Môn thực tập cơ sở bài 5 cài Đặt, cấu hình mạng doanh nghiệp với pfsense firewall

Card mạng ảo trong VMware Workstation có các thao tác như: thêm, xóa một vmnet, sửa dải IP của một vmnet, cấu hình DHCP.. b.Cấu hình mạng trong phần mềm mô phỏng Virtualbox C

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

-

Môn : Thực tập cơ sở

Bài 5: Cài đặt, cấu hình mạng doanh nghiệp với Pfsense firewall

Sinh viên :Nguyễn Quang Trường

Mã sinh viên :B21DCAT196

Giảng viên hướng dẫn :Nguyễn Hoa Cương

Hà Nội – 2024

Trang 2

1.Lí thuyết

a.Cấu hình mạng trong phần mềm mô phỏng Vmware

VMware Workstation có nhiều tính năng của mạng giúp tạo và quản lý các mạng riêng tư, chia sẻ hoặc mạng cách ly bên trong VMware Workstation Để bắt đầu cấu hình mạng trong VMware Workstation Mở VMware Workstation> Chuyển đến Edit menu Chọn Virtual Network Editor Card mạng ảo trong VMware Workstation có các thao tác như: thêm, xóa một vmnet, sửa dải IP của một vmnet, cấu hình DHCP

Có 3 mạng mặc định được tạo khi cài đặt VMware Workstation Đó là vmnet0, vmnet1, vmnet8 Chúng là 3 chế độ khác nhau: Bridged, Host-only, NAT

Bridged: Máy ảo hoạt động độc lập được kết nối với switch và router vật lý và trực tiếp nhận địa chỉ IP từ DHCP Server có mặt trong mạng lưới Nó có quyền truy cập vào các máy khác trên mạng và có thể được các máy khác liên hệ trên mạng như thể là một máy tính vật lý

NAT: Đây là chế độ mạng mặc định được sử dụng và gán khi tạo một máy ảo Ở chế độ này, máy ảo không có địa chỉ IP riêng trên mạng bên ngoài Thay vào đó, một mạng riêng được thiết lập trên máy chủ lưu trữ Máy ảo nhận một địa chỉ trên mạng đó từ máy chủ DHCP VMware ảo Thiết bị VMware NAT truyền dữ liệu mạng giữa một hoặc nhiều máy ảo và mạng bên ngoài Nó xác định các gói dữ liệu đến dành cho mỗi máy ảo và gửi chúng đến đích chính xác

Host-only: Được sử dụng khi cần tạo một mạng hoàn toàn bị cô lập để máy ảo của bạn không thể thấy mạng khác hoặc Internet, cung cấp kết nối mạng giữa máy ảo

và máy chủ, sử dụng bộ chuyển đổi Ethernet ảo hiển thị trên hệ điều hành máy chủ

b.Cấu hình mạng trong phần mềm mô phỏng Virtualbox

Các máy ảo chạy trên VirtualBox có thể được kết nối với các mạng khác nhau VirtualBox cung cấp nhiều chế độ mạng cho máy ảo Mỗi máy ảo VirtualBox có thể sử dụng tối đa tám bộ điều hợp mạng(Adapter) ảo, mỗi bộ điều hợp trong số đó được gọi là bộ điều khiển giao diện mạng (NIC) Bốn bộ điều hợp mạng ảo có thể được định cấu hình trong VirtualBox Tất cả các bộ điều hợp mạng ảo có thể được cấu hình bằng lệnh VBoxManage modvm VBoxManage là một công cụ

Trang 3

quản lý dòng lệnh của VirtualBox có thể được sử dụng để định cấu hình tất cả cài đặt VirtualBox bao gồm cài đặt mạng VirtualBox

VirtualBox cung cấp nhiều chế độ mạng cho mỗi bộ điều hợp mạng ảo, đây là một trong những tính năng thú vị khi cài đặt mạng VirtualBox Một số chế độ mạng đó là:

Not attached(Không kết nối): Bộ điều hợp mạng ảo được cài đặt trong máy ảo,

nhưng không có kết nối mạng

NAT: Chế độ mạng này sử dụng cho bộ điều hợp mạng ảo theo mặc định Hệ điều

hành khách trên máy ảo có thể truy cập các máy chủ trong mạng cục bộ vật lý (LAN) bằng cách sử dụng thiết bị NAT ảo (Dịch địa chỉ mạng) Các mạng bên ngoài, bao gồm cả internet, có thể truy cập được từ hệ điều hành khách Không thể truy cập máy khách từ máy chủ hoặc từ các máy khác trong mạng khi chế độ NAT được sử dụng cho mạng VirtualBox

NAT Network: Chế độ này tương tự như chế độ NAT, nhưng nếu sử dụng chế độ

Mạng NAT cho nhiều máy ảo, chúng có thể giao tiếp với nhau qua mạng Các máy ảo có thể truy cập các máy chủ khác trong mạng vật lý và có thể truy cập các mạng bên ngoài bao gồm cả internet

