vai trò kiểm soát, đảm bảo an toàn cho việc truy cập Internet của các client

Chức năng Squid proxy

- Squid xác định các yêu cầu từ client và quyết định có đáp ứng hay không Nếu yêu cầu được đáp ứng, Squid sẽ kết nối với server thật thay cho client và tiếp tục chuyển tiếp các yêu cầu từ client đến server, cũng như đáp ứng các yêu cầu từ server đến client Vì vậy, Squid proxy hoạt động như một cầu nối trung gian giữa server và client - Bên cạnh việc chuyển tiếp các yêu cầu từ phía client, Squid còn lưu

lại trên đĩa các dữ liệu được trả về từ Internet Server – gọi là caching Nếu trong thời gian hiệu lực, một hay nhiều client cùng yêu cầu một nội dung, Squid proxy sẽ ngay lập tức đáp ứng các yêu cầu này từ phía client Điều này giúp tăng tốc độ truy cập và giảm tải cho server gốc

Lợi ích của Squid proxy

- Hiệu năng cao khi được tối ưu cấu hình và chạy trên nền tảng Linux Squid proxy có khả năng cân bằng tải cho nhiều máy chủ chạy Squid, hỗ trợ khả năng xác thực người dùng theo nhiều cơ sở dữ liệu khác nhau như LDAP, MySQL, PostgreSQL

- Vì là phần mềm mã nguồn mở tự do, Squid không mất chi phí bản quyền, điều này đặc biệt hữu ích cho các doanh nghiệp và tổ chức có ngân sách hạn chế

- Squid proxy được sử dụng rộng rãi trong các doanh nghiệp lớn, các trường đại học lớn cả trong và ngoài nước, đặc biệt là những trường có số lượng sinh viên lên tới hàng chục ngàn

- Quản lý các chính sách QoS (Quality of Service) rất tốt, bao gồm giới hạn download phim/ảnh theo giờ, hạn chế băng thông từng địa chỉ IP, giới hạn số phiên kết nối đồng thời, v.v

- Khả năng caching thông tin rất tốt, giúp giảm tải cho các server gốc và tăng tốc độ truy cập cho người dùng

- Có thể thiết lập và tích hợp các máy chủ Squid Proxy tại các chi nhánh công ty khác nhau qua mạng WAN, tạo nên một hệ thống proxy mạnh mẽ và hiệu quả

- Cho phép tùy biến thoải mái và tích hợp với các phần mềm hỗ trợ khác, bảo mật bằng ứng dụng Iptables miễn phí tích hợp sẵn trên Linux Điều này giúp Squid proxy trở thành một giải pháp toàn diện và kinh tế cho việc quản lý và bảo mật truy cập Internet

1.2.7 Captive portal

- Captive Portal là một công nghệ buộc một máy muốn sử dụng Internet trong mạng phải sử dụng trình duyệt để được chuyển tới một trang đặc biệt, thường dùng cho mục đích xác thực Công nghệ này sẽ chuyển hướng trình duyệt của người dùng tới một trang xác thực an ninh bằng cách bắt tất cả các gói tin, bao gồm địa chỉ và cổng, cho đến khi người dùng mở trình duyệt và thử truy cập Internet

- Khi người dùng mở trình duyệt và thử truy cập Internet, trình duyệt sẽ được chuyển hướng tới một trang web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh toán Trang web này cũng có thể chỉ đơn giản là hiện

một bảng thông báo về các quy định mà người dùng phải tuân theo và yêu cầu họ chấp nhận các quy định đó trước khi truy cập Internet - Captive Portal thường được triển khai ở hầu hết các điểm truy cập

WiFi, nhưng cũng có thể được dùng để điều khiển mạng có dây Do trang web đăng nhập phải truy cập được từ trình duyệt của máy khách, nên trang web này cần được đặt trên gateway hoặc trên một web server nằm trong "danh sách trắng", nghĩa là có thể truy cập mà không cần quá trình xác thực Ngoài việc có danh sách trắng của các địa chỉ URL, một số gateway còn có danh sách trắng đối với một vài cổng TCP cụ thể

1.2.8 Load Balancer

- Load Balancer là một phương pháp phân phối khối lượng tải trên nhiều máy tính hoặc một cụm máy tính để tối ưu sử dụng các nguồn lực, tối đa hóa thông lượng, giảm thời gian đáp ứng và tránh tình trạng quá tải trên máy chủ

• Các lợi ích khi sử dụng phương pháp cân bằng tải:

