Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 23 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
23
Dung lượng
7,23 MB
Nội dung
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA KHOA HỌC VÀ KỸ THUẬT THÔNG TIN NHẬP MÔN BẢO ĐẢM VÀ AN NINH THÔNG TIN BÁO CÁO THỰC HÀNH LAB Giảng viên hướng dẫn: Phạm Nhật Duy Lớp: IE105.N12.CNCL Sinh viên thực hiện: Bùi Công Tri MSSV: 20521044 Nguyễn Thanh Nhàn MSSV: 20521700 Đinh Thị Ánh Nguyệt MSSV: 20521687 Nguyễn Tiến MSSV: 20522009 Phạm Hữu Phúc MSSV: 20521770 Nguyễn Phương Tồn MSSV: 20522027 TP Hồ Chí Minh – 05/01/2023 Mục lục LAB I GIỚI THIỆU VỀ SQUID PROXY II TRIỂN KHAI SQUID PROXY .3 Mô tả lab: Mơ hình triển khai: 3 Cài đặt III TRIỂN KHAI MỘT SỐ CHÍNH SÁCH QUẢN LÝ TRUY CẬP TRÊN SQUID Viết sách quản lý truy cập internet theo thời gian: Viết sách quản lý truy cập theo tên miền trang web 3 Viết sách quản lý truy cập theo địa IP: IV V KIỂM TRA CÁC CHÍNH SÁCH VỪA TẠO .3 Kiểm tra sách truy cập theo thời gian Kiểm tra sách kiểm sốt truy cập theo IP 3 Kiểm tra sách kiểm sốt truy cập theo tên miền Phần mở rộng a) Tìm hiểu triển khai cơng cụ quản trị Squid Proxy: Webmin .3 b) Tìm hiểu triển khai công cụ quản trị kết xuất báo cáo truy cập web người dùng : The Squid Analyzer c) Tìm hiểu triển khai proxy hoàn chỉnh : bao gồm HTTP+HTTPS proxy, tích hợp chống virus, lọc theo content trang web, tích hợp chứng thực người dùng sử dụng proxy, Mục lục hình ảnh LAB I GIỚI THIỆU VỀ SQUID PROXY Squid proxy giải pháp proxy mã nguồn mở Squid có đầy đủ tính giải pháp proxy chun dụng, ngồi cịn hỗ trợ thêm tính ICP ( Internet Cache Protocol) cho phép cập nhật thay đổi nội dung URL sẵn có nhớ đệm đồng thời lại cung cấp miễn phí Chính lý Squid trở thành giải pháp web caching proxy nhiều người sử dụng Chúng ta xem thêm số thông tin trang chủ http://squid-cache.org Trong lab này, triển khai Squid Proxy hệ điều hành CentOS 6.7 i686 II TRIỂN KHAI SQUID PROXY Mô tả lab: Trong lab này, triển khai squid proxy hai chế độ: Squid non-transparent proxy Squid transparent proxy (kết hợp iptables) Sau triển khai xong viết sách kiểm sốt truy cập tương ứng Mơ hình triển khai: Bảng thông tin địa IP: Dùng lệnh ip a để kiểm tra IP eth1, sau dựa vào để cấu hình IP cho PC1 PC1 IP Address SubnetMask 192.168.112.5 255.255.255.0 Default Gateway DNS eth0: Bridge Squid Proxy eth1: 192.168.112.137 255.255.255.0 Cài đặt Khởi tạo máy ảo sau: Cấu hình cho IpTable: - Cho phép ứng dụng giao tiếp với thông qua cổng loopback iptables: iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT - Cho phép kết nối dc khởi tạo trước - NAT cho dải IP nội internet: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE iptables -A FORWARD -i eth1 -o eth0 -p udp dport 53 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp dport 80 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p udp dport 443 -j ACCEPT - Trên iptables, tiến hành mở port 53, 80 443 Cho phép