Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 1 | P a g e Lời nói đầu Sự phát minh ra máy vi tính và sự hình thành của Mạng lưới Thông Tin Toàn Cầu (Internet) đã mở ra một kỷ nguyên mới cho việc thông tin liên lạc. Từ một máy vi tính nối vào Mạng lưới Thông Tin Toàn Cầu (WWW) người sử dụng có thể gửi và nhận tin tức từ khắp nơi trên thế giới với khối lượng tin tức khổng lồ và thời gian tối thiểu thông qua một số dịch vụ sẵn có trên Internet. Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức, các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lí sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng. Từ đây nảy sinh ra một yêu cầu đ là cần c một giải pháp hoc một hệ thống an ninh bảo vệ cho hệ thống mạng và luồng thông tin chạy trên n. Một trong các giải pháp chính và tốt nhất hiện nay là đưa ra khái niệm Firewall và xây dựng n để giải quyết những vấn đề này. Thuật ngữ “Firewall” c nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chn và hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. C hai loại kiến trc FireWall cơ bản là: Proxy/Application FireWall và Filtering Gateway Firewall. Hầu hết các hệ thống Firewall hiện đại là loại lai (hybrid) của cả hai loại trên. Nhiều công ty và nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux như một Internet Gateway. Những máy chủ này thường phục vụ như máy chủ Mail, Web, Ftp, hay Dialup. Hơn nữa, chng cũng thường hoạt động như các Firewall, thi hành các chính sách kiểm soát giữa Internet và mạng của công ty. Khả năng uyển chuyển, tính kinh tế, và sự bảo mật cao khiến cho Linux thu ht như là một thay thế cho những hệ điều hành thương mại. Tính năng Firewall chuẩn được cung cấp sẵn trong Kernel của Linux được xây dựng từ hai thành phần : Ipchains và IP Masquerading. Linux IP Firewalling Chains là một cơ chế lọc gói tin IP. Những tính năng của IP Chains cho phép cấu hình máy chủ Linux như một Filtering Gateway/Firewall dễ dàng. Một thành phần quan trọng khác của nó trong Kernel là IP Masquerading, một tính năng chuyển đổi địa chỉ mạng (Network Address Translation- NAT) mà có thể che giấu các địa chỉ IP thực của mạng bên trong. Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 2 | P a g e Ngoài ra trong Kernel của Linux 2.4x và 2.6x cũng c một Firewall ứng dụng lọc gi tin c thể cấu hnh ở mức độ cao Netfilter/Iptables. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. Netfilter cho php cài đt, duy tr và kiểm tra các quy tắc lọc gi tin trong Kernerl. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc nhanh và không làm giảm tốc độ của hệ thống. Được thiết kế để thay thế cho linux 2.2.x Ipchains và linux 2.0.x Ipfwadm, có nhiều đc tính hơn Ipchains và được xây dựng hợp lý hơn. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfilter xử lí. Chương trnh Iptables được dùng để quản lý các quy tắc lọc gi tin bên dưới cơ sở hạ tầng của Netfilter. Các ứng dụng của Iptables đ là làm IP Masquerading, IP NAT và IP Firewall. Luận văn của em được viết ra nhằm đem đến cho mọi người cái nhn r nt về FireWall và đc biệt là FireWall Iptables của Linux. Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 3 | P a g e Mục lục Lời nói đầu 1 CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG 6 I.1 An toàn mạng là gì ? 6 I.2 Các tiêu chí bảo vệ thông tin trên mạng 7 I.2.1. Tính xác thực (Authentification): 7 I.2.2. Tính khả dụng (Availability): 7 I.2.3. Tính bảo mật (Confidentiality): 7 I.2.4. Tính toàn vẹn (Integrity): 8 I.2.5. Tính kiểm soát truy nhập (Access control): 8 I.2.6. Tính không thể chối bỏ (Nonrepudiation): 8 I.3 Đánh giá về sự đe doạ, các điểm yếu của hệ thống và các kiểu tấn công. 8 I.3.1 Đánh giá về sự đe doạ 8 I.3.2 Các lỗ hổng và điểm yếu của mạng 9 I.3.3 Các kiểu tấn công 10 I.3.4 Các biện pháp phát hiện hệ thống bị tấn công 11 I.4 Bảo vệ thông tin trên mạng 11 CHƯƠNG II:TỔNG QUAN FIREWALL 14 II.1. Một số khái niệm 14 II.2.Chức năng 14 II.2.1. Khả năng của hệ thống firewall 15 II.2.2. Những hạn chế của firewall 16 II.2.3. Một số mô hình Firewall dùng cho doanh nghiệp vừa và……………………… 17 II.3. Phân loại bức tường lửa (Firewall) 18 