- Load Balancer giúp tăng khả năng đáp ứng và tránh tình trạng quá tải trên máy chủ, đảm bảo tính linh hoạt và khả năng mở rộng cho hệ thống

- Load Balancer tăng độ tin cậy và khả năng dự phòng cho hệ thống Sử dụng Load Balancer giúp tăng tính sẵn sàng cao (High Availability) cho hệ thống, đồng thời đảm bảo rằng người dùng không bị gián đoạn dịch vụ khi xảy ra sự cố tại một điểm cung cấp dịch vụ

- Load Balancer còn tăng tính bảo mật cho hệ thống Khi người dùng gửi yêu cầu dịch vụ đến hệ thống, yêu cầu đó sẽ được xử lý trên Load

máy chủ bên trong Quá trình trả lời cho khách hàng cũng thông qua Load Balancer, ngăn chặn người dùng giao tiếp trực tiếp với các máy chủ bên trong, ẩn thông tin và cấu trúc mạng nội bộ Điều này giúp ngăn ngừa các cuộc tấn công mạng hoặc các dịch vụ không liên quan hoạt động trên các cổng khác

1.2.9 Firewall

- Firewall là một thuật ngữ dùng để mô tả các thiết bị hoặc phần mềm có nhiệm vụ lọc thông tin đi vào hoặc đi ra khỏi một hệ thống mạng hay máy tính dựa trên các quy định đã được cài đặt trước đó Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo rằng không có những truy cập trái phép từ bên ngoài vào các máy chủ và thiết bị bên trong hệ thống mạng

- Để có một tường lửa tốt trong hệ thống, bạn cần phải có một hệ thống tường lửa phần cứng hoặc phần mềm mạnh mẽ và uyển chuyển, cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng Một tường lửa tốt không chỉ bảo vệ mạng khỏi các cuộc tấn công bên ngoài mà còn giúp quản lý lưu lượng mạng, ngăn chặn các phần mềm độc hại và bảo vệ dữ liệu nhạy cảm khỏi bị đánh cắp hoặc rò rỉ Việc cấu hình và quản lý tường lửa đòi hỏi sự hiểu biết sâu về mạng, các giao thức bảo mật, và khả năng phản ứng nhanh chóng trước các mối đe dọa tiềm ẩn

Hình 5: Tường lửa làm nhiệm vụ bảo vệ

• Cấu trúc của FireWall

- Firewall bao gồm: Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng như router Trên các hệ thống máy chủ này, phần mềm quản lý an ninh được cài đặt và vận hành Thông thường, các hệ quản trị này bao gồm các chức năng xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)

• FireWall bảo vệ cái gì?

- Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau:

- Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu sau: ❖ Bảo mật: Ngăn chặn truy cập trái phép vào dữ liệu nhạy cảm

❖ Tính toàn vẹn: Đảm bảo dữ liệu không bị sửa đổi hoặc phá hủy trái phép

❖ Tính kịp thời: Đảm bảo dữ liệu có sẵn và truy cập được khi cần ❖ Tài nguyên hệ thống: Bảo vệ tài nguyên hệ thống khỏi bị lạm dụng ❖ Danh tiếng: Bảo vệ uy tín của các đơn vị, doanh nghiệp sở hữu

thông tin cần bảo vệ

• FireWall bảo vệ chống lại cái gì?

- FireWall bảo vệ chống lại những sự tấn công từ bên ngoài - Tấn công trực tiếp:

❖ Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu của bạn Trong một số trường hợp khả năng thành công có thể lên tới 30% Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack

❖ Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống)

- Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyển qua mạng thông qua các chương trình cho phép đưa vào giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng - Giả mạo địa chỉ IP

- Vô hiệu hóa các chức năng của hệ thống (deny service) Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế Kiểu tấn công này không thể ngăn

chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng

- Lỗi người quản trị hệ thống

- Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker

1.3 Một số giải pháp quản lý tài nguyên và truy cập internet

1.3.1 Giới thiệu các giải pháp

1.3.1.1 Giải pháp quản lý tài nguyên và truy cập internet phân tán

- Giải pháp quản lý cấp phát địa chỉ phân tán được ứng dụng phổ biến trong các mạng cỡ nhỏ, triển khai tương đối dễ dàng Tuy nhiên, nó ít được xây dựng cho các mạng cỡ vừa và lớn do yêu cầu phải chia tách thành nhiều mạng con và có những yêu cầu về bảo mật, quản lý băng thông, quản lý truy cập tài nguyên, định tuyến, v.v…

- Một số đặc điểm của chúng như:

