Báo cáo thực tập Cấu hình Captive Portal cho tổng đài pfSense
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.56 MB, 31 trang )
LỜI CẢM ƠN
Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ,
giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Từ khi bắt đầu học tập
tại trường đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy, gia
đình và bạn bè. Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý Thầy ở Khoa Điện Điện Tử
đã cùng với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho
chúng em trong suốt thời gian học tập tại trường. Em xin gởi lời cảm ơn chân thành và sự
tri ân sâu sắc đối với các thầy của Khoa Điện – Điện Tử đã tạo điều kiện cho em để em có
thể hoàn thành tốt bài báo cáo thực tập.
Em chân thành cảm ơn Ban Giám Đốc Công Ty đã cho phép và tạo điều kiện
thuận lợi để em thực tập tại công ty. Và em cũng xin chân thành cảm ơn tất cả các anh
trong công ty.
Trong quá trình thực tập, khó tránh khỏi sai sót, rất mong các Thầy bỏ qua. Đồng
thời do trình độ lý luận cũng như kinh nghiệm thực tiễn còn hạn chế nên bài báo cáo
không thể tránh khỏi những thiếu sót, em rất mong nhận được ý kiến đóng góp Thầy để
em học thêm được nhiều kinh nghiệm và sẽ hoàn thành tốt hơn bài luận văn tốt nghiệp
sắp tới.
Cuối cùng em kính chúc quý Thầy dồi dào sức khỏe và thành công trong sự nghiệp
cao quý. Đồng kính chúc các anh/chị trong công ty luôn dồi dào sức khỏe, đạt được nhiều
thành công tốt đẹp trong công việc.
Em xin trân trọng cảm ơn.
TP.Hồ Chí Minh, ngày…….tháng 09 năm 2017
Sinh viên thực hiện
(Ký, ghi rõ họ tên)
Mục lục
CHƯƠNG 1 : Giới Thiệu Về Công Ty TNHH MTV ......................................................................... 1
I.
Thông tin về công ty................................................................................................................. 1
II.
Lịch sử hình thành................................................................................................................ 1
III.
Phạm vi hoạt động................................................................................................................ 2
IV.
Định hướng chiến lược......................................................................................................... 4
V.
Các dịch vụ viễn thông do cung cấp....................................................................................... 4
1.
Internet.................................................................................................................................. 4
2.
Truyền hình........................................................................................................................... 5
Chương 2 : Cấu Hình Captive Portal trên pfSense............................................................................ 6
I.
Giới Thiệu.................................................................................................................................. 6
1...................................................................................................................................................Captive
Portal..................................................................................................................................... 6
2...................................................................................................................................................pfSense
3. Ưu nhược điểm của Captive Portal trên pfSense so với các dịch vụ Captive Portal khác
hiện nay........................................................................................................................................ 10
II.
Cài đặt và cách cấu hình.................................................................................................... 11
1.
Mô hình............................................................................................................................... 11
2.
Cài đặt................................................................................................................................. 11
3.
Cấu hình Captive Portal trên pfSense............................................................................... 20
Thu Thập......................................................................................................................................... 31
Nguồn Tham Khảo......................................................................................................................... 32
7
Báo Cáo Thực Tập Tốt Nghiệp
CHƯƠNG 1 : Giới Thiệu Về Công Ty
I.
Thông tin về công ty
Tên gọi Công ty:
CÔNG TY TNHH MTV DV VIỄN THÔNG
Tên giao dịch đối ngoại: Tên viết tắt :
Logo:
Địa chỉ doanh nghiệp:
Văn phòng đại diện:
Website
1
Chương 2 : Cấu Hình Captive Portal trên pfSense
I.
Giới Thiệu
1. Captive Portal
a. Captive Portal là gì ?
- Chúng ta sẽ tìm hiểu khái niệm Captive Portal (viết tắt là CP) thông qua
cách thức hoạt động của chúng.
