Bao cao CaptivePortal.pdf

Giảng viên hướng dẫn: NGUYỄN ĐỨC QUANG Page 1

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP. HCM

KHOA CAO ĐẲNG THỰC HÀNH

---------------------------

MÔN CẤU HÌNH VÀ QUẢN TRỊ THIẾT BỊ MẠNG

BÁO CÁO CAPTIVE PORTAL TRÊN PFSENSE

Giảng viên hướng dẫn: Nguyễn Đức Quang

Sinh viên thực hành: Nguyễn Phan Hòa Phát

Lớp: C12QM13

Mssv: 12201743

Báo cáo SVTH: NGUYỄN PHAN HÒA PHÁT Captive Portal trên Pfsense Lớp: C12QM13 Mssv: 12201743


MỤC LỤC I. Nhu cầu: .................................................................................................................................. 2

II. Giới thiệu: ................................................................................................................................ 3

A. Captive Portal: .................................................................................................................. 3

B. Captive Portal với Pfsense: .............................................................................................. 3

III. Mô hình ................................................................................................................................ 4

IV. Cài đặt: ................................................................................................................................. 5

V. Cấu hình dịch vụ Captive Portal trên Pfsense:...................................................................... 12

A. Cấu hình các cổng .......................................................................................................... 12

B. Kiểm tra ra mạng: ........................................................................................................... 17

C. Cấu hình Captive Portal ................................................................................................. 20

D. Các tính năng .................................................................................................................. 21

1. Captive portal có các tính năng chính: ....................................................................... 21

2. Trọng tâm ................................................................................................................... 21

E. Test Captive Portal trên các thiết bị ............................................................................... 25

1. Trong Lan ................................................................................................................... 25

2. Test trong vùng phủ sóng wifi của mình .................................................................... 27

3. Kiểm tra địa chỉ IP đã cấp cho khách hàng ................................................................ 29

VI. So sánh ưu và nhược điểm của Captive Portal trên Pfsense với các dịch vụ Captive Portal

khác hiện nay: ............................................................................................................................... 31

A. Ưu điểm .......................................................................................................................... 31

B. Nhược điểm: ................................................................................................................... 31

VII. KẾT THÚC ........................................................................................................................ 32

I. Nhu cầu: Hiện nay vấn đề toàn cầu hoá và nền kinh tế thị trường mở cửa đã mang lại

nhiều cơ hội làm ăn hợp tác kinh doanh và phát triển. Các ngành công nghiệp máy tính và truyền thông phát triển đã đưa thế giới chuyển sang thời đại mới: thời đại công nghệ thôngtin. Việc nắm bắt và ứng dụng Công nghệ thông tin trongcác lĩnh vực khoa học, kinhtế, xã hội đã đem lại cho các doanh nghiệp và các tổ chức những thành tựu và



lợi ích to lớn. Máy tính đã trở thành công cụ đắc lực và không thể thiếu của con người, con người có thể ngồi tại chỗ mà vẫn nắm bắt được các thông tin trên thế giới hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet. Các tổ chức, công ty hay các cơ quan đều phải (tính đến)xây dựng hệ thống tài nguyên chung để có thể phục vụ cho nhu cầu của các nhân viên và khách hàng. Và một nhu cầu tất yếu sẽ nảy sinh là người quản lý hệ thống phải kiểm soát được việc truy nhập sử dụng các tài nguyên đó. Một vài người có nhiều quyền hơn một vài người khác. Ngoài ra, người quản lý cũng muốn rằng những người khác nhau không thể truy nhập được vào các tài nguyên nào đó của nhau.

Để thực hiện được nhu cầu trên, người quản trị sẽ phải xác định được người dùng hệ thống là ai, họ kêt nối khi nào, ở đâu và có hợp lệ hay không để phục vụ một cách chính xác nhất, đó là việc xác thực người dùng. Tránh tình trạng những người sử dụng kiến thức về mạng và các công cụ phá hoại để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, nhằm thực hiện các hỏa động xâm nhập và chiếm đoạt tài nguyên trái phép (hacker chẳng hạn). Đó là lý do cần phải có giải pháp để nhận dạng người dùng truy cập dựa vào tên đăng nhập và mật khẩu riêng . Công nghệ đó gọi là Captive Portal

II. Giới thiệu:

A. Captive Portal: Captive portal là 1 tính năng thuộc dạng flexible, chỉ có trên các firewall thương mại

lớn. tính năng này giúp redirect trình duyệt của người dùng vào 1 trang web định sẵn, từ

đó giúp chúng ta có thể quản lý được người dùng (hoặc cấm không cho người khác dùng

mạng của mình). Tính năng này tiên tiến hơn các kiểu dăng nhập như WPA, WPA2 ở chỗ

người dùng sẽ thao tác trực tiếp với 1 trang web (http, https) chứ không phải là bảng đăng

nhập khô khang như kiểu authentication WPA, WPA2.