❖ Khả năng xác thực hạn chế trên các thiết bị access point, không hỗ trợ việc sao lưu cấu hình xác thực

❖ Khả năng quản lý truy cập thiếu tính nhất quán do việc kiểm soát truy cập độc lập trên các thiết bị khác nhau

❖ Cấu hình hạn chế: Hạn chế trong cấu hình các thiết bị phần cứng, làm cho hệ thống mạng phức tạp và khó kiểm soát nếu số lượng người sử dụng đầu cuối lớn

1.3.1.2 Giải pháp quản lý tài nguyên và truy cập internet NAC của Cisco

- Cisco là hãng đầu tiên đặt nền móng cho khái niệm NAC (Network Access Control) Kiến trúc NAC của Cisco tập trung vào kiểm soát cơ bản đối với các thiết bị đầu cuối trước khi kết nối mạng, như: Antivirus, Health Agent, Patch Agent

- Giải pháp NAC của Cisco dựa trên chế độ hoạt động Agent-based Cisco định nghĩa ra các khái niệm như Posture Validation Server (PVS), cho phép người quản trị thiết lập chính sách về truy cập tập trung

- Tuy nhiên, giải pháp NAC của Cisco gặp phải khó khăn trong việc quản lý các vấn đề phát sinh ở thiết bị đầu cuối Cơ chế hoạt động của các Agent phụ thuộc vào các chương trình của các hãng thứ ba như anti-virus, antimalware, patch, v.v., gây khó khăn trong việc thiết lập kết nối mạng cho người sử dụng đầu cuối không cập nhật kịp thời các bản vá lỗi và bản cập nhật

Hình 6: Mô hình xác thực NAC của Cisco

• Một số lợi ích trong giải pháp NAC của cisco

- Network Access Control (NAC) của Cisco là một giải pháp tương đối an toàn cho việc quản lý tài nguyên và truy cập, tập trung vào việc kiểm soát các vấn đề an ninh trên thiết bị đầu cuối Mặc dù còn gặp nhiều thách thức khi triển khai NAC trong thực tế như lựa chọn mô hình, chi phí đầu tư, và các chính sách quản lý tài nguyên và truy cập mạng, tuy nhiên, những lợi ích khi triển khai NAC là rất quan trọng trong việc thiết lập các hệ thống mạng hiện đại Những lợi ích đó bao gồm:

- Kiểm soát, quản lý truy cập và khai thác tài nguyên mạng: NAC cho phép quản lý quyền truy cập và sử dụng tài nguyên mạng đối với người dùng đầu cuối, đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập vào các tài nguyên quan trọng

- Ngăn chặn mã độc và virus: Giải pháp NAC giúp ngăn chặn sự lây lan và phát tán của các chương trình mã độc và virus trong toàn bộ hệ thống mạng, bảo vệ dữ liệu và tài nguyên khỏi các mối đe dọa tiềm ẩn

- Nâng cao tính sẵn sàng của hệ thống mạng: Giải pháp NAC giúp tăng tính sẵn sàng của hệ thống mạng, giảm thiểu sự gián đoạn cung cấp dịch vụ cho thiết bị đầu cuối, và đảm bảo rằng hệ thống luôn hoạt động một cách hiệu quả

- Đảm bảo tuân thủ các chính sách bảo mật: NAC đảm bảo rằng các thiết bị đầu cuối sử dụng các chương trình diệt virus và tường lửa đúng cách, tuân thủ các chính sách bảo mật được đặt ra

- Dễ dàng tích hợp với giải pháp Endpoint Protection: NAC có thể dễ dàng tích hợp với các giải pháp bảo vệ đầu cuối khác, tạo nên một hệ thống bảo mật toàn diện và hiệu quả

1.3.1.3 Giải pháp quản lý tài nguyên và truy cập internet Captive Portal

- Giải pháp quản lý tài nguyên và truy cập dựa trên kỹ thuật Captive Portal thường được triển khai trong các mạng công cộng Captive Portal kiểm soát truy cập thông qua một cửa duy nhất, buộc người dùng phải xác thực trước khi truy cập vào mạng Một số phần mềm phổ biến hiện nay về Captive Portal bao gồm: PFSense, Amigopod và ArubaOS Integration, CentOS, Chillispot, và nhiều phần mềm khác, vv

