2.4Các hạn chế của PFSense
2.4.1Các hạn chế chung của PFSense
Lỗi do xung đột pakages
Trong quá trình nghiên cứu, do cơ chế cho phép cài thêm các ứng dụng đóng gói chạy trên nền hệ điều hành FreeBSD nên đôi lúc gây ra lỗi hệ thống do xung đột dẫn tới firewall không thể hoạt động ổn định. Mặt khác PFSense và FreeBSD là những hệ thống mã nguồn mở do đó việc phát triển các gói ứng dụng tích hợp không đƣợc kiểm duyệt và test kỹ càng nhƣ các sản phẩm thƣơng mại khác.
Hạn chế về cấu hình mặc định
Cấu hình thông thƣờng của hệ thống khi mới cài đặt chỉ đáp ứng cho mô hình mạng hoạt động cho khoảng 500 ngƣời dùng. Trong trƣờng hợp ứng dụng đƣợc triển khai với số lƣợng ngƣời dùng lớn hơn buộc phải can thiệp vào file cấu hình nhằm thay đổi các tham số sử dụng tài nguyên của hệ thống để đáp ứng
xuất phát từ kinh nghiệm thực tế mà không có những chỉ dẫn cụ thể trong tài liệu do PFSense phát hành.
Thiếu tính ổn định của tính năng sao lƣu dự phòng
Với hệ thống đã nâng cấp hoặc cài đặt thêm gói việc backup và restore toàn bộ cấu hình sang một hệ thống mới đòi hỏi nhiều thời gian hơn và hoạt động cũng không thực sự ổn định so với việc sự mới và backup restore trên cùng một hệ thống, phiên bản.
Do là phần mềm mã nguồn mở đƣợc công đồng phát triển nên các lỗi hệ thống xuất hiện thƣờng mất nhiều thời gian để giải quyết do tùy thuộc vào hoạt động phi lợi nhuận của cộng đồng. (Có thể khắc phục bằng cách mua gói hỗ trợ trả phí theo năm để khắc phục vấn đề này).
Không tƣơng thích với các phần cứng mới
Không tƣơng thích với các thiết bị phần cứng mới do phải chờ PFSense đƣợc cộng đồng xây dựng lại trên phiên bản FreeBSD mới hơn.
2.4.2 Hạn chế về dịch vụ DHCP
Khi PFSense đƣợc sử dụng để quản trị một hệ thống mạng phức tạp (số
ngƣời dùng lớn và động; mạng cần chia tách thành nhiều vùng, vân vân) thì
PFSense bộc lộ các nhƣợc điểm sau:
Hạn chế khi số lƣợng ngƣời dùng lớn
Nếu số lƣợng ngƣời dùng là rất lớn (>(trên 500) và ngƣời dùng của mạng thay đổi thƣờng xuyên, Ssử dụng tính năng cấu hình DHCP của PFSense để quản lý cấp phát địa chỉ IP tốn chi phí rất cao vì PFSense chỉ cung cấp cách thức cấu hình đơn lẻ cho từng trƣờng hợp.
Ví dụ: Ở Học viên CSND, một kỳ có khoảng 1000 học viên nhập học và khoảng 1000 học viên ra trƣờng, để thay đổi cấu hình mạng cho các học viên sử dụng tốn khoảng (4 ngƣời) * (4 tuần).
Hạn chế khi nhu cầu truy cập hệ thống mạng phức tạp.
Nếu Khi ngƣời dùng có nhu cầu sử dụng mạng tại nhiều vị trí ở khoảng
cách xa nhau, hệ thống mạng phải đƣợc phân tách thành nhiều VLAN độc lập theo khoảng cách địa lý. Để cấu hình cho yêu cầu nhƣ vậy, Số số lần thay đổi địa chỉ bằng thực hiện cấu hình cho ngƣời dùng sẽ là số lƣợng tƣơng ứng với các
VLAN mà mà ngƣời dùng đó muốn truy cập. Điều này dẫn đến tổng số lƣợng
các thao tác cấu hình của toàn bộ tập ngƣời dùng sẽ là : (số VLAN) x * (số
ngƣời sử dụng).
