Security Fundamentals In Linux/Ubuntu/CentOS

 

Command	Giải Thích
su itsupport	Switch user sang user itsupport, vẫn đứng tại thư mục hiện tại
su - itsupport	Switch user sang user itsupport, thiết lập các biến môi trường giống như account itsupport login vào hệ thống
exit	Sau khi switch muốn trở lại user trước đó gõ exit
sudo	super user do, là user root
sudo su	Switch to user root
sudo -k	Mặt định timestamp_timeout=30 có nghĩa là trong vòng 30 giây nếu thực hiện lênh sudo sẽ không yêu cầu nhập password, nếu muốn không hỏi password nữa chỉnh lại thời gian là timeout=0. Khi gõ sudo -k có nghĩa timeout ngay lập tức.

Cisco, Port Security

Giới thiệu:

Trong một số trường hợp chúng ta cần kiểm soát sự truy xuất của client vào một hệ thống mạng nhằm giảm thiểu rủi ro (MAC flooding là một kỹ thuật tấn công phổ biến trong mạng LAN) cho hệ thống mạng. Cách đơn giản để quản lý client là dựa vào địa chỉ MAC của client đó. Catalyst Switch Cisco cung cấp tính năng port security giúp kiểm khiển truy cập của một client trên port của switch dựa vào địa chỉ MAC của nó.

Mặc định switch cho phép và học tất cả các địa chỉ MAC trên một interface, chúng ta có thể thay đổi cách hành sử này với tính năng port security (bảo mật cổng, bảo mật lớp 2 trên switch).

Sơ đồ trên có 2 máy tính kết nối vào một switch bình thường (là switch không thể quản lý được, chỉ gắng vào là chạy) và switch được nối với Cisco Switch cổng Et0/0, lúc này trên cổng  Et0/0 của Cisco Switch học được địa chỉ MAC của PC1 và PC2.

Ví dụ chúng ta cho phép Cisco Switch chỉ học một địa chỉ MAC trên cổng Et0/0 mà thôi, các địa chỉ khác sẽ bị vi phạm (violation) và chúng ta có thể đưa ra cách hành xử cho các MAC vi phạm này.

Ngoài việc giới hạng số lượng MAC học trên cổng chúng ta có thể cho phép lọc-Filter địa chỉ MAC, tức là chỉ cho phép một hoặc một nhóm các địa chỉ MAC cụ thể nào đó, các địa chỉ khác ngoài danh sách cho phép sẽ bị vi phạm sẽ bị loại bỏ.

Sơ đồ Lab:

Các kiến thức sử dụng trong bài: Spanning portfast, port security

YỀU CẦU:
1. Đấu nối, đặt IP như hinh và cấu hình spanning portfast (hội tụ nhanh trong việc kiểm tra) trên tất cả các interface của switch.
2. Enable tính năng port security trên cổng Et0/0 của cisco switch
3. Chỉ cho phép duy nhất địa chỉ MAC 0050.7966.6803 của PC1 kết nối vào cổng Et0/0 của cisco switch.
4. Nếu không vi phạm (số PC < = 2) port sẽ tự động phục hồi khỏi trạng thái lỗi sau 30 giây.
5. Đảm bảo cisco switch chỉ cho phép 2 PC đầu tiên kết nối vào cổng Et0/0 của cisco switch.

THỰC HIỆN:
1. Đấu nối, đặt IP như hinh và cấu hình spanning portfast (hội tụ nhanh trong việc kiểm tra) trên tất cả các interface của switch.

