An toàn an ninh mạng
Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux LỜI CẢM ƠN Để có đồ án này, em xin bày tỏ lòng biết ơn sâu sắc đến thầy cô giáo trường Đại học Bách Khoa Hà Nội nói chung, khoa Cơng nghệ thơng tin, chương trình đào tạo kỹ sư chất lượng cao Việt Nam ( P.F.I.E.V ) nói riêng, người tận tình giảng dạy, truyền đạt cho em kiến thức quý báu năm học vừa qua Em xin chân thành cảm ơn thầy giáo hướng dẫn, Thạc sỹ - Giảng viên Đỗ Văn Uy, môn Công nghệ phần mềm, khoa Công nghệ thông tin, trường Đại học Bách Khoa Hà Nội nhiệt tình hướng dẫn, bảo cung cấp cho em nhiều kiến thức tài liệu quý suốt trình làm đồ án Nhờ giúp đỡ thầy em hồn thành đồ án Em xin chân thành cảm ơn cô chú, anh, bạn đồng nghiệp phòng giải pháp phần mềm hệ thống bảo mật, công ty phát triển phần mềm hỗ trợ công nghệ quốc phòng – Misoft, người tạo điều kiện sở vật chất, phương tiện làm việc truyền đạt kinh nghiệm qúy báu cho em thời gian thực tập tốt nghiệp làm đồ án tốt nghiệp Cuối cùng, xin cảm ơn gia đình, bạn bè, người ln bên cho động viên lớn lao thời gian thực đồ án Ngô Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux MỤC LỤC LỜI CẢM ƠN .1 Chương : TỔNG QUAN AN TOÀN AN NINH MẠNG I Tình hình thực tế .8 II Mơ hình mạng III Các mục tiêu cần bảo vệ 17 IV Tấn công mạng chiến lược bảo vệ 18 Chương : INTERNET FIREWALL 29 I Khái niệm 30 II Các chức Firewall .32 III Kiến trúc Firewall 38 IV Bảo dưỡng Firewall 44 Chương : HỆ ĐIỀU HÀNH LINUX .46 I Tổng quan hệ điều hành Linux 47 II Kết nối mạng Linux 51 III IPTables .54 Chương : XÂY DỰNG HỆ THỐNG BKWALL 60 I Tổng quan hệ thống BKWall 60 II Mơ hình đặc tả chức hệ thống BKWall 63 III Phân tích thiết kế hệ thống BKWall .65 IV Tích hợp, cài đặt, kiểm thử, đánh giá kết hệ thống BKWall 79 MỤC LỤC HÌNH VẼ Hình 1-1 : Kiến trúc OSI TCP/IP 10 Hình 1-2 : Đường liệu qua phần tử mạng 10 Hình 1-3 : Cấu trúc gói tin IP ( IP datagram ) 12 Ngô Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux Hình 1-5 : Khuôn dạng UDP datagram .15 Hình 1-6: Tấn cơng kiểu DOS DDoS 21 Hình 1-7: Tấn cơng kiểu DRDoS 21 Hình 1-8: Mơ hình ứng dụng mail mạng Internet 22 Hình 1-9: Kết nối Internet từ LAN 22 Hình 1-10 : Thiết lập kết nối TCP client server 23 Hình 1-11 : Tấn công tràn ngập SYN (1 ) 24 Hình 1-12 : Tấn công tràn ngập SYN ( ) 25 Hình 1-13 : Tấn cơng tràn ngập gói tin ICMP 25 Hình 1-14 : Bảo vệ theo chiều sâu 26 Hình 2-1 : Vị trí Firewall mạng 30 Hình 2-2 : Screening Router sử dụng lọc gói .32 Hình 2-3 : Proxy Server 35 Hình 2-4: Chuyển đổi địa mạng 37 Hình 2-5: Kiến trúc Dual –home host .41 Hình 2-6: Kiến trúc Screen host 42 Hình 2-7: Kiến trúc Screen subnet 42 Hình 3-1: Mơ hình chức Shell 49 Hình 3-2: Giao diện, trình điều khiển thiết bị 51 Hình 3-3: Sơ đồ Netfilter hook 53 Hình 3-4 : Q trình gói tin lõi hệ thống Linux .56 Hình 4-1: Mơ hình tổng thể hệ thống BKWall 63 Hình 4-2: Đặc tả chức hệ thống BKWall 64 Hình 4-3: Mơ hình triển khai BKWall 64 Hình 4-4: Biểu đồ phân cấp chức .65 Hình 4-5: Biểu đồ luồng liệu mức bối cảnh 66 Hình 4-6: Biểu đồ chức điều khiển 66 Hình 4-7: Biểu đồ chức Quản lý cấu hình 66 Hình 4-8: Biểu đồ chức Quản lý luật lọc gói 67 Hình 4-9: Biểu đồ chức Quản lý luật Web Proxy 67 Hình 4-10: Biểu đồ chức theo dõi hoạt động 67 Hình 4-11: Sơ đồ khối module chương trình 68 .69 Đối với trình tắt hệ thống trước hết hệ thống thực files scripts để xố tn chains, rules