View
252
Download
0
Category
Preview:
Citation preview
pfSenseเป็นโปรเจ็คท่ีพฒันาโดย Chris Buechler และ Scott Ullrichถกูพฒันาขึน้จาก Linux สายพนัธ์ FreeBSD เม่ือปี 2004 จดุประสงค์เพ่ือใช้งานเป็นไฟร์วอล์ และเราเตอร์ และสามารถจดัการตวัอปุกรณ์ ได้ผา่นหน้า Browser (IE, Firefox, Chrome, etc.) ได้ และด้วยเน่ืองจากตวั pfSense ถกูพฒันามาจาก Linux ท าให้เราสามารถใช้มนัได้ฟรี แบบไมต้่องกลวัเร่ือง License
Hardware ส ำหรับ กำรติดตั้ง pfSense เคร่ืองคอมพิวเตอร์ CPU แนะน าวา่ควรจะเป็น Core 2 Duo ขึน้ไป
Ram ขัน้ต ่าควรจะอยูท่ี่ 512 MB ขึน้ไป การ์ดแลน 2 การ์ด (ขัน้ต ่า)
ฮาร์ดดิสก์ ขัน้ต ่า 1GB
Feature เด่น ของ pfSense
Firewall
State Table
Network Address Translation
Captive Portal
Firewallสามารถจ ากดัจ านวนการเช่ือมตอ่ (Connection) ตอ่ Rule ได้
สามารถ Filter โดยใช้ระบบปฏิบตัิการเป็นเงีอ้นไขได้ เช่น อนญุาตให้เคร่ืองคอมพิวเตอร์ท่ีเป็น Linux ใช้งานอินเตอร์เน็ตได้ แตไ่ม่อนญุาตให้เคร่ืองที่เป็น Windows ใช้งานอินเตอร์เน็ต
สามารถเซต็แตล่ะ Rule ให้เก็บหรือไม่เก็บ Log ได้
มีความยืดหยุ่นสงูในการท า Policy Routing โดยสามารถเลือก Gateway ของแตล่ะ Rule ได้ (ส าหรับ Load balancing, Fail Over, Multi-WAN เป็นต้น)
สามารถตัง้ช่ือกลุม่ของ IP, เน็ตเวิร์ค หรือ พอร์ต ได้ ท าให้เข้าใจง่ายและสะอาดต่อการจดัการ Rule ตา่ง โดยเฉพาะอย่างย่ิงส าหรับระบบท่ีมีหลาย Public IP และมีเคร่ืองเซิร์ฟเวอร์หลาย เคร่ือง
มีความสามารถท า Transparent Layer 2 สามารถท า Bridge และ Filter ระหวา่ง Interface ได้
State TableState Table ของไฟร์วอลล์ เป็นการคงไว้ของการเช่ือมตอ่ของในเน็ตเวิร์ค
จ ากดัจ านวนการเช่ือมตอ่ (Connection) ตอ่เคร่ือง
จ ากดัจ านวน state ตอ่ Host
จ ากดัการเช่ือตอ่ใหม ่(new connection) ตอ่วินาที
ก าหนดการหมดเวลาของ state (state timeout)
ก าหนดชนิดของ state
Network Address Translation (NAT) การท า Port forwarding แบบช่วงและแบบหลาย Public IP
1:1 NAT ส าหรับ IP เดียว หรือ ส าหรับทัง้ Subnet
Outbound NAT
- ค่า NATปกติส าหรับ Outbound traffic ทัง้หมด ถกู NAT ไปยงั IP ท่ีอยู่ฝ่ัง WAN ในรูปแบบท่ีมีหลาย WAN ค่า NAT ปกติ จะถกู NAT ไปยงั IP ท่ีก าลงัใช้งานฝ่ัง WAN
- การท า Outbound NAT ขัน้สงู ท าให้ค่า NAT ปกติถกูปิดการใช้งาน และเปิดการใช้งานการสร้าง NAT ท่ีมีความยืดหยุ่นมากขึน้กว่าเดิม (คือสามารถก าหนด Rule ท่ีไมใ่ห้ท า NAT ได้)
