Xin chào các bạn!
Ngày hôm nay mình bắt đầu viết về chuyên đề PFSense và tất cả những gì mình học ,làm việc với PFsense.
Bài viết mình có tham khảo từ nhiều nguồn trên Internet và những kinh nghiệm thực tế trong quá trình làm việc.
Việc tham khảo và nghiên cứu từ nhiều nguồn trên Internet nên không thể trích dẫn đầy đủ tất cả các nguồn tham khảo trong bài viết nên tại đây mình cũng xin phép luôn các bạn admin của những trang web đó 
- PFsense là gì ?
pfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wallmới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó.
Pfsense bao gồm nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng
pfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải
Đặc điểm khá quan trọng là cấu hình để cài đặt sử dụng phần mềm Pfsense không đòi hỏi cao .Chúng ta chỉ cần một máy tính P3,Ram 128 MB ,HDD 1GB cũng đủ để dựng được tường lửa Pfsense.
Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng.
2. Cài đặt pfSense
Mình sẽ có bài viết chi tiết cài đặt Pfsense ở bài sau.Tại đây chúng ta tìm hiểu về tổng quan cách cài đặt và chạy Pfsense ,quản trị qua giao diện Web.
Để cài đặt trước tiên bạn phải download pfSense và chọn giữa gói được nhúng hoặc một gói CD ISO. Bạn chỉ nên chọn gói được nhúng nếu sẽ sử dụng nó trên một thiết bị mạng sử dụng công nghệ flash cho lưu trữ. Hầu hết mọi người nên chọn CD ISO cho các máy tính thông thường.
Để chạy pfSense đúng cách, bạn cần một máy với cấu hình tối thiểu CPU 100MHz với 128MB Ram và có ít nhất hai card giao diện mạng (NIC), một cho LAN và một cho WAN. Yêu cầu tối thiểu này đáp ứng được cho thông lượng nhỏ hơn 10Mbps. Khi thông lượng mạng của bạn và tính năng sử dụng tăng, thì các yêu cầu của pfSense cũng tăng theo. Hãy kiểm tra trên trang của pfSense để có được các chi tiết kỹ thuật thích hợp nhất cho các yêu cầu của bạn.
Qúa trình cài đặt Pfsense khá đơn giản và ít bước .
3. Sử dụng pfSense
Cấu hình của pfSense cũng không khác với các cấu hình của bất cứ firewall và router mạng nào có sử dụng cấu hình Web. Sau khi đăng nhập bằng username và password mặc định ( admin/pfsense), bạn có thể cấu hình các giao diện của tường lửa và các rule cho nó. Để việc quản lý trên Web an toàn, cần thay đổi mật khẩu mặc định và thiết lập kiểu session thành HTTPS trên các thuộc tính cài đặt chung. Ở đây bạn cũng có thể thiết lập các thiết lập DNS của tường lửa.
Tại Dashboard các bạn có thể dễ dàng thấy thông tin cấu hình của máy Pfsense ,các Interfaces .Giao diện này có thể tùy chỉnh và add thêm được nhiều thông báo tiện cho việc quản trị sau này.
4. Tính năng cơ bản trong Pfsense
– Host: tạo nhóm các địa chỉ IP.
– Network: tạo nhóm các mạng.
– Port: Cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol. Các protocol được sử dụng trong các rule.
Mặc định pfSense cho phép mọi lưu thông ra/vào hệ thống. Bạn phải tạo các rules để quản lý mạng bên trong Firewall.
Một số lựa chọn trong Destination và Source.
– Single host or alias: Một địa chỉ ip hoặc là một bí danh.
– Lan subnet: Đường mạng Lan.
– Network: địa chỉ mạng.
– Lan address: Tất cả địa chỉ mạng nội bộ.
– Wan address: Tất cả địa chỉ mạng bên ngoài.
– PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPT.
– PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE.
Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với cơ chế NAT thông qua IP ảo. Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP, CARP và một loại khác. Mỗi loại đều rất hữu ích trong các tình huống khác nhau. Trong hầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs, do đó cần phải sử dụng Proxy ARP hoặc CARP. Trong tình huống mà ARP không cần thiết, chẳng hạn như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sử dụng IP ảo loại khác.
Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1. Họ cũng cho phép các tính năng như failover, và có thể cho phép dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.
