TRƯNG ĐI HC BCH KHOA H NI VIỆN CÔNG NGHỆ THÔNG TIN V TRUYỀN THÔNG B MÔN CÔNG NGHỆ PHN MỀM BO CO BI TẬP LỚN AN TON THÔNG TIN V HỆ THỐNG Đề tài : Giảng viên hướng dẫn: Ths. Đỗ Văn Uy Sinh viên thực hiện: 1. Nguyễn Văn Công- 20010330 2. Đinh Văn Đông - 20080695 3. Nguyễn Bá Trung - 20083535 4. Phạm Hồng Thành - 20082406 5. Lê Đức Vương -20083213 Lớp: Công nghệ phần mềm K53 Hà Nội, 04/2012 1 MỤC LỤC Contents CHƯƠNG 1: TƯNG LỬA V CC B LC GÓI TIN 1. Tường lửa và bộ lọc gói tin 1.1. Tường lửa là gì? Nhiều người nghĩ rằng tường lửa hoàn toàn là thiết bị phần cứng.Khi mọi người nghĩ về việc mua và cài đặt tường lửa,họ cứ nghĩ rằng có một hộp ma thuật màu đen được gắn tại điểm truy cập mạng của họ,nhằm chống đỡ tin tặc và các kẻ xấu khác.Trên thực tế,tường lửa lại là một chương trình phần mềm để kiểm tra lưu lượng mạng hoặc các gói tin qua một giao diện mạng.Bởi vì tường lửa sẽ vô dụng nếu như không có giao diện phần cứng bảo vệ.Phần mềm tường lửa thường đi kèm và cài đặt sẵn với thiết bị phần cứng được thiết kế đặc biệt.Qua chương 2 này,chúng ta sẽ biết cách phân biệt được các thiết bị phần cứng và phần mềm tường lửa đi kèm với chúng. Bây giờ chúng ta hãy xem tường lửa là gì?Một thiết bị tưởng lửa là một thiết bị mạng mà phân cách hai hoặc nhiều mạng và có phần mềm tường lửa đang chạy trên ít nhất một giao diện mạng.Thiết bị sử dụng phần mềm tường lửa sẽ xác định các luồng nào sẽ được lưu chuyển giữa các mạng.Đó là phần mềm tường lửa và các nguyên tắc cơ bản được liên quan của nó mà làm cho thiết bị thực hiện các chức năng phổ biến của tường lửa.Nếu không có phần mềm,thiết bị tường lửa chỉ là một bộ định tuyến đơn giản ,một gateway,hay chỉ là một nơi giao nhận gói tin. Như vậy phần mềm tường lửa là bất kỳ phần mềm nào mà kiểm tra giao thong qua lại của một giao diện và đưa ra các quyết định điều hướng dựa trên một tập các nguyên tắc. Một số phần mềm tường lửa sẽ được liệt kê ở đây: 1.2. Personal FireWall là gói phần mềm bạn có thể cài đặt trên hệ thống của mình để bảo vệ nó khỏi các cuộc tấn công.Thường cần thiết khi nó được kết nối với Internet. Nếu bạn là một modem cáp hoặc DSL và bạn cắm máy tính của bạn trực tiếp vào modem cáp hoặc DSL router, máy tính của bạn nhiều hơn khả năng cungcấp một địa chỉ IP công cộng với bảo vệ từ người dùng khác trên mạng của nhà cung cấp. Trong trường hợp này, bất kỳ tập tin, thư mục chia sẻ, và máy in, cũng như các dịch vụ bất kỳ mạng nào đang chạy trên máy tính của bạn sẽ được hiển thị, và khai thác bằng cách, chỉ là về bất cứ ai trên Internet.Personal Firewall được thiết kế để ngăn chặn các địa chỉ nguy hại. 1.3. Parental Control Software Ngăn chặn không cho phép người dùng vào các trang web cấm như các trang web đen… Các phần mềm khác như phần mềm chặn thư giác hay phần mềm quét virus tương tự như phần mềm tường lửa nhưng không hoàn toàn giống.Phần mềm chặn thư giác và quét virus hoạt động trên các thực thể lớn hơn(như các thư mục hay email…) trong khi phần mềm tường lửa thường chỉ lọc các gói tin.Một vài tường lửa thường xuất hiện khi phát hiện ra các gói tin mà nó không nhận ra được.Nhiều tường lửa loại này được gọi là tường lửa của tầng ứng dụng bời vì nó có thể kiểm tra cú pháp của một ứng dụng(như một trang web thương mại điện tử) thay vì chỉ cung cấp các thông tin về các mức gói tin(HTTP).Ví dụ,trang web thương mại điện tử dùng giao thức HTTP để giao tiếp với trình duyệt web.Một tường lửa ở mức gói có thể nhìn vào các yêu cầu HTTP để xem chúng có được hình thành một cách chính xác và tuân thủ các đặc điểm kỹ thuật của giao thức hay không.Một tường lửa ở mức ứng dụng có thể hiểu cách trang được xây dựng thế nào và xác nhận loại yêu cầu nào mà người sử dụng được phép thực hiện ,loại nào không được thực hiện.