1. Trang chủ
  2. » Luận Văn - Báo Cáo

Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux

66 1,5K 14
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 66
Dung lượng 910 KB

Nội dung

Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux

Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux LỜI CẢM ƠN Mở đầu cho đề tài tốt nghiệp này, em xin thành thật tỏ lòng kính trọng và biết ơn đến ban giám hiệu, cùng các thầy cô giáo đã giúp đỡ em, đặc biệt là thầy giáo Nguyễn Văn Tam - Viện Công Nghệ Thông Tin, thầy Đào Văn Thành là những thầy đã trực tiếp hướng dẫn em thực hiện đề tài tốt nghiệp này và đã cho em những chỉ dẫn và những kiến thức quý giá. Em xin chân thành cảm ơn các thầy cô luôn sẵn sàng giúp đỡ và tạo mọi điều kiện tốt nhất cho em. Cảm ơn bạn bè đã luôn quan tâm động viên cổ vụ giúp đỡ để em thực hiện tốt bài tập tốt nghiệp này. Mặc dù có nhiều cố gắng bằng toàn bộ kiến thức để hoàn thành công việc, xong thời gian có hạn và kinh nghiệm kiến thức chưa nhiều nên việc trình bày, phân tích, xây dựng chương trình có nhiều thiếu sót cần được bổ xung. Vì vậy, em rất mong nhận được ý kiến đóng góp của thầy cô và bạn bè để đề tài này được hoàn thiện hơn trong tương lai. Hà Nội 6/2007 Người thực hiện Nguyễn Tuấn Anh Đại học dân lập Thăng Long-Nguyễn Tuấn Anh Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux LỜI NÓI ĐẦU Từ xa xưa nhân loại đã tìm mọi cách để thông tin liên lạc với nhau, và đã phát minh ra nhiều phương cách thông tin liên lạc rất đa dạng và phong phú để cho việc chuyển tin tức từ nơi này sang nơi khác một cách thuận tiện và nhanh chóng. Từ những phương cách thô sơ đơn giản như truyền miệng, đi bộ, đi ngựa, gửi qua chim bồ câu, qua thuyền bè… Cho tới những phương cách hiện đại hơn như máy radio, điện thoại và truyền hình, TV (television), vận chuyển thư từ bằng máy bay, gửi thư bằng điện tín v.v. đã giúp cho việc thông tin liên lạc rất hữu hiệu và nhanh chóng. Sự phát minh ra máy vi tính và sự hình thành của Mạng Lưới Thông Tin Toàn Cầu (Internet) đã mở ra một kỷ nguyên mới cho việc thông tin liên lạc. Từ một máy vi tính nối vào Mạng Lưới Thông Tin Toàn Cầu (WWW) người sử dụng có thể gửi và nhận tin tức từ khắp nơi trên thế giới với khối lượng tin tức khổng lồ và thời gian tối thiểu thông qua một số dịch vụ sẵn có trên Internet. Tuy nhiên việc làm này đã làm phát sinh những vấn đề khá quan trọng. Đó là việc quản lý các tài nguyên thông tin của mình, bao gồm nguồn thông tin (các thông tin về một doanh nghiệp, một tổ chức hay là của một quốc gia nào đó) và việc bảo vệ chống lại sự truy cập bất hợp pháp. Từ đây nảy sinh ra một yêu cầu đó là cần có một giải pháp hoặc một hệ thống an ninh bảo vệ cho hệ thống mạng và luồng thông tin chạy trên nó. Một trong các giải pháp chính và tốt nhất hiện nay là đưa ra khái niệm Firewall và xây dựng nó để giải quyết những vấn đề này. Thuật ngữ “Firewall” có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn và hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Có hai loại kiến trúc FireWall cơ bản là: Proxy/Application FireWall và filtering gateway Firewall. Hầu hết các hệ thống Firewall hiện đại là loại lai (hybrid) của cả hai loại trên. Nhiều công ty và nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux như một Internet gateway. Những máy chủ này thường phục vụ như máy chủ mail, web, ftp, hay dialup. Hơn nữa, chúng cũng thường hoạt động như các Firewall, thi hành các chính sách kiểm soát giữa Internet và mạng của công ty. Khả năng uyển chuyển, tính kinh tế, và sự bảo mật cao khiến cho Linux thu hút như là một thay thế cho những hệ điều hành thương mại. Đại học dân lập Thăng Long-Nguyễn Tuấn Anh Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux Tính năng Firewall chuẩn được cung cấp sẵn trong kernel của Linux được xây dựng từ hai thành phần : Ipchains và IP Masquerading. Linux IP Firewalling Chains là một cơ chế lọc gói tin IP. Những tính năng của IP Chains cho phép cấu hình máy chủ Linux như một filtering gateway/firewall dễ dàng. Một thành phần quan trọng khác của nó trong kernel là IP Masquerading, một tính năng chuyển đổi địa chỉ mạng (network address translation- NAT) mà có thể che giấu các địa chỉ IP thực của mạng bên trong. Ngoài ra trong kernel của Linux 2.4x và 2.6x cũng có một Firewall ứng dụng lọc gói tin có thể cấu hình ở mức độ cao Netfilter/Iptables. Netfilter/Iptable gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. Netfilter cho phép cài đặt, duy trì và kiểm tra các quy tắc lọc gói tin trong Kernerl. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc nhanh và không làm giảm tốc độ của hệ thống. Được thiết kế để thay thế cho linux 2.2.x Ipchains và linux 2.0.x ipfwadm, có nhiều đặc tính hơn Ipchains và được xây dựng hợp lý hơn. IpTables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfilter xử lí. Chương trình Iptables được dùng để quản lý các quy tắc lọc gói tin bên dưới cơ sở hạ tầng của Netfilter. Các ứng dụng của Iptables đó là làm IP Masquerading, IP NAT và IP Firewall. Tài liệu này được viết ra nhằm đem đến cho mọi người cái nhìn rõ nét về FireWall và đặc biệt là FireWall Iptables của Linux. Nội dung chính của tài liệu gồm 3 Chương và 1 Phụ lục. Chương I: Các mối đe dọa an ninh mạng và một số giải pháp Chương II:Tổng quan firewall Chương III: Iptable trong linux Chương IV: Ứng dụng của iptable trong linux Phụ Lục A: Danh sách các từ viết tắt trong tài liệu này hoặc có liên quan. Đại học dân lập Thăng Long-Nguyễn Tuấn Anh Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux CHƯƠNG I: CÁC MỐI ĐE DỌA AN MẠNG VÀ MỘT SỐ GIẢI PHÁP 1.1 Tầm quan trọng của bức tường lửa Ngày nay qua mạng Internet, chúng ta có thể truy nhập tới mọi nơi trên thế giới thông qua một số dịch vụ, khi ngồi trước máy vi tính con người có thể biết mọi thông tin trên toàn cầu, có thể giải trí, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếp cận đươc khối lượng thông tin khổng lồ, luôn cập nhật trong thời gian tương đối nhanh. Tuy nhiên, cùng với những lợi ích mà Internet đem lại thì vấn đề an ninh mạng cần được đưa ra xem xét một cách nghiêm túc vì khi tham gia vào mạng có rất nhiều nguy hiểm. Nguy hiểm chính là các tin tặc trên Internet luôn rình rập để ăn trộm các thông tin.Vấn đề này là mối đe dọa lớn đối với mỗi cá nhân, một doanh nghiệp, một tổ chức hay một quốc gia về sự hư hỏng và mất mát thông tin. Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốc gia. Do đó, chúng ta phải bảo vệ thông tin từ các mối đe dọa, một trong các giải pháp tốt nhất hiện nay là sử dụng bức tường lửa (firewall). 1.2 Đối tượng bảo vệ của bức tường lửa Trong môi trường Internet có nhiều tổ chức, quốc gia cùng tham gia. Do đó, nhu cầu bảo vệ thông tin trên Internet có thể chia làm 3 loại như sau: 1.2.1 Bảo vệ dữ liệu Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau: - Tính bí mật (Secrecy): những thông tin có giá trị về kinh tế, quân sự, chính sách… cần được giữ kín. - Tính toàn vẹn (Integrity): Thông tin không bị mất mát hoặc sửa đổi đánh tráo. Để làm được điều đó thì chúng ta phải ngăn ngừa được sự thay đổi thông tin một cách vô ý hay cố ý và ngăn những kẻ tấn công hệ thống vì họ có thể sửa đổi, xóa bỏ, hoặc làm hỏng thông tin quan trọng mang tính sống còn cho các hoạt động của tổ chức. - Tính sẵn sàng (Availability): Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết và ngăn ngừa việc nắm giữ thông tin và tài nguyên để hệ thống chứa các thông tin hoặc cung cấp các dịch vụ có khả năng truy cập được, đáp ứng các yêu cầu và tránh mất mát những thông tin quan trọng. Trong các yêu cầu này, thì tính bí mật là quan trọng nhất đối với thông tin lưu trữ trên mạng. Tuy nhiên, khi thông tin này không được bí mật thì tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết tính đúng đắn của thông tin đó. 1.2.2 Bảo vệ các tài nguyên trên mạng Đại học dân lập Thăng Long-Nguyễn Tuấn Anh Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux Mối đe dọa trên các tài nguyên này là ai đó xâm nhập vào mạng của chúng ta và sử dụng chúng như tài nguyên của chính họ. Trong thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công sau khi đã làm chủ hệ thống bên trong, có thể sử dụng những máy này để phục vụ cho lợi ích của mình như chạy các chương trình dò tìm mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác… 1.2.3Bảo vệ uy tín, danh tiếng của công ty Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và là một trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và các cơ quan trong nội bộ nhà nước. Sự đe dọa này thể hiện ở chỗ một người nào đó xuất hiện trên Internet với định danh là mạng của chúng ta, thực hiện những gì mà qui ước quốc tế về lưu thông trên Internet cấm, hay gửi đi những thông tin không hợp pháp. Hậu quả là ảnh hưởng tới uy tín của chúng ta, thậm chí cả tiền bạc. 1.3. Một số mối đe dọa an ninh mạng Các mối đe dọa về bảo mật mạng có thể là con người và thiên nhiên (lũ lụt, động đất, hỏa hoạn, … ) nhưng phạm vi đề tài chỉ tập trung và khía cạnh con người. Con người Cố tình vô tình Bên trong Bên ngoài thiếu hiểu biết Có thể phân loại những tấn công theo tính chất hoạt động như sau: 1.3.1.Tấn công truy nhập mạng ` 1.3.1.1 Tấn công theo mật khẩu: mật khẩu là tập hợp là tất cả các chữ cái, chữ số. Có hai cách tấn công theo mật khẩu  Tấn công thô: là dùng tất cả các tổ hợp, các kí tự để làm mật khẩu vào mạng và thử truy nhập. Tấn công này thường dùng cho mạng LAN.  Tấn công dùng từ điển: dự đoán một số từ khóa thông thường người ta hay dùng làm password. Tấn công này thường dùng cho từ xa truy nhập vào mạng. 1.3.1.2. Tấn công theo phân tích mật khẩu: Hầu hết trong các hệ điều hành đều lưu username và password. Nhưng mỗi hệ điều hành có các cách lưu khác nhau. Ví dụ, trong Window có file System_32/ config/ SAM/ Security Acount, trong Linux, Unix có 2 file Đại học dân lập Thăng Long-Nguyễn Tuấn Anh Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux etc/passwd và etc/shadow. Trong các hệ điều hành thì hầu như password đều được mã hóa theo thuật toán DES và MD5 chứ nó không lưu bản rõ.  Đối với Win 95,98 thì dùng thuật toán DES.  Đối với Win NT và Win 2000 thì dùng thuật toán hàm băm MD4 sau đó sử dụng MD5. Đối với Win 2000 sau này dùng Kerboros. Các thuật toán công khai như vậy thì người ta đều biết. Thông thường biết mã và thuật toàn thì người ta giải mã được nhưng có một số thuật toán mà người ta giải mã rất khó như thuật toán DES thì người ta phải phá vài chục năm mới phá được (phương pháp này giống kiểu tấn công thô). Do đó, tin tặc sử dụng các kỹ thuật sau để tấn công: Sử dụng wordlist: Danh sách của những từ sử dụng như danh mục địa phương, danh mục họ tên của nước nào đó. Đầu tiên dùng thuật toán mã hóa wordlist sau đó so sánh worslist đã mã với mật khẩu. Có thể nói dùng phương pháp này cũng gần đi tới kết quả. Sử dụng chương trình giám điệp : Tin tặc dùng chương trình này để copy các tệp mật khẩu. Khi copy được các tệp mật khẩu thì nó cũng có thể thay đổi mật khẩu được. Người dùng nên dùng password phức tạp để tin tặc tấn công khó hơn. 1.3.2. Tấn công theo kiểu khai thác mạng: Đầu năm 90 tin tặc đã sử dụng kỹ thuật tiếm quyền để khai thác mạng 1.3.2.1 Kỹ thuật làm tràn bộ đệm: Kiểu bộ đệm có thể làm tràn bộ đệm trên ngôn ngữ lập trình, ví dụ trên ngôn ngữ lập trình C: int f (int j ) { int i; char buf [128]; gets (buf); } chương trình chính gọi chương trình con thông qua stack và sử dụng push, pop. Stack 100h Địa chỉ byte 1000 4 j 996 4 return address 992 4 i 988 128 buf Đại học dân lập Thăng Long-Nguyễn Tuấn Anh Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux …. (1) khoảng cách đó là tin tặc không biết trước nên tin tặc phải thử nhiều lần để biết return address cách bộ đệm bao nhiêu. Khi biết khoảng các đó rồi thì phải viết địa chỉ vào để chương trình của tin tặc nhảy vào tiếp, nó không cần biết địa chỉ chính xác mà nó nhảy vào bất kỳ một NOP nào đó ( NOP không làm gì cả sau đó đến chương trình của tin tặc). Do các ngôn ngữ lập trình trỏ tới bộ đệm mà không giới hạn bộ đệm đó là bao nhiêu nên tin tặc dùng lỗ hổng để tấn công. Tóm lại lỗ hổng kỹ thuật làm trần bộ đệm là kỹ thuật dễ dàng nhất để tin tặc tấn công vào mạng chiếm quyền điếu khiển. 1.3.2.2 Lỗi của Unicode: Do đường dẫn URL bằng mã Unicode khi truy nhập mail hay web thì cũng phải qua Unicode để dẫn tới tài nguyên. Nếu là mã của ASCII thì đường dẫn chỉ cho phép truy nhập vào nguồn tài nguyên đúng thư mục của server cung cấp cái thông tin đó. Đại học dân lập Thăng Long-Nguyễn Tuấn Anh (1) Return address CT CT Shell NOP NOP NOP Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux 1.3.3.Tạo cửa hậu, xóa nhật ký: Để tiếp tục tấn công vào lần sau (tấn công sau khi đã vào mạng).  Nó xóa các cổng truyền thông tạo ra các cổng truyền thông mới (nếu cổng truyền thông server không cho phép thì tạo ra để cho phép).  Tạo ra người sử dụng mới, người sử dụng có quyền quản trị.  Cài các chương trình cho phép tin tặc từ xa có thể điều khiển được, thường điều khiển để lấy thông tin hoặc phá hoại.  Ngụy trang để xóa hết tên tệp, thay đổi tên thư mục, thay đổi những lệnh mà người quản trị sử dụng để phát hiện truy nhập.  Xóa tệp nhật ký để cho người quản trị không thấy được dấu vết đã truy nhập hoặc có thể thay đổi tệp đăng ký, thay đổi thời gian ghi nhật ký. Ví dụ như khi truy nhập tuần này thì nó thay đổi thời gian là tuần trước (nhật ký tuần trước thì không thông báo) làm cho người quản trị không quản lí được. Khắc phục:  Một số tệp quan trọng của hệ thống thì phải được bảo vệ tính toàn vẹn của nó thông quan việc tạo ra các tóm lược và sau một thời gian nhất định thì phải kiểm tra tệp đó có toàn vẹn không.  Đối với một số nhật ký quan trọng thì được sao chép lưu giữ, bảo vệ để tin tặc không thay đổi được.  Luôn kiểm tra các cổng truyền thông để phát hiện tin tặc có truyền thông tin ra từ máy không. 1.3.4 Tấn công từ chối dịch vụ • SYN Fload: SYN là yêu cầu của tin tặc gửi tới server Đại học dân lập Thăng Long-Nguyễn Tuấn Anh SYN5 server CT tin tặc SYN3 SYN2 SYN1 SYN4 SYN1/ACK ACK RST/ACK SYN Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux Đầu tiên tin tặc gửi yêu cầu tới server, khi server nhận được yêu cầu của tin tặc thì server trả lời cho tin tặc nhưng tin tặc lại không xác nhận trả lời của server (ACK) làm cho server chờ trả lời. Khi server chờ hết thời gian Tout thì server buộc phải gửi yêu cầu hủy kết nối (RST/ACK). Khi tin tặc nhận được hủy kết nối thì tin tặc tiếp tục gửi tín hiệu SYN để yêu cầu kết nối và cứ như vậy server chỉ phục vụ cho tin tặc không phục được cái khác. Khắc phục:  Có một số firewall chặn một số cổng SYN như Checkpoint.  Làm tăng hàng đợi server có thể phục vụ.  Xác định Tout một cách mềm dẻo cũng có thể tránh được tắc nghẽn do tin tặc gây ra.  Xác định thêm một bộ đệm để biết được chu trình thiết lập liên kết một nửa và từ đó có quy trình để đối phó.  Kết hợp các công cụ của hệ điều hành. *Tấn công UDP flood: Tin tặc gửi rất nhiều UDP làm cho server không kịp sử lý. Khắc phục: Sử dụng firewall, chỉ cho phép các dịch vụ UDP cần thiết buộc phải có như DNS, DHCP, SNMP. Những gói UDP của các dịch vụ này thì bắt buộc phải cho vào mạng còn các gói UDP của các dịch vụ khác thì không cần thiết. * Tấn công SMURF Tấn công kiểu ICMP, thường sử dụng chế độ Broadcast (quảng bá) như thông tin Echo gửi thông tin quảng bá cho tất cả các máy và tất cả các máy gửi lại thông tin cho echo response. Chính vì vậy, làm cho máy rất chậm có thể gây tê liệt hệ thống. Khắc phục: Cấu hình bức tường lửa để từ chối Broadcast từ các máy khác gửi đến. .Tấn công Teardrop: Tin tặc chia gói tin thành nhiều mảnh và đánh địa chỉ offset , số không theo trình tự làm cho router server bận rộn tức là làm cho server tê liệt vì không kịp sử lí gói tin đến. . Tấn công Mail Bomb: bomb thư cũng làm cho server tê liệt 1.3.5 Giả mạo địa chỉ IP: Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này, tin tặc gửi các gói IP tới mạng bên trong với địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời phải chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. 1.3.6 Đùa nghịch, quấy rối: Đại học dân lập Thăng Long-Nguyễn Tuấn Anh Xây dựng hình bảo vệ mạng bằng bức từong lửa iptable của linux Là do con người có tính tò mò, xâm nhập vào hệ thống tìm những thông tin mà họ thích thú. Họ thường làm hỏng hệ thống do thiếu kiến thức hoặc cố gắng che dấu vết của họ. 1.3.7 Phá hoại: Là những người cố ý phá hoại hệ thống thông tin mà họ muốn. Những người này thường là họ bất bình trong môi trường làm việc của họ, hoặc do tính chất cạnh tranh nào đó. Chúng có thể xóa dữ liệu hoặc làm hỏng thiết bị hệ thống mà chúng xâm nhập. 1.3.8 Gián điệp: Là những người xâm nhập vào hệ thống và chỉ lấy những thông tin nào có giá trị lớn như các hệ thống tín dụng, ngân hàng…Khó phát hiện tức thời được, thường chúng lấy thông tin mà không để lại dấu vết. 1.3.9 Vô ý hay thiếu hiểu biết của con người: Các tai họa hoàn toàn không phải do kẻ xấu làm nên, mà đa số là do những người chưa được đào tạo tốt về kiến thức máy tính nên không nhận thức được các mối nguy hiểm cho hệ thống và do những người quản trị hệ thống thiếu kinh nghiệm, hoặc lỗi của một chương chình ứng dụng… 1.3.10 Tấn công vào yếu tố con người: Tin tặc liên lạc với người quản trị hệ thống, giả làm một người sử dụng để yêu cầu làm thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống hoặc có thậm chí có thể làm thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này, không một thiết bị nào có thể ngăn chặn một cách hữu hiệu mà chỉ có một cách là giáo dục người sử dụng mạng nội bộ về những yêu cầu về bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi ngờ. Nói chung, con người là một điểm yếu trong bất kỳ hệ thống bảo vệ nào, chỉ có sự giáo dục và tinh thần hợp tác từ phía người sử dụng có thể nâng cao được hệ thống bảo vệ. Đại học dân lập Thăng Long-Nguyễn Tuấn Anh [...]... thiu Netfilter/Iptables 3.1.2.1 Gii thiu Iptables Hỡnh 3.1 V trớ Netfilter/Iptables trong Kernel Linux 2.4 Iptables l mt tng la ng dng lc gúi d liu rt mnh, cú sn bờn trong kernel Linux 2.4.x v 2.6.x Netfilter /Iptable gm 2 phn l Netfilter trong nhõn Linux v Iptables nm ngoi nhõn Iptables c dung ờ quan ly cac quy tc loc goi tin bờn di c s ha tõng cua Netfilter.Hờ thụng con Netfilter cua Linux 2.4x cho... Anh Xõy dng mụ hỡnh bo v mng bng bc tong la iptable ca linux CHNG III: IPTABLES TRONG LINUX Trong h thng Unix /Linux cú rt nhiu FIREWALL Trong ú cú mt s Firewall c cu hỡnh v hot ng trờn nn Console rt nh v tin dng ú l Iptable v Ipchains 3.1 Gii thiu IPTABLES - IPCHAINS - so sỏnh 3.1.1 Gii thiu Ipchains : Ipchains - qun tr IP Firewall Mt trong nhng phn mm m linux s dng cu hỡnh bng NAT ca kernel l Ipchains... th biờn dch cỏc n v sau khi biờn dch ca chng trỡnh user-land Iptables nu dựng nú Tip tc biờn dch ng dng user-land Iptables biờn dch Iptables bn a ra cỏc cõu lnh n gin nh l: make KERNEL_DIR=/usr/src /linux/ biờn dch chng trỡnh, sau ú dựng lnh ci t chỳng KERNEL_DIR v trớ ngun ca kernel make install KERNEL_DIR=/usr/src /linux/ S dung ờ thay ụi Iptables, bõy gi co thờ biờn dich lai hoc cai t lai kernel... cho phộp thờm tớch hp vi Ipchains khi chuyn t Linux 2.2, 2.4 sang 2.6 CONFIG_IP_NF_COMPAT_IPFWADM - La chn ny cho phộp kh nng tng thớch vi Ipfwadm 3.3 Cai t ng dung phn ngi dựng (user-land) Trc ht gii nộn packet Iptables õy s dng packet Iptables 1.2.6a v kernel 2.4 m gúi, thụng thng dựng bzip2 cd Iptables 1.2.6a.tar.bz2 | tar xvf gúi s c a vo th mc Iptables 1.2.6a sau i hc dõn lp Thng Long-Nguyn... l dựng server chy trờn h iu hnh Linux Hin nay linux ang c coi l mt trong nhng h iu hnh tt nht trong mụi trng mng, gii phỏp ny giỳp gim chi phớ u t v phn cng cho server, tng tc ca mng cc b v m bo mụi trng mng chy n nh cú th xõy dng c cỏc chng trỡnh bo v mng trong Linux, trc tiờn chỳng ta cn thc hin vic ci t v cu hỡnh chng trỡnh bo v mng vo trong h iu hnh Linux õy c th l chng trỡnh Iptables trong Linux. .. chớnh vi cỏc k tn cụng truy nhp Pháo đài Host Internet Touter ngoài Mạng trung gian Firewall Router trong Mạng nội bộ i hc dõn lp Thng Long-Nguyn Tun Anh Xõy dng mụ hỡnh bo v mng bng bc tong la iptable ca linux Figure 2-7: Kin trỳc Bastion Host i hc dõn lp Thng Long-Nguyn Tun Anh Xõy dng mụ hỡnh bo v mng bng bc tong la iptable ca linux 2.4.4 Screened host (mỏy ch sang lc) - C server v router u l thnh... console nho va tiờn dung o la Ipchains va Iptables Ipchains co sn trong kernel Linux 2.2x va Linux 2.0x ipfwadm Con Netfilter/Iptables co thờ cõu hinh mc ụ cao va co nhiờu c tinh hn Ipchains Bờn canh o Iptables cung co nhiờu ng dung, nh la cai t, duy tri va kiờm tra IP Firewall, IP Nat hay IP Masquerading Chng tiờp theo danh ờ noi vờ mụt sụ nhng ng dung o, o la dung Iptables ờ lam IP Masquerading, IP Nat,... mụ hỡnh bo v mng bng bc tong la iptable ca linux ú, la chn cu hỡnh v ci t modul m rng cho kernel bng cỏch chy lnh make pending-patches KERNEL_DIR=/usr/src /linux/ Bin KERNEL_DIR ch ti v trớ ca ngun kernel Thụng thng trong /usr/src /linux lnh trờn ch tr li cỏc ng dn chc chn vo kernel nhng cú th thờm vo cỏc ng dn khỏc bng cõu lnh make most-of-pom KERNEL_DIR=/usr/src /linux/ Cõu lnh trờn s hi v cỏch... mng bng bc tong la iptable ca linux - Cỏc cng ca TCP v UDP bõy gi cn a ra - source-port hoc sport/ destination-port hoc dport c t sau -p tcp hoc -p udp - C TCP y bõy gi l syn phi c t sau -p tcp - DENY ớch, bõy gi l DROP - Tờn chain cú th lờn n 16 ký t - REJECT v LOG bõy gi chỳng cú th riờng bit vi kernel - Iptables cú mt h thng con cho NAT riờng bit 3.2 Cai t Iptables trong Kernel Iptables c cu hỡnh... MASQ: Ch hp l i vi chain forward v chain do ngi dựng nh ngha v c dựng khi kernel c biờn dch vi CONFIG_IP_MASQUERADE Vi chain ny packet s c masquerade nh l nú c sinh ra t mỏy cc b, hn th na cỏc packet ngc s c nhn ra v chỳng s c demasqueraded mt cỏch t ng, b qua forwarding chain * REDIRECT: Ch hp l vi chain input v chain do ngi dựng nh ngha v ch c dựng khi Linux kernel c biờn dch vi tham s CONFIG_IP_TRANSPARENT_PROXY . Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux Tính năng Firewall chuẩn được cung cấp sẵn trong kernel của Linux được xây dựng. Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux CHƯƠNG I: CÁC MỐI ĐE DỌA AN MẠNG VÀ MỘT SỐ GIẢI PHÁP 1.1 Tầm quan trọng của bức tường

Ngày đăng: 27/02/2013, 16:42

HÌNH ẢNH LIÊN QUAN

Sơ đồ tổng quát của firewall - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
Sơ đồ t ổng quát của firewall (Trang 12)
Hình 3.1 Vị trí Netfilter/Iptables trong Kernel Linux 2.4. - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
Hình 3.1 Vị trí Netfilter/Iptables trong Kernel Linux 2.4 (Trang 25)
Hình 3.2 Đường đi của packet. - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
Hình 3.2 Đường đi của packet (Trang 31)
Cỏc hành động thực hiện trong bảng này là: - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
c hành động thực hiện trong bảng này là: (Trang 33)
Hình 3.3: NAT tĩnh - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
Hình 3.3 NAT tĩnh (Trang 33)
3.5.2 Bảng lọc (filter) - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
3.5.2 Bảng lọc (filter) (Trang 34)
3.5.2  Bảng lọc (filter) - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
3.5.2 Bảng lọc (filter) (Trang 34)
Hình 3.1 Mô hình kết nối máy Linux và Anybox - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
Hình 3.1 Mô hình kết nối máy Linux và Anybox (Trang 46)
Hình 3.2 Mô hình kết nối máy Linux với mạng nội bộ và Internet - Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux
Hình 3.2 Mô hình kết nối máy Linux với mạng nội bộ và Internet (Trang 53)

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w