Đang tải... (xem toàn văn)
Đề tài Nghiên cứu giải pháp bảo vệ mạng nội bộ
Tìm hiểu vấn đề bảo mật mạng LAN Luận văn Đề tài: "Nghiên cứu giải pháp bảo vệ mạng nội bộ" Trang - - Tìm hiểu vấn đề bảo mật mạng LAN LỜI MỞ ĐẦU Với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hồ vào mạng tồn cầu Internet An tồn bảo mật thông tin vấn đề quan trọng hàng đầu, thực kết nối mạng nội quan, doanh nghiệp, tổ chức với Internet Ngày nay, biện pháp an toàn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xuyên có mạng bị cơng, có tổ chức bị đánh cắp thơng tin,…gây nên hậu vô nghiêm trọng Những vụ cơng nhằm vào tất máy tính có mặt Internet, máy tính cơng ty lớn AT&T, IBM, trường đại học quan nhà nước, tổ chức quân sự, nhà băng,…một số vụ công với quy mô khổng lồ (có tới 100.000 máy tính bị cơng) Hơn số phần tảng băng trôi Một phần lớn vụ cơng khơng thơng báo nhiều lý do, kể lo uy tín đơn giản người quản trị dự án không hay biết vụ công nhằm vào hệ thống họ Không vụ công tăng lên nhanh chóng mà phương pháp cơng liên tục hồn thiện Điều phần nhân viên quản trị hệ thống ngày đề cao cảnh giác Vì việc kết nối mạng nội quan tổ chức vào mạng Internet mà khơng có biện pháp đảm bảo an ninh xem tự sát Từ nhu cầu phát triển, đòi hỏi quan, tổ chức phải hịa vào mạng tồn cầu, mạng Internet song phải đảm bảo an tồn thơng tin q trình kết nối Bởi vậy, em định chọn đề tài: “Nghiên cứu giải pháp bảo vệ mạng nội bộ”, nhằm điều khiển luồng thông tin ra, vào bảo vệ mạng nội Trang - - Tìm hiểu vấn đề bảo mật mạng LAN khỏi công từ Internet Nội dung đề tài trình bày cách khái quát khái niệm mạng Firewall, cách bảo vệ mạng Firewall, cách xây dựng Firewall Đồng thời, dùng Iptables hệ điều hành Linux để thiết lập Firewall bảo vệ mạng nội Nội dung đề tài gồm chương sau: Chương 1: Vấn đề an ninh mạng máy tính Trình bày tổng quan vấn đề an ninh mạng máy tính, nguy vấn đề bảo mật hệ thống mạng Chương 2: Tổng quan Firewall Trình bày khái niệm Firewall, chức Firewall, phân loại Firewall kiến trúc Firewall Đưa sách để xây dựng Firewall, từ sách ta có cách để xây dựng nên Firewall bảo vệ mạng Chương 3: Tìm hiểu IPTables hệ điều hành Linux Tìm hiểu Iptables tham số dòng lệnh thường gặp Chương 4: Thiết lập Firewall bảo vệ mạng nội Iptables hệ điều hành Linux Từ việc tìm hiểu Iptables chương để từ thiết lập tường lửa bảo vệ cho mạng nội Iptables Linux Trang - - Tìm hiểu vấn đề bảo mật mạng LAN Chương 1: VẤN ĐỀ AN NINH AN TỒN MẠNG MÁY TÍNH 1.1 Tổng quan vấn đề an ninh an tồn mạng máy tính 1.1.1 Đe doạ an ninh từ đâu? Trong xã hội, thiện ác song song tồn hai mặt không tách rời, chúng phủ định Có biết người muốn hướng tới chân thiện, tốt đẹp, có khơng kẻ mục đích hay mục đích khác lại làm cho ác nảy sinh, lấn lướt thiện Sự giằng co thiện ác vấn đề xúc xã hội, cần phải loại trừ ác, ác lại ln nảy sinh theo thời gian Mạng máy tính vậy, có người phải biết cơng sức nghiên cứu biện pháp bảo vệ cho an ninh tổ chức mình, lại có kẻ tìm cách phá vỡ lớp bảo vệ với nhiều ý đồ khác Mục đích người lương thiện muốn tạo khả bảo vệ an ninh cho tổ chức rõ ràng Ngược lại, ý đồ kẻ xấu lại nhiều góc độ, cung bậc khác Có kẻ muốn phá vỡ lớp vỏ an ninh