Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Lời nói đầu Sự phát minh máy vi tính hình thành Mạng lưới Thông Tin Toàn Cầu (Internet) mở kỷ nguyên cho việc thông tin liên lạc Từ máy vi tính nối vào Mạng lưới Thông Tin Toàn Cầu (WWW) người sử dụng gửi nhận tin tức từ khắp nơi giới với khối lượng tin tức khổng lồ thời gian tối thiểu thông qua số dịch vụ sẵn có Internet Ngày nay, máy tính internet phổ biến rộng rãi, tổ chức, nhân có nhu cầu sử dụng máy tính mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính không quản lí dễ dàng bị công, gây hậu nghiêm trọng Từ nảy sinh yêu cầu cần có giải pháp hoặc hệ thống an ninh bảo vệ cho hệ thống mạng luồng thông tin chạy Một giải pháp tốt đưa khái niệm Firewall xây dựng để giải vấn đề Thuật ngữ “Firewall” có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn hạn chế hoả hoạn Trong Công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống số thông tin khác không mong muốn Có hai loại kiến trúc FireWall là: Proxy/Application FireWall Filtering Gateway Firewall Hầu hết hệ thống Firewall đại loại lai (hybrid) hai loại Nhiều công ty nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux Internet Gateway Những máy chủ thường phục vụ máy chủ Mail, Web, Ftp, hay Dialup Hơn nữa, chúng thường hoạt động Firewall, thi hành sách Nguyễn Mạnh Trung - TH1204 1|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES kiểm soát Internet mạng công ty Khả uyển chuyển, tính kinh tế, bảo mật cao khiến cho Linux thu hút thay cho hệ điều hành thương mại Tính Firewall chuẩn cung cấp sẵn Kernel Linux xây dựng từ hai thành phần : Ipchains IP Masquerading Linux IP Firewalling Chains chế lọc gói tin IP Những tính IP Chains cho phép cấu hình máy chủ Linux Filtering Gateway/Firewall dễ dàng Một thành phần quan trọng khác Kernel IP Masquerading, tính chuyển đổi địa mạng (Network Address Translation- NAT) mà che giấu địa IP thực mạng bên Ngoài Kernel Linux 2.4x 2.6x có Firewall ứng dụng lọc gói tin cấu hình mức độ cao Netfilter/Iptables Netfilter/Iptables gồm phần Netfilter nhân Linux Iptables nằm nhân Netfilter cho phép cài đặt, trì kiểm tra quy tắc lọc gói tin Kernerl Netfilter tiến hành lọc gói liệu mức IP Netfilter làm việc nhanh không làm giảm tốc độ hệ thống Được thiết kế để thay cho linux 2.2.x Ipchains linux 2.0.x Ipfwadm, có nhiều đặc tính Ipchains xây dựng hợp lý Iptables chịu trách nhiệm giao tiếp người dùng Netfilter để đẩy luật người dùng vào cho Netfilter xử lí Chương trình Iptables dùng để quản lý quy tắc lọc gói tin bên sở hạ tầng Netfilter Các ứng dụng Iptables làm IP Masquerading, IP NAT IP Firewall Luận văn em viết nhằm đem đến cho người nhìn rõ nét FireWall đặc biệt FireWall Iptables Linux Nguyễn Mạnh Trung - TH1204 2|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Mục lục CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG Nguyễn Mạnh Trung - TH1204 3|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES An toàn mạng ? Mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác sử dụng chung tài nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tài nguyên thông tin mạng tránh mát, xâm phạm cần thiết cấp bách An toàn mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm : liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng An toàn mạng bao gồm : Xác định sách, khả nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an toàn mạng Đánh giá nguy công Hacker đến mạng, phát tán virus…Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng Một thách thức an toàn mạng xác định xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hỏng khiến mạng bị xâm phạm thông qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, bọ gián điệp, nguy xoá, phá hoại CSDL, ăn cắp mật khẩu,…nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Khi đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt để đảm bảo an ninh mạng Sử dụng hiệu công cụ bảo mật (ví dụ Firewall) biện pháp, sách cụ thể chặt chẽ Về chất phân loại vi phạm thành vi phạm thụ động vi phạm chủ động Thụ động chủ động hiểu theo Nguyễn Mạnh Trung - TH1204 4|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES nghĩa có can thiệp vào nội dung luồng thông tin có bị trao đổi hay không Vi phạm thụ động nhằm mục đích nắm bắt thông tin Vi phạm chủ động thực biến đổi, xoá bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường khó phát ngăn chặn hiệu Trái lại, vi phạm chủ động dễ phát lại khó ngăn chặn • • • Các tiêu chí bảo vệ thông tin mạng I.2.1 Tính xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể người sử dụng, chương trình máy tính, hoặc thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống thông thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phương thức bảo mật dựa vào mô hình sau : Đối tượng cần kiểm tra cần phải cung cấp thông tin trước, ví dụ password, hoặc mã số thông số cá nhân PIN Kiểm tra dựa vào mô hình thông tin có, đối tượng kiểm tra cần phải thể thông tin mà chúng sở hữu, ví dụ Private Key, hoặc số thẻ tín dụng Kiểm tra dựa vào mô hình thông tin xác định tính nhất, đối tượng kiểm tra cần phải có thông tin để định danh tính mình, ví dụ thông qua giọng nói, dấu vân tay, chữ ký,… Có thể phân loại bảo mật VPN theo cách sau : mật truyền thống hay mật lần; xác thực thông qua giao thức (PAP, CHAP, ) hay phần cứng (các loại thẻ card: smart card, token Nguyễn Mạnh Trung - TH1204 5|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc…) I.2.2 Tính khả dụng (Availability): Tính khả dụng đặc tính mà thông tin mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu cần thiết nào, hoàn cảnh Tính khả dụng nói chung dùng tỉ lệ thời gian hệ thống sử dụng bình thường với thời gian trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau : Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cưỡng ), khống chế lưu lượng (chống tắc nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống lưu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tương ứng) Ví dụ hệ thống công ty phải sẵn sàng đáp ứng truy vấn nhân viên (user) thời gian nhanh có thể, phải đảm bảo nhân viên (user) đáp ứng thời gian ngắn I.2.3 Tính bảo mật (Confidentiality): Tính bảo mật đặc tính tin tức không bị tiết lộ cho thực thể hay trình không đuợc uỷ quyền biết hoặc không đối tượng xấu lợi dụng Thông tin cho phép thực thể uỷ quyền sử dụng Kỹ thuật bảo mật thường phòng ngừa dò la thu thập, phòng ngừa xạ, tăng cường bảo mật thông tin (dưới khống chế khoá mật mã), bảo mật vật lý (sử dụng phương pháp vật lý để đảm bảo tin tức không bị tiết lộ) Dữ liệu hệ thống phải bảo mật tuyệt đối nhiều phương pháp mã hóa Ipsec hoặc tool mã hóa liệu I.2.4 Tính toàn vẹn (Integrity): Là đặc tính thông tin mạng chưa uỷ quyền tiến hành được, tức thông Nguyễn Mạnh Trung - TH1204 6|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES tin mạng lưu giữ hoặc trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm dối loạn trật tự, phát lại, xen vào cách ngẫu nhiên hoặc cố ý phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới toàn vẹn thông tin mạng gồm : cố thiết bị, sai mã, bị tác động người, virus máy tính Một số phương pháp bảo đảm tính toàn vẹn thông tin mạng : - Giao thức an toàn kiểm tra thông tin bị chép, sửa đổi hay chép, Nếu phát thông tin bị vô hiệu hoá - Phương pháp phát sai sửa sai Phương pháp sửa sai mã hoá đơn giản thường dùng phép