- Công nghệ CP sẽ bắt buộc một máy muốn sử dụng Internet trong mạng thì
trƣớc tiên phải sử dụng trình duyệt để “được” tới một trang đặc biệt (thường
dùng cho mục đích xác thực). CP sẽ chuyển hướng trình duyệt tới thiết bị
xác thực an ninh. Điều này được thực hiện bằng cách bắt tất cả các gói tin,
kể cả địa chỉ và cổng, đến khi người dùng mở một trình duyệt và thử truy
cập Internet. Tại thời điểm đó, trình duyệt sẽ được chuyển hướng tới trang
web đặc biệt yêu cầu xác thực (đăng nhập) hoặc thanh toán, hoặc đơn giản
chỉ là hiện một bảng thông báo về các quy định mà người dùng sẽ phải tuân
theo và yêu cầu ngƣời dùng phải chấp nhận các quy định đó trước khi truy
cập Internet. CP thường được triển khai ở hầu hết các điểm truy nhập WiFi và
nó cũng có thể được dùng để điều khiển mạng có dây. Do trang web đăng
nhập phải truy cập được từ trình duyệt của máy khách, do đó trang web này
cần phải đặt ngay trên gateway hoặc trên một web server nằm trong “danh
sách trắng” nghĩa là có thể truy cập mà không cần quá trình xác thực. Ngoài
việc có danh sách trắng của các địa chỉ URL, một vài loại gateway còn có
danh sách trắng đối với một vài cổng TCP.
b. Tại sao lại phải sử dụng Captive Portal.
- Tại các địa điểm công cộng như quán cafe, khách sạn, các phòng đợi, văn
phòng.. các dịch vụ truy cập internet không dây thường có sẵn. Nếu như
trước đây, dịch vụ truy cập internet không dây là một điểm nhấn của các
quán cafe, cửa hàng internet... thì ngày nay, đây là một dịch vụ tất yếu của
mọi cửa hàng, giống như phục vụ nước uống vậy. Vậy người ta sử dụng
cách nào để quản lý các truy cập không dây?
- Quản lý truy cập Wireless bằng mật khẩu
Nói chính xác hơn, đây là mật khẩu để được tham gia vào mạng Wireless.
Đây là cách đơn giản, phổ biến, mà hầu hết các quán cafe, văn phòng
thường sử dụng. Ở những chỗ như vậy, ta thường xuyên nghe thấy câu hỏi
"Wifi ở đây là gì nhỉ?", "Biết mật khẩu rồi, tôi đọc cho...", "Em ơi, đổi mật
khẩu rồi à?"
Cách quản lý truy cập này khá tiện lợi cho khách hàng, nhưng cũng tiềm ẩn
rủi ro cao. Đó là quá trình xác thực chỉ nhằm mục đích cho phép khách hàng
truy cập mạng không dây. Một khi đã vào được mạng, thì khách hàng có thể
thực hiện bất cứ truy vấn gì, kể cả việc theo dõi và giám sát cá nhân khác
trong mạng.
Đối với người quản lý cửa hàng, cách quản lý này vô cùng bất tiện. Chỉ với
một mật khẩu duy nhất, tất cả các khách hàng đều dùng chung, và chẳng
mấy chốc mật khẩu đã trở thành "bí mật của mọi người". Khách hàng có thể
khai thác mạng quá mức, như xem phim, tải nhạc làm ảnh hưởng tới chất
lượng mạng của người khác. Và đôi khi, một số khách hàng có thể ngồi lỳ
để dùng
mạng cả ngày, trong khi một số người qua đường cũng có thể truy cập ké vào
mạng.
- Quản lý truy cập Wireless bằng Captive Portal
Nói cách khác, đây là mật khẩu để được truy cập ra internet thôi, còn mạng
không dây không có mật khẩu, ai cũng dùng được. Tại các địa điểm này, bạn
có thể tìm thấy mật khẩu để truy cập trên các hóa đơn bán hàng, hoặc nếu tại
các văn phòng, khách sạn thì hỏi tại bàn lễ tân.
