/*auto readmore*/ /*auto readmore*/ /* an hien script*/ // an hien password /*an hien ma chuong trinh cong tru */ /*Scrollbox thanh cuon*/ /***Nhung CODE***/ /* dòng xanh dòng trắng */ /* https://cdnjs.com/libraries/prism lay thu vien, can vao ten file ma goi 1. copy link vao vi du:prism-python.min.js 2. ten ngon nua la python */ /*=== New posts ===*/ /*header slider*/ /*=== bai viet lien quan===*/ /*===tabcode===*/

LAB, Troubleshooting SPAN, RSPAN, Wireshark

Để việc giám sát mạng hiệu quả hơn chúng ta sử dụng Switched Port Analyzer - SPAN. Tính năng này sử dụng để copy - sao chép dữ liệu khi trao đổi của một port, vlan hay một IP cụ thể nào đó sang port khác, ta gọi là monitoring. Thiết bị phân tích sẽ gắng vào port này để phân tích dữ liệu/các gói tin đó nhằm mục đích .... 

Yêu cầu: 
1. Cấu hình SPAN sao cho port Gi0/18 trở thành port monitor để nhận bản sao dữ liệu, khi dữ liệu ra vào port Gi0/20

2. Lọc dữ liệu của vlan 116 trên port Gi0/20 forward đến port Gi0/18 (điều kiện: Gi0/20 phải là mode TRUNK)

3. Cấu hình lọc dữ liệu trao đổi giữa host 192.168.116.187 và host 192.168.99.26

4. Cấu hình Remote Span - RSPAN

Thực hiện:

1. Cấu hình SPAN sao cho port Gi0/18 trở thành port monitor để nhận bản sao dữ liệu, khi dữ liệu ra vào port Gi0/20


Cấu hình trên switch:
monitor session 1 source interface Gi0/20 both
monitor session 1 destination interface Gi0/18

Kiểm tra:
Sw_01#show monitor session 1
Session 1
---------
Type                          : Local Session
Source Ports             : 
Both                          : Gi0/20
Destination Ports      : Gi0/18
    Encapsulation       : Native
          Ingress            : Disabled

Sw_01#show interfaces Gi0/18
GigabitEthernet0/18 is up, line protocol is down (monitoring)
  Hardware is Gigabit Ethernet, address is 88f0.31d4.2792 (bia 88f0.31d4.2792)
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
  input flow-control is off, output flow-control is unsupported
  {...}


Mặc định khi cổng đã được cấu hình monitor port thì switch drop lưu lương vào cổng đó

Bắt gói trên Wireshark:



Dữ liệu trên phần mềm Wireshark


2. Lọc dữ liệu của vlan 116 trên port Gi0/20 forward đến port Gi0/18 (điều kiện: Gi0/20 phải là mode TRUNK)

Giữ nguyên cấu hình ở yêu cầu 1 và cấu hình thêm phần filter 116 theo yêu cầu
Sw_01
monitor session 1 filter vlan 116

Trên wireshark bây giờ chúng ta chỉ thấy dữ liệu có liên qua đến vlan 116 mà thôi.

3. Cấu hình lọc dữ liệu trao đổi giữa host 192.168.116.187 và host 192.168.99.26

Tạo Access-List trên Sw_01
ip access-list extended LAB-SPAN-Filter
permit ip host 192.168.116.187 host 192.168.99.26
exit
!
no monitor session 1 filter vlan 116
monitor session 1 filter ip access-group LAB-SPAN-Filter
!

Chỉ được phép tồn tại file điều kiện filter nên chúng ta phải bỏ cấu hình ở yêu cầu 2 và gán điều kiện filter của ACL vừa tạo

Sw_01#show monitor session 1
Session 1
---------
Type                           : Local Session
Source Ports               :
    Both                        : Gi0/20
Destination Ports        : Gi0/18
    Encapsulation         : Native
          Ingress              : Disabled
IP Access-group        : LAB-SPAN-Filter 

Kết quả trên wireshark đã đáp ứng yêu cầu đặt ra.