kiểm tra chẵn lẻ - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc cản trở truyền tin - Chữ ký điện tử : bảo đảm tính xác thực thông tin - Yêu cầu quan quản lý hoặc trung gian chứng minh chân thực thông tin I.2.5 Tính kiểm soát truy nhập (Access control): Là khả hạn chế kiểm soát truy nhập đến hệ thống máy tính ứng dụng theo đường truyền thông Mỗi thực thể muốn truy nhập phải định danh hay xác nhận có quyền truy nhập phù hợp Trong hệ thống thông thường lắp đặt isa để kiểm soát truy nhập khả chạy ứng dụng Ở phân quyền người sử dụng thông thường (user) ko thể chạy file cài đặt, thay đổi địa IP hay truy cập đến file không cho phép fileserver, việc có quyền quản trị làm I.2.6 Tính chối bỏ (Nonrepudiation): xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ hoặc phủ nhận thao tác cam kết thực Nguyễn Mạnh Trung - TH1204 7|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Hệ thống phải có biện pháp giám sát, đảm bảo đối tượng tham gia trao đổi thông tin từ chối, phủ nhận việc phát hành hay sửa đổi thông tin Đánh giá đe doạ, điểm yếu hệ thống kiểu công Đánh giá đe doạ Về có mối đe doạ đến vấn đề bảo mật mạng sau : Đe doạ cấu trúc (Unstructured threats) Đe doạ có cấu trúc (Structured threats) Đe doạ từ bên (External threats) Đe doạ từ bên (Internal threats) - Các lỗ hổng điểm yếu mạng Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng hoặc cho phép truy nhập không hợp lệ vào hệ thống Các lỗ hổng nằm dịch vụ sendmail, Web, Ftp hệ điều hành WindowsNT, Windows server, Unix hoặc ứng dụng mà người sử dụng thường xuyên sử dụng word processing, hệ databases… Có nhiều tổ chức khác tiến hành phân loại dạng lỗ hổng đặc biệt Theo cách phân loại Bộ quốc phòng Mỹ, loại lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: Cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Denial of Services) Mức độ nguy hiểm thấp, ảnh hưởng chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không phá hỏng liệu hoặc chiếm quyền truy nhập Lỗ hổng loại B: Cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy Nguyễn Mạnh Trung - TH1204 8|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES hiểm trung bình, lỗ hổng loại thường có ứng dụng hệ thống, dẫn đến lộ thông tin yêu cầu bảo mật Lỗ hổng loại A: Cho phép người sử dụng truy nhập vào hệ thống bất hợp pháp Lỗ hổng loại nguy hiểm, làm phá huỷ toàn hệ thống Hình 1-1: Các loại lỗ hổng bảo mật mức độ nguy hiểm Các kiểu công Tấn công trực tiếp Những công trực tiếp thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp công cổ điển dò tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực không đòi hỏi điều kiện đặc biệt để bắt đầu Kẻ công dựa vào thông tin mà chúng biết tên người dùng, ngày sinh, địa chỉ, số nhà v.v để đoán mật dựa chương trình tự động hoá việc dò tìm mật Trong số trường hợp, khả thành công phương pháp lên tới 30% Phương pháp sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công Nguyễn Mạnh Trung - TH1204 9|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES tiếp tục để chiếm quyền truy nhập.Trong số trường hợp phương pháp cho phép kẻ công có quyền người quản trị hệ thống Nghe trộm Việc nghe trộm thông tin mạng đem lại thông tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thông qua chương trình cho phép Những thông tin dễ dàng lấy Internet Giả mạo địa Việc giả mạo địa IP thực thông qua việc sử dụng khả dẫn đường trực tiếp Với cách công này, kẻ công gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng hoặc máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi Vô hiệu chức hệ thống Đây kểu công nhằm tê liệt hệ thống, không cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện tổ chức công