Với cách truy cập này, khách hàng sử dụng dịch vụ không có thêm thao tác
phức tạp gì. Ngược lại, khách hàng luôn được truy cập miễn phí vào dịch vụ
không dây. Tại đây, khách hàng sẽ luôn truy cập tới một trang web của hệ
thống cửa hàng trước (giống như trên ảnh), đọc các chương trình khuyến
mại của cửa hàng nếu có, hoặc đơn giản là nhập mã truy cập để bắt đầu truy
cập internet.
Đối với người quản lý, lại càng tiện lợi. Mỗi khách hàng có một mã
riêng cho một lần sử dụng dịch vụ, nên người quản lý không phải lo lắng
với việc thay đổi mật khẩu. Người quản lý cũng có thể giới hạn thời lượng
truy cập của mỗi mã, chẳng hạn như 2 giờ, để nhắc người dùng không nên
dùng dịch vụ quá mức. Một lợi thế hết sức quan trọng của hệ thống này, là
cửa hàng/văn phòng có thể đưa các chương trình quảng cáo, tiếp thị, giới
thiệu sản phẩm mới của mình tới khách hàng, thông qua mạng không
dây. Cứ khách hàng nào truy cập mạng không dây đều luôn truy cập tới
trang quảng cáo kết hợp đăng nhập này đầu tiên.
2. pfSense
- Tường lửa là gì ? Tường lửa, firewall, là rào chắn mà một số cá nhân, tổ
chức, doanh nghiệp thiết lập để ngăn chặn người dùng mạng Internet truy
cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên
ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ. Nói cách
khác, tường lửa là một thiết bị giúp kiểm soát các truy cập giữa mạng công
cộng và mạng nội bộ, để bảo đảm an toàn cho sự vận hành của mạng nội bộ.
Báo Cáo Thực Tập Tốt Nghiệp
-
PfSense là tường lửa mềm, tức là bạn chỉ cần một máy tính bất kì, hoặc tốt
hơn là một máy chủ, rồi cài đặt pfSense là đã có ngay một tường lửa mạnh
mẽ cho hệ thống mạng trong doanh nghiệp. Trong phân khúc tường lửa cho
doanh nghiệp vừa và nhỏ, với khoảng dưới 1000 người sử dụng, pfSense
được đánh giá là tường lửa nguồn mở tốt nhất hiện nay với khả năng đáp
ứng lên tới hàng triệu kết nối đồng thời. Không những thế, tường lửa
pfSense còn có nhiều tính năng mở rộng tích hợp, tất cả trong một, vượt xa
các tưởng lửa thông thường, kể cả các tường lửa cứng của các hãng nổi tiếng
về thiết bị mạng.
Tường lửa tầng L3, L4, L7
Chặn truy cập theo khu vực địa lý
Quản lý chất lượng QoS
Proxy
Quản trị mạng không dây
Hỗ trợ VLAN
Cân bẳng tải
VPN theo 4 giao thức
Giám sát/Phân tích mạng
Quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS)
Cho phép chạy song hành, failover
Hỗ trợ ngôn ngữ tiếng Việt (*)
Tự động cập nhật black list.
Tự động nâng cấp phiên bản.
Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa
pfSense. Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường
lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu
hóa mã nguồn và cả hệ điều hành. Cũng chính vì thê, pfSense không
cần nền tảng phần cứng mạnh. Nếu doanh nghiệp không có đường
truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính
cá nhân là có thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm
chi phí triển khai, đồng thời tạo nên sự linh hoạt, tính mở rộng/sẵn
sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một tường
lửa.
Không chỉ là một tường lửa, pfSense hoạt động như một thiết bị
mạng tổng hợp với đầy đủ mọi tính năng toàn diện sẵn sàng bất cứ
lúc nào. Khi có một vấn đề về hệ thống mạng phát sinh, thay vì phải
loay hoay tìm thiết bị và mất thời gian đặt hàng, doanh nghiệp có thể
kết hợp các tính năng đa dạng trên pfSense để tạo thành giải pháp
hợp lý, khắc phục sự cố ngay lập tức.