tất gói tin từ cổng eth0 vào cổng eth1 phần kết nối khởi tạo trước Lưu lại cấu hình iptables: iptables-save > /etc/sysconfig/iptables iptables -A FORWARD -i eth0 vi /etc/squid/squid.conf RELATED,ESTABLISHED -j ACCEPT -o eth1 -m state state Cấu hình squid chế độ non-transparent proxy: Dưới trường “Apdapt to list your IP internal network from where browsing should be allowed thêm vào dòng sau Trường định nghĩa dải địa IP mà cho phép sử dụng squid proxy Chúng ta thêm vào dòng sau acl local_net src 192.168.1.0/24 Dưới trường “INSERT YOUR OWN RULE HERE TO ALLOWED ACCESS FROM YOUR CLIENT”, thêm vào dòng sau: http_access allow local_net Định nghĩa port mà Squid Proxy lắng nghe Chúng ta để mặc định 3128 Uncomment (Xóa dấu #) trước dịng cache_dir ufs /var/spool/squid 1000 16 256 Các thơng số có ý nghĩa sau: Dung lượng lưu trữ dành cho squid cache ổ cứng 1000 MB Bao gồm 16 thư mục Mỗi thư mục bao gồm 256 thư mục Các thơng số tùy chỉnh theo nhu cầu riêng cho thích hợp Khởi tạo thư mục cache: squid –z Khởi động lại squid: service squid restart Cấu hình iptables: Bật tính ip_forwarding: Chỉnh sửa file vi /etc/sysctl.con Cấu hình NAT cho dải IP nội internet: ptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (Trong card eth0 card giao tiếp với internet) Chỉnh sửa CHAIN iptables mặc định ACCEPT iptables –P INPUT ACCEPT iptables –P OUTPUT ACCEPT iptables –P FORWARD ACCEPT Tắt Selinux: vi /etc/sysconfig/selinux Lưu ý trường hợp mục Default gateway bỏ trống Trên Client, vào Control Panel | Internet Option | Connection | LAN Settings Điền thông số sau: Address: Địa IP Squid Proxy Port : Địa Port mà squid proxy thực lắng nghe Sau chọn OK Trên client, thực truy cập thử vào internet Ta thấy client truy cập bình thường Xem thông tin access.log Squid: tail –f /var/log/squid/access.log Trong file log thấy có hai kiểu tin: TCP_MISS: Nội dung khơng tìm thấy cache, yêu cầu redirect trực tiếp đến Server TCP_HIT: Nội dung tìm thấy cache, yêu cầu trả trực tiếp cho client Kết luận: Chúng ta triển khai thành công Squid chế độ non-transparent Cấu hình squid chế độ transparent proxy: Khi cấu hình squid chế độ transparent proxy tính NAT iptables làm nhiệm vụ chuyển hướng luồng traffic đến IP + port mà squid lắng nghe Chỉnh sửa file cấu hình squid sau: Dùng tính NAT iptables để chuyển dịch địa IP tương ứng: iptables –t nat –A PREROUTING –i eth1 –p tcp dport 80 –j DNAT –to 192.168.1.254:3128 iptables –t nat –A PREROUTING –i eth0 –p tcp dport 80 –j REDIRECT –to-port 3128 Thêm câu lệnh sau: visible_hostname centossrv Với centossrv hostname squid proxy Giải thích ý nghĩa hai câu lệnh : Câu lệnh thứ nhất: thực thay đổi destination IP tất gói tin đến từ mạng nội ( cổng eth1) có giao thức tcp có port đích 80 thành địa IP port tương ứng squid proxy Câu lệnh thứ hai : thực chuyển hướng port từ port 80 sang port 3128 tất gói tin từ mạng bên (cổng eth0) Khởi động lại squid: service squid