HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔNG KHOA AN TOÀN THÔNG TIN Môn học: THỰC TẬP CƠ SỞ BAO CÁO BAI THUC HANH SO 5 Cài Đặt, Cầu Hình Mạng Doanh Nghiệp Với Pfsense Firewall Sinh viên:
Trang 1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔNG
KHOA AN TOÀN THÔNG TIN
Môn học: THỰC TẬP CƠ SỞ BAO CÁO BAI THUC HANH SO 5
Cài Đặt, Cầu Hình Mạng Doanh Nghiệp Với Pfsense Firewall
Sinh viên: Nguyễn Văn Quyên
Mã sinh viên: B21DCAT161 Giảng viên: Ninh Thị Thu Trang Nhóm môn học: 01
Hà Nội, ngày 06/03/2024
Trang 2
Bài 5: Cài đặt, cấu hình mạng doanh nghiép véi Pfsense firewall
1 Mục đích
Các công ty thường báo vệ hệ thống mạng bằng cách sử dụng tường lửa phần cứng hoặc phan mềm đề kiểm soát lưu lượng mạng truy cập Một số loại lưu lượng nhất định có thể bị chặn hoặc cho phép đi qua tường lửa Việc hiểu cách thức hoạt động của tường lửa và mối quan hệ của
nó với các mạng bên trong và bên ngoài sẽ rất quan trọng để có hiểu biết về báo mật mạng Bài thực hành này giúp sinh viên có thé ty cai dat, xây dựng một mạng doanh nghiệp với tường lửa để kiếm soát truy cập Mạng mô phỏng môi trường mạng đoanh nghiệp này có thê sử dụng trong các bài lab về ATTT sau này
2 Nội dung thực hành
2.1 Tìm hiểu lý thuyết
2.1.1 Cấu hình mạng trong phần mềm mô phỏng Vmware/Virtualbox:
VMware Workstation là phần mềm ảo hóa phiên bản đùng cho người đùng PC, để có thể sử dụng phan mềm này hiệu quá, một yếu tố rất quan trọng là người đùng cần phải hiểu về các kết nối mạng, cách thiết lập và cài đặt hệ thống mạng áo trong phần mềm Các thành phần hình thành nên mạng ảo trong VMware gồm switch ảo, card mạng áo, DHCP server ảo và thiết bị NAT
Có 3 loại card mạng trong Vmware:
e Card bridge: card nay sử dụng chính card mạng thật
e Card NAT: card nay sé Nat dia chi IP cha máy thật ra một địa chỉ khác cho máy ảo sử dụng Card này cũng có thê kết nói ra bên ngoài Internet
©_ Host-only: kết nỗi với một card mạng ảo tương ứng ngoài máy thật -> và mạng VMnet Host- only và mạng vật lý hoàn toàn tách biệt
Người dùng có thể thêm, sửa, xóa card mạng, bật tắt DHCP, sửa dải địa chỉ ip, trong Virtual Network Editor
2.1.2 Phan mém Pfsense
Pfsense là một ứng dụng có chức năng định tuyến vào tường lửa mạng và miễn phí đựa trên nền tảng FreeBSD có chức năng định tuyến và tường lửa rất mạnh
Cac tinh nang trong pfsence:
- Aliases: 1 Aliases sé gom nhom cac IP, Port hoac URL vao voi nhau, | alias sé cho phép thay thé 1 host, 1 dai mang, nhiéu IP riéng biét hay 1 nhom port, URL
- NAT:
Trang 3¢ Pfsense co hé tro nat static dưới dạng NAT 1:1 IP private được NAT sẽ luôn ra ngoài bằng
IP publie tương ứng
e Nat outbound mac định với Automatic outbound NAT rule generation
- Firewall Rules: Là nơi lưu trữ tất cá các luật ra, vào trén pfsense Mac dinh PfSense cho phép mợi kết nối ra, vào
