Thiết kế & triển khai mạng IP - Bài thực hành số 5: Bảo mật trên mạng

Bài thực hành số 5 về Thiết kế & triển khai mạng IP tập trung vào bảo mật mạng. Bài thực hành bao gồm việc cài đặt và cấu hình tường lửa (firewall), thiết lập các quy tắc (rules) cho các vùng mạng khác nhau, và xây dựng hệ thống phát hiện xâm nhập (IDS) sử dụng Snort. Sinh viên sẽ học cách tích hợp IDS với tường lửa để tạo thành hệ thống phòng chống xâm nhập (IPS).
Nội dung trích xuất từ tài liệu:
Thiết kế & triển khai mạng IP - Bài thực hành số 5: Bảo mật trên mạngThiết kế & triển khai mạng IPBài thực hành số 5: Bảo mật trên mạngBài 1: Cài đặt và thiết lập cấu hình FirewallBài này yêu cầu sử dụng firewall IP Fire trên Linux để thiết lập một tường lửa cho mạngIntranet của công ty theo sơ đồ bên trên. Vùng DMZ (orange) chứa các máy chủ cần cóthể truy nhập từ ngoài Internet, vùng Wifi (blue) cho phép các trạm di động kết nối vạo hệthống mạng. Vùng Intranet (green) là cùng làm việc nội bộ của công ty. Cuối cùng,firewall có một kết nối với Internet (red). Các bước thực hiện như sau: • Chuẩn bị cài đặt firewall • Cài đặt và thiết lập cấu hình IPFire • Bắt đầu làm việc với IPFire qua giao diện Web • Mở cổng ssh để kết nối từ một trạm vùng greenBước 1: Chuẩn bị cài đặt firewallĐể cài đặt firewall IPFire lên một máy Linux làm Gateway cho mạng Intranet, phươngpháp đơn giản nhất là download file ISO-image trên trang web IPFire và cài đặt nó nhưmột hệ điều hành của máy Gateway. Phương pháp này thực hiện cài đặt và cấu hình 1firewall IPFire trước, sau đó tùy theo nhu cầu quản trị mà admin có thể bổ sung thêm cáccông cụ phần mềm cần thiết vào firewall để phục vụ công việc quản trị mạng hoặc cấuhình các tính năng của router. Trường hợp Gateway đã tồn tại và cần bổ sung thêmfirewall IPFire, cần download bản cài đặt rpm phù hợp với hệ điều hành Gateway hoặcbuild IPFire từ các file nguồn IPFire. Ở đây ra sử dụng cách thứ nhất. File ISO-image saukhi được download về cần được gán vào đĩa CDROM của máy ảo (thiết lập trong mụcStorage):Tiếp theo, thiết lập Optical là thứ tự khởi động đầu tiên cho máy ảo (mục System). Điềunày cho phép khi khởi động máy ảo, nó sẽ tìm đến đĩa ISO-image IPFire để khởi động vàtừ đó bắt đầu các bước cài đặt IPFire vào hệ điều hành máy Gateway. 2Theo thiết kế kiến trúc mạng, firewall IPFire sử dụng 4 kết nối mạng để kết nối 4 vùngkhác nhau (gọi là các vùng red, orange, blue và green). Cần thiết lập 4 card mạng cho máyảo Gateway. Sau đó khởi động máy ảo để bắt đầu cài đặt và thiết lập cấu hình IPFire.Bước 2: Cài đặt và thiết lập cấu hình IPFireKhi khởi động máy Gateway lần đầu tiên từ đĩa ISO-image IPFire, các bước cài đặt và cấuhình được lần lượt được hiển thị. Thực hiện đúng theo các chỉ dẫn trên màn hình và thamkhảo các bước cài đặt ở đây: http://wiki.ipfire.org/en/installation/step5. Lưu ý khi lựachọn cấu hình mạng cần lựa chọn đủ 4 kết nối (red, orange, blue và green) và thiết lập địachỉ IP cho các kết nối đúng theo sơ đồ thiết kế mạng. Kết quả thiết lập cấu hình mạng nhưsau:[root@ipfire ~]# ifconfig -ablue0 Link encap:Ethernet HWaddr 08:00:27:65:41:33inet addr:10.0.2.15 Bcast:10.255.255.255 Mask:255.0.0.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:0 errors:0 dropped:0 overruns:0 frame:0TX packets:0 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)green0 Link encap:Ethernet HWaddr 08:00:27:D5:B5:32inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:419 errors:0 dropped:0 overruns:0 frame:0TX packets:243 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:80590 (78.7 Kb) TX bytes:62663 (61.1 Kb)orange0 Link encap:Ethernet HWaddr 08:00:27:FC:E4:6Cinet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:0 errors:0 dropped:0 overruns:0 frame:0TX packets:0 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)red0 Link encap:Ethernet HWaddr 08:00:27:A8:BE:90inet addr:203.162.5.11 Bcast:203.162.5.255 Mask:255.255.255.0UP BROADCAST RUNNING MTU:1500 Metric:1RX packets:4 errors:0 dropped:0 overruns:0 frame:0TX packets:84 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:1368 (1.3 Kb) TX bytes:5040 (4.9 Kb)Ngoài ra, firewall IPFire kết nối ra Internet thông qua một router Rx có địa chỉ 203.162.5.1nên default gateway của firewall này là 203.162.5.1:[root@ipfire ~]# route -nKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface0.0.0.0 203.162.5.1 0.0.0.0 UG 0 0 0 red010.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 blue0192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 green0 3192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 orange0203.162.5.0 0.0.0.0 255.255.255.0 U 0 0 0 red0Bước 3: Bắt đầu làm việc với IPFire qua giao diện WebIPFire sau khi khởi động mặc định sẽ cho phép kết nối từ một trạm trong vùng green đểthực hiện thiết lập các thông số cấu hình. Đứng trên trạm 192.168.1.5, mở web browser vàkết nối vào IPFire theo địa chỉ https://192.168.1.1:444. Sau khi xác thực user admin(password được thiết lập khi cài đặt IPFire), giao diện web của IPFire như sau:Có thể kiểm tra các thông số kết nối với 4 vùng red, orange, blue và green bằng cách chọnmục Network trên giao diện web:Các thông số này có thể được thiết lập lại bằng cách thực hiệnlệnh setup trong console của IPFire:[root@ipfire ~]# setup 4Bước 4: Mở cổng ssh để kết nối từ một trạm vùng greenMặc định, IPFire cấm kết nối ssh và chỉ cho phép một kết nối duy nhất là giao diện Web.Trong nhiều trường hợp, cần thực hiện các lệnh trực tiếp trên console của IPFire thay vìqua giao diện web (ví dụ như khi thay đổi địa chỉ IP cho các kết nối mạng red, orangemblue hay green). Vào gi ...