1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VINH NGUYỄN HỒNG CHÂU NÂNG CAO HIỆU QUẢ TRONG QUẢN LÝ TRUY CẬP MẠNG VÀ SỬ DỤNG HỆ THỐNG FIREWALL PFSENSE VỚI TẬP NGƯỜI DÙNG ĐỘNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN ĐỒNG THÁP, 2017 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VINH NGUYỄN HỒNG CHÂU NÂNG CAO HIỆU QUẢ TRONG QUẢN LÝ TRUY CẬP MẠNG VÀ SỬ DỤNG HỆ THỐNG FIREWALL PFSENSE VỚI TẬP NGƯỜI DÙNG ĐỘNG Chuyên ngành: Công nghệ thông tin Mã số: 60480201 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Người hướng dẫn khoa học: TS Lê Hồng Trang ĐỒNG THÁP, 2017 LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu riêng tơi, số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tơi xin hồn tồn chịu trách nhiệm đề tài Đồng Tháp, tháng năm 2017 Nguyễn Hồng Châu LỜI CẢM ƠN Xin chân thành cảm ơn Thầy hướng dẫn TS Lê Hồng Trang tận tình dẫn giúp đỡ tơi suốt q trình thực luận văn Tơi xin gởi lời cảm ơn chân thành tới Quý lãnh đạo Thầy cô Trường Đại học Vinh Trường Đại học Đồng Tháp tạo điều kiện cho chúng tơi hồn thành khóa học Tơi xin chân thành cảm ơn đồng nghiệp, đơn vị công tác giúp đỡ trình học tập thực Luận văn Do thời gian nghiên cứu có hạn nên luận văn cịn thiếu sót, mong nhận góp ý Thầy cô, Anh chị, bạn bè đồng nghiệp Học viên Nguyễn Hồng Châu MỤC LỤC Trang phụ bìa Lời cam đoan Lời cảm ơn Mục lục Danh mục chữ viết tắt Danh mục bảng 10 Danh mục hình 11 Mở đầu 13 Chương 1: Tổng quan vấn đề nghiên cứu 15 1.1 Tổng quan tường lửa 15 1.1.1 Khái niệm tường lửa 15 1.1.2 Phân loại tường lửa 15 1.1.2.1 Tường lửa cứng 15 1.1.2.2 Tường lửa mềm 15 1.1.3 Chức tường lửa 16 1.2 Các cách tiếp cận triển khai quản lý truy cập mạng 16 1.3 Các thành phần việc quản lý truy cập mạng 19 1.4 Các mơ hình quản lý truy cập mạng 21 1.4.1 Mơ hình quản lý truy cập phân tán 21 1.4.2 Mơ hình quản lý truy cập dựa Captive Portal 21 1.4.3 Mơ hình quản lý truy cập NAC Cisco 22 1.4.4 Mơ hình quản lý truy cập với PFSense 24 1.5 Vấn đề xác thực triển khai quản lý truy cập 25 1.5.1 Xác thực với 802.1X 26 1.5.2 Xác thực với địa MAC 27 1.5.3 Xác thực với Captive Portal 27 1.6 Tổng quan PFSense 28 1.6.1 Giới thiệu tường lửa PFSense 28 1.6.2 Một số chức tường lửa PFSense 29 1.6.3 Một số dịch vụ tường lửa PFSense 29 Kết luận chương 31 Chương 2: Quản lý việc sử dụng tường lửa PFSense 32 2.1 Sơ đồ triển khai 32 2.2 Cài đặt PFSense 32 2.3 Quản lý truy cập tường lửa PFSense 36 2.3.1 Chức tường lửa PFSense 36 2.3.2 Chức VPN PFSense 38 2.3.3 Dịch vụ DHCP Server 39 2.3.4 Dịch vụ Captive Portal 41 2.3.5 Dịch vụ cân tải (load balancing) 42 2.4 Ứng dụng định tuyến PFSense 43 2.5 XML quản lý cấu hình PFSense 43 2.6 Các hạn chế PFSense 45 2.6.1 Hạn chế chung PFSense 45 2.6.2 Hạn chế dịch vụ DHCP 46 Kết luận chương 48 Chương 3: Xây dựng công cụ PFSenseMan tảng PFSense 49 3.1 Tổng quan công cụ PFSenseMan 49 3.2 Quản lý người dùng thông qua cấp phát địa IP 50 3.3 Phân tích cấu hình hệ thống tường lửa PFSense 51 3.4 Thiết kế kiến trúc công cụ PFSenseMan 53 3.4.1 Kiến trúc tổng thể công cụ PFSenseMan 53 3.4.2 Biểu đồ Use Case tổng quát 55 3.4.3 Biểu đồ 56 3.4.4 Biểu đồ lớp 56 3.5 Xây dựng mẫu (templates) chung 58 3.6 Phiên làm việc PFSenseMan 64 3.7 Các kết đạt 65 3.7.1 Hiệu mặt thời gian 65 3.7.2 Hiệu mặt tổ chức quản lý 67 Chương 4: Bảo mật thông tin điện thoại di động 69 4.1 Tổng quan công nghệ VPN 69 4.1.1 Khái niệm 69 