Sophos NGFW Cấu hình tính năng ngăn chặn tấn công DoS

Mô hình mạng

Phần 1: Kích hoạt DoS & Spoof Protection​

Đầu tiên, bạn cần truy cập vào giao diện WebAdmin của Sophos XG để bật các tính năng bảo vệ cơ bản.

1. Đăng nhập vào WebAdmin của Sophos XG.
2. Trên thanh menu bên trái, điều hướng tới Intrusion Prevention > tab DoS & spoof protection.
3. Tại phần Spoof protection general settings và Spoof protection trusted MAC là tùy chọn với MAC, có bạn có thể cấu hình theo nhu cầu
   • MAC filter: Kiểm tra địa chỉ MAC hợp lệ (khuyên dùng bật trong mạng LAN).
   • IP spoofing: Ngăn chặn các gói tin có IP nguồn bị giả mạo (Drop spoofed IP packets). Mức Normal là phù hợp cho lab.

Phần 2: Cấu hình các giới hạn DoS (DoS Settings)​

Kéo xuống phần DoS settings. Tại đây, bạn sẽ cấu hình các ngưỡng (threshold) để tường lửa nhận diện và chặn các dạng tấn công Flood.
Sophos XG cho phép bạn chặn 4 loại tấn công phổ biến: SYN Flood, UDP Flood, TCP Flood, và ICMP Flood. Đối với mỗi loại, bạn cần cấu hình các thông số sau:

• Apply Flag: Tick chọn cái này sẽ drop gói tin vượt quá ngưỡng cấu hình
• Packet Rate (Packets/sec): Số lượng gói tin tối đa được phép truyền qua mỗi giây tính trên mỗi IP nguồn (hoặc đích).
• Burst Rate (Packets/sec): Số lượng gói tin tối đa được phép vượt quá trong một khoảng thời gian cực ngắn (bù trừ cho các traffic hợp lệ bị đột biến).

Cấu hình ngưỡng chống DoS (DoS settings)​

Giao diện chia rất rõ làm 2 luồng: Source (Bảo vệ dựa trên việc đếm gói tin từ IP nguồn gửi đi) và Destination (Bảo vệ dựa trên việc đếm gói tin gửi đến IP đích).

1. Chọn loại tấn công (Attack type): Bạn có thể chọn cấu hình chặn SYN flood, UDP flood, TCP flood hoặc ICMP/ICMPv6 flood.
2. Điều chỉnh thông số (Lưu ý quan trọng):
   • Packet rate per Source/Destination (Packet/min): Đây là số lượng gói tin tối đa tính trên PHÚT. Thông số mặc định (12000) là khá cao. Để test lab thành công bằng các tool thông thường, bạn cần hạ con số này xuống thật thấp. Ví dụ: Đặt Packet rate của SYN flood thành 600 (tức là 600 gói/phút).
   • Burst rate per Source/Destination (Packet/sec): Số lượng gói tin tối đa trên GIÂY trong một thời điểm đột biến ngắn. Ví dụ: Đặt Burst rate thành 10.
3. Kích hoạt chặn (Apply Flag): Nhấp vào ô vuông (checkbox) ở cột Apply Flag tại phần Source hoặc Destination (hoặc cả hai) ứng với loại tấn công bạn vừa sửa thông số. Khi được tích, Sophos XG sẽ drop (loại bỏ) các gói tin vượt ngưỡng.
4. Nhấn nút Apply màu xanh ở góc dưới bên trái để lưu cấu hình.
5. Ngay bên dưới danh sách Flood, hệ thống có cung cấp thêm các tùy chọn bảo vệ mạng ở Layer 2 và Layer 3. Hiện tại đã được tích mặc định một số tính năng khá tốt, bạn có thể giữ nguyên:
   • Dropped source routed packets: Đã tích (Bảo vệ chống lại việc kẻ tấn công tự chỉ định đường đi của gói tin).
   • Disable ICMP/ICMPv6 redirect packet: Đã tích (Ngăn chặn việc định tuyến lại traffic trái phép bằng ICMP).
   • ARP hardening: Bạn có thể tích thêm ô này nếu muốn hệ thống kiểm tra chặt chẽ hơn các gói tin ARP trong mạng LAN để phòng chống ARP Spoofing. Cần nhấn Apply sau khi thay đổi.

Mẹo quan sát Lab: Ngay trên giao diện này có cột Source Traffic Dropped và Destination Traffic Dropped (hiện tại đang hiển thị số 0). Khi bạn thực hiện tấn công (ví dụ dùng hping3), bạn có thể F5 lại trang này hoặc nhấn vào nút Click here for DoS attacks status ở góc phải để xem số lượng gói tin bị drop tăng lên.

Cấu hình luật ngoại trừ (DoS bypass rule - Tùy chọn)​

Bởi vì bạn đang cấu hình ngưỡng chặn rất thấp để test lab, IP của chính máy tính bạn đang dùng để quản trị (WebAdmin) rất dễ bị chặn nếu bạn thao tác quá nhanh hoặc mở nhiều tab. Để tránh điều này, hãy tạo một Rule ngoại trừ.

Phần 3: Kiểm tra​

Từ máy Linux ta dùng tool hping3 để tấn công vào port WAN của Firewall

Vào lại firewall để kiểm tra thì đã thấy rất nhiều gói tin SYN bị drop, như vậy là đã chặn thành công

​

​