HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN THỰC HÀNH AN TỒN MẠNG MÁY TÍNH Bài thực hành Lab 02 : BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE Giảng viên hướng dẫn: Trần Sỹ Nam Sinh viên thực hiện: Lê Hoàng Đại Thắng - AT150651 Hà Nội, 2-2022 MỤC LỤC I) Chuẩn bị thực hành II) Thực hành I Chuẩn bị thực hành • • • • Tường lửa pfsense card mạng : 192.168.88.107,10.10.10.1, 20.10.10.1 Client Win8 : 10.10.10.2 máy Client dmz server 2012 : 20.10.10.2 máy chủ Windowserver 2012 : 10.10.10.3/24 II Thực hành Cài đặt thành công pfsense: cal Database) FreeBSD/aMd64 (pfSense.hoMe.arpa) (ttpvA) UMnare Uirtual Machine - Netyate Device ID: ddd8262866Icb2a2e8af Enter an option: I UelcoMe to píSense 2.5.2-RELEASE (atid64) OII píSense U LA A (wan) (lan) (opt 1) -> HMA -> e«l -> BM2 -> -> -> P Tiếp tục đăng nhập pfsense win 8: 8) Logout (SSH onlp) 1) 2) 3) 4) 5) 6) 7) 8) Assign lnterfaces Set interface(s) IP address Reset webConfigurator passHord Reset to ĩactorp deĩaults Reboot spsteM Halt spsteM Ping host Shell v v v 192.168.88.187/24 18.18.10.1/24 28.18.18.1/24 9) pfTop 18) Eilter Logs 11) Restart nebConíigurator 12) PHI’ Shell ♦ pfSense tools 13) Update froM console 14) Enable Secure Shell (sshd) 15) Restore recent configuration 16) Restart PHP-FPM Sau đăng nhập thành cơng: Cấu hình ip: Kiểm tra kết nối mạng: > Interior Design studk) ▼ Nội Thất Morelux - Home I Facebook Q Validate settĩngs upon ễt ch vụ: Thơng tin báo giá trực tuyến Dịch vụ eleximco, Đ Lê Trọng Tắn, Dương Nội, Hà Đơng, Advanced Cancel g cửa • Mờ cửa vào 8:00 Th >816 688 Lịch hẹn: morelux.vn Nội Thất Morelux: Thiết Kẻ & Thi Công Kiên Trúc - Nội Thát Gỗ óc Chó D4 -31 Khu D, KĐT Geleximco, Đ Lê Trọng Tán, p Dương Nội, Q Hà Đông, Tp Hà Nội, Windowserver: I.MC.OOOROCH RS Indudmg resuhs f(M bn tưc Do yov w»nt rvsuts oniy fot «n luc? VnExpress - Báo tiếng Việt nhièu người xem nt https //vnexptess net • vnEiproit an tức mối nn.1i ■ Inống an nnann s cnlnn xâc đưor rflp nnA’ rV)Ể tức onime v£i Nam s Tnố nóng nhát ngAv -vỏ ĩhéGiởi ỉm thè g»i Oọc bao vnLxptess cap nháp Giải Trí VnLxpre&s Già kI Chuyt| m tức thè tjtoi nóng inát, moi nnát 24h Thời Sự Bin tm tno SƯ mớ nnât 24n nơnq nôv nồm nav câc ăn aê ưonq nước Ihé Ihao Tm Thẻ Thao 24hmứi nnát oàn tm thẻ thao 24/7 nởm nav xerr fcfi thi dáu ninh 255 255 255 (*háp Luật Tm tức Phảữ lưítb Un phào luâ: an rar linluc.vn - ĩ rang tin điện tử Online cập nhật tin mởi nhát L https ■Tintuc • — TlnTuc Trang tm (Mn tủ onkne cap nnãt an nhanh nõng nhát diên về: k I Chinh m xà nât thẻ gtới giào duc thê mao vân hoa, SOHA - Tin tửc, tin nhanh VN, Tóc độ, Tin cậy I soha.vn https />'S0he • Như client kết nối mạng thành công 18 a Chặn toàn máy mạng LAN: Firewall / Rules / LAN = LiíL LU The changes have been applied successíully The firewaII rules are now reloading in the background Moniỉor the íilter reload pcogress Q Ploating WAN LAN OPT1 Rules (Drag to Change Order) □ States ✓ 3/5.24MiB Protocol * Source Port Destinatlon * * LAN Address Por t Gatewa y 443 * Queue Schedule Descriptlon * Anti-Lockout Rule 80 □ □ o X 0/0 B IPv4* 10.10.10.2 * ChanMXH * * none X 80/120.24 MlB IPv4* LAN net ** * * none Sau kiểm tra xem có vào mạng hay khơng: Dault allokv LAN to any rule Actions Nh v ậ y c ả máy đ ã không th ể truy đượ c internet b