B. Captive Portal với Pfsense:

PFSENSE là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bẳt đầu vào năm 2004, khi m0n0wall mới bắt đầu chập chững– đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang

được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó.

PFSENSE gồm có nhiều tính năng mà bạn vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, và Captive Portal cũng không phải là ngoại lệ. Với Pfsense chúng ta vừa có thể chạy được tường lửa và mở Captive Portal trên đó không như các dịch vụ Captive Portal khác như Cute Hotspot, Antamedia Hotspot. Chính vì thế bài báo cáo này chúng ta sẽ cài đặt và cấu hình Captive Portal với Pfsense.

http://m0n0.ch/wall/



III. Mô hình

Mô tả: - Yêu cầu phần cứng:

o Pfsense không quá kén chọn cấu hình chỉ với 1 máy PC đời cũ ram 256mb hay 512mb là đã đủ để dựng 1 tường lửa Pfsense. Trên máy ảo cũng vậy, chúng ta chỉ cần set 1 ít ram và vài Gb ổ cứng là đã có thể chạy mượt Pfsense

- Cấu hình Pfsense trên Vmware: o Pfsense xài 3 card mạng:

Card 1: sẽ là card ta dùng ra mạng, ở đây ta chọn Bridged với tùy chọn card đang ra internet

Card 2: sẽ là card Lan, ta chọn Vmnet5 Card 3: cũng sẽ là card Bridged nhưng với tùy chọn là card mạng

của AP - Thiết bị:

o 1 đường dây internet o 1 tường lửa Pfsense cài đặt trên Vmware



o 1 Access point o 1 máy client trong Lan để cấu hình Pfsense o 1 laptop or smatphone có wifi để test dịch vụ

IV. Cài đặt: - Các bạn có thể down file iso trên trang chủ về hoặc mua đĩa để cài đặt Pfsense. - Bỏ file iso vào và tiến hành reboot vào bios

- Chọn boot bằng CD-ROM Drive để cài đặt. OK



- Trình cài đặt bắt đầu chạy, khi dừng nó sẽ hiện ra màn hình như vậy



- Ta tiến hành gán làn lượt các cổng như mô hình



- Chọn Yes để bắt đầu áp cổng

- Màn hình sau khi áp xong



- Tiến hành gán IP cho đúng với mô hình, ta sẽ cho cổng Lan làm DHCP



- Tạo range ip sẽ cấp phát cho các máy trong Lan



- Xong - Qua máy client trong Lan nhận ip

- Máy client nhận được ip từ DHCP Lan cấp xuống



- Nhận được rồi ta sẽ tiến hành cấu hình trên Pfsense

V. Cấu hình dịch vụ Captive Portal trên Pfsense:

A. Cấu hình các cổng - Đăng nhập Pfsense với User: admin Pass: pfsense. Màn hình Status: Dashboard



- Ta sẽ tiến hành bật cổng OTP1 và sẽ cài đặt dịch vụ Captive Portal trên cổng này



- Description: đặt tên cho cổng này, chúng ta đặt tên tùy thích - Chọn Type là Static vì chúng ta sẽ cho cổng này làm DHCP Server - Gán ip đúng như mô hình, Default Gateway để mặc định

- Tiến hành tạo các rules để Lan và WAN2 ra đc internet. Các tùy chọn sẽ là any vì

ta không đi sâu vào phần này

Cổng WAN

Cổng Lan



Cổng WAN2



Chọn Save và Apply chúng



B. Kiểm tra ra mạng:

Với Lan



Với Wan và Wan2





OK

C. Cấu hình Captive Portal - Giờ ta sẽ bật dịch vụ Captive Portal và cho nó chạy trên Lan và Wan2. Tab

Services chọn Captive Portal.



D. Các tính năng

1. Captive portal có các tính năng chính: o Captive portal: tinh chỉnh các chức năng của Captive Portal. o Pass-though MAC: các MAC address được cấu hình trong mục này sẽ

được bỏ qua, không authentication.

o Allowed IP address: các IP address được cấu hình sẽ không authentication. Users: tạo local user để dùng kiểu authentication: local user

o Hai tính năng Pass-though MAC và Allowed IP address được dùng để cấu hình server

o File Manager: upload trang quản lý của Captive portal lên pfsense.

