Báo cáo thực hành môn An toàn mạng đề tài "Thiết lập mô hình tưởng lửa Sophos UTM"

lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Bộ môn An toàn Thông tin – Khoa MMT&TT - UIT
Thiết lập mô hình
Tường lửa Sophos UTM
SOPHOS UTM Firewall Configuration
Thực hành An ninh Mạng A. TỔNG QUAN 1. Mục tiŒu
 Xây dựng mô hình mạng với Firewall.
 Tìm hiểu, thiết đặt và sử dụng Firewall doanh nghiệp SOPHOS.
2. Giới thiệu về Firewall SOPHOS
Sophos UTM (Unify Threat Management) là một giải pháp tường lửa bảo
mật hoàn chỉnh cho doanh nghiệp được sử dụng rất phổ biến bao gồm nhiều tính
năng như Network Protection, Web Protection, Endpoint Protection, Load Balancing WAN, QoS, ...
- Network Protection: Thiết lập tường lửa ngăn chặn sự tấn công mạng từ bên
ngoài và bên trong, tạo các bộ quy tắc truy cập mạng giúp chỉ cho phØp cÆc
ứng dụng được phép truy cập mạng, chặn theo quốc gia, chặn tấn công Dos, tính năng IPS... lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
- Web Protection: Thiết lập các quy tắc truy cập web như cho phép hoặc chặn
website, chặn download, block quảng cáo, chặn các trang web độc hại, khóa
website theo từ khóa, tính năng proxy, caching...
- Endpoint Protection: Quản lý antivirus cho máy trạm, Sophos UTM Home cấp
bản quyền miễn phí cho 10 máy trạm sử dụng Sophos Antivirus. Th ng tin chi tiết về phiên bản thương mại tại
https://www.sophos.com/enus/products/unified-threat-management.aspx
Sophos cho phØp đăng ký dùng thử bản thương mại UTM trong 30 ngày, trong điều kiện
thực hành, sinh viên có thể dùng bản này để thử nghiệm.
3. Môi trường & mô hình mạng
Xây dựng mô hình mạng với tường lửa Sophos UTM bảo vệ 2 lớp mạng
- Mạng nội bộ: 10.0.0.0/8 với 1 Domain Controller để quản lý tập trung các mÆy t nh theo domain.
Trong bài thực hành này sẽ thực hiện cài đặt và thiết lập Domain Controller và Firewall
Sophos UTM. Sinh viên cần xem kỹ và thiết lập như hướng dẫn cụ thể của bài lab. Lưu ý:
Sinh viên có thể chủ động thay đổi lại địa chỉ IP trong khi thực hành nếu xảy ra
các vấn đề trùng lớp mạng, không bắt buộc giống hoàn toàn IP đã cho trong hướng dẫn.
H nh 1. Mô hình mạng thiết lập Firewall
Thực chất trong mô hình trên, sinh viên chỉ cần chuẩn bị 2 mÆy t nh (VMWare). Trong đó:
- MÆy 1: Windows Server 2012 l m Domain Server (1 card mạng Host-only) -
MÆy 2: Firewall Sophos UTM lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Đồng thời, dùng máy thật để kết nối vào WebAdmin của Firewall.
Vùng DMZ trong mô hình chỉ để tham khảo về mô hình mạng thực tế.
Th ng tin card mạng của các máy như sau
STT Server Name Interface 1 Interface 2 Interface 3 IP 10.0.0.2 Domain SM 255.0.0.0 1 Controller DG 10.0.0.1 DNS 10.0.0.2 - 8.8.8.8 IP 10.0.0.1 172.16.0.1 DHCP SM 255.0.0.0 255.255.0.0 2 Firewall DG DNS B. THỰC HÀNH
• Bước 1: Từ máy thật, thực hiện lệnh ping 10.0.0.1 để kiểm tra máy thật đã thấy
máy firewall chưa. Nếu chưa thấy thì cần kiểm tra lại IP và card mạng . lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Kiểm tra kết nối giữa máy thật và Firewall
• Bước 2: Từ máy thật, kết nối vào WebAdmin của Firewall bằng địa chỉ https://10.0.0.1:4444
Nếu gặp cảnh báo bảo mật của trình duyệt, bỏ qua và tiếp tục truy cập WebAdmin
Truy cập vào WebAdmin
• Bước 3: Bật cả 3 interface và đặc biệt interface External đã nhận được IP từ DHCP Server hay chưa .
