Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp

Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp

L@I NOIDA

Trong công culic đi mBi khơng ngữlng cđa khoa

thuRit công nghữ, nhiBu lĩnh vữc đã và đang phát trin vt đfic biflt là lĩnh viic Cơng nghđ thơng tin Thành cơng liin nhiït có thữ kữ đữn là s@ ra đi cđa chiflc máy tính Máy tính đc coi là mfit ph8ing tin trữ giúp ]Œc cho con nglữi trong nhiu công vific đc biữt là công tác quBn lý Miững máy tính đữlBc hình thành tB nhu c?u muBn chia sữi tài nguyên và dùng chung nguữn đ8 li8u Máy tính cá nhân là cơng cđ tuyBt vữi giúp to dRl li8u, b@ng tinh, hinh Binh, va nhi@lu dữing thông tin khác nhau, những không cho phép chia sữ1 dữ liu bữn đã to nên Niữu không có hữ thững mững, dữ li8u phữi dBc in ra gifly thì ngữiBi khác m8Bi có thữl hifu chữinh và sữi diing đ8lfic hofilc chữl có thữl sao chép lên đĩa mm do đó tữìn nhi@u thi gian va cong slic

Khi ng8Bi làm vifc đ mơi tr8lng đc lữp mà nỉ máy tính cđa mình vi máy tính ca nhi3u ngữi khác, thì ta có thí sữ dữing trên các máy tính khác và c máy in Mững máy tính đữđc các tữ chíc sữ dữIng chữ yl3u đñ1 chia sữ, dùng chung tài nguyên và cho phép giao trfc tuyfn bao gữìm gli và nhữn thông đifp hay thữ điữn t3, giao dfich, buôn bán trên mflng, tìm kim thơng tin trên miầng Những khi chia sÍ? tài nguyên trên m@ng thi ph@i d@ c@lp điần đi bữlo mftt cña các tài nguyên cñn chia sữ tránh những kữ xâm nhữp bât hp pháp truy cflp vào hf1 thững cña chúng ta, điu này nfly sinh ra những chữfng trình,

phđn cflng hay phiần miầm hñl trữ đữ1 quữn lý và kiflm soát các

tài nguyên ra, vào hf1 thilng, các phữin mflm hi trữ thông th8lng

nh@ ISA 2004, ISA 2006, COMODO Firewall, iptables, TCP

Wrappers chting cé cling chung mt xu hing dé 1a bBo va va quữn lý hñữ thững mfing bên trong ca chúng ta trữiic những tin

truy clip bflt hp pháp Đi8u nR\y thúc đ8y em tìm hi8u đã tai nay

Lý do chữn đñi tài : Trước khi triển khai một hệ thống mạng thì điều quan trọng nhất là khâu thiết kế hệ thống mang, lam thé nào để hệ thống của chúng ta vận hành mBit các trữin tru và hiữiu qufi,

những bên cfinh đó ta khơng thổi khơng tfl đfit câu hi cho chính mình là hữl thững mững cữla chúng ta đã vữIn hành trữn tru ri những có đi đf an tồn và bữlo mfit hay chữa? điu này không quan trững 12m d@i v@i những doanh nghiữp nhữ những rữit quan trững đổi vũi các doanh nghiữjp lữn, các ti chữic mang tìm c1 qulc gia bi những thơng tin cđa hữl rt nhy cm nên 48 đím bo đổi an toàn cho hf thing mfing ching ta cần phiẦli thiđt lilp những chính sách quữn trí phù hp, điØu này đã thôi thúc em nghiên cu và tìm tòi các Ang dfing phữin cđng, phần

mm FIREWALL tđữing thích trên các hữl điØu hành phổi bin hifn nay nhữi Windows, Linux

Trong phữn này em nghiên cu chữ yflu các ng dững trên Iptables cila Linux, t@lo ra các chính sách đữi quữn trữ hữl thing mñững dữla trên iptables và quữn lý các dữ liu ra vào hữ thững,