Điều này là quan trọng bởi vì các yêu cầu hợp pháp và các web độc hại đều có thể bao gồm các yêu cầu HTTP nơi mà tường lửa ở mức gói tin ngừng hoạt động kiểm tra của nó. 3 1.4. Sự khác nhau giữa một tường lửa và một bộ lọc tin là gì? Tường lửa và bộ lọc tin nói chung thực hiện cùng một chức năng.Bộ lọc gói tin dựa trên lưu lượng truy cập dựa trên những đặc điểm giao thức,địa chỉ nguồn hoặc đích và các trường khác nằm trong phần đầu của gói tin TCP/IP.Tường lửa là các bộ lọc gói tin nhưng một số tường lửa có thể kiểm tra nhiều hơn chứ không chỉ là phần header,chúng còn có thể kiểm tra ở phần dữ liệu(như trọng tải).Ví dụ,một bộ lọc gói tin có thể theo dõi các kết nối tới cổng 20 và 21(cổng FTP).Trong khi đó tường lửa có thể thiết lập các tiêu chuẩn dựa trên số cổng FTP cũng như trọng tải FTP,chẳng hạn như lệnh PORT hay tên tập tin bao gồm các text password. 1.5. Các tường lửa bảo vệ các mạng như thế nào? Các tường lửa không chỉ hiệu quả với các quy tắc mà chúng được cấu hình.Như chúng ta đã đề cập từ trước,tường lửa kiểm tra các đặc điểm cụ thể để quyết định xem đường truyền nào được phép và không được phép truyền qua dựa trên một số tiêu chí.Đó là công việc của một người quản trị hệ thống nhằm xây dựng lên một tập nguyên tắc theo một cách nào đó mà nó bảo vệ mạng ở phía sau nó một cách hiệu quả,trong khi vẫn cho phép lưu lượng truy cập một cách hợp lý.Hầu hết các tường lửa đều điều khiển đường truyền theo ba cách khác nhau bằng một nguyên tắc. • Chấp nhận gói tin và đưa nó tới đích đã định từ trước. • Từ chối gói tin và đưa ra thông báo từ chối gói tin (ICMP) hoặc xác nhận nào khác.Điều này sẽ đưa ra một phản hồi rõ ràng tới người gửi gói tin rằng lưu lượng như thế sẽ không được phép qua tường lửa. • Sút gói tin đi mà không cần bất cứ sự thừa nhận nào.Đây là giai đoạn kết thúc trong vòng đời của gói tin.Không có gói tin được gửi tới người gửi gói tin.Điều này nhằm làm giảm khả năng của người gửi đoán ra thông tin về mạng được bảo vệ,nhưng nó cũng tác động tiêu cực đến hiệu suất mạng của một số đường truyền mạng nào đó. Hầu hết các tường lửa được thiết lập một cách mặc định là để sút các gói tin. 1.6. Loaị đặc điểm nào của gói tin mà bạn có thể lọc trong một Ruleset? Hầu hết các tường lửa và bộ lọc gói tin đều có khả năng kiểm tra các đặc điểm dưới đây một cách nhỏ nhất : • Loại giao thức (IP, TCP, UDP, ICMP, IPSec, etc.) • Địa chỉ IP nguồn và cổng • Địa chỉ IP đích và cổng. • Loại thông báo mã ICMP và mã. • Thẻ TCP (SYN, FIN, ACK, etc.) • Giao diện mạng mà gói tin đến. 4 Vì vậy nếu bạn muốn ngăn chặn gói tin Ping đến từ mạng nhà của bạn 192.168.1.0/24,bạn hãy viết một nguyên tắc như thế này.