THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH Bài thực hành Lab 02 BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE

HỌC VIỆN KỸ THUẬT MẬT MÃKHOA AN TOÀN THÔNG TIN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH Bài thực hành Lab 02 : BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG LỬA PFSENSE Giảng viên hướng dẫn: Trần Sỹ Nam Sinh

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

THỰC HÀNH

AN TOÀN MẠNG MÁY TÍNH

Bài thực hành Lab 02 :

BẢO VỆ AN TOÀN MẠNG SỬ DỤNG TƯỜNG

LỬA PFSENSE

Giảng viên hướng dẫn: Trần Sỹ Nam

Sinh viên thực hiện: Lê Hoàng Đại Thắng - AT150651

Hà Nội, 2-2022

I) Chuẩn bị bài thực hành

II) Thực hành

I Chuẩn bị bài thực hành

• 1 Client Win8 : 10.10.10.2

• 1 máy Client dmz server 2012 : 20.10.10.2

II Thực hành

Cài đặt thành công pfsense:

cal Database)

FreeBSD/aMd64 (pfSense.hoMe.arpa) (ttpvA)

UMnare Uirtual Machine - Netyate Device ID: ddd8262866Icb2a2e8af

Enter an option: I

Tiếp tục đăng nhập pfsense trên win 8:

MỤC LỤC

(atid64) OII píSense

A

4 UelcoMe to píSense 2.5.2-RELEASE

8) Logout (SSH onlp)

1) Assign lnterfaces

2) Set interface(s) IP address

3) Reset webConfigurator passHord

4) Reset to ĩactorp deĩaults

5) Reboot spsteM

6) Halt spsteM

7) Ping host

8) Shell

192.168.88.187/24 18.18.10.1/24 28.18.18.1/24 9) pfTop 18) Eilter Logs 11) Restart nebConíigurator 12) PHI’ Shell ♦ pfSense tools 13) Update froM console 14) Enable Secure Shell (sshd) 15) Restore recent configuration 16) Restart PHP-FPM

Sau khi đăng nhập thành công:

Cấu hình ip:

Kiểm tra kết nối mạng:

Google morelux

Q Tát cả (3 Hình ảnh (g) Tin tức ợ Mua sắm : Thí

Khoảng 243.000 kẻt quà (0.72 giây)

https://morelux.vn ▼

Thiết Kế Nội Thất Morelux I Thương hiệu nội t

Công ty cố phần kiến trúc nội thắt MORELUX là đơn vị đi đầu tror

nội thất dòng sàn phẫm gỗ tự nhiên cao cắp với

Thi Công Nội Thất Gỗ óc Chó

CÓNG TY CỔ PHÂN KIẾN TRÚC NỘI THẲT MORELUX SỜ hũ

Sản phẩm

Mời bạn đến tham quan showroom Morelux tại địa chỉ: 31D4 kn

Giới Thiệu

Công Ty cổ Phàn Kiến Trúc và Nội Thắt Morelux được biết đếr

Tủ Trang Trí TT01

Mau tù trang tri hiện đại có thẻ dễ dàng bài tri trong mọi không

Cãc kết quà khác từ morelux.vn »

https://www.facebook.com> > Interior Design studk) ▼

Nội Thất Morelux - Home I Facebook

X a I Q,

IP address:

Subnet mask:

Detault gateway:

(■ , Obtain DNS server address automaticalty

• Use the following DNS server addresses

Ị Obtain an IP address automatically

©Use the following IP address:

đánh giá trên Google lát ờ Việt Nam

KHU ĐÔ THỊ GELEXIMCOíLÊ

Hyundai A^hánhis

Khu Đô thị Q Q

GELEXIMCÓV

You can get IP settings assgned automatically lí your netvvork

supports this capability othérvdse, you need to ásk your network

admlmstrator Í0f the appropriate IP setbngs.

ội Thất Morelux

Preterred DNS server:

Altemate DNS server:

Q Validate settĩngs upon eãt

Nội Thất Morelux: Thiết Kẻ & Thi Công Kiên Trúc - Nội Thát Gỗ óc Chó D4 -31 Khu D, KĐT

Geleximco, Đ Lê Trọng Tán, p Dương Nội, Q Hà Đông, Tp Hà Nội,

Windowserver:

I.MC.OOOR OCH

R S

Indudmg resuhs f(M bn tưc

Do yov w»nt rvsuts oniy fot «n

luc?