điìm bo hñ thững đc b8o vũ 3 mfc tRi đa có thữ Em si

dững iptables trên hữ điiu hành Linux Centos version 5.8

tai: DH tai gam cé 3 ching

: Tñng quan vữ mững máy tính va bZ@o mit ming

Tổng quan vê hệ thống mạng và phân tích các nguy cữ đe dl hñl thững mfing và hflfing gii quyfit, các phổing pháp đổi phịng thư hđ thững mữing

Chđững II : Tưồng quan vũ Firewall và Iptables

Giữi thiu vữ các vn đi cữ biần cñla Firewall, phân loBli Firewall, các kiữin trúc cữ bữin cia Firewall và cữ chữ làm viBic

TÀI LIU THAM KHBO Tiững VifIt

[1] Phữm Hồng Dũng, Linux tđ hBc trong 24 giØ, NXB Thững Kê, 2005

[2] Nguyän Thúc Hồi, Miing máy tính và cdc hB thing mB, NXB

Giáo dc, 1999

[3] Nguy@n Ph@@ing Lan, Hoang Giáo Dữc, 2001

Hồi, Lữp trình LINUX, NXB

[4] Nguyfn Hữing Thái, Cài đít và cầu hình Iptables, TP H1 Chí Minh

[5] Trữn Nhữt Huy- Hoàng Hai Nguyên - Ngơ Trí Hùng

Nam,Tđng bfifc làm quen viii Iptables, TP Hữl Chí Minh,

12/2006

ca chúng

Chữững HH : Triữn khai h2 thững Firewall trén Iptables cho

miầng cđa cơng ty TNHH Vflưn Cao Đà Nũing, Ngày 26 tháng 4 năm 2013

Trifn khai và cflu hình hữl thữlng Firewall Sinh viên thiïc hifIn

Võ Văn Vũng

G QUAN Vil MEING MAY TINH VA B&O M2IT MEING

1.1 GIGI THIGU MENG MAY TINH VA MO HINH MENG

1.1.1 Giới thiệu về mạng máy tính 1.1.1.1 Mạng máy tính là gì?

Miing máy tính là tiip hp các máy tính kfit nữi vii nhau bBli đữlững truyữn vũit lý theo mữit cu trúc nào đó đữi đáp [ng các yêu cu

i ding 1.1.1.2 Vai trò của mạng máy tính ?

- _ Khi năng sñl dững chung tài nguyên - Tang d@ tin cHly cla hf thing

- Nang cao ch@t 18@ing va hi@u qu® khai thdc théng tin

trong ming

© Dap Gng nhGing nhu cu ca hO thing Qng ding kinh doanh hiữIn đãi

e _ Cung cñp sỡ thữïng nh@it giữia các dữ liiu 1.1.2 M6 hình mạng máy tính

1.1.2.1 Mơ hình khách- chủ (Client- Server)

Các máy trạm được nói với các máy chủ, nhận quyền truy nhập

mạng và tài nguyên mạng từ các máy chủ Đối với Windows NT các

máy được tổ chức thành các miền (domain) An ninh trén các domain

được quản lý bởi một số máy chủ đặc biệt gọi là domain controller

KT LUBN 1 Những gì đã đạt được

Đñ tài đã đi sâu phân tích làm rõ những nét tñng quan vữ hệ thống tưởng lửa cũng như triển khai một hệ thống tưởng lửa

được ứng dụng mạnh và miên phí hiên nay là iptables

2 Những phần chưa đạt

DB tai con rBit nhi3u những th sót Chí3

giá và gii thích nguyên tĩic hoflt đĩng cđl thí1 cđa Firewall Phđn lý thuyBt ting quát chữi chữ sữ IBic tóm tt chữi chữa đi sâu nghiên cñiu kĩ lướng vẫn đñi Phữn thữi nghiữm chạy trên máy

ao thì đã thành cơng nhưng chưa áp dụng trên thực tế

đi sâu đánh

3 Hướng mở rộng,

- Khai thác và phối hợp các luật cua iptables để bao vệ

mạng

- Tích hợp hệ thống Snort vào trong hệ thống ~ Triển khai cho một mơ hình cơng ty cụ thể

