— Bridge: ở chế độ này, card mạng trên máy ảo được gắn vào VMnet0, VMnet0 nàyliên kết trực tiếp với card mạng vật lý trên máy thật, máy ảo lúc này sẽ kết nốiinternet thông qua card mạng
Trang 1
HOC VIEN CONG NGHE BUU CHINH VIEN THONG
KHOA AN TOAN THONG TIN
Môn học: THỰC TẬP CƠ SỞ
CAI DAT CAU HINH MANG DOANH NGHIEP VOI PFSENSE FIREWALL
Ma sinh vién B21DCAT046
Ha Noi - 3/2024
Trang 2
Muc luc
1
2
Trang 31 Mục đích
Cài đặt, xây dựng một hệ thống mạng với tường lửa để kiểm soát truy cập
2 Tìm hiểu lý thuyết
«Ồ VVmware Workstation là cung cấp khả năng chạy và mô phỏng nhiều hệ điều hànhtrên một máy tính Vmware Workstation đi kèm với nhiều tính năng mạng giúp người dùng tạo và quản lý các mạng riêng tư, chia sẻ hoặc biệt lập bên trong Vmware Workstation
* Vmware Workstation hé tro téi da từ 0 đến 19 bộ điều hợp Vmnet
« Vmware Workstation cung cấp khả năng tạo mạng riêng, mạng cô lập Vmware- Workstation cũng cung cấp máy chủ DHCP có thể dễ dàng sử dụng để phân phốiđịa chỉ IP cho các máy ảo chạy trên đó Người dùng thậm trí còn có thể giới hạncho dung lượng đến cũng như là dung lượng đi cho các máy ảo
« Các thành phần hình thành nên mạng ảo trong VMware gém switch ao, card mạngảo, DHCP server ảo và thiết bị NAT Có 3 chế độ networks mặc định trongvmware
đó là : Host-only, NAT, Bridge
— Bridge: ở chế độ này, card mạng trên máy ảo được gắn vào VMnet0, VMnet0 nàyliên kết trực tiếp với card mạng vật lý trên máy thật, máy ảo lúc này sẽ kết nốiinternet thông qua card mạng vật lý và có chung lớp mạng với card mạng vật lý
+ Card Bridge trên máy ảo chỉ có thể giao tiếp với card mạng thật trênmáy
thật
+ Card mạng Bridge này có thể giao tiếp với mạng vật lý mà máy tínhthật đang kết nồi
Trang 4network
virtual machine virtual network switch
(VMnet0)
host
| virtual bridge network
adapter
Hình 1: Câu trúc của chế độ mạng - Bridge
— Mang Host-only: máy ảo được kết nỗi với VMnet có tính năng Host-only, trong trườnghợp này là VMnet1 VNnet Host-only kết nối với một card mạng
ảo tương ứngngoài máy thật (như đã nói ở phần trên) Ở chế độ này, các máy
ảo không có kếtnối vào mạng vật lý bên ngoài hay internet thông qua máy thật , có nghĩa là mạngVMnet Hosf-only và mạng vật lý hoàn toàn tách biệt IP của máy ảo được cấp bởiDHCP của VMnet tương ứng Trong nhiều trường hợp đặc biệt cần cầu hình riêng,ta có thể tắt DHCP trên VMnet và cầu hình IP bằng tay cho máy ảo
+ Card Host-only chỉ có thể giao tiếp với card mạng ảo VMnet1 trênmáy thật + Card Host-only chỉ có thể giao tiếp với các card Host-only trên cácmáy ảo khác
+ Card Host-only không thể giao tiếp với mạng vật lý mà máy tính thậtđang kết nối
virtual
network
adapter
4
virtual network switch DHCP server (VMnet1)
host network
ee
Hình 2: Câu trúc của chế độ mạng - Host-only
— Mạng NAT: ở chế độ này, card mạng của máy ảo kết nối với VMnet8, VNnet8
2
Trang 5cho phépmáy ảo đi ra mạng vật lý bên ngoài internet thông qua cơ chế NAT (NAT device).Lúc này lớp mạng bên trong máy ảo khác hoàn toàn với lớp mạng của card vật lý bên ngoài, hai mạng hoàn toàn tách biệt IP của card mạng máy