Đừng lo lắng về cú pháp cụ thể nào deny proto icmp type 8:0 from any to 192.168.1.0/24 hoặc nếu bạn muốn cho phép luồng Web đi tới 192.168.1.50 và từ chối tất cả các luồng khác. allow proto tcp from any:any to 192.168.1.50:80 deny proto all from any to 192.168.1.0/24 Bạn cũng có thể dùng tường lửa để bảo vệ mạng của bạn bằng cách giả mạo địa chỉ IP.Ví dụ,chúng ta gọi giao diện bên ngoài tường lửa của bạn (called eth 1) có địa chỉ IP là 10.0.0.1 với mặt lạ mạng là 255.255.255.0.Giao diện bên trong tường lửa của bạn có địa chỉ IP là 192.168.1.1,với mặt lạ mạng là 255.255.255.0.Bất kỳ đường truyền mạng nào đến từ địa chỉ 192.168.1.0 đến mạng 10.0.0.0 sẽ đến giao diện eth0 và ra khỏi giao diện eth1,như trong hình minh họa sau đây. Ngược lại đường truyền từ mạng 10.0.0.0 tới mạng 192.168.1.0 đi ra từ giao diện eth1 và đi vào từ giao diện eth0.Vì vậy,bạn sẽ không bao giờ thấy đường truyền với địa chỉ nguồn 192.168.1.x được gửi đến từ giao diện eth1.Nếu bạn thấy,điều đó có nghĩa là một vài người nào đó bên ngoài mạng 10.0.0.0 đang cố gắng giả mạo 1 đia chỉ trong dải địa chỉ IP địa phương của bạn deny proto any from 192.168.1.0/24 to any on eth1 Bây giờ, nếu chúng ta xem xét cẩn thận tại quy định này, có vẻ một chút mơ hồ. Có thểquy tắc này phù hợp với hợp pháp giao thông đến từ 192.168.1.0 tiêu đề ra với mạng bên ngoài? Nó có thể, nhưng nó phụ thuộc vào giải thích tường lửa của cú pháp. Vì chúng ta đang sử dụng một cú pháp bức tường lửa hư cấu cho các ví dụ này, quy định này vẫn còn mơ hồ và có thể không hiệu quả. Điều này minh họa một điểm quan trọng:Bạn phải rất cẩn thận khi viết các quy tắc tường lửa. Chúng tôi biết những gì chúng tôi đãcố gắng để ngăn chặn, nhưng đã làm chúng tôi thực hiện nó một cách chính xác? Bạnphải chắc chắn rằng bạn hiểu làm thế nào bức tường lửa áp dụng các quy tắc và nhữnggì mặc định của nó hoặc hành vi giả định có thể được. Chúng tôi có thể viết các quy tắcchống giả mạo ít mơ hồ nếu chúng ta quy định các giao diện mạng mà trên đó để áp dụng các quy tắc. deny proto any from 192.168.1.0/24 to any in on eth1 allow proto any from 192.168.1.0/24 to any out on eth1 1.7. Sự khác nhau giữa một tường lửa không trạng thái và đa trạng thái? 5 Trở về chương 4,chúng ta đã đề cập các công cụ như nmap có thể được sử dụng để xem xét xem liệu một tường lửa có phải là stateless or stateful.Vậy đích thực nó là loại nào?Một tường lửa không trạng thái chỉ có thể kiểm tra một gói dữ liệu cá nhân tại một thời điểm cô lập,không để ý đến các gói tin đã đến trước nó.Nói một cách khác,một tường lửa đa trạng thái,có thể đặt gói tin trong một ngữ cảnh của một luồng điều khiển của một giao thức khác và trong giao thức đặc biệt như TCP/IP hay FTP.Điều này cho phép tường lửa đa trạng thái nhóm các gói tin riêng lẻ với nhau vào một connection,session hay conversation.Do đó,một bức tường lửa đa trạng thái có thể lọc lưu lượng truy cập không chỉ dựa vào đặc tính của gói tin riêng lẻ mà còn dựa vào ngữ cảnh của gói tin theo một phiên họp(session) hay một cuộc hội thoại(conversation). Tường lửa đa trạng thái cũng cho phép nhiều tập nguyên tắc hơn.Ví dụ,một máy tính trong mạng nội bộ 192.168.1.0 muốn kết nối tới một máy chủ web nằm trên Internet.Các bước sau đây chứng minh những hạn chế để thử kiểm tra gói đơn đến phân luồng. 1.8. Tìm hiểu về Network Adress Translation (NAT) và Port Forward. Nhiều thiết bị tường lửa được dùng để tách các mạng bên ngoài với địa chỉ IP truy cập công cộng từ một mạng nội bộ với địa chỉ IP riêng.Giao diện bên ngoài của thiết bị có một địa chỉ IP chung,trong khi giao diện bên trong của thiết bị có địa chỉ IP riêng.