‘NIC

PC Etho Eth1 LAN cw

Firewall 1 192.168.120 Ï172.16.0.10 192.168.1.1/24] Firewall 2 172.16.0.20 [10.0.0.10 172.16.0.10/16)

‘DMZ 172.16.0.30 172.16.0.10/16)

‘May Client 10.0.0.20 10.0.0.10/8

III.3.3 Các bước triển khai

111,3.3.1 Lắp đặt các thiết bị theo sơ đồ logic

111.3.3.2 Cau hinh trén mdy Firewall 2 111.3.3.3 Cau hinh trén mdy Firewall 1 THỊ.3.3.4 Cài đặt và cấu hình vùng DMZ

-_ Cài đữt và hình Webs - Cai d@it va clu hinh FTPs

IIL3.3.5 Thiết kế các chính sách cho 2 firewall dành cho công

ty Vain Cao

Thiữit lip các chính sách đữa vào mơ hình mững giai pháp áp dụng cho công ty

+ Cho phép vùng Internal truy cfp Internet + Cho phép ving Internal truy c@lp DMZ

+ Cho phép ngữØi dùng bên ngoài truy cữip DMZ với các

cổng dich vụ được hố trợ nhữl 80,443,53,21,25

+ CPim vùng Internal truy cđip điữn các web khơng lành mạnh

+ Chữn các c

t@in cơng tí bên ngoài vào nhữi DOS

1.3.4 Một số hình ảnh minh họa

Hình 1.1 Mơ hình Client — Server

1.1.2.2 M6 hinh mang ngang hang (Peer- to- Peer) 1.2 CAC PHUONG PHAP TAN CONG MANG

1.2.1 Main in the middle attack

Đây là một kỹ thuật tấn công cổ điển nhưng vẫn được sử dụng cho đến ngày hôm nay, kiểu tắn công này thường dùng cho mạng không dây như giả mạo ARP, DNS, chiếm quyền điều khiển Sestion, đánh cắp Cookies bằng Hamster và Ferret

Mac: pene Rhee a)

10003 —.ỏ

Hinh 1.3 M6 hinh ARP- spoofing

Kiểu tắn công này thường được sử dụng nhất là kiểu giả mạo ARP, hiểu được cách tấn công giả mạo này thì cũng phần nào hình

dung được hình thức phương thức tấn công này.Việc sử dụng kỹ thuật encryption và authentication để nâng cấp việc bảo mật dữ liệu nhưng hackers vẫn cịn có thể thâm nhập vào hệ thống của bạn dựa vào sự hoạt động của các giao thức Hackers sử dụng một thiết bị khơng có thật giữa người dùng cuối và mạng không dây Hackers sử

dụng những tools để có thể tìm ra những gói tin arp và có thẻ điều khiển mạng của bạn

1.2.2 Tan cong DoS

công DoS là kiu tin công mà ngđ1đi mà ngđiBi tIn cơng làm cho hữl thững niìn nhân không thữ sữ dững hoc làm cho hữ thững đó bñi chữm đi m@t cach dang k® so vBi ng@Bi sB ding binh th@Bing bling cach lam qua ti tai nguyén cia hB thiđng Nữu kĐ] tìn cơng khơng có khii năng xâm nhữjp vào hi thững thì chúng cđl gìng làm cho hi thững bñl silp đi và khơng có khfi năng phc vĩ ngizli dùng bình thữing thì đó gữi là tiần công Denial of Service

1.2.2.1 Cac mic đích cđa tìn cơng DoS

Cũ gữìng chiữm băng thông mfïng và làm hñ thững mững bữi ng@p lft

- 10.0.0.x/8 Lớp mạng nội bộ bên trong - internal

III.3.2 Các chương trình và thiết bi cân thiết cho giai pháp

Tuy là xây dựng sơ đô hệ thống mới nhưng chúng ta vẫn

tan dụng triệt để những thiết bi cua hê thống cũ mà vấn đáp ứng

tốt được u câu, với mơ hình mới thì cơng ty chỉ cân mua thêm

các thiết bi sau :

- 2 máy tính, mối máy có 2 card mạng lân lượt đóng vai trò là firewall 1 và firewall 2