ảo sẽ được cấp bởiDHCP của VMnet8, trong trường hợp bạn muốn thiết lập IP tĩnh cho card mạngmáy ảo bạn phải đảm bảo chung lớp mạng với VNnef8 thì máy ảo mới có thể đi internet
+ Card NAT chỉ có thể giao tiếp với card mạng ảo VMnet8 trên máy thật + Card NAT chỉ có thể giao tiếp với các card NAT trên các máy ảo khác + Card NAT không thể giao tiếp với mạng vật lý mà máy tính thật dang kétndi Tuy nhiên nhờ cơ chế NAT được tích hợp trong VMWre, máy tính ảocó thể gián tiếp liên lạc với mạng vật lý bên ngoài
S
virtual machine
virtual network
is
DHCP server
virtual network switch
(VMnet8)
a
NAT | device '
\ )
Hình 3: Câu trúc của chế độ mạng - NAT
« VirtualBox cung cấp một danh sách dài các chế độ mạng Mỗi bộ điều hợp mạng
ảo có thể được cấu hình riêng biệt để hoạt động ở một chế độ mạng khác nhau
« Các chế độ mạng của VirtualBox:
— Not Attached: chế độ không kết nối mạng cho máy ảo
— Not Attached: chế độ không kết nối mạng cho máy ảo
— NAT Network: Chế độ này tương tự như chế độ NAT, sử dụng để cấu hình
bộ định tuyến Sử dụng NAT Network cho nhiều máy ảo, chúng có thể giao tiếp với nhau qua mạng Các máy ảo có thể truy cập các máy chủ khác trong mạng vật lý và có thể truy cập các mạng bên ngoài bao gồm cả internet Bất kỳ máy nào từ mạng bên ngoài cũng như từ mạng vật lý mà máy chủ được kết nối không thể truy cập vào các máy ảo được cấu hình để sử dụng chế độ này Khi
sử dụng chế độ này, không thể truy cập máy khách từ máy chủ khi sử dụng
Bộ định tuyến VirtualBox NAT tích hợp sẵn sử dụng bộ điều khiển giao diện mạng vật lý của máy chủ VirtualBox làm giao diện mạng bên ngoài
3
Trang 6— NAT Network: Chế độ này tương tự như chế độ NAT, sử dụng để cấu hình
bộ định tuyến Sử dụng NAT Network cho nhiều máy ảo, chúng có thể giao tiếp với nhau qua mạng Các máy ảo có thể truy cập các máy chủ khác trong mạng vật lý và có thể truy cập các mạng bên ngoài bao gồm cả internet Bất kỳ máy nào từ mạng bên ngoài cũng như từ mạng vật lý mà máy chủ được kết nối không thể truy cập vào các máy ảo được cấu hình để sử dụng chế độ này Khi
sử dụng chế độ này, không thể truy cập máy khách từ máy chủ khi sử dụng
Bộ định tuyến VirtualBox NAT tích hợp sẵn sử dụng bộ điều khiển giao diện mạng vật lý của máy chủ VirtualBox làm giao diện mạng bên ngoài
— Internal Network: (mạng nội bộ) VirtualBox được kết nối với một mạng ảo biệt lập Các máy ảo được kết nối với mạng này có thể giao tiếp với nhau, nhưng chúng không thể giao tiếp với máy chủ VirtualBox hoặc với bất kỳ máy chủ nào khác trong mạng vật lý hoặc trong mạng bên ngoài Máy ảo được kết nối với mạng nội bộ không thể được truy cập từ máy chủ lưu trữ hoặc bất kỳ thiết
bị nào khác
— Internal Network: (mạng nội bộ) VirtualBox được kết nối với một mạng ảo biệt lập Các máy ảo được kết nối với mạng này có thể giao tiếp với nhau, nhưng chúng không thể giao tiếp với máy chủ VirtualBox hoặc với bất kỳ máy chủ nào khác trong mạng vật lý hoặc trong mạng bên ngoài Máy ảo được kết nối với mạng nội bộ không thể được truy cập từ máy chủ lưu trữ hoặc bất kỳ thiết
bị nào khác
