An toàn hệ thống (CT222) - Khoa CNTT&TT - Đại học Cần Thơ

LAB 6
NAT, Firewall và VPN với pfSense - IDS với Snort

Họ tên và MSSV:
Nhóm học phần:
- Các sinh viên bị phát hiện sao chép bài của nhau sẽ nhận 0đ cho tất cả bài thực hành
của môn này.
- Bài nộp phải ở dạng PDF, hình minh họa phải rõ ràng chi tiết. Hình minh hoạ chỉ cần
chụp ở nội dung thực hiện, không chụp toàn màn hình.

Câu 1: Tường lửa pfSense

pfSense là một ứng dụng có nhiều chức năng mạnh và miễn phí như định tuyến, tường
lửa, NAT, DHCP, proxy, … Trong bài thực hành này sinh viên sẽ thực hiện một hệ thống mạng
với sơ đồ như Hình 1. Trong đó máy pfsense đóng vai trò là firewall cho toàn hệ thống mạng,
Host_1, Host_2 là các máy trong mạng intranet.

Bridged Internal
network network
(192.168.1
et
Physic w la
.0/24)
pfse h0 Ho
al an n
connec nse st
et 1
tion h0 Ho
st
2
Virtua
lBox
Hình 1: sơ đồ mạng

1.1 Tạo máy ảo

- Sử dụng VirtualBox tạo 2 máy ảo với thông tin sau:
- Máy 1:
+ Tên: pfSense, hệ điều hành: FreeBSD 64 bit
+ Có 2 nối kết mạng: 1 (wan) gắn vào bridged network, 1 (lan) gắn
vào internal network
- Máy 2:
+ Tên: Host_1, hệ điều hành: Lubuntu 20.04
+ Có 1 nối kết mạng: gắn vào internal network
1.2 Cài đài hệ điều hành
An toàn hệ thống (CT222) - Khoa CNTT&TT - Đại học Cần Thơ

- Cài đặt pfSense vào Máy 1.

https://getlabsdone.com/how-to-install-pfsense-on-virtualbox/
- Cài đặt Lubuntu vào Máy 2 (có thể chạy Lubuntu ở chế độ live, không cần cài đặt
vào ổ cứng).
(Chụp hình minh họa)
1.3 Cấu hình mạng
- Cấu hình mạng cho nối kết wan của máy pfSense cùng dãy địa chỉ với nối kết
mạng của máy vật lý (có thể cấu hình sử dụng DHCP); nối kết lan sử dụng cấu
hình mặc định của pfSense
- Cấu hình mạng cho nối kết enp0s3 của máy Host_1 sử dụng DHCP
- Kiểm tra cấu hình mạng của máy Host_1 bằng cách:
- ping tới nối kết lan của pfSense
- ping tới nối kết wan của pfSense
- Trên máy Host_1 dùng trình duyệt truy cập đến địa chỉ của nối lan của pfSense
(192.168.1.1)
- Đăng nhập với tài khoản/mật khẩu là admin/pfsense; cấu hình (bước này chỉ cần
thiết nếu thực hiện bằng máy trong Khoa CNTT&TT)
- DNS (system/general setup): 172.18.27.2; 172.18.27.6
- Proxy (system/advanced/miscellaneous): proxy.ctu.edu.vn; port:3128
(Chụp hình minh họa)
1.4 Cấu hình NAT
- Cài đặt Apache vào Host_1, khởi động Apache trên Host_1, tắt dịch vụ tường
lửa/hoặc mở cổng 80 (nếu cần):
sudo apt install apache2
sudo systemctl start apache2
- Cấu hình NAT trên pfsense để máy vật lý có thể truy cập tới dịch vụ Web
- Đăng nhập pfsense
- Tiến hành cấu hình NAT: WAN/80 của pfSense -> enp0s3/80 của Host_1
- Trên Firewall/rules/WAN của pfSense
- Bỏ rule “Block private networks and loopback addresses” và “Block bogon
networks”
(Chụp hình minh họa)
1.5 Cấu hình tường lửa
- Trên pfsense cấu hình firewall cho phép các dịch vụ HTTP, HTTPS và SSH; cấm
tất cả các dịch vụ khác
(Chụp hình minh họa)
1.6 Cấu hình VPN (Không bắt buộc)
- Tạo CA cho pfsense (system/certificate manager/CAs)
- Tạo certificate cho openvpn (system/certificate manager/certificates)
- Tạo người dùng vpn client và certificate tương ứng (system/user manager)
- Cài đặt package open-vpn-client-export (system/package manager)
- Tạo VPN server (VPN/openvpn/wizards)
- Tạo file cài đặt cho OpenVPN client (VPN/openvpn/Client Export), gửi file cài đặt
tới người dùng.
An toàn hệ thống (CT222) - Khoa CNTT&TT - Đại học Cần Thơ