VnExpress - Báo tiếng Việt nhièu người xem nt

https //vnexptess net •

vnEiproit an tức mối nn.1i ■ Inống an nnann s cnlnn xâc đưor rflp nnA’ rV)Ể

tức onime v£i Nam s Tnố nóng nhát trong ngAv -vỏ

ĩhéGiởi

ỉm thè g»i Oọc bao vnLxptess cap nháp

m tức thè tjtoi nóng inát, moi nnát 24h

Thời Sự

Bin tm tno SƯ mớ nnât 24n nônq

trong

noâv nồm nav câc ăn aê ưonq nước

Giải Trí VnLxpre&s Già kI Chuyt|

Advanced Cancel

ch vụ: Thông tin báo giá trực tuyến Dịch vụ tại

eleximco, Đ Lê Trọng Tắn, Dương Nội, Hà Đông,

g cửa • Mờ cửa vào 8:00 Th 6

>816 688

Lịch hẹn: morelux.vn

255 255 255 0

Ihé Ihao

Tm Thẻ Thao 24hmứi nnát oàn tm thẻ

thao

24/7 nởm nav xerr fcfi thi dáu ninh

(*háp Luật

Tm tức Phảữ lưítb

Un phào luâ: an rar

linluc.vn - ĩ rang tin điện tử Online cập nhật tin mởi nhát

TlnTuc vn Trang tm (Mn tủ onkne cap nnãt an nhanh mới nõng nhát diên ra về: k I

Chinh m xà nât thẻ gtới giào duc thê mao vân hoa,

SOHA - Tin tửc, tin nhanh VN, Tóc độ, Tin cậy I soha.vn

https />'S0he vn •

Như vậy 2 client đều kết nối mạng thành

công.

18

a Chặn toàn bộ máy trong mạng LAN:

Moniỉor the íilter reload pcogress

Ploating WAN LAN OPT1

Rules (Drag to Change Order)

□ States Protocol Source Port Destinatlon Por

t Gateway Queue Schedule Descriptlon Actions

✓ 3/5.24MiB

80

□ X 0/0 B IPv4* 10.10.10.2 * ChanMXH * * none

Sau đó kiểm tra xem có vào được mạng hay không:

Nh ư v ậ y c ả 2 máy đ ã không th ể truy đượ c internet.

b Chặn 1 máy

Sau khi chặn máy 10.10.10.2

Server vẫn vào được mạng:

The changes have been applied successíully The fìrewall rules are now reloading in the background

Monitor the tìlter reload progress

Eloating WAN LAN 0PT1

Rules (Drag to Change Order)

□ States Protocol Source Po

rt Destinatlon Port Gateway Queue Schedule Description Actions

s/ 9 /7.93 MiB

80

c Chặn không cho phép truy cập facebook

Lấy địa chỉ ip facebook _

C:\Users\manhq>ping facebook.com

Pinging facebook.com [31.13.77.35] with 32 bytes of data:

Reply from 31.13.77.35: bytes=32 time=23ms TTL=54

Replý from 31.13.77.35: býtes=32 time=22ms TTL=54

Reply from 31.13.77.35: bytes=32 time=23ms TTL=54

Replý from 31.13.77.35: býtes=32 time=23ms TTL=54

Ping statistics for 31.13.77.35:

Packets: Sent = 4, Received - 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 22ms< Maximum - 23ms, Average - 22ms

c:\Users\manhq>_

Ip Facebook: 31.13.77.35, ta sẽ thiết lập luật chặn:

Chặn thành công:

c:\Users\manhq>ping facebook.com

Pinging facebook.com [31.13.77.35] with 32 bytes of data:

Reply from 31.13.77.35: bytes=32 time=23ms TTL=54

Replý from 31.13.77.35: bytes=32 tỉme=22ms TTL=54

Reply from 31.13.77.35: bytes=32 time=23ms TTL=54

Reply from 31.13.77.35: bytes=32 tỉme=23ms TTL=54

Ping statistics for 31.13.77.35:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 22ms, Maximum = 23ms, Average = 22ms

c:\Users\manhq>ping facebook.com

Ping request could not find host facebook.com Please check the name and try again C:\Users\manhq>ping facebook.com

