Đang tải... (xem toàn văn)
Tìm hiểu các mối đe dọa đối với một hệ thống mạng máy tính.Tìm hiểu về các khái niệm cơ bản của firewall.Nghiên cứu về các công nghệ firewall và cách làm việc của chúng.Demo triển khai sản phẩm firewall trên mã nguồn mở.
HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN Đồ ÁN TỐT NGHIỆP PHẦN Đề tài : Xây dựng firewall thông minh để chống xâm nhập trái phép vào website Giáo viên phụ trách : Hoàng Minh Hiếu Giáo viên hướng dẫn: Vũ Thị Ly Sinh viên thực hiện: Phạm Văn Tùng Hà nội 4/2016 Phạm Văn Tùng HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN Đồ án tốt nghiệp phần Đề tài : Xây dựng firewall thông minh để chống xâm nhập trái phép vào website Giáo viên phụ trách : Hoàng Minh Hiếu GVHD: Ths Vũ Thị Ly Sinh viên thực hiện: Phạm Văn Tùng Hà nội 8/2016 Phạm Văn Tùng MỤC LỤC MỞ ĐẦU Thực trạng tính khả thi đề tài Năm 1997 Internet bắt đầu du nhập vào Việt Nam, từ năm đầu Internet Việt Nam dịch vụ cao cấp hạn chế phần đông người dùng Trải qua 10 năm phát triển đến Internet từ dịch vụ cao cấp trở thành dịch vụ bình dân, phổ biến gia đình, công sở, trường học, làm thay đổi sống người dân xã hội Việt Nam Theo thống kê website TT Internet Việt Nam - VNNIC vào tháng năm 2011 số người sử dụng Internet VN đạt 30.248.846, tỉ lệ dân số sử dụng Internet chiếm 34,79%, tổng số tên miền tiếng Việt đăng ký 237.342.Việc sử dụng Internet để phục vụ cho sống trở lên phổ biến giao tiếp với qua email, sử dụng Internet để tra cứu thông tin phục vụ cho công việc hay học tập, sử dụng Internet để giải trí, giao lưu, kết bạn Ngày 7/11/2006 Việt Nam gia nhập tổ chức thương mại giới WTO, từ Internet nhìn nhận công cụ mũi nhọn hỗ trợ, thúc tích cực cho phát triển kinh tế Đa số doanh nghiệp tổ chức có hệ thống mạng website để quảng bá thương hiệu sản phẩm (237.342 tên miền tiếng Việt hàng triệu tên miền thương mại khác) Cùng với phát triển Internet thương mại điện tử phát triển theo Đối với doanh nghiệp tổ chức việc sử dụng thư điện tử (email), toán trực tuyến (electronic payment), trao đổi liệu điện tử, số hóa liệu, lưu trữ dự liệu, hỗ trợ cho công việc kinh doanh không xa lạ Ngoài ra, phủ tổ chức phủ khác sử dụng Internet để thông báo, trao đổi, giao tiếp với người dân Tóm lại, Internet hệ thống mạng máy tính trở thành phần thiếu Phạm Văn Tùng để phục vụ cho cá nhân người dùng, cho tổ chức, doanh nghiệp kinh tế cho tổ chức phủ Cùng với phát triển lợi ích mà Internet máy tính đem lại, tạo nguy rủi ro cho kinh tế xã hội đại Các vấn đề truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng hệ thống trở thành mối lo ngại cho nhà quản lý quốc gia từ quan, bộ, ngành đến doanh nghiệp, đơn vị hay cá nhân người dùng Theo TS Vũ Quốc Khánh, GĐ TT Ứng cứu khẩn cấp máy tính VNCERT đánh giá: "Năm 2011 xuất xu hướng tội phạm cố an ninh mạng, công mạng ngày tinh vi hơn, phát triển có tổ chức, có quy mô có phối hợp nước Có định hướng mặt công thu lợi tài chính, phá hoại dịch vụ Không mã độc giới nhanh chóng