1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ



ĐINH HỒNG NGỌC

NÂNG CAO HIỆU QUẢ QUẢN LÝ
TRUY CẬP MẠNG CHO HỆ THỐNG FIREWALL
PFSENSE VỚI TẬP NGƢỜI DÙNG ĐỘNG

IMPROVING MANAGEABILITY OF NETWORK ACCESS
CONTROL FOR PFSENSE FIREWALL WITH A LARGE AND
DYNAMIC SET OF USERS

Ngành : Công nghệ thông tin
Chuyên ngành : Truyền dữ liệu và mạng máy tính
Mã số :

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN


NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. HOÀNG XUÂN TÙNG


Hà Nội - năm 2014


2
LỜI CAM ĐOAN

Tôi xin cam đoan kết quả đạt đƣợc trong luận văn là sản phẩm của riêng cá
nhân tôi, không sao chép lại của ngƣời khác. Trong toàn bộ nội dung của luận
văn những điều đƣợc trình bày hoặc là của cá nhân hoặc là đƣợc tổng hợp từ
nhiều nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và
đƣợc trích dẫn hợp pháp.
Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy
định cho lời cam đoan của mình.

Hà Nội, tháng 11 năm 2014


Đinh Hồng Ngọc

3
MỤC LỤC
MỞ ĐẦU 8
CHƢƠNG 1: TỔNG QUAN VỀ QUẢN LÝ TRUY CẬP MẠNG 11
1.1 Các thành phần cơ bản của bài toán Quản lý truy cập mạng 11
1.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng 13
1.3 Vấn đề xác thực khi triển khai Quản lý truy cập 16
1.3.1 Xác thực với 802.1x 16
1.3.2 Xác thực với MAC filter 17
1.3.3 Xác thực với Captive Portal 17
1.4 Một số mô hình quản lý truy cập 18
1.4.1 Mô hình quản lý truy cập phân tán 18
1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal 18
1.4.3 Mô hình quản lý truy cập NAC của Cisco 19
1.4.4 Mô hình quản lý truy cập với PFSense 21

Kết luận chƣơng 1 22
CHƢƠNG 2 QUẢN LÝ TRUY CẬP TRONG PFSENSE 23
2.1 Giới thiệu PFSense 23
2.2 Quản lý truy cập trong firewall PFSense 23
2.2.1 Chức năng firewall trong PFSense 23
2.2.2 Dịch vụ DHCP Server 26
2.2.3 Dịch vụ cân bằng tải (Load balancing) 28
2.2.4 Ứng dụng định tuyến trong PFSense 28
2.2.5 Dịch vụ Captive Portal 29
2.2.6 Chức năng VPN trong PFSense 29
2.3 XML trong quản lý cấu hình của PFSense 30
2.4 Các hạn chế của PFSense 32
2.4.1 Các hạn chế chung của PFSense 32
2.4.2 Hạn chế về dịch vụ DHCP 33
Kết luận chƣơng 2 34
CHƢƠNG 3 ĐỀ XUẤT VÀ THỰC HIỆN 35
4
3.1 Bài toán quản lý ngƣời dùng thông qua cấp phát địa chỉ IP 35
3.2 Tổng quan về công cụ PFSenseMan 35
3.3 Phân tích tệp cấu hình của hệ thống firewall PFSense 37
3.4 Thiết kế kiến trúc công cụ PFSenseMan 38
3.4.1 Kiến trúc tổng thể của công cụ PFSenseMan 39
3.4.2 Biểu đồ use case tổng quát 40
3.4.3 Biểu đồ tuần tự 41
3.4.4 Biểu đồ lớp 41
3.5 Xây dựng các bản mẫu (Templates) chung 43
3.6 Phiên làm việc của PFSenseMan 47
CHƢƠNG 4 CÁC KẾT QUẢ ĐẠT ĐƢỢC 49
4.1 Hiệu quả về mặt thời gian 49
4.2 Hiệu quả về mặt tổ chức quản lý 50

KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 52
TÀI LIỆU THAM KHẢO 54
PHỤ LỤC 55
Phụ lục 1: Biểu đồ use case quản lý DHCP 55
Phụ lục 2: Biểu đồ use case quản lý Aliases 57
Phụ lục 3: Biểu đồ tuần tự thêm mới nhóm NSD vào quản lý DHCP 58
Phụ lục 4: Biểu đồ tuần tự thêm mới nhóm NSD vào quản lý aliases 59






5
DANH MỤC CÁC CHỮ VIẾT TẮT

NAC
Network Access Control
NAP
Network Access Protection
TNC
Trusted Network Connect
AP
Access Point
VPN
Virtual Network Private
RADIUS
Remote Authentication Dial In User Service
DMZ
Demilitarized Zone

DHCP
Dynamic Host Configuration Protocol
OTP
Interface
DNS
Domain Name Services
ISP
Internet Service Provider
ARP
Address Resolution Protocol
CARP
Common Address Redundancy Protocol
PF
Packages Filter
PVS
Posture Validation Server
RIP
Routing Information Protocol
BGP
Border Gateway Protocol
OSPF
Open Shortest Path First
MD5
Message-Digest algorithm 5
SHA
Secure Hash Algorithm
XML
Extensible Markup Language
API
Application Programming Interfaces

