HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

MÔN HỌC THỰC TẬP CƠ SỞ

GIẢNG VIÊN: NINH THỊ THU TRANG

BÀI THỰC HÀNH 05: CÀI ĐẶT CẤU HÌNH MẠNG DOANH NGHIỆP VỚI
PFSENSE FIREWALL

TÊN SINH VIÊN: TRẦN ĐĂNG TRỌNG

MÃ SINH VIÊN: B20DCAT191

1
Mục lục:

I. Mục đích...........................................................................................................3

II. Tìm hiểu lý thuyết.............................................................................................3

1. Cấu hình mạng trong phần mềm mô phỏng Vmware......................................3

2. Cấu hình mạng trong phần mềm mô phỏng VirtualBox..................................5

III. Thực hành..........................................................................................................8

IV. Tài liệu tham khảo...........................................................................................30

2
 I. Mục đích:
Các công ty thường bảo vệ hệ thống mạng bằng cách sử dụng tường lửa phần
cứng hoặc phần mềm để kiểm soát lưu lượng mạng truy cập. Một số loại lưu lượng
nhất định có thể bị ngăn chặn hoặc cho phép đi qua tường lửa. Việc hiểu cách thức
hoạt động của tường lửa và mối quan hệ của nó với các mạng bên trong và bên
ngoài sẽ rất quan trọng để có hiểu biết về bảo mật mạng.
Bài thực hành này giúp sinh viên có thể tự cài đặt, xây dựng một mạng doanh
nghiệp với tường lửa để kiểm soát truy cập. Mạng mô phỏng môi trường mạng
doanh nghiệp này có thể sử dụng trong các bài lab về ATTT sau này.

II. Tìm hiểu lý thuyết:

Cấu hình mạng trong phần mềm mô phỏng Vmware/Virtualbox:

1. Cấu hình mạng trong phần mềm mô phỏng Vmware:

Sau khi cài đặt xong các bạn vào phần Network Connection kiểm tra có thêm 2
card mạng. Card mạng Local Area Connection 2 và Local Area Connection 2 được
nối vào VMnet1 và VMnet8 là 2 trong 10 Switch ảo mà VMWare hỗ trợ cho người
sử dụng. Các Switch ảo này được dùng để kết nối máy thật với máy ảo, máy ảo với
máy ảo nhằm tạo ra các hệ thống mạng riêng biệt. Trong số 10 Switch ảo thì
VMnet0, VMnet1, VMnet8 được kết nối với một vài thiết bị đặc biệt khác như
Virtual Bridge, Virtual NAT Device, DHCP Server. Đặc điểm của các VMnet đó
như sau:
VMnet0
Trong VMWare, VMnet0 chính là một Switch ào được kết nối với Bridge ảo để
liên lạc ra ngoài mạng thật. Các máy tính ảo nếu được cấu hình card mạng kết nối
vào VMnet0 thì có thể tham gia vào việc liên lạc, chia sẻ dữ liệu với các máy thật ở
mạng ngoài. Nếu mạng ngoài chúng ta có kết nối với Router ADSL, có cấu hình
cấp IP động trên Router thì các máy ảo sẽ nhận được IP từ Router như một máy
tính thật. Mặc định, VMWare sẽ tự chọn card mạng trên máy thật mà có kết nối ra
mạng ngoài. Tuy nhiên nếu máy các bạn có nhiều hơn 2 card mạng thật thì chúng ta
có thể lựa chọn lại cho phù hợp bằng cách điều chỉnh trong Virtual Network Editor
> tab Host Virtual Network Mapping> VMnet0.