restart 10 Trên client, cấu bình thường: TRIỂN KHAI MỘT SỐ CHÍNH SÁCH QUẢN LÝ TRUY III CẬP TRÊN SQUID Viết sách quản lý truy cập internet theo thời gian: Thêm dòng ACL sau danh sách quản lý truy cập Squid: vi /etc/squid/squid.conf Trong H T W H F viết tắt ngày tuần bao gồm (M: thứ hai, T: thứ ba, W: thứ tư, H : thứ năm, F: thứ sáu) Thêm dòng 11 Viết sách quản lý truy cập theo tên miền trang web Comment (Thêm dấu # vào dòng rule vừa tạo) Thêm file restricted-site.squid vào đường dẫn /etc/squid/ chứa destination domain cần cấm vi /etc/squid/restricted-site.squidA Thêm dịng sau vào file cấu hình squid /etc/squid/squid.conf Định nghĩa acl chứa nội dung file vừa tạo: Viết rule tương ứng với acl đó: 12 Viết sách quản lý truy cập theo địa IP: Định nghĩa acl chứa địa IP cần cấm Thêm dòng ACL : IV KIỂM TRA CÁC CHÍNH SÁCH VỪA TẠO Kiểm tra sách truy cập theo thời gian 13 14 Triển khai sách quản lý truy cập thành cơng Kiểm tra sách kiểm sốt truy cập theo IP 15 16 Triển khai sách quản lý truy cập thành công Kiểm tra sách kiểm sốt truy cập theo tên miền 17 Triển khai sách quản lý truy cập thành cơng 18 Triển khai sách quản lý truy cập thành cơng 19 Triển khai sách quản lý truy cập thành công V Phần mở rộng a) Tìm hiểu triển khai cơng cụ quản trị Squid Proxy: Webmin Khái niệm: Là mã nguồn mở chương trình đơn giản hóa việc quản lý hế thống Unix/ Linux Cho phép điều khiển nhiều máy tính thơng qua giao diện (Có thể điều khiển từ xa) Viết ngơn ngữ Perl, có hỗ trợ khái niệm module Được dùng cho mục đích thương mai phi thương mại Đặc tính: Cổng TCP mặc định 10000 để liên lạc Được xây dựng xung quanh Cho phép kiểm sốt nhiều máy thơng qua giao diện module => Dễ dàng thêm chức đăng nhập máy chủ khác mạng LAN - Tính năng: 20 Tùy chỉnh server BIND DNS Hỗ trỡ server web Apache Biến version PHP cấu hình Quản lý file đồ họa Email servers Quản lý liệu MySQL PostgreSQL Nhiều tính để bảo vệ server gốc Ưu điểm: Là mã nguồn mở miễn phí Tương thích với nhiều hệ điều hành b) Tìm hiểu triển khai cơng cụ quản trị kết xuất báo cáo truy cập web người dùng : The Squid Analyzer Định nghĩa: Là cơng cụ để phân tích đăng nhập cho Squid Proxy server Nó tạo Là mã nguồn mở miễn phí Tương thích với nhiều distro Linux như: RHEL, CentOS, Fedora, Debian, cung cấp báo cáo phân tích dựa web Ubuntu, Linux Mint - Giải vấn đề: Hỗ trợ thống kê tổng hợp log từ Squid proxy c) Tìm hiểu triển khai proxy hoàn chỉnh : bao gồm HTTP+HTTPS proxy, tích hợp chống virus, lọc theo content trang web, tích hợp chứng thực người dùng sử dụng proxy, Định nghĩa: Đóng hai vai trị việc phục vụ máy khách HTTP lẫn máy chủ HTTP cho chức bảo mật, quản lý lưu trữ Định tuyến cho yêu cầu từ máy khách HTTP, đồng thời hỗ trợ lưu trữ liệu từ internet vào cache Đặc tính: Cho phép hoạt động Net với giao thức HTTP, đơi sử dụng giao Là máy chủ gián tiếp Thay kết nối tới trang web thức FTP (File Transfer Protocol) kết nối thông qua Proxy 21 22