4.1.2 Các công nghệ VPN 69 4.1.3 Phân loại VPN 70 4.1.4 Những ưu điểm VPN 71 4.2 Các thành phần Cryptography 71 4.2.1 Mã hóa khối 72 4.2.2 Mã hóa dịng 72 4.2.3 Thuật toán mã hóa đối xứng 72 4.2.4 Thuật tốn mã hóa bất đối xứng 73 4.2.5 Hàm băm 73 4.2.6 HMAC 74 4.2.7 Chữ ký số 74 4.2.8 Quản lý key 74 4.3 Sơ lược IPSec SSL 74 4.3.1 IPSec 74 4.3.2 SSL 75 4.4 IPSec VPN 76 4.4.1 Khái niệm 76 4.4.2 Phạm vi hoạt động IPSec 77 4.4.3 Vai trò IPSec 77 4.4.4 Những tính IPSec 78 4.5 Cấu hình IPSec tường lửa PFSense 78 4.6 Cấu hình IPSec điện thoại di động Iphone 81 4.7 Ví dụ tổng quát cách thức hoạt động IPSec 84 Kết luận hướng phát triển 86 Tài liệu tham khảo 88 Phụ lục 89 DANH MỤC CÁC CHỮ VIẾT TẮT AP Access Point AH Authentication Header ARP Address Resolution Protocol API Application Programming Interfaces AES Advanced Encryption Standard BGP Border Gateway Protocol CARP Common Address Redundancy Protocol CPU Central Processing Unit DH Diffie Hellman DES Digital Encryption Standard DMZ Demilitarized Zone DHCP Dynamic Host Configuration Protocol DNS Domain Name Services DOM Document Object Model EAP Extensible Authentication Protocol ESP Encapsulating Security Payload HMAC Hashed Message Authentication Code HTTP Hyper Text Transfer Protocol HTML Hyper Text Markup Language IDEA International Data Encryption Algorithm IETF Internet Engineering Task Fore IP Internet Protocol IKE Internet Key Exchange ISP Internet Service Provider ICMP Internet Control Message Protocol IPS Intrusion Prevention System IPSec Internet Protocol Security MD5 Message Digest algorithm MAC Medium Access Control MPLS Multi Protocol Label Switching NTP Network Time Protocol NAT Network Address Translation NAC Network Access Control NAP Network Access Protection OTP One Time Password OSI Open Systems Interconnection OSPF Open Shortest Path First PC Personal Computer PVS Posture Validation Server P2P Peer to Peer PPP0E Point to Point Protocol over Ethernet PPTP Point to Point Tunneling Protocol PKI Public Key Infrastructure PSK Pre Shared Key RC2 Release Candidate RIP Routing Information Protocol RADIUS Remote Authentication Dial-In User Service RAM Random Access Memory SHA Secure Hash Algorithm SPD Security Policy Database SNMP Simple Network Management Protocol SOAP Simple Object Access Protocol 79 Hình 4.6 Chọn IPSec VPN Từ Menu VPN ta chọn IPSec Trong IPSec có Tab như: Tunnels, Mobile clients, Pre Shared Keys, Advanced Settings Hình 4.7 Chọn Mobile Clients Tại Tab Mobile clients bật chức Enable IPSec Moblile Client Suppport, kéo trượt xuống nhập dãy IP cấp cho clients, DNS server … 80 Hình 4.8 Tiến hành tạo khai báo giá trị Mobile Clients Đây giai đoạn bắt buộc phải có Pha thực việc chứng thực thỏa thuận thông số bảo mật, nhằm cung cấp kênh truyền bảo mật hai thiết bị đầu cuối Hình 4.9 Tạo tài khoản để đăng nhập Iphone Trên Menu System chọn User Manager tạo tài khoản Username Password để tiến hành đăng nhập Iphone 81 4.6 Cấu hình IPSec điện thoại di động Iphone Hình 4.10 Giao diện hình Iphone 4.11 Chọn Settings -> General Từ giao diện hình Iphone ta chọn Settings hình tìm General 82 Hình 4.12 Chọn kết nối VPN Trong VPN có option IKEv2, IPSec, L2TP, tùy vào mạng VPN Server hỗ trợ loại mà ta chọn option Hình 4.13 Chọn IPSec Trong VPN chọn IPSec điền thông tin mà giao thức yêu cầu 83 Hình 4.14 Disible Wifi để kết nối VPN Hình 4.15 Đăng nhập