3
 VMnet1 (Host Only Mode)
VMnet1 cũng là 1 Switch ảo nhưng chỉ sử dụng để kết nối máy thật và máy ảo
trong máy tính cài VMWare. Bản thân VMnet1 được kết nối với Virtual DHCP
Server để cấp IP động cho những máy kết nối vào nó. Giá trị mặc định của DHCP
Scope là 192.168.18.0/24. Khi cài đặt xong VMWare thì card mạng Local Area
Connection 2 do chương trình tạo ra được kết nối vào VMnet1 và có địa chỉ IP tĩnh
cùng NetID với Scope. Các bạn có thể chỉnh sửa thông số Scope, gỡ bỏ DHCP
Server được kết nối vào VMnet hiện tại hay thêm DHCP Server vào VMnet khác
bằng cách vào Virtual Network Editor> tab DHCP
Trong tab này chúng ta có thể thêm DHCP kết nối vào VMnet khác (Add…), gỡ
bỏ DHCP hiện có (Remove) hay dừng (Stop), khởi động (Start) dịch vụ DHCP.
Chỉnh sửa thông số DHCP thông qua tab Properties
VMnet8 (NAT)
VMnet8 là Switch ảo vừa được nối vào Virtual DHCP lại được nối vào Virtual
NAT Device giúp cho các máy ảo trong VMWare có thể liên lạc với mạng ngoài
nhưng theo giao thức NAT. NAT Device ở đây là 1 thiết bị được quản lý bởi
VMWare, có địa chỉ IP riêng chứ không phải giống như ta cấu hình ICS trên
Windows là dùng máy thật như 1 NAT Device rồi NAT từ Virtual NIC (Adapter
VMnet8) qua Physical NIC. Để quản lý DHCP Server thì bạn vào những phần tôi
đã nêu ở trên VMnet1. Còn muốn quản lý cấu hình NAT Device thì bạn vào Virtual
Network Editor> tab NAT. Nhưng các bạn lưu ý, chúng ta chỉ được hỗ trợ 1 NAT
Device nên chỉ có 1 VMnet được kết nối ra ngoài theo cơ chế NAT.
VM Team và LAN Segment
Ngoài cách cấu hình các máy ảo nối với nhau thông qua các VMnet, chúng ta còn
có thể tạo ra các VM Team để nhóm các máy ảo lại với nhau rồi tạo ra LAN
Segment để kết nối chúng lại. Với cách này ta không cần phải cho máy ảo nối vào
các VMnet. Để tạo VM Team chúng ta vào Tab HOME> New Team
Có 3 chế độ khác nhau: Bridged, Host-only, NAT.
Bridged: Máy ảo hoạt động độc lập được kết nối với switch và router vật lý và
trực tiếp nhận địa chỉ IP từ DHCP Server có mặt trong mạng lưới. Nó có quyền
truy cập vào các máy khác trên mạng và có thể được các máy khác liên hệ trên
mạng như thể là một máy tính vật lý.

4
 NAT: Đây là chế độ mạng mặc định được sử dụng và gán khi tạo một máy ảo. Ở
chế độ này, máy ảo không có địa chỉ IP riêng trên mạng bên ngoài. Thay vào đó,
một mạng riêng được thiết lập trên máy chủ lưu trữ. Máy ảo nhận một địa chỉ trên
mạng đó từ máy chủ DHCP VMware ảo. Thiết bị VMware NAT truyền dữ liệu
mạng giữa một hoặc nhiều máy ảo và mạng bên ngoài. Nó xác định các gói dữ liệu
đến dành cho mỗi máy ảo và gửi chúng đến đích 1 chính xác.
Host-only: Được sử dụng khi cần tạo một mạng hoàn toàn bị cô lập để máy ảo của
bạn không thể thấy mạng khác hoặc Internet, cung cấp kết nối mạng giữa máy ảo
và máy chủ, sử dụng bộ chuyển đổi Ethernet ảo hiển thị trên hệ điều hành máy chủ.