lan truyền đến Việt Nam" Tin tặc Việt Nam phát triển với tốc độ nhanh hết quy mô, tính chuyên nghiệp, trình độ kỹ thuật tiềm lực tài Điều đáng báo động phá hoại tin tắc không nhằm mục đích trục lợi cá nhân hay khoe khoang mà chuyển sang hướng công tổ chức doanh nghiệp kinh tế đặc biệt hạ tầng công nghiệp quốc gia Thời gian gần loạt website quan nhà nước doanh nghiệp bị hacker công website Viện khoa học tra phủ bị hack vào tháng 4/2007, tên miền công ty P.A Vietnam bị cướp vào tháng 7/2008, website Techcombank vào tháng 7/2008 Năm 2010, công đình đám công vào hệ thống điện tử báo Vietnamnet, công diễn nhiều tháng nhiều lần với hình thức công khác Cũng năm 1000 website lớn Việt Nam bị công Các hình thức công đa dạng từ thay đổi giao diện, đánh cắp thông tin nhạy cảm website, công làm tê liệt website Mới công đánh cắp tên miền diadiem.com vozforums.vn xảy vào tháng 10/2011 Phạm Văn Tùng Từ số liệu cảnh báo nên vấn đề bảo vệ an ninh mạng ngày nóng bỏng Đối với cá nhân người dùng việc bảo vệ thông tin cá nhân trước kẻ đánh cắp Đối với tổ chức phủ, sở ban ngành, doanh nghiệp bảo vệ hệ thống mạng liệu, thông tin khách hàng, website, tài chính, uy tín Chính lý em chọn đề tài "Xây dựng firewall thông minh để chống xâm nhập trái phép vào website" nhằm mục đích nghiên cứu giải pháp an toàn cho hệ thống website Mục đích nhiệm vụ nghiên cứu Trong năm gần đây, Việt Nam ngày phát triển mặt công nghệ thông tin Đặc biệt ứng dụng web, người nghe làm việc ứng dụng web Website trở nên phổ biến trở thành phần quan trọng người doanh nghiệp, công ty Bên cạnh lý an toàn bảo mật cho ứng dụng web vấn đề nan giải người.Vì tìm hiểu ứng dụng web cách thức công bảo mật web Trước tìm hiểu chúng em hiểu giải pháp toàn diện cho an ninh mạng, hệ thống dù vững tới đâu bị vô hiệu hóa kẻ công Vì có giải pháp an toàn tuyệt đối nên để bảo vệ thông tin mạng máy tính cần xây dựng nhiều "lớp" bảo vệ khác Và Firewall lớp hệ thống Mục đích đề tài là: Tìm hiểu mối đe dọa hệ thống mạng máy tính Tìm hiểu khái niệm firewall Nghiên cứu công nghệ firewall cách làm việc chúng Demo triển khai sản phẩm firewall mã nguồn mở Đối tượng nghiên cứu Tìm hiểu kiến thức lý thuyết loại firewall, cách phân loại chúng cách tổng quan Các thành phần tạo lên firewall cách làm việc chúng Tìm hiểu loại firewall tảng mã nguồn mở Linux, cách làm việc, ưu nhược điểm so với sản phẩm khác Phạm Văn Tùng Tìm hiểu kiến trúc Firewall, số mô hình dành cho hệ thống mạng Sản phẩm Firewall triển khai tảng Linux CHƯƠNG : TỔNG QUAN VỀ WEBSITE, CÁC DỊCH VỤ CỦA WEBSITE 1.1 1.1 Mô tả Website cách hoạt động Website “trang web” mạng Internet, nơi giới thiệu thông tin, hình ảnh doanh nghiệp sản phẩm, dịch vụ doanh nghiệp (hay giới thiệu thông tin gì) để khách hàng truy cập nơi đâu, lúc Website tập hợp nhiều trang [web page] Khi doanh nghiệp xây dựng website nghĩa xây dựng nhiều trang thông tin, catalog sản phẩm, dịch vụ Để tạo nên website cần phải có yếu tố bản: Cần phải có tên miền (domain) Nơi lưu trữ website (hosting) Nội dung trang thông tin [web page] Một số thuật ngữ bản: Website động (Dynamic website) website có sở liệu, cung cấp công cụ quản lý website (Admin Tool) Đặc điểm website động tính linh hoạt cập nhật thông tin thường xuyên, quản lý thành phần website dễ dàng Loại website thường viết ngôn ngữ lập trình PHP, Asp.net, JSP, Perl, , quản trị Cơ sở liệu SQL MySQL Website tĩnh lập trình ngôn ngữ HTML theo trang brochure, sở liệu công cụ quản lý thông tin website Thông thường website tĩnh thiết kế phần mềm FrontPage, Dreamwaver, Đặc điểm website tĩnh thay đổi nội dung, thay đổi nội dung thường liên quan đến thay đổi văn kèm thể nội dung Hiện nay, hầu hết doanh nghiệp sử dụng website động, hệ công nghệ website người biết đến web 2.0 - Tên miền (domain): Tên miền địa website, internet tồn địa (tức tồn tên miền) Có loại tên miền: - Tên miền Quốc tế: tên miền có dạng com; net; org; biz; name Phạm Văn Tùng - Tên miền Việt Nam: tên miền có dạng vn; com.vn; net.vn; org.vn; gov.vn; - Lưu trữ website: Dữ liệu thông tin website phải lưu trữ máy tính (máy chủ - server) hoạt động kết nối với mạng Internet Một server lưu trữ nhiều website, server bị cố chẳng hạn tắt thời điểm không truy cập website lưu trữ server thời điểm bị cố - Tùy theo nhu cầu lưu trữ thông tin mà doanh nghiệp thuê dung lượng thích hợp cho website [thuê dung lượng host] - Dung lượng host: Là nơi để lưu sở trữ liệu website (hình ảnh, thông tin …), đơn vị đo dung lượng thường Mb Gb - Băng thông hay dung lượng đường truyền truyền: Là tổng số Mb liệu tải lên máy chủ tải từ máy chủ (download, upload) nơi đặt website, đơn vị đo thông thường Mb/Tháng 1.2 Các dịch vụ ứng dụng web Với công nghệ nay, website không đơn giản trang tin cung cấp tin đơn giản Những ứng dụng viết web không gọi phần website nữa, chúng gọi phần mềm viết web Có nhiều phần mềm chạy web Google word (xử lý văn bản), Google spreadsheets (xử lý bảng tính), Email ,… Một số ưu điểm phần mềm hay ứng dụng chạy web: • Mọi người có trình duyệt bạn cần trình duyệt để chạy phần mềm • Phần mềm luôn cập nhật chúng chạy server • Luôn sẵn sàng 24/7 • Dễ dàng backup liệu thường xuyên • Có thể truy cập lúc, nơi, miễn bạn có mạng • Chi phí triển khai cực rẻ so với phần mềm chạy desktop Hãy hình dung bạn có phần mềm quản lý bán hàng hay quản lý công việc công ty Không phải lúc bạn công ty, với phần mềm viết web, bạn vào kiểm tra, điều hành đâu, chí bạn cần điện thoại chạy trình duyệt IPhone mà không cần đến máy tính Phạm Văn Tùng CHƯƠNG 2: CÁC LOẠI TẤN CÔNG WEB PHỔ BIẾN 2.1 LOCAL ATTACK Local attack kiểu hack phổ biến không khuyên dùng.