PTIT-ANM Bai Thuc Hanh

Bộ môn An toàn Thông tin – Khoa MMT&TT - UIT
1
Lab
Thiết lập mô hình
Tường lửa Sophos UTM
SOPHOS UTM Firewall Configuration
Thực hành An ninh Mạng
Lưu hành nội bộ

Thiết lập mô hình tường lửa Sophos UTM
A. TỔNG QUAN
1. Mục tiêu
 Xây dựng mô hình mạng với Firewall.
 Tìm hiểu, thiết đặt và sử dụng Firewall doanh nghiệp SOPHOS.
2. Giới thiệu về Firewall SOPHOS
Sophos UTM (Unify Threat Management) là một giải pháp tường lửa bảo mật hoàn
4
chỉnh cho doanh nghiệp được sử dụng rất phổ biến bao gồm nhiều tính năng như Network
Protection, Web Protection, Endpoint Protection, Load Balancing WAN, QoS, ...
- Network Protection: Thiết lập tường lửa ngăn chặn sự tấn công mạng từ bên ngoài
và bên trong, tạo các bộ quy tắc truy cập mạng giúp chỉ cho phép các ứng dụng được
phép truy cập mạng, chặn theo quốc gia, chặn tấn công Dos, tính năng IPS...
- Web Protection: Thiết lập các quy tắc truy cập web như cho phép hoặc chặn
website, chặn download, block quảng cáo, chặn các trang web độc hại, khóa website
theo từ khóa, tính năng proxy, caching...
- Endpoint Protection: Quản lý antivirus cho máy trạm, Sophos UTM Home cấp bản
quyền miễn phí cho 10 máy trạm sử dụng Sophos Antivirus.
Thông tin chi tiết về phiên bản thương mại tại https://www.sophos.com/en-
us/products/unified-threat-management.aspx
Sophos cho phép đăng ký dùng thử bản thương mại UTM trong 30 ngày, trong điều kiện
thực hành, sinh viên có thể dùng bản này để thử nghiệm.
3. Môi trường & mô hình mạng
Xây dựng mô hình mạng với tường lửa Sophos UTM bảo vệ 2 lớp mạng
- Mạng nội bộ: 10.0.0.0/8 với 1 Domain Controller để quản lý tập trung các máy tính
theo domain.
- Vùng DMZ: 172.16.0.0/16 bao gồm các Server Web, Mail, FTP.
Trong bài thực hành này sẽ thực hiện cài đặt và thiết lập Domain Controller và Firewall
Sophos UTM. Sinh viên cần xem kỹ và thiết lập như hướng dẫn cụ thể của bài lab.
Lưu ý: Sinh viên có thể chủ động thay đổi lại địa chỉ IP trong khi thực hành nếu xảy ra
các vấn đề trùng lớp mạng, không bắt buộc giống hoàn toàn IP đã cho trong hướng dẫn.
BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

AN TOÀN THÔNG TIN HỌC KỲ I – NĂM HỌC 2016-2017
4
Hình 1. Mô hình mạng thiết lập Firewall
Thực chất trong mô hình trên, sinh viên chỉ cần chuẩn bị 2 máy tính (VMWare). Trong đó:
- Máy 1: Windows Server 2012 làm Domain Server (1 card mạng Host-only)
- Máy 2: Firewall Sophos UTM
Đồng thời, dùng máy thật để kết nối vào WebAdmin của Firewall.
Vùng DMZ trong mô hình chỉ để tham khảo về mô hình mạng thực tế.
Thông tin card mạng của các máy như sau
STT Server Name Interface 1 Interface 2 Interface 3
IP 10.0.0.2
Domain SM 255.0.0.0
1
Controller DG 10.0.0.1
DNS 10.0.0.2 - 8.8.8.8
DMZ IP 172.16.0.2
(Web Server SM 255.255.0.0
2 DG 172.16.0.1
Mail Server
DNS 8.8.8.8
FTP Server)
IP 10.0.0.1 172.16.0.1 DHCP
SM 255.0.0.0 255.255.0.0
3 Firewall
DG
DNS
B. THỰC HÀNH
1. Thiết lập máy chủ Domain Controller
• Bước 1: Chuẩn bị máy ảo làm Domain Controller:
+ RAM: 512MB – 1GB
+ 1 Network Adapter Host-Only
+ OS: Windows Server 2008. Trong hướng dẫn này sử dụng Windows Server 2008.

