Tại đây có thể tạo và quản lý một kết nối VPN
Tạo một kết nối VPN
Hình 15: Trang tạo một kết nối VPN
Các cấu hình cài đặt
Setting Descriptions
Name Đặt tên cho kết nối
Compression Kích hoạt tính năng nén dữ liệu trong kết nối Left Nhập địa chỉ IP công cộng của máy kết nối từ xa
Left subnet Nhập vào địa chỉ mạng và netmask của máy kết nối từ xa Right Nhập địa chỉ IP công cộng của Smoothwall (máy firewall
của bạn)
Right subnet Địa chỉ mạng và subnet của máy firewall Secret Nhập chuỗi bảo mật để xác thực kết nối Again Nhập lại chuỗi xác thực
Comment Nhập mô tả
Enabled Chọn để kích hoạt kết nối
Add Click add để lưu kết nối vào danh sách phía dưới Export Chọn để lưu thông tin ra file dat
Quản lý kết nối VPN
Hình 16: Trang quản lý kết nối VPN
3.4 Sử dụng SmoothWall Express Tools
a) IP Information
Hiển thị thông tin của địa chỉ IP hoặc tên miền. Một ứng dụng của việc này là xác định nguồn gốc của các yêu cầu trong bản ghi
Hình 17: Trang ip information
Nhập vào địa chỉ IP hoặc tên miền muốn xem vào ô In the IP addresses or domain name field
Chọn Run, SmoothWall sẽ hiển thị mọi thông tin
b) IP Tools
SmoothWall cung cấp các dịch vụ ping và traceroute Để sử dụng vào Tools > ip tools
Hình 18: Trang IP tools
Từ menu thả xuống chọn ping hay traceroute
Nhập vào địa chỉ IP hoặc hostname vào ô IP addresses or hostnames field Chọn run các kết quả sẽ được hiển thị
c) Running the SSH Client
Cho phép quản trị bằng dòng lệnh thông qua trình duyệt web sử dụng SSH. Trình duyệt phải cài đặt máy ảo Java
Hình 19: Trang shell
Nhập usernamed root và password để login
3.5 Sử dụng SmoothWall Express Services
a) Sử dụng Web Proxy
SmoothWall cung cấp một Proxy Web để yêu cầu các đối tượng Internet. Để triển khai dịch vụ vào Services > web proxy
Hình 20: Trang cấu hình webproxy
Các cấu hình cài đặt
Setting Descriptions
Cache size (MB) Không gian bộ nhớ cache để truy cập nhanh hơn vào các trang web
Remote proxy Nhập địa chỉ IP của proxy server từ xa Remote proxy
username Nếu sử dụng proxy từ xa, cần phải có thông tin chứng thực, nhập username chứng thưc Remote proxy
password Nhập password cho việc chứng thực Max object size
(KB)
Kích thước lớn nhất của đối tượng lưu trong bộ nhớ cache. Mặc định 4Mb
Min object size
(KB) Kích thước nhỏ nhất của đối tượng được lưu trong bộ nhớ cache Max outgoing
size (KB)
Kích thước tối đa của dữ cho việc upload Max incoming
size (KB) Kích thước tối đa dowload dữ liệu đi qua firewall
Transparent Tất cả các yêu cầu điều được chuyển hướng qua firewall Enabled Chọn để kích hoạt web proxy
Chọn save để lưu lại
b) Cấu hình Im Proxy
Dịch vụ IM Proxy cụa SmoothWall cho phép bạn đăng nhập cuộc hoại thội IM, và chuyển file trên mạng màu xanh và màu tím nếu nó được bật
Hình 21: Trang cấu hình im poxy
Các cấu hình cài đặt
Setting Descriptions
Enabled Chọn để kích hoạt dịch vụ IM proxy Swear-word filtering Chọn để lọc từ
MSN Chọn để có thể hội thoại với MSN
ICQ and AIM Chọn để có thể hội thoại với ICQ and AIM
Yahoo Chọn để có thể hội thoại với Yahoo
IRC Chọn để có thể hội thoại với IRC
Chọn save để lưu lại
c) Pop3 Proxy