XPath
XML Path Language
XSL
Style-sheet Language

6
DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU VÀ ĐỒ THỊ
Hình 1.1: Mô hình NAC thực hiện với chế độ in-line 14
Hình 1.2: Mô hình NAC thực hiện với chế độ out-of-band 15
Hình 1.3: Mô hình xác thực thực hiện với 802.1x (nguồn: [12]) 16
Hình 1.4: Mô hình xác thực dựa trên MAC filter trong PFSense 17
Hình 1.5: Mô hình xác thực sử dụng Captive Portal 19
Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [13]) 20
Hình 2.1: Hoạt động của tƣờng lửa và dòng dữ liệu (nguồn [5]) 24
Hình 2.2: Ví dụ về cấu hình các luật đƣợc áp dụng 25
Hình 2.3: WebGUI cấu hình DHCP Server trong PFSense 26
Hình 2.4: Tùy chọn tính năng MAC filter trong DHCP Server 27
Hình 2.5: Mô hình kết nối và trao đổi với DHCP server 31
Hình 2.6: Mô hình truy xuất dữ liệu thông qua cấu trúc tệp tin xml 32
Bảng 3.1: Bảng các tính năng trong bộ kiểm tra của PFSenseMan 36
Hình 3.1: Biểu đồ kiến trúc tổng thể công cụ PFSenseMan 39
Hình 3.2: Biểu đồ use case tổng quát của công cụ PFSenseMan 40
Hình 3.3: Biểu đồ lớp tổng quát của công cụ PFSenseMan 41
Hình 3.4: Cấu trúc thẻ <LAN> trong PFSense version 2.1 43
Hình 3.5: Cấu trúc <LAN> template 44
Hình 3.6: Cấu trúc <OTP> template 45
Hình 3.6: Cấu trúc <OTP> template 45
Hình 3.8: Cấu trúc <STATICMAP> template 46
Hình 3.9: Cấu trúc template thông tin ngƣời sử dụng 46
Bảng 4.1: So sánh hiệu quả về thời gian 50

Bảng 4.2: So sánh hiệu quả về tổ chức quản lý 51
7
LỜI CẢM ƠN

Để hoàn thành nội dung luận văn này tác giả đã nhận đƣợc rất nhiều sự
giúp đỡ từ cơ quan, đoàn thể và cá nhân.
Trƣớc hết tôi xin chân thành cảm ơn các thầy giáo, cô giáo trong Khoa
Công nghệ thông tin, trƣờng Đại học Công nghệ, Đại học Quốc gia Hà Nội đã
tận tình giảng dạy, trang bị cho tôi những kiến thức quý báu trong suốt quá trình
học tập tại trƣờng.
Tôi xin bày tỏ lòng biết ơn sâu sắc đến Tiến sĩ Hoàng Xuân Tùng – Ngƣời
thầy đã trực tiếp hƣớng dẫn tôi trong quá trình xây dựng và hoàn thành luận văn
này.
Cuối cùng tôi xin bày tỏ lòng biết ơn chân thành đến gia đình, bạn bè
những ngƣời luôn động viên, giúp đỡ tôi rất nhiệt tình để hoàn thành luận văn.
Hà nội, tháng 11 năm 2014
Học viên

Đinh Hồng Ngọc



8
MỞ ĐẦU

Quản lý ngƣời sử dụng truy cập mạng là một bài toán phổ biến hiện nay,
mỗi tổ chức, doanh nghiệp có những nhu cầu quản lý với những đặc thù riêng.
Trong đó bài toán cấp phát địa chỉ IP động là một bài toán cốt lõi trong thực
tiễn triển khai các mô hình mạng, nhằm mục đích tự động hóa và đảm bảo tính
trong suốt đối với ngƣời sử dụng, và nhất quán đối với ngƣời quản trị. Nó có thể

là một bài toán độc lập với các mô hình mạng đơn giản, ít ngƣời sử dụng, cũng
có thể là một bài toán con trong bài toán quản lý truy cập đối với các mô hình
mạng lớn hơn có sử dụng các hệ thống tƣờng lửa nhằm kiểm soát truy cập. Thực
tiễn triển khai cho thấy việc tổ chức cấp phát địa chỉ IP hợp lý sẽ là tiền đề trong
việc đơn giản hóa các luật trong bài toán quản lý truy cập trên một hệ thống
mạng lớn có nhiều vùng khác nhau nhƣ vùng Database, vùng Aplication, vùng
DMZ, vùng WAN và các mạng con trong hệ thống mạng có sử dụng tƣờng lửa.
Trong quá trình công tác chúng tôi đã ứng dụng triển khai hệ thống tƣờng
lửa mã nguồn mở PFSense nhằm quản lý và kiểm soát truy cập mạng đối với
ngƣời sử dụng đầu cuối tại Học viện Cảnh sát nhân dân. Sử dụng PFSense trong
triển khai thực tế cho thấy tính năng DHCP trong PFSense là một công cụ hiệu
quả với nhiều tính năng nhƣ:
 Cho phép quản lý cấp phát địa chỉ IP tập trung
 Tính năng DHCP của PFSense đƣợc tích hợp các VLAN ID nên có
thể áp dụng triển khai trên từng VLAN độc lập trong cùng một hệ
thống duy nhất.
 Tích hợp tính năng MAC filter vào trong DHCP
 Dễ dàng sử dụng, trực quan do sử dụng giao diện WebGUI
Tuy vậy việc quản trị khả năng lọc địa chỉ MAC (MAC Filter) của dịch vụ
DHCP trong PFSense mới chỉ tập trung vào các vấn đề cơ bản và còn nhiều bất
tiện khi hệ thống có những đặc thù quản trị riêng nhƣ: (a) số lƣợng địa chỉ cần
quản trị (tức số ngƣời dùng) lớn, và (b) tập các địa chỉ cần quản trị là động. Điều
này khiến cho việc sử dụng PFSense trong quản trị truy cập mạng tốn nhiều chi
phí về thời gian và nhân lực mặc dù năng lực hoạt động cũng nhƣ tính năng của
9
PFSense là hoàn toàn đáp ứng việc phục vụ hầu hết mọi tập ngƣời dùng khi đã
có cấu hình đúng.
Do đó trong luận văn này chúng tôi đề xuất phƣơng án mở rộng khả năng
quản lý cho tính năng DHCP của PFSense với các công cụ tự xây dựng gọi là
PFSenseMan nhằm nâng cao hiệu quả về mặt thời gian, tổ chức, nhân lực trong