— Generic Driver: Ché độ mạng này cho phép chia sẻ giao diện mạng chung Người dùng có thể chọn trình điều khiển thích hợp để được phân phối trong một gói mở rộng hoặc được bao gồm trong VirtualBox Chế độ này gồm 2 chế
độ phụ:
+ UDP Tunnel: Các máy ảo chạy trên các máy chủ khác nhau có thể giao tiếp minh bạch bằng cách sử dụng cơ sở hạ tầng mạng hiện có
+ VDE Networking: Máy ảo có thể kết nối với công tắc phân tán ảo trên máy chủ Linux hoặc FreeBSD
* Pfsense 14 mot ttng dung cé chitc nang dinh tuyén vao tung lita manh và miễn phí, ứng dụng này cho phép mở rộng mạng của cơ quan, tổ chức, mà không bị thỏa hiệp về sự bảo mật Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó PfSense bao gồm nhiều tính năng
Trang 7giống nhưcác thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng
Pfsense được dựa trên FreeBSD và giao thức Common Address Redundancy Pro- tocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải Đặc thù PfSense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt PfSense yêu cầu tối thiểu 2 card mạng
Không chỉ là một tường lửa, pfSense hoạt động như một thiết bị mạng tổng hợp vớiđầy đủ mọi tính năng toàn diện sẵn sàng bất cứ lúc nào Khi có một vấn để về hệthống mạng phát sinh, thay vì phải loay hoay tìm thiết bị và mất thời gian đặt hàng,doanh nghiệp có thể kết hợp các tính năng đa dạng trên pfSense để tạo thành giảipháp hợp lý, khắc phục sự cố ngay lập tức
Không kém phần quan trọng là khả năng quản lý Tường lửa pfSense được quản trịimột cách dễ dàng, trong sáng qua giao diện web Hơn thế nữa, pfSense đã có giaodiện web quản trị duy nhất bằng tiếng Việt nên việc sử dụng càng trở nên đơn giảnvà rõ ràng, giúp các nhà quản trị mạng thực sự thoải mái và thấu hiểu về mọi hoạtđộng của tường lửa
Cac tính năng trong pfsense:
— Aliases: Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khácnhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàngvà nhanh chóng hơn
— NAT: Trong Firewall người dùng cũng có thể cấu hình các thiết lập NAT nếu cần sửdụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tinh (1:1) cho các hostcu thể.Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outboundNaAT , tuy nhiên người dùng có thể thay đổi kiểu Manual outbound NAT néu can
— Firewall Rules: Noi lưu các rules (luật) của Eirewall.Mặc định pfSense cho phép mọi lưu thông ra/vào hệ thống Người quản trị phaitao cdc rules dé quan
ly mang bén trong Firewall
— Traffic shaper: Pfsense cung cap tinh nang Traffic Shaper gitip bạn theo dõi và quan li bang thongmang dé dang va hiéu qua hon
— Virtual IPs: Pfsense cho phép sử dụng nhiều địa chỉ IP công cộng kết hợp với
cơ chế NATthông qua IP ảo Có ba loại IP ảo có sẵn trên pfSense: Proxy ARP,
5
Trang 8CARP và mộtloại khác Mỗi loại đều rất hữu ích trong các tình huống khác nhau Trong hầu hết các trường hợp, pfSense sẽ cung cấp ARP trên IPs, do
đó cần phải sử dụng ProxyARP hoặc CARP Trong tình huống mà ARP không cần thiết, chẳng hạn như khicác IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, sẽ sửdụng IP ảo loại khác
Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng- cho những việc như chuyển tiếp cổng NAT, NAT Outbound va NAT 1:1 Họ cũngcho phép các tính năng như failover, và có thể cho phép dịch vụ trên router
để gắnkết với địa chỉ IP khác nhau
— Routing: Một trong những tính năng chính của một Firewall ngoài việc lọc và thực hiệnNAT là định tuyến được lưu thông trong mạng Nó bao gồm các tuyến tĩnh, cácgiao thức định tuyến, định tuyến IP công cộng và hiển thị các thông tin dinhtuyén
— Multi-Wan: Multi-WAN của pfSense cho phép sử dụng nhiều kết nối Internet
để đạt được thờigian hoạt động cao hơn và băng thông lớn Trước khi cầu hình Multi-WAN cầnphải cấu hình hai interfaces (LAN và WAN) hoạt động
— VPN: Virtual Private Network là một kiểu kết nối cho phép các máy tính truyềnthông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫnđảm bảo được tính riêng tư và bảo mật dữ liệu
— IPSec (IP Security): IPSec có vai trò rất quan trọng trong việc giải quyết các van dé ma chiing ta cdgidi quyét n6 véi firewall IPSec (IP Security) dé ra một tập các chuẩn duc phattrién béi Internet Engineering Tast Force (ETF) IPSec giải quyết hai vấn đề gâyhại cho bộ giao thức IP: Sự xác thực hosf-to- host (cho các host biết là chúng đangnói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặnnhững kẻ tắn công xem dữ liệu trong luồng lưu lượng giữa hai máy)
— OpenVPN: một giải pháp SSL VPN mã nguồn mở có thể được sử dụng cho cảclient truy cập từ xa và kết nối kiểu site-to-site Nó hỗ trợ client trên phạm
vi rộngcủa các hệ điều hành
— Server Load Balancing: chức năng cân bằng tải
Có 2 loại load balancing trên pfSense:
+ Gateway load balancing: được dùng khi có nhiều kết nối WAN Client bén trongLAN khi muốn kết nối ra ngoài Internet thì pfSense lựa chọn card WAN déchuyén packet ra card đó giúp cho việc cân bằng tải cho đường truyền
Trang 9+ Server load balancing: cho phép cân bằng tải cho các server của mình Đượcdùng phổ biến cho các web server, mail server và server không hoạt động nữa thìsế bị xóa
Trang 103 Két quả thực hành
Trước hết, cần cài đặt và câu hình hệ thống theo topo mạng như hình sau:
Kali Linux Windows Ubuntu Windows Server 2003 attack 1 attack Linux victim victim
4g g @
INTERNAL NETWORK Domain: MSEC local
192.168 100.0/24
Domain: GVPC local EXTERNAL NETWORK 10.10.19.0/24
attack 2 victim
Hinh 4: Topo mạng cân câu hình theo
Thông tin chỉ tiết về IP của máy ảo trên topo mạng:
May WindowServer2019_victim_l trong mang],
internal
Dia chi IP: 10.10.19.202
Máy Pfsense kết nối trên 2 mạng ¡nternal và ex- | Địa chỉ IP: 192.168.100.1 va
Trang 11
3.1.1 Dia chi IP cua các máy do
Cấu hình địa chỉ IP của các máy tính trong mạng internal:
b21at046-chi-kal|_sttack_1 on QEMU/KVM Dra en mu La
ý 1 1
` `
Hình 5: Địa chỉ IP của máy Kali_attack_I Hình 6: Địa chi IP cua may Linux_victim
events
Hình 7: Dia chi IP cua may Windows7_attack Hình 8: IP của WindowServer2019 vicim 1
Cấu hình địa chỉ IP của các máy tính trong mạng external:
b21at046-chi-kal_ai 2 on QEMU/KVM b21at046-chi-winserver2019_victim_2 on QEMU/KVM
chl046 @&-attack-2:
events
Hình 9: Địa chỉ IP của may Kali_attack_2 Hinh 10: IP cia WindowServer2019_victim_2