- Traffic shaper: giup quan tri mang có thé tinh chỉnh, tối ưu hóa đường truyền trong pfsense
- VPN: Pfsense cing hé tro VPN qua 4 giao thire: IPSec, L2TP, PPTP va OpenVPN 2.2 Kết quả thực hành
2.2.1 Cấu hình topo mang
Cai đặt và cầu hình hệ thống theo topo mạng và thông tin như mô tả đưới đây:
INTERNAL NETWORK Domain: MSEC local
| 192.168 100.0/24
Firewall
Domain: GVPC local
EXTERNAL NETWORK 10.10.19.0/24
|
Trang 4IP: 192.168.100.3
Mat khau root: password
IP: 192.168.100.201 Mat khau root: password
IP: 192.168.100.147 Mat khau root: password
IP: 10.10.19.1, 192.168.100.1 Mật khâu: admin/pfsense
IP: 10.10.19.148
Mat khau root: password
IP: 10.10.19.202 Mat khau root: password
Theo sơ đồ trên có:
- 3 may trong mang Internal
- 2 may trong mang External
- 1 may pfSense
Vé card mang:
Trang 5@
Subnet Address
C:\Users\Van Quyen>echo Van Quyen_B21AT161
Van Quyen_B21AT161
C:\Users\Van Quyen>date
The current date is: 02/03/2024
Enter the new date: (dd-mm-yy)
Vmnet2 danh cho may 6 Internal network cé Subnet Address: 192.168.100.0
Vmnet4 danh cho máy ở External network cé Subnet Address: 10.10.19.0
Trang 6- Cai IP cho may Ubuntu:
t qlen 1000
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
roup default qlen 1000
tink/ether 00:0c:29:ea:85:00 brd ff: ff: ff: ff: ff: ff
inet 192.168.100.147/24 brd 192.168.100.255 scope global ens33
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:feea:8500/64 scope Link
valid_lft forever preferred lft forever
C:\Users\Van Quyen>echo Van Quyen_B21AT161
Van Quyen_B21AT161
C:\Users\Van Quyen>date
The current date is: 27/
Enter the new date: (dd-mm-yy)
Trang 7- Cai IP cho máy Windows Server 2019:
ie
+
@® Itel() 825741 Gigabs Network Connection
You can get IP settings assigned automatically if your network supports Configure this capability Otherwise, you need to ask your network administrator for the appropriate PP settings
This connection uses the following tems:
Y) EA clent for Microsoft Networks
se the following IP address:
Yi 4 Intemet Protocol Version 4 (TCP/IPv4) P address: 192 168 100 201
Zs Micosoft LLDP Protocol Diver -
‹ >
wide area network protocol that provides Communication
3999 đverse rlercorneoled netwofk C:\Users\Van Quyen>echo Van Quyen_B21AT161
BI Van Quyen_B21AT161 C:\Users\Van Quyen>date
Enter the new date: (dd-mm-yy)
- Cai IP cho may Kali Linux:
a oe
C\WINDOWS\system32\cmd
isions 0 C:\Users\Van Quyen>echo Van Quyen_B21AT161 Van Quyen_B21AT161
C:\Users\Van Quyen>date
Trang 8- Cai IP cho may Windows Server 2019:
*
View vour basic network information and set up connections
Networking
Connect using, Internet Protocol Version 4 (TCP/IPv4) Properties x
: You can getiPsettngs assigned automaticaly if your nebvorksupserts EF - TH ©
‘This connection uses the following rems: this capability Otherwise, you need to ask your network administrator