để chứng tỏ khả mình, để thoả mãn thói hư ích kỷ Loại người thường làm hại người khác cách phá hoại tài nguyên mạng, xâm phạm quyền riêng tư bôi nhọ danh dự họ Nguy hiểm hơn, có kẻ lại muốn đoạt khơng nguồn lợi người khác việc lấy cắp thông tin mật công ty, đột nhập vào ngân hàng để chuyển trộm tiền Bởi thực tế, hầu hết tổ chức công ty tham gia vào mạng máy tính tồn cầu có lượng lớn thông tin kết nối trực tuyến Trong lượng lớn thơng tin ấy, có thơng tin bí mật như: bí mật thương mại, kế hoạch phát triển sản phẩm, chiến lược maketing, phân tích tài hay thơng tin nhân sự, bí mật riêng tư Các thông tin quan trọng, việc để lộ thông tin cho đối thủ cạnh tranh dẫn đến hậu nghiêm trọng Tuy nhiên, muốn kẻ xấu thực mục đích Chúng cần phải có thời gian, sơ hở, yếu hệ thống bảo vệ an ninh mạng Và để thực điều đó, chúng phải có trí tuệ thông minh cộng với chuỗi dài kinh nghiệm Còn để xây dựng biện pháp đảm bảo an ninh, đòi hỏi người xây dựng Trang - - Tìm hiểu vấn đề bảo mật mạng LAN khơng trí tuệ kinh nghiệm thực tiễn Như thế, hai mặt tích cực tiêu cực thực bàn tay khối óc người, máy móc thay Vậy, vấn đề an ninh an tồn mạng máy tính hồn tồn mang tính người Ban đầu, trị phá hoại mang tính chất trị chơi người có trí tuệ khơng nhằm mục đích vụ lợi, xấu xa Tuy nhiên, mạng máy tính trở nên phổ dụng, có kết nối nhiều tổ chức, công ty, cá nhân với nhiều thơng tin bí mật, trị phá hoại lại không ngừng gia tăng Sự phá hoại gây nhiều hậu nghiêm trọng, trở thành loại tội phạm Theo số liệu thống kê CERT (Computer Emegency Response Team) số lượng vụ công Internet thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 2241 năm 1994 Những vụ công nhằm vào tất máy tính có mặt Internet, từ máy tính cơng ty lớn AT & T, IBM, trường đại học, quan nhà nước, nhà băng Những số đưa này, thực tế phần tảng băng Một phần lớn vụ công không thơng báo nhiều lý khác nhau, uy tín, đơn giản họ khơng biết bị cơng Thực tế, đe doạ an ninh khơng bên ngồi tổ chức, mà bên tổ chức vấn đề nghiêm trọng Đe doạ bên tổ chức xẩy lớn bên ngồi, ngun nhân nhân viên có quyền truy nhập hệ thống gây Vì họ có quyền truy nhập hệ thống nên họ tìm điểm yếu hệ thống, vơ tình họ phá hủy hay tạo hội cho kẻ khác xâm nhập hệ thống Và nguy hiểm hơn, họ kẻ bất mãn hay phản bội hậu khơng thể lường trước Tóm lại, vấn đề an ninh an tồn mạng máy tính hồn tồn vấn đề người khơng ngừng gia tăng, bị đe doạ từ bên bên tổ chức Vấn đề trở thành mối lo ngại lớn cho chủ thể tham gia vào mạng máy tính tồn cầu Và vậy, để đảm bảo việc trao đổi thơng tin an tồn an ninh cho mạng máy tính, buộc tổ chức phải triển khai biện pháp bảo vệ đảm bảo an ninh, mà trước hết cho 1.1.2 Các giải pháp đảm bảo an ninh Như ta thấy, an ninh an tồn mạng máy tính bị đe doạ từ nhiều góc độ nguyên nhân khác Đe doạ an ninh xuất phát từ bên mạng nội xuất phát từ bên tổ chức Do đó, Trang - - Tìm hiểu vấn đề bảo mật mạng LAN việc đảm bảo an ninh an tồn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác Tuy nhiên, tổng quan có ba giải pháp sau: Giải pháp phần cứng Giải pháp phần mềm Giải pháp người Đây ba giải pháp tổng quát mà nhà quản trị an ninh phải tính đến cơng tác đảm bảo an ninh an