Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Lời cảm ơn Sau thời gian thực luận văn, ngồi cố gắng thân, em nhận khích lệ, động viên nhiều từ phía nhà trường, cơng ty, thầy cô bạn bè Trước hết, xin cám ơn gia đình ln động viên tạo điều kiện tốt để học tập hoàn thành luận văn tốt nghiệp Em xin cám ơn thầy cô Trường Đại Học Kinh doanh Công nghệ Hà Nội truyền đạt kiến thức quý báu cho em suốt trình học tập Đặc biệt, em xin bày tỏ lòng biết ơn chân thành sâu sắc đến TS Nguyễn Khắc Lịch, người tận tình hướng dẫn giúp đỡ em suốt thời gian thực luận văn Em xin gửi lời chân thành cảm ơn đến anh Trần Xuân Trường – trưởng phịng IT Cơng ty cổ phần chứng khốn Trí Việt, tạo điều kiện thuận lợi để em thực tập công ty Em gửi lời sâu sắc đến anh: Nguyễn Tuấn Dũng, Hoàng Quang Nhật, Nguyễn Kiều Anh anh phịng IT nhiệt tình hướng dẫn bảo em có kinh nghiệm thực tế nhân viên hệ thống mạng Qua trình thực tập, em tiếp thu kiến thức kinh nghiệm quý báu Những kinh nghiệm giúp em nhiều việc thực luận văn tốt nghiệp Xin cám ơn tất bạn bè động viên, giúp đỡ em q trình học tập hồn thành tốt luận văn tốt nghiệp Tuy nhiên cố gắng chắn luận văn em cịn nhiều điểm chưa hồn thiện Vì vậy, tương lai em phải học tập nghiên cứu nhiều Kính mong đóng góp ý kiến thầy cô bạn Một lần nữa, em xin chân thành cảm ơn TS Nguyễn Khắc Lịch, anh Nguyễn Tuấn Dũng, bạn giúp đỡ em hoàn thành đề tài luận văn: “Một số giải pháp an ninh mạng Linux với Firewall – Netfilter/Iptables” Hà Nội, 05/2011 Sinh viên thực Nguyễn Đức Anh Nguyễn Đức Anh - TH1204 1|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Lời nói đầu Sự phát minh máy vi tính hình thành Mạng lưới Thơng Tin Tồn Cầu (Internet) mở kỷ nguyên cho việc thơng tin liên lạc Từ máy vi tính nối vào Mạng lưới Thơng Tin Tồn Cầu (WWW) người sử dụng gửi nhận tin tức từ khắp nơi giới với khối lượng tin tức khổng lồ thời gian tối thiểu thông qua số dịch vụ sẵn có Internet Ngày nay, máy tính internet phổ biến rộng rãi, tổ chức, nhân có nhu cầu sử dụng máy tính mạng máy tính để tính tốn, lưu trữ, quảng bá thông tin hay sử dụng giao dịch trực tuyến mạng Nhưng đồng thời với hội mở lại có nguy mạng máy tính khơng quản lí dễ dàng bị công, gây hậu nghiêm trọng Từ nảy sinh một yêu cầu đó là cần có một giải pháp hoặc một hệ thống an ninh bảo vệ cho hệ thống mạng và luồng thông tin chạy nó Một các giải pháp chính và tốt nhất hiện là đưa khái niệm Firewall và xây dựng nó để giải quyết những vấn đề này Thuật ngữ “Firewall” có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn hạn chế hoả hoạn Trong Công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống số thông tin khác không mong muốn Có hai loại kiến trúc FireWall bản là: Proxy/Application FireWall Filtering Gateway Firewall Hầu hết hệ thống Firewall đại loại lai (hybrid) hai loại Nhiều công ty nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux Internet Gateway Những máy chủ thường phục vụ máy chủ Mail, Web, Ftp, hay Dialup Hơn nữa, chúng thường hoạt động Firewall, thi hành sách kiểm sốt Internet mạng công ty Khả uyển chuyển, tính kinh tế, và sự bảo mật cao khiến cho Linux thu hút thay cho hệ điều hành thương mại Tính Firewall chuẩn cung cấp sẵn Kernel Linux xây dựng từ hai thành phần : Ipchains IP Masquerading Linux IP Firewalling Chains chế lọc gói tin IP Những tính IP Chains cho phép cấu hình máy chủ Linux Filtering Gateway/Firewall dễ dàng Một thành phần quan trọng khác Kernel IP Masquerading, tính chuyển đổi địa mạng (Network Address Translation- NAT) mà che giấu địa IP thực mạng bên Ngoài Kernel của Linux 2.4x và 2.6x cũng có một Firewall ứng dụng lọc gói tin có thể cấu hình ở mức độ cao Netfilter/Iptables Nguyễn Đức Anh - TH1204 2|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Netfilter/Iptables gồm phần Netfilter nhân Linux Iptables nằm nhân Netfilter cho phép cài đặt, trì và kiểm tra các quy tắc lọc gói tin Kernerl Netfilter tiến