Đang tải... (xem toàn văn)
Đề tài Tìm hiểu về giải pháp tường lửa IpTables
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO MƠN HỌC AN TỒN MẠNG MÁY TÍNH Đề tài: Tìm hiểu giải pháp tường lửa IpTables Nhóm sinh viên thực hiện: AT170356 - Trần Quốc Việt AT170352 - Tô Xuân Trường AT170203 - Chu Đức Anh AT170354 - Phạm Ngọc Tuấn AT170353 - Đỗ Hữu Tú Giảng viên hướng dẫn: GV: Phạm Minh Thuấn GV: Trần Thế Anh Hà Nội, - 2023 i MỤC LỤC MỤC LỤC DANH MỤC HÌNH DANH MỤC BẢNG DANH MỤC TỪ VIẾT TẮT LỜI CẢM ƠN MỞ ĐẦU .5 Chương GIỚI THIỆU TỔNG QUAN VỀ TƯỜNG LỬA 1.1 Tổng quan tường lửa 1.1.1 Tường lửa 1.1.2 Các quy tắc tường lửa .6 1.1.3 Chính sách mặc định .7 1.2 Phân loại tường lửa ưu nhược điểm tường lửa 1.2.1 Phân loại tường lửa 1.2.2 Ưu điểm việc sử dụng Tường lửa 1.2.3 Nhược điểm việc sử dụng Tường lửa .9 1.3 Vai trò tường lửa 10 Chương TÌM HIỂU VỀ GIẢI PHÁP TƯỜNG LỬA IPTABLES 11 2.1 Giới thiệu IpTables 11 2.1.1 Khái niệm IpTables 11 2.1.2 Cơ chế xử lý package Iptables 11 2.1.3 Một số khái niệm IpTables 13 2.2 Cách thức hoạt động IpTables 14 2.3 Tùy chọn Iptables 15 2.3.1 Những tùy chọn để định thông số Iptables 15 2.3.2 Những tùy chọn để thao tác với chain 16 2.3.3 Những tùy chọn để thao tác với rule 16 2.4 Các lệnh Iptables 16 2.4.1 Lệnh tạo rule 16 2.4.2 Lệnh bổ sung rule 18 2.4.3 Lệnh xóa rule 18 Chương THỰC NGHIỆM 19 3.1 Chuẩn bị 19 3.1.1 Mô tả 19 3.1.2 Chuẩn bị 19 3.2 Kịch 19 3.2.1 Kịch : Cho phép máy tính mạng LAN ping Internet 19 3.2.2 Kịch : Cho phép máy tính LAN truy vấn DNS Internet 22 3.2.3 Kịch : Cho phép máy tính mạng LAN truy cập website từ mạng Internet .23 3.2.4 Kich : Cho phép truy cập tới máy chủ web phân vùng mạng DMZ 26 Chương KẾT LUẬN 31 TỔNG KẾT 31 TÀI LIỆU THAM KHẢO .32 DANH MỤC HÌ Hình 1 Hình ảnh mô tường lửa 6Y Hình Các bảng iptables 12 Hình 2 Iptables hỗ trợ tùy chọn người dùng Hình Chưa có luật đặt iptables 19 Hình Máy trạm chưa thể kết nối bên 20 Hình 3 Thiết lập luật cho phép kết nối (ping) bên 21 Hình Kết máy trạm sau thực thành cơng 21 Hình Truy vấn DNS chưa thiết lập luật 22 Hình Luật cho phép truy vấn DNS 22 Hình Truy vấn DNS thành cơng 23 Hình Thông tin tường lửa thay đổi thêm luật .23 Hình Máy trạm kết nối HTTP HTTPS 24 Hình 10 Thêm vào chain INPUT cho gói tin tcp qua cổng 80 443 25 Hình 11 Thiết lập chuyển tiếp kết nối card mạng tường lửa 25 Hình 12 Luật sau thiết lập kết nối HTTP HTTPS 25 Hình 13 Kết máy trạm kết nối thành công 26 Hình 14 Mơ Hình cài đặt cho phép truy cập máy chủ web vùng DMZ 26 Hình 15 Tạo máy chủ thuộc vùng DMZ 27 Hình 16 Kết kết nối từ mạng LAN trước cấu hình .28 Hình 17 Kết tường lửa kết nối trước cấu hình 28 Hình 18 Kết nối máy vật lý với web thuộc DMZ sau thêm luật 29 Hình 19 Kết nối máy trạm LAN đến vùng DMZ sau thêm luật 30 DANH MỤC BẢNG DANH MỤC TỪ VIẾT TẮT Tên Viết Tắt HTTP SMTP NAT TTL MTU ICMP Tên đầy đủ Hypertext