tồn mạng máy tính Mỗi giải pháp có ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp chọn lựa để tạo khả đảm bảo an ninh tối ưu cho tổ chức Giải pháp phần cứng giải pháp sử dụng thiết bị vật lý hệ thống máy chuyên dụng, thiết lập mơ hình mạng (thiết lập kênh truyền riêng, mạng riêng) Giải pháp phần cứng thơng thường kèm với hệ thống phần mềm điều khiển tương ứng Đây giải pháp khơng phổ biến, khơng linh hoạt việc đáp ứng với tiến dịch vụ xuất hiện, chi phí cao Khác với giải pháp phần cứng, giải pháp phần mềm đa dạng Giải pháp phần mềm phụ thuộc hay không phụ thuộc vào phần cứng Cụ thể giải pháp phần mềm như: phương pháp xác thực, phương pháp mã hoá, mạng riêng ảo, hệ thống tường lửa, Các phương pháp xác thực mã hoá đảm bảo cho thơng tin truyền mạng cách an tồn Vì với cách thức làm việc nó, thơng tin thật đường truyền mã hoá dạng mà kẻ “nhịm trộm” khơng thể thấy được, thơng tin bị sửa đổi nơi nhận có chế phát sửa đổi Cịn phương pháp sử dụng hệ thống tường lửa lại đảm bảo an ninh góc độ khác Bằng cách thiết lập luật điểm đặc biệt (thường gọi điểm nghẹt) hệ thống mạng bên (mạng cần bảo vệ) với hệ thống mạng bên (mạng coi khơng an tồn bảo mật - Internet), hệ thống tường lửa hoàn tồn kiểm sốt kết nối trao đổi thông tin hai mạng Với cách thức này, hệ thống tường lửa đảm bảo an ninh tốt cho hệ thống mạng cần bảo vệ Như thế, giải pháp phần mềm gần hoàn toàn gồm chương trình máy tính, chi phí cho giải pháp so với giải pháp phần cứng Bên cạnh hai giải pháp trên, giải pháp sách người giải pháp khơng thể thiếu Vì phần thấy, vấn đề an Trang - - Tìm hiểu vấn đề bảo mật mạng LAN ninh an tồn mạng máy tính hồn tồn vấn đề người, việc đưa hành lang pháp lý quy nguyên tắc làm việc cụ thể cần thiết Ở đây, hành lang pháp lý gồm: điều khoản luật nhà nước, văn luật, Còn quy định tổ chức đặt cho phù hợp với đặc điểm riêng Các quy định như: quy định nhân sự, việc sử dụng máy, sử dụng phần mềm, Và vậy, hiệu việc đảm bảo an ninh an tồn cho hệ thống mạng máy tính ta thực triệt để giải pháp sách người Tóm lại, vấn đề an ninh an tồn mạng máy tính vấn đề lớn, u cầu cần phải có giải pháp tổng thể, khơng phần mềm, phần cứng máy tính mà địi hỏi vấn đề sách người Và vấn đề cần phải thực cách thường xuyên liên tục, không triệt để ln nảy sinh theo thời gian Tuy nhiên, giải pháp tổng thể hợp lý, đặc biệt giải tốt vấn đề sách người ta tạo cho an toàn chắn 1.2 Vấn đề bảo mật hệ thống mạng 1.2.1 Các vấn dề chung bảo mật hệ thống mạng Đặc điểm chung hệ thống mạng có nhiều người sử dụng chung phân tán mặt địa lý nên việc bảo vệ tài nguyên (mất mát sử dụng không hợp lệ) phức tạp nhiều so với việc môi trường máy tính đơn lẻ, người sử dụng Hoạt động người quản trị hệ thống mạng phải đảm bảo thông tin mạng tin cậy sử dụng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị công kẻ phá hoại Nhưng thực tế khơng mạng đảm bảo an tồn tuyệt đối, hệ thống dù bảo vệ chắn đến mức có lúc bị vơ hiệu hóa kẻ có ý đồ xấu Trong nội dung đề tài em tìm hiểu phương pháp bảo mật cho mạng LAN Trong nội dung lý thuyết đề tài em xin trình bày số khái niệm sau: Trang - - Tìm hiểu vấn đề bảo mật mạng LAN 1.2.2 Một số khái niệm lịch sử bảo mật hệ thống a Đối tượng công mạng (intruder) Đối tượng cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (gồm phần cứng phần mềm) để dị tìm điểm yếu lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên trái phép Một số đối tượng công mạng như: Hacker: kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống Masquerader : Là kẻ giả mạo thông tin mạng giả mạo địa IP, tên miền, định danh người dùng… Eavesdropping: Là đối tượng nghe trộm thông tin mạng, sử dụng cơng cụ Sniffer, sau dùng cơng cụ phân tích debug để lấy thơng tin có giá trị Những đối tượng cơng mạng nhằm nhiều mục đích khác ăn cắp thơng tin có giá trị kinh tế, phá hoại hệ thống mạng có chủ định, hành động vơ ý thức… b Các lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép vào hệ thống để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Có nhiều nguyên nhân gây lỗ hổng bảo mật: lỗi thân hệ thống, phần mềm cung cấp người quản trị yếu không hiểu sâu dịch vụ cung cấp… Mức độ ảnh hưởng lỗ hổng tới hệ thống khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn hệ thống phá hủy hệ thống c Chính sách bảo mật Chính sách bảo mật tập hợp quy tắc áp dụng cho người tham gia quản trị mạng, có sử dụng tài nguyên dịch vụ mạng Trang - - Tìm hiểu vấn đề bảo mật mạng LAN Đối với trường hợp phải có sách bảo mật khác Chính sách bảo mật giúp người sử dụng biết trách nhiệm việc bảo vệ tài nguyên mạng, đồng thời giúp cho nhà quản trị mạng thiết lập biên pháp đảm bảo hữu hiệu q trình trang bị, cấu hình kiểm sốt hoạt động hệ thống mạng 1.2.3 Các loại lỗ hổng bảo mật phương thức công mạng chủ yếu a Các loại lỗ hổng Có nhiều tổ chức tiến hành phân loại dạng lỗ hổng đặc biệt Theo quốc phòng Mỹ loại lỗ hổng phân làm ba loại sau: ¾ Lỗ hổng loại C: Cho phép thực hình thức công theo DoS (Denial of Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng liệu đạt quyền truy cập bất hợp pháp DoS hình thức công sử dụng giao thức tầng Internet giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Các dịch vụ có lỗ hổng cho phép cơng DoS nâng cấp sửa chữa phiên nhà cung cấp dịch vụ Hiện chưa có biện pháp hữu hiệu để khắc phục tình trạng cơng kiểu thân thiết kế tầng Internet (IP) nói riêng giao thức TCP/IP nói chung ẩn chứa nguy tiềm tang lỗ hổng loại ¾ Lỗ hổng loại B : Cho phép người sử dụng có thêm quyền hệ thống mà khơng cần kiểm tra tính hợp lệ dẫn đến mát thông tin yêu cầu cần bảo mật Lỗ hổng thường có ứng dụng hệ thống Có mức độ nguy hiểm trung bình Lỗ hổng loại B có mức độ nguy hiểm lỗ hổng loại C Cho phép người sử dụng nội chiếm quyền cao truy nhập không hợp pháp.Những lỗ hổng loại thường xuất dịch vụ hệ thống Người sử dụng local hiểu người có quyền truy nhập vào hệ thống với số quyền hạn định Trang - - Một dạng khác lỗ hổng loại B xảy với chương trình viết mã nguồn C Những chương trình viết mã nguồn C thường sử dụng vùng đệm, vùng nhớ sử dụng để lưu trữ liệu trước xử lý Người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng không gian nhớ cho khối liệu Ví dụ viết chương trình nhập trường tên người sử dụng quy định trường dài 20 ký tự khai báo: Char first_name [20]; Khai báo cho phép người sử dụng nhập tối đa 20 ký tự Khi nhập