~ Hệ điêu hành Linux (Centos 5.8)

Để tiến hành triển khai giai pháp trên ta sẽ demo mơ hình trên

nên tang máy ao, khi đó ta cân chuẩn bi những thiết bi sau : - 3 máy cài h1 đifiu hành Linux Centos trong đó có:

+ 1 máy đóng vai trị là firewall 1 có 2 card mạng là eth0 và eth1

+ 1 máy đóng vài trị là firewall 2 có 2 card mạng cũng là eth0 và eth1

+ 1 máy đóng vai trò FTPs và WEBs có 1 NIC eth0

- Các máy Client được đặt dia chi ip thuộc lớp internal để tiến hành kiểm tra sự thực thi cua luật

Bang phân chia đia chỉ IP cho các NIC theo mơ hình

III2.2 Dé xuất giai pháp

Xây dựng hệ thống Firewall 2 lớp theo mơ hình dé xuất đề

xuất có khả năng khắc phục được hầu hết các nhược dié của mơ hình hiện tại của cơng ty Mơ hình có nhiều ưu điểm và có

tính khả thi cao vì đáp ứng được các vần đề cáp thiết, oan toàn, bảo mật, chỉ phí thấp

III.3 TRIBN KHAI Hữ THữNG FIREWALL TRÊN IPTABLES CHO MENG CBA CONG TY TNHH VEEN CAO

II.3.1 Sơ đô logic khi áp dụng giải pháp

TITSBMIE OW: TIGA

Hình 3.2 - Sơ đơ logic hệ thống mạng ứng dụng firewall - 192.168.1.x/24

internet

- 172.16.0.x/16 Lop mang ving DMZ Lớp mạng nối ra ngoài

Cđl gữìng ngữit kflt nữi gia 2 máy và ngăn chữin truy cữp vào d@ich va

Ngăn chữin ng@i@i dùng truy cflp mBlt dfich vfl cữi thổi và du hi8u tìn công DoS thữlng nhữn thấy là tt mững, t chức khơng hoRit đững, tài chính bữl mỗi

1.2.2.2 Mic tiêu mà kì tầìn cơng thữlflng sữì đồng tữìn cơng DoS' 1.2.3 Tấn công DDoS

2.3.1 Các đặc tính của tắn cơng DDoS

1.2.3.2 Tắn công DDoS không thể ngăn chặn hoàn toàn

1.3 CAC KỸ THUAT TAN CÔNG MẠNG PHÓ BIẾN

1.3.1 Nghe lén (sniffing)

Theo đúng như tên gọi, kỹ thuật này không tấn công trực diện vào các máy người dùng (client) hay máy chủ (server), mà nó nhằm vào khơng gian truyền dữ liệu giữa các máy Sniffng là kỹ thuật

được các quản trị viên dùng theo dõi, chuẩn đoán, phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng Tuy nhiên, kỹ thuật

này về sau bị biến tướng trở thành công cụ đắc lực phục vụ mục đích thu thập trái phép các thông tin nhạy cảm tên tài khoản mật khẩu, credit card, của người dùng khi luân chuyển trên mạng

1.3.2 Quét thim dé ( Scanning)

Phần lớn thông tin quan trọng từ server có được từ bước này

Xác định hệ điều hành, xác định hệ thống có đang chạy khơng, tìm

hiểu các dịch vụ đang chạy hay đang lắng nghe, tìm hiểu các lỗ hồng,

kiểm tra các công, xác định các dịch vụ sử dụng giao thức TCP và

UDP Những thông tin này sẽ giúp cho hacker có kế hoạch tấn công

hợp lý, cũng như việc chọn kỹ thuật tắn công nào Quét giúp định vị hệ thống còn hoạt động trên mạng hay khơng Một hacker chân chính

sử dụng cách này đề tìm kiếm thơng tin của hệ thống đích 1.3.3 Social Engineering

