IV.

Thực nghiệm
1. Mô tả, yêu cầu
Ngày nay mạng nội bộ là 1 yếu tố không thể thiếu ở các công ty. Ngoài việc triển khai đầy đủ các
dịch vụ mạng thì vấn đề bảo mật cũng được đặt lên hàng đầu. Do đó một tường lửa là không thể
thiếu trong mô hình mạng. Các phần mềm tường lửa thương mại là lựa chọn hàng đầu của các
công ty lớn. Nhưng với các công ty vừa và nhỏ thì các phần mềm miễn phí cũng đã đáp ứng đầy
đủ các nhu cầu của họ. Sau đây là một mô hình mạng tiêu biểu có thể được triển khai ở các công
ty vừa và nhỏ mà nhóm em tìm hiểu.
Mô hình mạng triển khai:
(hình)
Mô hình mạng được triển khai với 3 máy Server chính:
- Máy Firewall cài đặt HĐH Linux và SmoothWall Express 3.0 để làm tường lửa cho mạng nội
bộ
- Máy DMZ Server cài đặt HĐH Linux và triển khai các dịch vụ mạng như: FTP, WEB, MAIL
- Máy Server cài đặt HĐH Linux và triển khai các dịch vụ: DHCP, DNS
- Và một modern ASDL để cho các máy client có thể truy cập Internet
- Các máy client trong mạng LAN được truy cập các dịch vụ trên máy DMZ và bên ngoài
Internet thông qua Firewall
- Máy DMZ được phép TELNET qua các máy trong mạng LAN
- Cấm các máy bên ngoài Internet truy cập vào các máy Client bên trong mạng LAN
- Cho phép các máy bên ngoài truy cập vào các dịch vụ trên máy DMZ: FTP. Trừ các máy có địa
chỉ IP nhất định được cấu hình trước được phép quản trị từ xa
- Triển khai hệ thống phát hiện phòng chống xâm nhập trên Firewall sử dụng Sort IDS
Triển khai trên máy ảo

2. Các bước cấu hình

Mô hình thực nghiệm được xây dựng gồm 3 vùng mạng giao tiếp với nhau qua máy Firewall:
- Mạng LAN có địa chỉ mạng là 10.0.0.0/24
- Mạng Internet có địa chỉ mạng là 192.168.1.0/24
- Vùng DMZ có địa chỉ mạng là: 20.0.0.0/24
 Máy Server
- Hệ điều hành: Linux
- Địa chỉ IP 10.0.0.2/24
 - Host name: Server.tieuluan.com
- Triển khai dịch vụ DHCP-DNS để cấp IP động cho các máy trong mạng LAN
 Máy Client
- Hệ điều hành: Win XP
- Địa chỉ IP: nhận IP động từ máy Server
 Máy DMZ Server
- Hệ điều hành: Linux
- Địa chỉ IP: 20.0.0.2/24
- Host name: dmz.tieuluan.com
- Triển khai các dịch vụ FTP, WEB để kiểm tra cấu hình
 Máy Firewall
- Hệ điều hành: Linux
- Địa chỉ IP
+ Card Lan: 10.0.0.1/24
+ Card DMZ: 20.0.0.1/24
+ Card Internet: 192..168.1.1/24
- Host name: firewall.tieuluan.com
- Cài đặt Smoothwall Express 3.0 làm tường lửa để kiểm soát lưu thông mạng
 Máy External PC
- Hệ điều hành: Win XP
- Dùng để kiểm tra cấu hình
 Máy Linux Router
- Hệ điều hành: Linux
- Địa chỉ IP: 192.168.1.2
- Đóng vai trò Internet, triển khai các dịch vụ FTP, WEB để kiểm tra cấu hình

Sau cấu hình địa chỉ IP và cài đặt các dịch vụ cho máy server. Tiếp theo ta cài đặt SmoothWall Express
3.0 và cấu hình các luật theo yêu cầu

3. Cấu hình các luật

Tiến hành cài đặt Smoothwall Express 3.0 vào máy Firewall  xem phần hướng dẫn cài đặt
Dựa theo các yêu cầu được đề ra, ta đưa ra các luật để cấu hình trên máy Firewall:
 GREEN  External: HTTP, HTTPS, FTP, DNS
 External  DMZ: HTTP, HTTPS
 External (192.168.1.100): admin
 DMZ  GREEN: TELNET, DNS
 DMZ  Exteral: HTTP, HTTPS, FTP, DNS
 Triển khai Sort IDS trên Firewall

Bước 1: Cấu hình cho phép các máy trong mạng Lan và DMZ truy cập Internet

GREEN  External: HTTP, HTTPS, FTP, DNS

DMZ  External: HTTP, HTTPS, FTP, DNS

 Truy cập Smoothwall  xem phần hướng dẫn truy cập

 Vào Networking -> outgoing
 Bước 2: Cấu hình cho phép các máy bên ngoài truy cập các dịch vụ trên DMZ Server như: FTP,
HTTP, HTTPS. Và máy Exteral (192.168.1.100) quyền admin

External  DMZ: HTTP, HTTPS

External (192.168.1.100): admin

 Truy cập Smoothwall  xem phần hướng dẫn truy cập

 Vào Networking -> incoming cho phép máy External truy cập FTP vầ WEB trên DMZ
  Vào Networking -> external access cấu hình cho phép máy External (192.168.1.100) truy
cập được Smoothwall

Bước 3: Cấu hình cho phép máy DMZ TELNET và DNS được các máy trong mạng LAN

DMZ  GREEN: TELNET, DNS

 Truy cập Smoothwall  xem phần hướng dẫn truy cập

 Vào Networking -> internal
Bước 4: Triển khai Snort IDS

 Truy cập vào website https://www.snort.org/ đăng kí thành viên và nhận Link code
 Vào Services-> ids để kích hoạt