Không kém phần quan trọng là khả năng quản lý. Tường lửa pfSense
được quản trị một cách dễ dàng, trong sáng qua giao diện web. Hơn
thế nữa, pfSense đã có giao diện web quản trị duy nhất bằng tiếng
Việt, được các chuyên gia hệ thống mạng của Techlink biên dịch, nên
việc sử dụng càng trở nên đơn giản và rõ ràng, giúp các nhà quản trị
mạng thực sự thoải mái và thấu hiểu về mọi hoạt động của tường lửa.
Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem
lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản
trị.
Báo Cáo Thực Tập Tốt Nghiệp
3. Ưu nhược điểm của Captive Portal trên pfSense so với các dịch vụ Captive
Portal khác hiện nay.
a. Ưu điểm
- Là phần mềm mã nguồn mở miễn phí, ta có thể down trên trang chủ của
Pfsense . Và đương nhiên so với các phần mềm hotspot
hiện nay thì Pfsense tỏ ra hoàn hảo, vừa miễn phí vừa an toàn có đầy đủ chức
năng của các phần mềm hotspot đắt tiền.
- Là lựa chọn ưu tiên hàng đầu để đối với mạng cá nhân đang kinh doanh hoặc
các công ty vừa và nhỏ tầm 100 nhân viên đổ lại khi mà các router đắt tiền ko
phải là lựa chọn tối ưu.
- Captive Portal trên Pfsense lại tỏ ra hoàn thiện hơn, với nhiều chức năng giám
sát mạng giúp việc quản trị hệ thống trở nên dễ dàng, giao diện ngày càng đơn
giản và tinh tế hơn qua các phiên bản
- Pfsense với 1 tỷ lượt tải về từ khi ra mắt và đang được cộng đồng biết đến
nhiều hơn. Đây sẽ là 1 lựa chọn hoàn hảo cho những ai đang phân vân chọn
tường lửa( nói riêng và Captive Portal nói chung) nào cho mạng của mình.
- Không đòi hỏi mấy cấu hình cao khi hoạt động
Captive Portal trên pfSense
Không phụ thuộc vào phần cứng của
thiết bị, có thể sử dụng bất cứ thiết bị
wifi nào hiện có.
Không thay đội hạ tầng mạng hiện thời,
chỉ cần triển khai thêm 1 máy tính.
Tính năng quản trị áp dụng được cho
mạng cả mạng wifi và mạng có dây.
Tất cả các thiết bị WiFi đều dùng chung
một hệ thống tài khoản.
Người dùng đăng nhập một lần, dùng ở
mọi nơi
Giới hạn thời gian sử dụng
Sản phẩm khác
Phụ thuộc vào phần cứng, chỉ có một số
lựa chọn nhất định
Phải thay tất cả bộ phát wifi cũ nếu có
bằng thiết bị được chỉ định.
Tính năng quản trị chỉ áp dụng cho wifi.
Mỗi thiết bị WiFi là riêng biệt. Nếu
người dùng di chuyển sang vùng phủ
sóng của WiFi khác, cần đăng nhập lại
Có thể hoặc không, tùy từng loại sản
phẩm
Chỉ một trang chào duy nhất, tất cả các
Mỗi thiết bị WiFi có một trang chào
thiết bị WiFi đều dùng chung.
riêng.
Để chỉnh sửa, chỉ cần thay đổi trang chào Để chỉnh sửa, cần thay đổi trang chào ở
ở 1 nơi duy nhất
tất cả các thiết bị.
Chia đều băng thông.
Giới hạn băng thông sử dụng của người
dùng, và có thể chia băng thông có ưu
tiên
Sẽ không ảnh hưởng tới hoạt động nội
bộ.
Chỉ dừng lại ở chức năng quản lý WiFi
Khả năng mở rộng mà không cần mua
thêm thiết bị.
