Trong bất kỳ phòng lab tại nhà (Home Lab) nào, một tường lửa (firewall) mạnh mẽ luôn là nền tảng cốt lõi để bạn có thể học hỏi và nắm vững các kiến thức chuyên sâu về kiểm soát lưu lượng mạng, kiểm tra gói tin (packet inspection) cùng các công cụ bảo mật quan trọng khác. Trong số vô vàn lựa chọn, pfSense và phiên bản phân nhánh của nó là OPNsense thường được ưu tiên sử dụng. Một phần vì chúng hoàn toàn miễn phí, nhưng cũng vì có rất nhiều tài liệu và hướng dẫn phong phú giúp bạn thiết lập ban đầu cũng như xử lý các tình huống phức tạp mà bạn muốn tạo ra.
Hơn nữa, bạn có thể nhanh chóng xây dựng một tường lửa tùy chỉnh chỉ với bất kỳ phần cứng PC cũ nào có sẵn, biến đây thành một cách tiết kiệm chi phí để học các kỹ năng mạng nâng cao. Với vô số tùy chọn và cấu hình mà phần mềm tường lửa tùy chỉnh mang lại, có thể khó khăn để biết chính xác nên bắt đầu từ đâu. Dù mục đích sử dụng tường lửa của bạn là gì, việc thiết lập những tùy chọn dưới đây trước tiên sẽ mang lại cho bạn một nền tảng vững chắc để phát triển.
Tủ rack chứa các thiết bị mạng trong một phòng lab tại nhà (home lab)
1. Đảm bảo quyền truy cập quản trị được kiểm soát chặt chẽ
VPN là lựa chọn tối ưu, không nên truy cập từ bên ngoài mạng
Sau khi bạn đã thay đổi mật khẩu mặc định thành một mật khẩu dài, độc đáo và ưu tiên tạo một người dùng quản trị mới không sử dụng tên admin, việc tăng cường bảo mật hơn nữa bằng xác thực hai yếu tố (2FA) là một thực hành tốt. 2FA rất đơn giản để thiết lập trên pfSense và OPNsense. Tuy nhiên, đó mới chỉ là mức tối thiểu để hạn chế quyền truy cập quản trị vào tường lửa của bạn. Vẫn còn một vài điều cần thiết lập để kiểm soát chặt chẽ hơn.
Chặn quốc gia (country blocking) là một khởi đầu tốt vì các cuộc tấn công mạng thường đến từ một số quốc gia nhất định. Ngay cả khi chúng sử dụng VPN để vượt qua các rào cản địa lý, tại sao bạn lại phải tạo điều kiện dễ dàng hơn cho chúng? pfBlockerNG là một công cụ miễn phí và mã nguồn mở. Nó tích hợp vào pfSense hoặc OPNsense để chặn lưu lượng từ các vị trí địa lý được chỉ định, đồng thời giới hạn quảng cáo và nội dung độc hại trên mạng Home Lab của bạn.
Hạn chế quản trị cuối cùng là vô hiệu hóa SSH. Đây là một trong những điểm tấn công đầu tiên vì nó giữ một cổng mở ra mạng WAN mọi lúc, và việc thay đổi số cổng chỉ làm chậm kẻ tấn công chuyên nghiệp trong một thời gian ngắn. Nếu bạn muốn tìm hiểu cách thiết lập xác thực dựa trên khóa (key-based auth) để tránh các cuộc tấn công brute force, hãy để SSH được kích hoạt. Tuy nhiên, trong mọi trường hợp khác, việc vô hiệu hóa SSH là rất khuyến nghị. Nếu bạn cần kết nối với tường lửa khi đang ở ngoài mạng, hãy sử dụng VPN được cấu hình đúng cách hoặc giao thức như WireGuard để thiết bị quản trị của bạn hoạt động như thể nó đang ở trong mạng Home Lab.
Giao diện ứng dụng WireGuard trên macOS, minh họa kết nối VPN an toàn
2. Hạn chế truy cập mạng nội bộ
Chỉ các máy tính đáng tin cậy được quyền truy cập
Không phải mọi máy trong mạng Home Lab của bạn đều cần có khả năng kết nối với tường lửa để quản lý. Lý tưởng nhất là bạn chỉ nên có một thiết bị duy nhất được ủy quyền kết nối và bị giới hạn bởi địa chỉ IP, cổng và địa chỉ MAC. Bạn vẫn cần thông tin đăng nhập quản trị và 2FA để truy cập giao diện web. Bạn thậm chí có thể giữ thiết bị này ngoại tuyến trừ khi cần cấu hình tường lửa, và tốt hơn hết là không cấp quyền truy cập WAN cho nó để hạn chế khả năng phơi nhiễm.
Điều này không phải lúc nào cũng khả thi hoặc thực tế, đặc biệt là trong một Home Lab với nguồn lực hạn chế. Nhưng việc giới hạn số lượng máy tính có thể đăng nhập vào các trang quản trị của tường lửa là một thực hành bảo mật tốt, và các hạn chế theo IP và MAC là đủ cho việc sử dụng trong Home Lab.
