Tweet
Xin chào mọi người,
Tiếp tục với chuỗi series firewall scada, ở bài lab trước chúng ta đã cấu hình firewal giúp tất cả các thiết bị có thể kết nối với nhau thành công, ở bài tập này chúng ta sẽ đi tới phần trọng tâm của khóa học này.
LAB 5 – Access Control List, IPS & Application Control trên Firepower
🎯 Mục tiêu
- Cấu hình cho phép từ nguồn hợp lệ truy cập Gateway SCADA giả lập.
- Cấu hình Access Control, IPS, Application Control và ghi log sự kiện ra console.
- Cấu hình dịch vụ VoIP trên VLAN mô phỏng SIP.
- Chặn toàn bộ các truy cập trái phép còn lại.
🏗 Mô hình
🏗 Chuẩn bị
- Thiết bị Firepower (trên EVE-NG hoặc thiết bị thật).
- Switch hỗ trợ VLAN trunking.
- Máy Linux (giả lập SCADA Gateway) và máy Windows (chạy phần mềm giám sát PRTG). 🔧 Các bước thực hành
1️⃣ Cấu hình Switch
👉 Tạo VLAN phục vụ SCADA và VoIP:
Switch(config)# vlan 10
Switch(config-vlan)# name test_iec104
Switch(config)# vlan 20
Switch(config-vlan)# name test_voip
👉 Gán cổng access cho VLAN:
Switch(config)# int e0/1
Switch(config-if)# switchport access vlan 20
Switch(config)# int e0/2
Switch(config-if)# switchport access vlan 10
👉 Gán địa chỉ IP cho VLAN:
Switch(config)# int vlan 10
Switch(config-if)# ip address 192.168.1.10 255.255.255.0
Switch(config-if)# no shut
Switch(config)# int vlan 20
Switch(config-if)# ip address 192.168.2.10 255.255.255.0
Switch(config-if)# no shut
👉 Trunk kết nối lên Firepower:
Switch(config)# int e0/0
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
2️⃣ Cấu hình Sub-Interface trên Firepower
- Mở CLI trên Firepower và dùng lệnh show network để lấy IP quản trị.
- Vào Web GUI → Device → DHCP Server:
+ Tạo SubInterface iec-104 với VLAN 10, IP tĩnh 192.168.1.1/24, set DHCP pool.
+ Tạo SubInterface test_voip với VLAN 20, IP 192.168.2.1/24, set DHCP tương tự.
📌 Kiểm tra: phải bật interface thì thiết bị trong VLAN mới nhận IP động.
3️⃣ Tạo Network Objects
- Vào Objects → Networks:
+ gateway_scada – IP SCADA gateway.
+ gateway – IP default gateway.
- Vào Device → Routing: chọn gateway làm default gateway cho firewall.
4️⃣ Cấu hình Access Control trên Firepower
- Vào Policies → Access Control → Tạo Access Rule.
📌 Các phần cần chú ý trong Rule:
- Action: Allow, Block, Trust.
- Source/Destination: xác định nguồn – đích.
- Applications: quy định dịch vụ (HTTP, SIP, IEC-104...).
- URLs: chặn/cho phép theo URL.
- Users: áp dụng rule cho user cụ thể (nếu có xác thực).
- Intrusion Policy: áp dụng IPS phát hiện & ngăn chặn tấn công.
- File Policy: chặn/tải tệp độc hại.
- Logging: bật log để theo dõi.
5️⃣ Tạo Rule chặn tất cả lưu lượng không hợp lệ
- Rule cuối cùng trong Access Control Policy:
+ Action: Block.
+ Source/Destination: Any/Any.
+ Bật Logging để ghi lại gói tin và sự kiện bất thường.
6️⃣ Tạo Rule cho phép IEC-104 (SCADA)
- Add Rule mới trong Access Control:
+ Source: IP trung tâm điều khiển.
+ Destination: SCADA Gateway.
+ Protocol: IEC-104 (port 2404).
- Application: chọn dịch vụ liên quan.
- Bật Intrusion Policy.
- File Policy: Block Malware All.
- Bật Logging.
✅ Kiểm tra: nc <SCADA_Gateway_IP> 2404
7️⃣ Tạo Rule cho phép VoIP Hotline
- Source: vùng hotline.
- Destination: SCADA Gateway.
- Giao thức SIP (port 5060).
- Application: chọn SIP.
- Intrusion Policy, File Policy và Logging giữ như rule trước.
✅ Kiểm tra: nc <SCADA_Gateway_IP> 5060
8️⃣ Triển khai và Kiểm tra
- Nhấn Deploy trên Firepower để áp dụng policy.
- Kiểm tra bằng ping, netcat đến các port IEC-104 (2404) và SIP (5060).
- Xem log để xác nhận rule hoạt động.
✅ Kết quả mong đợi
- Chỉ cho phép IEC-104 traffic từ trung tâm điều khiển đến SCADA Gateway.
- Cho phép lưu lượng VoIP qua SIP.
- Chặn toàn bộ lưu lượng khác.
- Tất cả sự kiện và gói tin bị chặn đều được ghi log.
