Mô phỏng một hệ thống firewall

1. Mục đích dựng mô phỏng:

Mục đích của dựng mô phỏng là đưa ra một mô hình mạng thật đang được ứng dụng trong thực tế nhằm phân tích đánh giá các hoạt động của một mạng máy tính cũng như cơ chế hoạt động của FireWall trong mạng máy tính cũng như hệ thống IPS, khả năng ngăn chặn và bảo vệ của IPS cũng như FireWall trong mạng máy tính ra sao. Nhìn chung tất cả các hệ thống thật ta đều có thể mô phỏng trên máy tính nếu như máy tính của chúng ta đủ mạnh để có thể đủ khả năng xử lý cho hệ thống .

2. Nguyên lý mô phỏng và các yêu cầu:

Yêu cầu cấu hình máy tính định làm mô phỏng: RAM tối thiểu 1Gb máy có cấu hình càng cao càng tốt.

Yêu cầu về phần mềm : Phải có đủ phần mềm dựng đủ các thiết bị như Router, Switch, Firewall, máy tính ảo, IPS, VMWare. Chúng ta có thể dựng Router và Switch bằng phần mềm mô phỏng Dynamic/dyogen.chúng làm việc khá tốt song yêu cầu ram cao. Firewall có thể dùng phần mềm mô phỏng Pemu hoặc chính trong Dynamic cũng hỗ trợ nhưng phải với phiên bản mới, về phần IPS có thể chạy trên Linux chúng ta có thể dùng phần mền metu.vn_ciscoIPS.wm chạy bằng máy ảo dùng VMWare máy ảo có thể tạo bằng VMWare

3. Các bước tiến hành kết nối:

Bước trước tiên là đó là phải cài đặt dynagen-0.10.1_dynamips và WinPcap để tạo có thể tạo ra được router ảo và switch ảo cũng như tạo ra tạo ra Firewall. Phiên bản mới nhất đó là GNS3 có hỗ trợ cài đặt sẵn dynamíp, pemu và winpcap.
Cài đặt VMWare tạo ra 2 máy PC ảo để có thể test Firewall.
Cài đặt ASDM 6.2 để có thể cấu hình cho firewall dạng giao diện web.
4. Cấu hình cho từng thiết bị:

Sơ đồ hệ thống cần mô phỏng:



Với các thông số cần cấu hình:

- C0 là miền Internet có địa chỉ là 192.168.161.0 /24.

- C1 là miền DMZ có địa chỉ là 172.16.10.0 /24.

- C2 là miền inside có địa chỉ là 11.0.0.0 /24.

- Router R có f0/0 nối với e0 của Firwall có dải địa chỉ 192.168.160.0/24(miền outside). Cổng f1/0 nối với C0.

- Firewall nối với R qua e0. Firewall nối với DMZ qua cổng e2. Firewall nối với inside qua cổng e1.

- Hai switch ảo swo và sw1 có nhiệm vụ switch để kết nối nhiều host trong miền. 

Cấu hình file Pix.net tạo thiết bị Firewall ảo và router ảo, các switch ảo:



autostart = false # Chế độ khởi động bằng tay

[localhost:7200] # Lệnh chọn kiểu kết nối localhost

model = 3640 # chọn mô hình 3640

[[3640]]

# link kết nối tới IOS của router 3640

image = \Program Files\Dynamips\images\c3640-jk9o3s-mz.123-14.T7.extracted.bin

# đặt giá tri idlepc để tiết kiệm CPU

idlepc = 0x60530870

# Thiết lập router tên R model 3640

[[Router R ]]

model = 3640

slot0 = NM-1FE-TX # tạo 1 cộng faterthernet và 1 serial vào slot 0

slot1 = NM-1FE-TX # tạo 1 cộng faterthernet và 1 serial vào slot 1

f0/0 = FW e0 # Taọ kết nối f0/0 của router R với e0 của Firewall.

f1/0 = NIO_gen_eth:\Device\NPF_{37225AE2-A156-43CE-AD2A-798D844EC905} # tạo kết nối f1/0 của Firewall với 1 PC ảo tạo ra miền outside.

