Professional Documents
Culture Documents
Bài thực hành 5 - Trần Đăng Trọng - B20DCAT191
Bài thực hành 5 - Trần Đăng Trọng - B20DCAT191
BÀI THỰC HÀNH 05: CÀI ĐẶT CẤU HÌNH MẠNG DOANH NGHIỆP VỚI
PFSENSE FIREWALL
1
Mục lục:
I. Mục đích...........................................................................................................3
2
I. Mục đích:
Các công ty thường bảo vệ hệ thống mạng bằng cách sử dụng tường lửa phần
cứng hoặc phần mềm để kiểm soát lưu lượng mạng truy cập. Một số loại lưu lượng
nhất định có thể bị ngăn chặn hoặc cho phép đi qua tường lửa. Việc hiểu cách thức
hoạt động của tường lửa và mối quan hệ của nó với các mạng bên trong và bên
ngoài sẽ rất quan trọng để có hiểu biết về bảo mật mạng.
Bài thực hành này giúp sinh viên có thể tự cài đặt, xây dựng một mạng doanh
nghiệp với tường lửa để kiểm soát truy cập. Mạng mô phỏng môi trường mạng
doanh nghiệp này có thể sử dụng trong các bài lab về ATTT sau này.
3
VMnet1 (Host Only Mode)
VMnet1 cũng là 1 Switch ảo nhưng chỉ sử dụng để kết nối máy thật và máy ảo
trong máy tính cài VMWare. Bản thân VMnet1 được kết nối với Virtual DHCP
Server để cấp IP động cho những máy kết nối vào nó. Giá trị mặc định của DHCP
Scope là 192.168.18.0/24. Khi cài đặt xong VMWare thì card mạng Local Area
Connection 2 do chương trình tạo ra được kết nối vào VMnet1 và có địa chỉ IP tĩnh
cùng NetID với Scope. Các bạn có thể chỉnh sửa thông số Scope, gỡ bỏ DHCP
Server được kết nối vào VMnet hiện tại hay thêm DHCP Server vào VMnet khác
bằng cách vào Virtual Network Editor> tab DHCP
Trong tab này chúng ta có thể thêm DHCP kết nối vào VMnet khác (Add…), gỡ
bỏ DHCP hiện có (Remove) hay dừng (Stop), khởi động (Start) dịch vụ DHCP.
Chỉnh sửa thông số DHCP thông qua tab Properties
VMnet8 (NAT)
VMnet8 là Switch ảo vừa được nối vào Virtual DHCP lại được nối vào Virtual
NAT Device giúp cho các máy ảo trong VMWare có thể liên lạc với mạng ngoài
nhưng theo giao thức NAT. NAT Device ở đây là 1 thiết bị được quản lý bởi
VMWare, có địa chỉ IP riêng chứ không phải giống như ta cấu hình ICS trên
Windows là dùng máy thật như 1 NAT Device rồi NAT từ Virtual NIC (Adapter
VMnet8) qua Physical NIC. Để quản lý DHCP Server thì bạn vào những phần tôi
đã nêu ở trên VMnet1. Còn muốn quản lý cấu hình NAT Device thì bạn vào Virtual
Network Editor> tab NAT. Nhưng các bạn lưu ý, chúng ta chỉ được hỗ trợ 1 NAT
Device nên chỉ có 1 VMnet được kết nối ra ngoài theo cơ chế NAT.
VM Team và LAN Segment
Ngoài cách cấu hình các máy ảo nối với nhau thông qua các VMnet, chúng ta còn
có thể tạo ra các VM Team để nhóm các máy ảo lại với nhau rồi tạo ra LAN
Segment để kết nối chúng lại. Với cách này ta không cần phải cho máy ảo nối vào
các VMnet. Để tạo VM Team chúng ta vào Tab HOME> New Team
Có 3 chế độ khác nhau: Bridged, Host-only, NAT.
Bridged: Máy ảo hoạt động độc lập được kết nối với switch và router vật lý và
trực tiếp nhận địa chỉ IP từ DHCP Server có mặt trong mạng lưới. Nó có quyền
truy cập vào các máy khác trên mạng và có thể được các máy khác liên hệ trên
mạng như thể là một máy tính vật lý.
4
NAT: Đây là chế độ mạng mặc định được sử dụng và gán khi tạo một máy ảo. Ở
chế độ này, máy ảo không có địa chỉ IP riêng trên mạng bên ngoài. Thay vào đó,
một mạng riêng được thiết lập trên máy chủ lưu trữ. Máy ảo nhận một địa chỉ trên
mạng đó từ máy chủ DHCP VMware ảo. Thiết bị VMware NAT truyền dữ liệu
mạng giữa một hoặc nhiều máy ảo và mạng bên ngoài. Nó xác định các gói dữ liệu
đến dành cho mỗi máy ảo và gửi chúng đến đích 1 chính xác.