PC1:

VPCS> set pcname PC1
PC1> ip 192.168.1.1/24 192.168.1.254

Checking for duplicate address...
PC1 : 192.168.1.1 255.255.255.0 gateway 192.168.1.254

PC2:

VPCS> set pcname PC2
PC2> ip 192.168.1.2/24 192.168.1.254

Checking for duplicate address...
PC1 : 192.168.1.2 255.255.255.0 gateway 192.168.1.254

Normal Switch:

hostname Normal_sw
spanning-tree portfast default 

Cisco Switch:

hostname Cisco_sw
spanning-tree portfast default
!
interface Vlan1
ip address 192.168.1.254 255.255.255.0
no shutdown
end
write

2. Enable tính năng port security trên cổng Et0/0 của cisco switch

Cisco Switch:

interface Ethernet0/0
 switchport mode access
 switchport port-security

Kiểm tra:

Cisco_sw#show run int et0/0

Building configuration...
Current configuration : 92 bytes
!
interface Ethernet0/0
 switchport mode access
 switchport port-security
 duplex auto
end

Port security đã được cấu hình trên cổng Et0/0

Cisco_sw#show port-security interface Et0/0

Port Security                            : Enabled
Port Status                               : Secure-up
Violation Mode                         : Shutdown
Aging Time                               : 0 mins
Aging Type                               : Absolute
SecureStatic Address Aging    : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses              : 1
Configured MAC Addresses    : 0
Sticky MAC Addresses            : 0
Last Source Address:Vlan       : aabb.cc00.2000:1
Security Violation Count          : 0

Với lệnh show port-security interface Et0/0 chúng ta tạm hiểu là Port security đã được bật; trạng thái hiện tại là up; số lượng MAC cho chép học là 1, nếu số lượng MAC lớn hơn (sẽ vi phạm -Violation) thì cổng sẽ bị Shutdown (mặc định tổng số lượng MAC cho phép là 1 và khi bị vi phạm các điều kiện sẽ bị shutdown).

Với cấu hình trên nếu địa chỉ MAC nào đến trước sẽ được cho phép, nếu có MAC thứ 2 đi qua port sẽ shutdown.

3. Chỉ cho phép duy nhất địa chỉ MAC 0050.7966.6803 của PC1 kết nối vào cổng Et0/0 của cisco switch.

Nhận xét trước khi cấu hình: Ta thấy Cisco_switch được nối với Normal_switch thông qua cổng Et0/0, với yêu cầu là chỉ cho phép duy nhất MAC 0050.7966.6803 đi qua nhưng thực tế trên công Et0/0 của Cisco_switch phải cho phép địa chỉ MAC của Normal switch và MAC của PC1. Vậy số lượng MAC tối đa (Maximum MAC Addresses) trong trường hợp này là 2.

Để kiểm tra địa chỉ MAC của cổng Et0/0 trên Normal_Switch chúng ta dùng lệnh: show interface Et0/0

Normal_Switch:

Normal_sw#show interface Et0/0

Ethernet0/0 is up, line protocol is up (connected)
  Hardware is AmdP2, address is aabb.cc00.2000 (bia aabb.cc00.2000)
  {..}

Cấu hình:
Cisco Switch:

interface Ethernet0/0
shutdown
switchport port-security maximum 2
switchport port-security mac-address 0050.7966.6803
switchport port-security mac-address aabb.cc00.2000
no shutdown
end

Nên shutdown port cần cấu hình trước khi cấu hình.

Với các cấu hình cho phép chỉ định một địa chỉ MAC cụ thể như vậy chúng ta gọi là cấu hình tĩnh, ngoài ra chúng ta có cách cấu hình để switch tự học và lưu lại các địa chỉ MAC đầu tiên rồi đưa vào running-config (tham khảo ở mục 5 trong bài lab này)
Kiểm tra:

Cisco_sw#show port-security interface et0/0

Port Security                 : Enabled
Port Status                    : Secure-up
Violation Mode              : Shutdown
Aging Time                    : 0 mins
Aging Type                    : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses              : 2
Configured MAC Addresses    : 2
Sticky MAC Addresses            : 0
Last Source Address:Vlan       : 0050.7966.6803:1
Security Violation Count          : 0

Maximum MAC Addresses bây giờ là 2 đã đúng yêu cầu đặt ra.