4. Cấu hình Remote Span - RSPAN


Đảm bảo đường đấu nối 2 switch phải là trunk

Sw_01#show interfaces trunk 
Port        Mode             Encapsulation  Status        Native vlan
Gi0/24       on                    802.1q         trunking      1
Port        Vlans allowed on trunk
Gi0/24      1-4094
{...}

Tham khảo cấu hình trunk cho interfaceSw_02
interface GigabitEthernet7/48
 switchport trunk encapsulation dot1q
 switchport mode trunk
end

Sw_01
interface GigabitEthernet0/24
 switchport trunk encapsulation dot1q
 switchport mode trunk
end

Chúng ta phải tạo thêm vlan nhằm nhờ vlan này chuyển dữ liệu cho RSPAN thông qua đường trunk được thiết lập giữa các switch

Tạo VLAN 500 trên cả 2 switch

Sw_02

vlan 500                     
Remote-SPAN
exit
!
monitor session 2 source interface Gi7/22
monitor session 2 destination remote vlan 500
exit

Sw_01

vlan 500                     
Remote-SPAN
exit
!
monitor session 2 source remote vlan 500
monitor session 2 destination interface Gi0/18
exit

Kiểm tra
Sw_02#show monitor session 2
Session 2
---------
Type                                 : Remote Source Session
Source Ports                     :
    Both                             : Gi7/22
Filter Pkt Type                 :
    RX Only                      : Good
Dest RSPAN VLAN        : 500

Sw_01#show monitor session 2
Session 2
---------
Type                                  : Remote Destination Session
Source RSPAN VLAN      : 500
Destination Ports               : Gi0/18
    Encapsulation                : Native
          Ingress                     : Disabled


Xong!

Mô Hình Mạng Cho Các Doanh Nghiệp Vừa & Nhỏ - Bài 3 - Chuyên Đề Firewall - FortiGate

MỤC ĐÍCH: KHÔNG khoe khoang hay phô trương gì cả - Giúp cho các bạn nào cần. Đây là bài CĂN BẢN CỦA CĂN CĂN BẢN. Nhiều bạn cứ hình dung, tưởng tượng Firewall là cái gì đó thật kinh khủng, mọi thứ kinh khủng thì đã có các kỹ sư của hãng làm hết rồi, mình chỉ bậc lên mà dùng thôi, quan trọng là sử dụng nó như thế nào thôi. Chúng tôi hay nói đùa với nhau rằng:"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". Nếu bạn đang đọc và làm theo bạn là nghệ sĩ rồi đấy.

MỤC TIÊU: Cài đặt đảm bảo các máy bên trong mạng LAN có thể truy cập được internet thông qua Firewall-FortGate của FortiNet, các máy bên ngoài internet cũng có thể kết nối vào máy tính nội bộ bên thông qua các rules/polices đã cài đặt. Chặn hay cho phép trang web, application của các thiết bị trong mạng LAN truy cập ra ngoài....

MÔ HÌNH LAB:




YÊU CẦU
1. Chuẩn bị và cấu hình căn bản và Reset FortiGate về mặc định nhà sản xuất

2. Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.

3. NAT Source
Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)

4. NAT Destination
Public port 25, và 2525 (các bạn hay nghe là: NAT port hay Port Forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.

5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE

6. WEB FILTERING

7. WEB RATING OVERRIDES


THỰC HIỆN
1. Chuẩn bị và cấu hình căn bản

ISP Router: ISP cấu hình. Hoặc cũng có thể tìm hiểu các cấu hình ở bài Lab 1, Lab 2

Cấu hình trên Switch

vlan 101
name HRDept
vlan 102
name AccDept
exit
!
interface Vlan101
description ===HR Default Gateway===
ip address 172.16.101.254 255.255.255.0
exit
!
interface Vlan102
description ===Acc Default Gateway===
ip address 172.16.102.254 255.255.255.0
exit
!
interface GigabitEthernet0/24
description ===Connect to FortiGate Port 16===
no switchport
ip address 192.168.200.2 255.255.255.0
exit
!
interface range g0/1-5
switchport access vlan 101
switchport mode access
spanning-tree portfast
exit
!
interface range g0/6-10
switchport access vlan 102
switchport mode access
spanning-tree portfast
exit
!