áp dụng cho hệ thống Firewall, rules thực chất lưu trữ files luật 73 Hình 4-12: Sơ đồ khối module chuyển tiếp yêu cầu 74 Hình 4-13:Sơ đồ khối module quản lý cấu hình .75 Hình 4-14: Sơ đồ khối module quản lý luật 76 Hình 4-15: Mơ hình triển khai BKWall mạng 81 Hình 4-16: Trang chủ - Home page 83 Hình 4-17: Cấu hình Packet Filtering 84 Hình 4-18: Các dịch vụ: truy cập từ xa, thay đổi password 84 Hình 4-19: Trang cấu hình Web Proxy .85 Hình 4-20: Trang thơng tin trạng thái hệ thống 85 BẢNG CÁC TỪ VIẾT TẮT Ngô Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux ARP( Address Resolution Protocol ) : Giao thức chuyển đổi từ địa IP sang địa vật lý BKWall( Bach Khoa Firewall System ) CGI (Common Gateway Interface) : Giao tiếp gateway chung DDoS(Distributed Denied of Service) : Tấn công từ chối dịch vụ phân tán DMA(Direct Memory Access) : Truy nhập nhớ trực tiếp DMZ(DeMilitarized Zone) : Vùng phi quân DNS(Domain Name Service) : Dịch vụ tên miền DoS(Denied of Service) : Tấn công từ chối dịch vụ DRDoS(Distributed Reflection Denied of Service) : DoS phản xạ, phân tán FDDI(Fiber Distributed Data Interface ) FIB(Forwarding Information Table) : Bảng thông tin chuyển đổi định tuyến FTP(File Transfer Protocol) : Giao thức truyền file HTTP(Hyper Text Transfer Protocol) : Giao thức truyền siêu văn ICMP(Internet Control Message Protocol): Giao thức điều khiển thông điệp Internet IGMP(Internet Group Management Protocol) : Giao thức Internet để host kết nối, huỷ kết nối từ nhóm multicast IP(Internet Protocol) : Giao thức Internet IPS(Intrusion Preventation System) : Hệ thống phòng chống xâm nhập ISP(Internet Services Provider) : Nhà cung cấp dịch vụ Internet ISDN( Integrated Services Digital Network) : Mạng số học dịch vụ tích hợp LAN(Local Area Network) : Mạng nội MAC(Media Access Control) : Địa thiết bị MTU(Maximum Transmission Unit) : Đơn vị truyền lớn NIC(Network Interface Card) : Card giao tiếp mạng PSTN(Public Switched Telephone Network ) : Mạng điện thoại chuyển mạch công cộng RARP(Reverse Address Resolution Protocol ) : Giao thức chuyển đổi từ địa vật lý sang địa IP RIP( Routing Information Protocol ) : Một kiểu giao thức dẫn đường SSL(Secure Socket Layer) : Tầng socket an toàn SSH( Secure Shell ) : Dịch vụ truy cập từ xa STMP( Simple Mail Transfer Protocol ) : Giao thức truyền thư đơn giản TCP(Transmission Control Protocol) : Giao thức điều khiển truyền tin TELNET : dịch vụ đăng nhập hệ thống từ xa UDP(User Datagram Protocol) : Giao thức điều khiển truyền tin không tin cậy URI(Uniform Resouce Indentifier ) Địa định vị tài nguyên URL(Uniform Resouce Locator) : Địa tài nguyên thống LỜI NĨI ĐẦU Ngơ Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux Trong năm gần đây, việc tổ chức khai thác mạng Internet phát triển Mạng Internet cho phép máy tính trao đổi thơng tin cách nhanh chóng, thuận tiện Mọi đối tượng sử dụng dịch vụ tiện ích Internet cách dễ dàng trao đổi thông tin, tham khảo thư viện tri thức đồ sộ nhân loại…Tai thời điểm lơi ích Internet q rõ ràng phủ nhận Nhưng điều không may kèm với nguy an tồn thơng tin Internet vấn đề hang đầu cản trở phát triển Internet Bảo đảm an tồn an ninh khơng nhu cầu riêng nhà cung cấp dịch vụ mà cịn nhu cầu đáng người sử dụng Các thông tin nhạy cảm quốc phịng, thương mại vơ giá khơng thể để lọt vào tay đối thủ cạnh tranh Trên giới có nhiều cơng trình nghiên