H nh 2. Các Interface đã hoạt động lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Kiểm tra xem máy Firewall có kết nối được internet hay không bằng cách vào
Support > Tool > døng tool Ping check để ping google.com døng interface External
H nh 3. Firewall đã kết nối thành công đến Internet
• Bước 4: Cấu hình NAT Outbound. Cơ chế NAT sẽ xác định mạng nào sẽ NAT mạng ra ngoài Internet. lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Kết quả sau khi thêm rule NAT
• Bước 5: Cấu hình Rule để máy chủ Domain Controller kết nối được internet bình
thường. V o Network Protection > Rule > New Rule
H nh 4. Chọn Any ở Source, Service v Destinations
H nh 5. Kết quả sau khi thiết lập Rule.
• Bước 6: Kiểm tra kết nối internet của máy Domain Controller
H nh 6. Ping thành công đến Google.com lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
H nh 7. Dùng trình duyệt để truy cập web và kiểm tra.
Nếu Domain Controller kết nối được Internet tức quá trình thiết lập tường lửa cơ bản đã thnh c ng.
• Bước 7: Quay lại trang WebAdmin của Firewall thử tắt Rule Firewall và một v i
Rule vừa thiết lập và quay lại máy Domain Controller để truy cập Internet và rút
ra kết luận. => Khi tắt firewall thì không thể truy cập internet => Firewall giúp quản
lí việc v o ra internet . lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM C.
Tích hợp Domain vào Sophos UTM
Kiểm tra Users & Groups
H nh 8. Thêm các user từ AD server thành công
4. Thiết lập một số kịch bản quy định về chính sách với tài khoản tại Domain
a) Kịch bản 1: Quản trị muốn cấm tài khoản nhân viên HCN ( Ho ng C ng Nghĩa ) truy cập
các trang web tìm kiếm việc làm (Job Search) khi sử dụng tài khoản được cấp trong domain..
Thiết lập chính sách cấm truy cập các website tìm việc (Job Search) lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
 Kết quả sau khi bật policy lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Tại máy Domain Controller, đăng nhập vào user HCN để kiểm tra
Thử truy cập một số website thông thường
 Truy cập các website thông thường thành công lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Tìm kiếm một vài website thuộc thể loại đã cấm và thử truy cập
Ví dụ website job search indeed.com đã bị cấm truy cập bởi Sophos.
b) Kịch bản 2: Quản trị muốn cấm cả Nguyên và Nghĩa truy cập các website có nội
dung đồi trụy, vũ khí, có nội dung hình sự lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Kết quả : Với User TNN (Trần Ngọc Nguyên ) Khi truy cập trang web mang nội dung Nudity ^^ lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Khi thử truy cập 1 số trang web Weapons : Ví dụ : User TNT truy cập web deguns.net (web bÆn sœng ) lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
User TNT truy cập web khác : weapons - universe.com ( Trang Weapons )
Web : gunbroker.com (Website bán vũ khí ) lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Tương tự với User HCN ( Hoàng Công Nghĩa ) : guntrader.uk : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
c) Kịch bản 3: Quản trị chỉ cho phép tài khoản PQK(Phan Quốc KhÆnh) truy cập
các website Mạng xã hội như Facebook, Twitter vào giờ nghỉ trưa (11h30 – 13h)
các ngày trong tuần, các thời gian còn lại cấm không cho truy cập. lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
 Ta thấy website facebook và twitter ã bị BLOCK lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM .
d) Kịch bản 4: Quản trị chỉ muốn cho phép người dùng sử dụng các dịch vụ HTTP,
HTTPS và DNS và chỉ cho phép truy cập Internet vào giờ hành chính (tự định nghĩa).
Thử sử dụng dịch vụ ICMP ( ping ) lên google.com v gmail.com : Kết quả : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
 Không thể ping vì ta cấu hình chỉ cho phép người dùng sử dụng các dịch vụ HTTP,
HTTPS và DNS . Đây là dịch vụ ICMP ( ping) nên không thể thực hiện.
Khi cho phép người dung sử dụng tất cả các dịch vụ ta có thể sử dụng lệnh ping dễ dàng : Kết quả ping ược : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM D. Web Protection
1. Tổng quan về xây dựng chính sách bảo vệ truy cập web
Sophos cho phép thiết lập các chính sách bảo vệ truy cập website với nhiều tùy biến mở
rộng. Quy trình tạo một chính sách cơ bản:
1. Xây dựng bộ lọc tại Web Filter Profile > Tab Filter Actions > New Filter Action... lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
H nh 9. Xây dựng bộ lọc mới
Khi xây dựng bộ lọc, Sophos cho phép nhiều tùy biến như xây dựng chính sách với
các thể loại website theo bộ lọc và đánh giá từ Sophos, xây dựng chính sách với các
website cụ thể, giới hạn thời gian truy cập tối đa, hạn chế các nội dung trên web, …
2. Tạo và áp dụng chính sách tại Web Filter Profiles > Filter Profiles
Có thể áp dụng chính sách với tất cả người dùng hoặc với người dùng cụ thể trong các
khoản thời gian khác nhau
H nh 10. Thiết lập và áp dụng chính sách
1. Xây dựng bộ chính sách bảo vệ truy cập Web
Chính sách truy cập Internet:
1. Chỉ cho phép toàn bộ người dùng sử dụng Internet để truy cập web, sử dụng email
qua các giao thức SMTP, IMAP, POP3, chặn tất cả các dịch vụ khác. lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
2. Chặn truy cập tất cả website từ Trung Quốc và toàn bộ khu vực Trung
Đông (Iran, Iraq, Syria, …).
3. Cấm truy cập tất cả các website tìm kiếm việc làm, trong đó có một số
website tìm kiếm việc làm tại TP.HCM.
4. Cảnh báo khi truy cập các website về vũ khí, chính trị - tôn giáo.
Không cảnh báo với các website giáo dục.
5. Giới hạn truy cập các website Giải trí và Game trong tối đa 60 phút,
riêng đối với các website giải trí dạng chia sẻ video như Youtube.com, vimeo.com
(Streaming Media) thì chỉ cảnh báo khi truy cập. Cấm hẳn truy cập website lienminh.garena.vn
6. Quét virus khi download tập tin.
7. Không cho download các file lớn hơn 100MB.
8. Khi truy cập vào website bị chặn thì có thể mở khóa trực tiếp để bỏ chặn website
đó với tài khoản manager / 12345 (thiết lập tại Sophos Firewall – xem kết quả minh họa).
2. Kiểm tra kết quả & ứng dụng
Kiểm tra kết quả sau khi đã xây dựng bộ chính sách ở bước 2 với từng trường hợp
trong kịch bản kiểm tra tương ứng với các quy tắc ở phần 2 như sau, nếu chưa đúng
yêu cầu cần điều chỉnh lại chính sách:
1. Truy cập 1 website được phép truy cập bình thường, thao tác traceroute và ping
đến website đó không thành công. lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM Truy cập web :
Khi thực hiện ping và tracert : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
 Ping thất bại vì dịch vụ ping hay ICMP chưa được bật .
Khi bật tất cả các dịch vụ : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Thực hiện ping và tracert thành công dễ dàng :
2. Không thể truy cập website báo Tân Hoa xã (xinhua.vn – news.cn) và ít nhất 2
website khác từ Trung Quốc và Trung Đông. lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Áp dụng cho tất cả người dùng :
 Không thể truy cập website báo Tân Hoa xã – Trung Quốc lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Với 1 website khác : Chinaview.cn  Đã bị BLOCK lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Thử truy cập 1 trang web từ Oman ( Vùng Trung Đông )
 Đã Bị BLOCK vì Oman nằm trong vùng Trung Đông nên bị cấm truy cập
3. Không thể vào các website về tìm kiếm việc làm trên thế giới và tại Việt Nam,
tại TP.HCM trong đó chặn được 4 website sau: vietnamworks.com.vn,
vieclam.tuoitre.vn, timviecnhanhhcm.com, itviec.com. Nếu website nào chưa
chặn được theo bộ lọc của Sophos thì chỉ định website đó ứng với thể loại Job
Search của hệ thống để khi cần chặn chỉ cần block Job Search category (kh ng
thêm địa chỉ web trực tiếp vào Rule). lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Áp dụng trên user HCN và TNN : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM Itviec.com : Vietnamwork.com: lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Chỉ định website đó ứng với thể loại Job Search của hệ thống: vieclam.tuoitre.vn lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM Timviecnhanhhcm.com:
 Website timviecnhanhhcm.com v vieclam.tuoitre.vn được đưa vào thể loại Job Search bị cấm lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
4. Hiện cảnh báo đối với một số website thuộc thể loại vũ khí, chính trị - tn
giáo như trueswords.com ( vũ khí), giacngo.vn (tôn giáo), chinhphu.vn (chính trị). lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
 Em tách riêng Education và Community/Religion để thực hiện .
