11/28/2016 Quản trị mạng hệ thống - Chương NỘI DUNG CHƯƠNG ACL, NAT/PAT, IPTABLES •Khái niệm access list •Cơ chế hoạt động ACL •Phương pháp cấu hình ACL •Các phương pháp ánh xạ địa •Iptables Linux THS TRẦN THỊ DUNG DUNGT T@UIT.EDU.VN Khái niệm ACL Khái niệm ACL •ACL danh sách dịng cho phép hay cấm gói tin ra/vào router •ACL phân tích gói tin đến để tiến hành chuyển tiếp hủy gói tin dựa tiêu chí địa IP nguồn/đích, giao thức •Hay cịn gọi Packet filtering Một TCP Conversation Ví dụ 11/28/2016 Quản trị mạng hệ thống - Chương NỘI DUNG Hoạt động ACL •Khái niệm access list •Cơ chế hoạt động ACL •Phương pháp cấu hình ACL •Các phương pháp ánh xạ địa •Iptables Linux Inbound ACL Lọc gói tin đến interface router, trước router định tuyến đến interface khác Outbound ACL Lọc gói tin sau router định tuyến/chuyển tiếp interface Các loại ACL thiết bị Cisco Hoạt động Inbound ACL Nếu inbound ACL đặt interface, gói tin kiểm tra trước định tuyến Nếu gói tin phù hợp với dịng ACL có kết permit gói tin định tuyến Nếu gói tin phù hợp với dịng ACL có kết deny, router hủy gói tin Nếu gói tin khơng phù hợp dịng ACL, hiểu “implicitly denied” bị hủy ACL chuẩn - Standard ACLs ACL mở rộng - Extended ACLs Hoạt động Outbound ACL 10 Hoạt động Outbound ACL Gói tin định tuyến trước đưa đến interface để khỏi router Nếu outbound interface khơng có ACL, gói tin đẩy khỏi interface Nếu outbound interface có ACL, gói tin kiểm tra trước bị đẩy khỏi interface Nếu gói tin phù hợp với dịng ACL có kết permit gói tin đẩy khỏi interface 11 Nếu gói tin phù hợp với dịng ACL có kết deny, gói tin bị hủy Nếu gói tin khơng phù hợp dịng ACL, hiểu “implicitly denied” bị hủy 12 11/28/2016 Quản trị mạng hệ thống - Chương Hoạt đông Extended ACL Hoạt đông standard ACL Standard ACLs kiểm tra địa nguồn khơng kiểm tra phần cịn lại The ACL kiểm tra địa nguồn, số port nguồn, giao thức trước sau đến địa đích, port đích để định permit hay deny 13 Wildcard Masks in ACLs 14 Ví dụ Wildcard Mask Giới thiệu ACL Wildcard Mask •Wildcard masks chuỗi 32 bit để xác định phần địa IP phù hợp với yêu cầu matching: •Wildcard mask bit – so sánh với bit địa IP •Wildcard mask bit – bỏ qua phần bit địa IP 15 Ví dụ Wildcard Mask 16 Cách tính Wildcard mask Cách dễ lấy 255.255.255.255 trừ subnet mask 17 18 11/28/2016 Quản trị mạng hệ thống - Chương Wildcard Mask Keywords Ví dụ Wildcard Mask Keywords 19 20 Hướng dẫn tạo ACLs Hướng dẫn tạo ACLs •Sử dụng router internal network external network mạng Internet •Sử dụng router network mà cần phải kiểm sốt việc truy cập liệu •Cấu hình ACL router biên •Một ACL/protocol – IPv4/IPv6 •Một ACL/direction - ACLs kiểm soát hướng interface => cần có ACL muốn kiểm sốt liệu hướng ra/vào interface •Một ACL/interface - ACLs kiểm sốt interface, ví dụ GigabitEthernet 0/0 21 Hướng dẫn tạo ACLs 22 Vị trí đặt ACLs router Extended ACLs – gần nguồn Standard ACLs – gần đích Ngồi phụ thuộc vào: kiểm sốt admin, băng thơng dễ dàng cấu hình hay không 23 24 11/28/2016 Quản trị mạng hệ thống - Chương Ví dụ: Vị trí Standard ACL Ví dụ: Vị