Khi bạn lên kế hoạch xây dựng mạng cho home lab của mình, một tường lửa có khả năng tùy chỉnh cao là yếu tố then chốt để giữ cho home lab (và mạng gia đình) của bạn được an toàn và bảo mật. Dù bạn quyết định tự xây dựng tường lửa từ máy tính cũ hay lựa chọn một giải pháp tường lửa phần cứng có sẵn, việc thiết lập một số quy tắc tường lửa thiết yếu ngay từ đầu là vô cùng quan trọng. Đây là những quy tắc cốt lõi giúp bạn luôn có thể truy cập vào thiết bị tường lửa để điều chỉnh khi có sự cố, bởi vì trong một home lab, mọi thứ có thể xảy ra đều sẽ xảy ra.
So sánh giao diện người dùng của tường lửa pfSense và OPNsense trong một home lab.
1. Chặn Lưu Lượng Truy Cập Ra Ngoài Theo Mặc Định
Điều gì xảy ra trong Home Lab sẽ ở lại trong Home Lab
Việc kiểm soát home lab càng chặt chẽ càng tốt, và điều này bao gồm mọi lưu lượng truy cập đi qua giao diện WAN đến mạng gia đình hoặc Internet. Quy tắc mặc định nên là chặn tất cả lưu lượng truy cập đi ra (outbound traffic) trên cả IPv4 và IPv6, đảm bảo rằng không có gì thoát ra ngoài trừ khi bạn đã cấp phép rõ ràng. Bạn có thể tách riêng quy tắc cho IPv4 và IPv6 để dễ đọc hoặc kết hợp chúng thành một quy tắc duy nhất.
Trong quá trình tạo các quy tắc tổng thể này, bạn cũng nên thiết lập các quy tắc tương tự cho lưu lượng truy cập đến (incoming traffic). Việc chặn mọi gói tin đến trên cả IPv4 và IPv6 trừ khi được cho phép rõ ràng bằng các quy tắc nâng cao hơn sẽ giúp bạn luôn nắm rõ những gì đang diễn ra trên mạng home lab của mình. Điều này cũng giúp thu hẹp số lượng cổng (port) bạn cần kiểm tra nếu có sự cố, tiết kiệm thời gian quý báu.
Thiết bị chuyển mạch mạng, NAS và router trong hệ thống mạng gia đình hoặc home lab.
2. Thiết Lập VLAN Quản Lý (Management VLAN)
Đảm bảo bạn luôn có thể truy cập tường lửa của mình
Mặc dù bạn sẽ thực hiện hầu hết các thử nghiệm home lab trong các VLAN riêng biệt, có một VLAN cụ thể mà bạn cần thiết lập và gần như không bao giờ động đến sau giai đoạn cài đặt ban đầu. Đó là VLAN Quản Lý (Management VLAN) chuyên dụng, chỉ được sử dụng để kết nối với các giao diện quản lý của các thiết bị mạng.
Việc này mang lại nhiều lợi ích thực tế, trong đó quan trọng nhất đối với một home lab là giúp bạn truy cập giao diện quản lý của thiết bị ngay cả khi một (hoặc tất cả) các VLAN khác gặp sự cố và bạn không thể kết nối từ chúng. Thêm một số quy tắc định tuyến giữa VLAN quản lý và các VLAN đáng tin cậy khác cho phép bạn truy cập từ bất kỳ VLAN nào, đồng thời áp dụng các quy tắc tường lửa chặt chẽ để giới hạn chỉ các địa chỉ IP đáng tin cậy.
Điều này cũng có nghĩa là các giao diện quản lý sẽ không thể truy cập được bởi kẻ tấn công nếu chúng tìm cách xâm nhập vào một trong các VLAN khác của bạn, vì chúng không nằm trong cùng một khu vực mạng. Các giao diện này thường có bảo mật kém, và bạn cần một tường lửa đứng giữa chúng và phần còn lại của mạng.
Giao diện quản lý VLAN trên một thiết bị chuyển mạch mạng.
3. Cấu hình Quy Tắc Chống Khóa Truy Cập (Anti-Lockout Rule)
Tránh bị khóa khỏi các thiết bị cốt lõi
Một trong những phần khó khăn nhất mà tôi từng gặp phải khi quản lý home lab của mình là việc bị mất quyền truy cập vào các thiết bị cốt lõi, như tường lửa, sau khi một thay đổi DHCP bị lỗi. Ngay cả khi bạn có quyền truy cập vật lý vào phần cứng, việc đăng nhập và hoàn tác các thay đổi không phải lúc nào cũng đơn giản. Tuy nhiên, nếu bạn thiết lập một quy tắc chống khóa truy cập (Anti-Lockout rule) trước khi bắt đầu thử nghiệm các chức năng liên quan đến DNS hoặc mạng khác, mọi việc sẽ dễ dàng hơn rất nhiều khi có sự cố. Các tùy chọn bạn nên thiết lập bao gồm:
- Cho phép truy cập SSH qua cổng 22.
- Cho phép lưu lượng truy cập đến cổng 443 (HTTPS).