II.3.1. Firewall lọc gói 19 II.3.2. Bức tường lửa ứng dụng(Application firewall) 21 II.3.3. Bức tường lửa nhiều tầng 25 II.4. Một vài kiến trúc firelwall 25 II.4.1 Screening Router 25 II.4.2 Dual-Homed Host 26 II.4.3. Bastion Host (máy chủ pháo đài) 27 II.4.4. Screened host (máy chủ sang lọc) 28 II.4.5. Mô hình Demilitarized Zone (DMZ) hay Screened Subnet Firewall 29 Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 4 | P a g e CHƯƠNG III: NETFILTER/IPTABLES TRONG LINUX 32 III.1 Giới thiệu 32 III.2 Tính năng của Iptables……………………………………………………… 35 III.3 Cấu trúc của Iptables 36 III.4 Quá trình chuyển gói dữ liệu qua tường lửa 37 III.4.1 Xử lý gói trong Iptables 37 III.4.2 Target và Jumps 41 CHƯƠNG IV : ỨNG DỤNG FIREWALL 43 IV.1 Sử dụng Iptables 43 IV.1.1 Cài đặt Iptables – File cấu hình 43 IV.1.2 Cài đặt Iptables trong Kernel………………………………………………… 42 IV.1.3 Các thao tác trong toàn bộ chuỗi luật 47 IV.1.4 Luật đơn 48 IV.1.5 Mô tả bộ lọc 48 IV.1.6 Mô tả hành động 51 IV.2 Các ứng dụng 53 I V.2.1 Một số giá trị khởi tạo của Iptables ………………………………… ……… 53 IV.2.2 Cho phép máy chủ DNS truy cập đến Firewall.…………………………… 54 IV.2.3 Cho phép WWW và SSH truy cập vào Firewall……………….…………… 54 IV.2.4 Cho phép Firewall truy cập Internet………………………………………… 55 IV.2.5 File cấu hình cho IP Masquerading………………………………………… 55 IV.2.6 NAT tĩnh (SNAT)…………………………………………………… … … 56 IV.3 Mô hình lab triển khai……………………………………………………… 58 KẾT LUẬN ……………………………………………….………………….…62 CÁC TỪ VIẾT TẮT - THUẬT NGỮ - ĐỊNH NGHĨA - CÂU LỆNH 63 TÀI LIỆU THAM KHẢO.…………………………………………………… 68 Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 5 | P a g e CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG I.1 An toàn mạng là gì ? Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đc điểm nhiều người sử dụng lại phân tán về mt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách. An toàn mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm : dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng. An toàn mạng bao gồm : Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. Đánh giá nguy cơ tấn công của các Hacker đến mạng, sự phát tán virus…Phải nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng. Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, các lỗ hỏng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trc. Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy cơ xoá, phá hoại CSDL, ăn cắp mật khẩu,…nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể c được những biện pháp tốt nhất để đảm bảo an ninh mạng. Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và những biện pháp, chính sách cụ thể cht chẽ. Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủ động. Thụ động và chủ động được hiểu theo nghĩa c can thiệp vào nội dung và luồng thông tin có bị trao đổi hay không. Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin. Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các hành động vi phạm thụ động thường khó có thể phát hiện nhưng c thể ngăn chn hiệu quả. Trái lại, vi phạm chủ động rất dễ phát hiện nhưng lại kh ngăn chn. Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 6 | P a g e I.2 Các tiêu chí bảo vệ thông tin trên mạng I.2.1. Tính xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp trên mạng. Một thực thể có thể là một người sử dụng, một chương trnh máy tính, hoc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đ thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau :  Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như password, hoc mã số thông số cá nhân PIN.  Kiểm tra dựa vào mô hình những thông tin đã c, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoc số thẻ tín dụng.  Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví dụ như thông qua giọng nói, dấu vân tay, chữ ký,… Có thể phân loại bảo mật trên VPN theo các cách sau : mật khẩu truyền thống hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, ) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc…). I.2.2. Tính khả dụng (Availability): Tính khả dụng là đc tính mà thông tin trên mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ khi nào, trong hoàn cảnh nào. Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử dụng bnh thường với thời gian quá trình hoạt động để đánh giá. Tính khả dụng cần đáp ứng những yêu cầu sau : Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức ), khống chế lưu lượng (chống tắc nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng). Ví dụ như trong 1 hệ thống công ty phải luôn sẵn sàng đáp ứng truy vấn của nhân viên (user) trong thời gian nhanh nhất có thể, phải đảm bảo rằng bất kì nhân viên (user) nào cũng được đáp ứng trong thời gian ngắn nhất có thể. I.2.3. Tính bảo mật (Confidentiality): Tính bảo mật là đc tính tin tức không bị tiết lộ cho các thực thể hay quá trnh không đuợc uỷ quyền biết hoc không để cho các đối tượng xấu lợi dụng. Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 7 | P a g e thuật bảo mật thường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng cường bảo mật thông tin (dưới sự khống chế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết lộ). Dữ liệu trên hệ thống phải được bảo mật tuyệt đối bằng nhiều phương pháp mã ha như Ipsec hoc các tool mã hóa dữ liệu. I.2.4. Tính toàn vẹn (Integrity): Là đc tính khi thông tin trên mạng chưa được uỷ quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang lưu giữ hoc trong quá trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm dối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoc cố ý và những sự phá hoại khác. Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm : sự cố thiết bị, sai mã, bị tác động của con người, virus máy tính Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng : - Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép,. Nếu phát hiện th thông tin đ sẽ bị vô hiệu hoá. - Phương pháp phát hiện sai và sửa sai. Phương pháp sửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn lẻ. - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin. - Chữ ký điện tử : bảo đảm tính xác thực của thông tin. - Yêu cầu cơ quan quản lý hoc trung gian chứng minh chân thực của thông tin. I.2.5. Tính kiểm soát truy nhập (Access control): Là khả năng hạn chế và kiểm soát truy nhập đến các hệ thống máy tính và các ứng dụng theo các đường truyền thông. Mỗi thực thể muốn truy nhập đều phải định danh hay xác nhận có quyền truy nhập phù hợp. Trong hệ thống thông thường bây giờ đều lắp đt isa để kiểm soát truy nhập và khả năng chạy các ứng dụng. Ở phân quyền người sử dụng thông thường (user) thì ko thể chạy những file cài đt, thay đổi địa chỉ IP hay truy cập đến những file không cho phép trên fileserver, những việc này chỉ có quyền quản trị mới làm được. I.2.6. Tính không thể chối bỏ (Nonrepudiation): xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia không thể chối bỏ hoc phủ nhận những thao tác và cam kết đã được thực hiện. Hệ thống phải có biện pháp giám sát, đảm bảo một đối tượng khi tham gia trao đổi thông tin thì không thể từ chối, phủ nhận việc mnh đã phát hành hay sửa đổi thông tin. I.3 Đánh giá về sự đe doạ, các điểm yếu của hệ thống và các kiểu tấn công. Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 8 | P a g e I.3.1 Đánh giá về sự đe doạ Về cơ bản có 4 mối đe doạ đến vấn đề bảo mật mạng như sau : - Đe doạ không có cấu trúc (Unstructured threats) - Đe doạ có cấu trúc (Structured threats) - Đe doạ từ bên ngoài (External threats) - Đe doạ từ bên trong (Internal threats) I.3.2 Các lỗ hổng và điểm yếu của mạng Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoc cho phép các truy nhập không hợp lệ vào hệ thống. Các lỗ hổng có thể nằm ngay các dịch vụ như sendmail, Web, Ftp và ngay chính tại hệ điều hành như trong WindowsNT, Windows server, Unix hoc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như word processing, các hệ databases… Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đc biệt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau: Lỗ hổng loại C: Cho phép thực hiện các phương thức tấn công theo kiểu từ chối dịch vụ DoS (Denial of Services). Mức độ nguy hiểm thấp, chỉ ảnh hưởng chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng dữ liệu hoc chiếm quyền truy nhập. Lỗ hổng loại B: Cho php người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình, những lỗ hổng loại này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến lộ thông tin yêu cầu bảo mật. Lỗ hổng loại A: Cho php người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng loại này rất nguy hiểm, có thể làm phá huỷ toàn bộ hệ thống. Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 9 | P a g e Hình 1-1: Các loại lỗ hổng bảo mật và mức độ nguy hiểm I.3.3 Các kiểu tấn công Tấn công trực tiếp Những cuộc tấn công trực tiếp thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đc biệt nào để bắt đầu. Kẻ tấn công c thể dựa vào những thông tin mà chng biết như tên người dùng, ngày sinh, địa chỉ, số nhà v.v để đoán mật khẩu dựa trên một chương trnh tự động hoá về việc dò tm mật khẩu. Trong một số trường hợp, khả năng thành công của phương pháp này c thể lên tới 30%. Phương pháp sử dụng các lỗi của chương trnh ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập.Trong một số trường hợp phương pháp này cho php kẻ tấn công c được quyền của người quản trị hệ thống. Nghe trộm Việc nghe trộm thông tin trên mạng c thể đem lại những thông tin c ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trnh cho php. Những thông tin này cũng c thể dễ dàng lấy được trên Internet. Giả mạo địa chỉ Việc giả mạo địa chỉ IP c thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này, kẻ tấn công gửi các gi tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ r đường dẫn mà các gi tin IP phải gửi đi. Vô hiệu các chức năng của hệ thống Đây là kểu tấn công nhằm tê liệt hệ thống, không cho n thực hiện chức năng mà n thiết kế. Kiểu tấn công này không thể ngăn chn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Lỗi của người quản trị hệ thống Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho php kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 10 | P a g e Tấn công vào yếu tố con người Kẻ tấn công c thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mnh đối với hệ thống, hoc thậm chí thay đổi một số cấu hnh của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào c thể ngăn chn một cách hữu hiệu, và chỉ c một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Ni chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ c sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng c thể nâng cao được độ an toàn của hệ thống bảo vệ. I.3.4 Các biện pháp phát hiện hệ thống bị tấn công Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều có những lỗ hổng bảo mật tiềm tàng. Người quản trị hệ thống không những nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay không. Một số biện pháp cụ thể : 1. Kiểm tra các dấu hiệu hệ thống bị tấn công : Hệ thống thường bị treo bằng những thông báo lỗi không r ràng. Kh xác định nguyên nhân do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu không phải hãy nghĩ đến khả năng máy tính bị tấn công. 2. Kiểm tra các tài khoản người dùng mới lạ, nhất là với các tài khoản có ID bằng không. 3. Kiểm tra sự xuất hiện của các tập tin lạ. Người quản trị hệ thống nên có thói quen đt tên tập theo mẫu nhất định để dễ dàng phát hiện tập tin lạ. 4. Kiểm tra thời gian thay đổi trên hệ thống. 5. Kiểm tra hiệu năng của hệ thống : Sử dụng các tiện ích theo dõi tài nguyên và các tiến trnh đang hoạt động trên hệ thống. 6. Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp. 7. Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoản này bị truy nhập trái php và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát được. 8. Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần thiết. 9. Kiểm tra các phiên bản của sendmaill, /bin/mail, ftp, tham gia các nhóm tin về bảo mật để có thông tin về lỗ hỏng của dịch vụ sử dụng. Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống. [...]