PC1> ping 192.168.1.254

84 bytes from 192.168.1.254 icmp_seq=1 ttl=255 time=0.639 ms
84 bytes from 192.168.1.254 icmp_seq=2 ttl=255 time=0.974 ms
84 bytes from 192.168.1.254 icmp_seq=3 ttl=255 time=0.995 ms
84 bytes from 192.168.1.254 icmp_seq=4 ttl=255 time=1.039 ms
84 bytes from 192.168.1.254 icmp_seq=5 ttl=255 time=0.779 ms

PC1 ping đến 192.168.1.254 là thành công

Cisco_sw#show port-security interface Et0/0 address 

               Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan    Mac Address       Type                          Ports   Remaining Age
                                                                   (mins) 
----    -----------       ----                          -----   -------------
   1    0050.7966.6803    SecureConfigured              Et0/0        -
   1    aabb.cc00.2000    SecureConfigured              Et0/0        -
-----------------------------------------------------------------------------
Total Addresses: 2

Cách học địa chỉ MAC trên cổng Et0/0 là do cấu hình tĩnh

Thử dùng PC2 để ping đến 192.168.1.254

PC2> ping 192.168.1.254

host (192.168.1.254) not reachable
PC2> 

Kết quả không thành công.

Quan sát trên Cisco_switch chúng ta thấy lỗi như bên dưới

Cisco_sw#

*May 12 07:21:58.886: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/0, putting Et0/0 in err-disable state
*May 12 07:21:58.886: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address  050.7966.6804 on port Ethernet0/0.
*May 12 07:21:59.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
*May 12 07:22:00.888: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down

Thông trên chúng ta hiểu là: Vi phạm điều kiện port security nên Interface Ethernet0/0 được đưa vào trạng thái là err-disable  đã có địa chỉ 050.7966.6804 đi vào cổng Et0/0 và trạng thái hiện tại là down

Noted: các hành xử khi phạm port security:

• Shutdown: Khi vi phạm port bị shutdown và đưa vào trạng thái err-disabled
• Retrict: Khi bị vi phạm port vẫn up, tuy nhiên tất cả các frame từ địa chỉ MAC vi phạm điều kiện sẽ bị drop và gửi ra SNMP trap, syslog.
• Protect: Khi bị vi phạm port vẫn up, nhưng không gửi ra SNMP hay syslog.

Cisco_sw#show interfaces status 

Port      Name               Status       Vlan       Duplex  Speed Type
Et0/0                        err-disabled 1            auto   auto unknown
Et0/1                        connected    1            auto   auto unknown
Et0/2                        connected    1            auto   auto unknown
Et0/3                        connected    1            auto   auto unknown

với lệnh show interfaces status chúng ta thấy được trạng thái của các port trong đó có Et0/0

Cisco_sw#show interfaces status err-disabled

Port      Name               Status         Reason               Err-disabled Vlans
Et0/0                        err-disabled     psecure-violation

Hoặc chỉ các port nào có trạng thái là err-disable mới hiện thị ra thì dùng lệnh show interfaces status err-disabled

Trên PC1 kiểm tra ping đến 192.168.1.254

PC1> ping 192.168.1.254

192.168.1.254 icmp_seq=1 timeout
192.168.1.254 icmp_seq=2 timeout
192.168.1.254 icmp_seq=3 timeout
192.168.1.254 icmp_seq=4 timeout
192.168.1.254 icmp_seq=5 timeout

PC1 cũng không ping đến được vì port Et0/0 của cisco switch đang bị down


Hướng khắc phục.
Cisco_sw:

interface Et0/0
shutdown
no shutdown

P/s: phải đủ 2 dòng lệnh shutdown trước và no shutdown sau nhé.

