Kỹ Thuật - Công Nghệ - Công Nghệ Thông Tin, it, phầm mềm, website, web, mobile app, trí tuệ nhân tạo, blockchain, AI, machine learning - Công nghệ thông tin LỜI CẢM ƠN Trước hết, em xin chân thành cảm ơn Thầy giáo Ths. Hoàng Hữu Đức là người trực tiếp hướng dẫn, giúp đỡ em trong quá trình nghiên cứu và hoàn thiện đồ án tốt nghiệp này. Em cũng chân thành cảm ơn các Thầy Cô giáo trong Khoa Khoa Học Máy Tính đặc biệt là các Thầy Cô trong bộ môn mạng máy tính, những người đã từng giảng dạy, chỉ bảo chúng em trong suốt những quá trình học tập. Do thời gian và kiến thức có hạn, với một lĩnh vực còn khá mới lạ và đang phát triển mạnh nên không tránh khỏi những thiếu sót nhất định. Em rất mong nhận được sự đóng góp ý kiến của Thầy Cô giáo và các bạn. Em xin chân thành cảm ơn Đà Nẵng, tháng 06 năm 2013 Sinh viên thực hiện Phùng Văn Đại Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang i LỜI MỞ ĐẦU Ngày nay, nhu cầu dịch vụ trực tuyến ngày càng phổ biến để phục vụ cho người dùng, bên cạnh đó khoa học và công nghệ phát triển xong để đáp ứng các nhu cầu đó, thì buộc các cơ quan, tổ chức phải sử dụng vào mạng toàn cầu internet. An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với internet. Ngày nay, nhiều biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin, gây nên những hậu quả vô cùng nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên internet, các máy tính, website của các tổ chức, công ty lớn với nhiều mục đích khác nhau. Phần rất lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của họ. Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được cải tiến ngày càng tinh vi hơn. Điều đó một phần do các nhân viên quản trị hệ thống không đề cao cảnh giác. Vì vậy việc kết nối mạng nội bộ của cơ quan tổ chức mình vào mạng internet mà không có các biện pháp đảm bảo an ninh thì nguy cơ tấn công mạng luôn bị rình rập. Từ đó đòi hỏi các cơ quan, tổ chức phải sử dụng mạng i nternet phải chú ý đảm bảo an toàn thông tin trong quá trình kết nối. Bởi vậy, em đã lựa chọn đề tài: “Tìm hiểu bảo mật LAN và triển khai Iptables trên Linux” , nhằm điều khiển luồng thông tin ra, vào và bảo vệ hệ thống mạng tránh sự tấn công từ internet. Bố cục chính của đề tài gồm 4 chương: Chương 1: Tổng quan về bảo mật mạng máy tính. Chương 2: Giới thiệu về iptables. Chương 3: Tìm hiểu firewall iptables trong hệ điều hành Linux. Chương 4: Triển khai và thực nghiệm firewall iptables. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang ii MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU .................................................................................................................i MỤC LỤC ..................................................................................................................... ii DANH MỤC CÁC TỪ VIẾT TẮT .............................................................................iv DANH MỤC HÌNH ẢNH .............................................................................................v Chương 1: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH ..........................1 1.1. Tổng quan về an ninh mạng máy tính .........................................................1 1.1.1 Tình hình an ninh mạng trên thế giới ..........................................................1 1.1.2 Tình hình an ninh mạng tại Việt Nam .........................................................1 1.1.3 Các giải pháp cơ bản đảm bảo an ninh ........................................................2 1.2. Các vấn đề bảo mật hệ thống mạng...............................................................4 1.2.1 Vấn đề chung về bảo mật hệ thống và mạng ...............................................4 1.2.2 Các loại lỗ hổng bảo mật và phương thức tấn công mạng ..........................6 1.3. Vấn đề bảo mật mạng LAN ............................................................................9 1.3.1 Mạng không dây (Wireless Local Area Network - WLAN) .....................10 1.3.2 Mạng LAN ảo (Virtual Local Area Network - VLAN) ............................11 Chương 2: GIỚI THIỆU VỀ IPTABLE ................................................................13 2.1. Giới thiệu về firewall.....................................................................................13 2.1.1 Các chức năng của Firewall ......................................................................13 2.1.2 Phân loại Firewall ......................................................................................13 2.1.3 Một số kiến trúc của Firewall ....................................................................17 2.1.4 Những hạn chế của Firewall ......................................................................23 2.2. Các chiến lược xây dựng Firewall ...............................................................23 2.2.1 Quyền hạn tối thiểu ...................................................................................23 2.2.2 Bảo vệ theo chiều sâu ................................................................................23 2.2.3 Nút thắt ......................................................................................................23 2.2.4 Điểm xung yếu ..........................................................................................24 2.2.5 Hỏng trong an toàn ....................................................................................24 2.2.6 Tính đa dạng ..............................................................................................25 2.3. Cách thức xây dựng Firewall .......................................................................25 2.3.1 Xây dựng các nguyên tắc căn bản .............................................................25 Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang iii 2.3.2 Xây dựng chính sách an toàn ....................................................................25 2.3.3 Xây dựng kiến trúc an toàn .......................................................................26 2.3.4 Thứ tự các quy tắc trong bảng ...................................................................26 2.3.5 Các quy tắc căn bản ...................................................................................27 2.4.Các thành phần và cơ chế hoạt động tường lửa ..........................................28 2.4.1 Bộ lọc gói ..................................................................................................28 2.4.2 Cổng ứng dụng ..........................................................................................30 2.4.3 Cổng mạch .................................................................................................31 2.4.4 Bộ lọc sesion thông minh ..........................................................................32 Chương 3:TÌM HIỂU FIREWALL IPTABLES TRONG HỆ ĐIỀU HÀNH LINUX.......................................................................................................................34 3.1. IPtables trên Redhat .....................................................................................34 3.1.1 Giới thiệu về Iptables ................................................................................34 3.1.2 Quá trình chuyển gói dữ liệu qua Netfilter................................................35 3.1.3 Cơ chế xứ lý gói tin trong Iptables. ...........................................................35 3.2. Các tham số dòng lệnh thường gặp .............................................................38 3.3. Giới thiệu về bảng NAT (Network Address Traslation) ...........................40 3.3.1 Khái niêm căn bản về NAT .......................................................................40 3.3.2 Cách đổi địa chỉ IP động ...........................................................................41 3.3.3 Cách đóng giả địa chỉ IP............................................................................42 3.3.4 Một số ví dụ sử dụng kỹ thuật NAT ..........................................................42 3.4. Firewall Iptable vùng DMZ .........................................................................44 3.4.1 Firewall Iptable không có vùng DMZ .......................................................44 3.4.1 Firewall Iptable có vùng DMZ ..................................................................45 Chương 4: TRIỂN KHAI VÀ THỰC NGHIỆM FIREWALL IPTABLES TRÊN LINUX ..........................................................................................................46 4.1. Mô hình mạng thực tế ...................................................................................46 4.2. Mô hình mạng triển khai ..............................................................................47 4.3. Tổng quan các bước thực hiện .....................................................................47 KẾT LUẬN ..................................................................................................................59 TÀI LIỆU THAM KHẢO...........................................................................................60 Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang iv DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Thuật ngữ viết tắt Giải nghĩa LAN Local Area Network Mạng cục bộ DNS Domain Name System Hệ thống phân giải tên miền FTP File Transfer Protocol Giao thức truyền file IP Internet Protocol Giao thức liên mạng NAT Network Address Translation Biên dịch địa chỉ mạng VPN Virtual Private Network Mạng riêng ảo SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư điện tử đơn giản SMNP Simple Network Management Protocol Giao thức quản lý mạng đơn giản NFS Network File System Dịch vụ chia sẽ tài nguyên trên RedHat DMZ Demilitarized Zone Vùng phi quân sự HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn bản DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DoS Denial of Service Tấn công từ chối dịch vụ VNISA Vietnam Information Security Association Hiệp hội an toàn thông tin Việt Nam WLAN Wireless Local Area Network Mạng không dây cục bộ Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang v DANH MỤC HÌNH ẢNH Hình 2.1: Mô hình sử dụng firewall phần cứng ............................................................14 Hình 2.2: Mô hình sử dụng firewall phần mềm ............................................................16 Hình 2.3: Sơ đồ kiến trúc Dual–homed Host ................................................................17 Hình 2.4: Sơ đồ kiến trúc Screened Host ......................................................................18 Hình 2.5: Sơ đồ kiến trúc Screened Subnet Host ..........................................................20 Hình 2.6: Sơ đồ kiến trúc sử dụng 2 Bastion Host ........................................................21 Hình 2.7: Sơ đồ kiến trúc ghép chung router trong và router ngoài ..............................22 Hình 2.8: Sơ đồ kiến trúc ghép chung bastion host và router ngoài .............................22 Hình 2.9: Sơ đồ phần thành của firewall .......................................................................28 Hình 2.10: Gói tin ở tầng Network ................................................................................29 Hình 2.11: Tầng Application .........................................................................................30 Hình 2.12: Ứng dụng cổng mạch ở lớp 4 trong mô hình OSI .......................................32 Hình 2.13: Circuit Gateway ...........................................................................................32 Hình 3.1: Firewall IPTable trong Linux ........................................................................34 Hình 3.2: Chuyển đổi gói dữ liệu qua Netfilter .............................................................35 Hình 3.3: Quá trình xử lý gói tin trong bảng Filter .......................................................36 Hình 3.4: Quá trình xử lý gói tin trong bảng NAT ........................................................36 Hình 3.5: Quá trình xử lý gói tin trong bảng Mangle ....................................................37 Hình 3.6: Bảng NAT động ............................................................................................41 Hình 3.7: Đóng giả địa chỉ IP với Masquerade .............................................................42 Hình 3.8: Snat và Masquerade.......................................................................................43 Hình 3.9: DNAT ............................................................................................................43 Hình 3.10: Firewall Iptable không có vùng DMZ .........................................................44 Hình 3.11: Firewall Iptable có vùng DMZ ....................................................................45 Hình 4.1: Mô hình mạng trường CĐ CNTT Hữu Nghị Việt Hàn .................................46 Hình 4.2: Mô hình mạng triển khai ...............................................................................47 Hình 4.3: Cấu hình địa chỉ IP trên card eth0 .................................................................48 Hình 4.4:Cấu hình địa chỉ IP trên card eth1 và eth2 .....................................................48 Hình 4.5: Cấu hình Forward ..........................................................................................48 Hình 4.6: Cấu hình ipv4 forward ...................................................................................49 Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang vi Hình 4.7: Cấu hình iptables-config ...............................................................................49 Hình 4.8: Cấu hình xóa các rule mặc định ....................................................................49 Hình 4.9: Cấu hình forward gói tin đi vào eth2 và đi ra eth0 ........................................50 Hình 4.10: Cấu hình kết nối đi vào eth0 và ra eth2 .......................................................50 Hình 4.11: Cấu hình NAT POSTROUTING ................................................................50 Hình 4.12: Cấu hình HTTP FTP POP3 và SMTP đi vào eth2 và ra eth1 .....................51 Hình 4.13: Cấu hình forward gói tin dns vào eth2 và ra eth1 .......................................51 Hình 4.14: Cấu hình các gói tin đi vào eth1 và đi ra eth2 .............................................51 Hình 4.15: Cấu hình NAT PREROUTING port 80,21 đi vào eth2 ..............................52 Hình 4.16: Cấu hình NAT PREROUTING port 110,143,21 đi vào eth2 .....................52 Hình 4.17: Cấu hình NAT PREROUTING DNS ..........................................................52 Hình 4.18: Cấu hình NAT POSTROUTING địa chỉ 10.10.10.2 đi ra eth1 ..................53 Hình 4.19: Cấu hình NAT POSTROUTING địa chỉ n10.10.10.3 đi ra eth1 ................53 Hình 4.20: Chặn gói tin với port 25...............................................................................53 Hình 4.21: Chặn gói tin với dãy địa chỉ IP ....................................................................53 Hình 4.22: Giới hạn gói tin ICMP .................................................................................53 Hình 4.23: Cấu hình syn flood ......................................................................................54 Hình 4.24: Cấu hinh địa chỉ IP trên máy SERVER.......................................................54 Hình 4.25: Cấu hình web server ....................................................................................54 Hình 4.26: Cấu hình địa chỉ IP trên máy MailServer ....................................................55 Hình 4.27: Cấu hình địa chỉ IP ......................................................................................55 Hình 4.28: Kiểm tra kết nối internet trên PC1 ..............................................................55 Hình 4.29: Phân giải tên miền DNS ..............................................................................56 Hình 4.30: PC1 truy cập web server trên máy SERVER ..............................................56 Hình 4.31: PC1 truy cập FTP Server trên máy SERVER .............................................57 Hình 4.32: Kiểm tra mail server với giao thức POP3 và SMTP ...................................57 Hình 4.33: Hộp thư mail nhận trên máy PC2 ................................................................58 Hình 4.34: Atack sử dụng httpdos tấn công Web Server ..............................................58 Hình 4.35: Cấu hình chặn gói tin SYN từ máy attack ...................................................58 Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 1 Chương 1: TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH 1.1. Tổng quan về an ninh mạng máy tính 1.1.1 Tình hình an ninh mạng trên thế giới Với sự xuất hiện của hàng loạt các cuộc tấn công trực tuyến trong thời gian qua, báo hiệu thời kì khó khăn cho các ngân hàng trực tuyến trên toàn thế giới. Năm 2012, một số cuộc tấn công nhằm vào c ác ngân hàng Mỹ, khiến cho các website của các ngân hàng này ngừng trệ hoặc dừng hẳn. Theo Prolexic, một công ty về hạn chế các cuộc tấn từ chối dịch vụ phân tán (DDoS). Cụ thể là một loại virus mới có tên Itsoknoproblembro, có khả năng gây lây nhiễm cho các máy chủ tại các trung tâm dữ liệu, các nhà cung cấp dịch vụ đám mây, biến các máy chủ đó thành các “bRobots” mà hầu như không chương trình chống virus nào hiện nay dò tìm ra được chúng. Bằng việc gây lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính đơn lẻ, những kẻ tấn công đã giành lấy sức mạnh tính toán để dựng lên vô số các cuộc tấn công từ chối dịch vụ. Khi nói đến vấn đề bảo mật, hầu hết các chuyên gia bảo mật đều chú trọng đến sự an toàn của hệ thống mạng và hệ điều hành. Để bảo vệ cho hệ thống, phương pháp thường được chọn là sử dụng tường lửa. Theo khảo sát của tập đoàn Symantec cho thấy trong giai đoạn từ tháng 72011 tới 72012 tội phạm mạng đã thực hiện các vụ tấn công gây thiệt hại lên tới 110 tỷ USD. Tại Hoa Kỳ, khoảng 20 tỷ USD của 70 triệu nạn nhân đã không cánh mà bày do các hành động phá hoại từ các hacker . Khảo sát cũng cho thấy khoảng 556 triệu người đã từng hứng chịu các hành động phá hoại của tin tặc, con số này thậm chí còn lớn hơn dân số Châu Âu ở thời điểm hiện tại. Thống kê cho thấy 15 số tài khoản mạng xã hội từng bị xâm nhập, 10 người dùng bị dính phải các link website chứa mã độc hại, 75 lổ hổng từ các website. 1.1.2 Tình hình an ninh mạng tại Việt Nam An ninh mạng là một vấn đề mới đối với đa số người sử dụng máy tính. Những công ty lập trình website cũng chưa ý thức đầy đủ về vấn đề này. Ở công ty nước ngoài, mỗi lập trình viên sau khi tuyển dụng phải qua một khoá đào tạo lập trình đặc biệt về an ninh mạng một số chứng chỉ như: CCNA (Cisco Certified Network Associate), CCNP (Cisco Certified Network Professional) . Tìm được công ty thiết kế website ở Việt Nam làm điều này rất khó. Việc đầu tư thời gian và công sức vào bảo mật có thể làm chậm tiến độ triển khai dự án, hiệu quả lại khó kiểm chứng. Tuy đã Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 2 được các chuyên gia máy tính liên tục cảnh báo nhưng nhận thức về nguy cơ, tính rủi ro và hậu quả của tình trạng mất an ninh mạng vẫn chưa được quan tâm tìm hiểu đúng mức. Tình trạng lơ là, mất cảnh giác đối với nguy cơ virus tấn công các trang web xảy ra khá phổ biến trong giới quản trị website, thậm chí ngay cả đối với website của các doanh nghiệp CNTT. Tại ngày an toàn thông tin 2012 do hiệp hội an toàn thông tin Việt Nam VNISA (Vietnam Information Security Association) tổ chức ở Thành phố Hồ Chí Minh ngày 1611, nhiều chuyên gia an ninh mạng đều có chung một đánh giá tình hình an toàn thông tin trên thế giới và cả Việt Nam năm qua không có quá nhiều các sự kiện nổi cộm, nhưng các cuộc tấn công xâm nhập, các hành vi vụ lợi thông qua sử dụng công nghệ cao và mạng internet vẫn xảy ra phổ biến. Tháng 52012, VNISA đánh giá ngẫu nhiên 100 website tên miền .gov.vn cho thấy 78 số website có thể bị tấn công toàn diện. Việt Nam, với sự đầu tư cho an toàn thông tin chưa nhiều, sẽ có nguy cơ chịu không ít rủi ro. Đặc biệt, trong năm 2012, không chỉ các website của doanh nghiệp, c hính phủ, mà cả những website của các công ty bảo mật hàng đầu Việt Nam cũng bị tấn công. Trong năm nay, số lượng các máy tính bị nhiễm mã độc cũng không có dấu hiệu giảm (18,11000 máy tính), đây chính là các “trái bom” trong hệ thống thông tin chưa thể loại trừ được. Hiện nay, phần lớn các doanh nghiệp Việt Nam chưa có sự đầu tư đúng mức về công nghệ bảo mật cũng như về con người do chi phí cho lĩnh vực này khá cao. BKIS c ho biết, các lổ hổng bảo mật trên các trang web của Việt Nam phần lớn là do các công ty viết phần mềm chưa quan tâm đến an toàn hệ thống và đầu tư cho an ninh mạng chưa đủ ngưỡng. Người quản trị mạng chưa làm tốt những công việc như: Đặt mật khẩu yếu, mở nhiều dịch vụ không cần thiết, các doanh nghiệp và tổ chức ở Việt Nam thường đầu tư dưới 10 chi phí CNTT cho bảo mật, một tỷ lệ dưới mức đảm bảo an toàn cho hệ thống thông tin. 1.1.3. Các giải pháp cơ bản đảm bảo an ninh An ninh mạng máy tính có thể bị đe dọa từ rất nhiều góc độ và nguyên nhân khác nhau. Đe dọa an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức. Do đó, việc đảm bảo an ninh an toàn cho mạng máy Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 3 tính cần phải có nhiều giải pháp cụ thể khác nhau. Tuy nhiên, tổng quan có ba giải pháp cơ bản sau: Giải pháp về phần cứng Giải pháp về phần mềm Giải pháp về con người Đây là ba giải pháp tổng quát mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh mạng máy tính. Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức mình. o Giải pháp về phần cứng: - Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh truyền riêng, mạng riêng). Giải pháp phần cứng thông thường đi kèm với nó là hệ thống phần mềm điều khiển tương ứng. Đây là một giải pháp không phổ biến, vì không linh hoạt trong việc đáp ứng với sự phát triển và thay đổi của các công nghệ, các dịch vụ mới xuất hiện và chi phí rất cao. o Giải pháp về phần mềm: - Khác với giải pháp phần cứng, giải pháp phần mềm hết sức đa dạng. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Cụ thể các giải pháp về phần mềm như: Các phương pháp xác thực, các phương pháp mã hoá, mạng riêng ảo, các hệ thống bức tường lửa. Các phương pháp xác thực và mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất. Vì với cách thức làm việc của nó, thông tin thật trên đường truyền được mã hoá mà những kẻ trộm không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận có cơ chế phát hiện sự sửa đổi đó. Còn phương pháp sử dụng hệ thống bức tường lửa lại đảm bảo an ninh ở góc độ khác. - Bằng cách thiết lập các luật tại một điểm đặc biệt (gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng được coi là không an toàn về bảo mật) , hệ thống bức tường lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng. Với cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ. Như thế, giải pháp về phần mềm gần như hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải pháp này ít hơn so với giải pháp về phần cứng. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 4 o Giải pháp về con người: - Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp hết sức cơ bản và không thể thiếu được. Vì như phần trên đã trình bày, vấn đề an ninh mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết. Ở đây, hành lang pháp lý có thể gồm: Các điều khoản trong bộ luật của nhà nước, các văn bản dưới luật, còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng. Các quy định có thể như: Quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm. Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con người. Tóm lại, vấn đề an ninh mạng máy tính là một vấn đang được các nhà quản lý internet , người quản trị và người sử dụng rất quan tâm, lo ngại về tình hình an ninh mạng hiện nay, nó yêu cầu cần phải kết hợp các giải pháp: Phần cứng, phần mềm và con người. Do đó, một trong những vấn đề mấu chốt của việc đảm bảo tính an toàn, an ninh khi sử dụng mạng internet là vấn đề tự giáo dục và nâng cao ý thức của người sử dụng cũng như trách nhiệm của những nhà cung cấp dịch vụ trong bối cảnh internet được phát triển mạnh và không kiểm soát được như ngày nay. 1.2. Các vấn đề bảo mật hệ thống mạng 1.2.1.Vấn đề chung về bảo mật hệ thống và mạng Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người sử dụng. Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và được s ử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại. Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu. a) Đối tượng tấn công mạng Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 5 lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép. Một số đối tượng tấn công mạng như: Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống. Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng. Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị. Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức. b) Lỗ hổng bảo mật Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp. Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: Có thể do lỗi của bản thân hệ thống, hoặc lỗ hổng của phần mềm hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp. Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống. c) Chính sách bảo mật Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 6 1.2.2. Các loại lỗ hổng bảo mật và phương thức tấn công mạng a) Các loại lỗ hổng Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau: Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp. DoS là hình thức tấn công sử dụng các giao thức ở tầng internet trong bộ giao thức TCPIP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kế ở tầng internet nói riêng và bộ giao thức TCPIP nói chung đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này. Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ hổng này thường có trong các ứng dụng trên hệ thống có mức độ nguy hiểm trung bình. Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng mạng cục bộ có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Ngoài ra một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý. Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống. Có thể phá huỷ toàn bộ hệ thống như lây nhiễm virus, các máy chủ ngừng hoạt động. Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 7 bảo mật của hệ thống. Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này. Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, Finger. b. Các hình thức tấn công mạng phổ biến Scanner: Là một trương trình tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa. Một kẻ phá hoại sử dụng chương trình scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một server dù ở xa. Cơ chế hoạt động là rà soát và phát hiện những cổng TCPUDP được sử dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệ thống đó. Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng với dịch vụ mà nó phát hiện ra. Từ đó nó có thể tìm ra điểm yếu của hệ thống. Những yếu tố để một Scanner hoạt động như sau: - Yêu cầu thiết bị và hệ thống: Môi trường có hỗ trợ TCPIP. - Hệ thống phải kết nối vào mạng internet. Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng. Password Cracker: Là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống. Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau. Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá từ kết quả so sánh với password đã mã hoá cần bẻ khoá để tạo ra một danh sách khác theo một logic của chương trình. Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có được mật khẩu dưới dạng text thông thường sẽ được ghi vào một file. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 8 Biện pháp khắc phục đối với cách thức phá hoại này là cần xây dựng một chính sách bảo vệ mật khẩu đúng đắn. Sniffer: Là các công cụ (phần cứng hoặc phần mềm) “bắt” các thông tin trên mạng và lấy các thông tin có giá trị trao đổi trên mạng. Sniffer có thể “bắt” được các thông tin trao đổi giữa nhiều trạm làm việc với nhau. Thực hiện bắt các gói tin từ tầng IP trở xuống. Giao thức ở tầng IP được định nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các gói tin này không khó khăn. Sniffer thường được sử dụng vào hai mục đích khác nhau, nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình hoặc có thể là một chương trình được cài vào một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thôn g tin trong hệ thống mạng. Khi sniffer sử dụng chế độ promiscuous nó có thể nhìn thấy tất cả thông tin đang trao đổi trong mạng nằm trong một hệ thống mạng. Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là dựa vào nguyên tắc broadcast các gọi tin trong mạng ethernet. Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer. Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu về kiến trúc, các giao thức mạng. Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ hệ thống đó cung cấp. Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như: - Không cho người lạ truy nhập vào các thiết bị trên hệ thống. - Quản lý cấu hình hệ thống chặt chẽ. - Thiết lập các kết nối có tính bảo mật cao thông qua các cơ chế mã hoá. Trojan: Là một chương trình dạng virus nhằm thực hiện một việc nào đó trên máy tính bị nhiễm mà không được sự cho phép hoặc người dùng không biết, Chúng có khả năng tự nhân bản, lây lan sang các tập tin, chương trình khác trong máy tính và sang máy tính khác.Ví dụ như File virus (Jerusalem, Cascade...), Boot virus (Disk Killer, Michelangelo, Stoned...) là loại virus lây nhiễm vào boot sector trong khi khởi Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 9 động máy. Những chương trình virus thường che dấu các đoạn mã trong các chương trình sử dụng hợp pháp. Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu sẽ thực thi và chúng thực hiện một số chức năng mà người sử dụng không biết như: Ăn cắp mật khẩu hoặc copy file mà người sử dụng nhưng ta thường không hay biết. Trojans sẽ thực hiện một trong những công việc sau: - Thực hiện một vài chức năng hoặc giúp người lập trình lên nó phát hiện những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống đó. - Che dấu một vài chức năng hoặc là giúp người lập trình phát hiện những thông tin quan trọng hoặc những thông tin cá nhân trên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống. - Ngoài ra còn có các chương trình trojan có thể thực hiện đựợc cả hai chức năng này. Có chương trình trojan còn có thể phá hủy hệ thống bằng cách phá hoại các thông tin trên ổ cứng. Nhưng ngày nay các t rojans kiểu này dễ dàng bị phát hiện và khó phát huy được tác dụng. - Tuy nhiên có những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua t rojans và kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ hệ thống hoặc dùng quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng và người quản trị chỉ còn cách cài đặt lại toàn bộ hệ thống. 1.3. Vấn đề bảo mật mạng LAN Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới những vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên ngoài vào trong mạng. Việc kiểm soát được những truy cập bất hợp pháp từ bên ngoài vào cũng như kiểm soát những tru y cập không cho phép từ trong nội bộ mạng ra bên ngoài. Cùng với sự phát triển mạnh mẽ của internet và nhu cầu kết nối mạng nội bộ với i nternet thì vấn đề đảm bảo an toàn, an ninh mạng càng trở nên khó khăn và cần thiết. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 10 1.3.1 Mạng không dây (Wireless Local Area Network - WLAN) Các giải pháp bảo mật mạng không dây WLAN: - WEP (Wried Equivalent Privacy) - WLAN VPN - 802.1X và EAP - WPA (Wi-fi Protected Access) - WPA2 a) WEP (Wried Equivalent Privacy): - Chuẩn 802.11 cung cấp tính riêng tư cho dữ liệu bằng thuật toán WEP. WEP dựa trên mật mã dòng đối xứng RC4 (Ron’s code 4) được Ron Rivest thuộc hãng RSA Security Inc phát triển. - Một giá trị có tên Initialization Vector (IV) được sử dụng để cộng thêm với khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa. - Hiện nay, trên internet đã sẵn có những công cụ có khả năng tìm khóa WEP như AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab. WLAN VPN: - Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép. VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security). IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu. - Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa. b) 802.1X và EAP: 802.1x: Là chuẩn đặc tả cho việc truy cập dựa trên cổng (port- based) được định nghĩa bởi IEEE. Hoạt động trên cả môi trường có dây truyền thống và không dây. Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất. EAP: Là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS - Transport Layer Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 11 Security, OTP - One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau. c) WPA (Wi-fi Protected Access): - Cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP. WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. - WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin. Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền. - WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. d) WPA2: Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES(Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit. 1.3.2. Mạng LAN ảo (Virtual Local Area Network - VLAN) Mạng LAN (Local Area Network – còn gọi là mạng cục bộ) trong đó các máy tính và thiết bị truyền thông mạng được kết nối với nhau trong một khu vực nhỏ như tòa nhà cao ốc, trường đại học, khu giải trí. Mạng LAN có các đặc điểm sau: - Băng thông lớn để có khả năng chạy các ứng dụng trực tuyến như xem phim, giải trí, hội thảo qua mạng. - Kích thước mạng bị giới hạn bởi thiết bị. - Chi phí thiết kế, lắp đặt mạng LAN rẻ. - Quản trị đơn giản. VLAN từ viết tắt của Virtual Local Area Network hay còn được gọi là mạng LAN ảo. VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một logic trên cùng một kiến trúc hạ tầng vật lý. Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trường học, giữa các khu vực, phòng ban trong một công ty,...) giúp giảm thiểu vùng quảng bá cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn. VLAN cũng tăng cường tính bảo mật bởi vì một nhóm máy tính trong một VLAN chỉ trao đổi thông trong cùng một VLAN. Một số tính năng bảo mật: Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 12 - Port security: Cho phép nhân viên quản trị mạng xác định số lượng máy trạm được phép kết nối đến từng cổng switch. - Private LANs: Cung cấp biện pháp an ninh và khả nǎng phân vùng các cổng trên switch mà các cổng này của cùng một VLAN. Tính nǎng này đảm bảo rằng người sử dụng có thể giao tiếp chỉ với gateway mặc định của họ mà không phải với gateway của người khác. Private VLAN thường được sử dụng hiệu quả trong các môi trường DMZ (Delimitized Zone). - STP root guardBPDU guard: Loại bỏ các cuộc tấn công theo kiểu spanning- tree bằng cách tắt tất cả các cổng có thể gây ra sự thay đổi cấu trúc mạng lớp 2. - SSH support: Cung cấp một kết nối từ xa an toàn đến các thiết bị lớp 2 và lớp 3. Đối với các kết nối từ xa, SSH cung cấp mức độ bảo mật cao hơn telnet do cung cấp phương pháp mã hoá mạnh hơn khi thiết bị được xác thực. Tính nǎng này có cả SSH server và SSH client tích hợp. - VMPS (VLAN Membership Policy Server): Cho phép các địa chỉ MAC nhất định tương ứng với các VLAN nhất định. Tính nǎng nàycho phép người sử dụng di động trong mạng campus luôn có khả kết nối với cùng một biện pháp an ninh mạng. - Xác thực IEEE 802.1X: Bảo vệ mạng bằng cách nhận thực người sử dụng theo một cơ sở dữ liệu trung tâm trước khi kết nối được phép thực hiện. - Wire-rate ACLs: Cho phép các danh sách điều khiển truy nhập được thực hiện mà không làm giảm hiệu nǎng hệ thống. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 13 Chương 2: GIỚI THIỆU VỀ IPTABLE Để bảo vệ mạng nội bộ firewall là một trong những giải pháp bảo vệ mạng hữu hiệu và phổ biến hiện nay. Nó giúp cho các mạng nội bộ tránh khỏi những truy nhập trái phép từ bên ngoài bằng cách điều khiển thông tin ra vào giữa các mạng nội bộ. Nội dung chính của chương này em sẽ giới thiệu tổng quan về firewall , khái niệm, các chức năng của firewall, phân loại firewall, ưu nhược điểm của từng loại firewall, các chiến lược để xây dựng firewall và giới thiệu về cơ chế lọc gói tin. 2.1. Giới thiệu về firewall Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép từ mạng ngoài vào mạng trong nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống khi chưa được cấp quyền hoặc cho phép truy cập. Cũng có thể hiểu rằng firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Xây dựng firewall giữa mạng của một tổ chức, một công ty, hay một quốc gia và i nternet. Nó thực hiện vai trò bảo mật các thông tin trong mạng nội bộ ngăn chặn tấn công từ bên ngoài. 2.1.1 Các chức năng của Firewall Chức năng chính của firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và internet thông qua các chính sách truy nhập đã được thiết lập. - Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong. - Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng. - Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng. - Kiểm soát nội dung thông tin truyền tải giữa 2 mạng. - Ngăn ngừa khả năng tấn công từ các mạng ngoài. 2.1.2 Phân loại Firewall Firewall có nhiều loại tuy nhiên mỗi loại có nhưng ưu và nhược điểm riêng. Nhưng thông thường firewall được chia làm 2 loại chính là: Firewall phần cứng. Firewall phần mềm. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 14 a) Firewall phần cứng Là một thiết bị phần cứng được tích hợp bộ định tuyến, các quy tắc cho việc lọc gói tin được thiết lập ngay trên bộ định tuyến đó. Firewall phần cứng này như một chiếc máy tính chỉ thực hiện chức năng duy nhất là lọc gói tin bằng cách chạy một phần mềm đã được cứng hóa trong đó và chỉ có thể thiết lập các tập luật còn không thể thay đổi bộ định tuyến được cứng hóa và tích hợp bên trong. Tùy vào từng loại firewall phần cứng của các hãng khác nhau mà cho phép người quản trị có khả năng cập nhật những quy tắc lọc gói tin khác nhau. Khi hoạt động, tường lửa sẽ dựa trên các quy tắc được thiết lập trong bộ định tuyến mà kiểm tra thông tin header của gói tin như địa chỉ nguồn (source IP address), địa chỉ đích (destination IP address), cổng (Port). Nếu mọi thông tin trong header của gói tin là hợp lệ nó sẽ được cho qua và nếu không hợp lệ nó sẽ bị bỏ qua. Chính việc không mất thời gian xử lí những gói tin có địa chỉ không hợp lệ làm cho tốc độ xử lí của firewall phần cứng rất nhanh và đây chính là ưu điểm lớn nhất của hệ thống firewall phần cứng. Một điểm đáng chú là tất cả các loại firewall phần cứng trên thế giới hiện nay đều chưa thể lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dung trong header của gói tin. Mô hình sử dụng firewall phần cứng: Thiết bị phần cứng firewall trong mô hình này chỉ có một chức năng duy nhất là lọc gói tin mà không thể thực hiện bất kì một công việc nào khác. Hình 2.1: Mô hình sử dụng firewall phần cứng Trong mô hình này thông tin từ mạng internet không thể trực tiếp đi vào vùng mạng được bảo vệ và ngược lại mà nó phải thông qua firewall phần cứng. Quá trình kiểm duyệt xảy ra nếu các thông tin trong phần header của gói tin bao gồm địa chỉ Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 15 nguồn, địa chỉ đích, cổng (port) , được chấp nhận thì nó sẽ được chuyển tiếp vào mạng bên trong hay chuyển ra mạng internet bên ngoài. Hiện nay trên thị trường có một số hãng sản xuất firewall phần cứng rất nổi tiếng như CISCO, D-LINK, PLANET. Đặc điểm của Firewall phần cứng: - Không được linh hoạt như Firewall mềm: Không thể thêm chức năng, thêm quy tắc như firewall mềm. - Firewall cứng hoạt động ở tầng thấp hơn firewall mềm (Tầng Network và tầng Transport). - Firewall cứng không thể kiểm tra được nột dung của gói tin. - Thường được sử dụng cho các hệ thống mạng lớn. b) Firewall phần mềm Loại firewall này là một chương trình ứng dụng nguyên tắc hoạt động dựa trên trên ứng dụng proxy, là một phần mềm cho phép chuyển các gói tin mà máy chủ nhận được đến những địa điểm nhất định theo yêu cầu. Và các quy tắc lọc gói tin được người sử dụng tự thiết lập. Người ta thường sử dụng firewall loại này khi một mạng máy tính có máy chủ và mọi thông tin đều thông qua máy chủ này rồi mới chuyển đến máy con trong mạng hoặc dùng cho máy tính cá nhân khi tham gia mạng. Firewall phần mềm này rất tiện lợi ở chỗ phần mềm có thể dễ dàng thay đổi cập nhật các phiên bản mới. Cách thức hoạt động của firewall dạng này cũng rất đơn giản. Phần mềm firewall được chạy thường trú trên máy chủ hay máy tính cá nhân. Máy tính này có thể đảm đương nhiều nhiệm vụ ngoài công việc là firewall. Mỗi khi có các gói tin được chuyển đến hay chuyển đi nó đều được phần mềm firewall này kiểm tra phần header của gói tin bao gồm các thông tin về địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ. Firewall phần mềm mới hiện nay còn có thể kiểm tra được nội dung của gói tin. Các thông tin mà firewall kiểm tra được người dùng quy định trước trong tập luật. Nếu gói tin được phần mềm firewall cho qua thì tiếp theo nó sẽ được đưa đến các máy con trong mạng hoặc là các ứng dụng chạy trực tiếp trên máy đó. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 16 Hình 2.2: Mô hình sử dụng firewall phần mềm Dưới đây là mô hình thường sử dụng firewall phần mềm: Máy tính dùng làm firewall có thể đảm đương nhiều nhiệm vụ khác nhau ngoài việc là một firewall ví dụ DNS server, Mail server, Web server ... Trong mô hình này máy tính chạy ứng dụng firewall có vai trò trung gian. Nó sẽ nhận các gói tin từ internet và protected network sau đó thực hiện quá trình kiểm tra phần header của các gói tin đó gồm thông tin như : Địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ,… Sau đó nếu phần mềm firewall chấp nhận cho gói tin đi qua thì gói tin sẽ tiếp tục chuyển đến đích. Ngược lại nếu gói tin không được chấp nhận chuyển tiếp thì phần mềm firewall sẽ đưa ra quyết định hủy bỏ. Cách hủy bỏ cũng có nhiều kiểu như hủy bỏ không cần trả lời cho máy gửi tới biết lí do (DROP), hủy bỏ nhưng vẫn trả lời cho máy gửi tới biết lí do (REJECT). Chính việc xử lí việc hủy bỏ gói tin như vậy dẫn đến tốc độ của loại firewall này bị hạn chế. Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả năng lọc gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus, Sygate Personal Firewall. Đặc điểm của firewall phần mềm: - Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng. - Firewall mềm hoạt động ở tầng cao hơn firewall cứng. - Firewal mềm có thể kiểm tra được nội dung của gói tin. - Chí phí đầu tư thấp hơn so với firewall cứng. - Thường được sử dụng cho các máy tính cá nhân hoặc hệ thống mạng quy nhỏ. Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 17 2.1.3 Một số kiến trúc của Firewall a. Kiến trúc Dual – Homed Host Dual–homed h ost là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ. Dual–homed h ost là một máy tính có hai giao tiếp mạng: Một nối với mạng cục bộ và một nối với mạng ngoài. Hệ điều hành của Dual–homed host được sửa đổi để chức năng chuyển các gói tin giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên internet, người dùng ở mạng cục bộ trước hết phải login vào dual–homed h ost, và từ đó bắt đầu phiên làm việc. Hình 2.3: Sơ đồ kiến trúc Dual–homed Host Để cung cấp dịch vụ cho những người sử dụng mạng cục bộ (internal network) có một số giải pháp như sau: - Nếu dùng phương pháp cấp account cho user trên máy dual– homed host thì user không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng dịch vụ thì phải đăng nhập vào máy khác (dual homed host) khác với máy của họ đây là vấn đề rất là không trong suốt với người sử dụng. - Nếu dùng Proxy Server: Khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì phần mềm proxy server và Proxy client không phải loại dịch vụ nào cũng có sẵn. Một khuyết điểm cơ bản của hai mô hình trên nữa là: Khi mà máy dual –homed host nói chung cũng như các proxy server bị đột nhập vào. Người tấn công (attacker) đột nhập vào được qua nó thì lưu thông bên trong mạng cục bộ bị attacker này thấy hết, điều này thì hết sức nguy hiểm. Trong các hệ thống mạng dùng ethernet hoặc Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux SVTH: Phùng Văn Đại Trang 18 Token r ing thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máy nào nối vào mạng đánh cắp dữ liệu cho nên kiến trúc trên chỉ thích hợp với một số mạng nhỏ. Ưu điểm: - Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. - Dual–homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ unix, chỉ cần cấu hình và dịch lại nhân (kernel) của hệ điều hành là đủ. Nhược điểm: - Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. - Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed h ost đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ. b) Kiến trúc Screened Host Kiến trúc này kết hợp 2 kỹ thuật đó là packet filtering và proxy services. Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến p roxy server mà không được bỏ qua proxy server để nối trực tiếp với mạng bên trongbên ngoài (internalexternal netwo rk), đồng thời có thể cho phép bastion host mở một số kết nối với internalexternal host. Proxy Service: Bastion host sẽ chứa các proxy s erver để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server. Hình 2.4: Sơ đồ kiến trúc Screened Host Tìm hiểu bảo mật LAN và triển khai IPtables trên Linux S
