Khi bạn lên kế hoạch xây dựng hệ thống mạng cho home lab của mình, một tường lửa có khả năng tùy chỉnh cao là yếu tố then chốt để giữ cho home lab (và cả mạng gia đình) của bạn được an toàn và bảo mật. Dù bạn quyết định tự xây dựng tường lửa riêng hay sử dụng giải pháp tường lửa phần cứng có sẵn, trước khi đi sâu vào các quy tắc phức tạp hơn, có một vài quy tắc tường lửa thiết yếu mà bạn cần thiết lập. Đây là những nền tảng cốt lõi cho mạng home lab của bạn, đảm bảo rằng bạn luôn có thể tiếp cận thiết bị tường lửa để thay đổi quy tắc nếu có sự cố xảy ra. Và thực tế là, đây là một home lab, và mọi thứ có thể sai, đều sẽ sai.
So sánh giao diện người dùng pfSense và OPNsense trong quản lý firewall
1. Chặn Lưu Lượng Ra Ngoài Theo Mặc Định: “Mọi Hoạt Động Của Home Lab Luôn Trong Tầm Kiểm Soát”
Điều gì xảy ra trong home lab, hãy để nó ở lại home lab
Việc có nhiều quyền kiểm soát hơn đối với home lab của bạn luôn tốt hơn, và điều này bao gồm cả lưu lượng đi qua giao diện WAN đến mạng gia đình hoặc ra internet rộng lớn. Quy tắc mặc định cần được thiết lập là chặn lưu lượng đi ra (outbound traffic) cho cả IPv4 và IPv6, đảm bảo rằng không có gì thoát ra ngoài trừ khi bạn đã cấp phép rõ ràng. Bạn có thể tách riêng IPv4 và IPv6 như nhiều chuyên gia vẫn làm để dễ đọc và quản lý, hoặc kết hợp chúng thành một quy tắc duy nhất tùy theo sở thích.
Trong quá trình tạo các quy tắc tổng quát này, bạn cũng có thể áp dụng tương tự cho lưu lượng đến (incoming traffic). Việc cài đặt cả IPv4 và IPv6 để chặn bất kỳ gói tin đến nào trừ khi được phép rõ ràng bằng các quy tắc nâng cao hơn, giúp bạn luôn biết chính xác những gì đang diễn ra trên mạng home lab của mình. Điều này cũng giúp thu hẹp số lượng cổng bạn cần kiểm tra nếu có sự cố, tiết kiệm đáng kể thời gian quý báu.
Cận cảnh một thiết bị chuyển mạch mạng (switch) với router và thiết bị NAS
2. Thiết Lập VLAN Quản Lý (Management VLAN): Đảm Bảo Khả Năng Truy Cập Tường Lửa Mọi Lúc
Điều này là cần thiết để bạn luôn có thể tiếp cận tường lửa của mình
Mặc dù bạn sẽ thực hiện hầu hết các thử nghiệm trong home lab trên các VLAN khác nhau, nhưng có một VLAN cụ thể cần được thiết lập và hầu như không thay đổi sau giai đoạn cấu hình ban đầu. Đó chính là Management VLAN (VLAN quản lý), chỉ được sử dụng để kết nối với giao diện quản lý của các thiết bị mạng.
Điều này mang lại nhiều lợi ích thiết thực, với ưu điểm quan trọng nhất trong kịch bản home lab là nó cho phép bạn truy cập giao diện quản lý của các thiết bị, ngay cả khi một (hoặc tất cả) các VLAN khác gặp sự cố và bạn không thể kết nối từ chúng. Việc thêm một số quy tắc định tuyến giữa Management VLAN và các VLAN đáng tin cậy cho phép bạn truy cập từ bất kỳ VLAN nào trong số đó, với các quy tắc tường lửa vững chắc để giới hạn quyền truy cập chỉ cho các địa chỉ IP đáng tin cậy.
Ngoài ra, điều này cũng có nghĩa là các giao diện quản lý sẽ không thể bị kẻ tấn công truy cập nếu chúng tìm được đường vào một trong các VLAN khác của bạn, bởi vì chúng không nằm trong cùng một khu vực mạng. Các giao diện này thường có bảo mật kém, và bạn cần một tường lửa đứng giữa chúng và phần còn lại của mạng.
Giao diện quản lý VLAN trên một thiết bị chuyển mạch mạng
3. Thiết Lập Quy Tắc Chống Khóa (Anti-Lockout Rule): Tránh Tình Trạng “Khóa Mạng” Khi Cấu Hình Sai
Bạn sẽ thường xuyên thử nghiệm với các cổng và quy tắc chặn, và bạn không muốn bị “khóa mạng”
Một trong những phần khó khăn nhất khi quản lý home lab là việc truy cập lại các thiết bị cốt lõi của mình, như router hoặc tường lửa, sau khi một thay đổi DHCP nào đó mà tôi thực hiện bị lỗi. Ngay cả khi bạn có quyền truy cập vật lý vào phần cứng, việc đăng nhập và hoàn tác các thay đổi không phải lúc nào cũng đơn giản. Tuy nhiên, nếu bạn thiết lập một quy tắc Anti-Lockout (chống khóa) trước khi bắt đầu mày mò với các chức năng liên quan đến DNS khác, mọi thứ sẽ dễ dàng hơn rất nhiều khi sự cố xảy ra. Các tùy chọn bạn muốn thiết lập bao gồm:
- Kích hoạt SSH đến cổng 22
- Kích hoạt lưu lượng đến cổng 443 (HTTPS)
- Kích hoạt phản hồi ICMP ping
Đây có thể là các cài đặt riêng lẻ, hoặc bạn có thể gộp chúng vào một bí danh (alias) như ADMIN_PORTS, và sau đó bạn chỉ cần gọi bí danh này trong các bước thiết lập tương lai. Mặc dù bạn có thể đặt quy tắc này trên mọi VLAN hoặc thậm chí trên kết nối từ mạng gia đình, nhưng cách dễ nhất là thêm các quy tắc này vào Management VLAN mà chúng ta đã thiết lập. VLAN đó chỉ được sử dụng để quản lý các thiết bị mạng, không bao giờ bị ảnh hưởng khi thử nghiệm trong home lab, và nên dễ dàng truy cập để khắc phục bất kỳ VLAN nào bị cấu hình sai trong quá trình học tập và thử nghiệm.