- Cài OpenVPN client vào máy vật lý, sau đó nối kết tới server

Câu 2: IDS Snort

Snort là một hệ thống phát hiện xâm nhập mạng, viết tắt là IDS (Intrusion detection system), mã
nguồn mở và miễn phí. Snort cung cấp nhiều tính năng tuyệt vời trong việc bảo vệ hệ thống
bên trong, phát hiện và ngăn chặn sự tấn công từ bên ngoài vào hệ thống.

2.1. Tạo máy ảo

- Tạo 1 NAT network có tên “labcs” trên VirtualBox
- Tạo 1 máy ảo Kali (nếu chưa có)
- Tạo 1 máy ảo Lubuntu (nếu chưa có), có thể chạy Lubuntu ở chế độ live, không
cần cài đặt vào ổ cứng).
- Sau đó cấu hình mạng cho 2 máy ảo vào NAT network “labcs”
(Chụp hình minh họa)

2.2. Cài đặt và cấu hình Snort trên máy Lubuntu

- Cài đặt snort:
sudo apt update
sudo apt install snort
(trong quá trình cài đặt, thiết lập các thông số phù hợp)
- Trong bài chúng ta dùng các thiết lập mặc định của Snort, do vậy không cần thay
đổi tập tin cấu hình của Snort
- Tải và thêm các rules của Snort:
wget https://www.snort.org/rules/community -O
~/community.tar.gz
sudo tar -xvf ~/community.tar.gz -C ~/
sudo cp ~/community-rules/* /etc/snort/rules
- Chạy thử Snort:
sudo snort -T -c /etc/snort/snort.conf
(Chụp hình minh họa)

2.3. Phát hiện tấn công sử dụng lệnh ping

- Thêm rules phát hiện tấn công bằng lệnh ping:
sudo nano /etc/snort/rules/local.rules
- Thêm dòng sau:
alert icmp any any -> $HOME_NET any (msg:"ICMP test";
sid:10000001; rev:001;)
- Thực thi Snort:
An toàn hệ thống (CT222) - Khoa CNTT&TT - Đại học Cần Thơ

sudo snort -A console -i enp0s3 -u snort -g snort -

c /etc/snort/snort.conf
- Trên máy Kali thực hiện lệnh ping tới máy Lubuntu
- Trên máy Snort phải xuất hiện cảnh báo về lệnh ping và trong thư mực
/var/log/snort phải có file log về sự kiện trên.
(Chụp hình minh họa)

2.4. Phát hiện tấn công do thám sử dụng Nmap

- Trên máy Kali sử dụng Nmap để quét máy Lubuntu sử dụng kiểu quét XMAS
sudo nmap -sX -T2 <IP máy Lubuntu>
- Trên máy Lubuntu phải xuất hiện cảnh báo và log về sự kiện tấn công trên.
- Rules nào để Snort có thể phát hiện tấn công quét XMAS bằng Nmap?
(Chụp hình minh họa)

---HẾT---