Cisco_sw#show ip interface brief 

Interface              IP-Address      OK? Method Status                Protocol
Ethernet0/0            unassigned      YES unset  up                    up   
Ethernet0/1            unassigned      YES unset  up                    up   
Ethernet0/2            unassigned      YES unset  up                    up   
Ethernet0/3            unassigned      YES unset  up                    up   
Vlan1                  192.168.1.254   YES manual up                    up  

Bây giờ trạng thái của Et0/0 đã up trở lại

4. Nếu không vi phạm (số PC < = 2) port sẽ tự động phục hồi khỏi trạng thái lỗi sau 30 giây.

Cisco Switch (ở mode config):

errdisable recovery cause all
errdisable recovery interval 30

Cấu hình trên ý là tất cả các trạng thái lỗi nếu là errdisable thì sẽ tự động phục hồi trạng thái lỗi nếu không có vi phạm nào trong 30 giây.

Kiểm tra cấu hình

Cisco_sw#show  run | include errdisable

errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig (STP)
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause port-mode-failure
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause pppoe-ia-rate-limit
errdisable recovery cause mac-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause storm-control
errdisable recovery cause inline-power
errdisable recovery cause arp-inspection
errdisable recovery cause link-monitor-failure
errdisable recovery cause oam-remote-failure
errdisable recovery cause loopback
errdisable recovery cause psp
errdisable recovery interval 30

Tạo lỗi bằng cách trên PC2 ping đến 192.168.1.254

PC2> ping 192.168.1.254

host (192.168.1.254) not reachable

Quan sát thông báo trên Cisco_Switch:

Cisco_sw#

*May 12 08:26:15.594: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/0, putting Et0/0 in err-disable state
*May 12 08:26:15.594: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6804 on port Ethernet0/0.
*May 12 08:26:16.594: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
*May 12 08:26:17.595: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down
*May 12 08:26:45.590: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Et0/0
*May 12 08:26:47.594: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
*May 12 08:26:48.599: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to up

Port bị đưa vào trạng thái down lúc 08:26:17 và sau 30 giây (08:26:47) đã tự đội phục hồi.

5. Đảm bảo cisco switch chỉ cho phép 2 PC đầu tiên kết nối vào cổng Et0/0 của cisco switch.

Cấu hình:
Cisco_sw:

no switchport port-security mac-address 0050.7966.6803
no switchport port-security mac-address aabb.cc00.2000
switchport port-security mac-address sticky

Kiểm tra:

PC2> ping 192.168.1.254

84 bytes from 192.168.1.254 icmp_seq=1 ttl=255 time=0.708 ms
84 bytes from 192.168.1.254 icmp_seq=2 ttl=255 time=1.053 ms
84 bytes from 192.168.1.254 icmp_seq=3 ttl=255 time=0.852 ms
84 bytes from 192.168.1.254 icmp_seq=4 ttl=255 time=1.066 ms
84 bytes from 192.168.1.254 icmp_seq=5 ttl=255 time=1.004 ms

Kết quả PC2 ping thành công.

Cisco_sw#show port-security interface ethernet 0/0 address 

               Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan    Mac Address       Type                          Ports   Remaining Age
                                                                   (mins) 
----    -----------       ----                          -----   -------------
   1    0050.7966.6804    SecureSticky                  Et0/0        -
   1    aabb.cc00.2000    SecureSticky                  Et0/0        -
-----------------------------------------------------------------------------
Total Addresses: 2

Có 2 địa chỉ MAC đã được học thông qua Sticky.

Hy vọng sẽ giúp được cho bạn nào đó cần và áp dụng vào công việc của mình một cách hiệu quả.

Xong!
P/s: Port security thường được cấu hình trên các switch đấu vào các thiết bị đầu cuối nhé các bạn.