for the appr IP settings
4 Irtenet Protocol Version 4 (TCP/IP 4} @ Use the following IP address:
LI 9 Microsoft Network Adapter Multipiexor Protocol TP address: | 10 10 19 202
< > Default gateway: |10.10.19 1
wide area network protecel that provides communication Preferred DNS server:
ecross diverse interconnected networks
C:\Users\Van Quyen>echo Van Quyen_B21AT16 Van Quyen_B21AT161
C:\Users\Van Quyen>date The current date is: 02/03/2024
ee also
Intemet Options
Windows Defender Firewa item 1 item selected
8 iM 3/2/2024
Sa
- Cai IP cho may Kali Linux:
it ee da
AC
VAn Quyen_B21AT161 Pea Dacia
C:\Users\Van Quyen>date
Enter the new date: (dd-mm-yy)
Trang 9- Ping tir may Kali:
a
File Actions Edit
kali@quyenb21at161: ~
C\WINDOWS\system32\cmd
C:\Users\Van Quyen>echo Van Quyen_B21AT161 Van Quyen_B21AT161
C:\Us The cư:
Enter
- Ping tir may Ubuntu:
the new date:
\Van Quyen>date
ent date is: 02/03/2024
(Cdd-mm-yy)
+
AC
rtt min/avg/max/mdev
en-ati6i qu en-b2 ì›t161:
-at161(@quyen-b24 i6i:
PING 192.168.100.201 (192.168
n6 elle
192.168.100.290
rtt min/avg/max/mdev =
P“ CAWINDOWS\system32\cmd
(an Quyen>echo Van Quyen_B21AT161
Van Quyen_B21AT161
Van Quyen>dat
the new date:
192.168.100.201:
161:~S$
icmp_seq
Trang 10- Ping tir may Windows Server:
Mic k9 n 1
C:\Users\Van Quyen>echo Van Quyen_B21AT161
C:\Users\Van Quyen>date
118 AM
Trang 11- Ping tir may Kali:
Bimaevh:|
kaLi@B21AT161-Quyen-Kali: ~
File Actions Edit View Help
\WINDOWS\system
C:\Users\Van Quyen>echo VAn Quyen_B21AT16
VAn Quyen_B21AT161
64 bytes from 1
rtt min/avg/max/mdev = @.707/0.778/0.857/0.667 ms Enter the new date: (dd-mm-yy)
“sil
Da CC
= 1ms, Av
C:\Users\Van Quyen>echo Van Quyen_B21AT161
Van Quyen_B21AT161
C:\Users\Van Quyen>date
The current date is: 02/03/2024
1022AM
Trang 12
s* Cài đặt pfSense:
- Máy pfsense có 2 chân nên cần tạo 2 Adapter network:
I] pfSense
> Power on this virtual machine
Edit virtual machine settings
y Devices
Network Adapter Custom (VMnet4)
J Display Auto detect
- Sau khi cai dat pfsense thi chon
=> Cai dat thanh cong:
Aly
You
IPv4
can access
browser:
http:⁄⁄192
Machine Press
HAN
LAN
sign Interfaces
Shell
Ente
factory defaults
C:\WINDOWS\system32\cmd
C:\Users\Van Quyen>echo Van Quyen_B21AT161 Van Quyen_B21AT161
C:\Users\Van Quyen>date The current date is: 02/03/2024 Enter the new date: (dd-mm-yy) |
2 đề thiết lập địa chi IP cho may pfSense
192.168 188 1⁄24
the
to
following
168 188 1⁄
18.18.19.1
192 188 188 1⁄24 v4:
9) 18) 12) 13) 15)
pfTop
Secure
2.2.2 Cài đặt cầu hình pfsense firewall cho lưu lượng ICMP
Trén may Linux victim 6 mang trong, vao http://192.168.100.1 dé cau hình pfsense qua giao điện web.
Trang 132
QO
O & 192.168.100.1
WARNING: The ‘admin’ account password is set to the default value Change the password in the User Manager
pfSense Setup
Welcome to pfSense® software!