Sau khi cài đặt xong máy ảo Windows Server 2008, nên Snapshot (sao lưu) lại máy ảo để có
thể khôi phục lại trạng thái ban đầu nếu quá trình nâng cấp bị lỗi.
4
Hình 2. Thực hiện Snapshot để sao lưu trạng thái máy ảo ban đầu
• Bước 2: Đặt IP cho máy Domain Controller là 10.0.0.2/8
Hình 3. Thay đổi IP của máy chủ

• Bước 3: Đặt DNS Suffix bằng cách click phải lên My Computer > Propertites >
Change Setting > Change > chọn More.

4
Hình 4. Chọn More để thay đổi DNS Suffix
Sau đó nhập DNS Suffix cần đặt. Trong hướng dẫn này sử dụng tên uit.local, để phân biệt
bài của các nhóm, khi thực hiện sinh viên đặt theo dạng tên nhomxx.local. Ví dụ
nhom01.local
Sau đó Restart lại máy tính để áp dụng các thay đổi.

• Bước 4: Nâng cấp máy chủ thành Domain Controller
Hướng dẫn này thực hiện trên Windows Server 2008, nếu sử dụng phiên bản khác có thể có
một số thay đổi trong quá trình nâng cấp.

4
Hình 5. Vào Start > run > nhập dcpromo
Hình 6. Chọn Create a new domain in a new forest
Hình 7. Nhập domain (uit.local) cho Forest Root Domain

Giữ các thiết lập mặc định trong các bước tiếp theo:
4
Hình 8. Domain NetBIOS
Hình 9. Chọn DNS Server
Hình 10. Chọn Windows 2000

4
Hình 11. Thiết lập mật khẩu quản trị
Hình 12. Quá trình nâng cấp hoàn tất

Sau khi nâng cấp thành công, khởi động lại server và vào Properties của Computer để kiểm
tra.

4
• Bước 5: Tiến hành Snapshot lại để lưu lại trạng thái máy ảo lúc này.
4. Cài đặt và cấu hình máy Firewall Sophos UTM
Sinh viên có thể tải miễn phí file cài đặt Sophos UTM 9.4 (UTM v9 software appliance) tại
đây https://www.sophos.com/en-us/support/utm-downloads.aspx
(bản asg-9.406-3.1.iso ~ 832MB). Trong Lab sử dụng Sophos UTM 9.4, phiên bản mới có
thể có một số thay đổi về giao diện.
• Bước 1: Tải Sophos UTM 9.4, ta được file ISO cài đặt asg-9.406-3.1.iso
• Bước 2: Tạo máy ảo mới bằng VMware và load file iso của Sophos UTM 9 để cài đặt
tường lửa Sophos UTM.
Hình 13. Chọn file cài đặt asg-9.406-3.1.iso

Máy ảo để Firewall Sophos hoạt động có thông số như sau:

- RAM 1GB (hoặc 2GB)

- Có 3 card mạng:
+ Card 1: Host-only
+ Card 2: Host-only
+Card 3: Bridge (kết nối Internet qua máy thật)
4
Hình 14. Cấu hình máy ảo có thể sử dụng Sophos UTM ổn định
• Bước 6: Khởi động máy ảo và nhấn Enter để bắt đầu cài đặt
Hình 15. Cài đặt Sophos UTM 9

Sau đó, chọn Start để bắt đầu

4
• Bước 7: Thiết lập ngôn ngữ và múi giờ
Hình 16. Chọn ngôn ngữ English và múi giờ Ho_Chi_Minh
• Bước 8: Chọn card mạng eth0 và thiết lập IP mặc định cho trang quản trị

4
Hình 17. Chọn card mạng eth0 cho WebAdmin của Firewall
Hình 18. Thiết lập IP quản trị 10.0.0.1 cho Firewall
Hình 19. Chọn Yes nếu sử dụng CPU hỗ trợ 64 bit kernel
Quá trình cài đặt diễn ra trong 6 bước:

4
Hình 20. Chờ quá trình cài đặt hoàn thành
Sau khi cài đặt thành công, hệ thống sẽ thông báo thông tin địa chỉ IP đăng nhập vào trang
quản trị WebAdmin là https://10.0.0.1:4444/
Hình 21. Chọn Reboot để khởi động lại hệ thống

• Bước 9: Khởi động lại Firewall Sophos UTM

4
Hình 22. Quá trình khởi động lại diễn ra
Hình 23. Khởi động thành công Firewall

Sau khi khởi động thành công, chúng ta sẽ thấy IP được dùng để kết nối vào trang quản trị
Firewall 10.0.0.1 (Tài khoản mặc định để đăng nhập là root và đặt mật khẩu ở lần đầu tiên,
tuy nhiên chúng ta thực hiện các thiết lập cho Firewall qua WebAdmin)
• Bước 10: Đặt IP cho card VMNet 1 để kết nối vào Firewall để quản lý
Thiết lập lớp mạng cho VMnet1 là 10.0.0.0/8 tại VMware (Chọn Edit > Vituarl Network
Editor…). Sau đó đặt IP cho card VMnet1 tại máy thật thành IP khác 10.0.0.1, ví dụ
10.0.0.100/8.