Mô Hình Mạng Cho Các Doanh Nghiệp Vừa & Nhỏ - Bài 3 - Chuyên Đề Firewall - FortiGate

MỤC ĐÍCH: KHÔNG khoe khoang hay phô trương gì cả - Giúp cho các bạn nào cần. Đây là bài CĂN BẢN CỦA CĂN CĂN BẢN. Nhiều bạn cứ hình dung, tưởng tượng Firewall là cái gì đó thật kinh khủng, mọi thứ kinh khủng thì đã có các kỹ sư của hãng làm hết rồi, mình chỉ bậc lên mà dùng thôi, quan trọng là sử dụng nó như thế nào thôi. Chúng tôi hay nói đùa với nhau rằng:"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". Nếu bạn đang đọc và làm theo bạn là nghệ sĩ rồi đấy.

MỤC TIÊU: Cài đặt đảm bảo các máy bên trong mạng LAN có thể truy cập được internet thông qua Firewall-FortGate của FortiNet, các máy bên ngoài internet cũng có thể kết nối vào máy tính nội bộ bên thông qua các rules/polices đã cài đặt. Chặn hay cho phép trang web, application của các thiết bị trong mạng LAN truy cập ra ngoài....

MÔ HÌNH LAB:

YÊU CẦU
1. Chuẩn bị và cấu hình căn bản và Reset FortiGate về mặc định nhà sản xuất

2. Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.

3. NAT Source

Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)

4. NAT Destination
Public port 25, và 2525 (các bạn hay nghe là: NAT port hay Port Forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.

5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE

6. WEB FILTERING

7. WEB RATING OVERRIDES


THỰC HIỆN
1. Chuẩn bị và cấu hình căn bản

ISP Router: ISP cấu hình. Hoặc cũng có thể tìm hiểu các cấu hình ở bài Lab 1, Lab 2

Cấu hình trên Switch

vlan 101
name HRDept
vlan 102
name AccDept
exit
!
interface Vlan101
description ===HR Default Gateway===
ip address 172.16.101.254 255.255.255.0
exit
!
interface Vlan102
description ===Acc Default Gateway===
ip address 172.16.102.254 255.255.255.0
exit
!
interface GigabitEthernet0/24
description ===Connect to FortiGate Port 16===
no switchport
ip address 192.168.200.2 255.255.255.0
exit
!
interface range g0/1-5
switchport access vlan 101
switchport mode access
spanning-tree portfast
exit
!
interface range g0/6-10
switchport access vlan 102
switchport mode access
spanning-tree portfast
exit
!

Cấu hình DHCP để cấp IP cho vlan 101 và vlan102

ip dhcp pool VLAN101
network 172.16.101.0 255.255.255.0
default-router 172.16.101.254
dns-server 8.8.8.8
exit
!
ip dhcp pool VLAN102
network 172.16.102.0 255.255.255.0
default-router 172.16.102.254
dns-server 8.8.8.8
!
exit

Cấu hình IP routing để đảm bảo các vlan có thể liên lạc được với nhau và default route trỏ về IP LAN trên Firewall

ip routing
ip route 0.0.0.0 0.0.0.0 192.168.200.1
end
write

Kiểm tra bảng route trên CoreSwitch

show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is 192.168.200.1 to network 0.0.0.0
     172.16.0.0/24 is subnetted, 2 subnets
C       172.16.101.0 is directly connected, Vlan101
C       172.16.102.0 is directly connected, Vlan102
C    192.168.200.0/24 is directly connected, GigabitEthernet0/24
S*   0.0.0.0/0 [1/0] via 192.168.200.1

Tham khảo cấu hình căn bản tại đây:

Reset FortiGate về mặc định nhà sản xuất

Để đảm Firewall chưa cấu hình gì cả chúng ta nên reset về mặc định nhà sản xuất:

exec factoryreset

Nhấn Y để khởi động lại và thực hiện tiếp dòng lệnh

exec factoryreset2

Nhấn Y để khởi động lại.