Cấu hình DHCP để cấp IP cho vlan 101 và vlan102
ip dhcp pool VLAN101
network 172.16.101.0 255.255.255.0
default-router 172.16.101.254
dns-server 8.8.8.8
exit
!
ip dhcp pool VLAN102
network 172.16.102.0 255.255.255.0
default-router 172.16.102.254
dns-server 8.8.8.8
!
exit

Cấu hình IP routing để đảm bảo các vlan có thể liên lạc được với nhau và default route trỏ về IP LAN trên Firewall
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.200.1
end
write

Kiểm tra bảng route trên CoreSwitch
show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is 192.168.200.1 to network 0.0.0.0
     172.16.0.0/24 is subnetted, 2 subnets
C       172.16.101.0 is directly connected, Vlan101
C       172.16.102.0 is directly connected, Vlan102
C    192.168.200.0/24 is directly connected, GigabitEthernet0/24
S*   0.0.0.0/0 [1/0] via 192.168.200.1
Tham khảo cấu hình căn bản tại đây:



Reset FortiGate về mặc định nhà sản xuất

Để đảm Firewall chưa cấu hình gì cả chúng ta nên reset về mặc định nhà sản xuất:
exec factoryreset


Nhấn Y để khởi động lại và thực hiện tiếp dòng lệnh
exec factoryreset2

Nhấn Y để khởi động lại.

Đăng nhập vào thiết bị theo thông tin có in trên thiết bị mặc định là:
- IP MGMT: 192.168.1.99
- Username: admin
- Password: không có đặt password

2. Yêu cầu: Cài đặt thông tin IP như sơ đồ và cấu hình sao cho các PCs trong vlan 101, vlan 102 có thể truy cập được internet.

Đặt IP cho Zone LAN

Nên chọn SSH để thuận tiện cho việc cấu hình command line trong LAN

Đặt IP cho Zone WAN


Kết quả sau khi đặt IP trên port 16-LAN, và WAN1


Đặt IP cho LAN, WAN bằng CLI

config system interface
edit "wan1"
set ip 125.234.102.243 255.255.255.248
set allowaccess ping https http fgfm
set alias "Viettel"
set role wan
set snmp-index 3
next
!
edit "lan"
set ip 192.168.200.1 255.255.255.0
set allowaccess ping https ssh http fgfm capwap
set stp enable
set role lan
set snmp-index 9
next
end


Cài đăt route đảm bảo Firewall có thể kết nối đế các VLAN bên dưới switch core (bạn có thể dùng bất kỳ giao thức nào bạn thích, ở đây tôi dùng Static Route), thông tin cài đặt như hình:

Route cho vlan 101:


Với vlan 102 bạn cũng có thể clone từ vlan 101, các thông tin như hình:

Cài đặt defaut route để đảm bảo tất cả có thể truy cập được internet

Các route vừa tạo


Kiểm tra sự tồn tại của các route

Cấu hình route bằng CLI


config router static
edit 1
set gateway 125.234.102.241
set device "wan1"
next
!
edit 2
set dst 172.16.101.0 255.255.255.0
set gateway 192.168.200.2
set device "lan"
set comment "To VLAN 101"
next
!
edit 3
set dst 172.16.102.0 255.255.255.0
set gateway 192.168.200.2
set device "lan"
set comment "To VLAN 102"
next
end


Đến đây các PCs chưa thể kết nối được internet vì mặc định firewall chặn tất cả các traffic đi qua nó

Để các tất cả PCs truy cập được internet chúng ta phải làm rule cho phép từ vùng LAN đến vùng WAN
Vì các IP private không được route trên InterNet, nên nhớ chọn Enable NAT nhé. Lúc này các PCs trong LAN sẽ lấy IP của WAN1 để giao tiếp với internet

Policies vừa tạo 

Cấu hình CLI


config firewall policy
edit 1
set name "Permit Any to InterNET"
set srcintf "lan"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set status enable
set schedule "always"
set service "ALL"
set nat enable
next
end


Kiểm tra kết nối đến internet của từng vlan:

Ping đến 8.8.8.8 đã thông.

Kết quả tracert cho chúng ta thấy thông tin các gói tin là:
  • 1. IP của default gateway
  • 2. IP của firewall
  • 3. IP mặt trong (LAN) của router IPS
 Gói tin đã đi đúng như các thông tin IP trong sơ đồ.

 Xem trên firewall đã có dữ liệu đi qua.

Trong FortiView thấy IP 172.16.101.1 đã bị áp bởi policies có ID = 1 và truy cập đến đích 8.8.8.8 cũng được thể hiện trên firewall.

Tương tự VLAN 102 cũng có thể truy cập được internet.

3. NAT Source
Yêu cầu: Nếu các PCs trong VLAN 101 truy cập ra ngoài internet và sử dụng https- port 443 thì sử IP WAN 125.234.102.244 (IP này không phải IP đấu nối trên cổng WAN1)

Kiểm tra ban đầu:
Vào trang https://canyouseeme.org/ để kiểm tra IP WAN hiện tại mà các PC trong LAN sử dụng để giao tiếp bên ngoài là bao nhiêu
Chính IP đấu nối trên WAN1 của firewall.