việc quản lý truy cập mạng đối với ngƣời sử dụng đầu cuối trong một hệ thống
mạng có số lƣợng ngƣời sử dụng lớn và thay đổi thƣờng xuyên. Để chứng minh
tính khả thi cũng nhƣ tính hiệu của của PFSenseMan, chúng tôi đã ứng dụng
công cụ này vào môi trƣờng của Học viện Cảnh sát nhân dân Cảnh sát nhân dân
với số lƣợng ngƣời dùng là trên 4000 ngƣời, và số lƣợng ngƣời sử dụng là
thƣờng xuyên thay đổi theo thời gian. Thực tế triển khai PFSenseMan cho thấy
PFSenseMan kết hợp với PFSense hoàn toàn đáp ứng các và đòi hỏi các yêu
cầu về bảo mật, quản lý truy cập tài nguyên trên mạng ví dụ nhƣ môi trƣờngcủa
Học viện Cảnh sát nhân dân Cảnh sát nhân dân, với các thao tác nghiệp vụ quản
trị đƣợc tối ƣu hóa nhằm giảm thiểu chi phí về thời gian, nhân lực cũng nhƣ
giảm thiểu các lỗi cấu hình có thể xảy ra do các nhân tố chủ quan nhƣ sai sót
thao tác của ngƣời quản trị.
Kết quả ứng dụng cho thấy trong một môi trƣờng sử dụng nhƣ trên hiệu
quả sử dụng thể hiện qua những khía cạnh sau:
 Đối với ngƣời sử dụng: Đáp ứng yêu cầu kết nối nhanh.
 Đối với ngƣời quản trị hệ thống:
o Hiệu quả hơn hàng nghìn giờ về mặt thời gian cho việc thực hiện cấu
hình với khoảng 4000 ngƣời sử dụng, tần suất thay đổi trung bình 1000
ngƣời/năm.
o Khả năng kiểm soát trùng lặp địa chỉ IP (khả năng mở rộng do
PFSenseMan cung cấp)
o Dễ dàng tổ chức địa chỉ IP một cách hợp lý đáp ứng các yêu cầu xây
dựng các luật kiểm soát truy cập tài nguyên trên hệ thống mạng.
10
o Ứng dụng khiến cho việc quản trị ngƣời sử dụng đầu cuối nhanh chóng
hơn thông qua đó việc xây dựng mô hình truy cập mạng cũng đơn giản ít
tốn kém về chi phí hơn.
11
CHƢƠNG 1: TỔNG QUAN VỀ QUẢN LÝ TRUY CẬP MẠNG
Quản lý truy cập mạng là một bài toán tổng quát và phổ biến hiện nay. Tùy

theo nhu cầu khác nhau của các tổ chức, doanh nghiệp mà họ lựa chọn các giải
pháp khác nhau nhằm đáp ứng các yêu cầu quản gồm: Triển khai, thiết lập chính
sách bảo mật và khắc phục các sự cố; Lập kế hoạch và chọn giải pháp phù hợp
cho việc hợp lý hoá băng thông; Phân đoạn mạng nhằm mục tiêu hợp lý hoá
băng thông, giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng;
Quản trị mạng trong một hệ thống tập trung, vân vân
Cùng với đó việc các công nghệ xác thực, bảo mật khác nhau ra đời khiến
cho bài toán “Quản lý truy cập mạng” càng trở nên thiết thực, phong phú hơn
đƣợc áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến
các giải pháp nhƣ: 802.1x [1], Captive Portal [2], Firewall, DHCP tích hợp
MAC filter hay các giải pháp của các hãng nhƣ: Cisco có gói giải pháp NAC
(Netwwork Admission Control) [14], Mircosoft có gói giải pháp NAP (Network
Access Protection) [15], hay tổ chức phi lợi nhuận The Trusted Computing
Group đƣa ra gói giải pháp TNC (the Trusted Network Connect) [16], vân vân.
Nội dung chƣơng này đề cập đến một số giải pháp phổ biến hiện nay, các chuẩn
về xác thực đồng thời đƣa ra những nhận định, phân tích những điểm mạnh,
điểm yếu của các giải pháp, các chuẩn xác thực của các giải pháp trên.
1.1 Các thành phần cơ bản của bài toán Quản lý truy cập mạng
Tùy theo nhu cầu quản lý, đặc thù về chính sách truy cập tài nguyên khác
nhau mà mỗi tổ chức, doanh nghiệp lựa chọn cho mình quy mô của bài toán
quản lý truy cập mạng khác nhau. Tuy vậy có 4 thành phần cơ bản cấu thành bài
toán quản lý truy cập mạng gồm:
Authenticate: Ngƣời sử dụng đầu cuối bắt buộc phải xác thực trƣớc khi kết
nối truy cập mạng. Có 3 tùy chọn(02 tùy chọn Agent-less và 01 tùy chọn Agent-
based) cho giải pháp xác thực kết nối mạng:
 802.1x : Đây là chuẩn xác thực nhƣ là một cách tiếp cận an toàn, thƣờng
đƣợc dùng trong xác thực qua các thiết bị access point. Còn gọi là chính
sách truy cập tiền kiểm tra qua các bƣớc:
o Ngƣời sử dung kết nối vào mạng (qua AP hoặc Switch)
o AP/Switch khởi động 802.1x (EAP) để xác thực