TỔNG QUAN VỀ BẢO MẬT MẠNG MÁY TÍNH
Tổng quan về an ninh mạng máy tính
1.1.1 Tình hình an ninh mạng trên thế giới
Với sự xuất hiện của hàng loạt các cuộc tấn công trực tuyến trong thời gian qua, báo hiệu thời kì khó khăn cho các ngân hàng trực tuyến trên toàn thế giới Năm 2012, một số cuộc tấn công nhằm vào các ngân hàng Mỹ, khiến cho các website của các ngân hàng này ngừng trệ hoặc dừng hẳn Theo Prolexic, một công ty về hạn chế các cuộc tấn từ chối dịch vụ phân tán (DDoS) Cụ thể là một loại virus mới có tên Itsoknoproblembro, có khả năng gây lây nhiễm cho các máy chủ tại các trung tâm dữ liệu, các nhà cung cấp dịch vụ đám mây, biến các máy chủ đó thành các “bRobots” mà hầu như không chương trình chống virus nào hiện nay dò tìm ra được chúng Bằng việc gây lây nhiễm cho các trung tâm dữ liệu thay vì các máy tính đơn lẻ, những kẻ tấn công đã giành lấy sức mạnh tính toán để dựng lên vô số các cuộc tấn công từ chối dịch vụ
Khi nói đến vấn đề bảo mật, hầu hết các chuyên gia bảo mật đều chú trọng đến sự an toàn của hệ thống mạng và hệ điều hành Để bảo vệ cho hệ thống, phương pháp thường được chọn là sử dụng tường lửa Theo khảo sát của tập đoàn Symantec cho thấy trong giai đoạn từ tháng 7/2011 tới 7/2012 tội phạm mạng đã thực hiện các vụ tấn công gây thiệt hại lên tới 110 tỷ USD Tại Hoa Kỳ, khoảng 20 tỷ USD của 70 triệu nạn nhân đã không cánh mà bày do các hành động phá hoại từ các hacker Khảo sát cũng cho thấy khoảng 556 triệu người đã từng hứng chịu các hành động phá hoại của tin tặc, con số này thậm chí còn lớn hơn dân số Châu Âu ở thời điểm hiện tại
Thống kê cho thấy 15% số tài khoản mạng xã hội từng bị xâm nhập, 10% người dùng bị dính phải các link website chứa mã độc hại, 75% lổ hổng từ các website
1.1.2 Tình hình an ninh mạng tại Việt Nam
An ninh mạng là một vấn đề mới đối với đa số người sử dụng máy tính Những công ty lập trình website cũng chưa ý thức đầy đủ về vấn đề này Ở công ty nước ngoài, mỗi lập trình viên sau khi tuyển dụng phải qua một khoá đào tạo lập trình đặc biệt về an ninh mạng một số chứng chỉ như: CCNA (Cisco Certified Network Associate), CCNP (Cisco Certified Network Professional) Tìm được công ty thiết kế website ở Việt Nam làm điều này rất khó Việc đầu tư thời gian và công sức vào bảo mật có thể làm chậm tiến độ triển khai dự án, hiệu quả lại khó kiểm chứng Tuy đã được các chuyên gia máy tính liên tục cảnh báo nhưng nhận thức về nguy cơ, tính rủi ro và hậu quả của tình trạng mất an ninh mạng vẫn chưa được quan tâm tìm hiểu đúng mức Tình trạng lơ là, mất cảnh giác đối với nguy cơ virus tấn công các trang web xảy ra khá phổ biến trong giới quản trị website, thậm chí ngay cả đối với website của các doanh nghiệp CNTT
Tại ngày an toàn thông tin 2012 do hiệp hội an toàn thông tin Việt Nam VNISA (Vietnam Information Security Association) tổ chức ở Thành phố Hồ Chí Minh ngày 16/11, nhiều chuyên gia an ninh mạng đều có chung một đánh giá tình hình an toàn thông tin trên thế giới và cả Việt Nam năm qua không có quá nhiều các sự kiện nổi cộm, nhưng các cuộc tấn công xâm nhập, các hành vi vụ lợi thông qua sử dụng công nghệ cao và mạng internet vẫn xảy ra phổ biến Tháng 5/2012, VNISA đánh giá ngẫu nhiên 100 website tên miền gov.vn cho thấy 78% số website có thể bị tấn công toàn diện
Việt Nam, với sự đầu tư cho an toàn thông tin chưa nhiều, sẽ có nguy cơ chịu không ít rủi ro Đặc biệt, trong năm 2012, không chỉ các website của doanh nghiệp, chính phủ, mà cả những website của các công ty bảo mật hàng đầu Việt Nam cũng bị tấn công Trong năm nay, số lượng các máy tính bị nhiễm mã độc cũng không có dấu hiệu giảm (18,1/1000 máy tính), đây chính là các “trái bom” trong hệ thống thông tin chưa thể loại trừ được
Hiện nay, phần lớn các doanh nghiệp Việt Nam chưa có sự đầu tư đúng mức về công nghệ bảo mật cũng như về con người do chi phí cho lĩnh vực này khá cao BKIS cho biết, các lổ hổng bảo mật trên các trang web của Việt Nam phần lớn là do các công ty viết phần mềm chưa quan tâm đến an toàn hệ thống và đầu tư cho an ninh mạng chưa đủ ngưỡng Người quản trị mạng chưa làm tốt những công việc như: Đặt mật khẩu yếu, mở nhiều dịch vụ không cần thiết, các doanh nghiệp và tổ chức ở Việt Nam thường đầu tư dưới 10% chi phí CNTT cho bảo mật, một tỷ lệ dưới mức đảm bảo an toàn cho hệ thống thông tin
1.1.3 Các giải pháp cơ bản đảm bảo an ninh
An ninh mạng máy tính có thể bị đe dọa từ rất nhiều góc độ và nguyên nhân khác nhau Đe dọa an ninh có thể xuất phát từ bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức Do đó, việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụ thể khác nhau Tuy nhiên, tổng quan có ba giải pháp cơ bản sau:
Giải pháp về phần cứng
Giải pháp về phần mềm
Giải pháp về con người Đây là ba giải pháp tổng quát mà bất kì một nhà quản trị an ninh nào cũng phải tính đến trong công tác đảm bảo an ninh mạng máy tính Mỗi giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho tổ chức mình o Giải pháp về phần cứng:
- Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, cũng có thể là các thiết lập trong mô hình mạng (thiết lập kênh truyền riêng, mạng riêng) Giải pháp phần cứng thông thường đi kèm với nó là hệ thống phần mềm điều khiển tương ứng Đây là một giải pháp không phổ biến, vì không linh hoạt trong việc đáp ứng với sự phát triển và thay đổi của các công nghệ, các dịch vụ mới xuất hiện và chi phí rất cao o Giải pháp về phần mềm:
- Khác với giải pháp phần cứng, giải pháp phần mềm hết sức đa dạng Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng Cụ thể các giải pháp về phần mềm như: Các phương pháp xác thực, các phương pháp mã hoá, mạng riêng ảo, các hệ thống bức tường lửa Các phương pháp xác thực và mã hoá đảm bảo cho thông tin truyền trên mạng một cách an toàn nhất Vì với cách thức làm việc của nó, thông tin thật trên đường truyền được mã hoá mà những kẻ trộm không thể thấy được, hoặc nếu thông tin bị sửa đổi thì tại nơi nhận có cơ chế phát hiện sự sửa đổi đó Còn phương pháp sử dụng hệ thống bức tường lửa lại đảm bảo an ninh ở góc độ khác
- Bằng cách thiết lập các luật tại một điểm đặc biệt (gọi là điểm nghẹt) giữa hệ thống mạng bên trong (mạng cần bảo vệ) với hệ thống mạng bên ngoài (mạng được coi là không an toàn về bảo mật), hệ thống bức tường lửa hoàn toàn có thể kiểm soát các kết nối trao đổi thông tin giữa hai mạng Với cách thức này, hệ thống tường lửa đảm bảo an ninh khá tốt cho hệ thống mạng cần bảo vệ Như thế, giải pháp về phần mềm gần như hoàn toàn gồm các chương trình máy tính, do đó chi phí cho giải pháp này ít hơn so với giải pháp về phần cứng o Giải pháp về con người:
- Bên cạnh hai giải pháp trên, giải pháp về chính sách con người là một giải pháp hết sức cơ bản và không thể thiếu được Vì như phần trên đã trình bày, vấn đề an ninh mạng máy tính hoàn toàn là vấn đề con người, do đó việc đưa ra một hành lang pháp lý và các quy nguyên tắc làm việc cụ thể là cần thiết Ở đây, hành lang pháp lý có thể gồm: Các điều khoản trong bộ luật của nhà nước, các văn bản dưới luật, còn các quy định có thể do từng tổ chức đặt ra cho phù hợp với từng đặc điểm riêng Các quy định có thể như: Quy định về nhân sự, việc sử dụng máy, sử dụng phần mềm Và như vậy, sẽ hiệu quả nhất trong việc đảm bảo an ninh an toàn cho hệ thống mạng máy tính một khi ta thực hiện triệt để giải pháp về chính sách con người
Tóm lại, vấn đề an ninh mạng máy tính là một vấn đang được các nhà quản lý internet, người quản trị và người sử dụng rất quan tâm, lo ngại về tình hình an ninh mạng hiện nay, nó yêu cầu cần phải kết hợp các giải pháp: Phần cứng, phần mềm và con người Do đó, một trong những vấn đề mấu chốt của việc đảm bảo tính an toàn, an ninh khi sử dụng mạng internet là vấn đề tự giáo dục và nâng cao ý thức của người sử dụng cũng như trách nhiệm của những nhà cung cấp dịch vụ trong bối cảnh internet được phát triển mạnh và không kiểm soát được như ngày nay.
Các vấn đề bảo mật hệ thống mạng
1.2.1.Vấn đề chung về bảo mật hệ thống và mạng Đặc điểm chung của một hệ thống mạng là có nhiều người sử dụng chung và phân tán về mặt địa lý nên việc bảo vệ tài nguyên (mất mát hoặc sử dụng không hợp lệ) phức tạp hơn nhiều so với việc môi trường một máy tính đơn lẻ, hoặc một người sử dụng
Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và được sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định không bị tấn công bởi những kẻ phá hoại
Nhưng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởi những kẻ có ý đồ xấu a) Đối tượng tấn công mạng Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép
Một số đối tượng tấn công mạng như:
Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống
Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên miền, định danh người dùng
Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể đó là những hành động vô ý thức b) Lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: Có thể do lỗi của bản thân hệ thống, hoặc lỗ hổng của phần mềm hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp
Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống c) Chính sách bảo mật
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng Đối với từng trường hợp phải có chính sách bảo mật khác nhau Chính sách bảo mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biên pháp đảm bảo hữu hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng
1.2.2 Các loại lỗ hổng bảo mật và phương thức tấn công mạng a) Các loại lỗ hổng
Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt Theo bộ quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:
Lỗ hổng loại C : Cho phép thực hiện các hình thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ gián đoạn hệ thống, không phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp
DoS là hình thức tấn công sử dụng các giao thức ở tầng internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống
Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết kế ở tầng internet nói riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tàng của các lỗ hổng loại này
Lỗ hổng loại B : Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật Lỗ hổng này thường có trong các ứng dụng trên hệ thống có mức độ nguy hiểm trung bình
Vấn đề bảo mật mạng LAN
Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới những vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên ngoài vào trong mạng Việc kiểm soát được những truy cập bất hợp pháp từ bên ngoài vào cũng như kiểm soát những truy cập không cho phép từ trong nội bộ mạng ra bên ngoài Cùng với sự phát triển mạnh mẽ của internet và nhu cầu kết nối mạng nội bộ với internet thì vấn đề đảm bảo an toàn, an ninh mạng càng trở nên khó khăn và cần thiết
1.3.1 Mạng không dây (Wireless Local Area Network - WLAN)
Các giải pháp bảo mật mạng không dây WLAN:
- WPA (Wi-fi Protected Access)
- WPA2 a) WEP (Wried Equivalent Privacy):
- Chuẩn 802.11 cung cấp tính riêng tư cho dữ liệu bằng thuật toán WEP WEP dựa trên mật mã dòng đối xứng RC4 (Ron’s code 4) được Ron Rivest thuộc hãng RSA Security Inc phát triển
- Một giá trị có tên Initialization Vector (IV) được sử dụng để cộng thêm với khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa
- Hiện nay, trên internet đã sẵn có những công cụ có khả năng tìm khóa WEP như AirCrack, AirSnort, dWepCrack, WepAttack, WepCrack, WepLab
- Mạng riêng ảo VPN bảo vệ mạng WLAN bằng cách tạo ra một kênh che chắn dữ liệu khỏi các truy cập trái phép VPN tạo ra một tin cậy cao thông qua việc sử dụng một cơ chế bảo mật như IPSec (Internet Protocol Security) IPSec dùng các thuật toán mạnh như Data Encryption Standard (DES) và Triple DES (3DES) để mã hóa dữ liệu, và dùng các thuật toán khác để xác thực gói dữ liệu
- Khi được sử dụng trên mạng WLAN, cổng kết nối của VPN đảm nhận việc xác thực, đóng gói và mã hóa b) 802.1X và EAP:
802.1x: Là chuẩn đặc tả cho việc truy cập dựa trên cổng (port-based) được định nghĩa bởi IEEE Hoạt động trên cả môi trường có dây truyền thống và không dây Khi một người dùng cố gắng kết nối vào hệ thống mạng, kết nối của người dùng sẽ được đặt ở trạng thái bị chặn (blocking) và chờ cho việc kiểm tra định danh người dùng hoàn tất
EAP: Là phương thức xác thực bao gồm yêu cầu định danh người dùng (password, cetificate,…), giao thức được sử dụng (MD5, TLS - Transport Layer
Security, OTP - One Time Password,…) hỗ trợ tự động sinh khóa và xác thực lẫn nhau c) WPA (Wi-fi Protected Access):
- Cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin
- WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền
- WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise Cả 2 lựa chọn đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu d) WPA2:
Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES(Advanced Encryption Standard) AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit
1.3.2 Mạng LAN ảo (Virtual Local Area Network - VLAN)
Mạng LAN (Local Area Network – còn gọi là mạng cục bộ) trong đó các máy tính và thiết bị truyền thông mạng được kết nối với nhau trong một khu vực nhỏ như tòa nhà cao ốc, trường đại học, khu giải trí
Mạng LAN có các đặc điểm sau:
- Băng thông lớn để có khả năng chạy các ứng dụng trực tuyến như xem phim, giải trí, hội thảo qua mạng
- Kích thước mạng bị giới hạn bởi thiết bị
- Chi phí thiết kế, lắp đặt mạng LAN rẻ
VLAN từ viết tắt của Virtual Local Area Network hay còn được gọi là mạng LAN ảo VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một logic trên cùng một kiến trúc hạ tầng vật lý Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trường học, giữa các khu vực, phòng ban trong một công ty, ) giúp giảm thiểu vùng quảng bá cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn VLAN cũng tăng cường tính bảo mật bởi vì một nhóm máy tính trong một VLAN chỉ trao đổi thông trong cùng một VLAN
Một số tính năng bảo mật:
- Port security: Cho phép nhân viên quản trị mạng xác định số lượng máy trạm được phép kết nối đến từng cổng switch
- Private LANs: Cung cấp biện pháp an ninh và khả nǎng phân vùng các cổng trên switch mà các cổng này của cùng một VLAN Tính nǎng này đảm bảo rằng người sử dụng có thể giao tiếp chỉ với gateway mặc định của họ mà không phải với gateway của người khác Private VLAN thường được sử dụng hiệu quả trong các môi trường DMZ (Delimitized Zone)
- STP root guard/BPDU guard: Loại bỏ các cuộc tấn công theo kiểu spanning- tree bằng cách tắt tất cả các cổng có thể gây ra sự thay đổi cấu trúc mạng lớp 2
- SSH support: Cung cấp một kết nối từ xa an toàn đến các thiết bị lớp 2 và lớp
3 Đối với các kết nối từ xa, SSH cung cấp mức độ bảo mật cao hơn telnet do cung cấp phương pháp mã hoá mạnh hơn khi thiết bị được xác thực Tính nǎng này có cả SSH server và SSH client tích hợp
- VMPS (VLAN Membership Policy Server): Cho phép các địa chỉ MAC nhất định tương ứng với các VLAN nhất định Tính nǎng nàycho phép người sử dụng di động trong mạng campus luôn có khả kết nối với cùng một biện pháp an ninh mạng
- Xác thực IEEE 802.1X: Bảo vệ mạng bằng cách nhận thực người sử dụng theo một cơ sở dữ liệu trung tâm trước khi kết nối được phép thực hiện
- Wire-rate ACLs: Cho phép các danh sách điều khiển truy nhập được thực hiện mà không làm giảm hiệu nǎng hệ thống.