hành lọc gói liệu mức IP Netfilter làm việc nhanh không làm giảm tốc độ hệ thống Được thiết kế để thay cho linux 2.2.x Ipchains linux 2.0.x Ipfwadm, có nhiều đặc tính Ipchains xây dựng hợp lý Iptables chịu trách nhiệm giao tiếp người dùng Netfilter để đẩy luật người dùng vào cho Netfilter xử lí Chương trình Iptables được dùng để quản lý các quy tắc lọc gói tin bên dưới sở hạ tầng của Netfilter Các ứng dụng của Iptables đó là làm IP Masquerading, IP NAT IP Firewall Luận văn em được viết nhằm đem đến cho mọi người cái nhìn rõ nét về FireWall và đặc biệt là FireWall Iptables của Linux Mục lục Lời cảm ơn Lời nói đầu Nguyễn Đức Anh - TH1204 3|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES CHƯƠNG I : TỔNG QUAN VỀ AN TỒN - AN NINH MẠNG I.1 An tồn mạng ? I.2 Các tiêu chí bảo vệ thơng tin mạng I.2.1 Tính xác thực (Authentification): I.2.2 Tính khả dụng (Availability): I.2.3 Tính bảo mật (Confidentiality): I.2.4 Tính tồn vẹn (Integrity): I.2.5 Tính kiểm sốt truy nhập (Access control): I.2.6 Tính chối bỏ (Nonrepudiation): I.3 Đánh giá đe doạ, điểm yếu hệ thống kiểu công I.3.1 Đánh giá đe doạ I.3.2 Các lỗ hổng điểm yếu mạng I.3.3 Các kiểu công 10 I.3.4 Các biện pháp phát hệ thống bị công 11 I.4 Bảo vệ thông tin mạng 11 CHƯƠNG II:TỔNG QUAN FIREWALL II.1 Một số khái niệm II.2.Chức 14 14 14 II.2.1 Khả hệ thống firewall 15 II.2.2 Những hạn chế firewall16 II.2.3 Một số mơ hình Firewall dùng cho doanh nghiệp vừa và……………………… 17 II.3 Phân loại tường lửa (Firewall)18 II.3.1 Firewall lọc gói 19 II.3.2 Bức tường lửa ứng dụng(Application firewall) 21 II.3.3 Bức tường lửa nhiều tầng 25 II.4 Một vài kiến trúc firelwall 25 II.4.1 Screening Router 25 II.4.2 Dual-Homed Host 26 II.4.3 Bastion Host (máy chủ pháo đài) 27 II.4.4 Screened host (máy chủ sang lọc) 28 II.4.5 Mô hình Demilitarized Zone (DMZ) hay Screened Subnet Firewall CHƯƠNG III: NETFILTER/IPTABLES TRONG LINUX III.1 Giới thiệu 29 32 32 III.2 Tính Iptables……………………………………………………… 35 Nguyễn Đức Anh - TH1204 4|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES III.3 Cấu trúc Iptables 36 III.4 Q trình chuyển gói liệu qua tường lửa III.4.1 Xử lý gói Iptables III.4.2 Target Jumps 37 41 CHƯƠNG IV : ỨNG DỤNG FIREWALL IV.1 Sử dụng Iptables 37 43 43 IV.1.1 Cài đặt Iptables – File cấu hình 43 IV.1.2 Cài đặt Iptables Kernel………………………………………………… 42 IV.1.3 Các thao tác toàn chuỗi luật IV.1.4 Luật đơn 47 48 IV.1.5 Mô tả lọc 48 IV.1.6 Mô tả hành động 51 IV.2 Các ứng dụng 53 IV.2.1 Một số giá trị khởi tạo Iptables ………………………………… ……… .53 IV.2.2 Cho phép máy chủ DNS truy cập đến Firewall.…………………………… 54 IV.2.3 Cho phép WWW SSH truy cập vào Firewall……………….…………… 54 IV.2.4 Cho phép Firewall truy cập Internet………………………………………… 55 IV.2.5 File cấu hình cho IP Masquerading………………………………………… 55 IV.2.6 NAT tĩnh (SNAT)…………………………………………………… … … 56 IV.3 Mô hình lab triển khai……………………………………………………… 58 KẾT LUẬN ……………………………………………….………………….…62 CÁC TỪ VIẾT TẮT - THUẬT NGỮ - ĐỊNH NGHĨA - CÂU LỆNH 63 TÀI LIỆU THAM KHẢO.…………………………………………………… 68 CHƯƠNG I : TỔNG QUAN VỀ AN TỒN THƠNG TIN TRÊN MẠNG I.1 An tồn mạng ? Nguyễn Đức Anh - TH1204 5|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác sử dụng chung tài nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tài nguyên thông tin mạng tránh mát, xâm phạm cần thiết cấp bách An tồn mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm : liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng An tồn mạng bao gồm : Xác định sách, khả nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an tồn mạng Đánh giá nguy cơng Hacker đến mạng, phát tán virus…Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng Một thách thức an toàn mạng xác định xác cấp độ an tồn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hỏng khiến mạng bị xâm phạm thơng qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, bọ gián điệp, nguy xoá, phá hoại CSDL, ăn cắp mật