2. Trọng tâm - Ta sẽ phân tích tab Captive Portal - Mình sẽ phân tích từng tùy chọn vì đây là trọng tâm của bài báo cáo - Sau khi vào Services: Captive portal ta tick vào Enable captive portal. - Interaces: chọn 2 cổng Lan và Wan2 - Maximum concurrent connections: là thiết lập giới hạn số kết nối tối đa đồng

thời đến từ 1 khách hàng. Ví dụ như ta bán 1 account cho khách hàng và họ sử



dụng để truy cập bằng laptop, smartphone,…… cùng lúc bằng nhiều thiết bị. Mặc định để trắng nó sẽ cho phép 4 kết nối cho mỗi địa chỉ IP với 1 user. Ở đây mình sẽ để mặc định

- Idle timeout: trong 1 khoảng thời gian nhất định nếu người dùng ko sử dụng thì dịch vụ sẽ kick out người dùng ra khỏi mạng

- Hard timeout: sau khoảng thời gian này người dùng sẽ bị kick ra khỏi dịch vụ, họ có thể kết nối lại. Nếu triển khai thật để kinh doanh, ta nên để thời gian lâu hơn, mặc định sẽ là 60 phút

- Logout popup windows: xuất hiện 1 popup thông báo cho ip/user/mac - Redirect URL: địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng

nhập(trang cám ơn...). - MAC filtering: đánh dấu vào nếu pfsense nằm trước router. Bởi vì pfsense

quản lý kết nối theo MAC (mặc định). Mà khi dữ liệu qua Router sẽ bị thay đổi

mac address nên nếu timeout thì toàn bộ người dùng sẽ mất kết nối.

- Pass-through MAC Auto Entry: đây là tùy chọn cho phép ghi nhớ địa chỉ Mac của khách hàng. Sau khi bật tính năng này lên, khách hàng chỉ cần xác thực 1 lần đầu tiên và các lần sau này sau khi sử dụng không cần xác thực nữa. Nếu ta kích hoạt chức năng này chứng thực Radius sẽ không thể bật

- Per –user bandwidth restriction: giới hạn băng thông up and down



- Authentication: chọn kiểu authentication. Pfsense hỗ trợ 3 kiểu:

o No authentication: pfsense sẽ điều hướng người dùng tới 1 trang

nhất định mà không chứng thực.

o Local user manager: pfsense hỗ trợ tạo user để authentication. o Radius authentication: authentication bằng radius server (cần chỉ ra

địa chỉ ip của radius, port, ...)

- Minh sẽ chạy chức năng Local user manager - Chọn save để bật và start dịch vụ.

- Ta tiến hành tạo user cho khách hàng sử dụng. Tại tab System chọn User Manager



- Tạo thêm vài user



- Ok xong ta sẽ tiến hành test trên các thiết bị

E. Test Captive Portal trên các thiết bị

1. Trong Lan - Đầu tiên test trong mạng lan





OK

2. Test trong vùng phủ sóng wifi của mình

- Test trong Wan2( cần cấu hình dhcp server cho wan2 để cấp ip cho các máy vào wifi)



- Chọn save - Ta sẽ tiến hành test trên các thiết bị sử dụng wifi



OK

3. Kiểm tra địa chỉ IP đã cấp cho khách hàng Địa chỉ ip mà pfsense đã cấp phát



Status user đang sử dụng dịch vụ



VI. So sánh ưu và nhược điểm của Captive Portal trên Pfsense với các dịch vụ Captive Portal khác hiện nay:

A. Ưu điểm - Là phần mềm mã nguồn mở miễn phí, ta có thể down trên trang chủ của Pfsense

http://www.pfsense.org . Và đương nhiên so với các phần mềm hotspot hiện nay thì Pfsense tỏ ra hoàn hảo, vừa miễn phí vừa an toàn có đầy đủ chức năng của các phần mềm hotspot đắt tiền.

- Là lựa chọn ưu tiên hàng đầu để đối với mạng gia đình, hoặc các công ty vừa và nhỏ tầm 100 nhân viên đổ lại khi mà các router đắt tiền ko phải là lựa chọn tối ưu.

- Captive Portal trên Pfsense lại tỏ ra hoàn thiện hơn, với nhiều chức năng giám sát mạng giúp việc quản trị hệ thống trở nên dễ dàng, giao diện ngày càng đơn giản và tinh tế hơn qua các phiên bản

- Pfsense với 1 tỷ lượt tải về từ khi ra mắt và đang được cộng đồng biết đến nhiều hơn. Đây sẽ là 1 lựa chọn hoàn hảo cho những ai đang phân vân chọn tường lửa( nói riêng và Captive Portal nói chung) nào cho mạng của mình.

B. Nhược điểm: - Cần thời gian làm quen với các chức năng của Pfsense - Cần hiểu nguyên lý hoạt động của Pfsense

http://www.pfsense.org/



- Khá khó sử dụng đối với những người không phải là dân IT

VII. KẾT THÚC

Documents

Bao cao CaptivePortal.pdf