Đối web server thông thường bạn đăng ký tài khoản server bạn cấp tài khoản server thư mục để quản lý site Ví dụ : tenserver/tentaikhoancuaban Và có tài khoản người dùng khác tương tự : tenserver/taikhoan1.Giả sử taikhoan1 bị hacker chiếm hacker dùng thủ thuật,các đoạn scrip,các đoạn mã lệnh để truy cập sang thư mục chứa site bạn tenserver/taikhoancuaban Và theo cách hacker công sang site người dùng khác lấy thông tin Phạm Văn Tùng admin,database,các thông tin bảo mật khác chèn đoạn mã độc vào trang index site bạn Dạng công gọi Local Attack Thông thường nhất, Local Attack sử dụng để đọc lấy thông tin config từ victim, sau dựa vào thông tin config mục đích hacker để phá hoại website 2.2 Tấn công từ chối dịch vụ - (Denial Of Service) 2.2.1 DOS(Denial Of Service) DoS (Denial of Service) mô tả hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ Nó bao gồm việc làm tràn ngập mạng, làm kết nối với dịch vụ… mà mục đích cuối làm cho server đáp ứng yêu cầu sử dụng dịch vụ từ client DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Thực chất DoS kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ… làm khả xử lý yêu cầu dịch vụ đến từ client khác 2.2.2 Ddos(Distributed Denial of Service) Distributed Denial Of Service (DDoS) kỹ thuật công làm ISP lo âu, giới hacker thống không công nhận DdoS kỹ thuật công thống Thế Black hat có nhiều ưu triển khai công kỹ thuật DdoS Việc phòng ngừa ngăn chặn DdoS thực mức độ khắc phục hậu truy tìm thủ phạm 2.3 SQL Injection Khi triển khai ứng dụng web Internet, nhiều người nghĩ việc đảm bảo an toàn, bảo mật nhằm giảm thiểu tối đa khả bị công từ tin tặc đơn tập trung vào vấn đề chọn hệ điều hành, hệ quản trị sở liệu, webserver chạy ứng dụng, mà quên thân ứng dụng chạy tiềm ẩn lỗ hổng bảo mật lớn Một số lỗ hổng SQL injection Tại Việt Nam, qua thời kì quản trị website lơ việc quét virus, cập nhật vá lỗi từ phần mềm hệ thống, việc chăm sóc lỗi Phạm Văn Tùng ứng dụng lại quan tâm Đó lí thời gian vừa qua, không website Việt Nam bị công đa số lỗi SQL injection Vậy SQL injection ? SQL injection kĩ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu nhập ứng dụng web thông báo lỗi hệ quản trị sở liệu để "tiêm vào" (inject) thi hành câu lệnh SQL bất hợp pháp (không người phát triển ứng dụng lường trước) Hậu tai hại cho phép kẻ công thực thao tác xóa, hiệu chỉnh, … có toàn quyền sở liệu ứng dụng, chí server mà ứng dụng chạy Lỗi thường xảy ứng dụng web có liệu quản lí hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase CHƯƠNG 3: Tổng quan hệ thống Firewall 4.1 Giới thiệu Firewall Nhiều người ví Web Internet xã hội thu nhỏ Trong xã hội đó, máy tính nhà Nếu máy tính nhà bạn tốt nên bảo vệ "kín cổng cao tường" Vì vậy, bạn khoá máy tính bạn lại, giữ an toàn trước kẻ lạ bên đơn giản bạn khoá cửa vắng Đó điều hoàn toàn thực nhờ giải pháp tường lửa – firewall Liệu từ bên vào máy tính bạn từ máy tính bạn bên Với firewall, người sử dụng yên tâm họ thực thi quyền giám sát liệu truyền thông máy tính họ với máy tính hay hệ thống khác Có thể xem firewall người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" gói liệu vào máy tính hay khỏi máy tính người sử Phạm Văn Tùng 10 dụng, cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu không hợp lệ Các giải pháp firewall thực cần thiết, xuất phát từ cách thức liệu di