Transfer Protocol Ý nghĩa Một giao thức truyền tải liệu mạng Internet Simple Mail Transfer Giao thức truyền tải Protocol thư điện tử mạng Internet Network Address Kỹ thuật sử Translation dụng để chuyển đổi địa IP thiết bị mạng Time To Live Giá trị header gói tin mạng sử dụng để đảm bảo gói tin khơng vơ tận lưu lượng mạng Maximum Transmission Giá trị tối đa kích Unit thước gói tin mà thiết bị mạng gửi liên kết mạng cụ thể Internet Control Giao thức mạng Message Protocol Internet sử dụng để gửi thông báo điều khiển mạng LỜI CẢM ƠN Lời cảm ơn chúng em gửi tới nhóm giáo viên hướng dẫn, thầy nhiệt tình hỗ trợ, cung cấp kiến thức cần thiết cho nhóm chúng em thực nghiên cứu phát triển đề tài Cảm ơn bạn nhóm giúp đỡ hỗ trợ lẫn trình nghiên cứu giải pháp tường lửa IPtables Chúng em muốn gửi lời cảm ơn đến tác giả tài liệu tham khảo giúp chúng em hiểu rõ giải pháp tường lửa IPtables Chúng em học nhiều thông tin hữu ích từ tài liệu áp dụng thành cơng nghiên cứu Hi vọng đề tài nghiên cứu bọn em đạt kết tốt MỞ ĐẦU An tồn thơng tin vấn đề quan tâm hàng đầu thời đại kỹ thuật số Với phát triển nhanh chóng cơng nghệ, công mạng trở nên ngày phức tạp tinh vi hơn, đòi hỏi phải nâng cao kiến thức kỹ an tồn thơng tin.Các vấn đề bảo mật thông tin đề cập nhiều phương tiện thông tin Có nhiều cách thức để bảo mật hệ thống cách điển hình thơng dụng dùng Firewall Ban đầu, Firewall phổ biến NAT có gói chạy Linux ipchains, có số thiếu sót Để khắc phục điều này, tổ chức Netfilter định tạo sản phẩm gọi iptables Báo cáo tập trung vào giải pháp tường lửa IPtables, giải thích cơng dụng, cấu trúc cách cài đặt Báo cáo đánh giá tính hiệu độ bảo mật giải pháp Hy vọng báo cáo cung cấp cho độc giả kiến thức cần thiết giải pháp tường lửa IPtables, đóng góp vào việc nâng cao lực bảo mật mạng cộng đồng an tồn thơng tin Xin chân thành cảm ơn! Chương GIỚI THIỆU TỔNG QUAN VỀ TƯỜNG LỬA 1.1 Tổng quan tường lửa 1.1.1 Tường lửa Tường lửa thiết bị bảo mật mạng giám sát lưu lượng mạng đến và cho phép chặn gói liệu dựa quy tắc bảo mật Chức tường lửa sàng lọc tất gói tin vào, chảy mạng để ngăn chặn truy cập trái phép hai nhiều máy tính Tường lửa quét tất gói theo chấp nhận, từ chối loại bỏ gói, tùy thuộc vào quy tắc định cấu hình Các quy tắc xác định dựa sách bảo mật tổ chức Hình 1 Hình ảnh mơ tường lửa 1.1.2 Các quy tắc tường lửa - Chấp nhận: Cho phép lưu lượng truy cập - Từ chối: Chặn lưu lượng truy cập, trả lời “lỗi truy cập” - Drop: Chặn/từ chối lưu lượng truy cập không đưa phản hồi Ví dụ: tường lửa có quy tắc định cấu hình phép gói HTTP Nếu tường lửa nhận gói ICMP, cần loại bỏ gói khơng cho phép gói vào mạng Do đó, tường lửa hoạt động rào cản mạng nội mạng bên ngồi Internet 1.1.3 Chính sách mặc định Thông thường, chuỗi quy tắc tường lửa khơng bao hàm rõ ràng điều kiện xảy Vì lý này, chuỗi tường lửa phải ln có sách mặc định định, sách