Chặn máy Sau chặn máy 10.10.10.2 Server vào mạng: Firewall/ Rules/ LAN = IM @ © The changes have been applied successíully The fìrewall rules are now reloading in the background Monitor the tìlter reload progress Eloating WAN LAN 0PT1 Rules (Drag to Change Order) □ States s/ /7.93 MiB Protocol * Source * Po rt * Destinatlon LAN Address Por t 44 Gatewa y Queu e * * Schedul e Description Actions Anti-Lockout Rule ẽ 80 □ □ X 0/0B 0/120.35 MiB IPv4* 10.10.10.2 * * * * none IPv4* LAN net * * * * none J Add I Add I [JỊJ Delete IQ Save A/0QĨÕ Deíault allovv LAN to any rule c Chặn không cho phép truy cập facebook Lấy địa ip facebook _ C:\Users\manhq>ping facebook.com Pinging facebook.com [31.13.77.35] with 32 bytes of data: Reply from 31.13.77.35: bytes=32 time=23ms TTL=54 Replý from 31.13.77.35: býtes=32 time=22ms TTL=54 Reply from 31.13.77.35: bytes=32 time=23ms TTL=54 Replý from 31.13.77.35: býtes=32 time=23ms TTL=54 Ping statistics for 31.13.77.35: Packets: Sent = 4, Received - 4, Lost = (0% loss), Approximate round trip times in milli-seconds: Minimum = 22ms< Maximum - 23ms, Average - 22ms c:\Users\manhq>_ Ip Facebook: 31.13.77.35, ta thiết lập luật chặn: Chặn thành công: c:\Users\manhq>ping facebook.com Pinging facebook.com [31.13.77.35] with 32 bytes of data: Reply from 31.13.77.35: bytes=32 time=23ms TTL=54 Replý from 31.13.77.35: bytes=32 tỉme=22ms TTL=54 Reply from 31.13.77.35: bytes=32 time=23ms TTL=54 Reply from 31.13.77.35: bytes=32 tỉme=23ms TTL=54 Ping statistics for 31.13.77.35: Packets: Sent = 4, Received = 4, Lost = (0% loss), Approximate round trip times in milli-seconds: Minimum = 22ms, Maximum = 23ms, Average = 22ms c:\Users\manhq>ping facebook.com Ping request could not find host facebook.com Please check the name and try again C:\Users\manhq>ping facebook.com Pinging facebook.com [31.13.77.35] with 32 bytes of data: Request timed out Request timed out Request timed out Request timed out d Chặn web với Aliase Khi chưa chặn vào bình thường VNỊ^^X PRESS Thứ bày 26/2/2022 Mới nhái ÍẼ| International Tim kiếm Q X Đăng nhâ| A Thời Góc nhìn Thê giới Video Podcasts Kinh doanh Khoa học Giãi trĩ Thi thao Pháp luật Giáo dục Sức khoe ĐỜI sóng Du lỊCh số hóa Xe Ý kién T Thủ tướng u cầu sẳn sàng đưa cơng TỐN TU VÀ CAC BỆNH T’ÉU HOA TMƯONO GẬP o NHIỄM KHUẨN HP DẠ DÀY © TRÀO NGƯỢC DẠ DÀY THỰC OUÃN 33 Command Prompt © VIẼM LT DẠ DÀY DẠI TRÂNG hicrost Windows [Version 10.0.19044.1526] (c) Microst Corporation All rights reserved © XUẤT HUYỄT DẠ DÀY :\Users\«anhq>ping vnexpress.net Pinging vnexpress.net [111.65.250.2] with 32 bytes of data: Repĩy í rom 111.65.258.2: bytes-32 • — tĩme-2ms TTL-55 Replý í rom 111.65.250.2: býtes-32 tine-2«s TTL-55 Replý fro« 111.65.250.2: býtes-32 Replý í rom 111.65.258.2: býtes-32 Ping statistics for 111.65.258.2: Packets: Sent - 4, Received • 4, Lost - (6% loss) Approximate round trip tines in laillỉ-seconds: Minimum - 2ms, Maximum - 2«s, Average - 2ms :\Users\«wnhq>, Bắt đơng sản hch chở 39 người từ đảo Củ Lao Chàm vào bị bi sóng đánh chim trén biẻn cửa Đai 13 người chét Tạo Aliase để chặn vnexpress.net Sau lập rules để chặn ■■■■■LI Thanh tra dự án điện phát triển 10 năm qua Bảo hiểm CapitalLand làm dự án tỷ USD Bấc Giang Tảo đoàn nãv nohiẻn cữu ouv Source Destination Extra □ Invertmatch Actlon