SmoothWall có thể quét virut email POP3 khi chúng được tải xuống từ các server mail bên ngoài đền các máy trong mạng xanh và tím
Để kích hoạt dịch vụ quét virut POP3 AV vào Services > pop3 proxy
Chọn Enable để kích hoạt các dịch vụ. Tất cả các Client sử dụng mail POP3 đi qua firewall đều được quét
Chọn Save để lưu lại
d) Sip proxy
Dịch vụ sip proxy của SmoothWall quản lý các cuộc gọi VoIP hệ thống Để cấu hình dịch vụ vào Services > sip proxy
Hình 23: Trang cấu hình sip proxy
Các cấu hình cài đặt
Setting Descriptions
Enabled Chọn để kích hoạt dịch vụ Logging level Chọn mức yêu cầu đăng nhập Log calls Chọn để gi các cuộc gọi cá nhân Maximum
number of clients
Số Client tối đa có thể sử dụng dịch vụ Transparent Chọn để dịch vụ chạy ở chế độ minh bạch Chọn save để lưu lại
e) Dịch vụ dhcp
Hình 24: Trang cấu hình dịch vu dhcp
Các cấu hình cài đặt
Setting Descriptions
Network Boot enabled
Chọn để kích hoạt cho máy trạm khởi không đĩa Boot server Địa chỉ IP của server chạy TFTP
Boot filename Tên của file máy trạm hoặc thiết bị để boot Root path Đường dẫn của file máy trạm hoặc thiết bị
Start address Địa chỉ bắt đầu cấp phát End address Địa chỉ kết thúc
Primary DNS Nhập địa chỉ máy DNS chính Secondary DNS Nhập địa chỉ của máy DNS hai Primary NTP Nhập IP của server NTP chính Secondary NTP Nhập IP của server NTP phụ Primary WINS Nhập IP của server WINS chính Secondary WINS Nhập IP của server WINS phụ Default lease
time(mins) Nhập thời gian mà địa chỉ IP được cấp phát Max lease time
(mins)
Nhập thời gian tối đa mà địa chỉ IP được cấp phát Domain name
suffix
Tên miền của máy cấp phát IP NIS domain Tên miền của NIS
Primary NIS Nhập IP chính của NIS Secondary NIS Nhập IP phụ của NIS
Enabled Chọn để kích hoạt dịch vụ dhcp Chọn Save để lưu lại
Assigning Static IP Addresses
Setting Descriptions
Hostname Tên máy client được cấp phát IP tĩnh Description Nhập vào thông tin mô tả
MAC address Địa chỉ MAC của máy Client P address Địa chỉ IP tỉnh được cấp phát Enabled Chọn để kích hoạt dịch vụ Chọn để thêm vào danh sách bên dưới
f) Dynamic DNS
SmoothWall cung cấp dịch vụ Dynamic DNS. Để cấu hình dịch vụ vào Services
Hình 25: Trang cấu hình dịch vụ DNS
Các cấu hình cài đặt
Setting Descriptions
Service Chọn dịch vụ dynamic dns mà bạn đã đăng ký
Behind a proxy Chọn tùy chọn này nếu bạn sử dụng no-ip.com hoặc máy firewall nằm phía sau máy chủ proxy
Enable wildcards Chọn để kích hoạt wildcards Hostname Nhập hostname mà bạn đã đang ký
Domain Nhập vào tên miền của nhà cung cấp mà bạn chọn Username Nhập username mà bạn đã đăng ký
Password Nhập password mà bạn đã đăng ký
Comment Viết ghi chú
Enabled Kích hoạt dịch vụ
Chọn add để thêm dịch vụ vào danh sách bên dưới
g) Static DNS
Dùng để cấu hình dịch vụ DNS cho mạng LAN của bạn. Để cấu hình vào
Hình 26: Trang cấu hình dịch vụ DNS
Các cấu hình cài đặt Setting Description
IP address Nhập vào địa chỉ IP của host Hostname Nhập vào tên của host Comment Viết ghi chú
Enabled Chọn để kích hoạt
Chọn add để thêm vào danh sách bên dưới
h) Managing the Intrusion Detection System
SmoothWall hỗ trợ dịch vụ phát hiện xâm nhập Snort IDS. Để cấu hình vào
Hình 27: Trang cấu hình Sort IDS