o Ngƣời sử dụng xác thực theo chính sách đã đặt ra
12
o Nếu xác thực thành công ngƣời sử dụng sẽ đƣợc nhận một địa chỉ
IP theo phân hoạch để kết nối vào mạng, ngƣợc lại sẽ bị từ chối kết
nối mạng và không nhận đƣợc địa chỉ IP do hệ thống cấp phát.
 Web-based Authentication: Đây là phƣơng thức xác thực dựa trên nền tảng
Web, nó thƣờng đƣợc triển khai nhƣ một hệ thống Captive Portal [2]. Còn
gọi là chính sách xác thực hậu kiểm tra qua các bƣớc:
o Ngƣời sử dụng kết nối mạng và nhận 01 địa chỉ IP, các gói tin đi
qua hệ thống sẽ bị chặn lại.
o Ngƣời sử dụng sẽ đƣợc chuyển hƣớng đến cổng xác thực thông tin
trên nền web browser.
o Ngƣời sử dụng xác thực theo tài khoản đƣợc cung cấp.
o Trong trƣờng hợp xác thực thành công ngƣời sử dụng sẽ đƣợc cấp
quyền truy cập mạng theo các chính sách đã đƣợc thiết lập trƣớc đó,
ngƣợc lại các gói tin kết nối đến hệ thống mạng tiếp tục bị chặn lại.
 Agent-based: Ngƣời sử dụng sẽ đƣợc cung cấp các phần mềm Agent, việc
xác thực sẽ do các Agent này đảm nhiệm thay cho con ngƣời theo các
chính sách đã đƣợc thiết lập trƣớc đó với từng nhóm Agent khác nhau.
Enviroment: Sử dụng các thông tin môi trƣờng của ngƣời sử dụng nhƣ là
một chính sách kiểm soát truy cập, ví dụ nhƣ các chính sách antivirus, license,
cập nhật các bản vá lỗi của hệ điều hành… trên các thiết bị truy cập đầu cuối. Để
sử dụng các thông tin này hệ thống quản lý truy cập phải đảm bảo các câu hỏi:
Ngƣời sử dụng kết nối mạng từ đâu? Ngƣời sử dụng yêu cầu truy cập đến cái gì?
Vấn đề an ninh trên các thiết bị đầu cuối nhƣ thế nào? Thông tin môi trƣờng có
thể bao gồm một số vấn đề sau:
 Phƣơng thức truy cập (wired, wireless, VPN).
 Cách thức quản lý truy cập dựa vào thời gian hoặc phiên.
 Nền tảng hệ điều hành của các thiết bị đầu cuối (Windows, MAC…).
 Phƣơng thức xác thực ( user/pass hoặc MAC filter).

 Các công cụ hỗ trợ an ninh (Phần mềm antivirus, firewall).
 Các ứng dụng (đang chạy).
 Các cấp của bản vá lỗi.
Access Control: Quản lý truy cập dựa trên các thiết bị phần cứng hoặc là
các chính sách về an ninh thông tin, các yêu cầu cụ thể bao gồm:
13
 Cho phép hoặc từ chối kết nối mạng.
 Cấp phát địa chỉ IP của mỗi VLAN tƣơng ứng khi kết nối với quyền truy
cập và môi trƣờng truy cập mạng.
 Lọc các gói tin đi qua hệ thống mạng.
 Kiểm tra trạng thái tƣờng lửa trên các thiết bị đầu cuối.
 Gửi các cảnh báo đến ngƣời sử dụng khi phát hiện ra vấn đề vi phạm các
yếu tố an ninh, bảo mật, vân vân.
Management: Quản lý truy cập dựa trên các thiết bị phần cứng hoặc là các
chính sách về an ninh thông tin (phần mềm). Tất cả các cấu hình về chính sách
và điều khiển truy cập đều đƣợc thể hiện qua giao diện trực quan, giúp ngƣời
quản trị dễ dàng cấu hình hệ thống cũng nhƣ các hoạt động giám sát một cách
hiệu quả.
1.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng
Tùy theo yêu cầu triển khai, hạ tầng hệ thống mạng và các yêu cầu quản lý
mà ngƣời xây dựng hệ thống có thể tiếp cận theo một trong các triết lý sau:
Agent-less hay Agent-based
Agent-less: Việc xác thực kết nối hệ thống mạng và truy xuất tài nguyên
dựa vào yếu tố con ngƣời chứ không phụ thuộc vào các phần mềm cài đặt trên
các thiết bị đầu cuối, các chính sách truy cập do hệ thống đặt ra sẽ đƣợc phản
hồi bởi các tƣơng tác của ngƣời sử dụng với hệ thống đó. Ví dụ nhƣ xác thực
bằng username/password, mã xác thực sử dụng giao thức RADIUS[2] để đảm
nhiệm hay xác thực MAC filter do ngƣời sử dụng cung cấp địa chỉ MAC.
Ƣu điểm của phƣơng pháp này là không cần cài đặt các phần mềm trên
thiết bị đầu cuối và dễ dàng, nhanh chóng triển khai, tuy vậy nhƣợc điểm của nó

là ngƣời sử dụng phải quản lý và khai báo với hệ thống các thông tin trên thiết bị
đầu cuối khi cần thiết.
Agent-based: Việc xác thực kết nối hệ thống mạng và truy xuất tài nguyên
dựa vào phần mềm Agent-client đƣợc cài đặt trên thiết bị của ngƣời sử dụng đầu
cuối. Phần mềm này sẽ thay con ngƣời làm các thao tác thu thập thông tin trên
thiết bị và gửi yêu cầu về Server để từ đó các chính sách truy cập đƣợc áp dụng.
Ƣu điểm của phƣơng pháp này là có thể triển khai rất nhiều giải pháp xác
thực, quản lý truy cập khác nhau đảm bảo yếu tố an toàn, an ninh khi các thiết bị
14
đầu cuối kết nối vào mạng. Nhƣợc điểm của phƣơng pháp này là thiết bị đầu
cuối phụ thuộc vào hệ điều hành, việc quản trị hệ thống sẽ rất phức tạp và khó
khăn. Khi không có sự hiểu rõ sâu sắc về kiến trúc mạng sẽ không thể xây dựng
các chính sách để đáp ứng đƣợc các yêu cầu quản lý truy cập.
Inline hay Out-of-band
Inline: Mô hình này nhằm kiểm soát chặt chẽ việc truy cập từ bên trong
các mạng con, việc triển khai mô hình này sẽ tốt hơn về mặt quản lý truy cập tài
nguyên trên mạng, trao đổi thông tin giữa các mạng con, giữa mạng con với
vùng DMZ…Tuy vậy nó cũng có những hạn chế nhƣ: Chi phí triển khai cao,
hiệu suất sử dụng mạng thấp và có nguy cơ nghẽn cổ chai tại các getway của các
mạng con khi thiết bị quản lý bị lỗi.