Địa chỉ chung cũng được tham chiếu tới như bộ định tuyến và địa chỉ riêng cũng thường được tham chiếu như địa chỉ vô đinh tuyến.Trong thực tế,một trong hai không gian địa chỉ riêng hay chung là bộ định tuyến.Nhưng nếu phân biệt cụ thể,địa chỉ riêng không được sử dụng cho cho địa chỉ trên Internet.Địa chỉ riêng được dành riêng cho các tổ chức để tạo ra các mạng nội bộ. Internet Assigned Numbers Authority (IANA) thuộc các khối IP nhất định cho các mạng riêng tư.Điều này có nghĩa là các bộ định tuyến công cộng sẽ không(hay ít nhất sẽ không nên) định tuyến luồng đi và đến các máy nằm trong phạm vi mạng này.Phạm vi mạng như sau : 192.168.0.0 thông qua 192.168.255.255 được viết 192.168.0.0/16 o hay 192.168.0.0/255.255.0.0. Như trên thì,điều này sẽ mang lại cho chúng ta một số lượng lớn địa chỉ IP và mặt nạ mạng(sunnet)cho địa chỉ mạng nội bộ.Bất kỳ một mạng riêng tư nào mà hệ thống của nó không được truy cập vào một máy nằm trong mạng Internet sẽ sử dụng một subnet mạng riêng tư thuộc phạm vi này như một subnet của nó. Tuy nhiên,điều này đặt ra một vấn đề,nếu bất kỳ một hệ thống trên mạng riêng tư muốn truy cập tới Internet.Hãy nhớ rằng các hành vi được đề nghị rằng các bộ định tuyến Internet công cộng sẽ không phải đinh tuyến luồng hoặc hệ thống các địa chỉ tư nhân.Điều này dường như ngụ ý rằng một địa chỉ riêng tư không bao giờ có thể truy cập tới một trang Web trên Internet. NAT giải quyết vấn đề này bằng cách chuyển(translating) các gói tin từ địa chỉ riêng tư thành địa chỉ công cộng.NAT thường được thực hiện bởi một thiết bị tường lửa trên giao diện bên ngoài của nó vì lời ích của các hệ thống trên giao diện nội bộ của mình.Nhiều thiết bị mạng có thể thực hiện NAT,bao gồm cả thiết bị định tuyến.Một thiết bị NAT cho phép các máy trên mạng riêng 6 nội bộ của nó,giả trang như là địa chỉ IP được gán cho thiết bị NAT,bao gồm cả thiết bị định tuyến.Hệ thống riêng tư có thể giao tiếp với Internet thông qua định tuyến,địa chỉ IP truy cập công cộng trên giao diện ngoài của thiết bị NAT. Khi một thiết bị NAT nhận được lưu lượng truy cập từ mạng riêng tư dành cho các mạng ngoài(Internet),nó ghi nguồn của gói dữ liệu và các chi tiết đích.Thiết bị này sau đó viết lại tiêu đề của gói tin như việc địa chỉ IP nguồn được đặt cùng với bên ngoài thiết bị,địa chỉ IP công cộng. Sau đó thiết bị sẽ gửi gói tin tới địa chỉ IP đích.Từ quan điểm hệ thống đích của gói tin đã đến trực tiếp từ các thiết bị NAT.Hệ thống đích đáp ứng cần thiết để gói tin,gửi nó trở lại địa chỉ IP của thiết bị NAT. Khi thiết bị NAT nhận được gói tin trả lời,nó kiểm tra bảng dịch địa chỉ của nó để xem nếu các địa chỉ và thông tin của gói tin phù hợp với bất kỳ của các gới tin đã được gửi ra.Nếu trận đấu không được tìm thấy,gói tin được giảm xuống hoặc bị xử lý theo bất kỳ quy tắc tường lửa hoạt động trên các thiết bị.Nếu một trện đấu được tìm thấy,các thiết bị NAT viết lại địa chỉ đích của gói tin IP với điah chỉ riêng của hệ thống ban đầu gừi gói tin. Cuối cùng các thiết bị NAT sẽ gửi gói tin đến đích nội bộ của mình.Dịch địa chỉ mạng là hoàn toàn minh bạch để các hệ thống trên địa chỉ IP nội bộ tư nhân và các điểm đến Internet.Các