Ví dụ: Ở Học viên CSND, do tính đặc thù của môi trƣờng học tập rèn luyện nên Học viện học tập và sinh hoạt tập trung tại trƣờng, do vậy nhu cầu truy cập mạng của 1 học viên trung bình khoảng 3 vị trí (KTX, Giảng đƣờng, Thƣ viện).
Khó quy hoạch địa chỉ cho tập ngƣời dùng động.
Khi hệ thống mạng đòi hỏi xây dựng các luật truy xuất tài nguyên cho từng nhóm đối tƣợng khác nhau trong một hệ thống mạng hỗn hợp ngƣời sử dụng, Khó khăn trong việc quy hoạch phân bổ địa chỉ IP trở nên phức tạp và
khó khăn. xuất phát từ những lý do sau:
Do việc xây dựng các luật truy xuất dựa vào cách tổ chức các địa chỉ IP thành từng nhóm khác nhau. Cho nên khi thay đổi cấu hình một cách đơn lẻ và thƣờng xuyên với số lƣợng lớn là rất dễ mắc sai sót, nhầm lẫn.
Xung đột xảy ra khi 2 quản trị viên cùng cập nhật.
Các địa chỉ IP rất dễ bị trùng lặp khiến những ngƣời dùng bị trùng IP không thể dùng mạng đồng thời.
Kết luận chƣơng 2
Nội dung chƣơng này tập chung giới thiệu về hệ thống tích hợp mã nguồn mở PFSense và các dịch vụ của nó. Thông qua nội dung này chúng tôi muốn nhấn mạnh tính ƣu việt của hệ thống PFSense trong việc quản lý ngƣời dùng đối với một hệ thống mạng lớn, nhiều ngƣời sử dụng, sử dụng nhiều dịch vụ khác nhau nhƣ xác thực, truy cập từ xa, quản lý băng thông, định tuyến, vân vân và đòi hỏi tính bảo mật cao.
Cũng trong nội dung chƣơng này chúng tôi đƣa ra các đánh giá về ƣu, nhƣợc điểm của dịch vụ DHCP trong PFSense, là dịch vụ phổ biến và rất quan trọng trong bất kỳ một hệ thống mạng nào dựa trên tính năng MAC filter của nó. Việc cải tiến dịch vụ DHCP trong PFSense thông qua công cụ PFSenseMan nhằm đáp ứng tốt hơn về mặt thời gian, tổ chức, công sức của ngƣời quản trị là mục tiêu của luận văn này. Nội dung chƣơng 3 tập chung vào
Formatted: Indent: First line: 0.39", No bullets or numbering
CHƢƠNG 3 ĐỀ XUẤT VÀ THỰC HIỆN
Các kết quả nghiên cứu, so sánh ở Chƣơng 1 và Chƣơng 2 đã cho thấy PFSense là một hệ thống tích hợp mạnh mẽ, miễn phí, hỗ trợ nhiều tính năng quản lý truy cập trong đó tính năng quản lý cấp phát địa chỉ động DHCP có nhiều ƣu điểm hơn so với những giải pháp sử dụng các sản phẩm thƣơng mại, mã nguồn mở khác. Tuy vậy nó cũng tồn tại những nhƣợc điểm khiến cho việc quản lý cấp phát địa chỉ tốn nhiều thời gian công sức của ngƣời quản trị do vậy nội dung chƣơng này đề xuất phƣơng án triển khai hệ thống tƣờng lửa trên nền tảng của PFSense và xây dựng công cụ PFSenseMan bổ trợ cho tính năng DHCP của PFSense nhằm tối ƣu hóa công tác quản lý truy cập.
3.1Bài toán quản lý ngƣời dùng thông qua cấp phát địa chỉ IP
Kiểm soát cấp phát địa chỉ IP động cho ngƣời sử dụng đầu cuối là một use case phổ biến trong các hệ thống mạng. Ngày nay tính năng DHCP càng ngày càng hữu dụng và đƣợc tích hợp trong rất nhiều các thiết bị, hệ thống khác nhau nhƣ trên các access point, switch layer 3, các hệ điều hành server... Việc cấp phát địa chỉ động ngoài ý nghĩa là tạo ra sự tiện dụng, tính trong suốt, nhất quán đối với ngƣời sử dụng PFSense còn tích hợp vào đó tính năng MAC filter và các VLAN ID nhằm nâng cao hiệu quả bảo mật, tạo ra một hệ thống quản lý đồng nhất trong mối tƣơng quan với các chức năng khác của tƣờng lửa.
Bài toán quản lý ngƣời sử dụng đƣợc đặt ra nhƣ sau:
Quản lý và cấp phép cho nhân viên của tổ chức A quyền truy cập đến
hệ thống mạng của tổ chức A.
Nhân viên của đơn vị X trong tổ chức A phải tuân thủ thiết lập các
chính sách truy cập tài nguyên của đơn vị X.
Để đáp ứng yêu cầu quản lý trên, PFSense cung cấp tính năng quản lý MAC Address của DHCP. Cụ thể là, muốn X đƣợc sử dụng mạng, ngƣời quản trị thêm MAC address của X vào cấu hình PFSense với một địa chỉ IP tƣơng ứng và thiết lập các luật truy cập theo nhóm các địa chỉ IP.
3.2Tổng quan về công cụ PFSenseMan
Để tăng hiệu quả của việc thiết lập cấu hình khi lƣợng thông tin ngƣời dùng quản lý và quy hoạch là lớn, PFSenseMan không thực hiện thay đổi cầu hình cho từng các hạng mục thông tin mà thực hiện thay đổi cấu hình theo “mớ”
(batch). Về mặt kỹ thuật, có thể xem PFSenseMan là một công cụ phần mềm xử lý dữ liệu XML với các tính năng:
Chuyển đổi định dạng qua lại giữa XML và XLS (định dạng của Microsoft Excel)
Trích lọc dữ liệu XML: PFSenseMan xử lý và trích lọc các dữ liệu liên quan đến cấu hình DHCP và MAC Filter từ hệ thống các file cấu hình nguồn của PFSense.
Bộ kiểm tra (validator) cấu hình PFSense: Có khả năng kiểm tra và tự động loại bỏ các thông tin lỗi dữ liệu hoặc trùng lặp. Cụ thể các khả năng kiểm tra lỗi của PFSenseMan đƣợc tóm tắt trong bảng 3.1
STT Tính năng Mô tả
1 Kiểm tra tính hợp lệ của địa chỉ MAC
Điều kiện thỏa mãn là: Cấu trúc: xx:yy:zz:kk:mm:nn (x,y,z,k,m,n) {0..9, a..f} 2 Kiểm tra tính hợp lệ của địa chỉ IP
Điều kiện thỏa mãn là: Cấu trúc: x.y.z.k (x,y,z,k) { 0..254}
3 Kiểm tra tính hợp lệ của địa chỉ IP khi đƣa vào từng VLAN
Điều kiện thỏa mãn là:
Ví dụ: VLAN 192.171.x.y với subnet 19 thì khi thêm địa chỉ IP có cấu trúc z.k.m.n thì z=192, k=171 còn m { 0..64}, n { 0..254}
4 Kiểm tra, tự động loại bỏ địa chỉ MAC trùng lặp khi thêm mới một batch
Khi thêm vào một batch nếu phát hiện có địa chỉ MAC đã có trong ds tự động loại bỏ việc thêm vào và có cảnh báo. 5 Kiểm tra, tự động loại bỏ địa chỉ IP
trùng lặp khi thêm mới một batch
Khi thêm vào một batch nếu phát hiện có địa chỉ IP đã có trong ds tự động loại bỏ việc thêm vào và có cảnh báo.