tài khoản tạo tường lửa PFSense Tiến hành đăng nhập với tài khoản mật sau chọn Ok 84 4.16 Kết nối mạng VPN Đến mạng VPN có hiệu lực thực trình bảo mật cho thiết bị di động 4.7 Ví dụ tổng quát cách thức hoạt động IPSec Giả sử A sử dụng ứng dụng liệu máy Iphone 1, gửi gói tin IP cho B máy Iphone Trên thiết bị IPSec cấu hình tiến hành bảo mật gói tin IPSec từ máy Iphone đến máy Iphone Thông tin cập nhật vào bảng SPD outbound thiết bị IPSec SPD outbound thiết bị IPSec - Khi gói tin IP từ máy Iphone đến thiết bị IPSec 1, kiểm tra địa đích nguồn danh sách SPD phát gói tin cần bảo vệ IPSec, gói tin đưa vào hàng chờ Sau q trình trao đổi key kết thúc gói tin tiến hành xử lý mã hóa IPSec - Do đường ngầm IPSec hai bên chưa tồn tại, q trình trao đổi IKE thơng báo bắt đầu tiến hành Tất gói tin đến thiết bị IPSec thời gian trao đổi IKE lưu hàng chờ - Thiết bị IPSec sử dụng địa IP máy Iphone nguồn địa IP máy Iphone điểm đến Máy Iphone gửi tin nhắn IKE chế độ chính, sử dụng UDP cổng nguồn 500, cổng đích 500 85 - Thiết bị IPSec nhận tin nhắn IKE chế độ u cầu đàm phán an tồn Nó sử dụng địa IP nguồn địa IP đích gói tin UDP để thực tra cứu sách bảng SPD inbound (inbound - gói tin vào mạng bảo vệ) nhằm xác định thiết lập bảo mật đồng ý Khi thiết bị IPSec có tập tin chế độ sách phù hợp, thiết lập bắt đầu đàm phán chế độ - Thiết bị IPSec thiết bị IPSec tiến hành trao đổi nhằm xác thực, khởi tạo Key Khi q trình đàm phán chế độ kết thúc, thiết bị IPSec thiết bị IPSec hoàn toàn tin tưởng nhau, tiến hành trao đổi key chế độ nhanh - Trong chế độ nhanh, thiết bị IPsec trao đổi thông số SPI, giao thức IPSec, tính tốn khóa xác thực, khóa mã hóa IPSec Kết thúc q trình trao đổi key, thơng tin bảo mật cập nhật vào mục SA outbound (outbound gói tin khỏi mạng bảo vệ) thiết bị IPSec mục SA outbound thiết bị IPSec Đồng thời thuộc tính khác đường ngầm cập nhật vào SA (ví dụ lifetime) - Sau trình trao đổi key kết thúc, q trình xử lý mã hóa gói tin IPSec diễn ra: + Thiết bị IPSec sử dụng SA outbound để mã hóa gói liệu từ máy Iphone đến máy Iphone Trước tiên gói tin hàng chờ trước q trình xử lý IKE + Thiết bị IPSec sử dụng SA inbound để tiến hành nhận dạng giải mã gói liệu từ thiết bị IPSec gửi đến - Sau khoảng thời gian lifetime quy định trước, thơng tin SA bị xóa Khi có gói tin từ máy Iphone gửi đến thiết bị IPSec có địa nguồn máy Iphone 2, trình lại khởi tạo từ bước 86 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Từ kết nghiên cứu, thấy PFSense hệ thống tích hợp mạnh mẽ, miễn phí, hỗ trợ nhiều tính quản lý truy cập, tính quản lý cấp phát địa động DHCP có nhiều ưu điểm, nâng cao hiệu mặt thời gian, tổ chức nhân lực việc quản lý truy cập mạng người sử dụng đầu cuối hệ thống mạng có số lượng người sử dụng lớn thay đổi thường xuyên Việc xây dựng công cụ PFSenseMan triển khai ứng dụng Trường Cao đẳng Cộng đồng Đồng Tháp bước đầu đem lại hiệu định như: - Hiệu mặt thời gian - Đối với người sử dụng đáp ứng kết nối nhanh - Việc quản trị người sử dụng đầu cuối nhanh chóng hơn, thơng qua việc xây dựng mơ hình truy cập mạng đơn giản, tốn chi phí Tuy nhiên, qua nghiên cứu công cụ này, thấy số hạn chế ứng dụng “out-of-the-box” PFSense - Người quản trị cần sử dụng qua lại hệ thống phần mềm độc lập PFSenseMan PFSense Điều khiến cho thao tác nghiệp vụ cấu hình hệ thống dù hiệu chưa phải giải pháp hiệu - Sau thực cấu hình thành cơng, người quản trị