Trong khi bạn đang giới hạn số lượng IP, máy tính và người dùng có thể đăng nhập vào tường lửa để thực hiện thay đổi, việc bật thông báo cho các thay đổi cũng là một kế hoạch tốt. Những thông báo này có thể được gửi qua email hoặc thông báo Pushover, hoặc qua API tới Telegram hay Slack. Chúng không chỉ thông báo cho bạn về những điều quan trọng như các chứng chỉ sắp hết hạn, mà còn là một cách quan trọng để củng cố bảo mật tường lửa.
Những thông báo này không chỉ đóng vai trò là bản ghi lại các thay đổi đã lên kế hoạch, điều này rất tuyệt vời trong trường hợp có sự cố. Chúng còn cho phép bạn thấy bất kỳ thay đổi trái phép nào ngay khi chúng được thực hiện, để các cuộc xâm nhập mạng có thể được xử lý ngay lập tức. Khi bạn chuyển các cấu hình này sang môi trường sản xuất, các thông báo có thể giúp đáp ứng các nghĩa vụ pháp lý liên quan đến các vấn đề bảo mật.
Router Wi-Fi 6E TP-Link Archer AXE75, biểu tượng của thiết bị mạng gia đình
3. Luôn cập nhật hệ thống và gói phần mềm
Home Lab không cần các lỗi bảo mật không đáng có
Việc giữ cho bất kỳ thiết bị điện tử nào được cập nhật là rất quan trọng đối với bảo mật, và điều tương tự cũng áp dụng cho bất cứ thứ gì được thiết kế để bảo vệ các thiết bị khác của bạn. Dù bạn đang sử dụng pfSense hay OPNsense, các nhà phát triển sẽ định kỳ phát hành các bản cập nhật để khắc phục lỗi hoặc các lỗ hổng nghiêm trọng trong mã nguồn. Cần nhớ rằng, không giống như các router thông thường, cả hai hệ điều hành tường lửa này đều sẽ không tự động cập nhật mà không có xác nhận từ quản trị viên. Việc đăng nhập vào bảng điều khiển sẽ kích hoạt kiểm tra với các máy chủ cập nhật, nhưng vẫn cần một cú nhấp chuột thủ công để bắt đầu quá trình cập nhật. Chúng tôi không khuyến nghị thiết lập cronjob để xử lý cập nhật tự động, vì nếu có bất kỳ sự cố nào xảy ra, tường lửa của bạn sẽ ngừng hoạt động cho đến khi bạn nhận ra.
Nhưng không chỉ hệ điều hành mà bạn cần cập nhật. Bất kỳ gói phần mềm nào đã cài đặt cũng sẽ có chu kỳ cập nhật riêng, và bạn nên kiểm tra tab Package Manager thường xuyên để tìm kiếm các bản cập nhật. Bạn có thể sử dụng giao diện web cho cả hai tác vụ, hoặc sử dụng console nếu bạn thích. Bạn thậm chí có thể thực hiện “dry run” để kiểm tra xem bản cập nhật có gây ra sự cố với thiết lập hiện tại của bạn hay không, điều này có thể tạo nên sự khác biệt giữa một bản nâng cấp suôn sẻ và việc Home Lab của bạn ngừng hoạt động.
Giao diện Dashboard của OPNsense, hiển thị trạng thái hệ thống và các bản cập nhật
Thiết bị chuyển mạch (network switch), NAS và router trong hệ thống mạng gia đình
4. Sao lưu cấu hình định kỳ
Bắt đầu lại từ đầu chưa bao giờ là một kế hoạch tốt
Những tai nạn có thể xảy ra, và trong Home Lab, bạn không thể cứ thế mà bỏ qua chúng. Dù đó là một tập tin cấu hình sai, lỗi phần cứng hay thiên tai, tường lửa Home Lab của bạn chắc chắn sẽ gặp vấn đề. Điều đó có nghĩa là bạn sẽ phải bắt đầu lại từ đầu, nhưng nếu bạn đã theo dõi các thay đổi hệ thống, có một hệ thống tài liệu mạnh mẽ và đã định kỳ sao lưu cài đặt pfSense hoặc OPNsense của mình, việc khôi phục sau thảm họa sẽ không quá đau đớn.
Bản sao lưu này có thể là một cấu hình hoàn chỉnh dưới dạng XML, hoặc bạn có thể sao lưu các phần cấu hình cụ thể dưới dạng các tệp riêng lẻ, giúp việc khôi phục tốn ít thời gian hơn. Cùng với các lựa chọn cài đặt, các bản sao lưu có thể bao gồm hoặc loại trừ các gói đã cài đặt và dữ liệu của chúng, tùy thuộc vào việc bạn muốn khôi phục hoàn toàn hay một cách dễ dàng để khắc phục sự cố các gói đang hoạt động không đúng. Và bạn có thể sao lưu khóa SSH, dữ liệu bổ sung như DHCP leases, và nếu bạn muốn lưu trữ các bản sao lưu của mình được mã hóa.
