pfSense - Định tuyến vào tường lửa mạnh, cho phép mở rộng mạng

GIỚI THIỆU:

pfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó.

Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng

pfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải

Đặc điểm khá quan trọng là cấu hình để cài đặt sử dụng phần mềm Pfsense không đòi hỏi cao .Chúng ta chỉ cần một máy tính P3,Ram 128 MB ,HDD 1GB cũng đủ để dựng được tường lửa Pfsense.

Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng

Cài đặt pfSense

Để cài đặt trước tiên bạn phải download pfSense, chọn Tải xuống 

Để chạy pfSense đúng cách, bạn cần một máy với cấu hình tối thiểu CPU 100MHz với 128MB Ram và có ít nhất hai card giao diện mạng (NIC), một cho LAN và một cho WAN. Yêu cầu tối thiểu này đáp ứng được cho thông lượng nhỏ hơn 10Mbps. Khi thông lượng mạng của bạn và tính năng sử dụng tăng, thì các yêu cầu của pfSense cũng tăng theo. Hãy kiểm tra trên trang của pfSense để có được các chi tiết kỹ thuật thích hợp nhất cho các yêu cầu của bạn.

Quá trình cài đặt Pfsense khá đơn giản và ít bước.

Sử dụng pfSense

Cấu hình của pfSense cũng không khác với các cấu hình của bất cứ firewall và router mạng nào có sử dụng cấu hình Web. Sau khi đăng nhập bằng username và password mặc định ( admin/pfsense), bạn có thể cấu hình các giao diện của tường lửa và các rule cho nó. Để việc quản lý trên Web an toàn, cần thay đổi mật khẩu mặc định và thiết lập kiểu session thành HTTPS trên các thuộc tính cài đặt chung. Ở đây bạn cũng có thể thiết lập các thiết lập DNS của tường lửa.

Tại Dashboard các bạn có thể dễ dàng thấy thông tin cấu hình của máy Pfsense ,các Interfaces .Giao diện này có thể tùy chỉnh và add thêm được nhiều thông báo tiện cho việc quản trị sau này.

Tính năng cơ bản trong Pfsense

Aliases

Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn.

Các thành phần trong Aliases:

• Host: tạo nhóm các địa chỉ IP.
• Network: tạo nhóm các mạng.
• Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol. Các protocol được sử dụng trong các rule.

Rules (Luật)

Nơi lưu các rules (luật) của Firewall.

Mặc định pfSense cho phép mọi lưu thông ra/vào hệ thống. Bạn phải tạo các rules để quản lý mạng bên trong Firewall.

Một số lựa chọn trong Destination và Source.

• Any: Tất cả
• Single host or alias: Một địa chỉ ip hoặc là một bí danh.
• Lan subnet: Đường mạng Lan.
• Network: địa chỉ mạng.
• Lan address: Tất cả địa chỉ mạng nội bộ.
• Wan address: Tất cả địa chỉ mạng bên ngoài.
• PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT.
• PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE.

Virtual IPs

Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NAT thông qua IP ảo. Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và một loại khác. Mỗi loại đều rất hữu ích trong các tình huống khác nhau. Trong hầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sử dụng Proxy ARP hoặc CARP. Trong tình huống mà ARP không cần thiết, chẳng hạn như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sử dụng IP ảo loại khác.

Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1. Họ cũng cho phép các tính năng như failover, và có thể cho phép dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.

CARP

• Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp.
• Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
• Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ).
• Các VIP đã được trong cùng một subnet IP của giao diện thực.
• Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
• Proxy ARP.
• Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
• Tạo ra lớp 2 lưu lượng cho các VIP.
• Các VIP có thể được trong một subnet khác với IP của giao diện thực.
• Không trả lời gói tin ICMP ping.

Other

• Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2.
• Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
• Các VIP có thể được trong một subnet khác với các giao diện IP.
• Không trả lời ICMP ping.

NAT

Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.

Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần.

Routing

Một trong những tính năng chính của một Firewall ngoài việc lọc và thực hiện NAT là định tuyến được lưu thông trong mạng. Nó bao gồm các tuyến tĩnh, các giao thức định tuyến, định tuyến IP công cộng và hiển thị các thông tin định tuyến.Bridging
Thông thường mỗi interface trên pfSense sẽ đại diện cho một miền riêng với một subnet IP duy nhất, giống như một vùng riêng biệt. Trong một số trường hợp cần kết hợp nhiều interfaces thành một miền mới, lúc đó chức năng này sẽ kết hợp hai cổng trên tường lửa sẽ hoạt động giống như nó đang trên cùng một miền, ngoại trừ lưu lượng giữa các interface được kiểm soát bởi các quy luật (rule) đã được cấu hình.

Virtual Lans (Vlans)

VLAN cung cấp một phương tiện để phân đoạn mạng miền thành nhiều mạng con, mỗi mạng con hoạt động độc lập với nhau. Nhưng vấn đề bảo mật cần phải đưa vào account khi thiết kế và thực thi một giải pháp liên quan đến VLAN. VLAN không đảm bảo an toàn nên sai có thể dẫn đến tổn thương cho mạng của bạn.

Multi-Wan

Multi-WAN của pfSense cho phép sử dụng nhiều kết nối Internet để đạt được thời gian hoạt động cao hơn và băng thông lớn. Trước khi cầu hình Multi-WAN cần phải cấu hình hai interfaces (LAN và WAN) hoạt động. Pfsense có khả năng xử lý nhiều WAN interface, triển khai sử dụng khoảng 10-12 WANs. WAN interface bổ sung được gọi là OPT WAN.

VPN

VPN (Virtual Private Network) là một kiểu kết nối cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp “trộm” gói tin trên đường truyền. Chức năng này của pfSense được đánh giá là rất tốt.

Ipsec (Ip Security)

IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố giải quyết nó với firewall. IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy). Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting” địa chỉ IP hiện tại.

PPTP VPN

Pfsense có thể hoạt động như một máy chủ PPTP VPN, là một trong ba tùy chọn của VPN, là lựa chọn phổ biến nhất vì hầu hết các hệ điều hành đã được xây dựng trong PPTP client. Bao gồm tất cả các phiên bản Windows từ Windows 95. Tuy nhiên nó không được đảm bảo an toàn, không nên sử dụng.

OpenVPN

OPENVPN là một giải pháp SSL VPN mã nguồn mở có thể được sử dụng cho cả client truy cập từ xa và kết nối kiểu site-to-site. Nó hỗ trợ client trên phạm vi rộng của các hệ điều hành bao gồm tất cả BSD, Linux, Mac OS X, Windows 2000 trở đi. Chức năng này tương đường với cấu hình trực diện. Địa điểm chính được cấu hình như client đang kết nối với máy chủ tại địa điểm từ xa đó.