Kiến trúc TCP/IP và mạng Intrane/Internet: Chương 5: Tường lửa (Firewall) và hệ thống IDS

Bài số 1: Cài đặt và thiết lập cấu hình Firewall

Bài này yêu cầu sử dụng firewall IP Fire trên Linux để thiết lập một tường lửa cho mạng Intranet của công ty theo sơ đồ bên trên. Vùng DMZ (orange) chứa các máy chủ cần có thể truy nhập từ ngoài Internet, vùng Wifi (blue) cho phép các trạm di động kết nối vạo hệ thống mạng. Vùng Intranet (green) là cùng làm việc nội bộ của công ty. Cuối cùng, firewall có một kết nối với Internet (red). Các bước thực hiện như sau:

Chuẩn bị cài đặt firewall
Cài đặt và thiết lập cấu hình IPFire
Bắt đầu làm việc với IPFire qua giao diện Web
Mở cổng ssh để kết nối từ một trạm vùng green

Bước 1: Chuẩn bị cài đặt firewall

Để cài đặt firewall IPFire lên một máy Linux làm Gateway cho mạng Intranet, phương pháp đơn giản nhất là download file ISO-image trên trang web IPFire và cài đặt nó như một hệ điều hành của máy Gateway. Phương pháp này thực hiện cài đặt và cấu hình firewall IPFire trước, sau đó tùy theo nhu cầu quản trị mà admin có thể bổ sung thêm các công cụ phần mềm cần thiết vào firewall để phục vụ công việc quản trị mạng hoặc cấu hình các tính năng của router. Trường hợp Gateway đã tồn tại và cần bổ sung thêm firewall IPFire, cần download bản cài đặt rpm phù hợp với hệ điều hành Gateway hoặc build IPFire từ các file nguồn IPFire. Ở đây ra sử dụng cách thứ nhất. File ISO-image sau khi được download về cần được gán vào đĩa CDROM của máy ảo (thiết lập trong mục Storage):

Tiếp theo, thiết lập Optical là thứ tự khởi động đầu tiên cho máy ảo (mục System). Điều này cho phép khi khởi động máy ảo, nó sẽ tìm đến đĩa ISO-image IPFire để khởi động và từ đó bắt đầu các bước cài đặt IPFire vào hệ điều hành máy Gateway.

Theo thiết kế kiến trúc mạng, firewall IPFire sử dụng 4 kết nối mạng để kết nối 4 vùng khác nhau (gọi là các vùng red, orange, blue và green). Cần thiết lập 4 card mạng cho máy ảo Gateway. Sau đó khởi động máy ảo để bắt đầu cài đặt và thiết lập cấu hình IPFire.

Bước 2: Cài đặt và thiết lập cấu hình IPFire

Khi khởi động máy Gateway lần đầu tiên từ đĩa ISO-image IPFire, các bước cài đặt và cấu hình được lần lượt được hiển thị. Thực hiện đúng theo các chỉ dẫn trên màn hình và tham khảo các bước cài đặt ở đây: http://wiki.ipfire.org/en/installation/step5. Lưu ý khi lựa chọn cấu hình mạng cần lựa chọn đủ 4 kết nối (red, orange, blue và green) và thiết lập địa chỉ IP cho các kết nối đúng theo sơ đồ thiết kế mạng. Kết quả thiết lập cấu hình mạng như sau:

[root@ipfire ~]# ifconfig -a
blue0 Link encap:Ethernet HWaddr 08:00:27:65:41:33
inet addr:10.0.2.15 Bcast:10.255.255.255 Mask:255.0.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

green0 Link encap:Ethernet HWaddr 08:00:27:D5:B5:32
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:419 errors:0 dropped:0 overruns:0 frame:0
TX packets:243 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:80590 (78.7 Kb) TX bytes:62663 (61.1 Kb)

orange0 Link encap:Ethernet HWaddr 08:00:27:FC:E4:6C
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

red0 Link encap:Ethernet HWaddr 08:00:27:A8:BE:90
inet addr:203.162.5.11 Bcast:203.162.5.255 Mask:255.255.255.0
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:84 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1368 (1.3 Kb) TX bytes:5040 (4.9 Kb)

Ngoài ra, firewall IPFire kết nối ra Internet thông qua một router Rx có địa chỉ 203.162.5.1 nên default gateway của firewall này là 203.162.5.1:

               [root@ipfire ~]# route -n

               Kernel IP routing table

               Destination      Gateway         Genmask         Flags Metric Ref    Use Iface

               0.0.0.0          203.162.5.1     0.0.0.0         UG     0      0        0 red0

               10.0.0.0         0.0.0.0         255.0.0.0       U      0      0        0 blue0

               192.168.1.0      0.0.0.0         255.255.255.0   U      0      0        0 green0

               192.168.2.0      0.0.0.0         255.255.255.0   U      0      0        0 orange0

               203.162.5.0      0.0.0.0         255.255.255.0   U      0      0        0 red0

Bước 3: Bắt đầu làm việc với IPFire qua giao diện Web

IPFire sau khi khởi động mặc định sẽ cho phép kết nối từ một trạm trong vùng green để thực hiện thiết lập các thông số cấu hình. Đứng trên trạm 192.168.1.5, mở web browser và kết nối vào IPFire theo địa chỉ https://192.168.1.1:444. Sau khi xác thực user admin (password được thiết lập khi cài đặt IPFire), giao diện web của IPFire như sau:

Có thể kiểm tra các thông số kết nối với 4 vùng red, orange, blue và green bằng cách chọn mục Network trên giao diện web:

Các thông số này có thể được thiết lập lại bằng cách thực hiện lệnh setup trong console của IPFire:

[root@ipfire ~]# setup

Bước 4: Mở cổng ssh để kết nối từ một trạm vùng green

Mặc định, IPFire cấm kết nối ssh và chỉ cho phép một kết nối duy nhất là giao diện Web. Trong nhiều trường hợp, cần thực hiện các lệnh trực tiếp trên console của IPFire thay vì qua giao diện web (ví dụ như khi thay đổi địa chỉ IP cho các kết nối mạng red, orangem blue hay green). Vào giao diện web, mục System/SSH Access, và thiết lập cho phép SSH Access. Lưu ý rằng vì lý do an ninh, cổng truy nhập ssh của IPFire được thiết lập mặc định là 222. Có thể đổi ssh về cổng chuẩn 22 bằng cách lựa chọn “SSH port set to 22”.

Sau khi thiết lập cho phép ssh, kiểm tra lại hệ thống ssh đã thông bằng một kết nối ssh từ máy trạm 192.168.1.15.