Hình 1.1: Mô hình NAC thực hiện với chế độ in-line
Out-of-band: Mô hình này thích hợp cho việc triển khai các hệ thống
mạng công cộng, việc kiểm soát truy cập chủ yếu giữa mạng Internal và mạng
External. Ƣu điểm của mô hình này là chi phí triển khai thấp, ít ảnh hƣởng đến
lƣu lƣợng mạng. Nhƣợc điểm của mô hình này là khó khăn trong việc thiết lập
quản lý truy cập tài nguyên trong mạng.
15

Hình 1.2: Mô hình NAC thực hiện với chế độ out-of-band

Pre-Admission hay Post-Admission
Pre-Admission: Tiền kiểm tra là cách tiếp cận yêu cầu xác thực trƣớc khi
hệ thống cấp phát địa chỉ IP cho thiết bị đầu cuối cho phép kết nối mạng, giải
pháp này thƣờng áp dụng trong các chuẩn 802.1x [1] hoặc chức năng DHCP có
tích hợp MAC filter. Ƣu điểm của nó là ngăn ngừa đƣợc sự phá hoại của các
chƣơng trình virus gửi các thông tin đến hệ thống hoặc các thiết bị khác trong
mạng. Đối với giải pháp DHCP tích hợp tính năng MAC filter còn giúp cho việc
xây dựng các luật quản lý truy cập đến các tài nguyên dễ dàng và linh hoạt hơn.
Post-Admission: Hậu kiểm tra là cách tiếp cận thiết bị đầu cuối khi yêu
cầu kết nối vào hệ thống mạng sẽ đƣợc cung cấp địa chỉ IP, tuy nhiên các gói tin
gửi đi từ phía thiết bị đầu cuối sẽ bị chặn lại cho đến khi ngƣời sử dụng hoàn
thành xác thực trên một trang web đƣợc hệ thống tự động chuyển hƣớng tới.
Giải pháp này thƣờng đƣợc triển khai nhƣ một dịch vụ Captive Portal dựa trên
giao thức RADIUS[2]. Ƣu điểm của cách tiếp cận này là dễ dàng triển khai, tuy
nhiên nhƣợc điểm của nó là khó khăn trong việc xây dựng các luật truy xuất tài
nguyên. Hầu nhƣ cách tiếp cận này đƣợc triển khai trong môi trƣờng mạng công
cộng truy cập Internet chứ không đƣợc triển khai đối với hệ thống mạng đòi hỏi
các yêu cầu về luật truy xuất tài nguyên phức tạp.
16
1.3 Vấn đề xác thực khi triển khai Quản lý truy cập
Trong bất kỳ bài toán quản lý truy cập mạng nào vấn đề xác thực luôn là
yếu tố đầu tiên cần quan tâm, chính sách truy cập quan hệ mật thiết với vấn đề
xác thực khi thiết bị đầu cuối kết nối vào hệ thống mạng. Các yếu tố xác thực
nhƣ MAC filter [3][4] đƣợc tích hợp trong DHCP message hay 802.1x [1]
thƣờng là những yếu tố đầu tiên cần tính đến khi triển khai các giải pháp về
quản lý truy cập.
1.3.1 Xác thực với 802.1x
Đây là chuẩn xác thực phổ biến nhất hiện nay đƣợc áp dụng trong các
chuẩn kết nối LAN hoặc WLAN, trong các chuẩn kết nối không dây nhƣ 802.11
phƣơng thức xác thực sử dụng các khóa bí mật dựa trên mã hóa TKIP hoặc AES


Hình 1.3: Mô hình xác thực thực hiện với 802.1x (nguồn: [12])
Điểm mạnh
 Có thể ngăn chặn các kết nối đến mạng trƣớc khi thiết bị đầu cuối
nhận đƣợc địa chỉ IP.
 Dễ dàng triển khai với các mô hình mạng nhỏ, ít đòi hỏi các yêu cầu
về quản lý truy cập tài nguyên.
Điểm yếu
17
 Khó khăn trong việc quản lý với số lƣợng thiết bị lớn và thƣờng
xuyên thay đổi.
 Không phải tất cả các yếu tố cần phát hiện, quản lý đều đƣợc hỗ trợ
trong chuẩn 802.1x
 Chi phí để triển khai lớn đối với mô hình quản lý tập trung.
1.3.2 Xác thực với MAC filter
Mỗi thiết bị card mạng có một địa chỉ MAC duy nhất, do vậy việc xác thực
dựa vào MAC filter thực chất là việc xây dựng một danh sách các địa chỉ MAC
đƣợc cho phép hay từ chối kết nối mạng. Phƣơng pháp xác thực này thƣờng
đƣợc tích hợp trong dịch vụ DHCP.

Hình 1.4: Mô hình xác thực dựa trên MAC filter trong PFSense
Việc xác thực dựa trên MAC filter là phƣơng pháp đòi hỏi nhiều công sức
trong việc tạo lập danh sách các địa chỉ MAC, nó cũng không phải là phƣơng
pháp xác thực an toàn tuyệt đối vì ngƣời sử dụng đầu cuối có thể giả mạo địa chỉ
MAC để truy cập đến hệ thống mạng. Mặt khác do việc xác thực này đƣợc tích
hợp trong dịch vụ DHCP do vậy nó làm hạn chế các tính năng của DHCP. Tuy
vậy việc sử dụng chúng một cách hợp lý sẽ rất hiệu quả trong việc quản lý truy
cập tài nguyên trong một hệ thống mạng phức tạp.
1.3.3 Xác thực với Captive Portal
Captive Portal là một giải pháp xác thực bằng cách buộc ngƣời sử dụng