Định nghĩa IP WAN cần NAT theo đúng yêu cầu đề bài, trường hợp này là 125.234.102.244

Định nghĩa VLAN 101


Tạo Policies, chọn source là VLAN 101, services HTTPS và Dynamic IP Pool trỏ về Pool vừa định nghĩa ở trên.

Chú ý: Vì firewall hành xử là đọc các policies từ trên xuống nên nhớ phải move policy này lên trên nhé.


Cấu hình CLI

config firewall ippool
edit "125.234.102.244"
set type one-to-one
set startip 125.234.102.244
set endip 125.234.102.244
next
end
!
config firewall address
edit "VLAN 101"
set associated-interface "lan"
set color 3
set subnet 172.16.101.0 255.255.255.0
next
end
!
config firewall policy
edit 2
set name "VLAN 101 to InterNET 443"
set srcintf "lan"
set dstintf "wan1"
set srcaddr "VLAN 101"
set dstaddr "all"
set action accept
set status enable
set schedule "always"
set service "HTTPS"
set ippool enable
set poolname "125.234.102.244"
set nat enable
next
end


Truy cập vào lại trang https://canyouseeme.org để kiểm tra

Đã đúng yêu cầu đặt ra là IP 125.234.102.244.
Các bạn nhớ là chỉ có https mới dùng IP 125.234.102.244 thôi nhé, các servicies/port khác vẫn dùng IP đấu nối của firewall.

Giải thích thêm:
Các bạn có thể định nghĩa 1 IP cụ thể nào đó thay vì nguyên cả VLAN như trong bài này. Với chúng tôi hay dùng NAT Source trong trường hợp là với 1 thiết bị khi gửi mail ra ngoài với port 25 thì dùng IP khác, các port còn lại dùng IP mặc định trên cổng đấu nối. Làm vậy sẽ giúp cho IP mail  server của bạn it bị black list hơn (mail blacklist cả một chuyên đề lớn nếu có thời gian viết sẽ viết).

4. NAT Destination
Public port 25, và 2525 (các bạn hay nghe là: NAT port hay port forwarding) của server có địa chỉ 172.16.101.1 ra ngoài internet.

Định nghĩa Virtual IPs cho IP WAN 125.234.102.243 và port 25 map vào port 25 của IP 172.16.101.1  

Chúng ta cũng có thể clone Virtual IPs vừa tạo và chỉnh sửa thông tin theo yêu cầu



Chú ý: ở đây chúng tôi cố tình chỉnh là: cho phép bên ngoài dùng IP 125.234.102.243 và port 2525 cũng map vào chính port 25 của IP 172.16.101.1 luôn.

Để hạn chế sai xót chúng ta nên gôm các địa chỉ Virtual IPs thành 1 Group Virtual IPs


Tạo Policies cho phép bên ngoài có thể truy cập vào, cài đặt như hình


Nên tắt NAT đi để khi phân tích log chúng ta biết được đúng IP bên ngoài nào đã truy cập vào, nếu không trong log sẽ hiển thị IP vùng LAN của firewall thôi như vậy rất khó phân tích.

Cấu hình CLI


config firewall vip
edit "Public Port 25"
set extip 125.234.102.243
set extintf "wan1"
set portforward enable
set color 6
set mappedip "172.16.101.1"
set extport 25
set mappedport 25
next
!
edit "Public Port 2525"
set extip 125.234.102.243
set extintf "wan1"
set portforward enable
set color 6
set mappedip "172.16.101.1"
set extport 2525
set mappedport 25
next
end
!
config firewall vipgrp
edit "Public Server 172.16.101.1"
set interface "wan1"
set color 6
set member "Public Port 25" "Public Port 2525"
next
end
!
config firewall policy
edit 3
set name "Permit WAN to Server 172.16.101.1"
set srcintf "wan1"
set dstintf "lan"
set srcaddr "all"
set dstaddr "Public Server 172.16.101.1"
set action accept
set status enable
set schedule "always"
set service "ALL"
next
end


Bây giờ chúng ta kiểm tra các port đã public đúng chưa bằng cách truy cập vào trang https://www.yougetsignal.com/ (có nhiều trang lắm, trong lab này chúng tôi dùng trang này). Để đảm bảo việc mở port thành công thì:
  • Các port trên máy 172.16.101.1 phải được mở
  • Firewall trên server phải cho phép

Ta thấy trạng thái là OPEN có nghĩa là mở port thành công.