chuyển Internet Giả sử bạn gửi cho người thân thư để thư chuyển qua mạng Internet, trước hết phải phân chia thành gói nhỏ Các gói liệu tìm đường tối ưu để tới địa người nhận thư sau lắp ráp lại (theo thứ tự đánh số trước đó) khôi phục nguyên dạng ban đầu Việc phân chia thành gói làm đơn giản hoá việc chuyển liệu Internet dẫn tới số vấn đề Nếu người với dụng ý không tốt gửi tới bạn số gói liệu, lại cài bẫy làm cho máy tính bạn cần phải xử lý gói liệu làm cho gói liệu lắp ghép theo thứ tự sai, họ nắm quyền kiểm soát từ xa máy tính bạn gây nên vấn đề nghiêm trọng Kẻ nắm quyền kiểm soát trái phép sau sử dụng kết nối Internet bạn để phát động công khác mà không bị lộ tung tích Firewall đảm bảo tất liệu vào hợp lệ, ngăn ngừa người sử dụng bên đoạt quyền kiểm soát máy tính bạn Chức kiểm soát liệu firewall quan trọng ngăn ngừa kẻ xâm nhập trái phép "cấy" virus có hại vào máy tính bạn để phát động công cửa sau tới máy tính khác mạng Internet Ghi chép hệ thống (System logging) cho phép việc điều chỉnh mức độ báo cáo Hỗ trợ việc tính hợp chương trình Web proxy Squid Ngặn chặn kiểu công từ chối dịch vụ Phạm Văn Tùng 11 4.2 Sơ đồ vật lý Firewall 4.3 Cơ chế hoạt động Firewall Firewall chắn máy tính bạn (hoặc mạng) Internet Firewall so sánh nhân viên bảo vệ tòa nhà đó, nhân viên cho phép từ chối vào tòa nhà Dựa hoạt động iptables tiến trình Login Fail Detect để thực quét logs để phát truy cập có dấu hiệu công Khi Firewall phát công từ địa IP cụ thể, thực tạm thời khóa vĩnh viễn địa IP tầng mạng, an toàn tầng ứng dụng Web server không cần phải xử lý yêu cầu truy cập từ IP bị cấm, danh sách khóa, hiệu suất phục vụ đảm bảo Firewall ghi nhận lại kiện cách sử dụng syslog để ghi lại kiện xảy hệ thống mạng 4.4 Tính Firewall Quản lý kiểm soát lưu lượng mạng Chức mà tất firewall phải thực quản lý kiểm soát lưu lượng mạng Điều có nghĩa phải Phạm Văn Tùng 12 biết gói tin qua nó, có kết nối thông qua Đồng thời kiểm soát gói tin vào kết nối với hệ thống bạn Firewall làm điều cách kiểm tra gói liệu giám sát kết nối thực Sau dựa vào kết kiểm tra gói tin kết nối bị giám sát đưa định cho phép hay từ chối truy cập Kiểm tra gói tin (Packet Inspection): trình chặn xử lý liệu gói tin nhằm xác định liệu cho phép từ chối gói tin theo sách truy cập xác định Quá trình dựa vào yếu tố tất yếu tố sau để đưa định lọc gói hay không Source IP Address Source Port Destination IP Address Destination Port IP Protocol Phần Header gói tin (sequence number, checksum, data flags, payload infomation thông tin khác) Việc kiểm tra gói tin phải thực hướng (cả hướng hướng vào) interface, quy tắc kiểm soát truy cập phải áp dụng cho gói tin qua Hoạt động thiết bị trung gian Nhu cầu kết nối Internet nhu cầu thiết thực thiếu doanh nghiệp Tuy nhiên việc cho phép máy tính kết nối trực tiếp đến website đem lại nhiều nguy hiểm Người sử dụng xem thông tin server website gây nguy hiểm cho hệ thống website Giải pháp đưa thay cho người sử dụng kết nối trực tiếp tới website