trí Extended ACL 25 NỘI DUNG 26 Cấu hình Standard ACL •Khái niệm access list •Cơ chế hoạt động ACL •Phương pháp cấu hình ACL •Các phương pháp ánh xạ địa •Iptables Linux 27 Cấu hình Standard ACL 28 Cấu hình tạo Standard ACL Cú pháp câu lệnh hoàn chỉnh: ◦Router(config)# access-list access-list-number deny permit remark source [ source-wildcard ] [ log ] Để xóa ACL, sử dụng câu lệnh no accesslist Example ACL access-list deny host 192.168.10.10 access-list permit 192.168.10.0 0.0.0.255 access-list deny 192.168.0.0 0.0.255.255 access-list permit 192.0.0.0 0.255.255.255 29 30 11/28/2016 Quản trị mạng hệ thống - Chương Áp dụng Standard ACLs vào interface Cấu hình Standard ACL hồn chỉnh Sau tạo ACL, cần đặt vào interface theo chiều in/out với câu lệnh ip access-group mode interface: Router(config-if)# ip accessgroup { access-list-number | access-list-name } { in | out } Để bỏ ACL khỏi interface, sử dụng câu lệnh no ip access-group 31 Thay đổi Standard ACL 32 Thay đổi Standard ACL 33 Kiểm tra ACLs 34 Kiểm tra ACL 35 36 11/28/2016 Quản trị mạng hệ thống - Chương Securing VTY ports with a Standard IPv4 ACL Securing VTY ports with a Standard IPv4 ACL Configuring a Standard ACL to Secure a VTY Port Verifying a Standard ACL used to Secure a VTY Port Filtering Telnet or SSH traffic is typically considered an extended IP ACL function because it filters a higher level protocol However, because the access-class command is used to filter incoming or outgoing Telnet/SSH sessions by source address, a standard ACL can be used Router(config-line)# accessclass access-list-number { in [ vrf-also ] | out } 37 Extended ACLs 38 Extended ACLs 39 Cấu hình Extended ACLs 40 Áp dụng Extended ACLs vào Interfaces Phương pháp cấu hình tương tự Standard ACL cú pháp phức tạp 41 42 11/28/2016 Quản trị mạng hệ thống - Chương Ví dụ cấu hình Extended ACLs Cấu hình Đặt tên Extended ACLs 43 Kiểm tra Extended ACLs 44 Thay đổi Extended ACLs Một extended ACL thay đổi với phương pháp: - Text editor – Sequence numbers 45 Ví dụ cấu hình ACLs sai - 46 Ví dụ cấu hình ACLs sai - Host 192.168.10.10 Mạng 192.168.10.0 /24 không kết nối với dung TFTP đến 192.168.30.12 mạng 192.168.30.0 /24 47 48 11/28/2016 Quản trị mạng hệ thống - Chương Ví dụ cấu hình ACLs sai - Ví dụ cấu hình ACLs sai - Mạng 192.168.11.0 /24 Telnet đến 192.168.30.0 /24 khơng phép 192.168.30.12 Telnet đến 192.168.31.12, không phép 49 50 Khái niệm NAT NỘI DUNG •Khái niệm access list •Cơ chế hoạt động ACL •Phương pháp cấu hình ACL •Các phương pháp ánh xạ địa •Iptables Linux •Được thiết kế để tiết kiệm địa IP •Cho phép mạng nội sử dụng địa IP private •Địa IP private chuyển đổi sang địa IP public để định tuyến Internet •Mạng riêng tách biệt giấu kín IP nội •Thường sử dụng router biên mạng cửa 51 52 Khái niệm NAT (tt.) Khái niệm NAT (tt.) 53 54 11/28/2016 Quản trị mạng hệ thống - Chương Các thuật ngữ NAT Các thuật ngữ NAT (tt.) Inside network tập hợp cacs thiết bị sử dụng IP private Outside network tất mạng bên khác NAT bao gồm loại địa chỉ: • Inside local