Báo cáo lab quản trị mạng nghiên cứu và báo cáo pfsense

Cho ví dụ, nếu chúng ta sử dụng lọc địa chỉ nguồn và thiết lập địa chỉ IP được kiểm tra là subnet của mạng bên trong thì bất cứ lưu lượng hay bất cứ yêu cầu nào được tạo ra từ địa chỉ đó

Trang 1

[Type the document title] Bài Báo Cáo

SVTH:Trương Hoài Nhân _ 12200066_C12QM11 ng Hoài Nhân _ 12200066_C12QM11 Page 1

Đại Học Công Nghệ TP.Hồ Chí Minh

Khoa Cao Đẳng Thực Hành

QUẢN TRỊ MẠNG

SVTH:Trương Hoài Nhân MSSV:12200066 Lớp:C12QM11

Năm 2013

Trang 2

MỤC LỤC

FIREWALL PfSense 3

I Nội Dung Lý Thuyết 3

A Giới thiệu PfSense 3

B Tính năng pfsense 4

1 PfSense Aliases 4

2 NAT 4

3 Firewall Rules 4

4 Firewall Schedules 4

5 Traffic shaper 5

6 Virtual Ips 5

C Một số dịch vụ pfsense 6

1 Captive portal 6

2 DHCP Server 7

3 Load Balancer 7

4 VPN trên Pfsense 8

5 VPN PPTP 8

6 OpenVPN Site to Site 8

II Nội Dung Thực Hành 9

A Lab1:Cài đặt máy PfSense 9

1 Chuẩn Bị 9

2 Hướng dẩn cài đặt 9

B Lab2:Cấu hình proxy cho pfsense 20

C Lab3:Captive Portal (Local) 30

1 Giới thiệu 30

2 Thực hành 31

D Lab4:Captive portal thông qua radius 35

Trang 3

Nghiên Cứu Và Báo Cáo PfSense

I Nội Dung Lý Thuyết

A Giới thiệu PfSense

PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật

Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật

tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng

để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và

khả năng linh hoạt của nó

Với tư cách một tường lửa, pfSense hỗ trợ lọc bởi địa chỉ nguồn và địa chỉ đích, cổng nguồn hoặc cổng đích hay địa chỉ IP Cho ví dụ, nếu chúng ta sử dụng lọc địa chỉ nguồn

và thiết lập địa chỉ IP được kiểm tra là subnet của mạng bên trong thì bất cứ lưu lượng hay bất cứ yêu cầu nào được tạo ra từ địa chỉ đó sẽ bị phân tích và được lọc phụ thuộc vào các nguyên tắc của tường lửa Nếu chúng ta sử dụng lọc địa chỉ đích thì tường lửa sẽ kiểm tra địa chỉ IP mà lưu lượng sẽ đi, và nếu địa chỉ đích thỏa mãn các nguyên tắc của tường lửa thì một hành động thích hợp sẽ được thực thi

Một trong những tính năng tường lửa tốt nhất là khả năng P0F (passive operating system fingerprinting – tạm được dịch là: khả năng lấy dấu vân tay hệ điều hành thụ động), tính năng này sẽ phát hiện một cách thụ động hệ điều hành của kết nối và cho phép tường lửa khóa các kết nối dựa trên hệ điều hành của nút đang kết nối Nó cũng hỗ trợ chính sách định tuyến và có thể hoạt động trong các chế độ bridge hoặc transparent, cho phép bạn chỉ cần đặt pfSense ở giữa các thiết bị mạng mà không cần đòi hỏi việc cấu hình bổ sung.pfSense cung cấp network address translation (NAT) và tính năng chuyển tiếp cổng, tuy nhiên ứng dụng này vẫn còn một số hạn chế với Point-to-Point Tunneling Protocol

(PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi

sử dụng NAT

PfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viênnhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng Vì nó hỗ trợnhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải Tuy nhiên

có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và bạn không thể chỉ định được lưu lượng cho qua một kết nối

Trang 4

PfSense hỗ trợ VPN trong sử dụng Internet Protocol Security (IPSec), OpenVPN hoặc PPTP Do có một số hạn chế với NAT nên IPSec VPN cũng bị hạn chế khi kết nối thông qua NAT, hạn chế ở đây thể hiện ở chỗ thiếu đi sự hỗ trợ cho các máy khách VPN di động hoặc từ xa Phần mềm cũng thiếu các tính năng IPSec nâng cao như NAT Traversal trong Internet key exchange (IKE), thành phần vẫn được biết đến với tên NAT-T và Xauth