liệu ban đầu liệu lưu vùng đệm Khi người sử dụng nhập nhiều 20 ký tự tràn vùng đệm Những ký tự nhập thừa nằm vùng đệm khiến ta khơng thể kiểm sốt Nhưng kẻ cơng chúng lợi dụng lỗ hổng để nhập vào ký tự đặc biệt để thực thi số lệnh đặc biệt hệ thống Thông thường lỗ hổng lợi dụng người sử dụng hệ thống để đạt quyền root không hợp lệ Để hạn chế lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống chương trình ¾ Lỗ hổng loại A: Cho phép người ngồi hệ thống truy cập bất hợp pháp vào hệ thống Có thể làm phá huỷ toàn hệ thống Loại lỗ hổng có mức độ nguy hiểm đe dọa tính tồn vẹn bảo mật hệ thống Các lỗ hổng thường xuất hệ thống quản trị yếu khơng kiểm sốt cấu hình mạng Ví dụ với web server chạy hệ điều hành Novell server có scripst convert.bas chạy scripst cho phép đọc toàn nội dung file hệ thống Những lỗ hổng loại nguy hiểm tồn sẵn có phần mềm sử dụng, người quản trị không hiểu sâu dịch vụ phần mềm sử dụng bỏ qua điểm yếu Vì thường xun phải kiểm tra thơng báo nhóm tin bảo mật mạng để phát lỗ hổng loại Một loạt chương trình phiên cũ thường sử dụng có lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger b Các hình thức cơng mạng phổ biến Scanner Scanner trương trình tự động rà soát phát điểm yếu bảo mật trạm làm việc cục trạm xa Một kẻ phá hoại sử $IPTABLES -N icmp_packets # # 4.1.3 Tạo nội dung chains người dùng định nghĩa # chain bad_tcp_packets $IPTABLES -A bad_tcp_packets -p tcp tcp-flags SYN,ACK SYN,ACK \ -m state state NEW -j REJECT reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! syn -m state state NEW -j LOG \ log-prefix "New not syn:" $IPTABLES -A bad_tcp_packets -p tcp ! syn -m state state NEW -j DROP # chain allowed # $IPTABLES -A allowed -p TCP syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP # # chain icmp_packets $IPTABLES -A icmp_packets -p ICMP -s 0/0 icmp-type -j ACCEPT $IPTABLES -A icmp_packets -p ICMP -s 0/0 icmp-type 11 -j ACCEPT # 4.1.4 INPUT chain # Các packet dị dạng không muốn $IPTABLES -A INPUT -p tcp -j bad_tcp_packets # Các packets từ Internet đến Firewall # $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets # Các packets từ LAN, DMZ LOCALHOST # Trang - 48 - # Từ giao diện DMZ đến firewall IP DMX $IPTABLES -A INPUT -p ALL -i $DMZ_IFACE -d $DMZ_IP -j ACCEPT # # Từ giao diện LAN đến firewall IP LAN $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT # # Từ giao diện Localhost đến IP Localhost $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT # Các nguyên tắc yêu cầu DHCP từ LAN $IPTABLES -A INPUT -p UDP -i $LAN_IFACE dport 67 sport 68 -j ACCEPT # tất packet thiết lập kết nối có quan hệ với kết nối thiết lập vào từ #Internet đến Firewall $IPTABLES -A INPUT -p ALL -d $INET_IP -m state state ESTABLISHED,RELATED \ -j ACCEPT # # Ghi lại packet không khớp với nguyên tắc $IPTABLES -A INPUT -m limit limit 3/minute limit-burst -j LOG \ log-level DEBUG log-prefix "IPT INPUT packet died: " # # 4.1.5 FORWARD chain # Các packet dị dạng không muốn $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets # # Phần DMZ # Các nguyên tắc chung Trang - 49 - $IPTABLES -A FORWARD -i $DMZ_IFACE -o $INET_IFACE -j ACCEPT $IPTABLES -A FORWARD -i $INET_IFACE -o $DMZ_IFACE -m state \ state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $LAN_IFACE -o $DMZ_IFACE -j ACCEPT $IPTABLES -A FORWARD -i $DMZ_IFACE -o $LAN_IFACE -m state \ state ESTABLISHED,RELATED -j ACCEPT # HTTP server # $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $DMZ_IFACE -d $DMZ_HTTP_IP \ dport 80 -j allowed $IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $DMZ_IFACE -d $DMZ_HTTP_IP \ -j icmp_packets # # DNS server $IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $DMZ_IFACE -d $DMZ_DNS_IP \ dport 53 -j allowed $IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $DMZ_IFACE -d $DMZ_DNS_IP \ dport 53 -j ACCEPT $IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $DMZ_IFACE -d $DMZ_DNS_IP \ -j icmp_packets # # Phần LAN $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT $IPTABLES -A FORWARD -m state state ESTABLISHED,RELATED -j ACCEPT Trang - 50 - # ghi lại packet không khớp với nguyên tắc $IPTABLES -A FORWARD -m limit limit 3/minute limit-burst -j LOG\ log-level DEBUG log-prefix "IPT FORWARD packet died: " # # 4.1.6 OUTPUT chain # Các packet dị dạng không muốn $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets # # Các nguyên tắc cho phép packet $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT # ghi lại packet không khớp với nguyên tắc $IPTABLES -A OUTPUT -m limit limit 3/minute limit-burst -j LOG\ log-level DEBUG log-prefix "IPT OUTPUT packet died: " # 4.2 nat table # 4.2.4 PREROUTING chain $IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $HTTP_IP -dport 80 \ -j DNAT to-destination $DMZ_HTTP_IP $IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $DNS_IP -dport 53 \ -j DNAT to-destination $DMZ_DNS_IP $IPTABLES -t nat -A PREROUTING -p UDP -i $INET_IFACE -d $DNS_IP -dport 53 \ -j DNAT to-destination $DMZ_DNS_IP # 4.2.5 POSTROUTING chain # Nguyên tắc cho phép máy mạng nội truy cập Internet # Trang - 51 - $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT to-source $INET_IP 4.3 Cấu hình cho máy nội truy cập mạng bên Bên cạnh việc đặt địa IP thích hợp cho máy nội bên Firewall (gán địa IP tĩnh động), đặt địa IP Gateway thích hợp Server Linux Firewall, địa DNS Server Cấu hình Microsoft Windows 2000 sau cài card mạng thích hợp vào máy tính Thực cấu IP NAT 4.4 Kiểm tra Firewall Bước 1: kiểm tra kết nối cục máy nội -client# ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10): 56 data bytes 64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms - 192.168.0.10 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 2: Kiểm tra kết nối máy nội đến server Firewall client# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms Trang - 52 - 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 3: Kiểm tra kết nối cục Server Firewall với LAN firewall-server# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 4: Kiểm tra kết nối cục Server Firewall với DMZ firewall-server# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1): 56 data bytes 64 bytes from 192.168.1.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.1.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.1.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.1.