address • Inside global address • Outside local address • Outside global address 55 56 Các loại NAT Các loại NAT Static NAT (tt.) Static NAT •Static NAT ánh xạ – địa local địa global •Loại ánh xạ cấu hình admin thường cố định, khơng đổi •Static NAT có ích mang có server server truy cập từ bên ngồi •Admin truy cập từ đến server sử dụng SSH trỏ đến địa global server 57 58 Các loại NAT Các loại NAT Dynamic NAT (tt.) Dynamic NAT •Dynamic NAT sử dụng dải địa public gán cho máy bên mạng inside theo kiểu first-come, first-served •Khi thiết bị bên mạng inside yêu cầu truy cập bên ngoài, Dynamic NAT gán cho địa public có dải địa •Dynamic NAT u cầu phải có đủ địa public để đáp ứng với số lượng user mạng inside 59 60 10 11/28/2016 Quản trị mạng hệ thống - Chương Các loại NAT Cấu hình Static NAT Port Address Translation •Port Address Translation (PAT) ánh xạ nhiều địa IP private sang địa IP public •PAT sử dụng thêm port nguồn để phân biệt luồng liệu client khác mạng internal •2 bước để cấu hình static NAT: •Tạo ánh xạ địa inside địa outside •Xác định interface thuộc mạng inside, interface thuộc outside 61 62 Cấu hình Static NAT (tt.) Cấu hình Static NAT (tt.) 63 64 Configuring Static NAT Kiểm tra Static NAT Kiểm tra Static NAT (tt.) 65 66 11 11/28/2016 Quản trị mạng hệ thống - Chương Cấu hình Dynamic NAT Cấu hình Dynamic NAT (tt.) 67 Cấu hình Dynamic NAT (tt.) 68 Kiểm tra Dynamic NAT 69 70 Cấu hình PAT: Address Pool Kiểm tra Dynamic NAT (tt.) 71 72 12 11/28/2016 Quản trị mạng hệ thống - Chương Cấu hình PAT: Single Address Phân tích PAT 73 Phân tích PAT (tt.) 74 Kiểm tra PAT 75 76 NỘI DUNG Iptables gì? •Khái niệm access list •Cơ chế hoạt động ACL •Phương pháp cấu hình ACL •Các phương pháp ánh xạ địa •Iptables Linux •Là thành phần mặc định có chức firewall hệ điều hành Linux •Iptables gồm phần: •Netfilter kernel •Iptales user space: chịu trách nhiệm giao tiếp người dùng netfilter 77 78 13 11/28/2016 Quản trị mạng hệ thống - Chương Chức Iptables Hoạt động Iptables •Sử dụng làm firewall cho cho dịch vụ mạng như: mail server , web server , DNS server •Triển khai NAT •Có khả phân tích packet cách hiệu , cho phép firewall theo dõi kết nối có liên quan •Tính lọc gói (packet filtering) dựa thành phần Header Từ giúp hệ thống ngăn chặn cơng từ bên bảo mật hệ thống nội 79 Hoạt động Iptables (tt.) 80 Hoạt động Iptables (tt.) Iptable tổ chức phân lọai dựa theo cách thức xử lý gói tin Các gói tin xử lý qua Bảng (trong bảng có phân biệt dạng gói tin vào- INPUT, ra- OUTPUT chuyển tiếp- Forward hay cách thức biến đổi địa nguồn, đích- PREROUTING, POSTROUTING,… người ta gọi chain Trong chain có luật- rule để định xử lý gói tin nào: cho phép-accept, từ chối-reject, bỏ đi-drop,… ) Trong thực tế bảng FILTER NAT sử dụng nhiều ◦ FILTER: lọc gói tin vào Server (đóng vai trò firewall) ◦ NAT: cho ánh xạ địa IP thành nhiều ◦ MANGLE: biến đổi Type of Service bits header gói tin TCP 81 CÁC LOẠI CHAIN TRONG BẢNG FILTER 82 CÁC LOẠI CHAIN TRONG BẢNG FILTER (tt.) INPUT: gói tin từ máy vào Server OUTPUT: gói tin