NAT Reflection – ในการตัง้ค่าบางครัง้ เป็นไปได้ท่ี Service ท่ีเข้าถึงโดย Public IP สามารถเข้าได้จากเน็ตเวิร์คข้างใน
Captive PortalCaptive Portal อนญุาตให้คณุบงัคบัให้ Authenticate หรือท าการ Redirect ไปยงัเว็บเพจเพ่ือให้คณุคลิกเพื่อท่ีจะผา่นเน็ตเวิร์คออกไปได้ ซึง่สว่นใหญ่ใช้กบั Hot Spot แตก็่สามารถน าไปใช้ได้กบัเน็ตเวิร์คขององค์กรเพื่อระดบัความปลอดภยับนเครือ ขา่ยไร้สาย หรือ การเข้าถงึอินเตอร์เน็ต ข้อมลูเพิ่มเติมเก่ียวกบัเทคโนโลยีของ Captive Portal สามารถอา่นเพิ่มเติมได้ท่ี Wikipedia รายการดงัตอ่ไปนีเ้ป็นความสามารถของ Captive Portal ใน pfSense
-Maximum concurrent connection — จ ากดัจ านวนการเชื่อมตอ่ตอ่ของ IP ของเคร่ืองลกูขา่ย คณุสมบตัินีเ้ป็นการปอ้งกนัDenial of Service จากเคร่ืองลกูขา่ยท่ีส่ง traffic อยา่งตอ่เน่ืองปราศจากการ authenticate หรือคลิกท่ีเว็บเพจท่ี Redirect ไป
-Idle timeout – ตดัการเชื่อมตอ่เม่ือไม่มีการใช้งานในเวลาท่ีก าหนด
-Hard timeout – ตดัการเชื่อมตอ่โดยอตัโนมตัิเมื่อถงึเวลาท่ีก าหนด
-Logon pop up window – เป็น pop up window ท่ีมีปุ่ ม log off
-URL Redirection – หลงัจากการ Authenticate หรือคลิกบนเว็บเพจเป็นท่ีเรียบร้อยแล้ว เราสามารถ Redirect ไปยงัเว็บเพจท่ีเราก าหนดไว้ได้
-MAC Filter – สามารถ filter โดยใช้ MAC Address
Authentication Optionมีสามตวัเลือกในการท า
- authenticationNo authentication – หมายความวา่ ผู้ ใช้เพียงแค่คลิกในหน้าท่ี Redirect ไป โดยท่ีไม่ต้องให้รหสัผ่านแตอ่ย่างใด
- Local user manager – สามารถใช้ฐานข้อมลูผู้ใช้ใน pfSense ได้
- RADIUS authentication – เป็นวิธีการท่ีแนะน าส าหรับผู้ใช้ในองค์กรและ ISP สามารถ Authenticate กบั Microsoft Active Directory และ RADIUS Server หลาย ตวั
(ก่อน)
(หลัง)
ข้อดใีนกำรใช้งำน
สร้างง่าย เจาะ ยาก เพราะระบบ ท่ีไมซ่บัซ้อน จงึมีช่องโหวน้่อยมาก
ควบคมุการใช้งานระบบ internet ภายในองค์กรได้โดยระบบยืนยนัตวัตน
เหมาะกบัองค์กรท่ีต้องการเก็บ log การใช้งานจากผู้ใช้ตาม พรบ. คอมพิวเตอร์
เหมาะกบั administrator มือใหม ่config ง่าย จดัการระบบง่าย และ ระบบ แข็งแรง
เหมาะกบัการควบคมุการจารจรในระบบ และการท า Routing
เหมาะกบัการใช้งานในองค์ระดบัเลก็ถึงระดบักลาง
ข้อเสีย
เน่ืองจากเป็นซอฟแวร์แบบ Open source จงึไมมี่การซพัพอร์ทใด เวลาเกิดปัญหา
ความสามารถด้าน firewall ไมส่งูเทียบเทา่ next generation firewall ท่ีมีในปัจจบุนั
ไมเ่หมาะกบัการใช้งานในองค์กรระดบัใหญ่
ตัวอย่ำงกำรใช้งำนระบบกำรยืนยนัตวัตน
Recommended