4
Hình 24. Thay đổi IP cho card VMnet1
• Bước 11: Từ máy thật, thực hiện lệnh ping 10.0.0.1 để kiểm tra máy thật đã thấy máy
firewall chưa. Nếu chưa thấy thì cần kiểm tra lại IP và card mạng.
Hình 25. Kiểm tra kết nối giữa máy thật và Firewall
• Bước 12: Từ máy thật, kết nối vào WebAdmin của Firewall bằng địa chỉ
https://10.0.0.1:4444
Nếu gặp cảnh báo bảo mật của trình duyệt, bỏ qua và tiếp tục truy cập WebAdmin

4
Hình 26. Truy cập vào WebAdmin
• Bước 13: Thiết lập các thông tin cơ bản cho Firewall Sophos và đặt mật khẩu cho tài
khoản admin
Chọn I accept the license agreement và chọn Perform basic system setup và đợi khoảng
1 phút để hoàn tất quá trình thiết lập.
• Bước 14: Sau đó, đăng nhập bằng tài khoản admin/ mật khẩu vừa thiết lập

4
Hình 27. Đăng nhập vào WebAdmin
• Bước 15: Sau khi đăng nhập thành công, chọn Cancel để bỏ qua trình Wizard.
Hình 28. Giao diện trang quản lý firewall

• Bước 16: Cấu hình IP cho các interface của Firewall theo đúng mô hình triển khai
Vào Interface & Routing để thiết lập các Interface

- Tạo Interface cho vùng DMZ
4
Hình 29. Chọn New Interface và thiết lập như sau
Hình 30. Thiết lập Interface DMZ

- Tạo Interface External để kết nối Internet:
Chọn New Interface và thiết lập như sau
Hình 31. Thiết lập Interface External

• Bước 17: Bật cả 3 interface và đặc biệt interface External đã nhận được IP từ DHCP
Server hay chưa.

4
Hình 32. Các Interface đã hoạt động
Kiểm tra xem máy Firewall có kết nối được internet hay không bằng cách vào Support >
Tool > dùng tool Ping check để ping google.com dùng interface External
Hình 33. Firewall đã kết nối thành công đến Internet

Lưu ý: Nếu không kết nối được hay interface External không nhận được IP thì chúng ta sẽ
không làm gì được nữa và cần kiểm tra kỹ lại quá trình cấu hình theo các bước đã hướng
dẫn hoặc khởi động lại Firewall để kiểm tra lại.
• Bước 18: Cấu hình NAT Outbound. Cơ chế NAT sẽ xác định mạng nào sẽ NAT mạng ra
ngoài Internet.
Vào Network Protection > NAT > New Masquerading Rule và cấu hình như sau:

4
Hình 34. Chọn interface External
Sau đó kích hoạt rule này. Kết quả sau khi cấu hình:
Hình 35. Kết quả sau khi thêm rule NAT

• Bước 19: Cấu hình Rule để máy chủ Domain Controller kết nối được internet bình
thường. Vào Network Protection > Rule > New Rule

4
Hình 36. Chọn Any ở Source, Service và Destinations
Hình 37. Kết quả sau khi thiết lập Rule.

• Bước 20: Kiểm tra kết nối internet của máy Domain Controller

4
Hình 38. Ping thành công đến Google.com
Hình 39. Dùng trình duyệt để truy cập web và kiểm tra.
Nếu Domain Controller kết nối được Internet tức quá trình thiết lập tường lửa cơ bản đã
thành công.
• Bước 21: Quay lại trang WebAdmin của Firewall thử tắt Rule Firewall và một vài Rule
vừa thiết lập và quay lại máy Domain Controller để truy cập Internet và rút ra kết luận.
Lưu ý: Sau khi hoàn thành bài Lab, giữ nguyên trạng thái của Firewall và Domain
Controller server để tiếp tục thực hành về Sophos UTM trong bài lab tiếp theo.
C. Tích hợp Domain vào Sophos UTM
Để có thể quản lý các user trong Domain uit.local theo cơ chế Active Directory đã thiết lập
qua tường lửa Sophos UTM, chúng ta tích hợp domain này với Sophos UTM như sau:

• Bước 1: Khởi động và kiểm tra các máy Domain Controller và Firewall Sophos UTM
đã hoạt động ổn định chưa. Kiểm tra và đặt mật khẩu cho tài khoản Administrator trên
máy Domain Controller nếu chưa thiết lập mật khẩu.
• Bước 22: Kết nối vào WebAdmin của Firewall Sophos UTM.
Vào Definitions & Users > Authentication Services > Chọn Server > Chọn New
Authentication Server...
4
• Bước 23: Tại mục Backend, chọn Active Directory
Hình 40. Chọn Active Directory

• Bước 24: Tại phần Server, chọn và nhập thông tin Domain Controller
Hình 41. Nhập thông tin Domain Controller Server

• Bước 25: Tại trường Bind DN, nhập thông số cấu hình như sau ứng với domain
uit.local đã thiết lập.
CN=administrator,CN=Users,DC=uit,DC=local
Sinh viên chỉnh sửa uit và local tương ứng với domain mình đã xây dựng từ phần B.
• Bước 26: Nhập mật khẩu tài khoản Administrator trên máy DC và nhấn Test để kiểm
tra. Nếu kết quả Server test passed là thành công.

4
Hình 42. Test kết nối đến server thành công
• Bước 27: Chọn Save để lưu lại cấu hình. Kết quả sau khi thiết lập như sau:
Hình 43. Kết quả sau khi thiết lập AD server

• Bước 28: Tạo các user mới trên Domain tại máy Domain Controller.
Vào Start > Administrative Tools > Active Directory Users and Computers
Tạo các user tương ứng với thông tin của các sinh viên trong nhóm, tên đăng nhập là tên
sinh viên.
Ví dụ, tạo user a và b cho Nguyễn Văn A và Nguyễn Văn B

4
Hình 44. Tạo 2 tài khoản tương ứng với 2 sinh viên
Lưu ý: Có thể bỏ các policy đặt mật khẩu phức tạp của domain để tạo tài khoản dễ dàng
hơn với các mật khẩu đơn giản bằng cách vào Group Policy Management > Edit Default
Domain Policy và thay đổi thiết đặt.
Hình 45. Thay đổi chính sách bảo mật mặc định của uit.local

4
Hình 46. Điều chỉnh các chính sách mật khẩu đơn giản hơn
• Bước 29: Thiết lập Proxy Server cho domain. Tại Domain Controller:
Vào User Configuration > Windows Settings > Internet Explorer Maintenance > Connection
Hình 47. Thay đổi thiết đặt Proxy Settings

4
Hình 48. Thay đổi Proxy HTTP thành 10.0.0.1:8080
• Bước 30: Cập nhật lại Group Policy setting
Hình 49. Thực hiện lệnh gupdate /force để áp dụng các thay đổi về Policy
• Bước 31: Tại WebAdmin của Firewall Sophos UTM, chọn Authentication Services >
chọn Tab Global Settings
Chọn Create users automatically và End-User Portal và Apply như sau
Hình 50. Thiết lập tùy chọn tự động tạo user

• Bước 32: Chọn Authentication Services > chọn Tab Advanced.
Tại phần Prefetch Directory Users > chọn

Tiếp theo chọn Users và kéo 2 user đã tạo ở bước 9 vào phần DND bên dưới.
4
Hình 51. Đưa 2 user từ đã tạo trên Domain vào Sophos UTM
Chọn Save để lưu lại.
• Bước 33: Chọn Enable backend sync on login và nhấn Apply để áp dụng.
Hình 52. Hoàn tất thêm user

Kiểm tra lại tại Definitions & Users > Users & Groups

4
Hình 53. Thêm các user từ AD server thành công
5. Thiết lập một số kịch bản quy định về chính sách với tài khoản tại Domain
a) Kịch bản 1: Quản trị muốn cấm tài khoản nhân viên Nguyễn Văn A truy cập các
trang web tìm kiếm việc làm (Job Search) khi sử dụng tài khoản được cấp trong domain.
• Bước 1: Tại WebAdmin Firewall Sophos UTM, vào Web Protection > chọn Web
Filtering và bật bộ lọc này. Chọn Standard mode và nhấn Apply.
Hình 54. Kích hoạt tính năng Filtering

• Bước 34: Để tạo quy tắc lọc web mới, vào Web Protection > Web Filter Profiles > Chọn
New Filter Action…

4
Hình 55. Chọn New Filter Action…
• Bước 35: Thiết lập chính sách cấm truy cập các website tìm việc (Job Search)
Hình 56. Thiết lập chính sách với thể loại website
Chọn Save để lưu lại.

4
Hình 57. Kết quả sau khi tạo Filter mới
• Bước 36: Vào Web Protection > chọn Web Filtering > Tại Tab Policies:
Tạo 1 Policy mới và áp dụng cho user a
Hình 58. Gán policy đã tạo ở bước 3 cho user a, có thể thiết lập thêm thời gian của
policy ở Time event
Hình 59. Kết quả sau khi bật policy

• Bước 37: Tại máy Domain Controller, đăng nhập vào user a để kiểm tra

4
Hình 60. Đăng nhập vào user đã thiết lập Rules (a)
Lưu ý: Nếu không thể đăng nhập khi đã cung cấp đúng mật khẩu thì do máy Domain
Controller chưa cấp quyền cho user chứng thực đăng nhập vào, ta thay đổi lại chính sách
này trong Group Policy Management như sau.
Tại Group Policy Management > chỉnh sửa Default Domain Controller Policy và vào
Computer Configuration > Windows Settings > Local Policies > User Rights Assigment
> Thay đổi chính sách Allow log on locally
Hình 61. Chỉnh sửa Policy Allow log on locally

4
Hình 62. Thêm Authenticated Users vào danh sách user được log on
Hình 63. Sau khi thêm chọn OK để áp dụng

Sau đó thực hiện lệnh gpupdate /force để cập nhật lại chính sách.
• Bước 38: Sau khi đã đăng nhập thành công vào user a, mở trình duyệt để kiểm tra kết
quả. Khi truy cập Internet, trình duyệt sẽ yêu cầu nhập username và password ở lần đầu
tiên:
Hình 64. Nhập username, password của tài khoản hiện tại
• Bước 39: Thử truy cập một số website thông thường

4
Hình 65. Truy cập các website thông thường thành công
• Bước 40: Tìm kiếm một vài website thuộc thể loại đã cấm ở bước 3 và thử truy cập
Hình 66. Ví dụ website job search indeed.com đã bị cấm truy cập bởi Sophos.

b) Kịch bản 2: Quản trị muốn cấm cả A và B truy cập các website có nội dung đồi trụy,
vũ khí, có nội dung hình sự
Sinh viên tự thực hiện và kiểm tra kết quả sau khi thiết lập chính sách với một số website.
(A và B tương ứng với tài khoản mà sinh viên đã tạo)
c) Kịch bản 3: Quản trị chỉ cho phép tài khoản B truy cập các website Mạng xã hội như
Facebook, Twitter vào giờ nghỉ trưa (11h30 – 13h) các ngày trong tuần, các thời gian còn
4
lại cấm không cho truy cập.
Sinh viên tự thực hiện và thử kiểm tra kết quả. Có thể thiết lập một khoảng thời gian khác
để kiểm tra.
Gợi ý: Thiết lập khoảng thời gian tại Definitions & Users > Time Period Definitions.
d) Kịch bản 4: Quản trị chỉ muốn cho phép người dùng sử dụng các dịch vụ HTTP,
HTTPS và DNS và chỉ cho phép truy cập Internet vào giờ hành chính (tự định nghĩa).
Sinh viên tự thực hiện và thử kiểm tra kết quả khi sử dụng một service khác.
Gợi ý: Có thể xem lại phần cấu hình dịch vụ ở Bước 13 – phần B.2.
Lưu ý: Sau khi hoàn thành bài Lab, giữ nguyên trạng thái của Firewall và Domain
Controller server để tiếp tục thực hành về Sophos UTM trong bài lab tiếp theo.
D. Web Protection
2. Tổng quan về xây dựng chính sách bảo vệ truy cập web
Sophos cho phép thiết lập các chính sách bảo vệ truy cập website với nhiều tùy biến mở
rộng. Quy trình tạo một chính sách cơ bản:
1. Xây dựng bộ lọc tại Web Filter Profile > Tab Filter Actions > New Filter Action...

4
Hình 67. Xây dựng bộ lọc mới
Khi xây dựng bộ lọc, Sophos cho phép nhiều tùy biến như xây dựng chính sách với các thể
loại website theo bộ lọc và đánh giá từ Sophos, xây dựng chính sách với các website cụ thể,
giới hạn thời gian truy cập tối đa, hạn chế các nội dung trên web, …
2. Tạo và áp dụng chính sách tại Web Filter Profiles > Filter Profiles
Có thể áp dụng chính sách với tất cả người dùng hoặc với người dùng cụ thể trong các
khoản thời gian khác nhau
Hình 68. Thiết lập và áp dụng chính sách

3. Xây dựng bộ chính sách bảo vệ truy cập Web
Dựa vào các nội dung đã thực hành và nghiên cứu sử dụng Sophos, sinh viên thiết lập các
chính sách phù hợp để đảm bảo cho việc truy cập web an toàn cho một doanh nghiệp. Các
yêu cầu và mô tả cụ thể của bộ chính sách như sau:
Môi trường giả định:
Hệ thống mạng nội bộ xây dựng theo mô hình domain như đã xây dựng gồm 3 user:
Administrator (Quản trị), user a và b (tương ứng 2 user trong nhóm sinh viên đã tạo).
Máy người dùng sử dụng trình duyệt Chrome để truy cập Internet.

Chính sách truy cập Internet:

1. Chỉ cho phép toàn bộ người dùng sử dụng Internet để truy cập web, sử dụng email
qua các giao thức SMTP, IMAP, POP3, chặn tất cả các dịch vụ khác.
2. Chặn truy cập tất cả website từ Trung Quốc và toàn bộ khu vực Trung Đông (Iran,
Iraq, Syria, …).
3. Cấm truy cập tất cả các website tìm kiếm việc làm, trong đó có một số website tìm
4
kiếm việc làm tại TP.HCM.
4. Cảnh báo khi truy cập các website về vũ khí, chính trị - tôn giáo. Không cảnh báo với
các website giáo dục.
5. Giới hạn truy cập các website Giải trí và Game trong tối đa 60 phút, riêng đối với các
website giải trí dạng chia sẻ video như Youtube.com, vimeo.com (Streaming Media)
thì chỉ cảnh báo khi truy cập.
Cấm hẳn truy cập website lienminh.garena.vn
6. Quét virus khi download tập tin.
7. Không cho download các file lớn hơn 100MB.
8. Khi truy cập vào website bị chặn thì có thể mở khóa trực tiếp để bỏ chặn website đó
với tài khoản manager / 12345 (thiết lập tại Sophos Firewall – xem kết quả minh
họa).
4. Kiểm tra kết quả & ứng dụng
Kiểm tra kết quả sau khi đã xây dựng bộ chính sách ở bước 2 với từng trường hợp trong
kịch bản kiểm tra tương ứng với các quy tắc ở phần 2 như sau, nếu chưa đúng yêu cầu cần
điều chỉnh lại chính sách:
1. Truy cập 1 website được phép truy cập bình thường, thao tác traceroute và ping đến
website đó không thành công.
2. Không thể truy cập website báo Tân Hoa xã (xinhua.vn – news.cn) và ít nhất 2
website khác từ Trung Quốc và Trung Đông.

Hình 69. Không thể truy cập website báo Tân Hoa xã – Trung Quốc
3. Không thể vào các website về tìm kiếm việc làm trên thế giới và tại Việt Nam, tại
TP.HCM trong đó chặn được 4 website sau: vietnamworks.com.vn,
vieclam.tuoitre.vn, timviecnhanhhcm.com, itviec.com. Nếu website nào chưa chặn
được theo bộ lọc của Sophos thì chỉ định website đó ứng với thể loại Job Search của
hệ thống để khi cần chặn chỉ cần block Job Search category (không thêm địa chỉ web
4
trực tiếp vào Rule).
Hình 70. Website timviecnhanhhcm.com được đưa vào thể loại Job Search bị cấm
4. Hiện cảnh báo đối với một số website thuộc thể loại vũ khí, chính trị - tôn giáo như
trueswords.com (vũ khí), giacngo.vn (tôn giáo), chinhphu.vn (chính trị).
Hình 71. Cảnh báo khi truy cập chinhphu.vn, có thể truy cập khi nhấn Proceed
Truy cập bình thường với các website giáo dục, trường đại học như uit.edu.vn,
moet.gov.vn (Bộ GD-ĐT) mà không có cảnh báo.

4
Hình 72. Truy cập website uit.edu.vn bình thường
5. Kiểm tra khi truy cập một số website giải trí như kenh14.vn, yeah1.com,… và
gamevui.vn, pokemongo.com chỉ cho phép truy cập tối đa trong 60 phút
Hình 73. Giới hạn có thể truy cập web giải trí tối đa 60 phút
Khi thiết lập Quota (quy định thời gian truy cập tối đa) thì thời gian này sẽ được tính
từ khi nào và có được reset lại không? Nếu có thì reset khi nào và có cách nào thực
hiện reset thủ công không? Minh họa nếu có thể
- Kiểm tra kết quả khi vào trang Youtube.com và Vimeo.com.
- Kiểm tra kết quả khi vào trang lienminh.garena.vn
6. Thử nghiệm download 2 file có chứa virus qua http và https từ trang web EICAR tại
http://www.eicar.org/download , kiểm tra kết quả

