Đang tải... (xem toàn văn)
NHẬP MÔN BẢO ĐẢM VÀ AN NINH THONG TIN Duy Nguyen KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG | UIT EDU VN NHẬP MÔN BẢO ĐẢM VÀ AN NINH THONG TIN LAB 5 – TƯỜNG LỬA LINUX (IP TABLE) ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MIN[.]
ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN NHẬP MÔN BẢO ĐẢM VÀ AN NINH THONG TIN LAB – TƯỜNG LỬA LINUX (IP TABLE) Duy Nguyen KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG | UIT.EDU.VN Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin I II Mục tiêu - Tìm hiểu chế vận hành tường lửa môi trường linux - Cài đặt cấu hình tường lửa IPTABLE mơi trường Linux Giới thiệu tường lửa IP TABLE II.1 Giới thiệu tường lửa iptables IPTables tổ chức Netfilter Organization viết dùng để tăng tính bảo mật cung cấp miễn phí phiên distro hệ điều hành Linux Iptables gồm phần : Iptables nằm nhân ( user mode) Netfilter ( kernel mode) Iptables cung cấp tính sau: Tích hợp tốt với kernel tất phiên distro Linux Có khả phân tích gói tin ( mức IP ) hiệu Cung cấp khả chuyển dịch địa IP (Network Address Translation) Cung cấp số kỹ thuật ngăn chặn số kiểu công DOS, port scan, … II.2 Cơ chế xử lý gói tin iptables Iptables kiểm tra tất gói tin qua firewall iptables theo thứ tự theo nguyên tắc kiểm soát truy cập ( gọi rules) từ rules thứ đến rules cuối Iptables tổ chức theo kiểu bảng để thực tổ chức phân loại xử lý gói tin Có loại bảng iptables: Bảng MANGLE: chịu trách nhiệm biến đổi trường Type Of Service Bit gói tin TCP Bảng chủ yếu sử dụng mạng SOHO (Small Office Home Office) Bảng FILTER: chịu trách nhiệm việc thiết lập lọc cho lọc gói ( packet filtering), có loại built-in chain xây dựng sẵn để mơ tả sách firewall Ba chain là: Th.S Nguyễn Duy Bộ Môn An Tồn Thơng Tin o Forward Chain : Áp sách gói tin từ card mạng firewall đến card mạng khác để qua mạng khác o Input Chain : Áp sách gói tin vào firewall o Output Chain : Áp sách gói tin từ firewall Bảng NAT: Thực thi tính chuyển dịch địa IP ( Network Address Translation) Bảng có loại Chain sau: o PREROUTING (tiền định tuyến) : NAT từ vào mạng nội Quá trình NAT thực trước trình định tuyến, điều thuận lợi cho việc chuyển dịch địa IP đích cho phù hợp với bảng định tuyến Firewall, kỹ thuật ta gọi DNAT ( Destination NAT) o POSTROUTING( NAT hậu định tuyến) : NAT từ Quá trình NAT thực sau trình định tuyến hồn tất, điều thuận lợi cho việc chuyển dịch địa nguồn gói tin thành địa IP khác, kỹ thuật ta gọi SNAT (Source NAT) Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin III.3 Đặc điểm viết rule iptables Rule gồm điều kiện định ( target) Bắt đầu từ rule Khi điều kiện rule thỏa, gói tin áp sách trường target Khi điều kiện khơng thõa, iptables kiểm tra điều kiện rule ( theo thứ tự) Khi khơng có điều kiện thuộc rule thỏa, sách mặc định tương ứng với chain áp dụng ( sách mặc định Chain DROP hay ACCEPT) Một số sách áp dụng cho gói tin: ACCEPT: iptables cho phép gói tin qua DROP: iptables khơng cho phép gói tin qua REJECT: iptables khơng cho phép gói tin qua gửi thông báo ngược lại cho người gửi DNAT: thay đổi địa đích gói tin, thường kèm thơng số địa IP muốn thay đổi SNAT : thay đổi địa nguồn gói tin, thường kèm thơng số địa IP muốn thay đổi Một số trạng thái kết nối sử dụng: Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin NEW : gói liệu thuộc kết nối hồn tồn ESTABLISHED: gói liệu thuộc kết nối khởi tạo hai hướng RELATED: gói liệu thuộc kết nối phụ kết nối tại, thường dùng với giao thức icmp hay ftp II.4 Một số lưu ý quan trọng Chúng ta trình bày số thơng số quan trọng, để xem tất thông số iptables, dùng lệnh man iptables hay iptables help linux III Triển khai tường lửa IP TABLE III.1 Mô tả lab Trong lab này, triển khai iptables hệ điều hành Linux network firewall III.2 Mơ hình triển khai Bảng thông tin địa IP: IP Address SubnetMask Default Gateway DNS PC1 192.168.1.1 255.255.255.0 192.168.1.254 8.8.8.8 PC2 192.168.1.2 255.255.255.0 192.168.1.254 8.8.8.8 Th.S Nguyễn Duy Bộ Mơn An Tồn Thông Tin eth0 : Bridge Iptables ( CentOS) eth1: 192.168.1.254 255.255.255.0 III.3 Cài đặt Khởi tạo máy ảo IPTABLES sau ( Sử dụng hệ điều hành CentOS) Các địa IP máy