This wizard will provide guidance through the initial configuration of pfSense
The wizard may be stopped at any time by clicking the logo image at the top of the screen
pfSense® software is developed ai
CAWINDOWSVsystem3 + xv Oo
Van Quyen_B21AT161 C:\Users\Van Quyen>date The current date is: 27/02/2024
=> Cấu hình hoàn tắt:
v „ DỤ ®
4
4
@
=
Wizard completed
Step 9 of 9
Wizard completed
Congratulations! pfSense is now configured
We recommend that you check to see if there are any software updates available Keeping your software
up to date is one of the most important things you can do to maintain the security of your network
CAWINDOWSwystem3 < + + D
Su CAME C:\Users\Van Quyen>echo Van Quyen_B21AT161
C:\Users\Van Quyen>date
User survey
Trang 14Cấu hình luat firewall dé cho phép luéng ICMP ở mạng External ping được tới giao dién 10.10.19.1
ty EB) $ 4) 23:50
x
Cn © & 192.168.100.1 OW i oe
The changes have been applied successfully The firewall rules are now reloading in the background Monitor the filter reload progress
Rules (Drag to Change Order)
any
C:\Users\Van Quyen>echo Van Quyen_B21AT161 MSc Van Quyen_B21AT161
C:\Users\Van Quyen>date The current date is: 27/02/2024 Enter the new date: (dd-mm-yy)
Trang 15Kiểm tra bằng cách ping tới 10.10.19.1 tir may Kali attack 6 mang ngoai
kali@B21AT161-Quyen-Kali: ~ File Actions Edit View Help
kaLi® B21AT161-Quyen-KaLi ~
10.19.1) 56(84)
Pee c Ầ A
kali @ B21AT161-Quyen-Kali
|
Trả lời câu hỏi:
x
- Trong giao diện mạng Internal có 2 công TCP được mở: Công 80 (HTTP), Cổng 53 (domain)
kali@quyenb21at161: ~
File Actions Edit View Help
n
No
own: 998 fitte a PF C\WINDOWS\system32\cmd
STATE SERVICE
aay
Nmap done: 1 IP addr st up) scanned in 4.17 seconds PTH Quyen_B21AT161
kaliS quyenb21at161 ~
kali@B21AT161-Quyen-Kalii: ~
File Actions Edit View Help
kali@ 821AT161-Quyen-Kali)-[~
rting Nmap 7.94SVN ( https: //nma;
kali@ B21AT161-Quyen-Kali
C:\Users\Van Quyen>echo VAn Quyen_B21AT161 VAn Quyen_B21AT161
\Van Quyen>date
Trang 16mang Internal
Trén may Linux victim ở mạng trong, vào http://192.168.100.1 dé cầu hình NAT trên pfsense qua giao điện web
pfSense.home.arpa - Firewall: NAT: Port Forward - Mozilla Firefox
Interface Protocol Source Address Source Ports Dest Address Dest Ports NAT IP
CAWINDOWSsystem3 es k c x
Legend
Pass
x
Linked rule
Cau hinh cho phép cong SSH trén IP 192.168.100.147 (May Linux victim mang Internal) durgc truy cập từ bên ngoài thông qua port forwarding
pfsense.home.arpa - Firewall: Rules: WAN - Mozilla Firefox
Rules (Drag to Change Order)
any
Trang 17
Kiểm tra bằng cách truy cập ssh tới 10.10.19.1
LTT-CTYXEEEWV
quyen-at161@quyen-b21at]61: ~
File Actions Edit View Help
kaliG B21AT161-Quyen-Kali
"s password:
`;
quye a
* Support:
C:\Users\Van Quyen>date
en-at1618quyen-b21at16:
security updat
Last Login
quyen-at†61@quyen-b21at161: ~
Actions Edit View Help
CD un estes
-at161@quyen-b2
Link e
x bytes:15830 (15 Users\Van Quyen>echo VAn Quyen_B21AT161
VAn Quyen_B21AT161
C:\Users\Van Quyen>date
Trang 18Kiểm tra các công được phép truy cập trên mạng Internal
RizmabBsdr.-
quyen-at161@quyen-b21at161: ~ File Actions Edit View Help
Sha
:\Users\Van Quyen>echo VAn Quyen_B21AT161 VAn Quyen_B21AT161
C:\Users\Van Quyen>date
3 Tài liệu tham khảo
e Lab 7 pfsense firewall cua CSSIA CompTIA Security+®
e Advanced Penetration Testing for Highly-Secured Environments Second Edition
¢ Gidi thiéu vé Pfsense: https://viblo.asia/p/network-gioi-thieu-ve-pfsense-N0bDM6LXv2X4