Truy cập vào website http://www.snort.org/ để đăng ký Oink code. Sau đó kích hoạt dịch vụ. Chọn Save and updates rules để cập nhật các luật từ website http://www.snort.org/
i) Cấu hình Remote Access
Khi được kích hoạt có thể sử dụng dịch vụ SSH để truy cập Smoothwall. Để kích hoạt dịch vụ vào Services > remote access
Hình 28: Trang cấu hình remote access
Chọn SSH và Allow admin access only from valid referral URLs để kích hoạt dịch vụ và đảm bảo các truy cập hợp lệ
j) Configuring Time Settings
Cấu hình ngày và thời gian cho Smoothwall để đồng bộ với máy server ngoài. Để cấu hình vào Services > time
Hình 29: Trang cấu hình thời gian
Các cấu hình cài đặt
Setting Description
Timezone Chọn múi giờ
Time and date Đặt ngày vá giờ cho máy Network time
retrieval Cấu hình để Smoothwall đồng bộ với thời gian trên Internet Network time
Server Chọn để cấu hình một máy chủ thời gian khác 3.6 Quản lý Sử dụng SmoothWall Express
Hình 30: Trang update Smoothwall
Chọn Check for Updates để kiểm tra trước khi update Chọn Update để update tự động
Chọn Advanced để update từ file
Cấu hình modem vào Maintenance > modem
Hình 31: Trang cấu hình modem
Chọn Resrore defaults để lấy các thông số mặc định và Save để lưu
Sử dụng Speedtouch USB ADSL Modems vào Maintenance > speedtouch usb
Hình 32: Trang cấu hình speedtouch usb firmware
Chọn Browse để tìm file driver và chọn Upload để cài đặt
Cấu hình mật khẩu vào Maintenance > password
Hình 33: Trang thay đổi mật khẩu
Thay đổi mật khẩu cho user admin và dial
Hình 34: Trang backup
Chọn Create backup floppy disk để tạo một đĩa backup Chọn Create backup floppy image để tạo một file backup
Thiết lập giao diện người dùng vào Maintenance > preferences
Hình 35: Trang cấu hình giao diện
Chọn Drop down menus để ẩn hoặc hiện menu
Hình 36: Trang shutdown
3.7 Thông tin và bản ghi
a. Thanh About
Status
Thông tin trạng thái các dịch vụ
Hình 37: Trang trạng thái
Advanced
Hình 38: Trang advanced
Traffic Graphs
Hình 39: Trang thống kê số lượng truy cập
Bandwidth Bars
Hình 40: Trang hiển thị băng thông sử dụng
Traffic Monitor
Hình 41: Trang hiển thị băng thông
SmoothWall Express
Hiển thị thông tin bản quyền và cho phép đăng ký
Hình 42: Trang hiển thị thông tin bản quyền
Hình 43: trang hiển thị thông tin hệ thống
Setting Descriptions
System Chứa bản ghi của tất cả hệ thống Web Proxy Logs Chứa bản ghi Web Proxy
Firewall Logs Bản ghi của các gói tin bị chặn
IDS Logs Hiển thị các kết nối độc hại cố gắng truy cập vào mạng lưới của bạn
Instant Messages
Logs Hiển thị thông tin về tin nhắn nhanh Email Logs Hiển thị các email đã đi qua POP3 proxy
4.1 Mô tả, yêu cầu
Ngày nay mạng nội bộ là một yếu tố không thể thiếu ở các công ty. Ngoài việc triển khai đầy đủ các dịch vụ mạng thì vấn đề bảo mật cũng được đặt lên hàng đầu. Do đó một tường lửa là không thể thiếu trong mô hình mạng. Các phần mềm tưởng lửa thương mại là lựa chọn hàng đầu của các công ty lớn. Nhưng với các công ty vừa và nhỏ thì các phần mềm miễn phí cũng đã đáp ứng đầy đủ các nhu cầu của họ. Sau đây là một mô hình mạng tiêu biểu có thể được triển khai ở các công ty vừa và nhỏ mà nhóm em tìm hiểu.