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.1.1 ping statistics - Trang - 53 - packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 5: Kiểm tra kết nối với Server Firewall đến máy cục firewall-server# ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10): 56 data bytes 64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.10 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 6: Kiểm tra kết nối giao diện với bên Server Firewall firewall-server# ping 194.236.50.152 PING 194.236.50.152(194.236.50.152): 56 data bytes 64 bytes from 194.236.50.152: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 194.236.50.152: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 194.236.50.152: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 194.236.50.152: icmp_seq=3 ttl=255 time=0.5 ms ^C - 194.236.50.152 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Trang - 54 - Bước 7: Kiểm tra kết nối từ máy nội đến giao diện bên Server Firewall client# ping 194.236.50.152 PING 194.236.50.152(194.236.50.152): 56 data bytes 64 bytes from 194.236.50.152: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 194.236.50.152: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 194.236.50.152: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 194.236.50.152: icmp_seq=3 ttl=255 time=0.5 ms ^C - 194.236.50.152 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms 4.5 Xây dựng phần mềm quản trị Firewall IPTables từ xa 4.5.1 Mơ tả tốn Cơng cụ Firewall IP-Tables chạy hệ điều hành Linux phiên Redhat cơng cụ mạnh Người quản trị sử dụng công cụ để đảm bảo an ninh mạng máy tính hiệu Nhưng muốn sử dụng cơng cụ cách hiệu đòi hỏi người quản trị phải hiểu biết sâu sắc kiến thức mạng máy tính nhớ chắn số lượng lớn tham số phức tạp Chính điều gây nên khó khăn cho người quản trị Vì lí nêu mà tơi xây dựng phần mềm trợ giúp việc quản trị firewall từ xa Phần mềm xây dựng ngôn ngữ PHP chạy Webserver Apache nên máy tính mạng ta truy xuất đến phần mềm cấu hình hệ thống firewall Ngồi để giải vấn đề người sử dụng phải nhớ nhiều tham số phức tạp chương trình có sẵn tập luật luật có thích mơ tả rõ ràng cơng dụng Trang - 55 - 4.5.2 Một số giao diện chương trình Như phần nêu, để sử dụng cơng cụ firewall iptables người sử dụng cần phải có kiến thức sâu sắc mạng giao thức, địa IP, cổng dịch vụ nhiều tham số tường lửa iptables Với mục đích giúp dễ dàng cho việc cấu hình firewall nhờ iptables phần mềm quản lí IP-Tables xây dựng tảng ngôn ngữ PHP Phần mềm với nhiều tính trội cho phép người dùng cấu hình tường lửa từ xa, cho phép lưu trữ cấu hình cũ cập nhật lại, người dùng dễ dàng thêm/xóa/sửa/ di chuyển câu lệnh Khả cấu hình firewall từ xa: Vì chương trình xây dựng sở trang web nên thời điểm cần người sử dụng có trình duyệt kết nối đến máy tính cần cấu hình firewall Trang chủ Hình 11: Giao diện chương trình Trang - 56 - Một số tùy chọn Hình 12: Giao diện chương trình với số tùy chọn Hình 13: Giao diện thiết lập xong tùy chọn thực thi chương trình Trang - 57 - Sau lựa chọn tùy chọn Kết trả lại file dạng text tập luật IPtables Hình 14: Kết chương trình trả tập luật IPtables 4.5.3 Đánh