ta xây dựng firewall thành thiết bị có nhiệm vụ “thay mặt” website Internet Lúc firewall hoạt động Proxy Server Người sử dụng không nhận thấy khác biệt có Proxy Server, gần Phạm Văn Tùng 13 suốt Lợi ích Proxy Server là: Cache: Tăng hiệu suất sử dụng dịch vụ mạng Các Request gửi Internet địa IP Proxy Server nên ngăn chặn công không hợp lệ vào website từ Internet Bảo vệ tài nguyên mạng Chức Firewall kiểm soát luồng thông tin mạng cần bảo vệ (Trusted Network) Internet thông qua sách truy nhập thiết lập Cho phép cấm dịch vụ truy nhập từ từ vào Kiểm soát địa truy nhập, dịch vụ sử dụng Kiểm soát khả truy cập người sử dụng hai mạng Kiểm soát nội dung thông tin truyền tải hai mạng Ngăn ngừa khả công từ mạng Ghi lại báo cáo kiện Một thực tế dù bạn có giỏi đến đâu, bạn có triển khai biện pháp bảo mật chưa hệ thống bạn an toàn Bạn ngăn chặn công hay thứ độc hại xâm nhập vào hệ thống mạng Do bạn cần phải chuẩn bị để phòng chống lỗ hổng mà firewall ngăn chặn Do firewall cần phải có chức ghi chép lại tất thông tin liên lạc vi phạm sách để báo lại với quản trị viên Quản trị viên dựa vào để phân tích tình hình đưa giải pháp cụ thể Bạn ghi lại kiện nhiều cách khác hầu hết firewall sử dụng phương pháp syslog Những liệu sử dụng thường xuyên để phân tích cố nguyên nhân gây hệ thống mạng Phạm Văn Tùng 14 Smart Defence: Có khả phát phòng chống công, đặc biệt công từ chối dịch vụ - DDoS Smart Filter: Có khả phát ngăn chặn công ứng dụng Web (SQL Injection, XSS …) Cache: Tự động tối ưu hóa khả tải web giảm tải cho webserver phía sau 4.5 Kiến trúc Firewall Kiến trúc Dual homed host gồm máy server có hai network interface, có nghĩa máy có gắn hai card mạng giao tiếp với hai mạng khác máy server đóng vai trò router phần mềm Public interface: card nối trực tiếp với vùng mạng không đáng tin cậy (Internet) Private interface: nối với server chứa website CHƯƠNG 4: Xây dựng hệ thống Firewall 4.1 Giới thiệu Iptables Để xây dựng Firewall cho hệ thống mạng chi phí thường cao mua sản phẩm thương mại Iptable phần mềm mã nguồn mở miễm phí, tích hợp sẵn hệ điều hành Linux, triển khai hệ thống mạng vừa nhỏ Ban đầu Firewall/NAT chạy Linux Ipchains thiếu sót lỗi mặt kỹ thuật chạy không ổn định Tổ chức Netfilter định viết phần mềm khắc phục lỗi sản phẩm Iptable đời nhằm tăng tính lọc gói tin, bảo mật hệ thống Linux Tích hợp tốt nhân Linux (Kernel Linux), thiết kế mô-đun cụ thể nâng cao tốc độ độ tin cậy, có khả phân tích gói tin hiệu Phạm Văn Tùng 15 Iptables lọc gói tin dựa địa MAC giá trị cờ hiệu phần đầu TCP header gói tin Điều hữu ích việc phòng chống công cách sử dụng gói liệu bị thay đổi hạn chế truy cập đến máy chủ local từ máy chủ khác có địa IP Iptables cung cấp chi tiết tùy chọn để ghi nhận kiện xảy hệ thống, cung cấp kỹ thuật NAT NAT từ nội ngược lại Có khả ngăn chặn số chế công theo kiểu từ chối dịch vụ (DoS) 4.2 Các tính Iptables Tích hợp tốt Linux kernel, để cải thiện tin cậy tốc độ chạy iptables Quan sát kỹ tất gói liệu, điều cho