khẩu,…nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Khi đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt để đảm bảo an ninh mạng Sử dụng hiệu cơng cụ bảo mật (ví dụ Firewall) biện pháp, sách cụ thể chặt chẽ Về chất phân loại vi phạm thành vi phạm thụ động vi phạm chủ động Thụ động chủ động hiểu theo nghĩa có can thiệp vào nội dung luồng thơng tin có bị trao đổi hay khơng Vi phạm thụ động nhằm mục đích nắm bắt thơng tin Vi phạm chủ động thực biến đổi, xố bỏ thêm thơng tin ngoại lai để làm sai lệch thơng tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường khó phát ngăn chặn hiệu Trái lại, vi phạm chủ động dễ phát lại khó ngăn chặn I.2 Các tiêu chí bảo vệ thơng tin mạng I.2.1 Tính xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể người sử dụng, chương trình Nguyễn Đức Anh - TH1204 6|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống thơng thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phương thức bảo mật dựa vào mơ hình sau :  Đối tượng cần kiểm tra cần phải cung cấp thông tin trước, ví dụ password, mã số thơng số cá nhân PIN  Kiểm tra dựa vào mô hình thơng tin có, đối tượng kiểm tra cần phải thể thông tin mà chúng sở hữu, ví dụ Private Key, số thẻ tín dụng  Kiểm tra dựa vào mơ hình thơng tin xác định tính nhất, đối tượng kiểm tra cần phải có thơng tin để định danh tính mình, ví dụ thơng qua giọng nói, dấu vân tay, chữ ký,… Có thể phân loại bảo mật VPN theo cách sau : mật truyền thống hay mật lần; xác thực thông qua giao thức (PAP, CHAP, ) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, qt võng mạc…) I.2.2 Tính khả dụng (Availability): Tính khả dụng đặc tính mà thơng tin mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu cần thiết nào, hồn cảnh Tính khả dụng nói chung dùng tỉ lệ thời gian hệ thống sử dụng bình thường với thời gian trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau : Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cưỡng ), khống chế lưu lượng (chống tắc nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống lưu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tương ứng) Ví dụ hệ thống công ty phải sẵn sàng đáp ứng truy vấn nhân viên (user) thời gian nhanh có thể, phải đảm bảo nhân viên (user) đáp ứng thời gian ngắn I.2.3 Tính bảo mật (Confidentiality): Tính bảo mật đặc tính tin tức khơng bị tiết lộ cho thực thể hay q trình khơng đuợc uỷ quyền biết không đối tượng xấu lợi dụng Thông tin cho phép thực thể uỷ quyền sử dụng Kỹ thuật bảo mật thường phòng ngừa dò la thu thập, phòng ngừa xạ, tăng cường bảo mật thông tin (dưới khống chế khoá mật mã), bảo mật vật lý (sử dụng phương pháp vật lý để đảm bảo tin tức không bị tiết lộ) Dữ liệu hệ thống phải bảo mật tuyệt đối nhiều phương pháp mã hóa Ipsec tool mã hóa liệu Nguyễn Đức Anh - TH1204 7|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES I.2.4 Tính tồn vẹn (Integrity): Là đặc tính thơng tin mạng chưa uỷ quyền khơng thể tiến hành được, tức thông tin mạng lưu giữ q trình truyền dẫn đảm bảo khơng bị xoá bỏ, sửa đổi, giả mạo, làm dối loạn trật tự, phát lại, xen vào cách ngẫu nhiên cố ý phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới toàn vẹn thông tin mạng gồm : cố thiết bị, sai mã, bị tác động người, virus máy tính Một số phương pháp bảo đảm tính tồn vẹn thơng tin mạng : - Giao thức an tồn kiểm tra thơng tin bị chép, sửa đổi hay chép, Nếu phát thơng tin bị vơ hiệu hố - Phương pháp phát sai sửa sai Phương pháp sửa sai mã hoá đơn giản thường dùng phép kiểm tra chẵn lẻ - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc cản trở truyền tin - Chữ ký điện tử : bảo đảm tính xác thực thông tin - Yêu cầu quan quản lý trung gian chứng minh chân thực thơng tin I.2.5 Tính kiểm sốt truy nhập (Access control): Là khả hạn chế kiểm soát truy nhập đến hệ thống máy tính ứng dụng theo đường truyền thông Mỗi thực thể muốn truy nhập phải định danh hay xác nhận có quyền truy nhập phù hợp