– CARP
o Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
o Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ).
o Các VIP đã được trong cùng một subnet IP của giao diện thực.
o Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
o Proxy ARP.
o Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
o Tạo ra lớp 2 lưu lượng cho các VIP.
o Các VIP có thể được trong một subnet khác với IP của giao diện thực.
o Không trả lời gói tin ICMP ping.
o Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
o Các VIP có thể được trong một subnet khác với các giao diện IP.
o Không trả lời ICMP ping.
Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.
Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outbound NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần.
Một trong những tính năng chính của một Firewall ngoài việc lọc và thực hiện NAT là định tuyến được lưu thông trong mạng. Nó bao gồm các tuyến tĩnh, các giao thức định tuyến, định tuyến IP công cộng và hiển thị các thông tin định tuyến.Bridging
Thông thường mỗi interface trên pfSense sẽ đại diện cho một miền riêng với một subnet IP duy nhất, giống như một vùng riêng biệt. Trong một số trường hợp cần kết hợp nhiều interfaces thành một miền mới, lúc đó chức năng này sẽ kết hợp hai cổng trên tường lửa sẽ hoạt động giống như nó đang trên cùng một miền, ngoại trừ lưu lượng giữa các interface được kiểm soát bởi các quy luật (rule) đã được cấu hình.
Virtual Lans (Vlans)
VLAN cung cấp một phương tiện để phân đoạn mạng miền thành nhiều mạng con, mỗi mạng con hoạt động độc lập với nhau. Nhưng vấn đề bảo mật cần phải đưa vào account khi thiết kế và thực thi một giải pháp liên quan đến VLAN. VLAN không đảm bảo an toàn nên sai có thể dẫn đến tổn thương cho mạng của bạn.
Multi-Wan
Multi-WAN của pfSense cho phép sử dụng nhiều kết nối Internet để đạt được thời gian hoạt động cao hơn và băng thông lớn. Trước khi cầu hình Multi-WAN cần phải cấu hình hai interfaces (LAN và WAN) hoạt động. Pfsense có khả năng xử lý nhiều WAN interface, triển khai sử dụng khoảng 10-12 WANs. WAN interface bổ sung được gọi là OPT WAN.
VPN
VPN (Virtual Private Network) là một kiểu kết nối cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp “trộm” gói tin trên đường truyền. Chức năng này của pfSense được đánh giá là rất tốt.
Ipsec (Ip Security)
IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố giải quyết nó với firewall. IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy). Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting” địa chỉ IP hiện tại.
PPTP VPN
Pfsense có thể hoạt động như một máy chủ PPTP VPN, là một trong ba tùy chọn của VPN, là lựa chọn phổ biến nhất vì hầu hết các hệ điều hành đã được xây dựng trong PPTP client. Bao gồm tất cả các phiên bản Windows từ Windows 95. Tuy nhiên nó không được đảm bảo an toàn, không nên sử dụng.
OpenVPN
OPENVPN là một giải pháp SSL VPN mã nguồn mở có thể được sử dụng cho cả client truy cập từ xa và kết nối kiểu site-to-site. Nó hỗ trợ client trên phạm vi rộng của các hệ điều hành bao gồm tất cả BSD, Linux, Mac OS X, Windows 2000 trở đi. Chức năng này tương đường với cấu hình trực diện. Địa điểm chính được cấu hình như client đang kết nối với máy chủ tại địa điểm từ xa đó.
Traffic Shaper (Quản Lý Băng Thông)
Pfsense cung cấp tính năng Traffic Shaper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn.
Server Load Balancing
Với chức năng này bạn có thể điều phối mạng hay còn gọi là cân bằng tải.
Có 2 loại load balancing trên pfSense:
– Gateway load balancing: được dùng khi có nhiều kết nối WAN. Client bên trong LAN khi muốn kết nối ra ngoài Internet thì pfSense lựa chọn card WAN để chuyển packet ra card đó giúp cho việc cân bằng tải cho đường truyền.
– Server load balancing: cho phép cân bằng tải cho các server của mình. Được dùng phổ biến cho các web server, mail server và server không hoạt động nữa thì sẽ bị xóa.
Wireless
Pfsense có khả năng cho phép xây dựng mạng không dây, sử dụng kết nối không dây như là một kết nối WAN.