Đăng nhập vào thiết bị theo thông tin có in trên thiết bị mặc định là:
- IP MGMT: 192.168.1.99
- Username: admin
- Password: không có đặt password

2. Yêu cầu: Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.

Đặt IP cho Zone LAN

Nên chọn SSH để thuận tiện cho việc cấu hình command line trong LAN

Đặt IP cho Zone WAN

Kết quả sau khi đặt IP trên port 16-LAN, và WAN1

Đặt IP cho LAN, WAN bằng CLI

config system interface
edit "wan1"
set ip 125.234.102.243 255.255.255.248
set allowaccess ping https http fgfm
set alias "Viettel"
set role wan
set snmp-index 3
next
!
edit "lan"
set ip 192.168.200.1 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set stp enable
set role lan
set snmp-index 9
next
end

Cài đăt route đảm bảo Firewall có thể kết nối đế các VLAN bên dưới switch core (bạn có thể dùng bất kỳ giao thức nào bạn thích, ở đây tôi dùng Static Route), thông tin cài đặt như hình:

Route cho vlan 101:

Với vlan 102 bạn cũng có thể clone từ vlan 101, các thông tin như hình:

Cài đặt defaut route để đảm bảo tất cả có thể truy cập được internet

Các route vừa tạo

Kiểm tra sự tồn tại của các route

Cấu hình route bằng CLI

config router static
edit 1
set gateway 125.234.102.241
set device "wan1"
next
!
edit 2
set dst 172.16.101.0 255.255.255.0
set gateway 192.168.200.2
set device "lan"
set comment "To VLAN 101"
next
!
edit 3
set dst 172.16.102.0 255.255.255.0
set gateway 192.168.200.2
set device "lan"
set comment "To VLAN 102"
next
end

Đến đây các PCs chưa thể kết nối được internet vì mặc định firewall chặn tất cả các traffic đi qua nó

Để các tất cả PCs truy cập được internet chúng ta phải làm rule cho phép từ vùng LAN đến vùng WAN

Vì các IP private không được route trên InterNet, nên nhớ chọn Enable NAT nhé. Lúc này các PCs trong LAN sẽ lấy IP của WAN1 để giao tiếp với internet

Policies vừa tạo 

Cấu hình CLI

config firewall policy
edit 1
set name "Permit Any to InterNET"
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set status enable
set schedule "always"
set service "ALL"
set nat enable
next
end

Kiểm tra kết nối đến internet của từng vlan:

Ping đến 8.8.8.8 đã thông.

Kết quả tracert cho chúng ta thấy thông tin các gói tin là:

• 1. IP của default gateway
• 2. IP của firewall
• 3. IP mặt trong (LAN) của router IPS

 Gói tin đã đi đúng như các thông tin IP trong sơ đồ.

 Xem trên firewall đã có dữ liệu đi qua.

Trong FortiView thấy IP 172.16.101.1 đã bị áp bởi policies có ID = 1 và truy cập đến đích 8.8.8.8 cũng được thể hiện trên firewall.

Tương tự VLAN 102 cũng có thể truy cập được internet.

3. NAT Source

Yêu cầu: Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)

Kiểm tra ban đầu:
Vào trang https://canyouseeme.org/ để kiểm tra IP WAN hiện tại mà các PC trong LAN sử dụng để giao tiếp bên ngoài là bao nhiêu

Chính IP đấu nối trên WAN1 của firewall.

Định nghĩa IP WAN cần NAT theo đúng yêu cầu đề bài, trường hợp này là 125.234.102.244

Định nghĩa VLAN 101

Tạo Policies, chọn source là VLAN 101, services HTTPS và Dynamic IP Pool trỏ về Pool vừa định nghĩa ở trên.

Chú ý: Vì firewall hành xử là đọc các policies từ trên xuống nên nhớ phải move policy này lên trên nhé.

