Khi bạn lên kế hoạch xây dựng hệ thống mạng cho home lab của mình, một firewall có khả năng tùy chỉnh cao chính là yếu tố then chốt để giữ cho home lab (và cả mạng gia đình) của bạn được an toàn và bảo mật. Sau khi bạn đã quyết định tự xây dựng firewall riêng hay chọn một thiết bị firewall phần cứng có sẵn, và trước khi đi sâu vào các quy tắc phức tạp hơn, có một vài quy tắc firewall cơ bản nhưng vô cùng thiết yếu mà bạn cần thiết lập. Đây là những quy tắc cốt lõi cho mạng home lab của bạn, giúp bạn luôn có thể truy cập vào thiết bị firewall để điều chỉnh các cài đặt khi có sự cố. Và thực tế, với một home lab, mọi thứ có thể sai đều sẽ xảy ra.
So sánh giao diện người dùng của firewall pfSense và OPNsense
1. Chặn Lưu Lượng Truy Cập Đi Mặc Định
Kiểm Soát Hoàn Toàn Lưu Lượng Mạng Của Home Lab
Việc kiểm soát home lab của bạn càng nhiều càng tốt, và điều đó bao gồm cả lưu lượng truy cập đi qua giao diện WAN đến mạng gia đình hoặc Internet rộng lớn hơn. Quy tắc mặc định nên là chặn lưu lượng truy cập đi (outbound traffic) trên cả IPv4 và IPv6, đảm bảo rằng không có dữ liệu nào thoát ra ngoài trừ khi bạn đã cho phép rõ ràng. Bạn có thể tách biệt IPv4 và IPv6 như tôi làm để dễ đọc hơn, hoặc bạn có thể kết hợp cả hai vào một quy tắc duy nhất.
Khi chúng ta đang tạo các quy tắc tổng quát, bạn cũng có thể thiết lập các quy tắc tương tự cho lưu lượng truy cập đến (incoming traffic). Đặt cả IPv4 và IPv6 để chặn bất kỳ gói tin đến nào trừ khi được cho phép rõ ràng bằng các quy tắc nâng cao hơn, điều này giúp bạn luôn biết được điều gì đang xảy ra trên mạng home lab của mình. Nó cũng thu hẹp số lượng cổng bạn phải điều tra nếu có sự cố xảy ra, tiết kiệm thời gian quý báu.
Thiết bị chuyển mạch mạng, NAS và router trong hệ thống mạng gia đình
2. Thiết Lập Một VLAN Quản Lý Riêng Biệt
Đảm Bảo Khả Năng Truy Cập Firewall Mọi Lúc
Trong khi bạn sẽ thực hiện hầu hết các thử nghiệm home lab của mình trong các VLAN khác, có một VLAN cụ thể cần thiết lập mà không bao giờ bị động chạm sau các giai đoạn cài đặt ban đầu. Đó là một VLAN Quản lý chuyên dụng, chỉ được sử dụng để kết nối với các giao diện quản lý của các thiết bị mạng của bạn.
Điều này mang lại một số lợi ích trong thực tế, với lợi ích quan trọng nhất trong kịch bản home lab là nó cho phép bạn truy cập giao diện quản lý của các thiết bị của mình, ngay cả khi một (hoặc tất cả) các VLAN khác gặp sự cố và bạn không thể kết nối từ đó. Thêm một số quy tắc định tuyến giữa VLAN quản lý và các VLAN đáng tin cậy có nghĩa là bạn có thể truy cập từ bất kỳ VLAN nào trong số đó, với các quy tắc firewall vững chắc để giới hạn điều này chỉ cho các IP đáng tin cậy.
Điều này cũng có nghĩa là các giao diện quản lý không thể truy cập được đối với kẻ tấn công tìm cách xâm nhập vào một trong các VLAN khác của bạn, bởi vì chúng không nằm trong cùng một khu vực mạng. Các giao diện này thường có bảo mật kém, và bạn muốn có một firewall giữa chúng và phần còn lại của mạng.
Giao diện quản lý VLAN trên thiết bị chuyển mạch
3. Cấu Hình Quy Tắc Chống Khóa (Anti-Lockout Rule)
Tránh Tình Trạng Bị Mất Quyền Truy Cập Thiết Bị Core
Một trong những phần khó khăn nhất mà tôi từng gặp phải khi quản lý home lab của mình là không thể truy cập lại các thiết bị cốt lõi, như router hoặc firewall, sau khi một thay đổi DHCP mà tôi thực hiện bị lỗi. Ngay cả khi bạn có quyền truy cập vật lý vào phần cứng, việc đăng nhập và hoàn tác các thay đổi không phải lúc nào cũng đơn giản. Nhưng nếu bạn thiết lập một quy tắc Anti-Lockout trước khi bắt đầu thử nghiệm với các chức năng liên quan đến DNS khác, mọi thứ sẽ dễ dàng hơn rất nhiều khi sự cố xảy ra. Những tùy chọn bạn muốn thiết lập là:
- Cho phép truy cập SSH tới cổng 22
- Cho phép lưu lượng truy cập đến cổng 443 (HTTPS)
- Cho phép ICMP ping
Những cài đặt này có thể là các quy tắc riêng lẻ, hoặc bạn có thể gộp chúng vào một alias có tên là ADMIN_PORTS, và sau đó bạn chỉ cần gọi alias này trong các bước thiết lập sau này. Bây giờ, mặc dù bạn có thể đặt quy tắc này trên mọi VLAN hoặc thậm chí trên kết nối từ mạng gia đình của bạn, nhưng cách dễ nhất là thêm các quy tắc này vào VLAN quản lý mà chúng ta đã thiết lập. VLAN đó chỉ được sử dụng để quản lý các thiết bị mạng, không bao giờ bị động chạm khi thử nghiệm home lab, và nên dễ dàng truy cập để khắc phục bất kỳ VLAN nào bị cấu hình sai mà chúng ta đã làm hỏng trong quá trình học hỏi home lab thông thường.