Tab Cài đặt chung của tường lửa OpenWrt, nơi quản lý các tùy chọn cấu hình
Thiết lập Home Lab sử dụng Proxmox, thể hiện môi trường ảo hóa
5. Sử dụng VLAN quản lý chuyên dụng
Ưu tiên dùng cổng console để quản lý khi có thể
Một trong những điều đầu tiên bạn nên thiết lập trong mạng Home Lab của mình là một VLAN chuyên dụng cho các thiết bị quản lý, cùng với một bộ quy tắc chống khóa (anti-lockout rules). VLAN này sẽ chỉ kết nối với các trang quản trị của tường lửa và các thiết bị mạng khác của bạn và sẽ không chứa bất kỳ thiết bị nào khác. Đây là một phần quan trọng của việc phục hồi sau thảm họa, vì nó đảm bảo bạn có thể đăng nhập vào các trang quản lý liên quan bất kể trạng thái của phần còn lại của mạng.
Nhưng nếu bạn có một tường lửa phần cứng chạy pfSense hoặc OPNsense, bạn cũng có thể có một cổng console có thể cắm vào. Điều này có thể vô cùng quý giá khi cần khôi phục một thay đổi cấu hình hoặc bản cập nhật bị lỗi, vì đôi khi giao diện web có thể không truy cập được, khiến cổng console là cách duy nhất để quản lý một số khía cạnh mà không cần khôi phục hoàn toàn.
Các cổng kết nối trên tường lửa phần cứng Firewalla Gold Pro
Laptop cũ và máy chủ PC, minh họa phần cứng có thể dùng cho home lab
6. Giữ tập luật tường lửa ngắn gọn, hiệu quả
Ít quy tắc hơn giúp dễ gỡ lỗi và quản lý
Thật cám dỗ khi chồng chất các quy tắc tường lửa khi mới bắt đầu tìm hiểu, tinh chỉnh mọi thứ cho các tình huống hoặc cấu hình phần cứng cụ thể. Nhưng nhược điểm của sự cụ thể đó là nó làm cho việc khắc phục sự cố trở nên khó khăn hơn. Một tập luật ngắn gọn sẽ dễ quản lý hơn nhiều, dễ tối ưu hóa hơn và ít bị lỗi hơn. Chiến lược mặc định từ chối (default deny) giúp bạn giữ mọi thứ ngắn gọn hơn, bằng cách chỉ cho phép mức lưu lượng tối thiểu cần thiết cho Home Lab của bạn.
Trong khi bạn đang cắt tỉa các quy tắc tường lửa để chúng dễ quản lý hơn, hãy đặc biệt chú ý đến bốn loại quy tắc bạn không muốn:
- Dư thừa: Các quy tắc trùng lặp hoặc không cần thiết.
- Lỗi thời: Các quy tắc không còn phù hợp với cấu hình hoặc dịch vụ hiện tại.
- Xung đột: Các quy tắc mâu thuẫn lẫn nhau, gây ra hành vi không mong muốn.
- Sai thứ tự: Vị trí của quy tắc ảnh hưởng đến cách tường lửa xử lý lưu lượng, quy tắc không đúng thứ tự có thể vô hiệu hóa các quy tắc khác.
Đôi khi, các tập luật dài hơn là không thể tránh khỏi, nhưng bạn có thể giảm độ phức tạp bằng cách nhóm các quy tắc tường lửa tương tự và sử dụng bí danh (aliases) cho chúng, thu hẹp khu vực cần điều tra nếu có sự cố xảy ra.
Màn hình thêm quy tắc tường lửa trên pfSense, minh họa việc quản lý tập luật
Cận cảnh một switch mạng trong tủ rack, thể hiện sự phức tạp của hệ thống
Dù bạn chọn pfSense, OPNsense hay một gói phần mềm tường lửa tùy chỉnh khác, các phương pháp hay nhất hiện tại vẫn giữ nguyên.
Mặc dù các tường lửa phần cứng và phần mềm bạn sử dụng để tạo chúng đều khác nhau về các tính năng nâng cao, nhưng việc thiết lập cốt lõi và các phương pháp hay nhất đều có thể áp dụng rộng rãi. Điều này càng đúng hơn với pfSense và OPNsense, vì cả hai đều dựa trên cùng một cơ sở mã nguồn và nhiều hướng dẫn bạn có thể tìm thấy dễ dàng chuyển đổi giữa chúng. Các phương pháp hay nhất trong an ninh mạng luôn phát triển khi công nghệ và bối cảnh mối đe dọa thay đổi, nhưng những mẹo này đến từ những người đam mê Home Lab và các chuyên gia bảo mật hiện tại, bao gồm các bước thiết lập bảo mật thông minh khó có thể thay đổi nhiều theo thời gian. Hãy chia sẻ kinh nghiệm của bạn trong việc bảo mật tường lửa Home Lab ở phần bình luận bên dưới!