Cấu hình CLI

config firewall ippool
edit "125.234.102.244"
set type one-to-one
set startip 125.234.102.244
set endip 125.234.102.244
next
end
!
config firewall address
edit "VLAN 101"
set associated-interface "lan"
set color 3
set subnet 172.16.101.0 255.255.255.0
next
end
!
config firewall policy
edit 2
set name "VLAN 101 to InterNET 443"
set srcintf "lan"
set dstintf "wan1"
set srcaddr "VLAN 101"
set dstaddr "all"
set action accept
set status enable
set schedule "always"
set service "HTTPS"
set ippool enable
set poolname "125.234.102.244"
set nat enable
next
end

Truy cập vào lại trang https://canyouseeme.org để kiểm tra

Đã đúng yêu cầu đặt ra là IP 125.234.102.244.

Các bạn nhớ là chỉ có https mới dùng IP 125.234.102.244 thôi nhé, các servicies/port khác vẫn dùng IP đấu nối của firewall.

Giải thích thêm:

Các bạn có thể định nghĩa 1 IP cụ thể nào đó thay vì nguyên cả VLAN như trong bài này. Với chúng tôi hay dùng NAT Source trong trường hợp là với 1 thiết bị khi gửi mail ra ngoài với port 25 thì dùng IP khác, các port còn lại dùng IP mặc định trên cổng đấu nối. Làm vậy sẽ giúp cho IP mail  server của bạn it bị black list hơn (mail blacklist cả một chuyên đề lớn nếu có thời gian viết sẽ viết).

4. NAT Destination
Public port 25, và 2525 (các bạn hay nghe là: NAT port hay port forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.

Định nghĩa Virtual IPs cho IP WAN 125.234.102.243 và port 25 map vào port 25 của IP 172.16.101.1  

Chúng ta cũng có thể clone Virtual IPs vừa tạo và chỉnh sửa thông tin theo yêu cầu

Chú ý: ở đây chúng tôi cố tình chỉnh là: cho phép bên ngoài dùng IP 125.234.102.243 và port 2525 cũng map vào chính port 25 của IP 172.16.101.1 luôn.

Để hạn chế sai xót chúng ta nên gôm các địa chỉ Virtual IPs thành 1 Group Virtual IPs

Tạo Policies cho phép bên ngoài có thể truy cập vào, cài đặt như hình

Nên tắt NAT đi để khi phân tích log chúng ta biết được đúng IP bên ngoài nào đã truy cập vào, nếu không trong log sẽ hiển thị IP vùng LAN của firewall thôi như vậy rất khó phân tích.

Cấu hình CLI

config firewall vip
edit "Public Port 25"
set extip 125.234.102.243
set extintf "wan1"
set portforward enable
set color 6
set mappedip "172.16.101.1"
set extport 25
set mappedport 25
next
!
edit "Public Port 2525"
set extip 125.234.102.243
set extintf "wan1"
set portforward enable
set color 6
set mappedip "172.16.101.1"
set extport 2525
set mappedport 25
next
end
!
config firewall vipgrp
edit "Public Server 172.16.101.1"
set interface "wan1"
set color 6
set member "Public Port 25" "Public Port 2525"
next
end
!
config firewall policy
edit 3
set name "Permit WAN to Server 172.16.101.1"
set srcintf "wan1"
set dstintf "lan"
set srcaddr "all"
set dstaddr "Public Server 172.16.101.1"
set action accept
set status enable
set schedule "always"
set service "ALL"
next
end

Bây giờ chúng ta kiểm tra các port đã public đúng chưa bằng cách truy cập vào trang https://www.yougetsignal.com/ (có nhiều trang lắm, trong lab này chúng tôi dùng trang này). Để đảm bảo việc mở port thành công thì:

• Các port trên máy 172.16.101.1 phải được mở
• Firewall trên server phải cho phép

Ta thấy trạng thái là OPEN có nghĩa là mở port thành công.