phương tiện để làm việc truy nhập thông tin mạng Nguyễn Mạnh Trung - TH1204 10 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Trong ví dụ này, Firewall có: Sử dụng one to one NAT tạo server 192.168.1.100 home network xuất Internet địa IP (97.158.253.26) + Tạo many to one NAT cho địa IP 192.168.1.100 home network, tất server địa IP (97.158.253.26) Điều khác từ khởi tạo Ta tạo địa IP trùng lặp cho nhóm IP Internet cho one to one NAT # Load the NAT module # Note: It is best to use the /etc/rc.local example in this chapter This value will not be retained in the /etc/sysconfig/iptables file Included only as a reminder modprobe iptable_nat # Enable routing by modifying the ip_forward /proc filesystem file # Note: It is best to use the /etc/sysctl.conf example in this chapter This value will not be retained in the /etc/sysconfig/iptables file Included only as a reminder echo > /proc/sys/net/ipv4/ip_forward # NAT ALL traffic: # REMEMBER to create aliases for all the internet IP addresses below # TO: FROM: MAP TO SERVER: # Anywhere 192.168.1.100(1:1 97.158.253.26 # 192.168.1.10NAT-Inbound) 97.158.253.26(1:1 Anywhere NAT–Outbound) # 192.168.1.0/ 97.158.253.29(FW IP) Anywhere # SNAT24is used to NAT all other outbound connections initiated from the protected network to appear to come from IP address 97.158.253.29 # POSTROUTING: # NATs source IP addresses Frequently used to NAT connections from your home network to the Internet # # PREROUTING: # NATs destination IP addresses Frequently used to NAT connections from the Internet to your home network # # - Interface eth0 is the internet interface # - Interface eth1 is the private network interface Nguyễn Mạnh Trung - TH1204 69 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES # PREROUTING statements for 1:1 NAT # (Connections originating from the Internet) iptables -t nat -A PREROUTING -d 97.158.253.26 -i eth0 \-j DNAT to-destination 192.168.1.100 # POSTROUTING statements for 1:1 NAT # (Connections originating from the home network servers) iptables -t nat -A POSTROUTING -s 192.168.1.100 -o eth0 \-j SNAT to-source 97.158.253.26 # POSTROUTING statements for Many:1 NAT # (Connections originating from the entire home network) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT\ -o eth0 to-source 97.158.253.29 # Allow forwarding to each of the servers configured for 1:1 NAT # (For connections originating from the Internet Notice how you use the real # IP addresses here) iptables -A FORWARD -p tcp -i eth0 -o eth1 -d \192.168.1.100 -m multiport dport 80,443,22 \–m state state NEW -j ACCEPT # Allow forwarding for all New and Established SNAT connections originating on the home network AND already established DNAT connections iptables -A FORWARD -t filter -o eth0 -m state state \ NEW,ESTABLISHED,RELATED -j ACCEPT # Allow forwarding for all 1:1 NAT connections originating on the Internet that have already passed through the NEW forwarding statements above iptables -A FORWARD -t filter -i eth0 -m state state \ ESTABLISHED,RELATED -j ACCEPT # Allow forwarding to each of the servers configured for 1:1 NAT # (For connections originating from the Internet Notice how you use the real IP addresses here) iptables -A FORWARD -p tcp -i eth0 -o eth1 -d \192.168.1.100 -m multiport dport 80,443,22 -m\ state state NEW -j ACCEPT Nguyễn Mạnh Trung - TH1204 70 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES # Allow forwarding for all New and Established SNAT connections originating on the home network AND already established DNAT connections iptables -A FORWARD -t filter -o eth0 -m state state \ NEW,ESTABLISHED,RELATED -j ACCEPT # Allow forwarding for all 1:1 NAT connections originating on the Internet that have already passed through the NEW forwarding statements above iptables -A FORWARD -t filter -i eth0 -m state state \ ESTABLISHED,RELATED -j ACCEPT IV.3 Mô hình lab triển khai Yêu cầu: Cho PC1 Internet Public DNS, WEB, FTP Server Ở mô hình ta có : • PC(PC1, PC2) cài windown XP làm client • Máy server cài Debian: chạy WEB server, FTP server, DNS server • PC đặt làm Firewall(Firewall1, Firewall 2) cài Debian Nguyễn Mạnh Trung - TH1204 71 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES o o • Firewall có card mạng Firewall có card mạng File /etc/sysconfig/iptables sau cấu hình xong: Firewall 1: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #Đổi địa nguồn gói tin eth0 thành địa firewall (eth0) Iptables -A POSTROUTING -o eth0 -j MASQUERADE COMMIT *filter :INPUT DROP [0:0] :OUTPUT DROP [0:0] :FORWARD DROP [0:0] #Cho phép gói tin có cổng đích 80(http),443(https),21(ftp) vào eth1 #ra eth0 Iptables -A FORWARD -i eth1 -o eth0 -p tcp -m multiport dports 80,443,21 -j ACCEPT #Cho phép gói tin giao thức udp có cổng đích 53(DNS) vào eth1 #eth0 Iptables -A FORWARD -s -i eth1 -o eth0 -p udp -m udp dport 53 -j ACCEPT # Cho gói tin kết nối thành lập , kết nối thứ hai phép #đi vào eth0 eth1 Iptables -A FORWARD -i eth0 -o eth1 -m state state STABISHED,RELATED -j ACCEPT Nguyễn Mạnh Trung - TH1204 72 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES COMMIT • Firewall 2: *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #Đổi đỉa đích gói tin vào eth0 có cổng đích #80(http),443(https),21(ftp) thành 12.0.0.2 Iptables -A PREROUTING -i eth0 -p tcp -m multiport dport 80,443,21 -j DNAT to- destination 12.0.0.2 #Đổi đỉa đích gói tin vào eth0 có cổng đích 53 (DNS) thành #12.0.0.2 Iptables -A PREROUTING -i eth0 -p udp -m udp dport 53 -j DNAT to-destination 12.0.0.2 #Đổi địa nguồn gói tin eth0 thành địa firewall (eth0) Iptables -A POSTROUTING -o eth0 -j MASQUERADE #Đổi địa đích gói tin di vào eth0 giao thức tcp có cổng đích từ #1024 đến 65535 thành 12.0.0.2 Iptables -A PREROUTING -i eth0 -p tcp -m multiport dports 1024:65535 -j DNAT to-destination 12.0.0.2 #Đổi địa nguồn gói tin di eth2 có địa đích 12.0.0.2 thành #12.0.0.1 Iptables -A POSTROUTING -d 12.0.0.2 -o eth2 -j SNAT tosource 12.0.0.1 COMMIT *filter Nguyễn Mạnh Trung - TH1204 73 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES :INPUT DROP [0:0] :OUTPUT DROP [0:0] :FORWARD DROP [0:0] #Cho phép gói tin có địa nguồn 11.0.0.1 vào eth1 eth0 Iptables -A FORWARD -s 11.0.0.1 -i eth1 -o eth0 -j ACCEPT # Cho gói tin kết nối thành lập , kết nối thứ hai phép #đi vào eth0 eth1 Iptables -A FORWARD -i eth0 -o eth1 -m state state STABISHED,RELATED -j ACCEPT #Cho phép gói tin có cổng đích 80(http),443(https),21(ftp) vào eth0 #ra eth2 Iptables -A FORWARD -i eth0 -o eth2 -p tcp -m multiport dports 80,443,21 -j ACCEPT #Cho phép gói tin có cổng đích 53(DNS) vào eth0 eth2 Iptables -A FORWARD -i eth0 -o eth2 -p udp -m udp dport 53 -j ACCEPT # Cho gói tin kết nối thành lập , kết nối thứ hai phép #đi vào eth2 eth0 Iptables -A FORWARD -i eth2 -o eth0 -m state state ESTABLISHED,RELATED -j ACEEPT #Cho phép gói tin có cổng nguồn từ 1024 đến 65535 vào eth0 eth2 Iptables -A FORWARD -i eth0 -o eth2 -p tcp -m multiport sports 1024:65535 -j ACCEPT COMMIT Nguyễn Mạnh Trung - TH1204 74 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Kết Chương Trong chương vừa trình bày qua cách sử dụng Iptables Các thao tác chuỗi luật có sẵn chuỗi luật người dùng định nghĩa hay hành động Nói cách cài đặt, trì, kiểm tra IP Masquerading IP Nat Iptables Và với tinh vậy, Iptables giải