hệ thống tư nhân có thể truy cập vào Internet,nhưng một hệ thống Internet có thể không trực tiếp giải quyết nó. Nếu bạn đang gặp sự cố cố hình dung những gì đang xảy ra,có lẽ minh họa sau đây sẽ giúp bạn: NAT không có những hạn chế. Các thao tác tiêu đề gói tin sẽ can thiệp với bất kỳ giao thức đòi hỏi phải sử dụng đúng địa chỉ IP, chẳng hạn như IPsec. Ngoài ra, bất kỳ giao thức yêu cầu một kết nối riêng biệt, ngược lại đến, chẳng hạn như hoạt động chế độ FTP, sẽ không làm việc. Đi 7 FTP kiểm soát kết nối đến máy chủ FTP sẽ làm cho nó thông qua NAT chỉ là tốt, nhưng khi máy chủ FTP cố gắng để thiết lập kết nối dữ liệu, thiết bị NAT sẽ không biết phải làm gì bởi vì nó không có một mục tương ứng trongbảng dịch của nó. NAT của tỷ lệ hiện nhiễm đã ảnh hưởng đến mọi người để tạo ra cách giải quyết để giải quyết những hạn chế này. Cuối cùng, NAT đã trở thành thiếu tường lửa và an ninh mạng. Nó cung cấp một lớp bảo mật bổ sung một thiết bị tường lửa, vì nó không chỉ bảo vệ máy phía sau giao diện nội bộ của mình, nhưng nó cũng ẩn chúng đi. Nhưng điều gì sẽ xảy ra nếu bạn quyết định bạn muốn để lộ một dịch vụ cụ thể trên mạng riêng của bạn với Internet? Điều gì sẽ xảy ra nếu bạn muốn một người nào đó trên khắp đất nước để có thể nhìn vào một cái gì đó mà bạn đã đăng trên máy chủ web nội bộ của bạn? Có cách nào để cho phép máy Internet để bắt đầu giao tiếp với một máy tính tư nhân? Đối với điều này, bạn có thể sử dụng một kỹ thuật được gọi là cổng chuyển tiếp. Các thiết bị NAT có thể chuyển tiếp bất kỳ lưu lượng truy cập nhận được trên một cổng đặc biệt trên giao diện bên ngoài của thiết bị một cổng trên một máy tính nội bộ tư nhân. Một hệ thống trên mạng Internet kết nối với các thiết bị NAT trên cổng này sẽ có hiệu quả kết nối với các cổng trên hệ thống nội bộ, mặc dù nó chỉ cần biết địa chỉ IP của thiết bị NAT. Đây là tất cả tốt và tốt, nhưng bây giờ bạn đã thực hiện mạng riêng của bạn một chút ít tư nhân bằng cách mở cổng chuyển tiếp này. Bây giờ bất cứ ai trên Internet có thể truy cập vào máy chủ web nội bộ của bạn bằng cách kết nối vào cổng trên thiết bị NAT của bạn. Nếu thiết bị NAT của bạn là một bức tường lửa, bạn có thể sử dụng quy tắc tường lửa để hạn chế địa chỉ IP được phép truy cập vào nó. Trong khi điều này là an toàn hơn, bạn vẫn đang chỉ dựa trên chứng thực trên nền IP. Nhiều lần, người sử dụng đã xây dựng được tăng cường, mạng lưới tư nhân có thể tìm thấy nó cần thiết để mở các tài nguyên mạng nội bộ đến một cơ sở từ xa. Có nhiều cách để hạn chế truy cập từ đó thiết bị từ xa và ngăn cấm các phần còn lại của Internet. Nhưng chúng ta có thực sự muốn chuyển tiếp hàng chục cổng và hàng chục mở lỗ hổng trong tường lửa của chúng tôi, hoặc hàng chục các quy tắc và các ngoại lệ? Đây là nơi mà các mạng riêng ảo đi vào chơi. 1.9. Khái niệm cơ bản của các mạng riêng ảo (Virtual Private Networks) VPN là một chủ đề phức tạp.Chúng ta đề cập nó ở đây là vì rất nhiều thiết bị tường lửa cung cấp một vài cách đo lường khả năng của VPN.Máy chủ VPN nằm trên các thiết bị và đợi kết nối từ các máy khách VPN.Các máy khách này có thể là dựa trên phần mềm,như một laptop,hoặc các giải pháp dựa trên phần cứng,như một thiết bị ngang hàng.Các văn phòng từ xa thường cài đặt một thiết bị tường lửa/VPN và cấu hình thiết bị để chúng có thể kết nối bởi một dòng dữ liệu chuyên dụng.Sự khác biệt duy nhất là nó là một dòng dữ liệu ảo.Luồng vẫn truyền trên Internet.Nhưng VPN cung cấp thêm các tầng bảo mật qua việc mã hóa và bảo vệ tường lửa. Một phái cạnh chính của VPN là xác thực người dùng.Người sử dụng từ xa sử dụng một phần mềm VPN client và đang nhập vào máy chủ VPN để thiết lập kết nối của họ.Các thiết bị 8 phần cứng VPN thường sử dụng một vài loại thuật toán xác thực khóa được chia sẻ.