giá phần mềm Ưu điểm phần mềm - Thiết kế dạng website nên máy tính mạng thực cơng việc cấu hình iptables - Giúp người dùng không cần kiến thức sâu sắc tham số iptables cấu hình firewall nhờ việc tạo sẵn luật - Việc tái sử dụng, chỉnh sửa với luật, câu lệnh iptables dễ dàng - Chương trình thiết kế dạng mã nguồn mở nên người dùng tự thay đổi theo yêu cầu Nhược điểm phần mềm - Hiện hỗ trỗ ngôn ngữ - Cài đặt cịn khó khăn phải cài nhiều phần mềm hỗ trợ HTTP Server, Crond tab - Mọi người dùng có quyền Trang - 58 - Sự phát triển tương lai - Một website thiết kế với mục đích giới thiệu cơng bố phiên phần mềm - Phiên cung cấp khả cập nhật luật Và file luật cung cấp website - Mỗi người dùng cấp quyền sử dụng luật khác tập luật Yêu cầu cấu hình phần mềm - Hệ điều hành Linux (Redhat 9.0) - WebServer (Apache Server 2.0 ) - Iptables firewall 1.2.9 - PHP 4.03 (hoặc hơn) Trang - 59 - KẾT LUẬN Đề tài Firewall mối quan tâm hàng đầu nhà quản trị mạng nói riêng nhà tin học nói chung Để xây dựng mạng riêng mà tránh khỏi cơng khơng thể, xây dựng mạng có tính an tồn cao theo yêu cầu cụ thể Để xây dựng mạng vậy, người quản trị mạng phải nắm rõ kiến thức Firewall Đề tài trình bày chi tiết Firewall, vấn đề liên quan đến bảo vệ thông tin cho mạng nội Đề tài thiết lập mơ hình Firewall bảo vệ mạng nội IPTABLES hệ điều hành LINUX Với hệ thống Firewall sử dụng Iptables Linux đạt ổn định cao hệ điều hành Linux Iptables với nhiều chức đáp ứng cho nhu cầu đơn vị có nhu cầu xây dựng hệ thống Firewall có mạng nội kết nối Internet Hệ thống Firewall mang tính ứng dụng thực tế cao vì: Phần cứng sử dụng cho hệ thống khơng cần có cấu hình mạnh Tất phần mềm sử dụng cho hệ thống phần mềm mã nguồn mở Tài liệu hỗ trợ cho phần mềm có đầy đủ Internet miễn phí Trên Internet có nhiều diễn đàn chủ đề Hệ thống thiết kế mềm dẻo tuỳ vào sách an tồn đơn vị Sử dụng hệ điều hành có độ ổn định cao bảo mật tốt Trang - 60 - TÀI LIỆU THAM KHẢO [1] Nguyễn Hồng Sơn - Giáo trình Hệ thống mạng CCNA – NXB Giáo dục năm 2001 [2] Nguyễn Thanh Thuy, Nguyễn Quang Huy, Nguyễn Hữu Đức, Đinh Lan Anh - Nhập môn hệ điều hành Linux – NXB Khoa học kỹ thuật – 2000 [3] Dave Hucaby – Cisco ASA and PIX Firewall Handbook- Cisco Press – năm 2005 [4] Michael Hasenstein – IP Network Address Translation - 1997 [5] Elizabeth, D Ziwicky, Simon Cooper & D Brent Chapman - Building Internet Firewall [6] Website: http://www.Proxyfree.com [7] http://www.pscs.co.uk [8] http://www.Quantrimang.com.vn [9] http://www.Unix.org.ua/orelly/networking/firewall [10] http://www.Iptables.org ... tổ chức phải hịa vào mạng toàn cầu, mạng Internet song phải đảm bảo an tồn thơng tin q trình kết nối Bởi vậy, em định chọn đề tài: ? ?Nghiên cứu giải pháp bảo vệ mạng nội bộ? ??, nhằm điều khiển luồng... thông tin ra, vào bảo vệ mạng nội Trang - - Tìm hiểu vấn đề bảo mật mạng LAN khỏi công từ Internet Nội dung đề tài trình bày cách khái quát khái niệm mạng Firewall, cách bảo vệ mạng Firewall, cách... lập Firewall bảo vệ mạng nội Nội dung đề tài gồm chương sau: Chương 1: Vấn đề an ninh mạng máy tính Trình bày tổng quan vấn đề an ninh mạng máy tính, nguy vấn đề bảo mật hệ thống mạng Chương 2:
