Sophos XG Firewall: Hướng dẫn cấu hình WAF và tấn công SQL injection
03/07/2024 16:44 849 lần Chuyên mục: Bài viết kỹ thuật
Nội dung:
- Server Ubuntu chạy DVWA
- Kết nối server tới Sophos firewall
- Tạo rule WAF
- Dùng kali tấn công server
- Kiểm tra log
Hướng dẫn cấu hình
1/ Server Ubuntu chạy DVWA
- Ubuntu có IP 10.20.20.200/24
- Tạo DVWA để có thể chạy được trên IP này
2/ Kết nối server tới Sophos Firewall
- Vào System > Hosts and services > IP host > Add, tạo host cho DVWA:
+ Name: Nhập tên cho host
+ Type: chọn mục IP
+ IP address: nhập IP của ubuntu server
- Thêm server vào Web server trên sophos.
- Protect > Web server > Web servers > Add.
+ Name: đặt tên web.
+ Host: chọn IP host đã tạo ở trên.
+ Type: Plaintext (HTTP) hoặc Encrypted(HTTPS). Vì web server hiện tại không có SSL certificate nên chọn HTTP.
+ Port: giữ mặc định (có thể đặt port khác, nhưng không được trùng 443 của user port)
+ Keep alive: On.
+ Time out: 1-65535 (mặc định 300s). Khi bị time-out, WAF sẽ gửi HTTP 502 đến client.
+ Disable backend connection pooling: tạo lại new connection mỗi khi sử dụng. ( Bật có thể giảm hiệu năng, chỉ nên bật khi muốn troubleshooting).
3/ Tạo rule WAF
- Protect > Rules and policies > Firewall rules > Add firewall rule > New firewall rule.
+ Action: chọn Protect with web server protection
+ Rule position: chọn top
+ Rule group: None
- Ở mục Hosted server:
+ Hosted address: chọn port ở ngoài đi vào
+ Listening port: 80 (Vì server ở đây không có SSL certificate), nếu có certificate thì tick chọn HTTPS và thêm certificate của server vào.
+ Domain: chọn IP hoặc domain name mà ở ngoài dung để truy cập.
- Ở mục Protected servers:
+ Web servers: chọn server muốn protect
+ Path-specific routing:
- Mục Access permission: tùy chọn allow hoặc block ip.
- Ở mục Advance: ta có thể thêm các profile của Protection, IPS hoặc traffic shaping.
- Ở đây chúng ta sẽ tạo profile Protection và IPS (ngăn chặn tấn công Sql injection).
4/ Dùng kali tấn công server
- IP của máy kali
- Kali ping thử máy server
- Dùng browser truy cập webserver qua IP public của firewall và port 80
- Dùng công cụ Hydra để tấn công brute force webserver
- Kết quả sau khi attack: có thể thấy khi máy kali gửi nhiều gói tin để tấn công và bị firewall chặn.
- Kiểm tra log viewer
CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS
♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM
♦ 028 2055 2868
♦ Hà Nội: Số 29, Lê Đại Hành, Quận Hai Bà Trưng, Hà Nội
♦ 024 3555 3030
♦ Email: info@dass.vn
♦ Fanpage: DASS – Sophos Việt Nam