1.3.4 Reverse engineering

1.3.5 Tấn công tràn bộ đệm (Buffer Overflow) 1.3.6 Tấn công bằng cách cài worm,virus và trojan

1.3.6.1 Virus máy tính 1.3.6.2 Worm 1.3.6.3 Trojan Horse

1.4 PHONG THU MANG

Hầu hết trên thế giới hiện nay đều nghiên cứu kỹ lưỡng từng kỹ thuật tấn cơng và tìm kiếm nhược điểm nhằm mục đích vơ hiệu hóa phương thức tấn cơng đó Cơng cụ để triển khai phịng thủ khơng

khác gì ngồi những hệ thống được dựng lên với những chính sách

và luật riêng như tường lửa, hệ thống xác thực, mã hóa, phân quyền, những bản vá lỗi lỗ hồng bảo mật, IDS,honeynet,honeysport

Người quản trị phải luôn cập nhật mới kiến thức và thường xun thử

đóng vai trị người tắn cơng vào chính hệ thống của mình từ đó xây

dựng các phương án phòng thủ phù hợp

III.2 HIZN TRANG MENG C&A CTY VAIN CAO DANG Sil DENG

III.2.1 Hién trạng bi tấn cơng

Trong q trình hoflt đững cữla công ty mà bñữl phn kB thuñt ghi nhữin đữifc thì có tìng cữing 4 cufic tữìn cơng DDoS vào hai máy FTP server và WEB server công ty trong 6 tháng đu năm 2013 nhi8u hữn giữp 2 ln cùng kỳ năm trifc và tình tì chung là nhân viên không th truy cp vào 2 trang nay

Email cña giám đc và ki toán trữi”ng bữ xem tri1m, mBt vữn đữ rữt nhñy cm và cữn có những phđlữing án cữip bách đữi ngăn chữn tinh trững này xũy ra mũi lữn nữa tr8iØc khi tìm

phim

Cơng vific làm ăn cBia céng ty thufin IBi va ngay cang mB rững, yêu cñu bây giữ là phđii xây di2ng mđit mơ hình cơng ty phù hp vii tình hình mBi trong dé cf sB hi t@ng hO thững mững ca công ty phi đm bo đđữc tính mữi.Trong thữii gian ti3i đây công ty tin hành public các server ra ngoài internet, xây dữing website hoàn chữnh nhữm quững bá hình nh cđa công ty đ3 phi h@p v@i xu th®@ phát tri8n cđa thữ trữlng Ngồi vific xây đững mBt hñ thững mững mang tính oan tồn, bữlo mBt thì phđi đáp ng đữZc tính sàng khi hữ thững mững đòi hữli cin nâng clip cũng nhữ triữZn khai các chính sách cl2a cơng ty ngay trên đó

Những thông tỉn trên là hôi chuông canh báo cân có những thay

đổi và phai xây dựng lại một hệ thống mạng phù hợp hơn khắc

phục được những điểm yếu cua hệ thống mạng hiện tại cua công

ty và phai đáp ứng được những yêu câu an toàn đặt ra cũng như

phù hợp với việc quan lý sau này

CHONG IIT

TRIN KHAI Hữ THữNG FIREWALL TREN IPTABLES CHO MENG CÔNG TY TNHH VPIIN CAO

III.1 GI8I THI8U Hữ THữNG MữING CONG TY TNHH VERN CAO

TIL1.1 Sơ đồ logic hệ thống mạng hiện tại công ty đang áp dụng munis = amuses

GW/BSI GWISHRI

man Gg ot

Web Shrver_ FTP Server ⁄

Phun `4 Cc = Router =.3 ADSL om v Gog me A ` 19216812-938 mmm imple "3 “KẾ Toán x ae Se ——^¬ - F wre “ tag ý

Hình 3.1 - Sơ đô logic hê thống mạng đang áp dụng HI.1.2 Phân tích sữ đã hữ thững