Hỗ trợ mạng VPN, để nối các chi nhánh
thành 1 mạng nội bộ, hỗ trợ
Hệ thống tài khoản riêng với 3 cách đăng Tùy loại, có nhữn loại hỗ trợ, có những
loại không hỗ trợ.
nhập có thể dùng đồng thời
1. Tài khoản dạng user/pass,
2. Tài khoản dạng voucher (chỉ gồm
1 chuỗi key)
3. Không cần tài khoản
b. Nhược điểm
- Cần thời gian làm quen với các chức năng của Pfsense
- Cần hiểu nguyên lý hoạt động của Pfsense
- Khá khó sử dụng đối với những người không phải là dân IT
II.
Cài đặt và cách cấu hình
1. Mô hình
Mô hình bao gồm 1 đường truyền Internet nối đến router, từ router sẽ nối
đến pfSense. Trên pfSense sẽ có 3 card mạng. Bao gồm 1 card có ip là
192.168.100.123 được nối đến router, card thứ 2 có IP là 10.0.0.0/24 được
nối đến 1 Access Point, và card thứ 3 có IP là 172.16.1.0/24 được nối đến 1
switch dùng cho mạng LAN.
2. Cài đặt
-
Trước hết ta phải download file iso từ trang chủ của pfSense :
Sau khi tải file iso về mày và tiến
hành cài đặt, phần cài đặt đầu tiên hiện ra, ta chọn “Accept thế Settings”.
-
Ở phần cài đặt tiếp theo, để cho nhanh chóng và đơn giản ta chọn
“Quick/ Easy Install”.
-
Sau khi đã cài đặt xong, trên màn hình sẽ xuất hiện như sau.
-
Ta nhập vào “2” , để tiến hành đặt IP cho các cổng. Sau khi đã vào phần
đặt IP cho các cổng. Ta tiếp tục nhập vào “1” để đặt IP cho cổng WAN.
-
Ta sẽ đặt IP tĩnh trên cổng này, nên ta sẽ nhập vào là “n”.
Báo Cáo Thực Tập Tốt Nghiệp
-
Nhập vào địa chỉ IP là “ 192.168.100.123”.
-
Nhập vào subnet là 24.
-
Nhập vào địa chỉ Gateway và ta sẽ không sử dụng địa chỉ Ipv6.
Báo Cáo Thực Tập Tốt Nghiệp
-
Cấu hình cổng WAN hoàn tất .
-
Tiếp theo là cấu hình cổng LAN
-
Đặt địa chỉ IP và Subnet
-
Nhập range IP để cấp cho các client.
-
Tương tự cho dãy mạng 10.0.0.0/24, sau khi cấu hình xong ta được như
sau.
-
Sau khi đặt IP cho các cổng, ta được như sau.
:
-
Sau đó ta tiến hành mở trình duyệt web , truy cập vào địa chỉ 172.16.1.1,
để tiến hành cấu hình Pfsense thông qua giao diện web. Tài khoản đăng
nhập mặc định là : admin , password là: pfsense.
-
Sau khi login thành công, ta sẽ vào trang dashboard của Pfsense
-
Ta sẽ tiến hành đổi tên cổng OPT1 thành tên “WLAN” để tiện cho việc
quản lý sau này, vào Interface OPT1 , tại phần Description ta đổi
“OPT1” thành “WLAN” sau đó nhấn SAVE
-
Tiếp theo ta sẽ thiết lập DNS Server trên Pfsense, ở đây ta chọn DNS
Server có sẵn là 8.8.8.8.
Vào System General Setup . Trong phần DNS Server ta nhập vào
8.8.8.8
3. Cấu hình Captive Portal trên pfSense
- Ở đây ta sẽ cấu hình Captive Portal trên 2 cổng WAN và LAN.
-
Đầu tiên ta vào Service Captive Portal
-
Chọn Add vào điền vào các thông tin .
-
Sau đó nhấn vào Save & Continue để tiếp tục
Trang cấu hình Captive Portal xuất hiện, ta bắt đầu tìm hiểu các tính
năng của chúng.
Configuration : Dùng để thiết lập các tính năng của captive portal
MACs : Các địa chỉ MAC được thêm vào mục này sẽ không cần phải
xác thực.