Sìngle host or alias * Block 10.10.10.2 /, V V Choose what to with packets that match the criteria specihed belovv Single host or alias ChanMXH Destination □ Invertmatch Options Hlnt the ditíerence between block and reject is that whh reịect, a packet (TCP RST or ICMP port unreachable for UDP) ìs retumed to the sender, vvhereas with block the packet is dropped silently In either case the original packet is discarded Chặn thành công Disabled SB Command Prompt □ Disable this rule Set this option to disable this rule vvithout removing it fran the list Intertace LAN IPv4 Address Pamily — V Choose the interíace írom which packets must come to match this rule licrosoít windows [Version 10.0.19044.1526] (c) Microsoít Corporation All rights reserved □X V Select the Internet Protocol version this rule applies to ":\Users\manhq>ping vnexpress.net Any V Choose which IP protocol this rule should match ’inging vnexpress.net [111.65.250.2] with 32 bytes of data: Protocol ĩeply írom 111.65.250.2: bytes-32 time-2ms TTL-55 3eplý from 111.65.250.2: bytes=32 time-2ms TTL-55 leplý from 111.65.250.2: bytes-32 time=2ms TTL-55 3eply from 111.65.250.2: bytes=32 time=2ms TTL=55 ’ing statistics for 111.65.250.2: Packets: Sent = 4, Received = 4, Lost = (0% loss), ipproximate round trip times in milli-seconds: Minimum - 2ms, Maximum = 2ms, Average • 2ms C:\Users\manhq> ’inging vnexpress.net [111.65.250.2] with 32 bytes of data: Request timed out Request timed out Request timed out Request timed out e Schedules Thêm schedule ®sense System ▼ Interíaces ’ Firewall ’ Services ’ VPN T Status ’ Diagnostics ’ 'o Help - COMMUMITY c+ EDrTIOM MARNING: The 'admirí account password IS set to the detault value Change the passnord in the User Manager Firewall / Schedules & Schedules Na me Range: Dale ỉ Times! Na me Description ptSense developed and mamid Netgate ESF2004’20 Vĩevvlicense Actions Chỉ làm việc tuần khoảng thời gian đặt Schedule Intormation Schedule Name Lam viec quy cu The name of the schedule may only consist of the characters ‘e-z, A-Z 0-9 and Descriptíon A descriptKNì may be entered here for administrative reíetence (not parsed) Month February_22 V February_2022 Mo n 21 Tue W od 15 22 Th Fn Sat 1 u 1 20 13 1 Sun 27 28 Click rĩdividual date to select thai date only Click the appropriate weekday Header lo select all occurrences of that weekday Tim e V Siart Hrs 00 V [18 _ Start Míns Siop Hrs V 59 Stop Mi Thêm vào rule kiểm tra 1 ^^SGIISG System ’ Interíaces ▼ Firewall 0^1 Services ’ VPN ▼ Status ▼ Diagnostics ’ Help ▼ CỮMMUNITY EữlTION WARNING; The 'admirí account password is set to the deíaLih value Change the passttữrd in the User Manager Firewall / Schedules © Schedules Name Range: Date / Times / Name Congviec Description Actions Mon-Fri/7:00-17:00/ © Indicates that the schedule is currently active Firewall / Rules / LAN IM 1=1 © The changes have been applied successíully The firewall rules are now reloading in the background Monitor the íilter reload progress Floating WAN LAN 0PT1 Rules (Drag to Change Order) □ States Protocol 14/11.75 MÍB * Source * Port * Destination LAN Address Por t Gatewa y * Queu e * * * none * * 443 Schedule Description Anti-Lockout Rule 80 □ □ o X /87 KiB IPv4* LAN net X 0/0B IPv4* 10.10.10.2 IPv4* LAN net v ' 5/13240 