- Cho phép ping ICMP.
Bạn có thể thiết lập các cài đặt này riêng lẻ hoặc nhóm chúng vào một biệt danh (alias) như ADMIN_PORTS, để sau này chỉ cần gọi biệt danh đó trong các bước cấu hình. Mặc dù bạn có thể thiết lập quy tắc này trên mọi VLAN hoặc thậm chí trên kết nối từ mạng gia đình, cách dễ nhất là thêm các quy tắc này vào VLAN quản lý đã thiết lập. VLAN này chỉ được sử dụng để quản lý thiết bị mạng, không bị thay đổi khi thực hiện các thử nghiệm home lab, và sẽ dễ dàng truy cập để khắc phục mọi VLAN bị cấu hình sai mà chúng ta có thể làm hỏng trong quá trình học hỏi.
Một mớ hỗn độn cáp mạng trong thiết lập mạng gia đình, minh họa sự phức tạp của việc quản lý.
4. Phân Đoạn Mạng bằng VLAN để Bảo Vệ Mạng Gia Đình
Ngăn Home Lab ảnh hưởng đến các mạng khác của bạn
Tùy thuộc vào mức độ phức tạp của thiết lập home lab của bạn, có thể bạn đang chạy nó trên phần cứng được kết nối với mạng gia đình. Ngay cả khi không, việc sử dụng VLAN để phân chia các thiết bị vào các mạng riêng biệt vẫn rất giá trị. Một VLAN có thể dành cho các máy chủ hoặc thiết bị lưu trữ, một VLAN khác dành cho các thiết bị IoT để thử nghiệm, và một VLAN có thể được khóa chặt để kiểm tra phần mềm độc hại hoặc kỹ thuật đảo ngược những thứ bạn không muốn phát tán trên mạng thông thường.
Tất cả nhằm giảm thiểu các rủi ro bảo mật cho bất kỳ thử nghiệm nào mà home lab của bạn đang thực hiện. Các thiết bị bên ngoài như camera an ninh nên tuyệt đối nằm trong VLAN riêng, để hạn chế quyền truy cập vào phần còn lại của mạng nếu ai đó có thể xâm nhập vào chúng từ bên ngoài. Bạn có thể đi xa hơn với một VLAN cho lưu lượng VPN, một VLAN cho khách sử dụng, một VLAN cho các thiết bị như Google Home hoặc Alexa cần giao tiếp với nhau trong khi kết nối Internet, hoặc bất kỳ cách phân đoạn home lab và mạng gia đình nào khác phù hợp với cấu hình của bạn. Mục đích là các VLAN chỉ có thể giao tiếp với nhau thông qua tường lửa, và chỉ khi bạn cho phép cụ thể.
Cận cảnh một thiết bị chuyển mạch mạng (switch) trong tủ rack, minh họa việc phân đoạn VLAN.
5. Kích Hoạt Chặn GeoIP (GeoIP Blocking)
Tăng cường an ninh mạng bằng cách giới hạn khu vực địa lý
Một trong những quy tắc hữu ích nhất mà bạn có thể bật trên các tường lửa nâng cao như OPNsense hoặc pfSense là GeoIP, cho phép bạn chặn mọi lưu lượng truy cập đến từ các khu vực địa lý mà bạn đặt ra. Điều này dễ dàng giới hạn số lượng tác nhân xấu bạn phải đối phó, trong khi vẫn duy trì kết nối từ các quốc gia nơi lưu trữ đám mây của bạn có thể đặt, hoặc các máy chủ cho trợ lý giọng nói.
Bạn cũng nên thiết lập quy tắc chặn này cho lưu lượng đi vào và đi ra khỏi tường lửa, bởi vì việc ngăn chặn phần mềm độc hại “gọi về nhà” luôn là một ý tưởng tốt, ngay cả khi bạn không thể đảm bảo nó không xâm nhập vào home lab của bạn. Và bạn thậm chí có thể đảo ngược quy tắc này nếu bạn là một nhà nghiên cứu bảo mật, thiết lập các honeypot và sử dụng GeoIP để chặn các quốc gia chọn lọc nhằm cho phép các tác nhân xấu đã biết truy cập mạng của bạn để nghiên cứu hành vi của chúng.
Hình ảnh Trái Đất, biểu tượng cho việc chặn truy cập theo địa lý (GeoIP blocking) trên tường lửa.
Những cuộc phiêu lưu trong Home Lab của bạn sẽ dễ dàng hơn nhiều với các quy tắc tường lửa hợp lý được thiết lập ngay từ đầu
Có thể bạn sẽ rất muốn bắt tay ngay vào các cấu hình nâng cao trong home lab và triển khai một loạt dịch vụ ngay từ đầu, nhưng tốt hơn hết là nên áp dụng một cách tiếp cận có phương pháp và thiết lập một số quy tắc cơ bản trước. Với các quy tắc tường lửa và mạng này, bạn có cơ hội tốt hơn để giữ cho home lab của mình an toàn, và có thể khắc phục sự cố mà không cần phải xóa sạch và bắt đầu lại từ đầu.