GIỚI THIỆU VỀ IPTABLE
Giới thiệu về firewall
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép từ mạng ngoài vào mạng trong nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống khi chưa được cấp quyền hoặc cho phép truy cập Cũng có thể hiểu rằng firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network)
Xây dựng firewall giữa mạng của một tổ chức, một công ty, hay một quốc gia và internet Nó thực hiện vai trò bảo mật các thông tin trong mạng nội bộ ngăn chặn tấn công từ bên ngoài
2.1.1 Các chức năng của Firewall
Chức năng chính của firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và internet thông qua các chính sách truy nhập đã được thiết lập
- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong
- Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng
- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng
- Kiểm soát nội dung thông tin truyền tải giữa 2 mạng
- Ngăn ngừa khả năng tấn công từ các mạng ngoài
Firewall có nhiều loại tuy nhiên mỗi loại có nhưng ưu và nhược điểm riêng Nhưng thông thường firewall được chia làm 2 loại chính là:
Firewall phần mềm a) Firewall phần cứng
Là một thiết bị phần cứng được tích hợp bộ định tuyến, các quy tắc cho việc lọc gói tin được thiết lập ngay trên bộ định tuyến đó Firewall phần cứng này như một chiếc máy tính chỉ thực hiện chức năng duy nhất là lọc gói tin bằng cách chạy một phần mềm đã được cứng hóa trong đó và chỉ có thể thiết lập các tập luật còn không thể thay đổi bộ định tuyến được cứng hóa và tích hợp bên trong Tùy vào từng loại firewall phần cứng của các hãng khác nhau mà cho phép người quản trị có khả năng cập nhật những quy tắc lọc gói tin khác nhau
Khi hoạt động, tường lửa sẽ dựa trên các quy tắc được thiết lập trong bộ định tuyến mà kiểm tra thông tin header của gói tin như địa chỉ nguồn (source IP address), địa chỉ đích (destination IP address), cổng (Port) Nếu mọi thông tin trong header của gói tin là hợp lệ nó sẽ được cho qua và nếu không hợp lệ nó sẽ bị bỏ qua Chính việc không mất thời gian xử lí những gói tin có địa chỉ không hợp lệ làm cho tốc độ xử lí của firewall phần cứng rất nhanh và đây chính là ưu điểm lớn nhất của hệ thống firewall phần cứng
Một điểm đáng chú là tất cả các loại firewall phần cứng trên thế giới hiện nay đều chưa thể lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dung trong header của gói tin
Mô hình sử dụng firewall phần cứng: Thiết bị phần cứng firewall trong mô hình này chỉ có một chức năng duy nhất là lọc gói tin mà không thể thực hiện bất kì một công việc nào khác
Hình 2.1: Mô hình sử dụng firewall phần cứng
Trong mô hình này thông tin từ mạng internet không thể trực tiếp đi vào vùng mạng được bảo vệ và ngược lại mà nó phải thông qua firewall phần cứng Quá trình kiểm duyệt xảy ra nếu các thông tin trong phần header của gói tin bao gồm địa chỉ nguồn, địa chỉ đích, cổng (port), được chấp nhận thì nó sẽ được chuyển tiếp vào mạng bên trong hay chuyển ra mạng internet bên ngoài
Hiện nay trên thị trường có một số hãng sản xuất firewall phần cứng rất nổi tiếng như CISCO, D-LINK, PLANET Đặc điểm của Firewall phần cứng:
- Không được linh hoạt như Firewall mềm: Không thể thêm chức năng, thêm quy tắc như firewall mềm
- Firewall cứng hoạt động ở tầng thấp hơn firewall mềm (Tầng Network và tầng Transport)
- Firewall cứng không thể kiểm tra được nột dung của gói tin
- Thường được sử dụng cho các hệ thống mạng lớn b) Firewall phần mềm
Loại firewall này là một chương trình ứng dụng nguyên tắc hoạt động dựa trên trên ứng dụng proxy, là một phần mềm cho phép chuyển các gói tin mà máy chủ nhận được đến những địa điểm nhất định theo yêu cầu Và các quy tắc lọc gói tin được người sử dụng tự thiết lập Người ta thường sử dụng firewall loại này khi một mạng máy tính có máy chủ và mọi thông tin đều thông qua máy chủ này rồi mới chuyển đến máy con trong mạng hoặc dùng cho máy tính cá nhân khi tham gia mạng Firewall phần mềm này rất tiện lợi ở chỗ phần mềm có thể dễ dàng thay đổi cập nhật các phiên bản mới
Cách thức hoạt động của firewall dạng này cũng rất đơn giản Phần mềm firewall được chạy thường trú trên máy chủ hay máy tính cá nhân Máy tính này có thể đảm đương nhiều nhiệm vụ ngoài công việc là firewall Mỗi khi có các gói tin được chuyển đến hay chuyển đi nó đều được phần mềm firewall này kiểm tra phần header của gói tin bao gồm các thông tin về địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ Firewall phần mềm mới hiện nay còn có thể kiểm tra được nội dung của gói tin Các thông tin mà firewall kiểm tra được người dùng quy định trước trong tập luật Nếu gói tin được phần mềm firewall cho qua thì tiếp theo nó sẽ được đưa đến các máy con trong mạng hoặc là các ứng dụng chạy trực tiếp trên máy đó
Hình 2.2: Mô hình sử dụng firewall phần mềm
Dưới đây là mô hình thường sử dụng firewall phần mềm: Máy tính dùng làm firewall có thể đảm đương nhiều nhiệm vụ khác nhau ngoài việc là một firewall ví dụ DNS server, Mail server, Web server
Trong mô hình này máy tính chạy ứng dụng firewall có vai trò trung gian Nó sẽ nhận các gói tin từ internet và protected network sau đó thực hiện quá trình kiểm tra phần header của các gói tin đó gồm thông tin như : Địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ,… Sau đó nếu phần mềm firewall chấp nhận cho gói tin đi qua thì gói tin sẽ tiếp tục chuyển đến đích Ngược lại nếu gói tin không được chấp nhận chuyển tiếp thì phần mềm firewall sẽ đưa ra quyết định hủy bỏ Cách hủy bỏ cũng có nhiều kiểu như hủy bỏ không cần trả lời cho máy gửi tới biết lí do (DROP), hủy bỏ nhưng vẫn trả lời cho máy gửi tới biết lí do (REJECT) Chính việc xử lí việc hủy bỏ gói tin như vậy dẫn đến tốc độ của loại firewall này bị hạn chế
Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả năng lọc gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus, Sygate Personal Firewall Đặc điểm của firewall phần mềm:
- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng
- Firewall mềm hoạt động ở tầng cao hơn firewall cứng
- Firewal mềm có thể kiểm tra được nội dung của gói tin
- Chí phí đầu tư thấp hơn so với firewall cứng
- Thường được sử dụng cho các máy tính cá nhân hoặc hệ thống mạng quy nhỏ
2.1.3 Một số kiến trúc của Firewall a Kiến trúc Dual – Homed Host
Dual–homed host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ Dual–homed host là một máy tính có hai giao tiếp mạng: Một nối với mạng cục bộ và một nối với mạng ngoài
Hệ điều hành của Dual–homed host được sửa đổi để chức năng chuyển các gói tin giữa hai giao tiếp mạng này không hoạt động Để làm việc được với một máy trên internet, người dùng ở mạng cục bộ trước hết phải login vào dual–homed host, và từ đó bắt đầu phiên làm việc
Các chiến lược xây dựng Firewall
Một nguyên tắc cơ bản nhất của an toàn (không phải chỉ áp dụng cho an toàn mạng) là trao quyền tối thiểu Về cơ bản, nguyên tắc này có nghĩa là bất kỳ một đối tượng nào (người sử dụng, người quản trị, chương trình, hệ thống) Chỉ nên có những quyền hạn nhất định mà đối tượng đó cần phải có để thực hiện các nhiện vụ của mình Quyền hạn tối thiểu là nguyên tắc quan trọng để tránh cho người ngoài lợi dụng đột nhập và hạn chế sự phá huỷ do các đột nhập gây ra
2.2.2 Bảo vệ theo chiều sâu
Một nguyên tắc khác của an toàn và bảo vệ theo chiều sâu Đối với mỗi hệ thống, không nên cài đặt và chỉ sử dụng một chế độ an toàn cho dù nó có thể mạnh, mà nên lắp đặt nhiều cơ chế an toàn để chúng có thể hỗ trợ lẫn nhau Vì vậy firewall được xây dựng theo cơ chế có nhiều lớp bảo vệ
Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một “cửa khẩu” hẹp mà chúng ta có thể kiểm soát và điều khiển được giống như việc muốn vào rạp xem hát, ta phải đi qua cổng kiểm soát vé
Trong cơ chế an toàn mạng, firewall nằm giữa hệ thống của ta và mạng internet, nó chính là một nút thắt Bất kỳ ai có ý định đột nhập hệ thống từ internet sẽ phải qua cửa khẩu này, và ta có thể theo dõi, quản lý được
Khi muốn xâm nhập vào hệ thống, kẻ đột nhập thường tìm các điểm yếu nhất để tấn công vào đó Do vậy, đối với từng hệ thống cần phải biết điểm yếu nhất để có phương án bảo vệ an toàn hệ thống Thường ta hay quan tâm đến những kẻ đột nhập trên mạng hơn là những kẻ tiếp nhận hệ thống, cho nên an toàn về mặt vật lý được coi là điểm yếu nhất trong mọi hệ thống
Một nguyên tắc nền tảng khác của an toàn là “hỏng trong an toàn”, có nghĩa là nếu hệ thống đang hỏng thì nó phải được hỏng theo một cách nào đó để ngăn chặn sự truy nhập bất hợp pháp tốt hơn là để cho kẻ đột nhập lọt vào phá hệ thống Đương nhiên việc hỏng trong an toàn cũng huỷ bỏ sự truy nhập hợp pháp của người sử dụng cho đến khi hệ thống được khôi phục lại
Dựa trên nguyên tắc này người ta đưa ra hai quy tắc cơ bản áp dụng cho các quy định và biện pháp an toàn:
- Default Deny Stance: Chú trọng vào những cái được phép và ngăn chặn tất cả cái gì còn lại Những gì không rõ ràng cụ thể sẽ bị ngăn cấm
- Default Permit Stance: Chú trọng vào những cái bị ngăn cấm và cho phép tất cả những cái còn lại, những gì không bị ngăn cấm thì đựợc phép
Hầu hết những người sử dụng và nhà quản lý sử dụng quy tắc cho phép mặc định và một số dịch vụ, hành động rắc rối, không rõ ràng sẽ bị ngăn cấm
- NFS không cho phép qua firewall
- Truy nhập WWW bị hạn chế đối với những chuyên gia đào tạo về những vấn đề an toàn của WWW
Người sử dụng không được cài đặt các Server không được phép Vậy vận dụng quy tắc nào thì tốt hơn Theo quan điểm về an toàn thì nên dùng quy tắc “Default deny stance” Còn theo quan điểm của các nhà quản lý thì lại là quy tắc “Default permit stance”
Do sử dụng nhiều hệ thống khác nhau, ta phải có nhiều biện pháp bảo vệ để đảm bảo chiến lược bảo vệ theo chiều sâu Bởi vì, nếu tất cả các hệ thống của ta đều như nhau và một người nào đó biết cách đột nhập vào một trong số các hệ thống thì anh ta cũng có thể đột nhập vào tất các hệ thống còn lại Sử dụng nhiều hệ thống khác nhau có thể hạn chế các các cơ hội phát sinh lỗi và an toàn hơn Xong đổi lại, ta phải đối mặt với các vấn đề về giá cả và tính chất phức tạp Việc mua bán, lắp đặt nhiều hệ thống khác nhau sẽ khó hơn, tốn kém thời gian hơn các hệ thống cùng chủng loại Ngoài ra, cũng cần nhiều sự hỗ trợ và thời gian để đào tạo cán bộ vận hành, quản trị hệ thống từ phía các nhà cung cấp
2.3 Cách thức xây dựng Firewall
Trong quá trình xây dựng một firewall đòi hỏi bước tiến hành đều phải được nên kế hoạch trước và phối hợp chặt chẽ với nhau Và để giải quyết vấn đề lớn nhất là xây dựng thành công một tường lửa hoạt động theo hiệu quả thì ta phải xây dựng từng bước thật vững chắc, hạn chế tối đa những sai sót đáng tiếc có thể xảy ra trong quá trình xây dựng
2.3.1 Xây dựng các nguyên tắc căn bản
Muốn xây dựng được một firewall thành công thì nó phải thực hiện theo một số quy tắc căn bản nhất định Khi có một gói tin IP đi qua tường lửa thì nó sẽ phải dựa các quy tắc căn bản này để phân tích và lọc gói tin Vì thế chúng ta phải đưa ra các quy tắc thật đơn giản, ngắn gọn và dễ hiểu nhằm tăng tốc độ sử lý gói tin trong tường lửa và sẽ tránh được tắc nghẽn, đồng thời nó còn giúp cho việc thay đổi và bảo trì hệ thống được dễ dàng hơn rất nhiều Thông thường thì ta nên dùng không quá 30 quy tắc căn bản nếu dùng quá nhiều sẽ làm cho việc lọc gói sẽ chậm hơn và cũng sẽ dễ gây ra lỗi vì các quy tắc có thể bị chồng chéo lên nhau
2.3.2 Xây dựng chính sách an toàn
Một tường lửa phải có các chính sách an toàn vì thực chất tường lửa chỉ là một công cụ thực thi các chính sách an toàn Việc quản lý và xây dựng chính sách an toàn một cách chặt chẽ sẽ tạo ra được sức mạnh cho tường lửa Vì vậy trước khi xây dựng các quy tắc căn bản thì chúng ta phải hiểu được chính sách an toàn của tường lửa cần xây dựng là gì