Điều này là mạnh hơn nhiều trong cả an ninh và thuận tiện hơn dựa vào xác địa chỉ IP. Luồng truy cập VPN thường được mã hóa.Điều này nhằm bảo vệ dữ liệu trong khi chúng được truyền đi tới các thiết bị đầu cuối VPN.Thậm chí,dữ liệu vẫn được qua các router,switch,hoặc các thiết bị khác trên Internet.Nó gần như là an toàn như khi nó sử dụng một dòng dữ liệu chuyên dụng VPN thường có thể chuyển tiếp giữa tất cả các đường trên một mạng trên một tập các cổng đơn.Hãy tưởng tượng có bao nhiêu hướng cổng và quy tắc tường lửa bạn phải viết,nếu bạn phải mở một vài tài nguyên mạng nội bộ tới một vị trí ở xa.Chia sẻ file,chia sẻ máy in,kho lưu trữ mã và các dịch vụ khác sẽ tạo một NAT và cấu hình cổng chuyển tiếp. Bằng cách kết hợp các khả năng của một tường lửa,thiết bị NAT và VPN trong một thiết bị mạng,bạn có thể cải thiện an ninh bên ngoài mạng của bạn mà không mất sự thuận tiện hay năng suất. 1.10. Bên trong khu phi quân sự Một cuộc thảo luận về tường lửa sẽ không hoàn thành mà nếu không nhắc đến khu phi quân sự,hoặc DMZ.DMZ đã trở thành một từ thông dụng không may là nhiều người sử dụng khi nói về mạng và tường lửa,nhưng ít người hiểu những gì nó có.Chúng tôi đã thảo luận về tường lửa và các thiết bị NAT có một giao diện bên ngoài với một địa chỉ IP công cộng định tuyến và một giao diện bên ngoài với một địa chỉ IP công cộng định tuyến và một giao diện nội bộ,tư nhân với một địa chỉ IP.Điều gì sẽ xảy ra nếu tổ chức của chúng tôi có một máy chủ FTP,máy chủ Web và máy chủ DNS mà chúng ta muốn để làm cho truy cập công công?Vâng,chúng ta có thể giữ chúng trên các mạng riêng và thiết lập chuyển tiếp cổng,nhưng điều gì sẽ xảy ra nếu chúng ta có nhiều máy chủ web?Chúng ta không thể ràng buộc một cổng bên ngoài cổng 80 một số các hệ thống nội bộ. 2. Freeware firewalls. 2.1. Ipchans Ipchans là các bộ lọc gói tin đầu tiên chúng ta sẽ thảo luận.Ipchans ban đầu được dựa trên một công cụ gọi là ipfwadm.Ý tưởng đằng sau ipchans là để tạo ra chuỗi các quy tắc cho một gói tin đi qua.Tại bất kỳ điểm nào trong chuỗi, gói tin có thể được thông qua hoặc bị từ chối.Ipchains có tất cả nhưng được thay thế bởi iptables cho hạt nhân Linux đang chạy dòng2.6, tuy nhiên, nó có thể được bao gồm trong hầu hết các bản phân phối Linux cùng vớiiptables. Nó là một điểm khởi đầu tốt đẹp cho cái nhìn đầu tiên của chúng tôi tại góitường lửa, và nó cũng cho chúng ta một ví dụ về một bức tường lửa không trạng thái. Để sử dụng ipchains, tất cả những gì bạn cần là một hộp Linux với các tùy chọn thíchhợp biên dịch vào trong nhân. Bạn có thể cho biết nếu hạt nhân của bạn có hỗ trợ ipchains nếu tập 9 tin / proc / net / ip_fwchains tồn tại. Hiện tại hầu hết các phiên bản cài đặt Linux sẽ có các tùy chọn này đi kèm theo, nhưng phiên bản trước đó của Linux có thể cần phải được sửa đổi. Thật không may, chúng tôi không thể đi vào chi tiết cách xây dựng một hạt nhân Linux, rất nhiều tài nguyên Internet có sẵn cho việc xây dựng hạt nhân hỗ trợ tường lửa. Bạn có thể kiểm tra trang web chính của ipchains hoặc truy cập vào trang web sau đây để biết thêm chi tiết:http://www.tldp.org/HOWTO/IPCHAINS-HOWTO.html. Chú ý : Bạn cũng sẽ cần phải chắc chắn rằng tập tin / proc/sys/net/ipv4/ip_forward chứa giá trị 1 nếu bạn muốn để có thể chuyển tiếp các gói tin từ một mạng sang mạng khác.Bạn có thể gõ echo 1> / proc / sys / net/ipv4/ip_forward như là người quản trị mạng để đảm bảo rằng tường lửa của bạn đã sẵn sàng để chuyển tiếp các gói tin. Ipchains là một giao diện người sử dụng cho việc lọc gói tin của nhân Linux. Tất cả việc kiểm tra gói tin thực tế được thực hiện trong không gian bộ nhớ của hạt nhân. Chương trình ipchains chỉ đơn giản ra lệnh các quy tắc tới hạt nhân. Thật không may, điều này có nghĩa là hạt nhân sẽ quên quy tắc của bạn bất cứ lúc nào khi hệ thống được khởi động lại. Rất may, bạn có thể sử dụng các công cụ ipchains-save và ipchains-khôi phục lại để tạo ra một tập các quy tắc ipchains hiện tại trong sử dụng và khôi phục lại chúng sau khi khởi động lại. 2.2. Implementation Nếu hộp Linux của bạn có hỗ trợ ipchans,điều đầu tiên bạn cần phải làm là liệt kê tập quy tắc hiện tại. [root@originix /root]# ipchains -L Chain input (policy ACCEPT): Chain forward (policy ACCEPT): Chain output (policy ACCEPT): Lệnh này liệt kê các quy tắc gói tin hiện tại đang sử dụng.Như bạn có thể thấy,ipchans định nghĩa ba chuỗi theo mặc định: input,forward và output.Chính sách mặc định cho mỗi chuỗi(chains) là các gói tin được chấp nhận.Điều này có nghĩa rằng nếu một gói tin đi qua toàn bộ chuỗi và không phù hợp với bất kỳ quy tắc nào,nó được coi là chấp nhận được và đi qua giao diện.Bạn có thể chọn từ sáu mục tiêu phổ biến trong xây dựng. 10 [...]... có một vài hành động có thể được thực hiện trên một gói tin :      accept, allow, pass, permit : Cho phép các gói tin đi qua Đây là những đồng nghĩa Đây là một hành động thiết bị đầu cuối reset,unreach : Ngăn chặn các gói dữ liệu và thông báo cho người gửi từ chối với một thông báo không đạt tới cổng ICMP Đây là một hành động thiết bị đầu cuối deny,drop : Thả các gói tin hoàn toàn, có thông tin gửi... miền và thời điểm các bản ghi được cập nhật gần nhất, nhưng nó không cung cấp cho chúng ta thông tin như vị trí hoặc địa chỉ liên lạc Rất may, có một sự liên hệ đến một máy chủ whois khác mà có những thông tin này Vì vậy, nếu chúng ta thử: whois-h http://whois.markmonitor.comhttp://www.yahoo.com chúng tôi sẽ nhận được những thông tin tương tự như những thông tin dưới đây, như thông tin liên lạc và vị... chuỗi(chains) mặc định được sử dụng.Bất kỳ gói tin nào đi vào một giao diện của hệ thống đầu tiên sẽ đi vào chuỗi đầu vào quy định cho giao diện của nó.Các gói tin mà không phải là dành cho các tường lửa chính nó sẽ cần phải vượt qua chuỗi định hướng(forward chain) trước khi tiếp tục đi đến đích của nó.Cuối cùng,bất kỳ gói tin đi ra khỏi hệ thống phải vượt qua thông qua chuỗi đầu ra(output chain).