- Mơ hình mạng mà công ty đang áp dụng là mạng ngang hàng

- Ving DMZ nim chung lép mang véi ving Inside

- Héthéng hau nhu không được bảo vệ và phản ứng yếu ớt khi bị tấn công

1.4.1 Các nguyên tắc cơ bản của cơng tác phịng thủ mạng

1.4.1.1 Nguyên tắc chính thể

1.4.1.2 Nguyên tắc quy phạm 4.1.3 Nguyên tắc độ thích ứng

14.1.4 Nguyên tắc đồng bộ

1.4.2 Danh gia nguy cf hf thing ming

1.4.3 Một số ký thuât phòng thư

1.4.3.1 Anti DDoS 1.4.3.2 Anti ARP- snoofing 1.4.3.3 Anti SSL (man- in- the- middle)

TUNG QUAN Vel FIREWALL VA IPTABLES G QUAN Vi FIREWALL

H.1

TI.1.1 Firewall là gì? TH.1.1.1 khái niệm Firewall

Trong công nghĩ mững thông tin, Firewall là mũt kữ thuBt được tích vào hđ thững mững đũ chững sữ truy cfip trái phép, nhữm bflo vi các nguữn thông tin nữi bBl và hữn chữ s1 xâm nhiÄp không mong muin vào hf thững Cũng có thi hi8u Firewall là mữit cữ chữl (mechanism) đñ bo vữ m@ing tin t@@ng (Trusted network) khfli các miing không tin tưởng (Untrusted

network)

Thông thưởng Firewall được đt giña mữing bên trong (Intranet) mfBt công ty, tữl chữc, ngành hay mfit qulc gia, và Internet Vai trò chính là bữlo mữit thơng tin, ngăn chữn sữ truy

nhiữlp khéng mong muffin tũÌ bên ngoài (Internet) và cm truy

nhữp tñi bên trong (Intranet) tñi mũi sữl đa chữ nhBt d@nh trén

Internet

Nhảy thêm một chuỗi targer nào đó khi

~j <target> MA cu

gói dữ liệu phù hợp quy luật hiện tại

~1<chain> Insert thém rule vao đâu chain

Nổi thêm một quy luật nào dé vao cudi - A <chain> -

chain

F Xóa hết tất cả mọi quy luật trong bảng đã

chọn

Phù hợp với giao thức (protocols), thông ~p <protocol- type> | thường là các giao thức như icmp, tep,

udp và all

-s <ip_address> Source dé chi ip nguôn

- d <ip_address> Destination dé chi ip dich

Phù hợp điêu kiện INPUT khi gói dữ liệu đi vào Firewall

- i <interface- name>

Phù hợp điêu kiện OUTPUT khi gói dữ

~ 0 <interface- name>

liệu đi ra khỏi Firewall

Bảng 2.3 Các tham số chuyên mạch quan trọng của iptables 1.2.2.6 Những module kernel cần thiết

1.2.2.7 lưu cẫu hình script cho iptables 1.2.2.8 Khắc phục sự cố trên ipfables

Nat Inbound

Hinh 2.6 Qua trinh lic

- Jumps: La cf chfl chuyfin mt packet din mBt target nao

d6 dQ xB ly thém mf sf thao tac khác

- Target: La cf chữ hoilt đữing trong iptables, dung d@ nh@in difin và kim tra packet Các target đí8ữc xây dững siần trong iptables nh@ : MASQUERADE, SNAT, DNAT, REJECT, LOG,

DROP, ACCEPT

1.2.2.5 Các tham số chuyển mach quan trong cia iptables

Lénh switching Y Nghia quan trong

Nêu bạn không chỉ rõ là tables nào, thì

- t <table> filter tables sẽ được áp dụng Có 3 loại

table la filter, nat, mangle

Hình 2.1 Mơ hình mạng sử dụng tưởng lửa 1I.1.1.1 Firewall làm đc những gì?

11.1.1.3 Firewall khơng làm đc những gì? 1I.1.1.4 Nguyên lý hoñlt dling cla Firewall

Khi nói đần vifc lu thơng dđ1l li8u giữla các mfữing vi nhau thông qua Firewall thì điđu đó có nghĩa riing Firewall hofit đững chữit chữ viii giao th@c TCP/IP Vi giao thfic nay lam vific theo thuf@t toan chia nh@ cac d@ lifu nhfin ic t@ cac Bing đfing trên mfïing, hay nói chính xác hfln 1a cac dflch vB chữy trên các giao thílc (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữi li@u (data pakets) r@i gán cho các paket này những đa chữ đữi có thữi nhữn diïng, tái lp li Ei đích ciin giải đn, do đó các loii Firewall cing lién quan rit nhiØu đữn các Packet và những con si đữa chữ cña chúng

BG lfc gói cho phép hay tì chi mi Packet mà nó nhữn đc Nó kim tra toàn bữ đoữn dữ liñu d@ quyft d@nh xem đofữin dữi li8u đó có thoi mãn mfit trong sf1 các lufit lữ gói hay không Các luữit I8 lic gói này là dfla trên các thông tin 0

d@u mi Packet (Packet Header ), ding d@ cho phép truyBin cac

Packet đó trên mữïng Đó là :

« D@ach@ IP ni xufit phat (IP Source address) + DBach® IP n@i nhBn (IP Destination address)

+ Nh@ng th@ tc truyfin tin (TCP, UDP, ICMP, IP tunnel)

« C@ng TCP/UDP nf@i xuft phat (TCP/UDP source port) « C@ng TCP/UDP nữi nhữn (TCP/UDP destination port) + D&ng théng bao ICMP (ICMP message type) « Giao diữn Packet dfn (Incomming interface of

Packet)

+ Giao difin Packet di (Outcomming interface of Packet)

Nữu luữt lữ lc gói đc tho man thi Packet d@ific chuyfn qua Firewall Nu không Packet sữi b bữ đi Nhữ vây

mà Firewall có thữl ngăn cữn đc các kữit ni vào các máy chữ hoc mững nào đó đữlđic xác đữinh, hofic khóa viflc truy cip vào h1 thững mữing bñi tữ những đa chữ không cho phép

11.1.1.5 Phân tích cu trúc cđa gói ip

1.1.1.6 Chức năng cua Firewall

- Tưởng lửa quyết đỉnh những người nào, những dich vụ nào

tử bên trong được phép truy cập ra bên ngoài và ca những dich vụ tử bên ngoài nào được phép truy cập vào bên trong

- _ Triển khai giám sát các sự kiên an ninh mạng : hê thống

canh báo, IDS và IPS có thể triển khai hệ thống tưởng lửa

- _ Triển khai một vài chức năng trên nên tưởng lửa : NAT, thống kê, logs

+Fredora + Ubuntu + Arch Linux Distros + Open SUSE + CentOS + Debyan GNU

11.2.2 Tống quan về IPTables 11.2.2.1 Iptables la gì ?

Iptableslà mữt chBGng trình chữy khơng gian ngQBi dùng, cho phép ngBBi quữn trữ hữ thững có th cu hình các bững ca tBữing la trong nhân Linux (đữiBc cài đit trong các

mô đun Netfilter khác nhau) và lu trữ các chuBii, luiit

Iptables yêu cBlu quy@n cao cfp trong hữi thững đñi hofit đững và phBi đc ngñ3i dùng root thữc thi, nu không mBit sữ] chữic năng cđa chững trình chéng hofit dling

1.2.2.2 Nguyén tic trién khai Firewall iptables

[¥ trong iptables

gói d3 li8u đi đc kiflm tra b@i Iptables bling cach ding tufin tl x4u ig sin (queues) Có 3 lofli bElng là:

~ Mangle: Chu trách nhim thay đi các bits chữlt lElng d@ch v@ trong TCP header nh® TOS (type of service), TTL (time to live) va MARK

- Filter: Ch@u trach nhiflm Ific các gói dí1 liu Nó giẦìm có 3

quy tc nhữl (chain)

+ Forwoard chain: Llc géi khi đi đfln server khác + Input chain: Ltc gói ki đi vào trong server + Output chain: LữIc gói khi đi ra khili server ~ Nat: Gm có 2 loi Nat ta tÌ

ing g@i 1a Nat Outbound và

Hinh 2.5 Sf d@ ki@in tric Screened Subnet Host 11.1.5.3.b Danh gid

II.2 TENG QUAN VB LINUX VA IPTABLES

11.2.1 Téng quan vé Linux

1.2.1.1 Qué trinh hinh thanh linux

1.2.1.2 Các phiên bản hiện nay

Linux là mt trong những hữl đi8u hành mfữnh nhữtt và nhanh nhữlt hiữn nay, vữi sữi ling ngữlñi dùng không ngững tang cao Linux đílc đánh giá là nhữình hiữn hữ điu hành window vi tlc df giá thành Linux cung cElp cho ng3Bi dùng