pháp lọc gói tin mới, cao cấp so với có sẵn Linux Kernel trước 2.4x Iptables Firewall mạnh tích hợp sẵn nhân hệ điều hành Linux Iptables có tốc độ nhanh nhiều so với Firewall khác Có thể nói Firewall chi tiết rule áp dụng chi tiết cho gói tin Nhưng mà cách tạo rule Iptables phức tạp Ngoài việc phải ghi nhớ tham số câu lệnh dài người quản trị phải hiểu rõ phương thức sử lý gói tin Iptables.Người quản trị phải nắm vũng lý thuyết phương thức tạo kết nối cổng làm việc ứng dụng Vì việc quản trị loại Firewall dễ Iptables có nhiều ưu điểm không nhược điểm Do chúng ta nên cân nhắc kỹ trước sử dụng loại Firewall Nguyễn Mạnh Trung - TH1204 75 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES KẾT LUẬN Đề tài Firewall mối quan tâm hàng đầu nhà quản trị mạng nói riêng nhà tin học nói chung Để xây dựng mạng riêng mà tránh khỏi công không thể, chúng ta xây dựng mạng có tính an toàn cao theo yêu cầu cụ thể Để xây dựng mạng vậy, người quản trị mạng phải nắm rõ kiến thức Firewall Thực đề tài xây dựng chương trình Firewall Iptables Linux sau trình học tập tìm hiểu, đề tài minh hoạ phần kiến thức ví dụ cụ thể giúp cho người đọc trực tiếp thực cách dễ dàng Trong phần ứng dụng minh hoạ số chức hệ thống Firewall: IP Masquerading, IP NAT Nhưng thời gian có hạn, lượng kiến thức liên quan đến đề tài nhiều, nên ứng dụng mang tính chất minh hoạ Với hệ thống Firewall sử dụng Iptables Linux đạt ổn định cao hệ điều hành Linux Iptables với nhiều chức đáp ứng cho nhu cầu đơn vị có nhu cầu xây dựng hệ thống Firewall có mạng nội kết nối Internet Hệ thống Firewall mang tính ứng dụng thực tế cao vì: * Phần cứng sử dụng cho hệ thống không cần có cấu hình mạnh * Tất phần mềm sử dụng cho hệ thống phần mềm mã nguồn mở Nguyễn Mạnh Trung - TH1204 76 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES * Tài liệu hỗ trợ cho phần mềm có đầy đủ Internet miễn phí * Trên Internet có nhiều diễn đàn chủ đề * Hệ thống thiết kế mềm dẻo tuỳ vào sách an toàn đơn vị * Sử dụng hệ điều hành có độ ổn định cao bảo mật tốt Nguyễn Mạnh Trung - TH1204 77 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES CÁC TỪ VIẾT TẮT- ĐỊNH NGHĨA- THUẬT NGỮ - CÂU LỆNH Linux hệ điều hành có mã nguồn mở Kernel: Nhân hệ điều hành Linux, thành phần hệ điều hành Linux Console: Mọi hệ thống Linux có console (giao tiếp chính) nối trực tiếp với máy tính Console kiểu đặc biệt terminal (thiết bị đầu cuối), nhận diện hệ thống khởi động Đối với số hệ điều hành Unix, lệnh phải thực console Thông thường console cho phép tài khoản quản trị hệ thống truy nhập Squid webproxy phổ biến thị trường Nó mã nguồn mở miễn phí Nó thực vài tác vụ lọc trước hoạt động trao đổi tới webserver bạn, thực thêm chức webcaching chuẩn cho mạng bạn Mô hình tham chiếu OSI (Open Systems Interconnect) mô hình kiến trúc tầng phát triển tổ chức chuẩn hoá quốc tế IOS (International Standards Organization) mô tả cấu trúc chức giao thức truyền liệu ICMP (Internet Control Message Protocol) Giao thức điều khiển thông báo Internet Kết hợp với lớp Internet sử dụng gói liệu IP để gửi thông báo điều khiển, báo lỗi cho TCP/IP TCP: Transmisson Control Protocol – Giao thức điều khiển truyền UDP: Giao thức gói liệu Telnet: cung cấp dịch vụ vào mạng từ xa DNS: Domain Name Service cung cấp dịch vụ ánh xạ địa IP thành tên FTP: File Transfer Protocol cung cấp dịch vụ truyền tập tin Nguyễn Mạnh Trung - TH1204 78 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Bảng : Các tham số chuyển mạch (switching) quan trọng Iptables Lệnh switching quan trọng -t -j -A -F -p -s -d -i -o Ý nghĩa Nếu bạn không định rõ tables , filter table áp dụng Nhảy đến chuỗi target gói liệu phù hợp quy luật