Iptables Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin Kiểm tra gói iptables cài đặt hay chưa Dùng lệnh rpm qi iptables để kiểm tra Nếu chưa có, dùng lệnh yum install iptables để cài đặt III.4 Cấu hình Bật tính ip forwarding Centos file /etc/sysctl.conf cách sửa số thành số vi /etc/sysctl.conf Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin Sau lưu lại cấu hình khởi động lại lệnh service networking restart Chú ý: Chúng ta thao tác với hai bảng chủ yếu bảng FILTER bảng NAT Khởi động iptables : service iptables start Tắt iptables : service iptables stop Tắt khởi động lại iptables : Th.S Nguyễn Duy Bộ Môn An Tồn Thơng Tin service iptables restart Xóa tất rule iptables : iptables –F Chú ý: Nếu không tường minh bảng , mặc định thao tác với bảng FILTER Xem thông tin trạng thái iptables: iptables –L –n –v hay service iptables status Kiểm tra: o Máy thật có SSH đến Iptables hay khơng? o Iptables ping đến PC1 hay không ? Chúng ta thấy (POLICY ACCEPT : rule mặc định cho phép tất gói tin) Chỉnh sửa rule mặc định iptables thành DROP iptables –P INPUT DROP iptables –P OUTPUT DROP iptables –P FORWARD DROP Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin Kiểm tra: o Phiên kết nối SSH ban đầu cịn tồn hay khơng ? o Iptables ping đến PC1 hay không ? Cấu hình cho phép SSH vào iptables: iptables –A INPUT –p tcp –dport 22 –m state –state NEW,ESTABLISHED,RELATED –j ACCEPT iptables –A OUTPUT –p tcp –sport 22 –m state –state NEW,ESTABLISHED,RELATED –j ACCEPT Kiểm tra: Máy thật có SSH vào iptables hay khơng? Cấu hình cho phép ứng dụng giao tiếp với thông qua cổng loopback iptables: iptables –A INPUT –i lo –j ACCEPT Cấu hình cho phép kết nối khởi tạo trước đó: iptables –A INPUT –m state –state ESTABLISHED,RELATED –j ACCEPT Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin Cấu hình NAT vùng mạng Client internet dùng địa IP card eth0 ( giống chức NAT overload router Cisco) iptables –A POSTROUTING –t nat –o eth0 –j MASQUERADE Trong -A : Thêm rule vào chain POSTROUTING -t : muốn thêm vào bảng -o : cổng output -j : nhảy đến điều kiện MASQUERADE ( từ khóa NAT nhiều – một) Kiểm tra: o PC1, PC2 có sử dụng dịch vụ http,https,dns hay không? o PC1 có ping iptables hay khơng ? Cấu hình rule cho phép PC thuộc lớp mạng 192.168.1.0/24 duyệt web theo giao thức http, https Trên iptables tiến hành mở port 80,443,53 iptables –A FORWARD –i eth1 –o eth0 –p udp –dport 53 –j ACCEPT iptables –A FORWARD –i eth1 –o eth0 –p tcp –dport 80 –j ACCEPT iptables –A FORWARD –i eth1 –o eth0 –p udp dport 443 –j ACCEPT iptables –A FORWARD –i eth0 –o eth1 –m state state RELATED,ESTABLISHED –j ACCEPT Lưu ý : -p : giao thức ứng dụng -s : source ip lớp mạng -m state : trạng thái kết nối 10 Th.S Nguyễn Duy Bộ Mơn An Tồn Thông Tin Ý nghĩa rule cuối cùng: cho phép tất gói tin từ cổng eth0 vào cổng eth1 phần kết nối khởi tạo trước Kiểm tra: o PC1 truy cập số trang web theo giao thức http hay không ? o PC2 truy cập số trang web theo giao thức https hay không ? o PC1, PC2 dùng lệnh nslookup phân giải tên miền hay không ? o PC1, PC2 ping đến website www.google.com.vn hay không ? Cho phép PC1 thực ping đến iptables iptables –A INPUT –p icmp –icmp-type –s 192.168.1.1 -m state state NEW,ESTABLISHED,RELATED –j ACCEPT iptables –A OUTPUT –p icmp –icmp-type -d 192.168.1.1 -m state state NEW,ESTABLISHED,RELATED –j ACCEPT Kiểm tra: o PC1 ping đến iptables hay không ? o PC2 ping đến iptables hay không ? Lưu lại cấu hình iptables: iptables-save > /etc/sysconfig/iptables 11 Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin 12 ... động iptables : service iptables start Tắt iptables : service iptables stop Tắt khởi động lại iptables : Th.S Nguyễn Duy Bộ Mơn An Tồn Thơng Tin service iptables restart Xóa tất rule iptables : iptables... với bảng FILTER Xem thông tin trạng thái iptables: iptables –L –n –v hay service iptables status Kiểm tra: o Máy thật có SSH đến Iptables hay không? o Iptables ping đến PC1 hay không ? Chúng ta... NEW,ESTABLISHED,RELATED –j ACCEPT Kiểm tra: o PC1 ping đến iptables hay không ? o PC2 ping đến iptables hay không ? Lưu lại cấu hình iptables: iptables-save > /etc/sysconfig/iptables 11 Th.S Nguyễn Duy Bộ Mơn An