Hình 7: Mô hình xác thực sử dụng Captive Portal

- Captive portal là một giải pháp buộc người sử dụng phải chuyển hướng tới một trang web đặc biệt trước khi truy cập vào mạng Kỹ thuật Captive Portal biến trình duyệt web thành một công cụ chứng thực hiệu quả Việc này được thực hiện bằng cách ngăn chặn tất cả các gói tin (bất kể địa chỉ IP và port nào) cho đến khi người sử dụng vượt qua được chứng thực trên trang web mà hệ thống chuyển hướng đến

1.4 Quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở PFSense

Hình 8: Mô hình sử dụng PFSense

- PFSense là một hệ thống mạnh mẽ hoàn toàn miễn phí, cho phép quản lý tài nguyên và truy cập internet tập trung PFSense mang tới nhiều dịch vụ khác nhau trong một hệ thống nhất quán, đảm bảo đầy đủ các tính năng cơ bản cho một hệ thống mạng cỡ lớn, đòi hỏi các yêu cầu về bảo mật, định tuyến, cân bằng tải PFSense sử dụng giao diện webgui để thiết lập các dịch vụ và ứng dụng nên rất dễ dàng sử dụng Một số dịch vụ và ứng dụng của PFSense:

- DHCP Sever: Cấp phát địa chỉ IP cho các máy client khi máy được gắn vào mạng Lan của PFSense quản lý PFSense còn có thể cấp DHCP cho từng Vlan riêng biệt Hỗ trợ nhiều subnet khác nhau (từ 0 đến 32bit) Nó được kích hoạt mặc định trên các subnet hoặc các Vlan cùng đồng thời gán các gateway và địa chỉ DNS Server nếu như dịch vụ DNS forwarder được kích hoạt Cho phép triển khai Mac filter tập trung, dựa vào ánh xạ 1-1 giữa địa chỉ MAC và địa chỉ IP từ gói tin

bị client đến hệ thống mạng, trong trường hợp thiết bị client thiết lập địa chỉ tĩnh Hỗ trợ đầy đủ filelogs để người quản trị tiện theo dõi quá trình cấp phát địa chỉ IP động trên hệ thống

- FreeRadius cũng chính là Radius Server nằm trong PFSense Free Radius kết hợp để làm chứng thực cùng với Captive Portal

- DNS Forwarder Nếu dịch vụ DNS Forwarder đang được sử dụng thì khi cấp phát địa chỉ IP cho các client thì DHCP server mặc định sẽ gán địa chỉ của máy chủ DNS cho các client này khi trường này bị bỏ trống

- DNS Forwarder được kích hoạt mặc định trên hệ thống PFSense, sử dụng những máy chủ DNS được cấu hình trong hệ thống hoặc được tự động thu được từ các ISP qua các cấu hình WAN Interface (DHCP, PpoE, PPTP) trong hệ thống và được lưu lại trong bộ nhớ đệm

- Squid Proxy trong PFSense: ngoài các tính năng thường thấy của squid proxy thì việc tăng khả năng caching của PFSense cũng giảm nhiều thời gian tìm thông tin với các yêu cầu giống nhau

- Captive Portal là một dịch vụ của PFSense cung cấp nhằm để chứng thực người sử dụng Có thể cấu hình cho nhiều Interface hoặc trên mỗi Interface độc lập Captive Portal hỗ trợ xác thực với chính PFSense hoặc với máy chủ FreeRadius, Xác thực dựa trên UserName/Password hoặc bằng voucher key Hỗ trợ Mac filter trong xác thực, Hỗ trợ xác thực theo thời gian thực hoặc theo phiên

- FireWall là một tính năng quan trọng trong PFSense Cũng như nhiều hệ thống firewall khác thì PFSense cũng hoạt động theo nguyên tắc lọc gói tin là packet filter

- PFSense sử dụng giao diện WebGUI để thiết lập các Rule cho hầu hết các giao thức TCP, UDP, ICMP v.v ngoại trừ P2P Hệ thống FireWall

sẽ thực hiện các luật theo nguyên tắc lần lượt từ trên xuống dưới, khi có sự mâu thuẫn về luật thì ưu tiên luật bên trên PFSense cho phép xây dựng các luật trên nguyên tắc các luật chung thì ở bên dưới và các luật riêng thì ở bên trên

- Aliases cho phép gộp nhóm các port, host hoặc network thành tên và sử dụng trong các cấu hình firewall rules, NAT, traffic shaper v.v điều này cho phép tạo ra các tập quy tắc ngắn gọn, dễ dàng quản lý hơn - FireWall cung cấp Network Address Translation (NAT), có thể cấu

hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các Host cụ thể

- Thiết lập mặc định của NAT cho các kết nối outbound là automatic/dynamic, tuy nhiên cũng có thể thay đổi kiểu manual nếu cần

