BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN  NGUYỄN VĂN ĐƢỜNG TÌM HIỂU VÀ CÀI ĐẶT HỆ THỐNG FIREWALL KẾT HỢP VỚI PROXY ĐỂ BẢO VỆ HỆ THỐNG MẠNG BÊN TRONG LUẬN VĂN TỐT NGHIỆP GIÁO VIÊN HƢỚNG DẪN Th.S NGÔ VĂN CÔNG Nha Trang, 12/2009 Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 1 LỜI MỞ ĐẦU Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã hội, thì việc bảo về những thành quả đó là một điều không thể thiếu. Sử dụng các bức tường lửa (Firewall) để bảo vệ mạng nội bộ (Intranet), tránh sự tấn công từ bên ngoài là một giải pháp hữu hiệu, đảm bảo được các yếu tố:  An toàn cho sự hoạt động của toàn bộ hệ thống mạng  Bảo mật cao trên nhiều phương diện  Khả năng kiểm soát cao  Đảm bảo tốc độ nhanh  Mềm dẻo và dễ sử dụng  Trong suốt với người sử dụng Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản xuất kinh doanh. Internet đang ngày càng trở nên quan trọng. Nó mang lại rất nhiều tiện ích cho mọi người. Internet vừa là nguồn tài nguyên khổng lồ, vừa là nơi chia sẽ thông tin. Việc sử dụng Internet dần đã trở thành một nhu cầu của mọi người. Nhu cầu chia sẽ thông tin của con người thông qua Internet ngày càng cao. Tuy nhiên, Internet là một nơi công cộng, mọi người đều có quyền tham gia đóng góp nhưng đồng thời đó cũng là nơi để trở mà bất kỳ người nào cũng có thể trở thành đối tượng cho nhiều người khác tấn công với các mục đích khác nhau. Internet mang lại nhiều lợi ích nhưng cũng đồng thời cũng mang lại nhiều nguy cơ tiềm ẩn. Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng nhắc nhiều đến Internet với những khả năng truy nhập thông tin dường như đến vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm và an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet. Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 2 Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó cũng là một phần lý do các nhân viên quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác. Theo CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người người dùng, mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây bao gồm cả các thao tác như giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng, tấn công từ chối dịch vụ, chiếm các phiên làm việc từ xa (telnet hoặc rlogin). Cứ như vậy, phương thức tấn công ngày càng tinh vi và nguy hiểm. Vì vậy, mọi người dùng, cơ quan tổ chức, đều có nhu cầu bảo vệ thông tin của mình trước khi tham gia vào Internet. Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại gồm:  Bảo vệ dữ liệu.  Bảo vệ các tài nguyên sử dụng trên mạng.  Bảo vệ danh tiếng của cơ quan. Để tổ chức một hệ thống mạng có khả năng bảo mật cao, một công ty, tổ chức có thể phải đầu tư một khoảng tài chính khá lớn. Tuy nhiên, với sự phát triển ngày càng mạnh mẽ của phần mềm nguồn mở, đặt biệt là hệ điều hành nguồn mở đã giúp các công ty, tổ chức tiết kiệm được một khoảng tài chính lớn. Hơn thế nữa, ngày nay, các phát hành hệ điều hành dựa trên nhân Linux đã có rất nhiều. Người dùng có thể hoàn toàn sử dụng hệ điều hành nguồn mở thay cho hệ điều hành thương mại đắt tiền. Không những thế, hệ điều hành nguồn mở có khả năng bảo mật cao, và được xem là miễn nhiễm với virus. Cùng với sự ra đời của hệ điều hành Ubuntu. Một phát hành của Linux được xem là sẽ thay thế cho Window trong những năm tiếp theo, công ty, tổ chức, doanh nghiệp có thể tiết kiệm được tài chính và đầu tư vào hệ thống hạ tầng mạng, cũng như tăng cường khả năng bảo mật hệ thống mạng của mình. Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 3 Khóa luận này với mục tiêu tìm hiểu hệ điều hành nguồn mở Ubuntu Linux, Firewall iptables, một Firewall được tích match sẵn trong nhân của Linux, Proxy Squid, một web cache proxy, và các phần mềm nguồn mở khác nhằm thay thế cho hệ điều hành mạng Window Server và các máy trạm hệ điều hành Window vốn rất được sử dụng thông dụng hiện nay. Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 4 LỜI CẢM ƠN Trước hết tôi xin bày tỏ lòng cảm ơn đến quý thầy cô thuộc khoa Công nghệ thông tin, trường Đại Học Nha Trang đã tận tình dạy dỗ và truyền đạt cho tôi nhiều kiến thức quý báu trong suốt hơn bốn năm qua. Xin tỏ lòng biết ơn xâu sắc đến thầy Ngô Văn Công, người đã trực tiếp gợi ý, hướng dẫn và tận tình truyền đạt nhiều kinh nghiệm để tôi có thể thực hiện và hoàn thành đề tài này. Xin tỏ lòng biết ơn đến thầy xxxx Dương thuộc bộ môn xxx và thầy Nguyễn Tấn Tài đã hết lòng giúp đỡ để tôi có thể thử nghiệm được mô hình trong mạng thực của trường. Con cũng xin gửi tất cả lòng biết ơn sâu sắc đến cha mẹ, cùng toàn thể gia đình, những người nuôi dạy con trưởng thành như ngày hôm nay, đồng thời cũng giúp đỡ, chăm sóc con trong suốt quá trình thực hiện đề tài. Cuối cùng, tôi xin cảm ơn đến bạn bè, quý thầy cô, quý anh chị trong công ty OdysseyVN Nha Trang đã động viên và chỉ bảo nhiệt tình để tôi có thể hoàn thành tốt đề tài này Nha Trang, 12/2009 Sinh viên thực hiện Nguyễn Văn Đường Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 5 NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 6 NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 7 MỤC LỤC Chương 1: Giới thiệu về Firewall 17 1.1. Firewall là gì? 17 1.2. Chức năng chính 17 1.2.1. Bộ lọc gói tin 18 1.2.1.1. Ưu điểm 19 1.2.1.2. Nhược điểm 20 1.2.2. Bộ lọc gói tin có trạng thái 20 1.2.2.1. Ưu điểm 21 1.2.2.2. Nhược điểm 22 1.2.3. Firewall default policy 22 1.2.3.1. Lựa chọn chính sách mặc định 22 1.2.3.2. Rejecting so với Denying 24 1.3. Perimeter Networks 25 1.3.1. Bastion host 26 1.3.2. Three-legged configuration 27 1.3.3. Back to Back 28 Chương 2: Linux Firewall iptables 30 2.1. Giới thiệu iptables 30 2.2. Tính năng trong iptables 30 2.2.1. Bảng filter 30 2.2.2. Bảng mangle 32 2.2.3. Bảng nat 32 2.3. Tính năng NAT 33 2.4. Tính năng Mangle 34 2.5. Cú pháp lệnh iptables 36 2.5.1. Những lệnh thao tác bảng filter 37 Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 8 2.5.1.1. Những thao tác tác động đến chain 37 2.5.1.2. Những thao tác tác động đến luật 38 2.5.1.3. Bảng thao tác match cơ bản 39 2.5.1.4. Những thao tác match với tcp filter 40 2.5.1.5. Những thao tác match với udp filter 40 2.5.1.6. Những thao tác match với icmp filter 40 2.5.2. Target của bảng filter 40 2.5.3. Bổ trợ match trong bảng filter 42 2.5.3.1. Bổ trợ match multiport filter 42 2.5.3.2. Bổ trợ match limit filter 43 2.5.3.3. Bổ trợ match dstlimit filter 44 2.5.3.4. Bổ trợ match state filter 45 2.5.3.5. Match mở rộng mac filter 47 2.5.3.6. Match mở rộng owner filter 48 2.5.3.7. Match mở rộng mark filter 48 2.5.3.8. Match mở rộng tos filter 49 2.5.3.9. Match mở rộng addrtype filter 49 2.5.3.10. Match mở rộng iprange filter 50 2.5.3.11. Match mở rộng length filter 50 2.5.4. Những lệnh thao tác bảng nat 50 2.5.4.1. Target SNAT 50 2.5.4.2. Target MASQUERADE 51 2.5.4.3. Target DNAT 52 2.5.4.4. Target REDIRECT 52 2.5.4.5. Target BALANCE 53 2.5.5. Những lệnh thao tác bảng mangle 53 2.6. Xây dựng firewall iptables 54 2.6.1. Định nghĩa các biến đại diện 54 2.6.2. Cho phép sự hỗ trợ của nhân 54 Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m GVHD: Th.S Ngô Văn Công SVTH: Nguyễn Văn Đường Trang 9 2.6.3. Xóa luật hiện tại 55 2.6.4. Đặt lại chính sách mặc định và ngắt Firewall 56 2.6.5. Cho phép interface loopback 56 2.6.6. Xác định lựa chọn chính sách mặc định 56 2.6.7. Kiểm tra nhanh tính match lệ của gói tin 57 2.6.8. Sử dụng kết nối có trạng thái để giảm xét luật 57 2.6.9. Ngăn giả mạo địa chỉ 58 2.7. Cho phép một số dịch vụ mạng cơ bản 59 2.7.1. Dịch vụ phân giải tên miền 59 2.7.1.1. Cho phép người dùng phân giải địa chỉ 60 2.7.1.2. Cho phép làm một DNS server trung chuyển 61 2.7.2. Cho phép một số dịch vụ TCP thông dụng 62 2.7.2.1. Email 62 2.7.2.2. Telnet 63 2.7.2.3. SSH 64 2.7.2.4. FTP 64 2.7.2.5. Web 65 2.7.3. Lọc chặn một số thông điệp ICMP 66 2.8. Logging 67 2.9. Tối ưu Firewall 67 2.9.1. Tổ chức luật 67 2.9.2. Sử dụng module trạng thái 69 2.9.3. Sử dụng chain tự định nghĩa 69 2.10. Một số cấu hình đối với Perimeter Network 70 2.11. Ánh xạ địa chỉ 71 Chương 3: SQUID Proxy 73 3.1. Biên dịch và cài đặt chương trình 73 3.1.1. Configure Script 73 3.1.2. make Install 73 Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m [...]... VỀ FIREWALL 1.1 Firewall là gì? Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích match vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng. .. Những server trong mạng Perimeter Network thường không lưu tin mật hay dữ liệu mật của công ty, tổ chức Những thông tin này và những trình ứng dụng cốt yếu được đặt trong mạng bên trong Bằng cách sử dụng mạng Perimeter Network, ta đã thêm một lớp bảo mật giữa Internet và những server trong mạng bên trong  Mạng Perimeter Network cũng có thể được sử dụng để bảo mật những kết nối khác từ mạng bên trong Chẳng... chức có nhân viên sử dụng kết nối wireless hoặc dùng điện thoại di động để truy cập thông tin như email trong mạng bên trong Những thiết bị này tăng tính rủi ro trong bảo mật, một mặt để giảm rủi ro cần phải cài đặt những server cho các thiết bị này trong mạng Perimeter Network và sau đó sủ dụng Firewall của mạng bên trong lọc thông tin từ những server trên đến mạng bên trong Đối với người dùng VPN ta... hình ba chân, một Firewall và ba card mạng 1.3.3 Back-to-Back Mô hình này đặt mạng Perimeter Network vào giữa hai Firewall Cả hai Firewalll này đều nối đến mạng Perimeter Network và trong đó một Firewall kết nối đến mạng bên trong, còn Firewall còn lại nối ra Internet Mô hình này sẽ không cò một điểm truy cập tập trung nữa Để đến được mạng bên trong, kẻ tấn công cần phải vượt qua cả hai Firewall Thông... trên đển giảm rủi ro Mạng Perimeter Network tăng cường cho hệ thống một lớp bảo mật Một thiết mạng Perimeter Networks phải bao gồm bảo vệ được mạng bên trong đồng thời các server phải truy cập được từ Internet Có ba mô hình chính như sau: 1.3.1 Bastion host Trong cách cấu hình này, chỉ cần một Firewall giữa Internet và mạng bên trong Pháo đài hoạt động như là kết nối chính cho các máy ở mạng bên trong. .. Rejecting so với denying 1.3 Perimeter Networks Một Perimeter Network là một mạng được tách biệt khỏi mạng bên trong và cả mạng Internet Perimeter Network cho phép những người dùng bên ngoài có quyền được truy cập vào những server đã được chỉ định được đặt trong mạng này, đồng thời ngăn chặn những truy nhập vào mạng bên trong Perimeter Network có những đặt điểm sau đây:  Được bảo vệ bởi một hay nhiều Firewall. .. Network được phân tách với Internet bởi một hay nhiều Firewall hoặc router Perimeter Network thường cũng được phân tách luôn với mạng bên trong bởi một Firewall Những Firewall này bảo vệ những server trong Perimeter Network đồng thời cũng lọc lưu lượng mạng giữa Perimeter Network và mạng bên trong  Chứa những server và dịch vụ có thể truy cập công cộng: Những server bên trong mạng Perimeter Network... lượng không mong muốn đến các máy của mạng bên trong Mô hình này cũng sử dụng duy nhất một Firewall với ba card mạng, một kết nối vào mạng bên trong, một kết nối đến mạng Perimeter Network, một kết nối ra Internet Thông thường các server trong mạng Perimeter Network có địa chỉ IP có thể truy cập được trên từ Internet vì thế Firewall phải định tuyến cho những kết nối này Firewall làm nhiệm vụ che chắn đồng... các mạng với nhau Ngày nay, sự tách biệt đó đã trở nên mờ dần bởi việc sử dụng những mạng ảo Sự ảo hóa giúp phân chia các mạng ở mức logic, điều này không được khuyến khích trong xây dựng một hệ thống Firewall Với vai trò là một hệ thống bảo mật, Firewall tạo một bức tường bao quanh máy tính hoặc một mạng với Internet Bức tường đó quyết định những luồng thông tin nào được phép trong một máy tính hay trong. .. kết nối chính cho các máy ở mạng bên trong cần truy cập Internet Với vài trò là một Firewall, pháo đài được thiết kế để chống lại những tấn công nhằm vào mạng bên trong Pháo đài sử dụng hai card mạng, một kết nối đến mạng bên trong, một kết nối ra Internet Với sự thể hiện rõ trong sơ đồ vật lý, ta có thể tránh được những nguy cơ tiềm tàng bên ngoài Trang 26 to k d o m o o c u -tr a c k w lic w w w d o . DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC NHA TRANG KHOA CÔNG NGHỆ THÔNG TIN  NGUYỄN VĂN ĐƢỜNG TÌM HIỂU VÀ CÀI ĐẶT HỆ THỐNG FIREWALL KẾT HỢP VỚI PROXY ĐỂ BẢO VỆ HỆ THỐNG MẠNG BÊN TRONG. match vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo. các mạng ở mức logic, điều này không được khuyến khích trong xây dựng một hệ thống Firewall. Với vai trò là một hệ thống bảo mật, Firewall tạo một bức tường bao quanh máy tính hoặc một mạng với