Và đồng thời cũng phải xây dựng các chính sách an toàn sao cho dễ hiểu và đơn giản một cách tương đối và không nên xây dựng một cách quá phức tạp dẫn đến chồng chéo dễ gây nhầm lẫn và dễ kiểm tra, bảo trì Chúng ta có thể đưa ra một số chính sách an toàn rất đơn giản như sau: những máy trong mạng nội bộ được truy nhập ra internet không giới hạn, cho phép sự truy cập vào Web và Mail Server của mạng nội bộ từ internet, các thông tin đi vào trong mạch nội bộ đều phải được xác thực và mã hoá.Từ những chính sách rất đơn giản như ví dụ trên đây chúng ta có thể phát triển để thành những chính sách hoạt động một cách hiệu quả và phức tạp hơn rất nhiều ví dụ giới hạn mạng nội bộ chỉ được sử dụng internet một cách hạn chế với một vài dịch vụ cơ bản như Mail, HTTP,… còn lại ngăn cấm hoàn toàn dịch vụ truyền tệp FTP
2.3.3 Xây dựng kiến trúc an toàn
Các bước cần làm khi xây dựng một kiến trúc an toàn:
- Đầu tiên thì ta cho phép tất cả các máy trong mạng nội bộ có thể truy cập ra internet
- Sau đó ta thực hiện cài đặt các phần thồng tin không cần bảo vệ (ví dụ: Web Server và Mail Server) vào một vùng có tên kỹ thuật là vùng “phi quân sự”
Các thành phần và cơ chế hoạt động tường lửa
+ Bộ lọc packet (Packet- filtering router)
+ Cổng ứng dụng (Application gateway hay proxy server)
+ Bộ lọc Sesion thông minh (Intelligent Session Filters)
Hình 2.9: Sơ đồ phần thành của firewall
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall thì điều đó có nghĩa rằng firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng
Bộ lọc packet Cổng ứng dụng Cổng mạch Bộ lọc
Hình 2.10: Gói tin ở tầng Network
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng Đó là:
- Địa chỉ nơi xuất phát hay còn gọi là địa chỉ nguồn (Source IP address)
- Địa chỉ nơi nhận hay còn gọi là địa chỉ đích (Destination IP address)
- Số cổng của nơi xuất phát (Source port)
- Số cổng của nơi nhận (Destination) Ưu điểm :
- Chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm router Ngoài ra, bộ lọc gói tin là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả
-Việc định nghĩa các chế độ lọc gói tin là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển Do làm việc dựa trên header của các gói tin, rõ ràng là bộ lọc gói tin không kiểm soát được nội dung thông tin của gói tin Các gói tin chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu
- Kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là proxy service Proxy service là các bộ code đặc biệt cài đặt trên từng ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác
Application gateway được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ vào giao thức được cho phép truy cập vào hệ thống mạng
Proxy service hoạt động theo cơ chế: Một ứng dụng nào đó được đại diện bởi một proxy Service chạy trên các hệ thống máy chủ thì được quy chiếu đến application gateway của firewall Cơ chế lọc của packet filtering phối hợp kiểm soát với cơ chế
“đại diện” application gateway cung cấp một khả năng an toàn hơn cho firewall trong việc giao tiếp thông tin với mạng ngoài
Ví dụ một hệ thống mạng có chức năng lọc gói tin, nó sẽ ngăn các kết nối bằng telnet vào hệ thống chỉ trừ một cổng duy nhất Telnet application gateway là được phép Một người sử dụng dịch vụ telnet muốn kết nối vào hệ thống phải thực hiện các bước sau:
- Thực hiện dịch vụ telnet đến telnet application gateway rồi cho biết tên của máy chủ bên trong cần truy cập
- Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập rồi cho phép hoặc
- Người truy cập phải vượt qua được hệ thống kiểm tra xác định
- Proxy service liên kết lưu thông giữa người truy cập với máy chủ
Cơ chế hoạt động này có ý nghĩa quan trọng trong việc thiết kế an ninh hệ thống Nó có thể cung cấp nhiều khả năng, ví dụ như: che dấu các thông tin: Người dùng chỉ có thể nhìn thấy trực tiếp các gateway được phép, tăng cường kiểm tra truy cập bằng các dịch vụ xác thực (authentication), giảm đáng kể giá thành cho việc phát triển các hệ quản trị xác thực vì hệ thống này được thiết kế chỉ quy chiếu đến application gateway, giảm thiếu các quy tắc kiểm soát của bộ lọc Điều này làm tăng một cách đáng kể tốc độ hoạt động của firewall Ưu điểm:
- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống
- Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy Chẳng hạn, telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh telnet
Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng mạch đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói tin nào
Cổng mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào Cổng mạch làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (Inside connection) và các kết nối bên ngoài (Outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ
Hình 2.12: Ứng dụng cổng mạch ở lớp 4 trong mô hình OSI
Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng mạch cho các kết nối đi Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công từ bên ngoài
2.4.4 Bộ lọc sesion thông minh
Cơ chế hoạt động phối hợp giữa bộ lọc packet và cổng ứng dụng như đề cập ở trên cung cấp một chế độ an ninh cao tuy nhiên nó cũng tồn tại một vài hạn chế Vấn đề chính hiện nay là làm sao để cung cấp đủ proxy service cho rất nhiều ứng dụng khác nhau đang phát triển ồ ạt Điều này có nghĩa là nguy cơ, áp lực đối với việc firewall bị đánh lừa gia tăng lên rất lớn nếu các proxy không kịp đáp ứng
Trong khi giám sát các gói tin ở những mức phía trên, nếu như lớp network đòi hỏi nhiều công sức đối với việc lọc các gói tin đơn giản, thì việc giám sát các giao dịch lưu thông ở mức mạng đòi hỏi ít công việc hơn Cách này cũng loại bỏ được các dịch vụ đặc thù cho từng loại ứng dụng khác nhau
Một sesion ở mức network được tạo bởi hai packet lưu thông hai chiều là:
- Kiểm soát các gói lưu thông từ máy trạm phát sinh ra nó đến máy chủ cần tới
- Kiểm soát gói tin trở về từ máy chủ phát sinh
- Bộ lọc thông minh sẽ nhận biết được rằng gói tin trở về theo chiều ngược lại
HIỂU FIREWALL IPTABLES TRONG HỆ ĐIỀU HÀNH
IPtables trên Redhat
Phiên bản nhân Linux version 2.4.x đã được đưa ra với rất nhiều tính năng mới giúp Linux hoạt động tin cậy hơn và hỗ trợ cho nhiều thiết bị Một trong những tính năng mới của nó đó là hỗ trợ Netfilter Iptables trong kernel, giúp các thao tác trên gói tin hiệu quả hơn so với các ứng dụng trước đó như ipfwadm trong kernel 2.0 và ipchains trong kernel 2.2, tuy vẫn hỗ trợ cho các bộ lệnh cũ Thiết lập firewall theo kiểu lọc packet (Packet filtering – lọc gói tin) với ipfwadm hoặc ipchains có nhiều hạn chế: thiếu các tích hợp cần thiết để mở rộng tính năng, khi sử dụng lọc gói tin cho các giao thức thông thường và chuyển đổi địa chỉ mạng NAT (Network address translation) thì thực hiện hoàn toàn tách biệt mà không có được tính kết hợp Netfilter và iptables trên kernel 2.4 giải quyết tốt các hạn chế trên và có thêm nhiều tính năng khác mà Ipfwadm và Ipchains không có
Iptables do Netfilter Organiztion viết ra để tăng tính năng bảo mật trên hệ thống Linux Iptables cung cấp các tính năng sau:
- Tích hợp tốt với kernel của Linux
- Có khả năng phân tích gói tin hiệu quả
- Lọc gói tiin dựa vào MAC và một số cờ hiệu trong TCP Header
- Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống
- Cung cấp kỹ thuật NAT
- Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS
Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn trên linux Netfilter/Iptables gồm 2 phần là netfilter ở trong nhân linux và iptables nằm ngoài nhân Iptables chịu trách nhiệm giao tiếp giữa người dùng và netfilter để đẩy các luật của người dùng vào cho netfiler xử lí Netfilter tiến hành lọc các gói dữ liệu ở mức
IP Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ thống
3.1.2 Quá trình chuyển gói dữ liệu qua Netfilter
Hình 3.2: Chuyển đổi gói dữ liệu qua Netfilter
Gói tin từ bên ngoài đi vào, sau đó đi vào card mạng (chẳng hạn như card eth0) Đầu tiên gói tin sẽ qua chain PREROUTING trước khi định tuyến Tại đây, gói tin có thể bị thay đổi thông số (mangle) hoặc bị đổi địa chỉ IP đích (DNAT) Khi gói tin đi vào máy, nó sẽ qua chain INPUT Tại chain INPUT, gói tin có thể được chấp nhận hoặc bị hủy bỏ Tiếp theo gói tin sẽ được chuyển lên cho lớp ứng dụng (client/server) xử lí và tiếp theo là được chuyển ra chain OUTPUT Tại chain OUTPUT, gói tin có thể bị thay đổi các thông số và bị lọc chấp nhận ra hay bị hủy bỏ Đối với gói tin forward qua máy, gói sau khi rời chain PREROUTING sẽ qua chain FORWARD Tại chain FORWARD, nó cũng bị lọc ACCEPT hoặc DENY Gói tin sau khi qua chain FORWARD hoặc chain OUTPUT sẽ đến chain POSTROUTING (sau khi định tuyến) Tại chain POSTROUTING, gói tin có thể được đổi địa chỉ IP nguồn (SNAT) hoặc MASQUERADE Gói tin sau khi ra card mạng sẽ được chuyển lên cáp để đi đến máy tính khác trên mạng
3.1.3 Cơ chế xứ lý gói tin trong Iptables
Iptables được chia làm 4 bảng:
- Bảng FILTER dùng để lọc gói dữ liệu
- Bảng NAT dùng để thao tác với các gói dữ liệu được NAT nguồn hay NAT
- Bảng MANGLE dùng để thay đổi các thông số trong gói IP
- Bảng CONNTRACK dùng để theo dõi các kết nối
Mỗi table gồm nhiều mắc xích (chain) Chain gồm nhiều luật để thao tác với các gói dữ liệu Rule có thể là ACCEPT (chấp nhận), DROP (bỏ), REJECT (từ chối) hoặc tham chiếu (reference) đến một chain khác
Filter table: Chịu trách nhiệm thiết lập bộ lọc packet (packet filtering), có ba loại built-in chains:
Hình 3.3: Quá trình xử lý gói tin trong bảng Filter
- Forward chain: Cho phép packet nguồn chuyển qua firewall
- Input chain: Cho phép những gói tin đi vào từ firewall
- Output chain: Cho phép những gói tin đi ra từ firewall
NAT table: thực thi chức năng NAT (Network address translation), bao gồm ba loại built-in chains sau đây:
Hình 3.4: Quá trình xử lý gói tin trong bảng NAT
- Pre-routing chain: NAT từ ngoài vào trong nội bộ Quá trình NAT sẽ thực hiện trước khi thực thi cơ chế routing Điều này thuận lợi cho việc đổi địa chỉ đích để địa chỉ tương thích với bảng định tuyến của firewall, khi cấu hình ta có thể dùng khóa DNAT để mô tả kỹ thuật này
- Post-routing chain: NAT từ trong ra ngoài Quá trình NAT sẽ thực hiện sau khi thực hiện cơ chế định tuyến Quá trình này nhằm thay đổi địa chỉ nguồn của gói tin
- OUTPUT: Trong loại này firewall thực hiện quá trình NAT
Mangle table: làm để thay đổi gói tin và làm thay đổi QOS (quality of service) bit trong TCP header Thông thường loại table này được ứng dụng trong SOHO (Small Office/Home Office)
Hình 3.5: Quá trình xử lý gói tin trong bảng Mangle
Một số khái niệm trong Iptables:
- Chain: là một chuỗi bao gồm nhiều luật (rule), mặc định các bảng có sẵn các chain như INPUT, OUTPUT
- Rule: Là các luật đưa ra các điều kiện so sánh, tập hợp nhiều rule tạo thành chain
- Jump: Là cơ chế chuyển một gói tin đến một target nào đó để xử lý thêm một số thao tác khác
- Target: Là quá trình xử lý, nhận diện và kiểm tra các gói tin đủ điều kiện Các target được xây dựng sẵn trong Iptables như:
ACCEPT: Cho phép gói tin đi qua
DROP: Xoá hoặc chặn gói tin
REJECT: Loại gói tin và báo lại cho người gửi
DNAT: Thay đổi địa chỉ đích của gói tin
SNAT: thay đổi địa chỉ nguồn của gói tin
MASQUERADING: là một kỹ thuật đặc biệt của SNAT (Many to One NAT)
Bảng 1: Mô tả các tuỳ chọn lệnh trong Iptables Ý nghĩa -t Chỉ định bảng cho iptables bao gồm: filter, nat, mangle tables -j Nhảy đến một target chain khi gói tin thỏa luật hiện tại
- A Thêm luật vào cuối iptables chain
- F Xóa tất cả các luật trong bảng lựa chọn
-p Mô tả các giao thức bao gồm: icmp, tcp, udp
-s Chỉ định địa chỉ nguồn
-d Chỉ định địa chỉ đích
-i Chỉ định “input” interface nhận gói tin
-o Chỉ định “output” interface chuyển gói tin ra ngoài
-p tcp sport, dport Xác định port nguồn, đích của gói tin TCP
-p udp sport, dport Xác định port nguồn, đích của gói tin UDP
syn Xác định gói tin có phải là một yêu cầu tạo một kết nối TCP mới không
icmp-type Xác định loại gói icmp (echo-reply hay echo-request)
-m multiport sport, dport Xác định một loạt các giá trị port nguồn, đích
-m multiport port Xác định một loạt các giá trị port (không phân biệt nguồn hay đích)
-m state < state >: Xác định trạng thái kết nối mà gói tin thể hiện.