Dây mạng rối rắm trên bàn, tượng trưng cho hệ thống mạng tại nhà
4. Phân Tách Mạng Bằng VLAN: Giữ An Toàn Cho Mạng Gia Đình Của Bạn
Bạn không muốn home lab của mình ảnh hưởng đến các mạng khác
Tùy thuộc vào mức độ phức tạp của thiết lập home lab của bạn, bạn có thể đang chạy nó trên phần cứng được kết nối trực tiếp với mạng gia đình. Ngay cả khi không, việc sử dụng VLAN để phân tách các thiết bị vào các mạng riêng biệt vẫn rất giá trị. Một VLAN có thể dành cho các máy chủ hoặc lưu trữ, một VLAN khác có thể dành cho các thiết bị IoT để thử nghiệm, một VLAN có thể được khóa chặt để kiểm tra mã độc hoặc dịch ngược các thứ mà bạn không muốn để chúng hoạt động trên mạng thông thường.
Tất cả nhằm mục đích giảm thiểu rủi ro cho bất kỳ thử nghiệm nào mà home lab của bạn đang thực hiện. Các thiết bị ngoại vi như camera an ninh nên được đặt hoàn toàn trên VLAN riêng của chúng, để hạn chế quyền truy cập vào phần còn lại của mạng nếu ai đó có thể truy cập vào chúng từ bên ngoài. Và bạn có thể đi xa hơn với một VLAN cho lưu lượng VPN, một VLAN cho khách truy cập, một VLAN cho các thiết bị như Google Home hoặc Alexa cần giao tiếp với nhau trong khi kết nối internet, hoặc bất kỳ cách nào khác để phân đoạn home lab và mạng gia đình của bạn phù hợp với cấu hình của bạn. Mấu chốt là các VLAN chỉ có thể giao tiếp với nhau thông qua tường lửa, và chỉ khi bạn cho phép rõ ràng điều đó.
Cận cảnh một tủ rack mạng với nhiều thiết bị chuyển mạch và thiết bị AV
5. Thiết Lập Chặn GeoIP: Hạn Chế Các Mối Đe Dọa Từ Địa Lý
Mạng của bạn sẽ an toàn hơn nếu bạn giới hạn các quốc gia có thể kết nối đến nó
Một trong những quy tắc hữu ích nhất mà bạn có thể kích hoạt trên các tường lửa nâng cao, như OPNsense hoặc pfSense, là GeoIP. Tính năng này cho phép bạn chặn bất kỳ lưu lượng truy cập đến nào từ các khu vực địa lý mà bạn thiết lập. Điều này giúp dễ dàng giới hạn số lượng tác nhân độc hại (bad actors) mà bạn phải đối phó, đồng thời vẫn duy trì kết nối từ các quốc gia nơi lưu trữ đám mây của bạn có thể được đặt, hoặc các máy chủ cho trợ lý giọng nói.
Một lần nữa, bạn sẽ muốn đặt quy tắc chặn này cho lưu lượng đi vào và đi ra khỏi tường lửa của mình, bởi vì việc có thể ngăn chặn mã độc “gọi về nhà” luôn là một ý tưởng hay, ngay cả khi bạn không thể đảm bảo nó sẽ không xâm nhập vào home lab của bạn. Và bạn thậmậm chí có thể đảo ngược quy tắc này nếu bạn là một nhà nghiên cứu bảo mật, thiết lập các honeypot và sử dụng GeoIP để chặn chọn lọc các quốc gia để cho phép các tác nhân độc hại đã biết truy cập mạng của bạn nhằm nghiên cứu hành vi của chúng.
Hình ảnh Trái Đất nhìn từ không gian, tượng trưng cho việc chặn kết nối theo địa lý
Những Cuộc Phiêu Lưu Cùng Home Lab Sẽ Dễ Dàng Hơn Với Các Quy Tắc Tường Lửa Hợp Lý Ngay Từ Đầu
Có lẽ sẽ rất hấp dẫn khi ngay lập tức đi sâu vào các cấu hình nâng cao trong home lab và chạy hàng loạt dịch vụ ngay từ đầu. Tuy nhiên, việc tiếp cận một cách có phương pháp và thiết lập một số quy tắc cơ bản trước là tốt hơn rất nhiều. Với những quy tắc tường lửa và mạng này đã được thiết lập, bạn sẽ có cơ hội tốt hơn để giữ cho home lab của mình an toàn, và có thể khắc phục các sự cố mà không cần phải xóa sạch và bắt đầu lại từ đầu.
Bạn có quy tắc tường lửa thiết yếu nào khác cho home lab của mình không? Hãy chia sẻ trong phần bình luận bên dưới!