từ Server đến máy Server Server (source) (destination) PC PC (source) (source) 83 PC PC (destination) (destination) 84 14 11/28/2016 Quản trị mạng hệ thống - Chương CÁC LOẠI CHAIN TRONG BẢNG FILTER (tt.) FORWARD: gói tin vào card mạng Server chuyển qua card mạng khác (cũng server đó) để mạng khác Server CÁC LOẠI CHAIN TRONG BẢNG NAT • POSTROUTING: Thực việc NAT sau gói tin qua định tuyến (routing) Server (hay gọi SNAT – Source NAT) • Trong đó, MASQUERADE trường hợp đặc biệt SNAT, dùng trường hợp IP public thay đổi liên tục (PAT – port addess translating) forward PC PC (source) (destination) • PREROUTING: Thực việc NAT trước gói tin qua định tuyến (routing) Server Bảng biết với tên gọi DNAT (Destination NAT) 85 CÁC LOẠI CHAIN TRONG BẢNG NAT (tt.) 86 CÁC LOẠI CHAIN TRONG BẢNG NAT (tt.) POSTROUTING PREROUTING Routing SNAT (172.29.1.5 203.162.4.54) Web Server công ty (destination) 172.29.1.8 Server đích (destination) server ngồi Internet Routing Máy nguồn (một máy bên ngồi Internet muốn truy xuất vào trang web công ty) IP: 203.25.1.2 203.162.4.1 Máy nguồn (source) (172.29.1.5) 87 DNAT 203.162.4.54  172.29.1.8 88 Target Target (tt.) •ACCEPT: iptables chấp nhận chuyển data đến đich •DROP: iptables hủy packet •LOG: thông tin packet gởi vào syslog daemon iptables tiếp tục xử lý luật bảng mơ tả luật •REJECT: iptable hủy packet va gởi thông báo cho sender •DNAT: thay đổi địa đích packet Tùy chọn to-destination ipaddress •SNAT: thay đổi địa nguồn packet Tùy chọn to-source [address][:-] •MASQUERADING: sử dụng để thực kỹ thuật PAT 89 90 15 11/28/2016 Quản trị mạng hệ thống - Chương Các options câu lệnh iptables Sử dụng bảng Filter làm firewall Đây cách thêm rule từ cửa sổ gõ lệnh Linux Chúng ta để file script (/etc/sysconfig/iptables) thực thi file lệnh /etc/init.d/iptables restart iptables –A INPUT –p icmp icmp-type any -j ACCEPT ◦ ◦ ◦ ◦ -A: thêm rule -p: giao thức sử dụng (icmp, tcp, udp, ) icmp-type: kiểu icmp (echo-request, echo-reply, all…) -j : chuyển hướng tới cách xử lý (ACCEPT, REJECT, DROP,…) đích (1 chain mới, kiểu NAT: DNAT, SNAT,…) 91 Sử dụng bảng Filter làm firewall (tt.) 92 Sử dụng bảng Filter làm firewall (tt.) Server – 192.168.12.210 (destination) (-d 192.168.12.210) ( dport 80) Ví Dụ 1: tham khảo file iptables mẫu *filter // Dùng bảng filter, muốn dùng bảng nat khai báo: *nat :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] PC – 172.29.1.4 (source) (-s 172.29.1.4) ( sport 1024-6000) -A INPUT -i eth0 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p icmp icmp-type any -j ACCEPT Ví Dụ 2: thêm rule cấm máy 172.29.1.4 truy xuất Server -A INPUT -p 50 -j ACCEPT -A INPUT –s 172.29.1.4 –d 192.168.12.210 –j REJECT -A INPUT -p 51 -j ACCEPT Nếu muốn cấm đường mạng 192.168.11.0/24 truy cập Server ta khai báo -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT -A INPUT -j REJECT reject-with icmp-host-prohibited -A INPUT –s 192.168.11.0/24 –d 192.168.12.210 –j REJECT COMMIT 93 Sử dụng bảng Filter làm firewall (tt.) 94 Sử dụng bảng Filter làm firewall (tt.) Ví