2. Cấu hình mạng trong phần mềm mô phỏng Virtualbox:

Chương trình VirtualBox phổ biến để tạo máy ảo cho hệ điều hành có một số
lượng lớn các tùy chọn cấu hình ở cấp độ mạng. Các tùy chọn này cho phép chúng
ta xác định xem một máy ảo phải có quyền truy cập Internet và truy cập vào mạng
gia đình cục bộ hoặc nếu ngược lại, chúng ta muốn cô lập lưu lượng mạng của máy
ảo đó để nó không có giao tiếp với các máy tính khác, mạng cục bộ và chỉ với máy
tính thực.
VirtualBox cung cấp nhiều chế độ mạng cho mỗi bộ điều hợp mạng ảo, đây là một
trong những tính năng thú vị khi cài đặt mạng VirtualBox:
NAT
Chế độ cấu hình này là mặc định trên tất cả các máy ảo VirtualBox. Trong chế độ
cấu hình này, máy ảo sẽ lấy địa chỉ IP riêng từ mạng con do chính VirtualBox xác
định. Khi chúng ta đang ở cấu hình NAT, máy ảo sẽ đi ra mạng nội bộ và đến
Internet bằng địa chỉ IP riêng của máy tính thực, do đó nó giống như máy tính thực
đang trao đổi lưu lượng, vì NAT được thực hiện trên địa chỉ IP riêng thực của máy
tính được đề cập. Trong chế độ cấu hình này, máy ảo có thể giao tiếp với bất kỳ
máy tính nào trong mạng gia đình hoặc mạng nội bộ chuyên nghiệp mà PC thực có
thể tiếp cận, nó cũng có thể có kết nối Internet nếu PC thực có kết nối. Nếu một
máy tính trong mạng cục bộ muốn giao tiếp với máy ảo đang chạy, nó sẽ không thể
làm như vậy trực tiếp vì chúng ta đang làm việc trong một kịch bản NAT.
Cầu nối
Trong chế độ cấu hình này, máy ảo trở thành một máy tính nữa trong mạng gia
đình hoặc mạng nội bộ chuyện nghiệp. Sử dụng bộ điều hợp mạng vật lý của máy
5
tính thực, chúng tôi sẽ kết nối máy ảo với mạng cục bộ bằng địa chỉ MAC tương
ứng của nó hoặc nó sẽ lấy địa chỉ IP từ máy chủ DHCP mà chúng ta có trên mạng
cục bộ chứ không phải từ VirtualBox DHCP máy chủ.
Máy ảo sẽ có giao tiếp với máy tính còn lại trong mạng cục bộ và với Internet,
ngoài ra, các máy tính còn lại cũng sẽ có thể giao tiếp với máy ảo mà không gặp
vấn đề gì, vì chúng ta không phải trong môi trường NAT như môi trường trước đây.
Bây giờ máy ảo sẽ là một máy tính nữa trong mạng cục bộ với MAC tương ứng,
địa chỉ IP riêng...
Mạng nội bộ
Chế độ cấu hình này cho phép chúng ta tạo một mạng cục bộ gồm hai hoặc nhiều
máy ảo, nơi hai hoặc nhiều máy ảo mà chúng ta đã cấu hình có thể giao tiếp với
nhau mà không gặp vấn đề gì. Trong chế độ này, các máy ảo sẽ không có quyền
truy cập vào mạng nội bộ hoặc mạng chuyên nghiệp, cũng như không có quyền
truy cập Internet. Những gì được thực hiện là tạo một mạng ảo nơi chỉ các máy ảo
được chọn mới có thể giao tiếp với nhau.
Bộ điều hợp chỉ dành cho máy chủ lưu chữ
Trong chế độ này, bộ điều hợp mạng chỉ có kết nối với máy tính chủ, tức là với
máy tính thực đang chạy VirtualBox với máy ảo. Máy ảo này được cách ly hoàn
toàn với các máy khác trên mạng cục bộ nơi máy chủ được kết nối, bằng cách này
chúng ta có thể bảo vệ mạng cục bộ khỏi một máy ảo có thể bị nhiễm một số phần
mềm độc hại, mặc dù về mặt logic, chúng ta phải rất cẩn thận rằng với PC của
chúng ta.
Trình điều khiển chung
Trong chế độ cấu hình này, VirtualBox cho phép bạn chọn một trình điều khiển
mạng được phân phối cho tất cả các máy ảo. Trong tất cả các tùy chọn cấu hình
ngoại trừ tùy chọn này, những gì VirtualBox làm là ảo hóa các mô hình cụ thể của
card mạng, tuy nhiên trong chế độ này phải cung cấp trình điều khiển.
Mạng NAT
Có khả năng tạo mạng NAT với địa chỉ mong muốn, có thể thêm máy chủ DHCP
để cung cấp địa chỉ Ipv4 cho tất cả các máy và thậm chí hỗ trợ Ipv6 và chuyển
hướng cổng.
Mạng đám mây

6
 Đang trong giai đoạn thử nghiệm, mục tiêu có thể kết nối trực tiếp VM với Oracle
đám mây để sau này thêm nhiều máy ảo hơn và có giao tiếp giữa chúng.
Không kết nối
Trong chế độ cấu hình này, máy ảo sẽ được cài đặt một card mạng, nhưng nó sẽ
không được kết nối với VirtualBox, vì vậy nó sẽ không có quyền truy cập vào bất
kỳ mạng nào, có thể là mạng cục bộ, Internet, cũng như không có giao tiếp mạng
với máy tính thực.