Captive Portal
Captive portal cho phép admin có thể chuyển hướng client tới một trang web khác, từ trang web này client có thể phải chứng thực trước khi kết nối tới internet.
– Captive portal: các chức năng của Captive Portal
o Maximum concurrent connections: Giới hạn các connection trên mỗi ip/user/mac.
o Idle timeout: Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ ngắt kết nối của ip/user/mac.
o Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.
o Logout popup windows: Xuất hiện 1 popup thông báo cho ip / user / mac.
o Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng nhập
– Allowed IP address: Các IP address được cấu hình sẽ không authentication
– Users: Tạo local user để dùng kiểu authentication: local user
– File Manager: Upload trang quản lý của Captive portal lên pfSense.
Có 3 kiểu chứng thực client:
– No authentication: pfSense sẽ điều hướng người dùng tới 1 trang nhất định mà không chứng thực.
– Local user manager: pfSense hỗ trợ tạo user để chứng thực.
– Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ IP của radius, port, …)
Pfsense là một trong rất ít các giải pháp mã nguồn mở cung cấp khả năng sẳn sàng cao với trạng thái dự phòng. Cho phép loại bỏ các bức tường lửa bị lỗi.Firewall Schedules
Các Firewall rules có thể được sắp xếp để nó chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần.
Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh nghiệp muốn quản lý nhân viên sử dụng internet trong giờ hành chính.Các Dịch Vụ Của Firewall Pfsense
DHCP ServerDịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin cấu hình cho client trong mạng LAN.DHCP Relay
Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client nằm trong một subnet nào đó tới một DHCP server cho trước.
Chỉ được phép chạy một trong hai dịch vụ DHCP server và DHCP relay.Dynamic DNS
Pfsense cho phép đăng ký địa chỉ IP của WAN interface của nhiều nhà cung cấp DNS động. Nó rất hữu ích khi muốn điều khiển từ xa.SNMP (Simple Network Management Protocol)
Chức năng SNMP của pfSense sẽ cho phép giám sát từ xa các thông số hệ thống pfSense. Tùy thuộc vào các tùy chọn cho phép mà có thể theo dõi như: lưu lượng mạng, hàng đợi, thông tin chung hệ thống(CPU, bộ nhớ….).WOL (Wake On Lan)
Được dùng để đánh thức máy tính đã tắt bằng cách gửi gói tin đặc biệt “Magic packet”. Các NIC trong máy tính phải được hỗ trợ WOL và phải được cấu hình đúng. Thông thường thiết lập WOL của NIC ở BIOS.PPPoE Server
Pfsense có thể hoạt động như một máy chủ PPPoE, chấp nhận hoặc xác thực kết nối từ client PPPoE trên interface cục bộ. Nó được dùng để bắt buộc người dùng xác thực trước khi được quyền truy cập mạng hoặc kiểm soát hoạt động đăng nhập của họ.Một Số Chức Năng Khác
– System log: theo dõi hoạt động của hệ thống pfSense và các dịch vụ mà pfSense cung cấp. Mọi hoạt động của hệ thống và dịch vụ đều được ghi lại.
– System Status: Liệt kê các thông tin và tình trạng của hệ thống.
– Service Status: Hiển thị trạng thái của tất cả các service có trong hệ thống. Mỗi service có hai trạng thái là: running, stopped.
– Interface Status: Hiển thị thông tin của tất cả card mạng.
– RRD Graph: Hiển thị các thông tin dưới dạng đồ thị. Các thông tin mà RRD Graph sẽ thể hiện là: System, Traffic, Packet, Quality, Queues.
– Pfsense khá linh hoạt với các hệ thống khác để hỗ trợ tốt hơn cho việc vận hành của pfSense như: kết hợp chứng thực người dùng thông qua hệ thống RADIUS…
– Ngoài ra pfSense còn có thể kết nối với mạng 3G, 4G thông qua thiết bị 3G, 4G. Trường hợp này phòng bị cho sự cố bất khả kháng khi tất cả các đường truyền internet bằng cáp bị hư hỏng.
Trên đây mình đã trình bay sơ lược Pfsense và các tính năng bên trong nó. Bài viết được sử dụng tham khảo nhiều nguồn : quantrimang.com ,http://tranhait.com/ ,https://pfsense.org/ …
Các bạn có thể xem hướng dẫn cấu hình pfsense các phần Tại đây
Nguồn: Internet