Điều này... thu thập thông tin liên quan đến dấu chân, hoặc các vị trí hiện diện trên Internet Như đã đề cập nhiều lần trong cuốn sách này, thu thập thông tin là một bước thiết yếu đầu tiên trong kế hoạch tấn công của hacker Mặc dù nhiều các công cụ được trình bày trong suốt cuốn sách và có thể được sử dụng để liệt kê những thông tin quan trọng về một hệ thống hoặc một mạng, những công cụ trong chương này thực hiện... thông qua chuỗi đầu ra(output chain).Điều này có nghĩa bất kỳ đường truyền nào đi qua giữa một hệ thống mạng riêng và một hệ thống mạng chung sẽ phải đi qua cả ba chuỗi trên.Điều quan trọng cũng cần lưu ý rằng đầu vào và đầu ra không nhất thiết đồng nghĩa với gửi đến và gửi đi.Các gói tin nhận chuỗi đầu vào đầu tiên cho dù họ có đến từ các mạng nội bộ để eth0 hoặc từ mạng bên ngoài eth1 Ở đây chúng... nhiều thông tin ở đây! Và chúng ta có địa chỉ e-mail liên lạc của kỹ thuật viên và quản trị viên Chú ý, tuy nhiên, Yahoo! Rất sáng suốt và không đặt tên thực sự của bất kỳ người nào trong danh sách các địa chỉ liên lạc Điều này gây khó khăn hơn cho các tin tặc sử dụng các kỹ thuật xã hội để tấn công họ Nếu một hacker biết các tên và địa chỉ của quản trị viên của một tổ chức, hắn có thể sử dụng thông tin. .. lực Ví dụ, SOA của antihackertoolkit.com từ máy chủ DNS của nó chỉ ra rằng thông tin DNS sẽ chỉ được xem xét hợp lệ trong khoảng 86400 giây (24 giờ) thông qua trường TTL (time-to-live).Sau 24 giờ những máy chủ DNS sẽ dừng sử dụng thông tin bộ đệm về domain và kiểm tra máy chủ DNS chính để tìm nếu thông tin được thay đổi.Một thống kê các trường của SOA được cung cấp trong bảng Table 2-2: [Paris: ~]... chức để họ tiết lộ thông tin, hoặc bằng cách giả mạo như là quản trị viên hoặc tuyên bố rằng hắn đang làm việc cho quản trị viên 28 Có một ý tưởng nào dành cho tất cả các thông tin công bố công khai? Vâng, có nhiều thứcần thiết bảo mật khi chạy trên Internet Từquan điểm cá nhân,đó là những thông tin cho phép một quản trị viên liên hệ với bất kỳ một người nào đó trong tổ chức hoặc mạng thông qua một số... lhttp://www.yahoo.comhttp://www.dns.yahoo.com Công dụ dig cũng tương tự như host và nslookup, nhưng nó đưa cho bạn nhiều thông tin đầu vào và đầu ra dạng thô hơn là sự thân thiện của host và nslookup.Với dig điều đầu tiên bạn cần là chỉ ra máy chủ DNS mà bạn yêu cầu truy vấn (sử dụng tiền tố @), trước host hoặc domain bạn đang truy vấn tới và sau đó gõ truy vấn Những kiểu truy vấn tương tự như host và bạn có thể đọc nhiều hơn về chúng trong... bản và đặt nền móng cho các công cụ tinh vi hơn Trong nhiều trường hợp, những công cụ thu thập thông tin từ các nguồn không trực tiếp liên kết với mạng mục tiêu Điều này làm cho việc xác định khó khăn hơn hoặc khi một người nào đó "casing" mạng 1 WHOIS VÀ FWHOIS Whois và fwhois là những công cụ cực kỳ đơn giản nhưng hữu ích để thực hiện truy vấn liên quan tới những cơ sở dữ liệu "whois" cho những thông . NI VIỆN CÔNG NGHỆ THÔNG TIN V TRUYỀN THÔNG B MÔN CÔNG NGHỆ PHN MỀM BO CO BI TẬP LỚN AN TON THÔNG TIN V HỆ THỐNG Đề tài : Giảng viên hướng dẫn: Ths. Đỗ Văn Uy Sinh viên thực hiện: 1 cùng,bất kỳ gói tin đi ra khỏi hệ thống phải vượt qua thông qua chuỗi đầu ra(output chain).Điều này có nghĩa bất kỳ đường truyền nào đi qua giữa một hệ thống mạng riêng và một hệ thống mạng chung. gói dữ liệu và thông báo cho người gửi từ chối với một thông báo không đạt tới cổng ICMP. Đây là một hành động thiết bị đầu cuối  deny,drop : Thả các gói tin hoàn toàn, có thông tin gửi đến