phép firewall theo dõi kết nối thông qua xem xét nội dung luồng liệu để từ xử lý bước sử dụng giao thức Điều quan trọng việc hỗ trợ giao thức FTP, DNS … Lọc gói dựa địa MAC cờ TCP header Điều giúp ngăn chặn việc công cách sử dụng gói dị dạng (malformed packets) ngăn chặn việc truy cập từ nội đến mạng khác bất chấp IP Ghi chép hệ thống (System logging) cho phép việc điều chỉnh mức độ báo cáo Hỗ trợ việc tính hợp chương trình Web proxy Squid Ngặn chặn kiểu công từ chối dịch vụ 4.3 Cơ chế hoạt động Iptables Tất gói liệu kiểm tra iptables, trình kiểm tra thực cách dùng bảng xây dựng sẵn (queues) Có ba loại bảng Iptables gồm: Loại Queue Chức Queue Quy tắc xử lý Chức chain gói (Chain) Input Lọc gói đến firewall Lọc gói liệu đến Phạm Văn Tùng 16 server khác kết nối Forward NIC khác firewall Filter Lọc gói Output Lọc gói khỏi firewall Network Việc thay đổi địa diễn trước định tuyến Thay Address đổi địa đích giúp gói Translation Prerouting liệu phù hợp với bảng Biên định tuyến firewall Sử dịch địa dụng destination NAT hay mạng ) DNAT ( NAT Việc thay đổi địa diễn Postrouting sau định tuyến Sử dụng source NAT hay SNAT Output NAT sử dụng cho gói liệu xuất phát từ firewall Chỉnh sửa Mangle TCP header Prerouting Điều chỉnh bit quy Postrouting địch chất lượng dịch vụ trước dẫn đường Output Input Forward Mangle table: Chịu trách nhiệm thay đổi bits chất lượng dịch vụ TCP header như: TOS (type of service), TTL (time to live), MARK Filter queue: Chịu trách nhiệm thiết lập lọc (packet filtering) Nó gồm có ba quy tắc nhỏ (chain) để thiết lập nguyên tắc lọc gói, bao gồm: Forward chain: Lọc gói đến đến server khác Input chain: Lọc gói vào server Phạm Văn Tùng 17 Output chain: Lọc gói khỏi server NAT queue: Thực chức NAT (Network Address Translation) gồm có hai loại: Pre-routing chain: NAT từ vào nội Quá trình NAT thực trước thực thi chế định tuyến (routing) Điều thuận lợi cho việc đổi địa đích để địa tương thích với bảng định tuyến firewall, gọi NAT đích destination NAT hay DNAT Post-routing chain: NAT từ Quá trình NAT thực sau thực chế định tuyến, trình nhằm thay đổi địa nguồn gói tin Kỹ thuật gọi NAT one-to-one many-to-one, gọi Source NAT hay SNAT 4.4 Jumps Targets Jump: Là chế chuyển packet đến target để xử lý thêm số thao tác khác Target: Là chế hoạt động Iptables, dùng để nhận diện kiểm tra packet Các target xây dựng sẵn iptables như: ACCEPT: Iptables chấp nhận chuyển data đến đích DROP: Iptables khóa packet LOG: T hông tin packet gởi vào syslog daemon iptables tiếp tục xử lý luật bảng mô tả luật Nếu luật cuối không match drop packet Với tùy chọn thông dụng log-prefix=”string”, tức iptables ghi nhận lại message bắt đầu chuỗi “string” REJECT: Ngăn chặn packet gửi thông báo cho lại cho người gửi Với tùy chọn thông dụng reject-with qualifier, tức qualifier định loại reject message gởi lại cho người gởi Các loại qualifier sau: icmp-port-unreachable (default), icmp-net-unreachable, icmp-host-unreachable, icmp-proto-unreachable… DNAT: Thay đổi địa đích packet Tùy chọn to-destination ipaddress Phạm Văn Tùng 18 SNAT: Thay đổi địa nguồn packet Tùy chọn to-source [address][:-] MASQUERADING: Được sử dụng để thực kỹ thuật NAT (giả mạo địa nguồn với địa interface firewall) Tùy chọn [ to-ports []], định dãy port nguồn ánh xạ với dãy port ban đầu 4.5 Tổng quan IPS Firewall IPS Firewall thiết bị an ninh mạng chuyên dụng, cần thiết cho quan tổ chức IPS FIREWALL có khả bảo vệ tăng tốc cho Website trực tuyến Một Website bạn bảo vệ sau thiết bị chúng tôi, IPS FIREWALL tự động ngăn chặn mối đe dọa bao gồm công DDoS công web IPS FIREWALL tối ưu hóa việc truy cập người dùng, giúp thời gian tải trang nhanh với hiệu suất tốt IPS FIREWALL bao gồm tính bật sau: Smart Defence: Có khả phát phòng chống công, đặc biệt công từ chối dịch vụ - DDoS Smart Filter: Có khả phát ngăn chặn công ứng dụng Web (SQL Injection, XSS …) Cache: Tự động tối ưu hóa khả tải web giảm tải cho webserver phía sau Ngoài ra, IPS FIREWALL đảm báo tính Firewall hệ thứ 3, quản trị hoàn toàn Web có hệ thống cảnh báo phát công qua Mail 4.6 Các chức IPS FIREWALL 4.6.1 Configuration Phần Configuration sử dụng để cấu hình Card mạng cho Server (Network Interface), quản lý tài khoản quản trị (Account Management), cấu hình tường lửa (Firewall) xem lịch sử thay đổi (Log) Phạm Văn Tùng 19 4.6.2 Network Interface Phần Network Interface hiển thị thông tin card mạng cho thiết bị với tham số tương ứng với tham số Cpu, Ram, Bandwidth hệ thống 4.6.3 Account Management Phần Account Management hiển thị account truy cập vào hệ thống quyền truy cập Account 4.6.4 Firewall Phần Firewall, ta thêm luật vào phần Filter, NAT, Route tương ứng với luật lọc, NAT định hướng gói tin Filter: Chứa tất luật lọc thiết bị bao gồm: chặn, cho phép với IP truy cập khoảng thời gian NAT: Chứa luật NAT cho mạng qua thiết bị Route: Bảng định tuyến lưu lượng truy cập theo bảng định tuyến 4.6.5 Website Management Phần Website Management hiển thị Website bảo vệ thiết bị IPS FIREWALL Sau chọn Website cần kiểm tra, trang quản trị chuyển đổi tới trang Dashboard hiển thị hiệu Website (Dashboard), xem kiện quản trị luật chặn DDoS (DDoS), xem kiện quản trị luật WAF (WAF), cấu hình Cache (Cache) cấu hình tùy chọn nội dung Website trả cho người dùng (Customzie) 4.6.6 Dashboard Trên cùng, người quản trị biết được, họ cấu hình website nào? Trang Dashboard giúp người quản trị xem trạng thái Website thông số liên quan đến hiệu số lượng kiện ghi nhận hai chức DDoS WAF, băng thông, số lượng kết nối, yêu cầu Website, thời điểm 4.6.7 DdoS Đây tính sản phẩm BIF, giúp hệ thống ngăn chặn công DDoS tầng tới Website phía Ở mục này, ta xem event chức DDoS nhận dạng dấu hiệu công mục Events, xem cấu hình thêm luật cho Website mục Rules cuối cấu hình tham số liên quan đến cảnh báo chế độ DDoS mục Config Phạm Văn Tùng 20 4.6.8 Cache Giúp tăng tốc truy cập tới Website phía nhờ việc hệ thống Cache lại nội dung Website hệ thống Phạm Văn Tùng 21