Dụ 3: thêm rule cấm máy 172.29.1.8 truy xuất đến dịch vụ web Server, cho phép truy xuất tất dịch vụ khác -A INPUT –s 172.29.1.8 –d 192.168.12.210 –p tcp –m tcp dport 80 –j REJECT ◦ dport : port máy đích (máy Server, gói tin vào) ◦ sport : port máy nguồn (máy trạm, gói tin vào server) Ví Dụ 5: giả sử máy server có card mạng: eth0, eth1 ta áp dụng firewall card mạng thứ (eth0) khai báo sau: -A INPUT –i eth0 –s 172.29.1.10 –d 192.168.12.210 –j REJECT Nếu không rõ dùng card mạng (khơng có –i eth0) ngầm địch áp dụng cho tất card mạng có máy server Với tham số: Ví Dụ 4: thêm rule cấm máy 172.29.1.8 truy xuất đến dịch vụ ssh Server, cho phép truy xuất tất dịch vụ khác -A INPUT –s 172.29.1.8 –d 192.168.12.210 –p tcp –m tcp dport 22 –j REJECT 95 -i để card mạng hướng liệu vào (INPUT) Ví dụ : -i eth0, -i eth1 -o để card mạng hướng liệu (OUTPUT) Ví dụ : -o eth0, -o eth1 96 16 11/28/2016 Quản trị mạng hệ thống - Chương Sử dụng bảng Filter làm firewall (tt.) Ví Dụ 5: thêm rule cấm máy 172.29.1.9 dùng port từ 1024 đến 5000 truy xuất đến dịch vụ ssh Server, cho phép truy xuất đến ssh dùng dãy port bị cấm -A INPUT –s 172.29.1.9 –d 192.168.12.210 –p tcp –m tcp -dport 1024:5000 dport 22 –j REJECT Ví Dụ 9: Cấm máy tính có ip 172.29.11.2 truy vấn DNS Server không phép máy 172.29.11.2 phép làm secondary (backup dns) cho Server -A INPUT –s 172.29.11.2 –d 192.168.12.210 –p udp –m udp -dport 53 –j REJECT -A INPUT –s 172.29.11.2 –d 192.168.12.210 –p tcp –m tcp -dport 53 –j REJECT Ví Dụ 7: Cấm máy tính có ip 172.29.12.2 truy xuất đến server dùng giao thức UDP, cho phép máy truy xuất dịch vụ dùng giao thức khác TCP, ICMP,… -A INPUT –s 172.29.12.2 –d 192.168.12.210 –p udp –m udp –j REJECT Ví Dụ 8: Cấm máy tính có ip 172.29.11.2 truy vấn DNS Server cho phép máy 172.29.11.2 phép làm secondary (backup dns) cho Server -A INPUT –s 172.29.11.2 –d 192.168.12.210 –p udp –m udp dport 53 –j REJECT 97 98 Cách sử dụng bảng NAT Sử dụng bảng Filter làm firewall (tt.) Ví Dụ 9: Cấm máy tính có ip 172.29.11.1 ping tới Server Trước dòng: -A INPUT -p icmp icmp-type any -j ACCEPT Ta khai báo: Trong file (/etc/sysconfig/iptables), cuối file khai báo sau: *nat sau từ *nat rule bảng NAT -A INPUT –s 172.29.11.1 -p icmp icmp-type any -j REJECT Lưu ý : Dùng lệnh #sysctl -w net.ipv4.ip_forward=1 Ví Dụ 10: Có thể dùng cách phủ định (! Dấu chấm thang) rule Ví dụ cấm tất máy trừ IP 172.29.11.1 phép truy cập web -A INPUT –s ! 172.29.11.1 -p tcp -m tcp dport www -j REJECT dùng lệnh #echo “1” /proc/sys/net/ipv4/ipforward Ví Dụ 1: NAT IP thật 203.162.5.2 cho đường mạng 192.168.10.0/24 phép Internet trực tiếp -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j SNAT -to 203.162.5.2 -o : card mạng Internet Router 99 100 Cách sử dụng bảng NAT (tt.) Ví Dụ 2: dùng masquerade để NAT ip thật thay đổi (adsl, dialup) -A POSTROUTING -o ppp0 -j MASQUERADE ppp0 : interface modem adsl router Ví Dụ 3: NAT IP thật 203.162.5.2 cho máy web server 172.29.1.2 phép public -A PREROUTING -p tcp dport 80 -i eth0 -j DNAT to 172.29.1.2:80 101 17