trƣớc khi truy cập vào mạng phải đƣợc chuyển hƣớng tới một trang web, nơi
ngƣời dùng cần nhập tài khoản và mật khẩu của mình để xác thực. Kỹ thuật
Formatted: Heading 3, Left, Indent: First line:
0", Space Before: 0 pt, After: 0 pt, Line
spacing: single
18
Captive Portal biến Web browser thành một công cụ xác thực hiệu quả. Việc này
đƣợc thực hiện thông qua việc ngăn chặn tất cả các gói tin (bất kể địa chỉ IP và
port nào) cho đến khi nào ngƣời sử dụng vƣợt qua đƣợc chứng thực trên trang
web mà hệ thống chuyển hƣớng đến.
1.4 Một số mô hình quản lý truy cập
1.4.1 Mô hình quản lý truy cập phân tán
Mô hình quản lý cấp phát địa chỉ phân tán đƣợc ứng dụng phổ biến trong
các mạng cỡ nhỏ, việc triển khai tƣơng đối dễ dàng, ít đƣợc xây dựng cho các
mạng cỡ vừa và lớn, đòi hỏi chia tách thành nhiều mạng con và những yêu cầu
về bảo mật, quản lý băng thông, quản lý truy cập tài nguyên, định tuyến, vân vân
do một số đặc điểm của chúng nhƣ:
 Khả năng xác thực hạn chế trên các thiết bị access point, không hỗ trợ việc
sao lƣu cấu hình xác thực.
 Khả năng quản lý truy cập thiếu tính nhất quán do việc kiểm soát truy cập
độc lập trên các thiết bị khác nhau.
 Cấu hình trên các thiết bị phần cứng hạn chế dẫn đến việc hệ thống mạng
trở nên phức tạp, khó kiểm soát nếu số lƣợng ngƣời sử dụng đầu cuối lớn.
1.4.2 Mô hình quản lý truy cập dựa trên Captive Portal
Mô hình quản lý truy cập dựa trên kỹ thuật Captive Portal thƣờng đƣợc
triển khai trong các mạng công cộng, việc kiểm soát truy cập đƣợc thực hiện
trên một cửa duy nhất, một số phần mềm phổ biến hiện nay về Captive Portal
nhƣ: PFSense, Amigopod and ArubaOS Integration, CentOS, Chillispot, vân vân
Captive Portal là một giải pháp buộc ngƣời sử dụng trƣớc khi truy cập vào
mạng phải phải chuyển hƣớng tới một trang web đặc biệt. Kỹ thuật Captive

Portal biến Web browser thành một công cụ chứng thực hiệu quả. Việc này đƣợc
thực hiện thông qua việc ngăn chặn tất cả các gói tin (bất kể địa chỉ IP và port
nào) cho đến khi nào ngƣời sử dụng vƣợt qua đƣợc chứng thực trên trang web
mà hệ thống chuyển hƣớng đến.
19

Hình 1.5: Mô hình xác thực sử dụng Captive Portal
Captive Portal có thể sử dụng các máy chủ chứng thực Radius [2] để thực
hiện việc xác thực, việc này giảm thiểu khá nhiều thời gian cho việc quản ký kết
nối mạng, tuy nhiên việc điều hƣớng truy cập tài nguyên trong mạng đối với các
thiết bị đầu cuối là khó khăn và không đảm bảo đƣợc các yêu cầu về quản lý
truy xuất tài nguyên.
1.4.3 Mô hình quản lý truy cập NAC của Cisco
Cisco là hãng đầu tiên đặt nền móng cho khái niệm NAC (Network Access
Control) sau này, kiến trúc NAC của Cisco tập trung vào các mục tiêu kiểm soát
cơ bản đối với các thiết bị đầu cuối trƣớc khi kết nối mạng nhƣ: Antivirus,
Health Agent, Patch Agent.
Giải pháp NAC của Cisco dựa trên chế độ hoạt động Agent-based, Cisco
cũng định nghĩa ra một số khái niệm nhƣ Posture Validation Server (PVS), PVS
là một phần trong các chính sách truy cập mạng của ngƣời sử dụng cuối cho
phép ngƣời quản trị thiết lập các chính sách về truy cập tập trung. Tuy nhiên giải
pháp NAC của Cisco đã thất bại trong việc không quản lý đƣợc các vấn đề phát
sinh ở thiết bị đầu cuối, sau nữa là cơ chế hoạt động của các Agent phụ thuộc
vào các chƣơng trình anti-virus, anti-mailware, patch, vân vân của các hãng thứ
ba, do vậy gây khó khăn trong việc thiết lập kết nối mạng cho ngƣời sử dụng
đầu cuối không cập nhật kịp thời các bản vá lỗi, các bản update.
20

Hình 1.6: Mô hình xác thực NAC của Cisco (nguồn [13])
Một số lợi ích trong giải pháp NAC của Cisco

Nhƣ vậy có thể thấy Network Access Control là một giải pháp tƣơng đối an
toàn cho việc quản lý truy cập, tập trung vào việc kiểm soát các vấn đề an ninh
trên thiết bị đầu cuối. Mặc dù còn rất nhiều vấn đề khi triển khai NAC trong
thực tế nhƣ lựa chọn mô hình, chi phí đầu tƣ, các chính sách truy cập tài nguyên
mạng, vân vân Tuy nhiên những lợi ích khi triển khai NAC là cần thiết cho nhu
cầu thiết lập các hệ thống mạng ngày nay, các lợi ích đó gồm:
 Kiểm soát, quản lý truy cập, quản lý khai tác tài nguyên trên mạng đối
ngƣời sử dụng đầu cuối.
 Ngăn chặn các chƣơng trình mã độc, virus lây lan, phát tán ra toàn bộ hệ
thống mạng.
 Loại bỏ các mối nguy hiểm tiềm ẩn từ các thiết bị client thông qua việc
kiểm soát các thiết bị đầu cuối.
 Nâng cao tính sẵn sàng của hệ thống mạng và giảm sự gián đoạn cung
cấp dịch vụ cho thiết bị đầu cuối.
 Đảm bảo các thiết bị đầu cuối sử dụng các chƣơng trình diệt virus và
tƣờng lửa đúng cách, đáp ứng các chính sách đặt ra.
 Dễ dàng tích hợp đƣợc với giải pháp Endpoint Protection.
21
1.4.4 Mô hình quản lý truy cập với PFSense
PFSense là một hệ thống tƣờng lửagiải pháp phần mềm tích hợp mạnh mẽ
hoàn toàn miễn phí, cho phép quản lý tập trung hầu hết các yêu cầu cấu hình của
doanh nghiệp và tổ chức. Nó Cung cung cấp nhiều dịch vụ khác nhau trong một
hệ thống nhất quán, đảm bảo đầy đủ các tính năng cơ bản cho một hệ thống
mạng cỡ lớn, đòi hỏi các yêu cầu về bảo mật, định tuyến, cân bằng tải nhƣ:
 Dịch vụ tƣờng lửa: đƣợc thực hiện bởi gói Packetages filtering (PF)
tích hợp trong nhân của FreeBSD [8]
 Dịch vụ DHCP + và MAC address filtering: Đƣợc thực hiện bởi
(DHCPd tích hợp trong nhân của FreeBSD)
 Dịch vụ Captive Portal: Đƣợc cung cấp bởi (FreeRadius [9])
 Dịch vụ Proxy / Load balancing: Đƣợc cung cấp bởi (Squid [10] và

/CARP [8])
 Traffic Shaper: Đƣợc cung cấp bởi dummynet and ipfw trong nhân
của FreeBSD
 NAT + routing: Đƣợc cung cấp bởi Quagga [11]
Tính năng DHCP trong PFSense đƣợc tích hợp thêm MAC filter tạo cho
chúng những ƣu điểm nổi trội trong quản lý truy cập nhƣ:
 Cho phép cấu hình cấp phát địa chỉ động độc lập trên từng VLAN
riêng biệt. Hỗ trợ nhiều subnet khác nhau (từ 0 32 bit) do vậy có thể
thiết lập cấu hình cấp phát địa chỉ động cho mỗi VLAN khác nhau với
số lƣợng ngƣời dùng tùy ý.
 Cho phép triển khai MAC filter tập trung, dựa vào ánh xạ 1-1 giữa địa
chỉ MAC và địa chỉ IP từ gói tin ARP request phía client gửi đến.
 Có thể ngăn chặn kết nối từ các thiết bị client đến hệ thống mạng
trong trƣờng hợp các thiết bị client thiết lập địa chỉ tĩnh.
 Hỗ trợ giao diện ngƣời sử dụng trên nền web do vậy ngƣời quản trị có
thể quản lý cấu hình dễ dàng, trực quan.
 Tích hợp đầy đủ cấu hình các dịch vụ khác nhƣ WINS, DNS Server,
NTP Server, vân vân
22
 Hỗ trợ đầy đủ file logs để ngƣời quản trị tiện theo dõi quá trình cấp
phát địa chỉ động trên hệ thống.
Bài toán cấp phát địa chỉ IP trong PFSense đóng vai trò nhƣ một tiền đề để
từ đó xây dựng các chính sách truy cập tài nguyên của hệ thống mạng. Nó đƣợc
tích hợp một cách xuyên suốt trong một hệ thống nhất quán. Từ việc xây dựng
chính sách cấp phát địa chỉ IP cho các thiết bị clients ngƣời quản trị sẽ thực hiện
các bƣớc tiếp theo nhƣ: Quản lý băng thông đến từng thiết bị clients. Xây dựng
các luật truy cập đến tài nguyên hệ thống dựa vào các luật. Định tuyến trong một
mô hình mạng đòi hỏi các yêu cầu quản lý phức tạp.
Kết luận chƣơng 1
Nội dung chƣơng này làm rõ nội hàm và một số khái niệm của bài toán

“Quản lý truy cập mạng” tổng quát. Bài toán “Quản lý truy cập mạng” hiện nay
đóng một vai trò hết sức quan trọng, thiết thực trong việc xây dựng các mô hình
mạng hƣớng ngƣời sử dụng. Cũng trong chƣơng này chúng tôi cũng giới thiệu
một số kiến trúc mô hình Quản lý truy cập phổ biến hiện nay nhƣ: Mô hình quản
lý truy cập phân tán, Mô hình quản lý truy cập dựa trên Captive Portal, Mô hình
quản lý truy cập dựa trên firewal và mô hình quản lý truy cập NAC của Cisco.
Nội dung chƣơng này còn giới thiệu sơ bộ về hệ thống tích hợp mã nguồn
mở PFSense, một hệ thống tƣờng lửa mạnh mẽ, miễn phí tích hợp tính năng
định tuyến và rất nhiều dịch vụ khác nhau. PFSense thiết thực với bài toán
“Quản lý truy cập mạng” vì nó cung cấp các dịch vụ độc lập, phong phú cho
phép triển khai trong một hệ thống mạng cỡ vừa và lớn, với tập ngƣời dùng đa
dạng, tập chung đến yếu tố quản lý truy xuất tài nguyên trên mạng đối với ngƣời
sử dụng đầu cuối.
Nội dung chƣơng 2 sẽ giới thiệu kỹ hơn về hệ thống tích hợp PFSense và
những ứng dụng bài toán “Quản lý truy cập mạng” thực tế đã đƣợc triển khai.
Đồng thời cũng nêu bật những ƣu điểm, nhƣợc điểm khi triển khai và hƣớng
khắc phục sẽ đƣợc thực hiện ở nội dung chƣơng 3.


23
CHƢƠNG 2 QUẢN LÝ TRUY CẬP TRONG PFSENSE
2.1 Giới thiệu PFSense
PFSense [6][7] là đƣợc giới thiệu với cộng đồng công nghệ nhƣ một hệ
thống tƣờng lửa mã nguồn mở, có tích hợp nhiều tính năng khác nhƣ chức năng
định tuyến, phân tải, quản lý địa chỉ, vân vân đƣợc viết bằng ngôn ngữ PHP.
PFSense đƣợc phát triển và triển khai trên nền hệ điều hành FreeBSD. Hỗ
trợPFSense cung cấp giao diện Web dễ dàng cho việc quản trị, việc cấu hình hệ
thống đƣợc thực hiện một cách trực quan, dễ nhớ, dễ thao tác. Giao diện quản trị
của PFSense đƣợc thực hiện với Apache và PHP.
Ngoài việc là một hệ thống tƣờng lửa mạnh mẽ, linh hoạt, và hỗ trợ chức

năng định tuyến làm nền tảng, PFSense còn hỗ trợ rất nhiều các tính năng cũng
nhƣ các công cụ quản lý, điều khiển truy cập. Song song với đó PFSense cho
phép những ngƣời phát triển tích hợp các gói dịch vụ cần thiết khác mà không
cần bất kỳ một thỏa thuận về tính pháp lý nào.
PFSense là một hệ thống phổ biến với hơn một triệu lƣợt tải về kể từ khi dự
án đƣợc triển khai và đã đƣợc chứng minh trong vô số các cài đặt khác nhau từ
các mạng gia đình với một vài máy tính, đến các hệ thống mạng của các tập
đoàn, trƣờng đại học và các tổ chức khác để bảo vệ, quản lý truy cập hàng ngàn
thiết bị trong hệ thống mạng.
Dự án PFSense đƣợc phát triển từ năm 2004 bởi Chris Buechler and Scott
Ullrich với tiền thân là m0n0wall và đã cho thấy đó là một dự án hữu ích, khả
dụng. Tuy vậy giai đoạn đầu PFSense còn một số hạn chế về driver hỗ trợ các
thiết bị máy chủ. Ngày nay PFSense đã khắc phục nhƣợc điểm này và đƣợc ứng
dụng ngày càng rộng rãi cho các tổ chức, doanh nghiệp vừa và nhỏ.
2.2 Quản lý truy cập trong firewall PFSense
Một trong những chức năng chính của PFSense là lọc các gói tin đi qua nó,
bất kể triển khai PFSense theo ứng dụng nào. Phần này giới thiệu các nguyên tắc
cơ bản của tƣờng lửa và một số thành phần chính trong việc thiết lập điều khiển
các gói tin.
2.2.1 Chức năng firewall trong PFSense
Nguyên lý điều khiển gói tin của firewall
24
Cũng nhƣ nhiều hệ thống firewall khác [5], PFSense hoạt động theo
nguyên tắc: Khi tƣờng lửa nhận một gói tin, đầu tiên gói tin đó phải trải qua lớp
lọc liên kết. Sau đó, nó đƣợc kiểm tra bởi bộ quy tắc động; tiếp đến là kiểm tra
tính hợp pháp, lọc cổng và IP. Cuối cùng, việc truyền đạt địa chỉ mạng/cổng
đƣợc thực hiện. Hoạt động trên đƣợc mô tả qua sơ đồ dòng dữ liệu (Hình 2.1).

Hình 2.1: Hoạt động của tường lửa và dòng dữ liệu (nguồn [5])
Một trong những ứng dụng phổ biến nhất của PFSense là ứng dụng làm

một hệ thống firewall mềm, với tính năng cơ bản packet filter. PFSense sử dụng
giao diện WebGUI để thiết lập các Rules cho hầu hết các giao thức TCP, UDP,
ICMP, vân vân, ngoại trừ giao thức P2P. Có thể áp dụng PFSense cho mô hình
mạng với số lƣợng ngƣời dùng hàng nghìn ngƣời để lọc các gói tin đi qua nó.
Với hàng triệu lƣợt download và sử dụng PFSense đã chứng minh nó là một hệ
thống tƣờng lửa mạnh mẽ và sử dụng phổ biến nhất hiện nay trong các hệ thống
tƣờng lửa mã nguồn mở. PFSense cũng rất dễ dàng tích hợp với các thiết bị
firewall cứng của các hãng lớn nhƣ Cisco, Juniper, vân vân
25
PFSense còn cung cấp các file logs, biểu đồ (traffic graph, RRD graph) để
ngƣời quản trị có thể theo dõi lƣu lƣợng, các gói tin block, pass, reject để từ đó
xây dựng các chính sách truy cập cho phù hợp với thực tế.
Các thuật ngữ cơ bản của chức năng firewall
Rule và Ruleset là 2 thuật ngữ đƣợc sử dụng xuyên suốt trong phần này.
Một Rule hay một Ruleset là một tập các cấu hình cho phép hay ngăn chặn các
gói tin từ thiết bị này đến thiết bị khác hoặc mạng này đến mạng khác. Hệ thống
firewall PFSense sẽ thực hiện các luật theo nguyên tắc lần lƣợt các luật từ trên
xuống dƣới, khi có sự mâu thuẫn về luật thì ƣu tiên luật bên trên.
PFSense cho phép xây các luật trên nguyên tắc: Các luật chung, đƣợc đặt
phía dƣới còn các luật riêng đặt phía trên. Điều này hạn chế tối đa các ngoại lệ
có thể bỏ sót khi PFSense thực thi các luật tuần tự từ trên xuống dƣới.

Hình 2.2: Ví dụ về cấu hình các luật được áp dụng (nguồn: PFSense screenshot)
State table là bảng trạng thái kết nối. Khi một kết nối đƣợc thực hiện,
PFSense xây dựng một bảng trạng thái dựa trên các Rule đã đƣợc xây dựng. Từ
bảng trạng thái này sẽ quyết định việc cho phép hoặc từ chối gửi hoặc nhận các
gói tin đƣợc yêu cầu từ phía clients đến địa chỉ đích. Bao gồm các gói tin sử
dụng các giao thức khác nhau nhƣ ICMP, UDP, TCP và một số giao thức khác.