[[ethsw SW]] # tạo switch ảo kết nối 1 PC trong inside với Firewall

1 = access 1 

2 = access 1 NIO_gen_eth:\Device\NPF_{FB316E56-207D-4F53-91A4-6FF8D185F91B} # tạo kết nối với PC thật 

[[ethsw SW1]] 

1 = access 1 # tạo 1 cổng kết nối với Firewall

2 = access 1 NIO_gen_eth:\Device\NPF_{BF3086A7-17EF-42DF-AA68-68B0D28D31DA} # tạo kết nối với PC ảo.

[pemu localhost] # Cấu hình Firewall

[[525]] # model 525

# link kết nối với IOS PIX802.bin

image = \Program Files\Dynamips\images\PIX802.BIN

serial = 0x301D10D9

key = 0x5236f5a7,0x97def6da,0x732a91f5,0xf5deef57

[[fw FW]] # tạo một Firewall

e1 = SW 1 # kết nối với SW qua cổng e1

e2 = SW1 1 # kết nối với SW1 qua cổng e2

Sau khi tạo File Pix.net song:

- Chạy Dynamips Server, Pemu Server
- Chạy file pemu.net
- Vào giao diện điều khiển dynagen. Gõ start R, FW . Sau đó, gõ list để xem trạng thái
- Điều chỉnh idlepc của R (idlepc get R, idlepc save R) -> stop & start R để dùng idlepc 





- Telnet R, FW để cấu hình.
- Cấu hình R:

R>ena

R# conf t

R(conf)# int f0/0 #Kết nối với e0 của firewall

R(conf-if)# ip address 192.168.110.2 255.255.255.0

R(conf-if)# no shut

R(conf)# int f1/0 # kết nối với PC ảo

R(conf-if)# ip address 192.168.119.10 255.255.255.0

R(conf-if)# no shut 
- Cấu hình FW:

Cấu hình interface:
Pixfirewall> en
Pixfirewall> conf t
Pixfirewall> int e0
Pixfirewall> ip add 10.0.0.2 255.0.0.0
Pixfirewall> nameif outside
Pixfirewall> no shut
Pixfirewall> int e1
Pixfirewall> ip add 11.0.0.2 255.0.0.0
Pixfirewall> nameif inside
Pixfirewall> no shut
=> Test: ping 11.0.0.10 ( interface loopback trên PC, ok !)

Kết nối với ASDM:

Upload asdm602.bin vào flash của pix:
Pixfirewall> en
Pixfirewall> conf t
Pixfirewall> copy tftp: flash:
( 11.0.0.10, asdm-602.bin)

Giai đoạn này cần đòi hỏi tính kiên nhẫn bởi upload mất khoảng 3-4 giờ.

Sau khi thành công thì cấu hình tiếp:
Pixfirewall> asdm image flash: asdm-602.bin
Enable asdm trên pix:§
Pixfirewall> en
Pixfirewall> conf t
Pixfirewall> username admin password admin privilege 15
Pixfirewall> http server enable
Pixfirewall> http 0.0.0.0 0.0.0.0 inside

- Chạy Cisco ASDM Launcher: IP: 11.0.0.2, admin/admin





Cấu hình:Cấu hình giao diện, định tuyến, nat cho firewall các cách ngăn chặn mạng ngoài(outside) xâm nhập vào trong miền inside và DMZ cấu hình cho phép các địa chỉ IP truy nhập vào mạng cũng như các dịch vụ trong mạng.





Kiểm tra cấu hình đã đúng chưa bằng cách ping các địa chỉ trong miền inside có thể truy nhập ra miền outside và vào một số dịch vụ trong DMZ. Nếu ping thành công và khi ping từ host trong miền outside vào inside thì bị từ chối.

Kết Luận : Qua việc nghiên cứu về mạng máy tính và an toàn trong mạng máy tính, vấn đề bảo mạt trong mạng máy tính cũng như bức từng lửa - một giải pháp hiệu quả trong bảo vệ mạng máy tính.

Phan Thắng
Share on Google Plus

About thanh

    Blogger Comment
    Facebook Comment

0 nhận xét:

Đăng nhận xét

cắt mí mắt