MiB Thành công * 31.13.77.35 ChanMXH * * none none ( Congviec Deíault allow LAN to any rule J Add Add QỊ] Deiete Q Save Actions ộ 4- Bạn chưa kết nối Q gooộle.com Và thê giđí mang sé khống cịn nửa néu thiêu ban Hây đưa ban quay trđ lai tí ực tuyên' Thtfì • Kiếm tra cáp mạng, modem đinh tưn bạn • Kết nối I91 mộng khơng dây bạn • Chạy Chãn đốn Mạng Wìndows ONS PftOB£ F'*aSKÍ> NO INTERMĨ Bạn muốn chơi trị chơi chờ đợi? Khởi chay trò chai f Giới hạn băng thơng By Interíace By Queue Limiters Wizards D dowload Enable □ Ẽnable limiter and rts children lf "source’ or "destination* slots is chosen a dynamic pipe with the bandwidth, delay, packet loss and queue size given above will be Name upload Mbit/S none created for each source/destination IP address encountered, respectively This makes it possible to easily speciíy bandwidth limits per host or subnet Bandvvidth Bandwidth Mask None IPv4 mask bits 255.255.255.255/? Thêm vào rules kiêm tra lại 128 Bw type Schedule IPv6 mask bits This does NOT prevent the rule trom beíng overwritien on slave VLAN Prlo none V Choose 802.1 p priority to match on VLANPrioSet V none Choose 802.1 p prkxity to apply Schedule none V Leave as 'none' 10 leave the rule enabied all the time Gateway Delault V Leave as deíault to use the System routing table Or choose a gateway 10 utilize policy based routing Gateway selection is not valid for 1PV4+IPV6’ address íamtíy In/Outpipe upload V I dowload Choose the Out queue/virtual interíace only if In is also setected The Out selection is applied lo traííic leaving the interíace vvhete the rule is ơeated, the In selection IS applied lo traííic corrnng mto the chosen rteríace 11 creattng a Aoanng rule, li the direction IS In then the same rules apply, lí the direction IS Out the seiectiỡns are reversed, Out IS tor Incomlng and In is for outgoing Ackqueue / Oueue none v rone Choose the Acknowledge Queue only if there is a selected Quetie Rule Iníormation Tracking ID 0100000101 Băng thơng khơng vượt q 5mb Cấu hình dmz Tạo index.html ' Firewall / NAT / Port Forward Port Forward □ □ Outbound NPt Intertace Protocol Source Address Source Ports Dest Address Dest Ports NATIP ■M' xĩ WAN TCP * * NAT Ports Descrlption Actions WAN address 80 (HTTP) 20.10.10.2 80 (HTTP) /'ĐỄ Logand ► Pass Linked rule — - lỉtìvopypatn Copy Paite Move Copy Delete Rename New Pa5te íhortcut to • to • tasy access ’ tolder —— i/ỊEOrt Propertiei D >ciect none — Invert selection u • T [ ► ThisPC ► Locil Oisk (C:) Cí r Name ravorites ■ Desktop 321 index.html • Dovvnloads Recent places File Edit Pormat Vĩew Help Nguyên Manh Quan AT150644 ^ioc vien ki thuat mat ma index.html - Notepad _□X :•» ThisPC *ií Network J ... bị thực hành II) Thực hành I Chuẩn bị thực hành • • • • Tường lửa pfsense card mạng : 192.168.88.107,10.10.10.1, 20.10.10.1 Client Win8 : 10.10.10.2 máy Client dmz server 2012 : 20.10.10.2 máy. .. SOHA - Tin tửc, tin nhanh VN, Tóc độ, Tin cậy I soha.vn https />'S0he • Như client kết nối mạng thành cơng 18 a Chặn tồn máy mạng LAN: Firewall / Rules / LAN = LiíL LU The changes have been applied... 10.10.10.3/24 II Thực hành Cài đặt thành công pfsense: cal Database) FreeBSD/aMd64 (pfSense. hoMe.arpa) (ttpvA) UMnare Uirtual Machine - Netyate Device ID: ddd8262866Icb2a2e8af Enter an option: I