bao gồm hành động (chấp nhận, từ chối bỏ) Giả sử sách mặc định cho chuỗi ví dụ đặt thành drop Nếu máy tính bên ngồi văn phòng bạn cố gắng thiết lập kết nối SSH đến máy chủ, lưu lượng truy cập bị hủy khơng phù hợp với điều kiện quy tắc Nếu sách mặc định đặt thành accept , ai, ngoại trừ nhân viên khơng có kỹ thuật riêng bạn, thiết lập kết nối với dịch vụ mở máy chủ bạn Đây ví dụ tường lửa cấu hình ngăn chặn nhóm nhỏ nhân viên bạn 1.2 Phân loại tường lửa ưu nhược điểm tường lửa 1.2.1 Phân loại tường lửa Mặc dù tất phục vụ để ngăn chặn truy cập trái phép, phương pháp hoạt động cấu trúc tổng thể tường lửa đa dạng Theo cấu trúc chúng, có ba loại tường lửa – tường lửa phần mềm, tường lửa phần cứng hai : Tường lửa phần mềm Tường lửa phần mềm cài đặt thiết bị chủ Theo đó, loại tường lửa cịn gọi Host Firewall Vì gắn vào thiết bị cụ thể, phải sử dụng tài nguyên để hoạt động Do đó, việc sử dụng hết số RAM CPU hệ thống điều khơng thể tránh khỏi Nếu có nhiều thiết bị, bạn cần cài đặt phần mềm thiết bị Vì cần phải tương thích với máy chủ, u cầu cấu hình riêng cho máy Do đó, bất lợi thời gian kiến thức cần thiết để quản trị quản lý tường lửa cho thiết bị Mặt khác, ưu điểm tường lửa phần mềm chúng phân biệt chương trình lọc lưu lượng đến Do đó, họ từ chối quyền truy cập vào chương trình cho phép truy cập vào chương trình khác Tường lửa phần cứng Như tên cho thấy, tường lửa phần cứng thiết bị bảo mật đại diện cho phần cứng riêng biệt đặt mạng bên bên ngồi (Internet) Loại cịn gọi Tường lửa thiết bị Không giống tường lửa phần mềm, tường lửa phần cứng có tài nguyên không tiêu thụ CPU RAM từ thiết bị chủ Nó thiết bị vật lý đóng vai trị cổng cho lưu lượng truy cập đến từ mạng nội Chúng sử dụng tổ chức vừa lớn có nhiều máy tính hoạt động mạng Sử dụng tường lửa phần cứng trường hợp thực tế cài đặt phần mềm riêng lẻ thiết bị Việc định cấu hình quản lý tường lửa phần cứng địi hỏi kiến thức kỹ năng, đảm bảo có đội ngũ lành nghề đảm nhận trách nhiệm Tường lửa tích hợp Tường lửa tích hợp (Integrated Firewall) phần mềm phần cứng tích hợp sẵn hệ thống máy tính hay thiết bị mạng, giúp bảo vệ hệ thống khỏi cơng mạng lọc gói tin khơng mong muốn Các tường lửa tích hợp thường kèm với hệ điều hành thiết bị mạng, cung cấp cho người dùng số lượng định tính bảo mật mạng chặn kết nối đến từ địa IP không cho phép, chặn truy cập vào cổng mạng không phép, cho phép từ chối truy cập từ ứng dụng mạng khác 1.2.2 Ưu điểm việc sử dụng Tường lửa - Bảo vệ khỏi truy cập trái phép: Tường lửa thiết lập để hạn chế lưu lượng truy cập đến từ địa IP mạng cụ thể, ngăn chặn tin tặc tác nhân độc hại khác dễ dàng truy cập vào mạng hệ thống Bảo vệ khỏi truy cập không mong muốn - Ngăn chặn phần mềm độc hại mối đe dọa khác: Ngăn chặn phần mềm độc hại mối đe dọa khác: Tường lửa thiết lập để chặn lưu lượng truy cập liên kết với phần mềm độc