4
Hình 74. Thử nghiệm download file eicar.com.txt có chứa virus
7. Thử download 1 file 100MB và 1 file 1GB từ trang http://hnd-jp-ping.vultr.com/
(trang test server tại Tokyo của Vultr VPS).
Hình 75. Download file 100 MB
Hình 76. Khi download file 1 GB

8. Với các website bị chặn, khi kiểm tra sẽ xuất hiện tùy chọn Unlock

4
Hình 77. Có thể đăng nhập để mở khóa URL bị chặn
Hình 78. Có thể đăng nhập bằng tài khoản manager/12345 để mở khóa
Hình 79. Sau khi mở khóa có thể truy cập bình thường
Thử kiểm tra khi đăng nhập máy tính bằng tài khoản khác có vào được website vừa mở
khóa không?

E. Application Control
1. Tổng quan về xây dựng chính sách kiểm soát ứng dụng
Trong Sophos UTM, việc xây dựng các quy tắc kiểm soát các ứng dụng mạng được thực
hiện trong Web Protection > Application Control
4
Hình 80. Kiểm soát ứng dụng mạng
Để tiến hành thiết lập các quy tắc, cần bật Network visibility.
Tại đây còn cung cấp chức năng Flow Monitor cho phép theo dõi lưu lượng mạng (network
traffic) của các ứng dụng thông qua các card mạng theo thời gian thực.
Hình 81. Theo dõi network traffic và chặn theo thời gian thực
Để thiết lập các quy tắc, ta thực hiện ở tab Application Control Rules.

4
Hình 82. Xây dựng các chính sách cho các ứng dụng mạng
Khi xây dựng chính sách, có thể thực hiện chính sách kiểm soát (Control by) theo loại ứng
dụng (Applications) hoặc theo bộ lọc động (Dynamic filter) dựa theo đánh giá từ Sophos về
năng suất (Productivity) và độ nguy hiểm (Risk) của loại ứng dụng đó.
Hình 83. Chọn loại danh mục và đánh giá ứng dụng để xây dựng quy tắc
Việc xây dựng các quy tắc tương tự các Web Filter Profiles.
5. Xây dựng bộ chính sách kiểm soát ứng dụng và triển khai CA (HTTPS)
Thiết lập các chính sách đảm bảo các yêu cầu sau:
Môi trường giả định:
Hệ thống mạng nội bộ xây dựng theo mô hình domain như đã xây dựng gồm các user:
Administrator (Quản trị), user a, b… (tương ứng các user trong nhóm sinh viên đã tạo).
Máy người dùng sử dụng trình duyệt Chrome để truy cập Internet.
Thiết lập bộ Chính sách kiểm soát ứng dụng & giải quyết các vấn đề:
1. Khắc phục lỗi HTTPS khi truy cập web tại máy DC.

Gợi ý: Vào Web Protection > Filtering Options > tab HTTPS Cas > Tải Signing CA
và cài đặt vào Trusted Root Certification Authorities của máy DC.
Sinh viên có thể xem hướng dẫn chi tiết bằng cách chọn
4
Hình 84. Tải về Signing CA và import vào máy DC
2. Cấm tất cả người dùng sử dụng các phương thức truyền tập tin qua Internet bằng các
website chia sẻ file (File transfer) như Mediafire.com, box.net
3. Cấm tất cả người dùng sử dụng giao thức truyền tập tin FTP, không cho download
Torrent.
4. Hạn chế người dùng sử dụng mạng xã hội: Cấm sử dụng Twitter, Google+. Đối với
Facebook cho truy cập nhưng cấm đăng status trên tường và nhắn tin trên Facebook
(nếu không thực hiện được thì cấm hẳn sử dụng Facebook).
5. Cấm sử dụng các chương trình thay đổi Proxy như Tor hay Ultrasuft
6. Cấm không cho sử dụng các email server (gmail, yahoo,…), ngoại trừ email server
của công ty, trong ví dụ này giả sử cho phép http://ctmail.vnu.edu.vn (WebMail ĐH
Công nghệ - ĐHQG-HN).
6. Kiểm tra kết quả & ứng dụng
Kiểm tra kết quả sau khi đã xây dựng bộ chính sách ở phần 2 với từng trường hợp trong
kịch bản kiểm tra tương ứng với các quy tắc ở phần 2 như sau, nếu chưa đúng yêu cầu cần
điều chỉnh lại chính sách:
1. Khi vào các website có https trên Chrome không còn xảy ra tình trạng bị cảnh báo
HTTPS