cứu lĩnh vực bảo mật, bảo vệ an tồn thơng tin mạng kết chúng trở thành sản phẩm thương mại : Vista Firewall, ZoneAlarm Firewall, VPN-1/Firewall-1, SmoothWall, Astaro… Tuy nhiên loại có ưu nhược điểm riêng,phát triển theo hướng khác Các sản phẩm xây dựng hệ điều hành khác chủ yếu Windows Microsoft hệ điều hành mã nguồn mở Linux Linux hệ điều hành họ UNIX miễn phí dùng cho máy tính cá nhân sử dụng rộng rãi Hệ điều hành Linux thu thành công định Hiện Linux ngày phát triển, đánh giá cao thu hút nhiều quan tâm nhà tin học Tại Việt Nam, Internet trở lên phổ biến năm gần vấn đề an toàn an ninh mạng khơng ngoại lệ Mặc dù thực chưa có tổn thất lớn kinh tế tiềm ẩn nhiều nguy an tồn Các công vào hệ thống nhà cung cấp dịch vụ, xoá bỏ liệu… ngày tăng Ở Việt Nam chưa có sản phẩm Firewall thương mại người Việt tạo Đặc biệt sản phẩm Firewall xây dựng hệ điều hành mã nguồn mở Linux Do đó, muốn khai thác sử dụng Internet vấn đề an tồn an ninh phải đặt lên hang đầu Có nhiều biện pháp khác để bảo vệ hệ thống chống lại cơng từ bên ngồi Một biện pháp áp dụng rộng rãi sử dụng tường lửa – Firewall Thực tế cho thấy biện pháp đơn giản hiệu đạt lại khả quan Trên sở đó, em chọn đề tài : “ Tìm hiểu lý thuyết xây dựng Firewall Linux” Mục tiêu đề tài bao gồm : Tìm hiểu chung an toàn an ninh mạng, kỹ thuật cơng mạng Các chiến lược bảo vệ Tìm hiểu lý thuyết Firewall Thực xây dựng Firewall hệ điều hành Linux Bố cục đồ án gồm chương bố trí sau : • Chương : Tổng quan an tồn an ninh mạng Trình bày khái niệm chung an tồn an ninh mạng, tính cấp thiết đề tài Các mơ hình mạng giao thức sử dụng để truyền thông mạng Ngô Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux Các dạng công, số kỹ thuật công sử dụng phổ biến nay, từ đưa chiến lược bảo vệ hệ thống khỏi nguy • Chương : Internet Firewall Trình bày khái niệm tổng quát Firewall Các chức Firewall Các mơ hình hay kiến trúc triển khai Firewall hệ thống • Chương 3: Hệ điều hành Linux Chương trình bày khái quát hệ điều hành Linux Cấu hình mạng mơi trường Linux Đặc biệt quan tâm đến gói tiện ích tích hợp hầu hết phân phối Linux Đó IPtables – Nó thực chức lọc gói mức lõi ( kernel ) hệ thống Từ đưa vài mơ hình Firewall đơn giản dựa IPtables • Chương : Xây dựng hệ thống BKWall – Bach Khoa Firewall System Thực xây dựng hệ thống BKWall dựa sản phẩm mã nguồn mở SmoothWall Ngồi ra, đồ án cịn có phần phụ lục trình bày bảng từ viết tắt sử dụng bài, danh mục tài liệu tham khảo Ngô Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux Chương : TỔNG QUAN AN TỒN AN NINH MẠNG Tình hình thực tế Tình hình thực tế Mơ hình mạng Mơ hình mạng Các mục tiêu cần bảo vệ Các mục tiêu cần bảo vệ Tấn công mạng chiến lược bảo vệ Tấn công mạng chiến lược bảo vệ Trong chương trình bày khái niệm chung an tồn an ninh mạng, tình hình thực tế Các mơ hình mạng giao thức sử dụng để truyền thông mạng Các dạng công, số kỹ thuật công sử dụng phổ biến Ngô Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux nay, từ đưa chiến lược bảo vệ hệ thống khỏi nguy I Tình hình thực tế Mạng Internet – mạng toàn cầu kết nối máy tính cung cấp dịch vụ WWW, E_mail, tìm kiếm thơng tin … tảng cho dịch vụ điện tử ngày phát triển nhanh chóng Internet trở thành phần khơng thể thiếu sống ngày Và với nguy hiểm mà mạng Internet mang lại Theo thống kê CERT®/CC ( Computer Emegency Response Team/ Coordination Center ) số vụ cơng thăm dị ngày tăng Dạng cơng 1999 2000 2001 2002 2003 Root Compromise 113 157 101 125 137 User Compromise 21 115 127 111 587 Từ chối dịch vụ 34 36 760 36 25 Mã nguy hiểm 0 4.764 265 191.306 Xóa Website 0 236 46 90 Lợi dụng tài nguyên 12 24 39 26 Các dạng công khác 52 108 1268 535.304 Các hành động thám 222 71 452 488.000 706.441 Tổng cộng 454 412 6.555 489.890 1.433.916 Những kẻ công ngày tinh vi hoạt động chúng Thông tin lỗ hổng bảo mật, kiểu cơng trình bày cơng khai mạng Không kể kẻ công không chuyên nghiệp, người có trình độ cao mà cần người có chút hiểu biết lập trình, mạng đọc thơng tin trở thành hacker Chính lí mà số vụ công mạng không ngừng tăng nhiều phương thức công đời, khơng thể kiểm sốt Theo điều tra Ernst & Young, 4/5 tổ chức lớn ( số lượng nhân viên lớn 2500 ) triển khai ứng dụng tảng, quan trọng mạng cục LAN Khi mạng cục kết nối với mạng Internet, thông tin thiết yếu nằm khả bị đột nhập, lấy cắp, phá hoại cản trở lưu thôn Phần lớn tổ chức có áp dụng biện pháp an tồn chưa triệt để có nhiều lỗ hổng để kẻ cơng lợi dụng Những năm gần đây, tình hình bảo mật mạng máy tính trở lên nóng bỏng hết hàng loạt vụ công, lỗ hổng bảo mật phát bị lợi dụng công Theo Arthur Wong – giám đốc điều hành SecurityFocus – trung bình tuần, phát 30 lỗ hổng bảo mật Theo điều tra SecurityFocus số 10.000 khách hàng hãng có cài đặt phần mềm Ngơ Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux phát xâm nhập trái phép trung bình khách hàng phải chịu 129 thăm dò, xâm nhập Những phần mềm web server IIS Microsoft mục tiêu phổ biến cơng Trước tình hình việc bảo vệ an tồn thơng tin cho hay hệ thống máy tính trước nguy bị cơng từ bên kết nối vào Internet vấn đề cấp bách Để thực yêu cầu trên, giới xuất phần mềm khác với tính khác mà gọi Firewall Sử dụng Firewall để bảo vệ mạng nội bộ, tránh cơng từ bên ngồi giải pháp hữu hiệu, đảm bảo yếu tố : - An toàn cho hoạt động toàn hệ thống mạng - Bảo mật cao nhiều phương diện - Khả kiểm soát cao - Mềm dẻo dễ sử dụng - Trong suốt với người sử dụng - Đảm bảo kiến trúc mở “Biết địch biết ta, trăm trận trăm thắng” để bảo vệ hệ thống, chống lại công hacker, ta phải biết mục tiêu cần bảo vệ, kỹ thuật công khác nhau, đưa chiến lược bảo vệ mạng hợp lý… II Mô hình mạng 2.1 Mơ hình OSI TCP/IP Kiến trúc mạng mơ tả theo hai dạng mơ hình OSI TCP/IP hình vẽ FTP – File Transfer Protocol SMTP – Simple Mail Transfer Protocol DSN – Domain Name Protocol SNMP – Simple Network Management Protocol ICMP – Internet Control Message Protocol ARP – Address Resolution Protocol FDDI – Fiber Distributed Data Interface RIP – Routing Information Protocol TCP/IP thực chất họ giao thức làm việc với để cung cấp phương tiện truyền thông liên mạng Dữ liệu truyền mạng theo sơ đồ sau : Ngô Văn Chấn – HTTT&TT – KSCLC – K45 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux Hình 1-1 : Kiến trúc OSI TCP/IP Hình 1-2 : Đường liệu qua phần tử mạng 2.2 Các tầng mơ hình TCP/IP Ngơ Văn Chấn – HTTT&TT – KSCLC – K45 10 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux o Cách tổ chức file luật Quản trị từ xa hệ thống Quản trị hệ thống dùng chức để mở cổng cho phép máy mạng ngồi điều khiển BKWall thơng qua giao thức https hay SSH File luật lưu trữ /var/DFF/xtaccess Mỗi luật người quản trị đưa vào lưu trữ dòng File luật lưu trữ dạng plain text o Cấu trúc luật Mỗi luật bao gồm trường sau : + Địa IP máy mạng + Cổng truy cập + Có kích hoạt hay khơng + Giao thức sử dụng Ví dụ luật tcp,0.0.0.0/0,113,on • Cổng dịch vụ cho DMZ o Cách tổ chức file luật Quản trị từ xa hệ thống Cho phép máy chủ vùng DMZ truy cập vào mạng cục LAN với số hiệu cổng cung cấp máy mạng LAN File luật lưu trữ /var/DFF/dmzholes Mỗi luật người quản trị đưa vào lưu trữ dòng File luật lưu trữ dạng plain text o Cấu trúc luật Mỗi luật bao gồm trường sau : + Địa IP máy chủ vùng DMZ + Địa máy cung cấp dịch vụ mạng LAN + Cổng truy cập + Có kích hoạt hay khơng + Giao thức sử dụng Ví dụ luật tcp,10.10.1.1,192.168.1.1,1000,on • DHCP Bao gồm kích hoạt dịch vụ cấp phát địa IP động cho máy mạng riêng LAN Ngoài cho phép cấp phát địa tĩnh cho máy mạng nội dựa theo địa vật lý MAC máy phần khả kết nối Internet File lưu trữ đại lưu /var/DFF/dhcp/staticconfid Ví dụ nvc,AA:BB:CC:DD:DE:FF,192.168.1.2 • Chức mở rộng Cho phép kích hoạt chức mở rộng : Chặn gói Ping theo giao thức ICMP, gói tin IGMP, chặn cơng DoS, chặn luồng thông tin multicast Được lưu trữ /var/DFF/advent/settings Tất luật cập nhật cho hệ thống thơng qua chương trình tưong ứng Các chương trình đựoc lưu trữ /usr/local/bin Ví dụ : setipblock.o, setportfilter.o, restartdhcp.o, dmzholes.o… + Các chương trình viết ngôn ngữ C nên tốc độ thực nhanh Ngô Văn Chấn – HTTT&TT – KSCLC – K45 78 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux + Chúng thực đọc file luật theo dòng thực cập nhật luật cho hệ thống + Vì việc lưu trữ sở liệu file luật dạng files text nên tốc độ xử lý tưong đối nhanh Đặc biệt tận dụng khả xử lý văn tuyệt vời Perl Mặt khác theo yêu cầu hệ thống Firewall mà cài đặt sử dụng hệ thống quản trị sở liệu My SQL chẳng hạn 3.3.5 Module theo dõi thông tin hệ thống Module đưa thông tin hệ thống : + Trạng thái dịch vụ hệ thống : Running or Stop + Trạng thái kết nối + Lưu lượng gói tin qua giao diện mạng: Green ( giao diện mạng nội ), Orange ( giao diện mạng cho miền phi quân - DMZ ), Red ( giao diện mạng kết nối mạng ngồi ví dụ Internet ) Module sử dụng công cụ sinh biểu đồ rrdtool để thực sinh biểu đồ biểu diễn lưu lượng mạng qua giao diện mạng : RED, ORANGE, GREEN 3.4 Tính bảo mật hệ thống Là hệ thống Firewall nhằm đảm bảo an ninh mạng nên việc đảm báo tính an ninh cho hệ thống BKWall việc cần thiết Từ vấn đề đưa trình thiết kế module phương án bảo mật cho BKWall đề xuất gồm có : • Sử dụng kênh ssl giao thức https cho việc truy cập vào BKWall Management console Việc truy cập vào cần xác thực qua chứng số Apache server cấp • Tránh lỗ hổng bảo mật công nghệ CGI cách cấp quyền hạn chế cho user chạy máy chủ Apache hệ thống Linux • Hạn chế tối đa gói phần mềm thư viện cài đặt Linux đóng gói BKWall tích hợp thành phát hành (distro) Linux riêng IV Tích hợp, cài đặt, kiểm thử, đánh giá kết hệ thống BKWall 4.1 Tích hợp hệ thống BKWall hệ thống xây dựng sở số thành phần mã nguồn mở kết hợp với việc xây dựng thêm số thành phần nên việc tích hợp thành phần lại với hệ thống thống quan trọng Các phần mềm mã nguồn mở gói thư viện Linux thuờng phát hành theo nhiều phiên nhiều nhà cung cấp khác Về mặt nguyên tắc, BKWall hoạt động với tất phiên thành phần tương thích Ngơ Văn Chấn – HTTT&TT – KSCLC – K45 79 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux với phiên lựa chọn sau : Hệ điều hành Hệ điều hành Linux, phiên RedHat 7.2 hãng Redhat phát hành Linux kernel phiên 2.4 Smoothwall Smoothwall phiên 2.0 (http://smoothwall.org) Thư viện libpcap Thư viện libpcap (http://tcpdump.org) phiên 0.8.0 iptables iptables phiên 1.2.8 (http://iptables.org), kèm với thư viện libipq Apache web server Apache web server phiên 1.3.39, cài đặt mod_perl mod_ssl để hỗ trợ https perl – cgi Perl Perl phiên 5.8.0 (http://perl.org), công cụ sinh biểu đồ rrdtool 4.2 Cài đặt hệ thống Hệ thống BKWall triển khai cài đặt thử nghiệm phòng giải pháp phần mềm hệ thống bảo mật, công ty Misoft Cấu trúc thiết bị mạng phịng sau : • Một đường kết nối ADSL tốc độ 2Mbps • Một máy chủ Linux có cấu hình : CPU Pentium II 400Mhz, 128 MB RAM, NIC 100Mbps, dùng làm máy gateway Được dùng để cài đặt hệ thống BKWall • Một máy chủ Windows Server 2003 có cấu hình : CPU Pentium IV 1,8GHz, 1GB RAM, NIC 100Mbps, dùng làm máy chủ mail, http, ftp, vpn, … • máy PC có cấu hình : CPU Pentium III 1GHz, 256 MB RAM, NIC 100Mbps tương đương Hệ điều hành Windows XP SP2 Cấu hình yêu cầu cài đặt hệ thống BKWall: + CPU : Tốc độ tối thiểu 300 Mhz ( tương ứng với CPU Pentium II ) + Bộ nhớ ( RAM ): > 64MB + Bộ nhớ ngồi ( HDD ) : > 1GB Ngơ Văn Chấn – HTTT&TT – KSCLC – K45 80 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux + Card mạng: Tuỳ theo cấu hình cho hệ thống BKWall mà số card mạng 1( có giao diện mạng cho mạng nội - giao diện mạng gọi Green ), có nối mạng ngồi ( ví dụ Internet ) cần card mạng ( giao diện mạng goi Red ) Nếu muốn có vùng phi quân ( DMZ – DeMilitary Zone ) dành cho máy chủ - máy chủ Web- HTTP, FTP, Mail cần thêm card mạng ( giao diện mạng gọi Orange ) + Ngoài thiết bị ngoại vi khác Trong hình chuột, ổ CD cần thiết q trình cài đặt, sau ta bỏ thiết bị mà khơng cần sử dụng chúng Sơ đồ bố trí mạng với mơ hình ( Green – Orange – Red ) sau: Hình 4-15: Mơ hình triển khai BKWall mạng Hệ thống BKWall cài đặt thử nghiệm máy gateway Linux, theo dõi tồn lưu thông mạng áp dụng luật thiết lập cho module Packet Filtering , module Web Proxy Việc triển khai hệ thống mềm dẻo : Hệ thống triển khai với mơ hình mà BK Wall có card mạng đường kết nối mạng Internet thông qua đường kết nối qua cổng nối tiếp hay quay số Với mơ hình hai card mạng khơng có miền phi qn ( DMZ ) Tổng quát trường hợp hệ thống có ba card mạng áp dụng cho giao diện GREEN, ORANGE, RED Ngô Văn Chấn – HTTT&TT – KSCLC – K45 81 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux 4.3 Kiểm thử hệ thống • Hệ thống BKWall kiểm tra thử nghiệm máy gateway chạy phiên Linux kernel 2.4 Bảng sau mô tả kết thử nghiệm tích hợp thành phần hệ thống BKWall mơ tả phần tích hợp hệ thống BKWall Kết Kernel 2.4 Tốt Iptables 1.2.8 Tốt Perl 5.8.0 Tốt Apache Server 1.3.39 Tốt • Kiểm thử khả chịu đựng Firewall + Hệ thống kiểm tra cách áp dụng luật cho tất chức thành phần thực Packet Filtering hệ thống BKWall + Thực quản trị từ xa hệ thống thơng qua hai máy tính mạng LAN dùng trình duyệt IE Microsoft + Thực remote hệ thống Putty WinScp từ ba máy trạm mạng LAN Kết hệ thống đáp ứng tốt yêu cầu đặt hoạt động tốt • Sự ảnh hưởng hệ thống BKWall đến tốc độ mạng Packet Filtering hệ thống BKWall kiểm tả tất gói tin mà theo dõi nên ảnh hưởng đến tốc độ truy cập internet máy mạng rõ Việc kiểm thử sức căng hệ thống BKWall tiền hành dựa trường hợp kiểm thử thiết kế sau : Khởi động BKWall máy gateway Lần lượt khởi động chương trình Flashget máy download đồng thời file từ site vietnamnet.vn Đo tốc độ download trung bình máy con.Thực kiểm thử với 2,4,6,8 10 máy Kết kiểm thử ghi lại bảng sau : Số máy Tốc độ download trung bình (Kb/s) 10 • Hệ thống điều khiển BKWall Management System hệ thống điều khiển qua giao diện Web Do việc kiểm thử tiến hành hai phía server client o Phía server BKWall Management System cài đặt thử nghiêm máy chủ + Linux kernel 2.4, Apache 1.3.39 Ngô Văn Chấn – HTTT&TT – KSCLC – K45 82 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux o Phía client Truy cập vào BKWall Management System từ máy chạy hệ điều hành khác dùng trình duyệt khác Kết sau : Kết hai phía Server Client khả quan Chỉ có điều số lỗi hiển thị phơng Tiếng Việt trình duyệt Mozilla mơi truờng hệ điều hành Linux Sau số hình ảnh phía Client trình dut IE ( Internet Explosrer ) môi truờng Windows Microsoft: Hệ điều hành Windows Trình duyệt IE 6.0 Kết Tốt Windows Linux Linux Firefox 1.0.3 Mozilla Konqueror Hệ thống menu hiển thị sai vị trí Khơng hiển thị tiếng Việt Khơng hiển thị tiếng Việt Bao gồm giao diện : Home Page, trang thiết lập luật cho Packet Filter, cấu hình Web Proxy, dịch vụ, thơng tin hệ thống Hình 4-16: Trang chủ - Home page Ngơ Văn Chấn – HTTT&TT – KSCLC – K45 83 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux Hình 4-17: Cấu hình Packet Filtering Hình 4-18: Các dịch vụ: truy cập từ xa, thay đổi password Ngô Văn Chấn – HTTT&TT – KSCLC – K45 84 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux Hình 4-19: Trang cấu hình Web Proxy Hình 4-20: Trang thơng tin trạng thái hệ thống Ngô Văn Chấn – HTTT&TT – KSCLC – K45 85 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux 4.4 Đánh giá kết Trong khuôn khổ đồ án tốt nghiệp đại học, hệ thống firewall BKWall đạt số yêu cầu đề sản phẩm Firewall bên cạnh cịn điểm hạn chế không tránh khỏi Phần em xin đưa số kết đạt mặt hạn chế cần khắc phục thời gian tới • Những kết đạt + Tích hợp thành công thành phần Kernel Linux, Smoothwall, Apache Server Iptables để xây dựng hệ thống firewall thống + Đã xây dựng hệ thống điều khiển từ xa thơng qua giao diện Web tập trung cho tồn hệ thống + Hệ thống hoạt động tương đối ổn định q trình triển khai thử nghiệm • Những hạn chế cần khắc phục thời gian tới Bên cạnh kết đạt được, hệ thống BKWall tồn nhiều điểm hạn chế cần phải khắc phục : + Hệ thống hoạt động chưa hiệu quả, đặc biệt module Web Proxy + Chính sách ngăn chặn phái người quản trị thiết lập Chưa xây dựng khả tổ chức luật người quản trị đưa vào nhằm tối ưu hoá luật + Hệ thống điều khiển chưa khai thác hết khả tùy biến Iptables + Hệ thống chưa có khả tích hợp với công cụ khác : VPN ( Virtual Private Network ), IDS ( Intrustion Detechtion System ) vào hệ thống BKWall Trong thời gian tới hạn chế khắc phục điều kiện cho phép em tiếp tục phát triển đề tài Ngô Văn Chấn – HTTT&TT – KSCLC – K45 86 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux KẾT LUẬN Để hoàn thành đồ án tối xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo hướng dẫn Đỗ Văn Uy, giúp đỡ lớn lao TS Vũ Quốc Khánh, anh Vương Văn Tuyên, Ngô Quang Huy bạn đồng nghiệp phòng phát triển hệ thống bảo mật cơng ty Misoft tồn thể bạn bè bên em suốt thời gian qua Đồ án đề cập đến vấn đề chung an ninh thơng tin, an ninh mạng nói chung sâu nghiên cứu lý thuyết Firewall công cụ để xây dựng Firewall hoàn chỉnh Cụ thể đồ án đạt số thành sau : • Tìm hiểu vấn đề an ninh thơng tin an ninh mạng • Đi sâu nghiên cứu lý thuyết Firewall cơng cụ liên quan nhằm mục đích xây dựng sản phẩm tường lửa • Phân tích kiến trúc làm chủ phần mềm mã nguồn mở Smoothwall • Tích hợp thành phần mã nguồn mở, xây dựng thành cơng hệ thống BKWall • Triển khai thử nghiệm đạt số kết Bên cạnh đó, hạn chế thời gian trình độ nên đồ án khơng tránh khỏi thiếu xót hạn chế cụ thể nhũng hạn chế : • Hệ thống hoạt động chưa hiệu quả, đặc biệt module Web Proxy • Chính sách ngăn chặn phái người quản trị thiết lập Chưa xây dựng khả tổ chức luật người quản trị đưa vào nhằm tối ưu hoá luật • Hệ thống điều khiển chưa khai thác hết khả tùy biến Iptables • Hệ thống chưa có khả tích hợp với cơng cụ khác : VPN ( Virtual Private Network ), IDS ( Intrustion Detection System ) vào hệ thống BKWall • Chưa khai thác triệt để sản phẩm mã nguồn mở chưa thực phát triển nhiều dựa sản phẩm Trong tương lai, với mong muốn tiếp tục phát triển đề tài thành sản phẩm Firewall hữu ích, ứng dụng rộng dãi, phục vụ cho việc đảm bảo an ninh thông tin Việt Nam, em xin đề xuất số hướng phát triển sau : • Tối ưu hóa cấu hình thành phần mã nguồn mở sử dụng để tăng hiệu độ tin cậy • Tiếp tục phát triển hệ thống điều khiển, tận dụng hết khả tùy biến hệ thống với giao diện khă tương tác thân thiện Ngô Văn Chấn – HTTT&TT – KSCLC – K45 87 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux • Nghiên cứu chức quản lý luật người quản trị đưa vào hiệu hơn, có khả tối ưu hố luật người quản trị đưa vào • Nghiên cứu khă cứng hóa hệ thống thiết bị chuyên dụng hãng sản xuất thiết bị an ninh mạng Cisco hay Checkpoint Cuối cùng, lần em xin nói lời cảm ơn đền thầy giáo hướng dẫn, thạc sỹ Đỗ Văn Uy, thầy cô khoa CNNT, Đại học Bách khoa Hà Nội, chương trình đào tạo kỹ sư chất lượng cao Việt Nam ( P.F.I.E.V ) anh chị bạn đồng nghiệp công ty Misoft tất người thân giúp đỡ em nhiều suốt q trình làm đồ án để em hoàn thành đồ án Hà nội, ngày 09 tháng 06 năm 2005 Người thực đồ án Ngô Văn Chấn TÀI LIỆU THAM KHẢO Ngô Văn Chấn – HTTT&TT – KSCLC – K45 88 Đồ án tốt nghiệp Tìm hiểu lý thuyết xây dựng Firewall Linux [1] Building Internet Firewall – D.Brent Chapman & Elizabeth D.Zwicky – O’Reilly & Asscociates – 1995 [2] Firewalls Complete – Marcus Goncalves – Mc Graw Hill – 1997 [3] Hacking Expose – Sturt McClure, Joel Scambray, George Kurtz -1997 [4] Mạng máy tính hệ thống mở - Nguyễn Thúc Hải – NXB Giáo Dục – 2000 [5] Quản trị Hệ thống Linux – Nguyễn Thanh Thuỷ - NXB Khoa học kỹ thuật – 2000 [6] Firewall for Dummies – 2nd Edition – Brian Komar, Ronald Beekelaar, and Joern Wettern,PhD – Wiley Publishing, Inc -2003 [7] http://iptables–tutorial.frozentux.net/iptables–tutorial.html [8] http://www.vnsecurity.com [9] http://www.yolinux.com/TUTORIALS/LinuxTutorialNetworking [10] http://smoothwall.org Ngô Văn Chấn – HTTT&TT – KSCLC – K45 89 ... sau : • Chương : Tổng quan an tồn an ninh mạng Trình bày khái niệm chung an tồn an ninh mạng, tính cấp thiết đề tài Các mơ hình mạng giao thức sử dụng để truyền thông mạng Ngô Văn Chấn – HTTT&TT... hình mạng Mơ hình mạng Các mục tiêu cần bảo vệ Các mục tiêu cần bảo vệ Tấn công mạng chiến lược bảo vệ Tấn công mạng chiến lược bảo vệ Trong chương trình bày khái niệm chung an toàn an ninh mạng, ... .1 Chương : TỔNG QUAN AN TOÀN AN NINH MẠNG I Tình hình thực tế .8 II Mô hình mạng III Các mục tiêu cần bảo vệ 17 IV Tấn công mạng chiến lược bảo vệ