Allowed IP Addesses và Allowd IP HostName : Các địa chỉ IP và
Hostnames được thêm vào mục này sẽ không phải xác thực
Vouchers : Dùng để kích hoạt và quản lý các voucher khi ta kích hoạt
tính năng authencation.
-
File Manager
Ta sẽ đi vào phần chính là phần Configuration.
Ở phần Configuration sẽ có các option chính sau :
Trong tab Configuration, chọn “Enable Caption Portal”
Interface : ta chọn 2 cổng LAN và WLAN, vì captive portal sẽ chạy trên
2 cổng này
Maximum concurrent connections : Giới hạn số kết nối đồng thời của
client tới Captive Portal.
Idle timeout: trong 1 khoảng thời gian nhất định nếu người dùng ko sử
dụng thì dịch vụ sẽ kick out người dùng ra khỏi mạng
Hard timeout: sau khoảng thời gian này người dùng sẽ bị kick ra khỏi
dịch vụ, bất kể là có sử dụng hay không nhưng họcó thể kết nối lại ngay
lập tức.
Pass-through credits per MAC address : Giới hạn số lần sử dụng dịch vụ
mà ko cần xác thực trên mỗi địa chỉ MAC. Giả sử ta set thông số option
này là “1”, vậy một địa chỉ MAC chỉ có 1 lần sử dụng dịch vụ mà không
cần phải xác thực. Muốn sử dụng tiếp mà không cần xác thực nữa thì ta
phải chờ 1 khoảng thời gian gọi là “period to restore”.
Waiting period to restore pass-through credits. (Hours)
Logout popup window : Khi client xác thực thành công trên portal, một
popup sẽ xuất hiện để cho client ngắt kết nối tới portal khi cần thiết.
Concurent user logins : Bật thiết lập này sẽ cho phép chỉ một kết nối tới
portal trên mỗi user. Điều này sẽ ngăn users thực hiện nhiều kết nối sử
dụng username và password giống nhau
Logout popup windows: xuất hiện 1 popup thông báo cho ip/user/mac
Redirect URL: địa chỉ URL mà người dùng sẽ được direct tới sau khi
đăng nhập(trang cám ơn...).
MAC filtering: đánh dấu vào nếu pfsense nằm trước router. Bởi vì
pfsense quản lý kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router
sẽ bị thay đổi mac address nên nếu timeout thì toàn bộ người dùng sẽ mất
kết nối.
Per –user bandwidth restriction: giới hạn băng thông up and down.
Authentication: chọn kiểu authentication. Pfsense hỗ trợ 3 kiểu:
o No authentication: pfsense sẽ điều hướng người dùng tới 1 trang
nhất định mà không chứng thực.
o Local user manager: pfsense hỗ trợ kiểu xác thực qua user hoặc
voucher.
o Radius authentication: authentication bằng radius server (cần chỉ ra
địa chỉ ip của radius, port, ...)
- Ở bài báo cáo này ta sẽ chạy chức năng Local user manager / voucher.
- Chọn save để bật và start dịch vụ.
a. Xác thực bằng user.
- Ta vào System User Manager
-
Để tạo user, ta chọn Add, sau đó ta điền thông tin vào
-
Sau đó nhấn Save
Sau đó sẽ xuất hiện ra danh sách các user ta đã tạo.
-
Sau đó ta tiến hành edit user ta vừa tạo, ta nhấp vào biểu tượng hình cây
bút.
Tại tab Effective Privileges , ta chọn Add
-
Ta gán các privileges liên quan đến captive portal, sau đó nhấn Save
-
Tiếp theo ta vào 1 máy client ở mạng LAN để tiến hành kiểm tra .
-
Máy client nhận IP từ Pfsense .
-
Ta tiến hành vào 1 trang web bất kỳ để tiến hành kiểm tra Captive Portal.
Giả sử ta vào trang vnexpress.net bằng trình duyệt Chrome, trên trình
duyệt sẽ hiển thị như sau :
-
Một trang web hiện ra yêu cầu nhập username / password để có thể truy
cập internet.