7
III. Thực hành:

Tạo 2 subnet trên vmware, vmnet2 có địa chỉ 10.10.19.0/24 cho mạng Internal
và vmnet3 có địa chỉ 192.168.100.0/24 cho mạng External:

8
 Cấu hình địa chỉ IP cho máy Windows Server 2003 mạng Internal (IP
192.168.100.201):

9
 Cấu hình địa chỉ IP cho máy Windows Server 2003 mạng External (IP
10.10.19.202):

Cấu hình địa chỉ IP (192.168.100.147) cho Ubuntu Linux Internal và kiểm tra:

10
Cấu hình địa chỉ IP (10.10.19.148) cho Kali Linux External và kiểm tra:

11
Cấu hình địa chỉ IP (192.168.100.3) cho Kali Linux Internal và kiểm tra:

12
 Cấu hình 2 interface cho PfSense: em0 có IP 10.10.19.1 cho mạng
INTERNAL, em1 có IP 192.168.100.1 cho mạng EXTERNAL:

13
Thử nghiệm ping các máy trong mạng với Pfsense:
Máy Windows Server 2003 Victim trong mạng External

Máy Linux Attack trong mạng External

14
Máy Kali Linux attack 1 trong mạng Internal

Máy Windows Server 2003 Victim trong mạng Internal

15
Máy Linux Victim trong mạng Internal

Thử nghiệm ping các máy Kali linux và Ubuntu trong mạng Internal với Windows
Server Internal:

16
Thử nghiệm ping các máy Windows Server và Ubuntu trong mạng Internal với
Kali Linux Internal:

17
Thử nghiệm ping các máy Windows Server và Kali Linux trong mạng Internal với
Ubuntu Internal:

Thử nghiệm ping lẫn nhau 2 máy Windows Server và Kali Linux trong mạng
External:

18
19
Cài đặt cấu hình pfsense firewall cho lưu lượng ICMP:
Setup Pfsense trên máy Linux:

20
 Truy cập vào Firewall chọn Rule và Add để thêm luật cho pfSense: Thiết lập
rule cấu hình ICMP cho phép các máy trong mạng Internal (LAN) ping được ra các
máy ở mạng External (WAN), không cho phép ping vào trong mạng Internal:

21
22
Kiểm tra ping tới 10.10.19.1 từ máy Ubuntu Linux:

Kiểm tra bằng cách ping tới 10.10.19.1 từ máy Kali attack ở mạng ngoài:

23
Sau khi áp dụng rule, máy Kali Linux External không thể ping tới Ubuntu Internal,
nhưng Ubuntu Internal có thể ping tới Kali Linux External:

24
Trả lời câu hỏi:
Theo mặc định, có bao nhiêu cổng TCP mở trên giao diện mạng trong của Pfsense?
- Trả lời: Thử nghiệm quét bằng nmap cho thấy mặc định không có cổng TCP
mở trên giao diện mạng trong của Pfsense.

Theo mặc định, có bao nhiêu cổng TCP mở trên giao diện mạng ngoài của Pfsense?
- Trả lời : Thử nghiệm quét bằng nmap cho thấy mặc định có 2 cổng TCP mở
trên giao diện mạng ngoài của Pfsense

25
Cài đặt cấu hình pfsense firewall cho phép chuyển hướng lưu lượng tới
các máy trong mạng Internal:

Trên máy Linux victim ở mạng trong, vào http://192.168.100.1 để cấu hình
NAT trên pfsense qua giao diện web.

26
 Truy cập vào Firewall chọn NAT chọn Add
Cấu hình cho phép cổng SSH trên IP 192.168.100.147 được truy cập từ bên
ngoài thông qua port forwarding

27
 Kiểm tra bằng cách truy nhập ssh tới 10.10.19.1, sử dụng lệnh ip a kiểm tra
được IP máy là 192.168.100.147

28
 Kiểm tra các cổng được phép truy cập trên mạng Internal bằng cách gõ lệnh
nmap 192.168.100.1

29
IV. Tài liệu tham khảo:

- Lab 7 pfsense firewall của CSSIA CompTIA Security+®

- Advanced Penetration Testing for Highly-Secured Environments
Second Edition
- https://viblo.asia/p/network-gioi-thieu-ve-pfsense-N0bDM6LXv2X4
- Vmware Workstation Networking Overview:
https://masteringvmware.com/vmware-workstation-networking-overview
- Network in VMware Workstation: https://github.com/ducnc/vmware-
workstation-network
- VirtualBox Network Settings: Complete Guide:
https://www.nakivo.com/blog/virtualbox-network-setting-guide/

30