Host-only: Được sử dụng khi cần tạo một mạng hoàn toàn bị cô lập để máy ảo của
bạn không thể thấy mạng khác hoặc Internet, cung cấp kết nối mạng giữa máy ảo
và máy chủ, sử dụng bộ chuyển đổi Ethernet ảo hiển thị trên hệ điều hành máy chủ.
6
Đang trong giai đoạn thử nghiệm, mục tiêu có thể kết nối trực tiếp VM với Oracle
đám mây để sau này thêm nhiều máy ảo hơn và có giao tiếp giữa chúng.
Không kết nối
Trong chế độ cấu hình này, máy ảo sẽ được cài đặt một card mạng, nhưng nó sẽ
không được kết nối với VirtualBox, vì vậy nó sẽ không có quyền truy cập vào bất
kỳ mạng nào, có thể là mạng cục bộ, Internet, cũng như không có giao tiếp mạng
với máy tính thực.
7
III. Thực hành:
Tạo 2 subnet trên vmware, vmnet2 có địa chỉ 10.10.19.0/24 cho mạng Internal
và vmnet3 có địa chỉ 192.168.100.0/24 cho mạng External:
8
Cấu hình địa chỉ IP cho máy Windows Server 2003 mạng Internal (IP
192.168.100.201):
9
Cấu hình địa chỉ IP cho máy Windows Server 2003 mạng External (IP
10.10.19.202):
Cấu hình địa chỉ IP (192.168.100.147) cho Ubuntu Linux Internal và kiểm tra:
10
Cấu hình địa chỉ IP (10.10.19.148) cho Kali Linux External và kiểm tra:
11
Cấu hình địa chỉ IP (192.168.100.3) cho Kali Linux Internal và kiểm tra:
12
Cấu hình 2 interface cho PfSense: em0 có IP 10.10.19.1 cho mạng
INTERNAL, em1 có IP 192.168.100.1 cho mạng EXTERNAL:
13
Thử nghiệm ping các máy trong mạng với Pfsense:
Máy Windows Server 2003 Victim trong mạng External
14
Máy Kali Linux attack 1 trong mạng Internal
15
Máy Linux Victim trong mạng Internal
Thử nghiệm ping các máy Kali linux và Ubuntu trong mạng Internal với Windows
Server Internal:
16
Thử nghiệm ping các máy Windows Server và Ubuntu trong mạng Internal với
Kali Linux Internal:
17
Thử nghiệm ping các máy Windows Server và Kali Linux trong mạng Internal với
Ubuntu Internal:
Thử nghiệm ping lẫn nhau 2 máy Windows Server và Kali Linux trong mạng
External:
18
19
Cài đặt cấu hình pfsense firewall cho lưu lượng ICMP:
Setup Pfsense trên máy Linux:
20
Truy cập vào Firewall chọn Rule và Add để thêm luật cho pfSense: Thiết lập
rule cấu hình ICMP cho phép các máy trong mạng Internal (LAN) ping được ra các
máy ở mạng External (WAN), không cho phép ping vào trong mạng Internal:
21
22
Kiểm tra ping tới 10.10.19.1 từ máy Ubuntu Linux:
Kiểm tra bằng cách ping tới 10.10.19.1 từ máy Kali attack ở mạng ngoài:
23
Sau khi áp dụng rule, máy Kali Linux External không thể ping tới Ubuntu Internal,
nhưng Ubuntu Internal có thể ping tới Kali Linux External:
24
Trả lời câu hỏi:
Theo mặc định, có bao nhiêu cổng TCP mở trên giao diện mạng trong của Pfsense?
- Trả lời: Thử nghiệm quét bằng nmap cho thấy mặc định không có cổng TCP
mở trên giao diện mạng trong của Pfsense.
Theo mặc định, có bao nhiêu cổng TCP mở trên giao diện mạng ngoài của Pfsense?
- Trả lời : Thử nghiệm quét bằng nmap cho thấy mặc định có 2 cổng TCP mở
trên giao diện mạng ngoài của Pfsense
25
Cài đặt cấu hình pfsense firewall cho phép chuyển hướng lưu lượng tới
các máy trong mạng Internal:
Trên máy Linux victim ở mạng trong, vào http://192.168.100.1 để cấu hình
NAT trên pfsense qua giao diện web.
26
Truy cập vào Firewall chọn NAT chọn Add
Cấu hình cho phép cổng SSH trên IP 192.168.100.147 được truy cập từ bên
ngoài thông qua port forwarding
27
Kiểm tra bằng cách truy nhập ssh tới 10.10.19.1, sử dụng lệnh ip a kiểm tra
được IP máy là 192.168.100.147
28
Kiểm tra các cổng được phép truy cập trên mạng Internal bằng cách gõ lệnh
nmap 192.168.100.1
29
IV. Tài liệu tham khảo:
30