hại biết vấn đề bảo mật khác, hỗ trợ phòng thủ chống lại loại công - Kiểm soát truy cập mạng: Bằng cách giới hạn quyền truy cập vào cá nhân nhóm định cho máy chủ ứng dụng cụ thể, tường lửa sử dụng để hạn chế quyền truy cập vào tài nguyên dịch vụ mạng cụ thể - Giám sát hoạt động mạng: Tường lửa thiết lập để ghi lại theo dõi tất hoạt động mạng Thông tin cần thiết để xác định xem xét vấn đề bảo mật loại hành vi mờ ám khác - Tuân thủ quy định: Nhiều ngành bị ràng buộc quy tắc yêu cầu sử dụng tường lửa biện pháp bảo mật khác Các tổ chức tuân thủ quy tắc ngăn chặn khoản tiền phạt hình phạt cách sử dụng tường lửa - Phân đoạn mạng: Bằng cách sử dụng tường lửa để chia mạng lớn thành mạng nhỏ hơn, bề mặt công giảm mức độ bảo mật nâng lên 1.2.3 Nhược điểm việc sử dụng Tường lửa - Độ phức tạp: Việc thiết lập trì tường lửa tốn nhiều thời gian khó khăn, đặc biệt mạng lớn cơng ty có nhiều người dùng thiết bị - Khả hiển thị hạn chế: Tường lửa khơng xác định ngăn chặn rủi ro bảo mật hoạt động cấp độ khác, chẳng hạn cấp độ ứng dụng điểm cuối, chúng quan sát quản lý lưu lượng cấp độ mạng - Cảm giác sai lầm bảo mật: Một số doanh nghiệp đặt nhiều phụ thuộc vào tường lửa họ bỏ qua biện pháp bảo mật quan trọng khác bảo mật điểm cuối hệ thống phát xâm nhập - Khả thích ứng hạn chế: Vì tường lửa thường dựa quy tắc nên chúng khơng phản ứng với mối đe dọa bảo mật - Tác động đến hiệu suất: Hiệu suất mạng bị ảnh hưởng đáng kể tường lửa, đặc biệt chúng thiết lập để phân tích quản lý nhiều lưu lượng truy cập iptables -A INPUT -j DROP 2.4.2 Lệnh bổ sung rule Để chèn rule vào vị trí việc sử dụng lệnh bổ sung thêm rule điều quan trọng Trong người dùng cần thay tham số -A table tham số INSERT –l xong Cấu trúc lệnh bổ sung rule mới: IPtables -I INPUT -p tcp –dport 8080 -j ACCEPT 2.4.3 Lệnh xóa rule Để thực xóa rule Iptables mà tạo vị trí 4, bạn sử dụng lệnh xóa với tham số -D Cấu trúc lệnh xóa rule chi tiết sau: IPtables -D INPUT Trong trường hợp bạn muốn thực thao tác xóa tồn rule chứa hành động DROP có Iptables đơn giản Bạn cần thực lệnh với cấu trúc sau dễ dàng loại bỏ tất rule IPtables -D INPUT -j DROP 18 Chương THỰC NGHIỆM 3.1 Chuẩn bị 3.1.1 Mô tả Trong thực nghiệm thực thiết lập tập luật cho tường lửa Iptables để kiểm soát dịch vụ cho mạng nội bộ, mạng DMZ, mạng Internet Cụ thể cho phép người dùng mạng nội LAN truy cập Internet với giao thức HTTP, HTTPS, ICMP, DNS Cho phép người dùng từ mạng Internet mạng nội truy cập trang web từ máy chủ web phần vùng DMZ 3.1.2 Chuẩn bị - Máy ảo hệ điều hành Windows - Các máy ảo centos 6.5, centos , ubuntu 22.04 , kali 2023.1 với vai trò tường lửa máy chủ web 3.2 Kịch 3.2.1 Kịch : Cho phép máy tính mạng LAN ping ngồi Internet - Kiểm tra thông tin luật trước thiết lập IpTables lệnh: iptables -L -n -v Hình Chưa có luật đặt iptables Kiểm tra máy trạm kết nối tới mạng internet 19