Pinging facebook.com [31.13.77.35] with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

d Chặn web với Aliase

Khi chưa chặn thì vào bình thường

A Thời sự Góc nhìn Thê giới Video Podcasts Kinh doanh Khoa học Giãi trĩ Thi thao Pháp luật Giáo dục Sức khoe ĐỜI sóng Du lỊCh số hóa Xe Ý kién T

Sau đó lập rules để chặn

33 Command Prompt

Thủ tướng yêu cầu sẳn sàng đưa công

TOÁN TU VÀ

hicrosoít Windows [Version 10.0.19044.1526]

(c) Microsoít Corporation All rights reserved.

:\Users\«anhq>ping vnexpress.net

Pinging vnexpress.net [111.65.250.2] with 32 bytes of data:

Repĩy í rom 111.65.258.2: bytes-32 • —

Replý í rom 111.65.250.2: býtes-32

Replý fro« 111.65.250.2: býtes-32

Replý í rom 111.65.258.2: býtes-32

tĩme-2ms TTL-55 tine-2«s TTL-55

Ping statistics for 111.65.258.2:

Packets: Sent - 4, Received •

Approximate round trip tines in laillỉ-seconds:

Minimum - 2ms, Maximum - 2«s, Average - 2ms

4, Lost - 0 (6% loss).

:\Users\«wnhq>,

hch chở 39 người từ đảo Củ Lao Chàm vào bò bi sóng đánh chim trén biẻn cửa Đai 13 người chét 5

CAC BỆNH T’ÉU HOA TMƯONO GẬP

o NHIỄM KHUẨN HP DẠ DÀY

© TRÀO NGƯỢC DẠ DÀY THỰC OUÃN

© VIẼM LOÉT DẠ DÀY DẠI TRÂNG

© XUẤT HUYỄT DẠ DÀY

■■■■■LI Thanh tra các dự án điện phát triển trong 10 năm qua

Bắt đông sản Bảo hiểm CapitalLand sẽ làm dự án một tỷ USD tại Bấc Giang

Tảo đoàn nãv nohiẻn cữu ouv Tạo Aliase để chặn vnexpress.net

Extra Options

Chặn thành công

licrosoít windows [Version 10.0.19044.1526]

(c) Microsoít Corporation All rights reserved.

":\Users\manhq>ping vnexpress.net

’inging vnexpress.net [111.65.250.2] with 32 bytes of data:

ĩeply írom 111.65.250.2: bytes-32 time-2ms TTL-55

3eplý from 111.65.250.2: bytes=32 time-2ms TTL-55

leplý from 111.65.250.2: bytes-32 time=2ms TTL-55

3eply from 111.65.250.2: bytes=32 time=2ms TTL=55

’ing statistics for 111.65.250.2:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

ipproximate round trip times in milli-seconds:

Minimum - 2ms, Maximum = 2ms, Average • 2ms

C:\Users\manhq>

’inging vnexpress.net [111.65.250.2] with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

e Schedules

Thêm schedule

®sense System ▼ Interíaces ’ Firewall ’ Services ’ VPN T Status ’ Diagnostics ’ Help - ' o c+ COMMUMITY

EDrTIOM

MARNING: The 'admirí account password IS set to the detault value Change the passnord in the User Manager

Schedules

Na me Range: Dale ỉTimes! Na me Description Actions

ptSense developed and mamid Netgate ESF2004’20 Vĩevvlicense

Actlon

Disabled

Intertace

Address Pamily

Protocol

Choose what to do with packets that match the criteria specihed belovv

Hlnt the ditíerence between block and reject is that whh reịect, a packet (TCP RST or ICMP port unreachable for UDP) ìs retumed to the sender, vvhereas with block the packet is dropped silently In either case the original packet is discarded

□ Disable this rule Set this option to disable this rule vvithout removing it fran the list

Choose the interíace írom which packets must come to match this rule

Select the Internet Protocol version this rule applies to

Choose which IP protocol this rule should match

Destination □ Invertmatch Single host or alias ChanMXH

Chỉ làm việc trong tuần trong khoảng thời gian đã đặt

Schedule Intormation

Schedule Name Lam viec quy cu

The name of the schedule may only consist of the characters ‘e-z, A-Z 0-9 and

Descriptíon

A descriptKNì may be entered here for administrative reíetence (not parsed)

February_2022 Mo

n Tue

W

28 Click rĩdividual date to select thai date only Click the appropriate

weekday Header lo select all occurrences of that weekday

Tim

Siart Hrs Start Míns Siop Hrs StopMi Thêm vào rule và kiểm tra

1 ^^SGIISG System ’ Interíaces ▼ Firewall Services ’ VPN ▼ Status ▼ Diagnostics ’ Help ▼ 0^1

1 CỮMMUNITY EữlTION

WARNING; The 'admirí account password is set to the deíaLih value Change the passttữrd in the User Manager

1 Schedules

Name Range: Date / Times / Name Description Actions

Congviec Mon-Fri/7:00-17:00/

© Indicates that the schedule is currently active

The changes have been applied successíully The firewall rules are now reloading in the background

Monitor the íilter reload progress

Floating WAN LAN 0PT1

Rules (Drag to Change Order)

□ States Protocol Source Port Destination Por

t Gateway Queue Schedule Description Actions

14/11.75 MÍB * * * LAN Address 443

80

Anti-Lockout Rule ộ

□ X 0/0B IPv4* 10.10.10.2 ChanMXH none

' 5/13240 MiB IPv4* LAN net * * * * none ( Congviec Deíault allow LAN to any rule

J Add 1 Add 1 QỊ] Deiete 1 Q Save

Thành công

Bạn chưa kết nối

Và thê giđí mang sé khống còn như vậy nửa néu thiêu ban Hây đưa ban quay trđ lai tí ực tuyên'

Thtfì

• Kiếm tra cáp mạng, modem và bộ đinh tưyén của bạn

• Kết nối I91 mộng không dây của bạn

• Chạy Chãn đoán Mạng Wìndows

ONS PftOB£ F'*aSKÍ> NO INTERMĨ

Bạn muốn chơi trò chơi trong khi chờ đợi? Khởi chay trò chai

f Giới hạn băng thông

D dowload

Enable □ Ẽnable limiter and rts children

lf "source’ or "destination* slots is chosen a dynamic pipe with the bandwidth, delay, packet loss and queue size given above will be created for each source/destination IP address encountered, respectively This makes it possible to easily speciíy bandwidth limits per host or subnet

128

IPv4 mask bits 255.255.255.255/?

Thêm vào rules và kiêm tra lại

Name upload

Bandvvidth Bandwidth

Bw type Schedule

Mask None

IPv6 mask bits

VLAN

Choose 802.1 p priority to match on

Choose 802.1 p prkxity to apply

Leave as 'none' 10 leave the rule enabied all the time

Leave as deíault to use the System routing table Or choose a gateway 10 utilize policy based routing

Gateway selection is not valid for 1PV4+IPV6’ address íamtíy

Choose the Out queue/virtual interíace only if In is also setected The Out selection is applied lo traííic leaving the interíace vvhete the rule is ơeated, the In selection IS applied lo traííic corrnng mto the chosen rteríace

11 creattng a Aoanng rule, li the direction IS In then the same rules apply, lí the direction IS Out the seiectiỡns are reversed, Out IS tor Incomlng and In is for outgoing

Choose the Acknowledge Queue only if there is a selected Quetie

Rule Iníormation

Tracking ID 0100000101

Băng thông không vượt quá 5mb

Cấu hình dmz

Tạo index.html

Firewall / NAT / Port Forward

Port Forward Outbound NPt

□ Intertace Protocol Source Address Source Ports Dest Address Dest Ports NATIP NAT Ports Descrlption Actions

Logand

► Pass Linked rule

— - lỉtìvopypatn tasy access ’ —— i/ỊEOrt >ciect none

0 Pa5te íhortcut to • to • tolder DuInvert selection

• T [ 1 ► ThisPC ► Locil Oisk (C:)

r Name

ravorites

• Dovvnloads

Recent places

:•» ThisPC

*ií Network

File Edit Pormat Vĩew Help

1 Nguyên Manh Quan

1 AT150644

^ioc vien ki thuat mat ma

1

1 Item 1 ittm selected 49 bytes

Thành công

Cấu hình NAT web Server