Xem log trên phần mềm giả lập mở port chúng ta thấy địa chỉ Public 198.199.98.246 đã truy cập vào (nếu không tắt NAT thì bạn sẽ thấy là 192.168.200.1)

NAT-DES: Thông thường dùng để mở port cho Camera, mail server, web server, SQL, MySQL,... nếu muốn truy cập từ internet. Trong phần policies các bạn cũng có thể cho phép 1 vài IP public nào đó nhằm đảm bảo security hơn, lab này chúng tôi cho phép tất cả các IP từ internet có thể truy cập được.

5. APPLICATION CONTROL: Cho phép vlan 102 truy cập được internet FULL quyền, nhưng CẤM truy cập YOUTUBE

Định nghĩa VLAN 102 tương tự như đã làm ở yêu cầu 2 nhé.

Đảm bảo Application Controll và cho phép sử dụng nhiều profile đã được bật

Thêm các application có liên quan đến Youtube vào phần Application Overrides và action là block.

Tạo policies và cho vlan 102 và trong phần Application Control trỏ đến profile vừa tạo và đưa lên trên tất cả các policies như hình


Kiểm tra thấy VLAN 102 sẽ không truy cập được youtube

Trong FortiWiew thấy vlan 102 đang bị áp bởi policies có ID là 4

Trong phần Log & Reports -> Application Control -> Filter -> Source -> nhập IP cần kiểm tra

Thấy IP 172.16.102.1 của vlan 102 truy cập vào youtube đã bị block.

6. WEB FILTERING

Đảm bảo tính năng Web Filtering và Multiple Security Profiles đã được bật

Định nghĩa profile

Cách làm tương tự như chặn application, định nghĩa địa chỉ cần áp dụng cho policies, tạo polices phần web filtering cho profile vừa tạo vào. OK tới.


Chú ý: Các profile security là độc lập nhau (đã được phân theo từng nhóm sẵn như: nhóm web filtering, antivirus, application control), nên bạn có thể chọn nhiều nhóm Security Profiles cho 1 polices sẽ không có vấn đề gì, Fortigate sẽ hành xử theo từng nhóm ấy.

Các bạn cũng có thể lập lịch (thiết lập thời gian) để áp đặt policies tùy biến nhé.

Nhận xét: Với cách lọc không linh động lắm vì lệ thuộc vào Categories của hãng, nên khi triển khai nên kết hợp với phần Web Rating Overrides

7. WEB RATING OVERRIDES

Tự định nghĩa Categories cho riêng mình, ở đây chúng tôi tạo 2 categories đó là Block và Permit, các bạn có thể tạo tùy theo yêu cầu thực tế.

Kết quả sau khi định nghĩa categories


Thêm các trang web vào Categories vừa định nghĩa

Đến đây mới chỉ định nghĩa web site theo từng nhóm thôi nhé, chưa hành xử gì cả, Muốn hành xử thế nào thì chúng ta phải chỉnh lại profile trong phần Web Filter.


Ở đây chúng tôi chọn Action là Block cho Categories Block, và Allow cho categories Permit. Có nghĩa là các web trong categories Block sẽ bị chặn (ở ví dụ này là trang tuoitre.vn), và các trang trong categories Permit sẽ được allow (ở ví dụ này là news.zing.vn).

Để thêm các trang cho phép truy cập hay bị chặn thì chúng ta chỉ cần thêm vào phần Web Rating Overrides là được.


Trong bài này chúng tôi giới thiệu FortiGate nó có thể làm được các tính năng như đã nêu trên và thực tế FortiGate còn làm được nhiều hơn thế nữa. Chúng tôi không khuyến khích làm rập khuôn như bài lab này. Làm policies thế nào là chuyện của các "Nghệ Sĩ" nhé.

"LÀM RULES/POLICIES LÀ NGHỆ THUẬT, NGƯỜI LÀM RULES/POLICIES LÀ NGHỆ SĨ". hihihi


Kết luận: Đến đây chúng tôi huy vọng rằng sẽ xóa được mù chữ về cấu hình ForitGate, bạn đã có được tí tí gì đấy để làm cơ sở tìm hiểu kỹ hơn và thuần hóa được thiết bị này thông qua tài liệu chính thức của hãng.

P/s: Bài LAB được thực hiện trên FG100E-6.0.2
Xong!

/*header slide*/