Việc sửa đổi rules trở nên dẽ dàng hơn

3 Firewall Rules

Nơi lưu các rules (Luật) của Firewall Để vào Rules của pfsense vào Firewall → Rules Mặc định pfsense cho phép mọi trafic ra/vào hệ thống Bạn phải tạo ra các rules để quản

lí mạng bên trong firewall

Để add rules mới nhấn vào biểu tương dấu

Ví dụ: Tạo rules Cấm truy cập web sử dụng công 80 cho các máy LAN trong đó MayLan

là tên Aliases Sau khi tạo xong nhấn Save và Apply Changes

4 Firewall Schedules

Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần

Để tạo một Schedules mới vào Firewall > Schedules : Nhấn dấu +

Ví dụ:Tạo lịch tên GioLamViec của tháng 12 Từ thứ hai đến thứ bẩy và thời gian từ 8 giờđến 17 giờ

Trang 5

Sau khi tạo xong nhấn Add Time

Bên dưới sẽ hiện ra lịch chi tiết vừa thiết lập

Xong nhấn Save

5 Traffic shaper

Traffic Sharper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơnTraffic Shaping là phương pháp tối ưu hóa kết nối Internet Nó tăng tối đa tốc độ trong khi đảm bảo tối thiểu thời gian trễ Khi sử dụng những gói dữ liệu ACK được sắp xếp thứ

tư ưu tiên trong đường truyền tải lên, điều này cho phép tiến trình tải về được tiếp tục với tốc độ tối đa

Cấu hình Traffic Sharper để quản lý băng thông

Mở giao diện Web của Pfsense -> chọn Firewall -> Traffic Sharper

Chọn Next

Chọn Inside là Lan -> nhập vào tốc độ download của đường truyền

Outside chọn Wan và nhập vào tốc độ Upload của đường truyền

Chọn Next

Hỗ trợ Voice IP > Next

Chọn Next

Hỗ trợ mạng ngang hàng như BitTorent , CuteMX, iMesh…

Hỗ trợ mạng chơi game như BattleNET , Xbox360 ,và một số game trực tuyến

Quản lí băng thông của một số ứng dụng khác như Remote Service ,VPN, Messengers, Web,Mail , Miscellaneous

CARP

Có thể được sử dụng bởi các bức tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp

Tạo ra lớp 2 traffic cho các VIP

Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ)Các VIP đã được trong cùng một subnet IP của giao diện thực

Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa

Proxy ARP

Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếpSVTH:Trương Hoài Nhân _ 12200066_C12QM11 ng Hoài Nhân _ 12200066_C12QM11 Page 5

Trang 6

Tạo ra lớp 2 giao thông cho các VIP

Các VIP có thể được trong một subnet khác với IP của giao diện thực

Không trả lời gói tin ICMP ping

Captive portal: Tinh chỉnh các chức năng của Captive Portal

Pass-though MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ

qua,không authentication

Allowed IP address: Các IP address được cấu hình sẽ không authentication

Users: Tạo local user để dùng kiểu authentication: local user

File Manager: Upload trang quản lý của Captive portal lên pfsense

Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal

Maximum concurrent connections:Giới hạn các connection trên mỗi ip/user/mac

Idle timeout:Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ

ngắt kết nối của ip/user/mac

Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac

Logout popup windows: Xuất hiện 1 popup thông báo cho ip/user/mac

Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập

MAC filtering: Đánh dấu vào nếu pfsense nằm trước router Bởi vì pfsense quản lý kết nối theo MAC (mặc định) Mà khi dữ liệu qua Router sẽ bị thay đổi mac address nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối

Authentication: Chọn kiểu chứng thực Pfsense hỗ trợ 3 kiểu:

No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định

mà không chứng thực

Trang 7

Local user manager: pfsense hỗ trợ tạo user để chứng thực

Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ ip của

- Phải trang bị thêm modem nếu không có sẵn

- Không được hỗ trợ từ nhà sản xuất như các thiết bị cân bằng tải khác

- Vẫn chưa có tính năng lọc URL như các thiết bị thương mại

- Đòi hỏi người sử dụng phải có kiến thức cơ bản về mạng để cấu hình

Để cấu hình load balancing vào Services -> Load Balancer

Ấn vào nút để thêm Pool

Cấu hình như sau:

Name: LoadBalancer

Type: Gateway

Behavior : Load Balancing

Monitor IP: Chọn monitor IP của gateway interface nào thì phần chọn Interface name tương ứng , ấn vào add to pool Save lại và ấn Apply Change

Sang tab LAN, Ấn vào dấu + để thêm rule

Action chọn Pass

Protocol chọn any

Gateway: chọn LoadBalancer

Save và Apply Rule

Để kiểm tra vào Status / Load Balancer

Hai đường truyền đều Online

Khi một đường truyền Offline

Trang 8

4 VPN trên Pfsense

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nốicác địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