Các tham số dòng lệnh thường gặp
a) Gọi trợ giúp Để gọi trợ giúp về iptables, bạn gõ lệnh “$ man iptables hoặc $ iptables –help” Chẳng hạn nếu bạn cần biết về các tùy chọn của match limit, bạn gõ lệnh $ iptables -m limit help b) Các tham số tùy chọn
Chỉ định tên table: -t, ví dụ -t filter, -t nat, nếu không chỉ định table, giá trị mặc định là filter
Chỉ đinh loại giao thức: -p, ví dụ -p tcp, -p udp hoặc -p ! udp để chỉ định các giao thức không phải là udp
Chỉ định card mạng vào: -i , ví dụ: -i eth0, -i lo
Chỉ định card mạng ra: -o , ví dụ: -o eth0, -o pp0
Chỉ định địa chỉ IP nguồn: -s , ví dụ: -s 192.168.0.0/24, -s 192.168.0.1-192.168.0.3 (các IP 192.168.0.1, 192.168.0.2, 192.168.0.3)
Chỉ định địa chỉ IP đích: -d , tương tự như –s
Chỉ định cổng đích: dport , tương tự như –sport c) Các thao tác tùychọn với chain
Xóa hết các luật đã tạo trong chain: iptables -X Đặt chính sách cho các chain “built-in” (INPUT, OUTPUT và FORWARD): iptables -P, ví dụ: “iptables -P INPUT ACCEPT” để chấp nhận các packet vào chain INPUT
Liệt kê các luật có trong chain: iptables –L
Xóa các luật có trong chain (flush chain): iptables –F
Reset bộ đếm packet về 0: iptables –Z d) Các thao tác tùychọn với Rule
Chèn thêm luật: -I (insert) e) Phân biệt giữa ACCEPT, DROP và REJECT
ACCEPT: Cho phép gói tin đi qua
DROP: Xóa gói tin mà không thông báo đến địa chỉ nguồn gửi gói tin.
REJECT: Loại bỏ và gửi thông báo lỗi đến địa chỉ nguồn gửi gói tin.
# iptables -A INPUT -i eth0 dport 80 -j ACCEPT (chấp nhận gói tin vào cổng
# iptables -A INPUT -i eth0 -p tcp dport 23 -j DROP (thả các packet đến cổng
23 dùng giao thức TCP trên card mạng eth0)
# iptables -A INPUT -i eth1 -s ! 192.168.1.1-192.168.1.5 dport 22 -j REJECT reject-with tcp-reset (gửi gói TCP với cờ RST=1 cho các kết nối không đến từ dãy địa chỉ IP 192.168.1.1 - 5 trên cổng 22, card mạng eth1)
# iptables -A INPUT -p udp dport 139 -j REJECT reject-with icmp-port- unreachable (gửi gói ICMP “port-unreachable” cho các kết nối đến cổng 139, dùng giao thức UDP) f) Phân biệt giữa NEW, ESTABLISHED và RELATED
NEW: Mở kết nối mới
ESTABLISHED: Đã thiết lập kết nối
RELATED: Mở một kết nối mới trong kết nối hiện tại
# iptables -P INPUT DROP (đặt chính sách cho chain INPUT là DROP)
# iptables -A INPUT -p tcp syn -m state state NEW -j ACCEPT (chỉ chấp nhận các gói TCP mở kết nối đã thiết lập cờ SYN=1)
# iptables -A INPUT -m state state ESTABLISHED, RELATED -j ACCEPT (không đóng các kết nối đang được thiết lập, đồng thời cũng cho phép mở các kết nối mới trong kết nối được thiết lập)
# iptables -A INPUT -p tcp -j DROP (các gói TCP đi vào đều bị chặn) g) Tùy chọn limit-burst, limit
limit-burst: Mức đỉnh, tính bằng số gói tin
limit: Tốc độ khi chạm mức đỉnh tính bằng số “gói tin/s”, s (giây), m (phút), d (giờ) hoặc h (ngày).
Giới thiệu về bảng NAT (Network Address Traslation)
Có một vấn đề được đặt ra hiện nay là sự khan hiếm địa chỉ IP, một cơ quan khi có rất nhiều máy tính nhưng chỉ được cấp phát một địa chỉ IP duy nhất Vậy làm thế nào để chỉ với một địa chỉ IP duy nhất này tất cả các máy tính ở trong một cơ quan có thể truy cập đựơc internet
3.3.1 Khái niêm căn bản về NAT
NAT được dùng khi cá nhân dùng địa chỉ mạng riêng của mình để kết nối vào Internet Trong khi muốn kết nối được với internet thì yêu cầu bạn phải có địa chỉ mạng chung Địa chỉ mạng chung sử dụng trên internet chỉ tồn tại duy nhất và thông thường được cung cấp bởi các nhà cung cấp dịch vụ internet Địa chỉ mạng riêng được sử dụng trong mạng nội, địa chỉ này thì không cần phải cung cấp từ nhà dịch vụ mà có thể được cung cấp bởi người quản trị mạng nội bộ, nhưng không được trùng với địa chỉ đang được sử dụng trên internet
Sử dụng cơ chế NAT giúp vào internet ngay trong khi đang sử dụng địa chỉ mạng riêng NAT chuyển đổi giữa địa chỉ private thành địa chỉ IP public, NAT sẽ biến đổi địa chỉ nguồn và khi ra khỏi mạng nội bộ thì nó sẽ sử dụng địa chỉ mạng public để kết mà chỉ biết được địa chỉ public của mạng nội bộ đó do nhà cung cấp dịch vụ cấp phát NAT sẽ nhận biết các địa chỉ mạng của các máy trong mạng nội bộ thông qua số cổng dịch vụ Ưu điểm của NAT:
- Bí mật được địa chỉ mạng nội bộ với mạng bên ngoài
- Nếu kết nối vào internet thì nó sẽ tiết kiệm được địa chỉ public
- Nó sẽ phục vụ cân bằng tải và có thể chia ra nhiều server khác nhau ở bên trong mạng nội bộ
- Quá trình phân phối khoá sẽ được đảm bảo bí mật
- Nếu thay đổi địa chỉ internet cũng không cần phải cấu hình lại cho từng máy sẽ rất thuận lợi cho người quản trị
- Giảm được chi phí đầu tư
- Tốc độ xử lí chậm vì phải phân tích lại gói tin, ghi lại địa chỉ và tính toán địa chỉ gói tin
- Dễ xảy ra tắc nghẽn nếu quá nhiều thông tin cùng qua lại một thời điểm
- Chúng ta sẽ tìm hiểu về một số phương thức đổi địa chỉ của NAT sau đây
3.3.2 Cách đổi địa chỉ IP động
NAT động (Dynamic - NAT) là một trong những kĩ thuật chuyển đổi địa chỉ IP NAT (Network Address Translation) Các địa chỉ IP nội bộ được chuyển sang IP NAT như sau:
NAT Router đảm nhận việc chuyển dãy IP nội bộ 169.168.0.164 (IP Private)
192.168.0.200 đến router, router sẽ đổi IP nguồn thành địa chỉ IP 203.162.2.200 sau đó mới đi ra ngoài Quá trình này gọi là SNAT (Source-NAT) Router lưu dữ liệu trong một bảng gọi là bảng NAT động Ngược lại, khi có một gói tin từ bên ngoài đi vào với
IP đích là 203.162.2.200, router sẽ căn cứ vào bảng NAT động hiện tại để đổi địa chỉ
IP đích 203.162.2.200 thành địa chỉ IP đích mới là 192.168.0.200 Quá trình này gọi là DNAT (Destination-NAT) Liên lạc giữa địa chỉ IP 192.168.0.200 và địa chỉ IP 203.162.2.200 là hoàn toàn thông suốt qua NAT router NAT router tiến hành chuyển tiếp (forward) gói tin từ địa chỉ IP 192.168.0.200 đến địa chỉ IP 203.162.2.200 và ngược lại
3.3.3 Cách đóng giả địa chỉ IP
Hình 3.7: Đóng giả địa chỉ IP với Masquerade
NAT Router chuyển dãy IP nội bộ 192.168.0.164 sang một IP duy nhất là 203.162.2.4 bằng cách dùng các số hiệu cổng (port-number) khác nhau Chẳng hạn khi có gói tin với nguồn địa chỉ là 192.168.0.164:1204, IP đích 211.200.51.15:80 đến router, router sẽ đổi nguồn thành địa chỉ IP 203.162.2.4:26314 và lưu dữ liệu này vào một bảng gọi là bảng masquerade động Khi có một gói tin từ ngoài vào với nguồn IP là 221.200.51.15:80, IP đích là 203.162.2.4:26314 đến router, router sẽ căn cứ vào bảng masquerade động hiện tại để đổi đích từ địa chỉ IP 203.162.2.4:26314 thành địa chỉ IP 192.168.0.164:1204
3.3.4 Một số ví dụ sử dụng kỹ thuật NAT
Iptables hổ trợ tùy chọn -j REDIRECT cho phép đổi hướng cổng một cách dễ dàng
Hình 3.8: Snat và Masquerade Để tạo kết nối giữa mạng LAN 192.168.0.1 với Internet thì lập cấu hình Iptables như sau:
# echo 1 > /proc/sys/net/ipv4/ip_forward (bật tính năng cho phép forward với địa chỉ ipv4)
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT to-source 210.40.2.71, đổi IP nguồn cho gói tin đi ra card mạng eth0 là 210.40.2.71 Khi nhận được gói tin từ internet, iptables sẽ tự động đổi IP đích 210.40.2.71 thành IP đích tương ứng của máy tính trong mạng LAN 192.168.1.0/24
Hoặc có thể dùng MASQUERADE thay cho SNAT như sau:
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE, masquerade thường được dùng khi kết nối đến internet là pp0 và dùng địa chỉ IP động
Giả sử đặt các máy chủ proxy, Mail và DNS trong vùng mạng DMZ Để tạo kết nối từ internet vào các máy chủ này:
# echo 1 > /proc/sys/net/ipv4/ip_forward (bật tính năng cho phép forward với địa chỉ ipv4)
# iptables -t nat -A PREROUTING -i eth0 -p tcp dport 80 -j DNAT to- destination 192.168.1.2 (đổi địa chỉ đích của các gói tin đi vào eth0 IP 210.40.2.71 với giao thức tcp cổng đích là 80 sang địa chỉ 192.168.1.2)
# iptables -t nat -A PREROUTING -i eth0 -p tcp dport 25 -j DNAT to- destination 192.168.1.3 (đổi địa chỉ đích của các gói tin đi vào eth0 IP 210.40.2.71 với giao thức tcp cổng đích là 25 sang địa chỉ 192.168.1.3)
# iptables -t nat -A PREROUTING -i eth0 -p udp dport 53 -j DNAT to- destination 192.168.1.4 (đổi địa chỉ đích của các gói tin đi vào eth0 IP 210.40.2.71 với giao thức tcp cổng đích là 53 sang địa chỉ 192.168.1.4).
