Đang tải... (xem toàn văn)
Phần mềm Pfsense Pfsense là một ứng dụng có chức năng định tuyến vào tường lửa mạng và miễn phí dựa trên nền tảng FreeBSD có chức năng định tuyến và tường lửa rất mạnh Các tính năng trong pfsense: o Aliases: 1Aliases sẽ gom nhóm các IP, Port hoặc URL vào với nhau, 1 alias sẽ cho phép thay thế 1 host, 1 dải mạng, nhiều IP riêng biệt hay 1 nhóm port, URL o NAT: • Pfsense có hỗ trợ nat static dưới dạng nat 1:1. IP private được nat sẽ luôn ra ngoài bằng IP public tương ứng. • Nat outbound mặc định với Automatic outbound NAT rule generation. o Firewall Rules: Là nơi lưu trữ tất cả các luật ra, vào trên pfsense. Mặc định PfSense cho phép mọi kết nối ra, vào o Traffic shaper: giúp quản trị mạng có thể tinh chỉnh, tối ưu hóa đường truyền trong pfsense o VPN: Pfsense cũng hỗ trợ VPN qua 4 giao thức: IPSec, L2TP, PPTP và OpenVPN.
1 Mục đích - Hiểu cách thức hoạt động của tường lửa và mối quan hệ của nó với các mạng bên trong và bên ngoài - Giúp sinh viên có thể tự cài đặt, xây dựng một mạng doanh nghiệp với tường lửa để kiểm soát truy cập 2 Tìm hiểu lý thuyết 2.1 Cấu hình mạng trong phần mềm mô phỏng Vmware /Virtualbox - Là nơi mà chúng ta có thể cấu hình mạng cho các máy ảo - Có 3 loại card mạng trong Vmware Card bridge: card này sử dụng chính card mạng thật Card NAT: card này sẽ Nat địa chỉ IP của máy thật ra một địa chỉ khác cho máy ảo sử dụng Card này cũng có thể kết nối ra bên ngoài Internet Host-only: kết nối với một card mạng ảo tương ứng ngoài máy thật mạng VMnet Host-only và mạng vật lý hoàn toàn tách biệt - Chúng ta có thể thêm, sửa, xóa card mạng, bật tắt DHCP, sửa dải địa chỉ ip,… trong Virtual Network Editor 2.2 Phần mềm Pfsense - Pfsense là một ứng dụng có chức năng định tuyến vào tường lửa mạng và miễn phí dựa trên nền tảng FreeBSD có chức năng định tuyến và tường lửa rất mạnh - Các tính năng trong pfsense: o Aliases: 1Aliases sẽ gom nhóm các IP, Port hoặc URL vào với nhau, 1 alias sẽ cho phép thay thế 1 host, 1 dải mạng, nhiều IP riêng biệt hay 1 nhóm port, URL o NAT: Pfsense có hỗ trợ nat static dưới dạng nat 1:1 IP private được nat sẽ luôn ra ngoài bằng IP public tương ứng Nat outbound mặc định với Automatic outbound NAT rule generation o Firewall Rules: Là nơi lưu trữ tất cả các luật ra, vào trên pfsense Mặc định PfSense cho phép mọi kết nối ra, vào o Traffic shaper: giúp quản trị mạng có thể tinh chỉnh, tối ưu hóa đường truyền trong pfsense o VPN: Pfsense cũng hỗ trợ VPN qua 4 giao thức: IPSec, L2TP, PPTP và OpenVPN 3) Thực hành 3.1) Cài đặt các máy ảo a) Cài IP cho các máy trong cả 2 mạng -) Tạo 2 card mạng với dải mạng 10.10.19.0/24 và LAN segment 192.168.100.0/24 -) Cài địa chỉ ip tĩnh cho máy Ubuntu Internal là 192.168.100.147 -) Cài địa chỉ ip tĩnh cho máy Window Server 2016 Internal là 192.168.100.201 -) Cài địa chỉ ip tĩnh cho máy Kali Internal là 192.168.100.3 -) Cài địa chỉ ip tĩnh cho máy Window 7 Internal là 192.168.100.5 -) Cài địa chỉ ip tĩnh cho máy Window Server External là 10.10.19.202 -) Cài địa chỉ ip tĩnh cho máy Kali External là 10.10.19.148 -) Cài đặt pfsense với địa chỉ ip là 10.10.19.1 và 192.168.100.1 -) Thiết lập interface cho cổng WAN và LAN của pfsense b) Ping giữa các máy -) Ubuntu Internal và Kali Internal -) Ubuntu Internal và Window 7 Internal -) Ubuntu Internal và Window Server Internal -) Window Server External và Kali External 3.2) Cài đặt cấu hình pfsense firewall cho lưu lượng ICMP a) Cấu hình ICMP cho phép các máy trong mạng Internal ping được ra các máy ở mạng External, không cho phép ping vào trong mạng Internal -) Máy Ubuntu Internal có thể ping đến máy Window Server 2016 External còn máy Win Server không thể ping đến máy Ubuntu -) Thiết lập rules để các máy External ping được đến interface 10.10.19.1 Trả lời câu hỏi: - Trong giao diện mạng Internal có 2 cổng TCP được mở: Cổng 80(HTTP), Cổng 22(ssh) - Trong giao diện mạng External có 1 cổng TCP được mở: Cổng 80(HTTP) 3.3) Cài đặt cấu hình pfsense firewall cho phép chuyển hướng lưu lượng tới các máy trong mạng Internal a) Cấu hình tường lửa cho phép 1 cổng và chuyển hướng lưu lượng: -) Bật SSH trên máy pfsense -) Cấu hình cho phép cổng SSH trên IP 192.168.100.147 được truy cập từ bên ngoài thông qua port forwarding -) Tạo Rules cho phép truy cập cổng 22 của máy Ubuntu Internal -) Kiểm tra bằng cách truy cập ssh tới 10.10.19.1, rồi gõ ifconfig để kiểm tra IP máy -) Kiểm tra các cổng được phép truy cập trên mạng Internal bằng cách gõ lệnh trên máy Kali Linux trong mạng Internal: nmap 192.168.100.1