5 VPN PPTP

Để sử dụng chức năng này bạn vào VPN / PPTP

Chọn Enable PPTP server để bật tính năng VPN

Server address : Địa chỉ server mà client sẽ kết nối vào

Remote address range :Dải địa chỉ IP sẽ cấp khi VPN Client kết nối

RADIUS : Chứng thực qua RADIUS

Chọn Save và chuyển qua tab User để tạo tài khoản

Sau khi tạo xong user ,bạn vào Firewall Rules

Tạo Rules cho phép VPN client truy cập vào mạng

Trên VPN Client ,trong Network Connections chọn Create a new connection

Chọn Conect to the network at my workplace > Next

Chọn Virtual Provate Network connection > Next

Điền tên cho kết nối VPN > Next

Điền địa chỉ IP của VPN Server > Next

Điền tài khoản và mật khẩu và nhấn Connect

6 OpenVPN Site to Site

Tạo Share key cho pfsense

Vào Diagnostics > Command:

Tại Execute Shell command chạy lệnh : openvpn genkey secret /dev/stdout và nhấn Execute

Để tạo kết nối Site to site vào VPN / OpenVPN

Tại Tab Server nhấn

Protocol : Giao thức sử dụng cho VPN

Dynamic IP: Cho phép Client kết nối bằng IP động được cấp phát bởi DHCP Server

Local Port: Cổng OpenVPN server sẽ lắng nghe.Mặc định là cổng 1194

Address pool: Địa chỉ pfsense sẽ cấp phát cho Client

Remote network: Khai báo mạng mà pfsense sẽ kết nối đến

Cryptography: Lựa chọn phương thức mã hóa

Authentication method: Shared Key

Trang 9

Shared key: Nhập Shared Key của pfsense

LZO compression : Nén gói tin khi chuyển dữ liệu sử dụng LZO

Chọn Save

Tạo rules cho phép kết nối OpenVPN trên WAN

Trên pfsense2

Vào VPN/OpenVPN chọn Tab Client nhấn

Protocol : Giao thức mà server sử dụng cho VPN

Server Address : Địa chỉ của Server OpenVPN

Server port : Cổng kết nối cho các thiết lập VPN trên pfSense1

Interface IP : Địa chỉ IP mà server sẽ gán cho Client

Remote network:Dải IP Internal của pfsense1

Lựa chọn phương thức mã hóa và điền Shared key của pfsense1 vào và nhấn Save

II Nội Dung Thực Hành

A Lab1:Cài đặt máy PfSense

Cho file iso Pfsense 2.1 vào

Trang 10

chọn card eM0 làm WAN

chọn card eM1 làm LAN

Trang 11

Chọn 99 để install

Trang 12

Trang 13

Trang 14

Trang 15

Trang 16

Trang 17

Trang 18

Trang 19

Login vào Pfsense bằng user: admin /pass:pfsense

Cài đặt các gói cần thiết

Trang 20

B Lab2:Cấu hình proxy cho pfsense

Cấm máy client truy cập vào nhưng trang web bi cấm

Cấm địa chỉ mạng, đường mạng, lớp mạng truy cập internet

Chặn từ khóa , chặn download

Trang 21

Trang 22

Ở đây chặn trang web tuoitre.vn, mp3.zing.vn

Từ khóa mail, game,file dowload exe và khi ta đăng nhập vào những điều cấm sẻ trả về trang quản lý của mình.http://ithutech.net

Chặn địa chỉ mạng, đường m ạng, lớp mạng

Trang 23

Trang 24

Trang 25

Trang 26

Khởi động lại dịch vụ

Trang 27

Trang 28

Trang 29

Trang 30

Đây là khi ta đăng nhập vào trang web tuoitre.vn

Trả về trang quản lý của mình http://ithutech.net

C Lab3:Captive Portal (Local)

1 Giới thiệu

Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại lớn Tính năng này giúp redirect trình duyệt của người dùng vào 1 trang web định sẵn, từ đó giúp chúng ta có thể quản lý được người dùng Tính năng này tiên tiến hơn các kiểu đăngnhập như WPA, WPA2 ở chỗ người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng nhập khô khan như kiểu authentication WPA,WPA2.Tính năng captive portal nằm ở mục Services/captive portal

Captive portal: Tinh chỉnh các chức năng của Captive Portal

Pass-though MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ

qua,không authentication

Allowed IP address: Các IP address được cấu hình sẽ không authentication

Định dạng
Số trang	40
Dung lượng	2,47 MB

Báo cáo lab quản trị mạng nghiên cứu và báo cáo pfsense

Lab3:Captive Portal (Local) 1 Giới thiệu