BÁO CÁO ĐỒ ÁN MÔN HỌC TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT KHOA CÔNG NGHỆ THÔNG TIN (chương trình kỹ sư chất lượng cao) TÌM HIỂU VỀ FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ TP HCM , NGÀY 13 THÁNG 4 NĂM 2015 LỜI CẢM ƠN Trong suốt thời gian học tập tại Khoa Đào tạo Chất lượng cao trường Đại Học Sự Phạm Kỹ Thuật Tp Hồ Chí Minh, chúng em đã được các thầy cô trong khoa CNTT, Khoa Chất lượng cao giảng dạy nhiệt tình, truyền đạt nhiều kiến thức quý báu làm tiền đề cho quá trình nghiên cứu đề tài này. Ngoài ra cũng xin cám ơn những góp ý, chia sẻ và giúp đỡ từ một số anh chị, bạn bè trong quá trình nghiên cứu và triển khai. Đặc biệt chúng em xin cám ơn Cô Nguyễn Thị Thanh Vân đã tận tình chỉ bảo, hướng dẫn chúng em. Cám ơn cô đã theo sát và định hướng cho chúng em trong suốt quá trình nghiên cứu đề tài. Giúp chúng em có thể hoàn thành đúng tiến độ đề tài nghiên cứu này. Sau 4 tháng nghiên cứu và thực hiện thì đề tài “Tìm hiểu về firewall và triển khai trên mã nguồn mở” cũng đã hoàn thành. Chúng em xin chân thành gửi lời cảm ơn sâu sắc đến tất cả các thầy cô, bạn bè đã giúp đỡ, đóng góp ý kiến cho đề tài này. Phần mở đầu DANH MỤC HÌNH VẼ Hình 1.1: Các lớp trong an toàn mạng Hình 1.2 - Firewall. Hình 1.3: Phân loại Firewall. Hình 1.4: Các kỹ thuật sử dụng trên firewall. Hình 1.5: Packet Filters Hình 1.6: Circult-Level Gateways Hình 1.7:Application-Level Gateways Hình 1.8: Stateful MutilayerInspection Firewalls Hình 1.9: Kiến trúc Dual Homed Host Hình 1.10: Kiến trúc Screened host Hình 1.11: Kiến trúc Screened Subnet Hình 2.1: Quá trình phát triển của ClearOS. Hình 2.2 : Giao diện chính ClearOS Hình 2.3 : Menu Network Hình 2.4: Menu Gateway. Hình 2.5: Menu System Hình 2.5: Menu Report Hình 3.1: Mô hình thực tế Hình 3.2: Mô hình Demo. Hình 3.3: Start Web Proxy và Content Filter. Hình 3.3: Enabled Transparent Mode và Content Filter. Hình 3.4: Thêm Domain Block. Hình 3.5: Thêm từ khóa chặn. Phần mở đầu Hình 3.6: Chỉnh sửa file weighted. Hình 3.7: Restart dịch vụ dansguardian-av. Hình 3.8: Test domain http://zing.vn Hình 3.8: Test domain http://vnexpress.net Hình 3.9: Cấu hình publish Webserver ra ngoài Internet. Hình 3.10: Kiểm tra truy cập Hình 3.10: Cấu hình block một IP public. Hình 3.11: Kiểm tra block. Hình 3.12: Cấu hình chặn tất cả SSH. Hình 3.13: Cấu hình cho phép 1 ip public SSH. Hình 3.14: Cấu hình cho phép 1 ip private SSH. Hình 3.15:Cấu hình chặn scan port. Hình 3.16: Kiểm tra với scan FIN. Hình 3.17: Kiểm tra với scan NULL. Hình 3.18: Kiểm tra với Scan XMAS. Hình 3.19: Rule chống SYN Flood. Phần mở đầu PHẦN MỞ ĐẦU Thực trạng và tính khả thi của đề tài. Năm 1997 Internet bắt đầu du nhập vào Việt Nam, từ những năm đầu đó Internet ở Việt Nam vẫn là một dịch vụ cao cấp và hạn chế đối với phần đông người dùng. Trải qua hơn 10 năm phát triển đến nay Internet từ một dịch vụ cao cấp đã trở thành một dịch vụ bình dân, phổ biến trong mọi gia đình, công sở, trường học, làm thay đổi cuộc sống của người dân và xã hội ở Việt Nam. Theo thống kê của website TT Internet Việt Nam - VNNIC vào tháng 9 năm 2011 thì số người sử dụng Internet ở VN đã đạt 30.248.846, tỉ lệ dân số sử dụng Internet chiếm 34,79%, tổng số tên miền tiếng Việt đã đăng ký là 237.342.Việc sử dụng Internet để phục vụ cho