Mô hình mạng triển khai:
Hình 1: Mô hình mạng triển khai
Mô hình mạng được triển khai với 3 máy Server chính:
• Máy Firewall cài đặt HĐH Linux và SmoothWall Express 3.0 để làm tường lửa cho mạng nội bộ
• Máy DMZ Server cài đặt HĐH Linux và triển khai các dịch vụ mạng như: FTP, WEB, MAIL
• Máy Server cài đặt HĐH Linux và triển khai các dịch vụ: DHCP, DNS
• Và một modem ADSL để cho các máy client có thể truy cập Internet Yêu cầu:
Để bảo đảm an toàn thông tin trong mạng nội bộ thì yêu cầu phải triển khai luật trên máy Firewall:
• Các máy client trong mạng LAN được truy cập các dịch vụ trên máy DMZ và bên ngoài Internet thông qua Firewall
• Máy DMZ được phép TELNET qua các máy trong mạng LAN
• Cấm các máy bên ngoài Internet truy cập vào các máy Client bên trong mạng Lan
• Cho phép các máy bên ngoài truy cập vào các dịch vụ trên máy DMZ: FTP. Trừ các máy có địa chỉ IP nhất định được cấu hình trước được phép quản trị từ xa
• Triển khai hệ thống phát hiện phòng chống xâm nhập trên Firewall sử dụng Sort IDS
Triển khai trên máy ảo
Hình 2: Mô hình mạng triển khai máy ảo
4.2 Các bước cấu hình
Mô hình thực nghiệm được xây dựng gồm 3 vùng mạng giao tiếp với nhau qua máy Firewall: • Mạng Lan có địa chỉ mạng là 10.0.0.0/24 • Mạng Internet có địa chỉ mạng là 192.168.1.0/24 • Vùng DMZ có địa chỉ mạng là 20.0.0.0/24 Máy Server - Hệ điều hành: Linux - Địa chỉ IP 10.0.0.2/24
- Host name: server.tieuluan.com
- Triển khai dịch vụ DHCP-DNS để cấp IP động cho các máy trong mạng Lan
Máy Client
- Hệ điều hành: Win XP
- Địa chỉ IP: nhận IP động từ máy Sever
Máy DMZ Server
- Hệ điều hành: Linux - Địa chỉ IP: 20.0.0.2/24
- Host name: dmz.tieuluan.com
- Triển khai các dịch vụ FTP, WEB để kiểm tra cấu hình
Máy Firewall
- Hệ điều hành: Linux - Địa chỉ IP
o Card Lan: 10.0.0.1/24
o Card DMZ: 20.0.0.1/24
o Card Internet: 192.168.1.1/24 - Host name: firewall.tieuluan.com
- Cài đặt Smoothwall Express 3.0. làm tường lửa để kiểm soát lưu thông mạng
Máy External PC
- Hệ điều hành: Win XP - Dùng để kiểm tra cấu hình
Máy Linux Router
- Hệ điều hành: Linux - Địa chỉ IP: 192.168.1.2
- Đóng vai trò Internet, triển khai các dịch vụ FTP, WEB để kiểm tra cấu hình
Sau cấu hình địa chỉ IP và cài đặt các dịch vụ cho các máy server. Tiếp theo ta cài đặt SmoothWall Express 3.0 và cấu hình các luật theo yêu cầu
4.3 Cấu hình các luật
Tiến hành cài đặt Smoothwall Express 3.0 vào máy Firewall xem phần hướng dẫn cài đặt
Dựa theo các yêu cầu được đề ra, ta đưa ra các luật để cấu hình trên máy Firewall: • GREEN External: HTTP, HTTPS, FTP, DNS • External DMZ: HTTP, HTTPS • External (192.168.1.100): admin • DMZ GREEN: TELNET, DNS • DMZ External: HTTP, HTTPS, FTP, DNS
• Triển khai Sort IDS trên Firewall
Bước 1: Cấu hình cho phép các máy trong mạng Lan và DMZ truy cập
Internet
GREEN External: HTTP, HTTPS, FTP, DNS
DMZ External: HTTP, HTTPS, FTP, DNS
• Truy cập Smoothwall xem phần hướng dẫn truy cập
Hình 3: Cấu hình outgoing
Bước 2: Cấu hình cho phép các máy bên ngoài truy cập các dịch vụ trên DMZ
Server như: FTP, HTTP, HTPPs. Và máy External (192.168.1.100) quyền admin External DMZ: HTTP, HTTPS
External (192.168.1.100): admin
• Truy cập Smoothwall xem phần hướng dẫn truy cập
• Vào Networking > incoming cho phép máy External truy cập FTP và WEB trên DMZ
Hình 4: cấu hình icoming
• Vào Networking > external access cấu hình cho phép máy External (192.168.1.100) truy cập được Smoothwall
Bước 3: Cấu hình cho phép máy DMZ TELNET và DNS được các máy trong
mạng LAN
DMZ GREEN: TELNET, DNS
• Truy cập Smoothwall xem phần hướng dẫn truy cập
• Vào Networking > internal
Hình 6: Cấu hình internal
Bước 4: Triển khai Snort IDS
• Truy cập vào website https://www.snort.org/ đăng ký thành viên và nhận Oink code