Cảnh báo khi truy cập chinhphu.vn, có thể truy cập khi nhấn Proceed lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
trueswords.com ( vũ khí ):
giacngo.vn (t n giÆo): lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Truy cập bình thường với các website giáo dục, trường đại học PTIT : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
 Vì đã tách riêng Education và Community/Religion để thực hiện . Truy cập
website ptithcm.edu.vn bình thường
5. Kiểm tra khi truy cập một số website giải trí như kenh14.vn, yeah1.com,… và
gamevui.vn, pokemongo.com chỉ cho phép truy cập tối đa trong 60 phút : Cấu hình : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM KIỂM TRA : Kenh14.vn:
 Giới hạn có thể truy cập web giải trí tối đa 60 phút Gamevui.vn: lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM Pokemongo.com:
Kiểm tra với youtube và Vimeo : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM Youtube:
 Youtube (Streaming Media) thì chỉ cảnh báo khi truy cập như cài đặt ở trên. Vimeo.com:
 Tương tự Youtube (Streaming Media) thì Vimeo.com chỉ cảnh báo khi truy cập như cài đặt ở trên. Garena: lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
 Lienminh.garena.vn đã bị block như cài đặt . lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Khi thiết lập Quota (quy định thời gian truy cập tối đa) thì thời gian này sẽ
được tính từ khi bắt đầu truy cập vào website v c
thể được reset lại ở
WebA dmin của Firewall Sophos UTM 9 :
Chỉ cần tích v o user cần reset và reset thời gian truy cập . lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
6. Thử nghiệm download 2 file có chứa virus qua http và https từ trang web
EICAR tại http://www.eicar.org/downloa d , kiểm tra kết quả lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Thử download 2 file chứa virut : file : eicar_com.zip File : eicarcom2.zip lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
7. Thử download 1 file 100MB và 1 file 1GB từ trang http://hnd-
jpping.vultr.com/ (trang test server tại Tokyo của Vultr VPS). Download file 100 MB lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Khi download file 1 GB
8. Với các website bị chặn, khi kiểm tra sẽ xuất hiện tùy chọn Unlock lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
ThŒm manager v o Bypass Users: lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Có thể đăng nhập để mở khóa URL bị chặn
Có thể đăng nhập bằng tài khoản manager để mở khóa trang web lienminh.garena.vn đã block : lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
 Sau khi mở khóa có thể truy cập bình thường lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM
Thử kiểm tra khi đăng nhập máy tính bằng tài khoản khác có vào được website vừa mở kh a kh ng?
 Khi đăng nhập bằng tài khoản khác thì có thể vào được website vừa mở . E. CÂU HỎI
Sau quá trình thực hành, sinh viên trả lời câu hỏi sau:
Nêu nguyên tắc hoạt ộng của Firewall Sophos UTM và Domain Controller trong mô hình
mạng ã thiết lập trong bài lab: Khi user ăng nhập thì các thông tin user sẽ ược gửi lên Firewall
Sophos UTM . Firewall sẽ tiền hành kiểm duyệt và thực hiện các chính sách ã ược cài ặt trên
Sophos tương ứng với user ó .
Tường lửa dựa trên máy chủ chạy trên máy tính chủ và kiểm soát lưu lượng mạng vào và ra
khỏi các máy hay các user trong Domain . Chúng cũng ược phân loại thành tường lửa bảo vệ
ể bảo vệ an ninh cho máy tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên
ngoài và tường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có
nhiệm vụ ngăn chặn không cho máy tính truy cập một số trang web hay máy chủ nhất ịnh,
thường dùng với mục ích kiểm duyệt Internet.
Domain controller là trung tâm của dịch vụ Windows Active Directory. Nó xác thực người
dùng, lưu trữ thông tin tài khoản người dùng và thực thi chính sách bảo mật cho tên miền trên Windows.
Proxy trong bài thực hành có nhiệm vụ kiểm soát khi i ra ngoài internet . lOMoARcPSD| 37054152
Thiết lập mô hình tường lửa Sophos UTM F. YÊU CẦU - BÆo cÆo:
+ Tr nh b y trong file Word (.doc, .docx) hoặc .PDF với các hình ảnh thực
hiện, kết quả thực nghiệm được thực hiện bởi nhóm, trả lời các câu hỏi
sau mỗi phần thực hành.
+ Đặt tên theo định dạng: MSSV _ThucHanhANM G. THAM KHẢO
*1+ Hướng dẫn chi tiết Cấu hình Active Directory trŒn Windows Server 2008:
http://quantrimang.com/huong-dan-cai-dat-active-directory-tren-windows-server2008- 74472
[2] Sophos UTM 9 documentation: https://www.sophos.com/en-
us/support/documentation/sophos-utm.aspx HẾT