... TH1204 26 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES Pháo đài Host Internet Touter ngoài Mạng trung gian Router trong Firewall Mạng nội bộ Hỡnh 2-13: Kin truc Bastion Host II.4.4 Screened host (mỏy ch sng lc) - C server v router u l thnh phn ca bc tng la - V cu truc thi mỏy ch sng lc co mt router v mt mỏy ch lc thụng tin - Chc nng an ninh c bn l do b lc - Mỏy ch ni... TH1204 30 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES CHNG III: NETFILTER/IPTABLES TRONG LINUX III.1 Gii thiu Trong mụi trng Linux, phn mm Firewall ph bin nht l Iptables, thụng qua nú chỳng ta cú th d dng hiu c nguyờn lý hot ng ca mt h thng Firewall núi chung Iptables do Netfilter Organization vit ra tng tớnh nng bo mt trờn h thng Linux Iptables cung cp cỏc tớnh nng... phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES Firewall l vn khụng kh thi, vi co quỏ nhiu loi virus v co quỏ nhiu cỏch virus n trong d liu Tuy nhiờn Firewall vn l gii phỏp hu hiu nht c ỏp dng rng rói II.2.3 Mt s mụ hỡnh Firewall dựng cho doanh nghip va v nh Vi cỏc doanh nghip nh vic trang b mt mng tỏc nghip va phi m bo an ninh an ton, va phi phự hp chi phớ, v d trin khai v bo tri l iu... ca mng, chy VPN h tr kt ni xa bo mt vi cỏc cu hinh c bn sau: Hỡnh 2-3: Firewall trong mụ hỡnh mng cho doanh nghip c nh Vi cỏc doanh nghip va thi s trờn phự hp cho cỏc chi nhỏnh ca h Nguyn Mnh Trung - TH1204 16 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES Cũn ti trung tõm mng cú th thc hin s an ninh nhiu tng nh: Mỏy ch web Mỏy ch y quyn E-commerce server Mng cụng cng... Fwbuilder (Firewall Builder) dựng cu hỡnh danh sỏch truy cp router Fwbuilder l giao din ha nhm h tr qun lý v cu hinh cỏc tng la din rng nh Linux Iptables, BSD pf, Cisco ASA/PIX Hỡnh 3-2: Giao din Firewall Builder Cú rt nhiu cụng c dng Firewall nhng trong bi ny chỳng ta s i sõu nghiờn cu v Iptables III.2 Tớnh nng ca Iptables Nguyn Mnh Trung - TH1204 33 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall. .. firewall + Mt Firewall l mt trung tõm quyt nh nhng vn an ton: Firewall ong vai trũ l mt cht chn, mi dũng thụng tin i vo hay i ra mt mng ni b u phi qua no theo cỏc chớnh sỏch an ton ó c ci t Tp trung kim soỏt cht ch cỏc dũng thụng tin o co li hn l phõn tỏn trờn din rng + Mt firewall lm cho chớnh sỏch an ton tr nờn hiu qu thc s: Nhiu dch v m ngi s dng dch v mong mun vn co nhng ch khụng an ton Firewall ch... trờn cỏc mỏy ch ni b - Khi mỏy ch co l hng an ninh thi thi mng n b r b tn cụng - Nu trng hp router b ỏnh thng thi server nm ngay trong mng ni b b tn thng v chớnh vi vy mng ni b b nh hng Internet Firewall Router sàng lọc Mạng nội bộ Pháo đài Host Hỡnh 2-14: Kin truc Screened host Nguyn Mnh Trung - TH1204 27 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES II.4.5 Mụ hỡnh... ni b FIREWALL c chia lm hai loi l Firewall ng dng v Firewall mc mng Firewall mc ng dng kim tra cỏc lu thụng chi tit hn Firewall mc mng v duy trỡ nhiu mụ hỡnh bo mt hn Firewall mc mng nhng li thiu tớnh trong sut v khú hiu Cú rt nhiu mụ hỡnh kin truc Firewall khỏc nhau m ngi thit k mng nờn ỏp dng cỏc mụ hinh o nh th no i vi nhng bi toỏn c th c t ra cho nhng yờu cu khỏc nhau v tớnh bo mt ca c quan Nhng... Router Mỏy qun tr Mng trong Mng chi nhỏnh Mng phũng kinh doanh Router on mng bo v 2 tng m bo anh ninh chiu sõu Mỏy ch chy dch v Mỏy ch mail Database server Tng la bờn trong IDS,IPS VPN server Anti virus server Mỏy ch web Mỏy ch chy dch v Giỏm sỏt mng Hỡnh 2-4: Firewall trờn mụ hỡnh mng cho doanh nghip c va II.3 Phõn loi bc tng la (Firewall) Firewall bao gm cỏc loi sau : Bc tng la lc goi tin (packet-filtering... g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES u tỏc ng xung Netfilter trong Kernel Tuy nhiờn Shorewall cú 1 s hn ch so vi Iptables (Iptables h tr String, lc ICMP vo,loi b quột cng TCP v UDP, phỏt hin quột cng bng Nmap) Ipcop thỡ l 1 phn c ct ra t Linux v cú kh nng hot ng nh 1 Firewall, v nú ch cú kh nng hot ng nh 1 Firewall No co nhng tớnh nng cao cp ca Firewall, bao gm VPNs . Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 5 | P a g e CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG I.1 An toàn mạng. Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 3 | P a g e Mục lục Lời nói đầu 1 CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG. Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Nguyễn Mạnh Trung - TH1204 13 | P a g e CHƯƠNG II:TỔNG QUAN FIREWALL II.1. Một số khái niệm -Nguồn gốc từ một