Mạng dây cáp lộn xộn trong một hệ thống mạng gia đình
4. Phân Đoạn Mạng Bằng VLAN Để Bảo Vệ Mạng Gia Đình
Giữ An Toàn Cho Mạng Gia Đình Khỏi Rủi Ro Từ Home Lab
Tùy thuộc vào mức độ phức tạp của thiết lập home lab của bạn, bạn có thể đang chạy nó trên phần cứng được kết nối với mạng gia đình. Ngay cả khi không, việc sử dụng VLAN để phân đoạn các thiết bị vào các mạng riêng vẫn rất giá trị. Một VLAN có thể dành cho máy chủ hoặc lưu trữ, một VLAN khác có thể dành cho các thiết bị IoT để thử nghiệm, một VLAN khác có thể bị khóa chặt để phân tích phần mềm độc hại hoặc kỹ thuật đảo ngược những thứ bạn không muốn phát tán trên một mạng thông thường.
Tất cả là nhằm giảm thiểu hồ sơ rủi ro cho bất kỳ thử nghiệm nào mà home lab của bạn đang thực hiện. Các thiết bị bên ngoài như camera an ninh nên được đặt hoàn toàn trên VLAN riêng của chúng, để hạn chế quyền truy cập vào phần còn lại của mạng nếu ai đó có quyền truy cập vào chúng từ bên ngoài. Và bạn có thể đi xa hơn với một VLAN cho lưu lượng VPN, một cho khách sử dụng, một cho các thiết bị như Google Home hoặc Alexa cần giao tiếp với nhau trong khi kết nối Internet, hoặc bất kỳ cách nào khác để phân đoạn home lab và mạng gia đình của bạn phù hợp với cấu hình của bạn. Điều mấu chốt là các VLAN chỉ có thể giao tiếp với nhau thông qua firewall, và chỉ khi bạn cho phép chúng làm như vậy một cách cụ thể.
Tủ mạng với nhiều thiết bị chuyển mạch và thiết bị A/V
5. Kích Hoạt Chặn GeoIP
Hạn Chế Các Kết Nối Không Mong Muốn Từ Vị Trí Địa Lý
Một trong những quy tắc hữu ích nhất bạn có thể bật trên các firewall nâng cao, như OPNsense hoặc pfSense, là GeoIP. Tính năng này cho phép bạn chặn bất kỳ lưu lượng truy cập đến nào từ các khu vực địa lý mà bạn thiết lập. Điều này dễ dàng hạn chế số lượng tác nhân độc hại bạn phải đối phó, đồng thời vẫn duy trì kết nối từ các quốc gia nơi lưu trữ đám mây của bạn có thể đặt, hoặc máy chủ cho các trợ lý giọng nói.
Một lần nữa, bạn sẽ muốn đặt khối chặn này cho lưu lượng truy cập vào hoặc ra khỏi firewall của mình, vì việc có thể ngăn chặn phần mềm độc hại “phone home” luôn là một ý tưởng hay, ngay cả khi bạn không thể đảm bảo nó sẽ không xâm nhập vào home lab của bạn. Và bạn thậm chí có thể đảo ngược điều này nếu bạn là một nhà nghiên cứu bảo mật, thiết lập honeypot và sử dụng GeoIP để chặn các quốc gia chọn lọc nhằm cho phép các tác nhân độc hại đã biết truy cập mạng của bạn để nghiên cứu những gì chúng làm.
Hình ảnh Trái Đất thể hiện khái niệm GeoIP blocking
Hành Trình Xây Dựng Home Lab Của Bạn Sẽ Dễ Dàng Hơn Với Các Quy Tắc Firewall Hợp Lý
Có thể bạn sẽ bị cám dỗ để lao vào các cấu hình nâng cao trong home lab và triển khai hàng loạt dịch vụ ngay từ đầu, nhưng tốt hơn hết là hãy tiếp cận một cách có phương pháp và thiết lập một số quy tắc cơ bản trước. Với những quy tắc firewall và mạng này, bạn sẽ có cơ hội tốt hơn để giữ home lab của mình an toàn và có thể khắc phục sự cố mà không cần phải xóa sạch và bắt đầu lại từ đầu. Hãy bắt đầu bảo vệ home lab của bạn ngay hôm nay để có một môi trường thử nghiệm ổn định và an toàn hơn!