- FireWall cung cấp Traffic Shaper giúp theo dõi và quản lý băng thông mạng dễ dàng và hiệu quả hơn, điều khiển lưu lượng mạng máy tính để tối ưu hóa hiệu suất độ trễ thấp hơn, hoặc tăng băng thông bằng cách trì hoãn, có thể sử dụng các gói dữ liệu đáp ứng theo tiêu chí nhất định

- Traffic Shaping là phương pháp tối ưu hóa kết nối internet Nó tăng tối đa tốc độ trong khi đảm bảo tối thiểu thời gian trễ, khi sử dụng những gói dữ liệu ACK được sắp xếp thứ tự ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải về được tiếp tục với tốc độ tối đa

- FireWall cung cấp tính năng Schedules, với tính năng này các Firewall rules có thể được sắp xếp để nó có thể chỉ hoạt động vào các thời điểm nhất định cụ thể Đây là một tính năng giúp cho bạn kiểm soát được thời gian làm việc, cho bạn một lịch làm việc cụ thể rõ ràng

- Load Balancing chức năng này hỗ trợ cho cả hai hướng Inbound và Outbound

- Hướng Outbound thì có thể thực hiện chức năng này bằng cách kết hợp nhiều đường WAN nhằm đáp ứng băng thông lớn hơn cho các thiết bị trong mạng internal ra ngoài Internet Hướng Inbound thì được sử dụng bởi các nhà cung cấp dịch vụ như Webservice PFSense cung cấp hai tùy chọn cho chức năng cân bằng tải là failover và load balancer

- Tùy chọn failover cho phép triển khai các đường WAN dự phòng với các thứ tự ưu tiên từ 1 đến n Khi đường WAN thứ 1 bị lỗi thì ngay lập tức chuyển sang đường WAN có mức ưu tiên thấp hơn Tùy chọn load balancer cho phép hệ thống tự động chia tải đều trên các WAN dựa vào thời gian trả lời các request yêu cầu từ phía các client Nếu thời gian phản hồi các yêu cầu từ WAN thứ 1 trạm trễ thì yêu cầu đó sẽ được sang các đường WAN khác

- Routing cũng là 1 tính năng cơ bản khác của PFSense Chức năng làm công cụ định tuyến đáp ứng cho đòi hỏi hệ thống phải tách ra từng phần riêng biệt Có 2 cách thức để triển khai:

- Static Routes: Thiết lập bảng định tuyến tĩnh giữa các thiết bị router với các mạng con

- Các máy cài đặt dịch vụ vân vân theo những cổng được khai báo trên hệ thống PFSense

- Routing Public Ips: Cấu hình định tuyến các địa chỉ IP công cộng khi muốn cấu hình một subnet cho một interface mạng bên trong hệ thống firewall Giao thức CARP thường được sử dụng trong cách thức triển khai này Cần ít nhất 2 địa chỉ IP public một gán cho địa chỉ của WAN

và một địa chỉ còn lại gán cho một các mạng con bên trong hệ thống firewall

- Các giao thức định tuyến được hỗ trợ trong PFSense gồm RIP (Routing Information Protocol), BGP (Border Gateway Protocol), ngoài ra OSPF (Open Shortest Path First) được cài đặt như 1 package tại một số điểm

KẾT LUẬN CHƯƠNG I

Chương này tập trung giới thiệu các dịch vụ và ứng dụng mạng cơ bản cần thiết cho hệ thống quản lý tài nguyên và truy cập internet của người sử dụng Qua đó, chương này cũng đề xuất một số giải pháp phổ biến hiện nay như: quản lý tài nguyên và truy cập internet phân tán, quản lý tài nguyên và truy cập internet NAC của Cisco, quản lý tài nguyên và truy cập internet bằng Captive Portal, quản lý tài nguyên và truy cập internet sử dụng hệ thống mã nguồn mở pfSense và so sánh hai giải pháp tối ưu nhất trong các giải pháp này Ngoài ra, chương này cũng muốn chứng minh rằng hệ thống quản lý tài nguyên và truy cập internet bằng hệ thống mã nguồn mở pfSense có thể đáp ứng hầu hết các ứng dụng và dịch vụ cần thiết cho một hệ thống quản lý tài nguyên và truy cập internet, rất phù hợp với các đơn vị có lượng lớn người sử dụng nhưng chi phí đầu tư thấp cho hệ thống công nghệ thông tin