Nối thêm quy luât vào cuối chuỗi ( chain ) Xóa hết tất quy luật bảng Phù hợp với giao thức ( protocols ) , thông thường icmp, tcp, Phù hợp IP nguồn Phù hợp IP đích Phù hợp điều kiện INPUT gói liệu Phù hợp điều kiện OUTPUT gói liệu khỏi firewall Nguyễn Mạnh Trung - TH1204 79 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Bảng : Các điều kiện TCP UDP thông dụng Lệnh switching -p tcp sport -p tcp dport -p tcp –syn -p udp sport -p udp dport Miêu tả port nguồn Điều kiện TCP (source port ) Có thể giá trị hoặc chuỗi có dạng : start-port-number:end-portĐiều kiện TCP port đích ( destination port ) Có thể giá trị hoặc chuỗi có dạng : starting-port:ending-port Dùng để nhận dạng yêu cầu kết nối TCP ! syn , nghĩa yêu cần nốiUDP port Điềukết kiện nguồn (source port ) Có thể giá trị hoặc chuỗi có dạng : start-port-number:end-portnumber Điều kiện TCP port đích ( destination port ) Có thể giá trị hoặc chuỗi có dạng : starting-port:ending-port Bảng : Điều kiện Nguyễn Mạnh Trung - TH1204 80 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES ICMP Lệnh icmp-type Miêu tả echoThường dùng reply echorequest Bảng : Các điều kiện mở rộng thông dụng Lệnh -m multiport sport -m multiport dport -m multiport ports Ý nghĩa Nhiều port nguồn khác TCP/UDP phân cách dấu phẩy (,) Đây liệt kê port đích chuỗi cáccủa Nhiều port khác TCP/UDP phân cách dấu phẩy (,) Đây liệt kê port chuỗi Nhiều port khác TCP/UDP phân cách dấu phẩy (,) Đây liệt kê port chuỗi port Không phân biệt port đích Nguyễn Mạnh Trung - TH1204 81 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Chain -m state INPUT OUTPUT Fast-input-queue fast-output-queue icmp-queue-out Các trạng thái thông dụng dùng Description : Được xây dựng ESTABLISHED:Gói liệu INPUT chain bảng phần kết nối thiết lậpiptables hướng Được xây dựng NEW:Gói liệu bắt đầu ONPUT chain tronglàbảng iptables kết nối RELATED: Gói liệu bắt đầu Inputkết chain tách riêng biệt để hỗ cho Thông thường giao thức đặc nốitrợphụ biệt đặt chuyển góigiao đếnthức điểm protocol specific chains FTP hoặc lỗi ICMP INVALID: Gói liệu nhận dạng Điều Output chain tách riêng biệt để hỗ trợ cho giao thức đặc biệt chuyển gói đến protocol specific chains lệnh output tách riêng cho giao thức ICMP DANH SÁCH CÁC LỆNH (QUEUE) Nguyễn Mạnh Trung - TH1204 82 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES TÀI LIỆU THAM KHẢO Các trang web: http://wiki.kartbuilding.net/index.php/Iptables_Firewall http://www.netfilter.org/ http://www.howtoforge.com/linux_iptables_sarge http://www.linuxhomenetworking.com/wiki/index.php/Quick_H OWTO_:_Ch14_:_Linux_Firewalls_Using_iptables http://www.hvaonline.net/hvaonline/posts/list/105.hva http://linuxbasiccommand.blogspot.com/search/label/Firewall http://vinasupport.com/2010/he-thong-firewall-tren-linuxkernel-2-4-netfiter-iptables/ http://forum.athena.edu.vn/linux/234-tim-hieu-firewall-trenlinux-voi-iptables.html http://www.manguon.com; http://www.quantrimang.com Sách tham khảo: Designing And Implementing Linux Firewalls And QoS (2006) Internetworking-with-tcp-ip-vol-1-principles-protocols-andarchitecture-4thedition Bảo mật tối ưu hóa Linux Red Hat Nguyễn Ngọc Tuấn – Hồng Phúc Iptables Tutorial1 - Oskar Andreasson - Copyright © 20012006 Mạng máy tính hệ thống mở - mã thư viện 02261 Rusty Russell, Linux iptables HOWTO – mailing list Nguyễn Mạnh Trung - TH1204 83 | P a g e [...]... gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES Hỡnh 2-3: Firewall trong mụ hỡnh mng cho doanh nghip c nh Vi cỏc doanh nghip va thỡ s trờn phự hp cho cỏc chi nhỏnh ca h Cũn ti trung tõm mng cú th thc hin s an ninh nhiu tng nh: Nguyn Mnh Trung - TH1204 20 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES Hỡnh 2-4: Firewall trờn mụ hỡnh mng cho doanh nghip... phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES vo hay i ra mt mng ni b u phi qua nú theo cỏc chớnh sỏch an ton ó c ci t Tp trung kim soỏt cht ch cỏc dũng thụng tin ú cú li hn l phõn tỏn trờn din rng + Mt firewall lm cho chớnh sỏch an ton tr nờn hiu qu thc s: Nhiu dch v m ngi s dng dch v mong mun vn cú nhng ch khụng an ton Firewall ch cho i qua sau khi ó kim nhn v c phộp Mt khỏc, firewall. .. c va II.3 Phõn loi bc tng la (Firewall) Firewall bao gm cỏc loi sau : Bc tng la lc gúi tin (packet-filtering router) Bc tng la ng dng (proxy) Bc tng la nhiu tng Nguyn Mnh Trung - TH1204 21 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES II.3.1 Firewall lc gúi Bên ngoài Packet filtering router Bên trong Mạng nội bộ The Internet Hỡnh 2-5: Firewall lc gúi Bc tng la lc... Firewall + Firewall khụng th ngn chn mt cuc tn cụng nu cuc tn cụng ny khụng i qua nú Mt cỏch c th, Firewall khụng th chng li mt cuc tn cụng t mt ng dial-up, hoc s dũ r thụng tin do d liu b sao chộp bt hp phỏp lờn a mm + Firewall khụng th bo v chng li nhng mi e da mi phỏt sinh vỡ nú khụng th t ng bo v trc nhng mi e da mi Nguyn Mnh Trung - TH1204 18 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall. .. virus bng Firewall l vn khụng kh thi, vỡ cú quỏ nhiu loi virus v cú quỏ nhiu cỏch virus n trong d liu Tuy nhiờn Firewall vn l gii phỏp hu hiu nht c ỏp dng rng rói II.2.3 Mt s mụ hỡnh Firewall dựng cho doanh nghip va v nh Vi cỏc doanh nghip nh vic trang b mt mng tỏc nghip va phi m bo an ninh an ton, va phi phự hp chi phớ, v d trin khai v bo trỡ l iu rt cn thit õy chung ta a ra gii phỏp dựng mt thit b... t bờn trong ra bờn ngoi cng qua mỏy ch phỏo i Nguyn Mnh Trung - TH1204 32 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES - t im m mng ni b kt ni vi Internet: i mt chớnh vi cỏc k tn cụng truy nhp Pháo đài Host Internet Touter ngoài Mạng trung gian Firewall Router trong Mạng nội bộ Hỡnh 2-13: Kin truc Bastion Host II.4.4 Screened host (mỏy ch sng lc) - C server v router... ch sng lc cú mt router v mt mỏy ch lc thụng tin - Chc nng an ninh c bn l do b lc - Mỏy ch ni b ch c phộp kt ni Internet i vi mt s dch v hn ch Nguyn Mnh Trung - TH1204 33 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES - Phn ln cỏc mỏy ni b phi s dng cỏc dch v i din trờn cỏc mỏy ch ni b - Khi mỏy ch cú l hng an ninh thỡ thỡ mng n b r b tn cụng - Nu trng hp router b ỏnh... Trung - TH1204 24 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES cú th mang theo nhng hnh ng vi ý n cp thụng tin hay phỏ hoi ca k xu II.3.2 Bc tng la ng dng(Application firewall) Hỡnh 2-6: Bc tng la ng dng Lm vic tng 7 ca mụ hỡnh OSI Nu TCP thỡ nú lm vic tng dch v Nú khụng kim soỏt c thụng tin tng ng dng Nguyờn tc hot ng chung: Firewall ny c thit lp t phn mm ng dng Khụng... cú s giỏm sỏt ni dung ca Firewall Tỡm hiu ro hn v c ch hot ng ca Firewall truyn thng, chung ta thy c mt iu l cỏc thit b ny hot ng ch yu 4 tng u tiờn trong mụ hỡnh IOS, trong khi ú hu ht cỏc ng dng c xõy dng trong h thng Nguyn Mnh Trung - TH1204 27 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES mng tuõn th 3 lp trờn cựng õy l nguyờn nhõn khin Firewall khụng th kim soỏt... s cp nht nhng l hng theo thi gian thc bi cụng c bo mt ng dng web ca bn, nh ú cú th ch ng ngn chn nhng cuc tn cụng mi c phỏt hin Nguyn Mnh Trung - TH1204 28 | P a g e Mt s gii phỏp an ninh mng trờn Linux vi Firewall -NETFILTER/IPTABLES Mt phn khú vn dng õy ú l bn cn cú s giup ca nhng ngi trong ban iu hnh bo mt bn cú th trin khai thnh cụng WAF vo trong mụi trng kinh doanh Hỡnh 2-9: Mụ hỡnh ng dng