cần khởi động lại hệ thống sau cập nhật thiết bị sử dụng, tốt PFSenseMan tích hợp sâu với PFSense để trở thành hệ thống hoàn chỉnh Điều giúp việc sử dụng hệ thống để cấu hình trở nên suốt đơn giản Ngồi giúp hỗ trợ thực cấu hình hệ thống online mà không cần phải khởi động lại hệ thống 87 Khi truyền gói tin, cần phải áp dụng chế mã hóa chứng thực để bảo mật Hiện nay, có nhiều giải pháp để thực việc này, chế mã hóa IPSec hoạt động giao thức TCP/IP tỏ hiệu tiết kiệm chi phí q trình triển khai Trong thời gian tới ngồi việc bảo mật thơng tin điện thoại di động công nghệ IPSec VPN tường lửa PFSense mở rộng tìm hiểu cơng nghệ khác OpenVPN, L2TP Trong tương lai chúng tơi hồn thiện mã nguồn mở hệ thống tường lửa PFSense, hệ điều hành FreeBSD để từ xây dựng module trực tiếp hệ thống tường lửa PFSense nhằm loại bỏ hạn chế nêu Đồng thời mở rộng chức dịch vụ khác tường lửa PFSense 88 TÀI LIỆU THAM KHẢO [1] Chirag Sheth, Rajesh Thakker (2011), “Performance Evaluation and Comparative Analysis of Network Firewalls” [2] Christopher M Buechler, Jim Pingle (2009), “The Definitive Guide to the PFSense Open Source Firewall and Router Distribution” [3] Jim Geier (2008), “Implementing 802.1X Security Solutions for Wired and Wireless Networks”, Wiley Publising [4] Matt Williamson (2011), “PFSense Cookbook” [5] Ralph Droms, Ted Lemon (2002), “The DHCP Handbook” [6] R Droms, W Arbaugh (2001), “Authentication for DHCP Messages” [7] Sergey Poznyakoff (2003), “Gnu Radius Reference Manual” [8] FreeBSD Handbook, “The FreeBSD Documentation Project”, 1995-2016, https://www.freebsd.org/doc/handbook/ 89 PHỤ LỤC Phụ lục 1: Biểu đồ Use Case Quản lý DHCP Mã Use Case Tên Use Case Mô tả Tác nhân Điều kiện trước Điều kiện sau Dòng kiện UC_use_case_them_moi_nguoi_dung Thêm người dùng Cho phép người quản trị thêm nhóm người dùng cách Import danh sách thơng tin nhóm người dùng từ File Excel khai báo trước theo định dạng mẫu Người quản trị Người quản trị phải giao diện PFSenseMan hiển thị danh sách người dùng VLAN có trước Hiển thị thơng tin danh sách người sử dụng vừa tạo Người dùng thực thao tác sau: Bước 1: Nhân viên thiết kế chọn chức cấu hình DHCP Bước 2: Chọn chức thêm danh sách tự động Bước 3: Chọn đường dẫn đến tệp lưu trữ danh sách người sử dụng (định dạng xls) Bước 4: Chọn chức xem tệp tin để phát lỗi trùng lặp IP, MAC, lỗi cấu trúc IP, MAC Bước 5: Chọn chức chấp nhận để ghi thông tin danh sách người sử dụng vào hệ thống PFSenseMan 90 Bước 6: Hệ thống tiến hành lưu liệu vào sở liệu XML thông báo, hiển thị kết hình Dịng Hệ thống thơng báo sai định dạng File XLS bắt buộc chọn kiện thay lại 91 Phụ lục 2: Biểu đồ Use Case Quản lý Aliases 92 Phụ lục 3: Biểu đồ thêm nhóm NSD vào Quản lý DHCP 93 Phụ lục 4: Biểu đồ thêm nhóm NSD vào Quản lý Aliases ... GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC VINH NGUYỄN HỒNG CHÂU NÂNG CAO HIỆU QUẢ TRONG QUẢN LÝ TRUY CẬP MẠNG VÀ SỬ DỤNG HỆ THỐNG FIREWALL PFSENSE VỚI TẬP NGƯỜI DÙNG ĐỘNG Chuyên ngành: Công nghệ thơng... quản lý truy cập mạng 16 1.3 Các thành phần việc quản lý truy cập mạng 19 1.4 Các mơ hình quản lý truy cập mạng 21 1.4.1 Mơ hình quản lý truy cập phân tán 21 1.4.2 Mô hình quản. .. thống mạng có số lượng người sử dụng lớn thay đổi thường xuyên Vì chọn nội dung: ? ?Nâng cao hiệu quản lý truy cập mạng sử dụng hệ thống Firewall PFSense với tập người dùng động? ?? làm vấn đề nghiên