Trong hệ thống thông thường lắp đặt isa để kiểm soát truy nhập khả chạy ứng dụng Ở phân quyền người sử dụng thơng thường (user) ko thể chạy file cài đặt, thay đổi địa IP hay truy cập đến file không cho phép fileserver, việc có quyền quản trị làm I.2.6 Tính khơng thể chối bỏ (Nonrepudiation): xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ phủ nhận thao tác cam kết thực Hệ thống phải có biện pháp giám sát, đảm bảo đối tượng tham gia trao đổi thơng tin khơng thể từ chối, phủ nhận việc phát hành hay sửa đổi thông tin I.3 Đánh giá đe doạ, điểm yếu hệ thống kiểu công I.3.1 Đánh giá đe doạ Về có mối đe doạ đến vấn đề bảo mật mạng sau : Đe doạ khơng có cấu trúc (Unstructured threats) Đe doạ có cấu trúc (Structured threats) Đe doạ từ bên (External threats) Nguyễn Đức Anh - TH1204 8|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES - Đe doạ từ bên (Internal threats) I.3.2 Các lỗ hổng điểm yếu mạng Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp lệ vào hệ thống Các lỗ hổng nằm dịch vụ sendmail, Web, Ftp hệ điều hành WindowsNT, Windows server, Unix ứng dụng mà người sử dụng thường xuyên sử dụng word processing, hệ databases… Có nhiều tổ chức khác tiến hành phân loại dạng lỗ hổng đặc biệt Theo cách phân loại Bộ quốc phòng Mỹ, loại lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: Cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Denial of Services) Mức độ nguy hiểm thấp, ảnh hưởng chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không phá hỏng liệu chiếm quyền truy nhập Lỗ hổng loại B: Cho phép người sử dụng có thêm quyền hệ thống mà khơng cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng loại thường có ứng dụng hệ thống, dẫn đến lộ thông tin yêu cầu bảo mật Lỗ hổng loại A: Cho phép người sử dụng truy nhập vào hệ thống bất hợp pháp Lỗ hổng loại nguy hiểm, làm phá huỷ tồn hệ thống Hình 1-1: Các loại lỗ hổng bảo mật mức độ nguy hiểm I.3.3 Các kiểu công Tấn công trực tiếp Nguyễn Đức Anh - TH1204 9|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/IPTABLES Những công trực tiếp thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp cơng cổ điển dị tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ công dựa vào thơng tin mà chúng biết tên người dùng, ngày sinh, địa chỉ, số nhà v.v để đốn mật dựa chương trình tự động hố việc dị tìm mật Trong số trường hợp, khả thành công phương pháp lên tới 30% Phương pháp sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công tiếp tục để chiếm quyền truy nhập.Trong số trường hợp phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống Nghe trộm   Việc nghe trộm thơng tin mạng đem lại thơng tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thơng qua chương trình cho phép Những thơng tin dễ dàng lấy Internet Giả mạo địa   Việc giả mạo địa IP thực thơng qua việc sử dụng khả dẫn đường trực tiếp Với cách cơng này, kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi Vơ hiệu chức hệ thống   Đây kểu cơng nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu cơng ngăn chặn được, phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng Lỗi người quản trị hệ thống   Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội Tấn công vào yếu tố người   Kẻ cơng liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ Nguyễn Đức Anh - TH1204 10 | P a g e ... Đức Anh - TH1204 3|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/ IPTABLES CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG I.1 An tồn mạng ? I.2 Các tiêu chí bảo vệ thơng tin mạng. .. : TỔNG QUAN VỀ AN TỒN THƠNG TIN TRÊN MẠNG I.1 An tồn mạng ? Nguyễn Đức Anh - TH1204 5|Page Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/ IPTABLES Mục tiêu việc kết nối mạng để nhiều... Firewall dùng cho doanh nghiệp vừa nhỏ Nguyễn Đức Anh - TH1204 16 | P a g e Một số giải pháp an ninh mạng Linux với Firewall -NETFILTER/ IPTABLES Với doanh nghiệp nhỏ việc trang bị mạng tác nghiệp