Firewall Iptable vùng DMZ
3.4.1 Firewall Iptable không có vùng DMZ
Hình 3.10: Firewall Iptable không có vùng DMZ
Hệ thống mạng nội bộ của một tổ chức thường bao gồm các server cung cấp các dịch vụ cơ bản như: DNS, DHCP, Web, Mail, FTP, File/Print Sharing Trong đó thì các server Web, Mail, FTP thường phải cung cấp các dịch vụ của chúng cho cả những người dùng nằm bên trong lẫn bên ngoài mạng nội bộ của tổ chức
Nếu trường hợp bạn đặt tất cả các server này nằm trong cùng một lớp mạng với các máy trạm của người dùng trong tổ chức thì sẽ như thế nào nếu hacker từ mạng bên ngoài kiểm soát được “public server” như Web, Mail, FTP Rất có thể hacker sẽ dựa vào các server đã bị chiếm đoạt này để tấn công vào các server khác (như DNS, đây, ta cần có một giải pháp nào đó để hạn chế khả năng mạng internal bị tổn thương khi các public server trên bị tấn công Để nâng cao tính bảo mật cho hệ thống mạng thì phải có một giải pháp riêng đó là DMZ nhằm tách biệt giữa các server và máy trạm của người dùng
3.4.1 Firewall Iptable có vùng DMZ
Hình 3.11: Firewall Iptable có vùng DMZ
DMZ là một mạng tách biệt với mạng internal vì DMZ sử dụng nhánh mạng, tách biệt với mạng internal Và các server như Web, Mail, FTP…, là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal
Tùy vào kiến trúc của DMZ và cấu hình trên firewall mà một DMZ có thể sử dụng public IP hoặc private IP cho các server trong DMZ
DMZ được coi như là một trong các lá chắn bảo vệ của hệ thống phòng thủ nhiều lớp cho mạng nội bộ của tổ chức Nhưng cũng giống như các lá chắn khác, nó vẫn có khả năng bị phá hủy vì vậy cần phải cài đặt, cấu hình, giám sát hoạt động thường xuyên cho các firewall và server trong DMZ.
TRIỂN KHAI VÀ THỰC NGHIỆM FIREWALL IPTABLES TRÊN LINUX
Mô hình mạng thực tế
Mô hình mạng Trường Cao Đăng Công Nghệ Thông Tin Hữu Nghị Việt Hàn
Hình 4.1: Mô hình mạng trường CĐ CNTT Hữu Nghị Việt Hàn
Hệ thống mạng được chia thành 4 lớp sau:
- Lớp External network: Lớp này thuộc nhà cung cấp dịch vụ internet như: VNPT, VDC… Hiện tại VNPT là nhà cung cấp mạng cho trường, với kênh truyền Leased Line đường truyền quốc tế là 4MB và trong nước là 40MB
- Lớp Access network (truy cập mạng): Bao gồm firewall cứng, Switch-Access, 2 switch (X8-1 và X8-2), L7 Switch PAS 4009 và các server nằm trong vùng DMZ, tất cả đặt ở trung tâm công nghệ thông
- Lớp Sub Network: Bao gồm có 4 switch được đặt ở 4 khu vực Switch 1 đặt ở nhà hành chính (ban giám hiệu, phòng kế toán, phòng hành chính, phòng tổng hợp và phòng đào tạo), Switch 2 đặt ở thư viện, Switch 3 đặt ở khu phòng học lý thuyết (giảng đường A), Switch 4 đặt ở khu phòng học thực hành (giảng đường B)
Lớp Access Network: Bao gồm các switch đặt ở từng phòng.
Mô hình mạng triển khai
Hình 4.2: Mô hình mạng triển khai
Tổng quan các bước thực hiện
- Máy Firewall Iptable (hệ điều hành Centos 5.9) sử dụng 3 card mạng (eth0, eth1, eth2), đã cài đặt gói phần mềm iptables v1.3.5-9.2.el5_8.i386.rpm
- Máy SERVER (sử dụng hệ điều hành ubuntu server 11.04), đã cài đặt cấu hình các dịch vụ như: DNS, Web Server, FTP Server
Máy MailServer (sử dụng hệ điều hành Centos 5.9), đã cài đặt và cấu hình dịch vụ Mail Server
- Máy PC1 (sử dụng hệ điều hành widows XP), dùng để test các dịch vụ trên máy Firewall Iptable và máy SERVER
- Máy PC2 (sử dụng hệ điều hành widows XP)
- Máy attack (sử dụng hệ điều hành windows XP), máy dùng để tấn công hệ thống máy SERVER
Kiểm tra cấu hình địa chỉ IP cho card eth0:
Hình 4.3: Cấu hình địa chỉ IP trên card eth0
Kiểm tra cấu hình địa chỉ IP cho card eth1và eth2:
Hình 4.4:Cấu hình địa chỉ IP trên card eth1 và eth2
Vào file nano /etc/sysctl.conf, để bật tính năng forward
Tiếp theo vào nano /proc/sys/net/ipv4/ip_forward: Mặc định là 0 đổi thành 1 trùng với thiết lập ở file /etc/sysctl.conf
Hình 4.6: Cấu hình ipv4 forward
Khởi động lại dịch vụ iptables: Sử dụng lệnh “service iptables restart” Điều chỉnh file cấu hình iptables load các module cần thiết:
Vào nano /etc/sysconfig/iptables-config
IPTABLES MODUNLES = “ ip_nat_ftp, ip_nat, ip_conntrack_netbios_ns”
Hình 4.7: Cấu hình iptables-config
Xóa tất cả các luật ở Chain và cài đặt Policy mặt định cho các Chain:
Hình 4.8: Cấu hình xóa các rule mặc định
Cho phép các gói tin đi vào eth2 (IP 172.16.1.1) và đi ra eth0 (IP 192.168.1.100) trên máy Firewall IPtables: iptables -t filter -A FORWARD -i eth2 -o eth0 -j ACCEPT
Hình 4.9: Cấu hình forward gói tin đi vào eth2 và đi ra eth0
Cho phép các kết nối từ bên ngoài đi vào eth0 (IP 192.168.1.100) và ra eth2 (IP 172.16.1.1): iptables -t filter -A FORWARD -i eth0 -o eth2 -m state state ESTABLISHED,RELATED -j ACCEPT
Hình 4.10: Cấu hình kết nối đi vào eth0 và ra eth2 Đổi địa chỉ nguồn của các gói tin đi ra từ eth0 (IP 192.168.1.100): iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Cấu hình iptables cho phép máy PC1 truy cập vào DNS Web FTP trên máy SERVER và Email trên máy MailServer:
- Chỉ cho phép các gói tin có cổng đích là: 80 (HTTP) 21 (FTP) 110 (POP3) 25 (SMTP) đi vào eth2 và đi ra eth1 iptables -t filter -D FORWARD 1 iptables -t filter -I FORWARD 1 -i eth2 -o eth1 -p tcp -m multiport dports 80,21,110,143,25 -j ACCEPT
Hình 4.12: Cấu hình HTTP FTP POP3 và SMTP đi vào eth2 và ra eth1
Cho phép các gói tin có cổng đích là 53 (DNS) đi vào eth2 và đi ra eth1: iptables -t filter -A FORWARD -i eth2 -o eth1 -p udp dport 53 -j ACCEPT
Hình 4.13: Cấu hình forward gói tin dns vào eth2 và ra eth1
Cho phép các gói tin đã được thiết lập kết nối đi vào eth1 và đi ra eth2: iptables -t filter -A FORWARD -i eth1 -o eth2 –m state state ESTABLISHED, RELATED –j ACCEPT
Hình 4.14: Cấu hình các gói tin đi vào eth1 và đi ra eth2 Đổi địa chỉ đích của gói tin đi vào eth2 (IP 172.16.1.1) có cổng đích là 80 và 21 sang địa chỉ 10.10.10.2 iptables -t nat -A PREROUTING -i eth2 -p tcp -m multiport dports 80,21 - j DNAT to-destination 10.10.10.2
Hình 4.15: Cấu hình NAT PREROUTING port 80,21 đi vào eth2 Đổi địa chỉ đích của gói tin đi vào eth2 (IP 172.16.1.1) có cổng đích là 110, 143 và 25 sang địa chỉ 10.10.10.3 iptables -t nat -A PREROUTING -i eth2 -p tcp -m multiport dports 110,143,25 -j DNAT to-destination 10.10.10.3
Hình 4.16: Cấu hình NAT PREROUTING port 110,143,21 đi vào eth2 Đổi địa chỉ đích của các gói tin đi vào eth2 (IP 172.16.1.1) với giao thức udp cổng đích là 53 (DNS) sang địa chỉ 10.10.10.2: iptables -t nat -A PRETROUTING -i eth2 -p udp dport 53 -j DNAT to- destination 10.10.10.2
Hình 4.17: Cấu hình NAT PREROUTING DNS Đổi địa chỉ nguồn của các gói tin đi ra eth1 có địa chỉ đích 10.10.10.2 thành địa chỉ 10.10.10.1 iptables -t nat -A POSTROUTING -o eth1 -d 10.10.10.2 -j SNAT to-source 10.10.10.1
Hình 4.18: Cấu hình NAT POSTROUTING địa chỉ 10.10.10.2 đi ra eth1 Đổi địa chỉ nguồn của các gói tin đi ra eth1 có địa chỉ đích 10.10.10.3 thành địa chỉ 10.10.10.1
Hình 4.19: Cấu hình NAT POSTROUTING địa chỉ n10.10.10.3 đi ra eth1
Chặn gói tin với port 25 của máy PC2 (IP 172.16.1.11)
Hình 4.20: Chặn gói tin với port 25
Chặn các gói tin đi vào với dãy địa chỉ từ 172.16.1.10 đến 172.16.1.12
Hình 4.21: Chặn gói tin với dãy địa chỉ IP
Cấu hình giới hạn gói tin ICMP chỉ một gói tin trên 1 giây đi vào card eth1
Cấu hình chặn truy cập website www.facebook.com trên PC1 với IP 172.16.1.10:
Cấu hình ngăn chặn tấn công syn flood:
+ Tạo một chain mới: “iptables -N syn_flood”
+ Thêm một luật vào chain mới tạo: “iptables -p tcp syn -j syn_flood”
+ Cho phép kết nối syn trong 5 giây chỉ 5 kết nối card eth1 (IP 10.10.10.1)
Hình 4.23: Cấu hình syn flood
Kiểm tra cấu hình địa chỉ IP trên máy SERVER:
Hình 4.24: Cấu hinh địa chỉ IP trên máy SERVER
Cấu hình web server (apache2): vào file /var/www/index.html
Hình 4.25: Cấu hình web server
Kiểm tra cấu hình địa chỉ IP:
Hình 4.26: Cấu hình địa chỉ IP trên máy MailServer
Trên máy PC1: Test các dịch vụ mà PC1 được phép truy cập tài nguyên mạng
Kiểm tra cấu hình địa chỉ IP:
Hình 4.27: Cấu hình địa chỉ IP
Kết nối Internet trên máy PC1 (IP 172.16.1.10):
Hình 4.28: Kiểm tra kết nối internet trên PC1
Phân giải DNS trên máy PC1 từ máy SERVER trả về:
Hình 4.29: Phân giải tên miền DNS
Truy cập website trên máy SERVER : http://10.10.10.2
Hình 4.30: PC1 truy cập web server trên máy SERVER
Truy cập vào FTP Server trên máy SERVER: ftp://10.10.10.2 đăng nhâp FTP Server với User name (sinhvien) Password (sinhvien)
Hình 4.31: PC1 truy cập FTP Server trên máy SERVER
Ta thấy đã truy cập vào FTP Server trên máy SERVER với thư mục database
Kiểm tra gửi vào nhận thư trên máy PC1 thông qua mail server trên máy MailServer sử dụng giao thức POP3 và SMTP
Hình 4.32: Kiểm tra mail server với giao thức POP3 và SMTP
Ta thấy gửi và nhận mail thành công:
Hình 4.33: Hộp thư mail nhận trên máy PC2
Triển khai tấn công từ máy attack vào Web Server sử dụng công cụ httpdos:
- Trên máy attack tấn công băng httpdos vào Web Server với địa chỉ website http://10.10.10.2 Khi Web Server bị tấn công thì dịch web cung cấp sẽ bị ngưng hoạt động, các máy trạm không thể truy cập được
Hình 4.34: Atack sử dụng httpdos tấn công Web Server
- Trên máy Firewall IPtables: Cấu hình ngăn chặn tấn công httpdos vào Web Server bằng các câu lệnh cấu hình sau: