- 1 - LỜI NÓI ĐẦU Hiện nay, vấn đề về công nghệ thông tin rất quan trọng trong các doanh nghiệp vừa và nhỏ chẳng hạn như: Làm sao bảo mật thông tin, tối ưu đường truyền, hạn chế sự tấn công của virus và những email điện tử (phishing), hạn chế những rủi ro như mất mát dữ liệu, bảo lưu dữ liệu trong một khoảng thời gian dài. Vậy giải pháp ra sao thì phù hợp với những doanh nghiệp vừa và nhỏ ? Để đáp ứng những yêu cầu từ phía doanh nghiệp và nhằm hạn chế tối đa những chi phí phần mềm, phần cứng thì hệ điều hành Linux luôn một trong những giải pháp và lựa chọn hàng đầu: Linux có tính tương đối và mức độ ổn định cao, không cần yêu cầu phần cứng quá cao, tính cộng đồng cao, Linux là hệ điều hành đa nhiệm, ít bị hackers khai thác và tấn công so với hệ điều hành Windows, đa phần những phiên bảng của Linux miễn phí. Tuy nhiên, Linux cũng có những phiên bản mang tính chất thương mại và mức độ chạy ổn định cao chẳng hạn như Red Hat Enterprise, SuSe Enterprise (Novell) và AIX (IBM)… - 2 - MỤC LỤC CHƯƠNG 1 : GIỚI THIỆU ĐỀ TÀI 4 1.1 ĐẶT VẤN ĐỀ 8 1.2 HƯỚNG GIẢI QUYẾT 9 1.3 CẤU TRÚC BÁO CÁO 10 CHƯƠNG 2 : CƠ SỞ LÝ THUYẾT 11 2.1 IPTABLES 11 2.1.1 Định nghĩa: 11 2.1.2: Xử lý gói trong iptables: 11 2.1.3 Targets: 13 2.1.4 Các tham số dòng lệnh thường gặp trên iptales: 15 2.1.5. Những điều kiện về TCP và UDP thông dụng 17 2.1.6. Điều kiện ICMP 18 2.1.7. Một số điều kiện mở rộng 18 2.1.8: Logs trên Iptables 20 2.1.9. Gói phần mềm cần cài đặt : 21 2.2 NESSUS 22 2.2.1 Định nghĩa Nessus 22 2.2.2 Chức Năng của Nessus 22 2.2.3 Vì Sao Dùng Nessus 23 2.3 : SQUID 23 2.3.1 Định Nghĩa 23 2.3.2 Yêu cầu phần cứng 24 2.4 SARG 25 2.4.1 Định nghĩa 25 2.4.2 Một vài lựa chọn thường gặp trên Sarg 25 - 3 - 2.5 CACTI 26 2.5.1 Định nghĩa 26 2.5.2 Ưu điểm và khuyết điểm 26 CHƯƠNG 3 :THỰC NGHIỆM 28 3.1 GIỚI THIỆU MÔ HÌNH MẠNG 28 3.2 TRIỂN KHAI 28 3.2.1 IPTABLES 28 3.2.1.1 Cài đặt 29 3.2.1.2 Hướng dẫn chặn port và dịch vụ trên iptables 32 3.2.1.3 Một số dịch vụ 35 3.2.2 NESSUS 37 3.2.2.1 Hướng dẫn cài đặt 38 3.2.2.2 Dò tìm lỗ hỗng trong hệ thống 40 3.2.3 SQUID PROXY 46 3.2.3.1 Hướng dẫn cài đặt 47 3.2.3.2 Một số tính năng trên Squid 52 3.2.4 SARG 58 3.2.4.1 Hướng dẫn cài đặt 58 3.2.4.2 Khởi động Sarg 59 3.2.5 CACTI 61 3.2.5.1 Hướng dẫn 61 3.2.5.2 Đăng nhập vô cacti 67 CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM 85 - 4 - BẢNG BIỂU Bảng 2.1 Các dạng route trên iptables 13 Bảng 2.2 Các tùy chọn trên iptables 15 Bảng 2.3 Các thông sồ dòng lệnh trên iptables 16 Bảng 2.4 Những điều kiện về TCP và UDP 17 Bảng 2.5 Điều kiện ICMP 18 Bảng 2.6 Điều kiện mở rộng khi dùng TCP và UDP 19 Bảng 2.7 Kiểm tra logs trên iptables 20 Bảng 2.8 Một số thông số sử dung trong Sarg 26 Bảng 3.1 Hiển thị thông tin IP 31 Bảng 3.2 Cấu hình NAT trên Iptables 31 Bảng 3.3 Trình tự cài đặt Nessus 38 Bảng 3.4 Cài đặt từ dòng lệnh apt-get 39 Bảng 3.5 Đường dẫn để cập nhật những gói phần mềm mới trên ubuntu 49 Bảng 3.6 Danh sách chặn website khi truy cập thông qua proxy 53 Bảng 3.7 Chặn những file mở rộng thông qua proxy 55 - 5 - MÔ HÌNH Hình 1.1 Mô hình mạng hiện tại 9 Hình 2.1 Câu lệnh được lưu trong Iptables 21 Hình 3.1 Mô Hình Mạng 28 Hình 3.2 Mô hình mạng Iptables 29 Hình 3.3 Kiểm tra lại cách chặn gói icmp 32 Hình 3.4 Truy cập từ ngoài vô máy chủ web khi chưa đưa ra ngoài 31 Hình 3.5 Truy cập được tới máy chủ web sau khi đưa ra ngoài 34 Hình 3.6 Thư truy cập google.com.vn khi chưa chặn internet 35 Hình 3.7 Sau khi chặn internet. Client không thể truy cập 36 Hình 3.8 Cấm truy cập internet từ 11:00 tới 11:30 từ thứ 2-thứ 6 và chủ nhật 36 Hình 3.9 Truy cập lại website sau khoản thời gian bị giới hạn 37 Hình 3.10 Mô hình mạng dùng Nessus 37 Hình 3.11 Tạo user trên nessus 40 Hình 3.12 Màn hình đăng nhập 41 Hình 3.13 Chọn dịch vụ muốn quét 42 Hình 3.14 Chọn dãy IP muốn quét 43 Hình 3.15 Dò tìm IP tồn tại trong mạng 44 Hình 3.16 Quét địa chỉ IP tồn tại trong mạng 45 Hình 3.17 Hiển thị thông tin sau khi quét 46 Hình 3.18 Mô hình hệ thống tích hợp với Squid 47 Hình 3.19 Địa chỉ IP của máy con 50 Hình 3.20 Cấu hình IE thông qua Proxy 51 Hình 3.21 Kiểm tra truy cập internet qua Proxy 51 Hình 3.22 Xem lại sự kiện truy cập web của các máy con 52 Hình 3.23 Thử truy cập trang web sau khi đã chặn 53 Hình 3.24 Truy cập internet thông qua sự ủy quyền 55 - 6 - Hình 3.25 Kiểm tra lại sau khi khóa download những tập tin hình ảnh 56 Hình 3.26 Thử download tập tin với đuôi mở rộng exe 56 Hình 3.27 Mô hình mạng với Sarg 58 Hình 3.28 Màn hình hiễn thị thông tin báo cáo của Sarg 59 Hình 3.29 Hiển thị thông tin truy cập của các máy trong mạng 60 Hình 3.30 Hiển thị chi tiết truy cập vào website của 1 máy trong hệ thống mạng60 Hình 3.32 Kiểm tra PHP sau khi cài đặt 61 Hình 3.33 Yêu cầu nhập mật khẩu cho tài khoản Root trong MySQL 62 Hình 3.34 Yêu cầu nhập lại mật khẩu 63 Hình 3.35 Tạo cơ sở dữ liệu trên Cacti 64 Hình 3.36 Cài đặt thư viện libphp-adodb 65 Hình 3.37 Chọn phiên bản máy chủ web đang dùng 65 Hình 3.38 Cấu hình cơ sở dữ liệu 66 Hình 3.39 Nhập password cho cơ sở dữ liệu 66 Hình 3.40 Nhập mật khẩu truy cập cơ sở dữ liệu 67 Hình 3.41 Nhập lại mật khẩu truy cập cơ sở dữ liệu 67 Hình 3.42 Màn hình giao diện cài đặt Cacti 68 Hình 3.43 Lựa chọn cài đặt Cacti 69 Hình 3.44 Hiển thị thông tin đã cài đặt trên Cacti 70 Hình 3.45 Màn hình đăng nhập 71 Hình 3.46 Màn hình yêu cầu đổi mật khẩu 71 Hình 3.47 Màn hình giao diện của Cacti 72 Hình 3.48 đặt giao thức SNMP trên modem ADSL D-LINK 73 Hình 3.49 Màn hình sau khi đăng nhập 75 Hình 3.50 Thêm thiết bị để quan sát 76 Hình 3.51 Điền vào thông tin của thiết bị cần quan sát 76 Hình 3.52 Tạo biểu đồ cho thiết bị 77 - 7 - Hình 3.53 Chọn thông tin muốn hiển thị cho thiết bị 78 Hình 3.54 Hiển thị những thông tin đã chọn của tất cả thiết bị 79 Hình 3.55 Cấu trúc cây thư mục của thiết bị 80 Hình 3.56 Đặt tên cho thiết bị cần quan sát 81 Hình 3.57 Hiển thị thông tin sau khi thêm vào quan sát “Internet ADSL” 82 Hình 3.58 Chọn thiết bị để quan sát 83 Hình 3.59 Chọn thiết bị để đặt vào mục “Internet ADSL” 84 Hình 3.60 Hiển thị thiết bị sau khi thêm 85 Hình 3.61 Cấu trúc cây sau khi hoàn thành thêm vào các thiết bị 86 Hình 3.62 Hiển thị thông tin bằng đồ họa của thiết bị 87 Hình 3.63 Thêm vào những mẩu mà trên Cacti không hổ trợ 88 - 8 - Chương 1 : GIỚI THIỆU ĐỀ TÀI 1.1 Đặt vấn đề Hiện nay, nhiều công ty đang có nhu cầu nâng cấp toàn bộ hệ thống hiện có và chuyền sang dùng hệ điều hành Linux để nhằm giảm chi phí cho phần bảng quyền về hệ điều hành và các ứng dụng đang dùng trong hệ thống. Mục đích: * Chia sẽ hệ thống tập tin và thư mục rõ ràng theo từng phòng ban * Xây dựng hệ thống bảo mật nhằm hạn chế về virus và những tấn công từ bên ngoài hoặc bên trong vào máy chủ. * Giám sát đường truyền internet như băng thông ra vô hệ thống để biết được nhu cầu dùng đường truyền. Hệ thống hiện tại: Gồm có: 1 file server, 1 tường lửa, 40 máy tính để bàn và 10 máy tính xách tay * File Server -Dùng hệ điều hành Windows Server 2003 Enterprise -Dùng mô hình quản lý tập trung. -Phân quyền và chia sẽ tập tin và thư mục. * Tường lửa -Dùng hệ điều hành Windows Server 2003 Enterprise -ISA Server Standard 2006 -Quản lý băng thông ra, vô trong hệ thống. * Máy tính để bàn và xách tay -Tất cả dùng hệ điều hành Windows XP Professional SP2 - 9 - Mô hình hiện tại: Hình 1.1 Mô hình mạng hiện tại 1.2 Hướng giải quyết Xây dựng hệ thống dựa trên nền tảng hiện có của thiết bị máy móc hiện có của công ty  File Server: Vẫn giữ nguyên mô hình quản lý dữ liệu tập trung và dùng hệ điều hành của Windows Server 2003 Enterprise.  Tường lửa Dùng hệ điều hành Linux với phiên bản của Ubuntu 8.10 Ứng dụng: iptables, nesssus, squid proxy, sarg Quản lý băng thông Vẫn dùng chung máy chủ của tường lửa nhưng trên đó sẽ dùng thêm phần mềm Cacti để quan sát băng thông trên đường truyền, cũng như hiệu năng sử dụng của máy chủ. ISA 2006 - 10 - 1.3 Cấu trúc báo cáo - Chương 1: Giới thiệu đề tài; Chương 2 : Cơ sở lý thuyết giới thiệu các khái niệm về Iptables, Nessus, Sarg, Quid và Cacti ; Chương 3: Thực nghiệm triển khai mô hình sử dụng bức tường lửa trên ubuntu. ( thêm vô một tí nữa); Chương 4: Kết quả thực nghiệm và đánh giá kết quả thực hiện [...]... 1 : Squid: http://ports.ubuntu.com/pool/main/s /squid/ squid_2.7.STABLE31ubuntu2.1 _powerpc.deb 2: Squid- common : http://ftp.us.debian.org/debian/pool/main/s /squid/ squidcommon_2.7.STABLE3-4.1_all.deb * Tắt / khởi động Squid Đối với Linux : - Khởi động squid: #service squid start - Tắt squid: #service squid stop - 25 - -Tái khởi động squid: #service squid restart - Khởi động squid: # /etc/init.d /squid. .. 28 - CHƯƠNG 3 :THỰC NGHIỆM VÀ TRIỂN KHAI MÔ HÌNH MẠNG 3.1 Giới thiệu mô hình mạng Iptables, Nessus, Squid, Sarg, Cacti Hình 3.1 Mô Hình Mạng 3.2 Triển khai 3.2.1 Iptables - 29 - Hình 3.2 Mô hình mạng Iptables 3.2.1.1 Cài đặt -Cách 1 : -Download 2 gói cài đặt về : libipg.3.gz và iptables- dev_1.3.8.0debian11ubuntu2.i386 theo đường link ờ bên trên -Nhấn 2 lần vào gói cài đặt, chương trình sẽ tự động cài... lệnh : #sudo apt-get install iptables # chương trình sẽ tự động cài đặt những gói tin cần thiết cho iptables - 30 - Khởi động iptables : -Khởi động : #sudo /etc/init.d /iptables start -Tắt : #sudo /etc/init.d /iptables stop -Khởi động lại : #sudo /etc/init.d /iptables restart -Lưu cấu hình : 1 : #sudo iptables- save > /etc /iptables. rules # lưu iptables ra thành 1 tập tin tên : iptables. rules 2 : Mở tập tin... thị thông tin IP -Cấu hình #sudo iptables flush #sudo iptables table nat flush #sudo iptables delete-chain #sudo iptables table nat delete-chain #sudo iptables table nat append POSTROUTING out-interface eth0 -j MASQUERADE #sudo iptables append FORWARD in-interface eth1 -j ACCEPT Bảng 3.2 Cấu hình NAT trên Iptables Sau khi nhập xong các dòng trên Mở tập tin /etc/sysctl.conf và chỉnh lại dòng... /etc/network/interfaces và thêm vào 2 dòng sau : pre-up iptables- restore < /etc /iptables. rules post-down iptables- restore < /etc /iptables. downrules Bảng 3.1 : Câu lệnh để lưu Iptables -Mô tả: -Tất cả các máy tính trong mạng sẽ đi ra internet thông qua tường lửa Iptables Iptables ở đây có chứng năng lọc các gói dữ liệu đi ra và vô trong hệ thống mạng Nhằm mục đích hạn chế những đợt tấn công từ phía bên ngoài vào trong... limit 5/min –j LOG –log-prefix iptables denied: “ –log-level 7 Cứ 5 phút sẽ ghi lại tất cả những thông tin mà bị từ chối bởi iptables Hiển thị những câu lệnh đã cấu hình trên iptables #sudo iptables –L Hình 2.1 Câu lệnh được lưu trong Iptables 2.1.9 Gói phần mềm cần cài đặt : - 22 - 1 : libipg.3.gz  http://manpages.ubuntu.com/manpages.gz/hardy/man3/libipq.3.gz 2 :iptables- dev_1.3.8.0debian1-1ubuntu2.i386... squid restart - Khởi động squid: # /etc/init.d /squid start Trên Ubuntu: - Tắt squid: # /etc/init.d /squid stop -Tái khởi động squid: # /etc/init.d /squid restart Chú ý: Squi khởi động không được nếu anh/chị không đưa tên của máy chủ trong khi cấu hình squid: visible_hostname server: tên của máy cài squid Đặc tính : Thông qua Squid người quản trị dễ dàng quản lý hệ thống mạng của mình thông qua việc tạo... Định nghĩa Thu thập thông tin từ Squid proxy và xuất ra báo cáo về việc truy cập mạng của các máy tính con trong mạng 2.4.2 Một vài lựa chọn thường gặp trên Sarg Tùy Mục đích chọn -a Tên máy và IP -d Xuất dữ liệu từ ngày nào đến ngày nào -e Email để gửi báo cáo -f Tập tin cấu hình (/etc/sarg/sarg.conf) - 26 - -g Định dạng ngày tháng năm -h Trợ giúp -i User và IP -l Ghi vào log -n Phân giải địa chỉ IP... Ưu điểm và khuyết điểm * Ưu điểm - 27 - Giao diện thân thiện, dễ sử dụng, không cần dùng những giao diện dòng lệnh như MRTG Báo cáo đơn giản, rõ ràng và dể hiểu Tương thích tốt với Router Cisco và hệ điều hành Windows * Khuyết điểm Một vài thiết bị không có sẳn những templates để lấy những thông tin cấu hình về CPU, RAM và Card Mạng chẳng hạn như D-LINK, LINK-PRO… - 28 - CHƯƠNG 3 :THỰC NGHIỆM VÀ TRIỂN... net.ipv4.ip_forward=1 - 32 - 3.2.1.2 Hướng dẫn chặn port và dịch vụ trên iptables Giới hạn icmp từ bên ngoài: #iptables -N icmp_rules # iptables -A icmp_rules -m limit limit-burst 5 limit 2/m -j RETURN # iptables -A icmp_rules -j DROP # iptables -A INPUT -i eth0 -p icmp icmp-type echo-request -j icmp_rules Client (10.1.1.2) ping tới máy chủ iptables: ping 10.1.1.10 –t Hình 3.3 Kiểm tra lại cách chặn gói icmp Chỉ . - 5 - MÔ HÌNH Hình 1.1 Mô hình mạng hiện tại 9 Hình 2.1 Câu lệnh được lưu trong Iptables 21 Hình 3.1 Mô Hình Mạng 28 Hình 3.2 Mô hình mạng Iptables 29 Hình 3.3 Kiểm tra lại. Hình 3.45 Màn hình đăng nhập 71 Hình 3.46 Màn hình yêu cầu đổi mật khẩu 71 Hình 3.47 Màn hình giao diện của Cacti 72 Hình 3.48 đặt giao thức SNMP trên modem ADSL D-LINK 73 Hình 3.49 Màn hình. hạn 37 Hình 3.10 Mô hình mạng dùng Nessus 37 Hình 3.11 Tạo user trên nessus 40 Hình 3.12 Màn hình đăng nhập 41 Hình 3.13 Chọn dịch vụ muốn quét 42 Hình 3.14 Chọn dãy IP muốn quét 43 Hình 3.15