1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐINH HỒNG NGỌC NÂNG CAO HIỆU QUẢ QUẢN LÝ TRUY CẬP MẠNG CHO HỆ THỐNG FIREWALL PFSENSE VỚI TẬP NGƢỜI DÙNG ĐỘNG IMPROVING MANAGEABILITY OF NETWORK ACCESS CONTROL FOR PFSENSE FIREWALL WITH A LARGE AND DYNAMIC SET OF USERS Ngành : Công nghệ thông tin Chuyên ngành : Truyền dữ liệu và mạng máy tính Mã số : LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. HOÀNG XUÂN TÙNG Hà Nội - năm 2014 2 LỜI CAM ĐOAN Tôi xin cam đoan kết quả đạt đƣợc trong luận văn là sản phẩm của riêng cá nhân tôi, không sao chép lại của ngƣời khác. Trong toàn bộ nội dung của luận văn những điều đƣợc trình bày hoặc là của cá nhân hoặc là đƣợc tổng hợp từ nhiều nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và đƣợc trích dẫn hợp pháp. Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình. Hà Nội, tháng 11 năm 2014 Đinh Hồng Ngọc 3 MỤC LỤC MỞ ĐẦU 8 CHƢƠNG 1: TỔNG QUAN VỀ QUẢN LÝ TRUY CẬP MẠNG 11 1.1 Các thành phần cơ bản của bài toán Quản lý truy cập mạng 11 1.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng 13 1.3 Vấn đề xác thực khi triển khai Quản lý truy cập 16 1.3.1 Xác thực với 802.1x 16 1.3.2 Xác thực với MAC filter 17 1.3.3 Xác thực với Captive Portal 17 1.4 Một số mô hình quản lý truy cập 18 1.4.1 Mô hình quản lý truy cập phân tán 18 1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal 18 1.4.3 Mô hình quản lý truy cập NAC của Cisco 19 1.4.4 Mô hình quản lý truy cập với PFSense 21 Kết luận chƣơng 1 22 CHƢƠNG 2 QUẢN LÝ TRUY CẬP TRONG PFSENSE 23 2.1 Giới thiệu PFSense 23 2.2 Quản lý truy cập trong firewall PFSense 23 2.2.1 Chức năng firewall trong PFSense 23 2.2.2 Dịch vụ DHCP Server 26 2.2.3 Dịch vụ cân bằng tải (Load balancing) 28 2.2.4 Ứng dụng định tuyến trong PFSense 28 2.2.5 Dịch vụ Captive Portal 29 2.2.6 Chức năng VPN trong PFSense 29 2.3 XML trong quản lý cấu hình của PFSense 30 2.4 Các hạn chế của PFSense 32 2.4.1 Các hạn chế chung của PFSense 32 2.4.2 Hạn chế về dịch vụ DHCP 33 Kết luận chƣơng 2 34 CHƢƠNG 3 ĐỀ XUẤT VÀ THỰC HIỆN 35 4 3.1 Bài toán quản lý ngƣời dùng thông qua cấp phát địa chỉ IP 35 3.2 Tổng quan về công cụ PFSenseMan 35 3.3 Phân tích tệp cấu hình của hệ thống firewall PFSense 37 3.4 Thiết kế kiến trúc công cụ PFSenseMan 38 3.4.1 Kiến trúc tổng thể của công cụ PFSenseMan 39 3.4.2 Biểu đồ use case tổng quát 40 3.4.3 Biểu đồ tuần tự 41 3.4.4 Biểu đồ lớp 41 3.5 Xây dựng các bản mẫu (Templates) chung 43 3.6 Phiên làm việc của PFSenseMan 47 CHƢƠNG 4 CÁC KẾT QUẢ ĐẠT ĐƢỢC 49 4.1 Hiệu quả về mặt thời gian 49 4.2 Hiệu quả về mặt tổ chức quản lý 50 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 52 TÀI LIỆU THAM KHẢO 54 PHỤ LỤC 55 Phụ lục 1: Biểu đồ use case quản lý DHCP 55 Phụ lục 2: Biểu đồ use case quản lý Aliases 57 Phụ lục 3: Biểu đồ tuần tự thêm mới nhóm NSD vào quản lý DHCP 58 Phụ lục 4: Biểu đồ tuần tự thêm mới nhóm NSD vào quản lý aliases 59 5 DANH MỤC CÁC CHỮ VIẾT TẮT NAC Network Access Control NAP Network Access Protection TNC Trusted Network Connect AP Access Point VPN Virtual Network Private RADIUS Remote Authentication Dial In User Service DMZ Demilitarized Zone DHCP Dynamic Host Configuration Protocol OTP Interface DNS Domain Name Services ISP Internet Service Provider ARP Address Resolution Protocol CARP Common Address Redundancy Protocol PF Packages Filter PVS Posture Validation Server RIP Routing Information Protocol BGP Border Gateway Protocol OSPF Open Shortest Path First MD5 Message-Digest algorithm 5 SHA Secure Hash Algorithm XML Extensible Markup Language API Application Programming Interfaces XPath XML Path Language XSL Style-sheet Language 6 DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU VÀ ĐỒ THỊ Hình 1.1: Mô hình NAC thực hiện với chế độ in-line 14 Hình 1.2: Mô hình NAC thực hiện với chế độ out-of-band 15 Hình 1.3: Mô hình xác thực thực hiện với 802.1x (nguồn: [12]) 16 Hình 1.4: Mô hình xác thực dựa trên MAC filter trong PFSense 17 Hình 1.5: Mô hình xác thực sử dụng Captive Portal 19 Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [13]) 20 Hình 2.1: Hoạt động của tƣờng lửa và dòng dữ liệu (nguồn [5]) 24 Hình 2.2: Ví dụ về cấu hình các luật đƣợc áp dụng 25 Hình 2.3: WebGUI cấu hình DHCP Server trong PFSense 26 Hình 2.4: Tùy chọn tính năng MAC filter trong DHCP Server 27 Hình 2.5: Mô hình kết nối và trao đổi với DHCP server 31 Hình 2.6: Mô hình truy xuất dữ liệu thông qua cấu trúc tệp tin xml 32 Bảng 3.1: Bảng các tính năng trong bộ kiểm tra của PFSenseMan 36 Hình 3.1: Biểu đồ kiến trúc tổng thể công cụ PFSenseMan 39 Hình 3.2: Biểu đồ use case tổng quát của công cụ PFSenseMan 40 Hình 3.3: Biểu đồ lớp tổng quát của công cụ PFSenseMan 41 Hình 3.4: Cấu trúc thẻ <LAN> trong PFSense version 2.1 43 Hình 3.5: Cấu trúc <LAN> template 44 Hình 3.6: Cấu trúc <OTP> template 45 Hình 3.6: Cấu trúc <OTP> template 45 Hình 3.8: Cấu trúc <STATICMAP> template 46 Hình 3.9: Cấu trúc template thông tin ngƣời sử dụng 46 Bảng 4.1: So sánh hiệu quả về thời gian 50 Bảng 4.2: So sánh hiệu quả về tổ chức quản lý 51 7 LỜI CẢM ƠN Để hoàn thành nội dung luận văn này tác giả đã nhận đƣợc rất nhiều sự giúp đỡ từ cơ quan, đoàn thể và cá nhân. Trƣớc hết tôi xin chân thành cảm ơn các thầy giáo, cô giáo trong Khoa Công nghệ thông tin, trƣờng Đại học Công nghệ, Đại học Quốc gia Hà Nội đã tận tình giảng dạy, trang bị cho tôi những kiến thức quý báu trong suốt quá trình học tập tại trƣờng. Tôi xin bày tỏ lòng biết ơn sâu sắc đến Tiến sĩ Hoàng Xuân Tùng – Ngƣời thầy đã trực tiếp hƣớng dẫn tôi trong quá trình xây dựng và hoàn thành luận văn này. Cuối cùng tôi xin bày tỏ lòng biết ơn chân thành đến gia đình, bạn bè những ngƣời luôn động viên, giúp đỡ tôi rất nhiệt tình để hoàn thành luận văn. Hà nội, tháng 11 năm 2014 Học viên Đinh Hồng Ngọc 8 MỞ ĐẦU Quản lý ngƣời sử dụng truy cập mạng là một bài toán phổ biến hiện nay, mỗi tổ chức, doanh nghiệp có những nhu cầu quản lý với những đặc thù riêng. Trong đó bài toán cấp phát địa chỉ IP động là một bài toán cốt lõi trong thực tiễn triển khai các mô hình mạng, nhằm mục đích tự động hóa và đảm bảo tính trong suốt đối với ngƣời sử dụng, và nhất quán đối với ngƣời quản trị. Nó có thể là một bài toán độc lập với các mô hình mạng đơn giản, ít ngƣời sử dụng, cũng có thể là một bài toán con trong bài toán quản lý truy cập đối với các mô hình mạng lớn hơn có sử dụng các hệ thống tƣờng lửa nhằm kiểm soát truy cập. Thực tiễn triển khai cho thấy việc tổ chức cấp phát địa chỉ IP hợp lý sẽ là tiền đề trong việc đơn giản hóa các luật trong bài toán quản lý truy cập trên một hệ thống mạng lớn có nhiều vùng khác nhau nhƣ vùng Database, vùng Aplication, vùng DMZ, vùng WAN và các mạng con trong hệ thống mạng có sử dụng tƣờng lửa. Trong quá trình công tác chúng tôi đã ứng dụng triển khai hệ thống tƣờng lửa mã nguồn mở PFSense nhằm quản lý và kiểm soát truy cập mạng đối với ngƣời sử dụng đầu cuối tại Học viện Cảnh sát nhân dân. Sử dụng PFSense trong triển khai thực tế cho thấy tính năng DHCP trong PFSense là một công cụ hiệu quả với nhiều tính năng nhƣ:  Cho phép quản lý cấp phát địa chỉ IP tập trung  Tính năng DHCP của PFSense đƣợc tích hợp các VLAN ID nên có thể áp dụng triển khai trên từng VLAN độc lập trong cùng một hệ thống duy nhất.  Tích hợp tính năng MAC filter vào trong DHCP  Dễ dàng sử dụng, trực quan do sử dụng giao diện WebGUI Tuy vậy việc quản trị khả năng lọc địa chỉ MAC (MAC Filter) của dịch vụ DHCP trong PFSense mới chỉ tập trung vào các vấn đề cơ bản và còn nhiều bất tiện khi hệ thống có những đặc thù quản trị riêng nhƣ: (a) số lƣợng địa chỉ cần quản trị (tức số ngƣời dùng) lớn, và (b) tập các địa chỉ cần quản trị là động. Điều này khiến cho việc sử dụng PFSense trong quản trị truy cập mạng tốn nhiều chi phí về thời gian và nhân lực mặc dù năng lực hoạt động cũng nhƣ tính năng của 9 PFSense là hoàn toàn đáp ứng việc phục vụ hầu hết mọi tập ngƣời dùng khi đã có cấu hình đúng. Do đó trong luận văn này chúng tôi đề xuất phƣơng án mở rộng khả năng quản lý cho tính năng DHCP của PFSense với các công cụ tự xây dựng gọi là PFSenseMan nhằm nâng cao hiệu quả về mặt thời gian, tổ chức, nhân lực trong việc quản lý truy cập mạng đối với ngƣời sử dụng đầu cuối trong một hệ thống mạng có số lƣợng ngƣời sử dụng lớn và thay đổi thƣờng xuyên. Để chứng minh tính khả thi cũng nhƣ tính hiệu của của PFSenseMan, chúng tôi đã ứng dụng công cụ này vào môi trƣờng của Học viện Cảnh sát nhân dân Cảnh sát nhân dân với số lƣợng ngƣời dùng là trên 4000 ngƣời, và số lƣợng ngƣời sử dụng là thƣờng xuyên thay đổi theo thời gian. Thực tế triển khai PFSenseMan cho thấy PFSenseMan kết hợp với PFSense hoàn toàn đáp ứng các và đòi hỏi các yêu cầu về bảo mật, quản lý truy cập tài nguyên trên mạng ví dụ nhƣ môi trƣờngcủa Học viện Cảnh sát nhân dân Cảnh sát nhân dân, với các thao tác nghiệp vụ quản trị đƣợc tối ƣu hóa nhằm giảm thiểu chi phí về thời gian, nhân lực cũng nhƣ giảm thiểu các lỗi cấu hình có thể xảy ra do các nhân tố chủ quan nhƣ sai sót thao tác của ngƣời quản trị. Kết quả ứng dụng cho thấy trong một môi trƣờng sử dụng nhƣ trên hiệu quả sử dụng thể hiện qua những khía cạnh sau:  Đối với ngƣời sử dụng: Đáp ứng yêu cầu kết nối nhanh.  Đối với ngƣời quản trị hệ thống: o Hiệu quả hơn hàng nghìn giờ về mặt thời gian cho việc thực hiện cấu hình với khoảng 4000 ngƣời sử dụng, tần suất thay đổi trung bình 1000 ngƣời/năm. o Khả năng kiểm soát trùng lặp địa chỉ IP (khả năng mở rộng do PFSenseMan cung cấp) o Dễ dàng tổ chức địa chỉ IP một cách hợp lý đáp ứng các yêu cầu xây dựng các luật kiểm soát truy cập tài nguyên trên hệ thống mạng. 10 o Ứng dụng khiến cho việc quản trị ngƣời sử dụng đầu cuối nhanh chóng hơn thông qua đó việc xây dựng mô hình truy cập mạng cũng đơn giản ít tốn kém về chi phí hơn. [...]... hình quản lý truy cập phân tán, Mô hình quản lý truy cập dựa trên Captive Portal, Mô hình quản lý truy cập dựa trên firewal và mô hình quản lý truy cập NAC của Cisco Nội dung chƣơng này còn giới thiệu sơ bộ về hệ thống tích hợp mã nguồn mở PFSense, một hệ thống tƣờng lửa mạnh mẽ, miễn phí tích hợp tính năng định tuyến và rất nhiều dịch vụ khác nhau PFSense thiết thực với bài toán Quản lý truy cập mạng ... trên trang web mà hệ thống chuyển hƣớng đến 1.4 Một số mô hình quản lý truy cập 1.4.1 Mô hình quản lý truy cập phân tán Mô hình quản lý cấp phát địa chỉ phân tán đƣợc ứng dụng phổ biến trong các mạng cỡ nhỏ, việc triển khai tƣơng đối dễ dàng, ít đƣợc xây dựng cho các mạng cỡ vừa và lớn, đòi hỏi chia tách thành nhiều mạng con và những yêu cầu về bảo mật, quản lý băng thông, quản lý truy cập tài nguyên,... về chính sách và điều khiển truy cập đều đƣợc thể hiện qua giao diện trực quan, giúp ngƣời quản trị dễ dàng cấu hình hệ thống cũng nhƣ các hoạt động giám sát một cách hiệu quả 1.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng Tùy theo yêu cầu triển khai, hạ tầng hệ thống mạng và các yêu cầu quản lý mà ngƣời xây dựng hệ thống có thể tiếp cận theo một trong các triết lý sau: Agent-less hay Agent-based... cập mạng vì nó cung cấp các dịch vụ độc lập, phong phú cho phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập ngƣời dùng đa dạng, tập chung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với ngƣời sử dụng đầu cuối Nội dung chƣơng 2 sẽ giới thiệu kỹ hơn về hệ thống tích hợp PFSense và những ứng dụng bài toán Quản lý truy cập mạng thực tế đã đƣợc triển khai Đồng thời cũng nêu bật... hình mạng đòi hỏi các yêu cầu quản lý phức tạp Kết luận chƣơng 1 Nội dung chƣơng này làm rõ nội hàm và một số khái niệm của bài toán Quản lý truy cập mạng tổng quát Bài toán Quản lý truy cập mạng hiện nay đóng một vai trò hết sức quan trọng, thiết thực trong việc xây dựng các mô hình mạng hƣớng ngƣời sử dụng Cũng trong chƣơng này chúng tôi cũng giới thiệu một số kiến trúc mô hình Quản lý truy cập. .. 2 QUẢN LÝ TRUY CẬP TRONG PFSENSE 2.1 Giới thiệu PFSense PFSense [6][7] là đƣợc giới thiệu với cộng đồng công nghệ nhƣ một hệ thống tƣờng lửa mã nguồn mở, có tích hợp nhiều tính năng khác nhƣ chức năng định tuyến, phân tải, quản lý địa chỉ, vân vân đƣợc viết bằng ngôn ngữ PHP PFSense đƣợc phát triển và triển khai trên nền hệ điều hành FreeBSD Hỗ tr PFSense cung cấp giao diện Web dễ dàng cho việc quản. .. dàng truy cập và quản lý đa dạng dữ liệu từ các ứng dụng  Biểu thức Xpath đƣợc sử dụng để truy cập các đối tƣợng địa chỉ hiệu quả mà không cần quản lý dữ liệu  XSLT đƣợc sử dụng để xử lý dữ liệu quản trị một cách dễ dàng và tạo ra các tài liệu HTML với đa dạng các giao diện ngƣời dùng  WSDL và SOAP đƣợc sử dụng để định nghĩa dịch vụ Web với các thao tác quản trị ở bậc cao PFSense tích hợp công nghệ... luật truy xuất tài nguyên Hầu nhƣ cách tiếp cận này đƣợc triển khai trong môi trƣờng mạng công cộng truy cập Internet chứ không đƣợc triển khai đối với hệ thống mạng đòi hỏi các yêu cầu về luật truy xuất tài nguyên phức tạp 16 1.3 Vấn đề xác thực khi triển khai Quản lý truy cập Trong bất kỳ bài toán quản lý truy cập mạng nào vấn đề xác thực luôn là yếu tố đầu tiên cần quan tâm, chính sách truy cập. .. chỉ động ngoài ý nghĩa là tạo ra sự tiện dụng, tính trong suốt, nhất quán đối với ngƣời sử dụng PFSense còn tích hợp vào đó tính năng MAC filter và các VLAN ID nhằm nâng cao hiệu quả bảo mật, tạo ra một hệ thống quản lý đồng nhất trong mối tƣơng quan với các chức năng khác của tƣờng lửa Bài toán quản lý ngƣời sử dụng đƣợc đặt ra nhƣ sau:  Quản lý và cấp phép cho nhân viên của tổ chức A quyền truy cập. .. năng quản lý truy cập thiếu tính nhất quán do việc kiểm soát truy cập độc lập trên các thiết bị khác nhau  Cấu hình trên các thiết bị phần cứng hạn chế dẫn đến việc hệ thống mạng trở nên phức tạp, khó kiểm soát nếu số lƣợng ngƣời sử dụng đầu cuối lớn 1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal Mô hình quản lý truy cập dựa trên kỹ thuật Captive Portal thƣờng đƣợc triển khai trong các mạng . NGHỆ ĐINH HỒNG NGỌC NÂNG CAO HIỆU QUẢ QUẢN LÝ TRUY CẬP MẠNG CHO HỆ THỐNG FIREWALL PFSENSE VỚI TẬP NGƢỜI DÙNG ĐỘNG IMPROVING MANAGEABILITY OF NETWORK ACCESS CONTROL FOR PFSENSE FIREWALL. truy cập NAC của Cisco 19 1.4.4 Mô hình quản lý truy cập với PFSense 21 Kết luận chƣơng 1 22 CHƢƠNG 2 QUẢN LÝ TRUY CẬP TRONG PFSENSE 23 2.1 Giới thiệu PFSense 23 2.2 Quản lý truy cập trong firewall. thực với Captive Portal 17 1.4 Một số mô hình quản lý truy cập 18 1.4.1 Mô hình quản lý truy cập phân tán 18 1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal 18 1.4.3 Mô hình quản lý truy