tính năng và hifu qu@ cao, tle d@ xf lý nhanh, chỉ phí bđ ra

dfing nhí khơng có tfic là nó hồn tồn mifin phi HB difu hanh Linux tht s@ dang tin cBy, b@o mBt an ninh khá tñi, giao difin tuy bin, thich h@p cho cac doanh nghifip

Có hàng chflc céc phién b@in Linux dc cung cHip mi@in phi nh :

- Dé tudng lửa làm việc hiệu qua, tất ca trao đổi thông tin từ

trong ra ngoài và ngược lại đêu phai thực hiên thông qua tưởng lửa

1L1.1.7 Ưu nhược điểm khi dùng Firewall

1.1.1 Phân loBi

- Packet Flitering: là hf thững Firewall cho phép chuyữln thông tin giữa hữi thữing trong và ngoài mfïng có kim sốt

irewall

- Application- proxy Firewall: 1a h@ th@ing Firewall thữlc hiữIn Bi trữc tiip tì máy khách yêu cồu

các

1I.1.2.1 Packet flitering

- Ki8u Firewall chung nhñtt là kilu đa trên mñing cña mé hinh OSI Firewall m@c mững thững hoflt đững theo nguyên tc cEla Firewall hay còn đc gBi là Router/Firewall, có nghĩa là tữlo ra các luit cho phép quyln truy cữp mữing đữa trên mc mfđing Mơ hình này hofit đữìng theo ngun tídc Ic gói tin (Packet Flitering)

1I.1.2.2 Application- proxy Firewall

- Ki®u Firewall nay hofit d@ing d@a trén phn mm khi mat kit ni tA mBt ngABi ding nao dé dfn mBng sB dng Firewall kiQu nay thi k@t n@i d6 s@ b@ ch@in 1Gi, sau d6 Firewall s@ kim tra các tr8llng có liên quan cđa gói tin yêu cu kRit ni N8u vile kim tra thành cơng, có nghĩa là các trữ8ầng thông tin đáp Eng d@Gc cac luBt da dt ra trén Firewall thi Firewall t@o ra mBt cai c@u k@t n@i gia 2 node vii nhau

11.1.3 Cac th® hf Firewall thang ding

1.1.3.1 Firewall Ic géi tin

Tfifing la lfc gói tin : cong nghB tng IBa th hñ đu tiên

phân tích l8u 1@@ng m@ng @ tng vn chuyfin (transport

protocol layer)

1L.1,3.2 Firewall miéc giao van (Circuit Level Firewall) 1L1.3.3 Firewall mfic Ging dling

1.1.3.4 Firewall lic gói tin ding

11.1.4 M@t si phn mim Firewall théng ding

1.1.4.1 Packet filtering

Ki8u lc gói tin này có th đc thữc hiØn mà khơng cđn tlo mft Firewall hồn chữlnh, có rữlt nhiữlu các cơng cđl trữ giúp

cho vific lic gói tin trên Internet (kfl c phổi mua hay d@Gc miữn phí ) Sau day ta cé th lift kê mfÑtt sữl tin ích nh@ vey: 1IL1.4.2 TCP.wrappers

1.1.4.3 Netgate

1I.1.4.4 Internet packet filter

1.1.4.5 Application- proxy Firewall

11.1.5 Các kiến trúc cưa Firewall

1.1.5.1 Dual homed host 1I.1.5.1.a Mơ hình

Hình 2.3 S@ d@ ki@n tric Dual - Homed Host

1L.1.5.1.b danh gia vB kifin tric Dual homed host

1.1.5.2 Screened host TL1.5.2.a M6 hinh Internet/Intranet và Bastion Host Hinh 2.4 11.1.5.2.b Đánh giá

kifln trúc Screened Host 1I.1.5.3 Screened subnet host

II.1.5.3.a Mô hình