4
Hình 85. Truy cập các website HTTPS bình thường
2. Không thể truy cập các website chia sẻ file như Mediafire, Dropbox, …
Hình 86. Không thể truy cập các website Dropbox, Mediafire, ...
3. Kiểm tra sử dụng giao thức FTP trước và sau khi áp dụng Rule.
Có thể sử dụng FileZilla đăng nhập qua FTP đến 1 FTP server free nào đó, sinh viên
cũng có thể sử dụng tài khoản mẫu sau đây để thử nghiệm:
FTP Server: ftp.iselab.16mb.com
User: u971091963.isedemo
Password: ise2016

4
Hình 87. Kiểm tra giao thức FTP khi thực hiện Rule
Kiểm tra sử dụng uTorrent hay BitTorrent và download thông qua một tập tin .torrent
nào đó để kiểm tra kết quả.
4. Thử nghiệm khi truy cập và sử dụng với các Mạng xã hội phổ biến.
5. Thử nghiệm với Ultrasuft hay Tor và kiểm tra kết quả
Hình 88. Sử dụng Ultrasurf trước và sau khi thiết lập chính sách và kiểm tra kết quả
Kiểm tra kết quả khi truy cập gmail.com; mail.uit.edu.vn; ctmail.vnu.edu.vn
F. CÂU HỎI
Sau quá trình thực hành, sinh viên trả lời câu hỏi sau:

Nêu nguyên tắc hoạt động của Firewall Sophos UTM và Domain Controller trong mô hình
mạng đã thiết lập trong bài lab.
G. YÊU CẦU
 Sinh viên tìm hiểu và thực hành theo hướng dẫn. Thực hiện theo nhóm hoặc cá nhân
như đã đăng ký từ buổi 1.
 Sinh viên báo cáo kết quả thực hiện và nộp bài gồm:
4
- Báo cáo:
+ Trình bày trong file Word (.doc, .docx) hoặc .PDF với các hình ảnh thực hiện, kết quả
thực nghiệm được thực hiện bởi nhóm, trả lời các câu hỏi sau mỗi phần thực hành.
+ Đặt tên theo định dạng: NhomXX _ThucHanhANM
Nộp file báo cáo trên Google Drive.
H. THAM KHẢO
[1] Hướng dẫn chi tiết Cấu hình Active Directory trên Windows Server 2008:
http://quantrimang.com/huong-dan-cai-dat-active-directory-tren-windows-server-2008-
74472
[2] Sophos UTM 9 documentation:
https://www.sophos.com/en-us/support/documentation/sophos-utm.aspx
HẾT


PTIT-ANM Bai Thuc Hanh

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

PTIT-ANM Bai Thuc Hanh

Uploaded by

Copyright:

Available Formats

Bộ môn An toàn Thông tin – Khoa MMT&TT - UIT

Lưu hành nội bộ

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 3. Thay đổi IP của máy chủ

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Sau đó Restart lại máy tính để áp dụng các thay đổi.

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 6. Chọn Create a new domain in a new forest

Hình 7. Nhập domain (uit.local) cho Forest Root Domain

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 9. Chọn DNS Server

Hình 10. Chọn Windows 2000

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 12. Quá trình nâng cấp hoàn tất

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 13. Chọn file cài đặt asg-9.406-3.1.iso

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

- RAM 1GB (hoặc 2GB)

Hình 15. Cài đặt Sophos UTM 9

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 16. Chọn ngôn ngữ English và múi giờ Ho_Chi_Minh

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 18. Thiết lập IP quản trị 10.0.0.1 cho Firewall

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 21. Chọn Reboot để khởi động lại hệ thống

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 23. Khởi động thành công Firewall

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 28. Giao diện trang quản lý firewall

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

- Tạo Interface cho vùng DMZ

Hình 30. Thiết lập Interface DMZ

Hình 31. Thiết lập Interface External

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 33. Firewall đã kết nối thành công đến Internet

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 35. Kết quả sau khi thêm rule NAT

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 37. Kết quả sau khi thiết lập Rule.

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 40. Chọn Active Directory

Hình 41. Nhập thông tin Domain Controller Server

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 43. Kết quả sau khi thiết lập AD server

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 47. Thay đổi thiết đặt Proxy Settings

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 50. Thiết lập tùy chọn tự động tạo user

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 52. Hoàn tất thêm user

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 54. Kích hoạt tính năng Filtering

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 59. Kết quả sau khi bật policy

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 61. Chỉnh sửa Policy Allow log on locally

BỘ MÔN THỰC HÀNH AN TOÀN MẠNG MÁY TÍNH

Hình 63. Sau khi thêm chọn OK để áp dụng