Xem log trên phần mềm giả lập mở port chúng ta thấy địa chỉ Public 198.199.98.246 đã truy cập vào (nếu không tắt NAT thì bạn sẽ thấy là 192.168.200.1)

NAT-DES: Thông thường dùng để mở port cho Camera, mail server, web server, SQL, MySQL,... nếu muốn truy cập từ internet. Trong phần policies các bạn cũng có thể cho phép 1 vài IP public nào đó nhằm đảm bảo security hơn, lab này chúng tôi cho phép tất cả các IP từ internet có thể truy cập được.

5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE

Định nghĩa VLAN 102 tương tự như đã làm ở yêu cầu 2 nhé.

Đảm bảo Application Controll và cho phép sử dụng nhiều profile đã được bật

Thêm các application có liên quan đến Youtube vào phần Application Overrides và action là block.

Tạo policies và cho vlan 102 và trong phần Application Control trỏ đến profile vừa tạo và đưa lên trên tất cả các policies như hình

Kiểm tra thấy VLAN 102 sẽ không truy cập được youtube

Trong FortiWiew thấy vlan 102 đang bị áp bởi policies có ID là 4

Trong phần Log & Reports -> Application Control -> Filter -> Source -> nhập IP cần kiểm tra

Thấy IP 172.16.102.1 của vlan 102 truy cập vào youtube đã bị block.

6. WEB FILTERING

Đảm bảo tính năng Web Filtering và Multiple Security Profiles đã được bật

Định nghĩa profile

Cách làm tương tự như chặn application, định nghĩa địa chỉ cần áp dụng cho policies, tạo polices phần web filtering cho profile vừa tạo vào. OK tới.

Chú ý: Các profile security là độc lập nhau (đã được phân theo từng nhóm sẵn như: nhóm web filtering, antivirus, application control), nên bạn có thể chọn nhiều nhóm Security Profiles cho 1 polices sẽ không có vấn đề gì, Fortigate sẽ hành xử theo từng nhóm ấy.

Các bạn cũng có thể lập lịch (thiết lập thời gian) để áp đặt policies tùy biến nhé.

Nhận xét: Với cách lọc không linh động lắm vì lệ thuộc vào Categories của hãng, nên khi triển khai nên kết hợp với phần Web Rating Overrides

7. WEB RATING OVERRIDES

Tự định nghĩa Categories cho riêng mình, ở đây chúng tôi tạo 2 categories đó là Block và Permit, các bạn có thể tạo tùy theo yêu cầu thực tế.

Kết quả sau khi định nghĩa categories

Thêm các trang web vào Categories vừa định nghĩa

Đến đây mới chỉ định nghĩa web site theo từng nhóm thôi nhé, chưa hành xử gì cả, Muốn hành xử thế nào thì chúng ta phải chỉnh lại profile trong phần Web Filter.

Ở đây chúng tôi chọn Action là Block cho Categories Block, và Allow cho categories Permit. Có nghĩa là các web trong categories Block sẽ bị chặn (ở ví dụ này là trang tuoitre.vn), và các trang trong categories Permit sẽ được allow (ở ví dụ này là news.zing.vn).

Để thêm các trang cho phép truy cập hay bị chặn thì chúng ta chỉ cần thêm vào phần Web Rating Overrides là được.

Trong bài này chúng tôi giới thiệu FortiGate nó có thể làm được các tính năng như đã nêu trên và thực tế FortiGate còn làm được nhiều hơn thế nữa. Chúng tôi không khuyến khích làm rập khuôn như bài lab này. Làm policies thế nào là chuyện của các "Nghệ Sĩ" nhé.

"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". hihihi

Kết luận: Đến đây chúng tôi huy vọng rằng sẽ xóa được mù chữ về cấu hình ForitGate, bạn đã có được tí tí gì đấy để làm cơ sở tìm hiểu kỹ hơn và thuần hóa được thiết bị này thông qua tài liệu chính thức của hãng.

P/s: Bài LAB được thực hiện trên FG100E-6.0.2

Xong!