Tiếp tục với chuỗi series firewall scada, ở bài lab trước chúng ta đã cấu hình firewal giúp tất cả các thiết bị có thể kết nối với nhau thành công, ở bài tập này chúng ta sẽ đi tới phần trọng tâm của khóa học này.
LAB 5 – Access Control List, IPS & Application Control trên Firepower
🎯 Mục tiêu
- Cấu hình cho phép từ nguồn hợp lệ truy cập Gateway SCADA giả lập.
- Cấu hình Access Control, IPS, Application Control và ghi log sự kiện ra console.
- Cấu hình dịch vụ VoIP trên VLAN mô phỏng SIP.
- Chặn toàn bộ các truy cập trái phép còn lại.
🏗 Mô hình
🏗 Chuẩn bị
- Thiết bị Firepower (trên EVE-NG hoặc thiết bị thật).
- Switch hỗ trợ VLAN trunking.
- Máy Linux (giả lập SCADA Gateway) và máy Windows (chạy phần mềm giám sát PRTG). 🔧 Các bước thực hành
1️⃣ Cấu hình Switch
👉 Tạo VLAN phục vụ SCADA và VoIP:
Switch(config)# vlan 10
Switch(config-vlan)# name test_iec104
Switch(config)# vlan 20
Switch(config-vlan)# name test_voip
👉 Gán cổng access cho VLAN:
Switch(config)# int e0/1
Switch(config-if)# switchport access vlan 20
Switch(config)# int e0/2
Switch(config-if)# switchport access vlan 10
👉 Gán địa chỉ IP cho VLAN:
Switch(config)# int vlan 10
Switch(config-if)# ip address 192.168.1.10 255.255.255.0
Switch(config-if)# no shut
Switch(config)# int vlan 20
Switch(config-if)# ip address 192.168.2.10 255.255.255.0
Switch(config-if)# no shut
👉 Trunk kết nối lên Firepower:
Switch(config)# int e0/0
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
2️⃣ Cấu hình Sub-Interface trên Firepower
- Mở CLI trên Firepower và dùng lệnh show network để lấy IP quản trị.
- Vào Web GUI → Device → DHCP Server:
+ Tạo SubInterface iec-104 với VLAN 10, IP tĩnh 192.168.1.1/24, set DHCP pool.
+ Tạo SubInterface test_voip với VLAN 20, IP 192.168.2.1/24, set DHCP tương tự.
📌 Kiểm tra: phải bật interface thì thiết bị trong VLAN mới nhận IP động.
3️⃣ Tạo Network Objects
- Vào Objects → Networks:
+ gateway_scada – IP SCADA gateway.
+ gateway – IP default gateway.
- Vào Device → Routing: chọn gateway làm default gateway cho firewall.
4️⃣ Cấu hình Access Control trên Firepower
- Vào Policies → Access Control → Tạo Access Rule.
📌 Các phần cần chú ý trong Rule:
- Action: Allow, Block, Trust.
- Source/Destination: xác định nguồn – đích.
- Applications: quy định dịch vụ (HTTP, SIP, IEC-104...).
- URLs: chặn/cho phép theo URL.
- Users: áp dụng rule cho user cụ thể (nếu có xác thực).
- Intrusion Policy: áp dụng IPS phát hiện & ngăn chặn tấn công.
- File Policy: chặn/tải tệp độc hại.
- Logging: bật log để theo dõi.
5️⃣ Tạo Rule chặn tất cả lưu lượng không hợp lệ
- Rule cuối cùng trong Access Control Policy:
+ Action: Block.
+ Source/Destination: Any/Any.
+ Bật Logging để ghi lại gói tin và sự kiện bất thường.
6️⃣ Tạo Rule cho phép IEC-104 (SCADA)
- Add Rule mới trong Access Control:
+ Source: IP trung tâm điều khiển.
+ Destination: SCADA Gateway.
+ Protocol: IEC-104 (port 2404).
- Application: chọn dịch vụ liên quan.
- Bật Intrusion Policy.
- File Policy: Block Malware All.
- Bật Logging.
✅ Kiểm tra: nc <SCADA_Gateway_IP> 2404
7️⃣ Tạo Rule cho phép VoIP Hotline
- Source: vùng hotline.
- Destination: SCADA Gateway.
- Giao thức SIP (port 5060).
- Application: chọn SIP.
- Intrusion Policy, File Policy và Logging giữ như rule trước.
✅ Kiểm tra: nc <SCADA_Gateway_IP> 5060
8️⃣ Triển khai và Kiểm tra
- Nhấn Deploy trên Firepower để áp dụng policy.
- Kiểm tra bằng ping, netcat đến các port IEC-104 (2404) và SIP (5060).
- Xem log để xác nhận rule hoạt động.
✅ Kết quả mong đợi
- Chỉ cho phép IEC-104 traffic từ trung tâm điều khiển đến SCADA Gateway.
- Cho phép lưu lượng VoIP qua SIP.
- Chặn toàn bộ lưu lượng khác.
- Tất cả sự kiện và gói tin bị chặn đều được ghi log.