TuanKhai3112
Intern
Mục lục
I. Giới thiệu
II. Nội dung
I. Giới thiệu
II. Nội dung
- Mô hình mạng mô phỏng SPAN Port
- Thiết lập kiểm tra kết nối mạng
- Giám sát lưu lượng trên opnsense
III. Kết luận
I. Giới thiệu
Trong môi trường mạng doanh nghiệp, việc giám sát lưu lượng nội bộ là cần thiết để phát hiện các hành vi bất thường và hỗ trợ hệ thống IDS/IPS. Tuy nhiên, trong môi trường ảo hóa (như VMware Workstation), ta có thể mô phỏng chức năng SPAN Port bằng cách kết nối các máy vào cùng một mạng ảo (VMnet). Bài viết này trình bày cách sử dụng OPNsense để mô phỏng SPAN Port, bắt gói ICMP và giám sát lưu lượng qua giao diện mạng nội bộ.
Trong môi trường mạng doanh nghiệp, việc giám sát lưu lượng nội bộ là cần thiết để phát hiện các hành vi bất thường và hỗ trợ hệ thống IDS/IPS. Tuy nhiên, trong môi trường ảo hóa (như VMware Workstation), ta có thể mô phỏng chức năng SPAN Port bằng cách kết nối các máy vào cùng một mạng ảo (VMnet). Bài viết này trình bày cách sử dụng OPNsense để mô phỏng SPAN Port, bắt gói ICMP và giám sát lưu lượng qua giao diện mạng nội bộ.
II. Nội dung
1. Mô hình mạng mô phỏng SPAN Port
OPNsense có 2 card mạng:
1. Mô hình mạng mô phỏng SPAN Port
OPNsense có 2 card mạng:
- em0: Kết nối NAT ra Internet (WAN).
- em1: Kết nối mạng nội bộ dùng VMnet5.
- Các máy Windows 7 cũng kết nối vào VMnet5, đóng vai trò là các thiết bị cần giám sát.
Mạng VMnet5 hoạt động như một mạng switch layer 2, do đó toàn bộ lưu lượng giữa các máy trong mạng này đều đi qua interface em1 của OPNsense — tương đương với việc thiết lập SPAN Port trong môi trường vật lý.
2. Thiết lập kiểm tra kết nối mạng
Tại một máy Windows 7 trong VMnet5, ta thực hiện lệnh sau để gửi các gói ICMP ra Internet : ping 8.8.8.8 -t
Tại một máy Windows 7 trong VMnet5, ta thực hiện lệnh sau để gửi các gói ICMP ra Internet : ping 8.8.8.8 -t
3. Giám sát lưu lượng trên OPNsense
Vào shell trên opnsense gõ lệnh : tcpdump -i em1 -n hoặc tcpdump -i em1 -n icmp
Dữ liệu là log bắt gói ICMP echo request/reply (ping) giữa các địa chỉ IP trong mạng nội bộ với IP 8.8.8.8 (Google DNS).
Vào shell trên opnsense gõ lệnh : tcpdump -i em1 -n hoặc tcpdump -i em1 -n icmp
Dữ liệu là log bắt gói ICMP echo request/reply (ping) giữa các địa chỉ IP trong mạng nội bộ với IP 8.8.8.8 (Google DNS).
- Ví dụ: 192.168.1.10 > 8.8.8.8: ICMP echo request — máy 192.168.1.10 gửi gói ping đến 8.8.8.8.
- 8.8.8.8 > 192.168.1.10: ICMP echo reply — 8.8.8.8 trả lời lại gói ping.
- id và seq là định danh và số thứ tự gói tin để phân biệt các gói ping khác nhau.
- Các gói ICMP có chiều đi và chiều về rõ ràng, chứng tỏ mạng đang hoạt động và SPAN port đã bắt được đúng lưu lượng.
Ý nghĩa thực tế
- Bạn đã bắt được gói ping đi và về qua interface em1 (hay vmnet5) tức SPAN port hoạt động bình thường.
- Việc ping tới IP 8.8.8.8 thành công và có gói trả lời (echo reply) chứng tỏ máy đang có kết nối ra internet và dữ liệu đã được ghi lại đúng.
Chúng ta cũng có thể xem ở trên webgui của OPNsense : Interfaces > Diagnostics > Packet Capture
Sao đó gõ vào interface cần quan sát ở đây là LAN -> start :
Dữ liệu tcpdump bạn gửi thể hiện có nhiều gói TCP đi qua interface em1 với các IP nội bộ (192.168.1.1 và 192.168.1.10), cổng 443 (HTTPS).
Điều này chứng tỏ interface em1 đang nhận được lưu lượng mạng nội bộ bình thường, có nghĩa:
Sao đó gõ vào interface cần quan sát ở đây là LAN -> start :
Dữ liệu tcpdump bạn gửi thể hiện có nhiều gói TCP đi qua interface em1 với các IP nội bộ (192.168.1.1 và 192.168.1.10), cổng 443 (HTTPS).
Điều này chứng tỏ interface em1 đang nhận được lưu lượng mạng nội bộ bình thường, có nghĩa:
- SPAN port trên card em1 hoạt động bình thường, bạn đang thấy gói tin đi qua đúng như mong đợi.
- Lưu lượng HTTPS nội bộ giữa 2 địa chỉ IP được bắt được trên em1.
III. Kết luận
Việc mô phỏng SPAN Port bằng mạng ảo VMnet5 trên OPNsense giúp người quản trị có thể triển khai giải pháp giám sát lưu lượng mạng nội bộ hiệu quả. Với công cụ như tcpdump, ta có thể xác minh và ghi nhận các kết nối ra/vào mạng. Đây là bước đầu tiên cần thiết để triển khai hệ thống IDS/IPS mạnh mẽ và hiệu quả trong môi trường thực tế.
Việc mô phỏng SPAN Port bằng mạng ảo VMnet5 trên OPNsense giúp người quản trị có thể triển khai giải pháp giám sát lưu lượng mạng nội bộ hiệu quả. Với công cụ như tcpdump, ta có thể xác minh và ghi nhận các kết nối ra/vào mạng. Đây là bước đầu tiên cần thiết để triển khai hệ thống IDS/IPS mạnh mẽ và hiệu quả trong môi trường thực tế.
Bài viết liên quan
Được quan tâm
Bài viết mới