Bridged Adapter: Chế độ này được sử dụng để kết nối bộ điều hợp mạng ảo của

máy ảo với mạng vật lý mà bộ điều hợp mạng vật lý của máy chủ VirtualBox được kết nối Bộ điều hợp mạng ảo VM sử dụng giao diện mạng máy chủ để kết nối mạng

Host-only Adapter: Chế độ mạng này được sử dụng để giao tiếp giữa máy chủ

và khách Một máy ảo có thể giao tiếp với các máy ảo khác và với máy chủ

1.2 Các bước thực hiện

1.2.1 Cấu hình topo mạng – Cấu hình ip tĩnh cho các máy

Tạo 2 Subnet trên vmware vmnet4 có địa chỉ 10.10.19.0/24 cho mạng External và vmnet8 có địa chỉ 192.168.100.0/24 cho mạng Internal:

Trang 4

Cấu hình địa chỉ IP cho máy Windows Server 2019 mạng Internal(IP 192.168.100.201), và mạng External(IP 10.10.19.202):

Trang 5

Cấu hình địa chỉ IP(10.10.19.148) cho Kali Linux External và kiểm tra:

Trang 6

Bấm Ctr + x -> y -> enter 2 lần

Cấu hình địa chỉ IP(192.168.100.3) cho Kali Linux Internal và kiểm tra:

Cấu hình địa chỉ IP(192.168.100.147) cho Ubuntu Linux Internal và kiểm tra:

Trang 7

Cài đặt máy ảo tường lửa pfSense:

- Sau khi cài đặt pfsense thì chọn 2 để thiết lập địa chỉ ip cho máy pfsense

- Sau khi đặt địa chỉ Ip ta sẽ được hình bên dưới

Ping giữa các máy trong mạng Internal

Ping giữa Kali Linux và Ubuntu:

Trang 8

Ping giữa Kali Linux và Windows Server 2019:

Ping giữa Windows Server 2019 và Ubuntu:

Ping giữa các máy trong mạng External:

Ping giữa Kali Linux và Windows Server 2019:

Cài đặt cấu hình pfsense firewall cho lưu lượng ICMP:

Trên máy Linux victim ở mạng trong, vào http://192.168.100.1 để cấu hình pfsense qua giao diện web

Trang 9

Bấm Next liên tục cho đến khi cài đặt xong

Sau khi cài đặt xong ta sẽ được như hình bên dưới

Trang 10

Cấu hình luật firewall để cho phép luồng ICMP ở mạng External ping được tới giao diện 10.10.19.1

Truy cập vào Firewall/Rule và Add để thêm luật cho pfSense: Bấm

Firewall->Rules->add

Bấm Save

Kiểm tra bằng cách ping tới 10.10.19.1 từ máy Kali attack ở mạng ngoài

Trang 11

Sau khi áp dụng rule, máy Kali Linux External không thể ping tới Ubuntu Internal,

nhưng Ubuntu Internal có thể ping tới Kali Linux External

Trả lời câu hỏi:

Theo mặc định, có bao nhiêu cổng TCP mở trên giao diện mạng trong của pfSense?

- Trả lời: Thử nghiệm quét bằng nmap cho thấy có 2 cổng TCP mở trên giao diện mạng trong của pfSense

Theo mặc định, có bao nhiêu cổng TCP mở trên giao diện mạng ngoài của pfSense?

Trang 12

- Trả lời: Thử nghiệm quét bằng nmap cho thấy mặc định không có cổng TCP mở trên giao diện mạng ngoài của pfSense

Cài đặt cấu hình pfsense firewall cho phép chuyển hướng lưu lượng tới các máy trong mạng Internal:

Vào http://192.168.100.1 để cấu hình NAT trên pfsense qua giao diện web Truy cập vào Firewall/Rule và Add trên web quản lý của pfSense:

Trang 13

Bấm Save để hoàn thành

Kiểm tra bằng cách truy cập ssh tới 10.10.19.1

KẾT LUẬN:

Cài đặt, cấu hình địa chỉ IP thành công, các máy trong mạng ping được nhau Cài đặt cấu hình pfsense firewall cho lưu lượng ICMP

Cài đặt cấu hình pfsense firewall cho phép chuyển hướng lưu lượng tới các máy trong mạng Internal

Tiêu đề	Cài đặt, cấu hình mạng doanh nghiệp với pfSense firewall
Tác giả	Nguyễn Quang Trường
Người hướng dẫn	Nguyễn Hoa Cương
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Chuyên ngành	An toàn thông tin
Thể loại	Bài tập thực tập cơ sở
Năm xuất bản	2024
Thành phố	Hà Nội

Định dạng
Số trang	13
Dung lượng	3 MB