cuộc sống đã trở lên phổ biến như giao tiếp với nhau qua email, sử dụng Internet để tra cứu thông tin phục vụ cho công việc hay học tập, sử dụng Internet để giải trí, giao lưu, kết bạn Ngày 7/11/2006 Việt Nam gia nhập tổ chức thương mại thế giới WTO, từ đó Internet được nhìn nhận là công cụ mũi nhọn hỗ trợ, thúc đấy tích cực cho sự phát triển của nền kinh tế. Đa số các doanh nghiệp và các tổ chức đều có hệ thống mạng và website để quảng bá thương hiệu và sản phẩm (237.342 tên miền tiếng Việt và hàng triệu tên miền thương mại khác). Cùng với sự phát triển của Internet thì thương mại điện tử cũng phát triển theo. Đối với các doanh nghiệp và tổ chức việc sử dụng thư điện tử (email), thanh toán trực tuyến (electronic payment), trao đổi dữ liệu điện tử, số hóa dữ liệu, lưu trữ dự liệu, hỗ trợ cho công việc kinh doanh đã không còn quá xa lạ. Ngoài ra, chính phủ và các tổ chức chính phủ khác cũng sử dụng Internet để thông báo, trao đổi, giao tiếp với người dân. Tóm lại, Internet và hệ thống mạng máy tính đã trở thành một phần không thể thiếu để phục vụ cho cá nhân người dùng, cho các tổ chức, doanh nghiệp kinh tế và cả cho các tổ chức chính phủ Cùng với sự phát triển đó và những lợi ích mà Internet và máy tính đem lại, nó cũng tạo ra những nguy cơ và rủi ro cho nền kinh tế và xã hội hiện đại. Các vấn đề về truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống đã trở thành mối lo Phần mở đầu ngại cho các nhà quản lý ở bất kỳ một quốc gia nào từ các cơ quan, bộ, ngành đến từng doanh nghiệp, đơn vị hay cá nhân người dùng. Theo TS. Vũ Quốc Khánh, GĐ TT Ứng cứu khẩn cấp máy tính VNCERT đánh giá: "Năm 2011 đã xuất hiện các xu hướng tội phạm và sự cố an ninh về mạng, tấn công trên mạng ngày càng tinh vi hơn, phát triển có tổ chức, có quy mô và có sự phối hợp cả trong và ngoài nước. Có các định hướng về mặt tấn công thu lợi tài chính, phá hoại các dịch vụ. Không ít mã độc trên thế giới đã nhanh chóng lan truyền đến Việt Nam". Tin tặc Việt Nam phát triển với tốc độ nhanh hơn bao giờ hết cả về quy mô, tính chuyên nghiệp, trình độ kỹ thuật và cả tiềm lực về tài chính. Điều đáng báo động là sự phá hoại của tin tắc hiện nay không nhằm mục đích trục lợi cá nhân hay khoe khoang nữa mà đã chuyển sang hướng tấn công các tổ chức doanh nghiệp kinh tế và đặc biệt hơn nữa là hạ tầng công nghiệp quốc gia. Thời gian gần đây một loạt các website của các cơ quan nhà nước và doanh nghiệp bị hacker tấn công như website của Viện khoa học thanh tra chính phủ bị hack vào tháng 4/2007, tên miền của công ty P.A Vietnam bị cướp vào tháng 7/2008, website của Techcombank vào tháng 7/2008. Năm 2010, cuộc tấn công đình đám nhất chính là cuộc tấn công vào hệ thống điện tử của báo Vietnamnet, cuộc tấn công diễn ra nhiều tháng và nhiều lần với các hình thức tấn công khác nhau. Cũng trong năm này thì hơn 1000 website lớn ở Việt Nam bị tấn công. Các hình thức tấn công thì rất đa dạng từ thay đổi giao diện, đánh cắp các thông tin nhạy cảm ở trong website, tấn công làm tê liệt website đó. Mới đây nhất là cuộc tấn công đánh cắp tên miền diadiem.com và vozforums.vn xảy ra vào tháng 10/2011. Từ những số liệu và cảnh báo trên nên vấn đề bảo vệ an ninh mạng ngày càng nóng bỏng hơn nữa. Đối với cá nhân người dùng việc bảo vệ thông tin cá nhân của mình trước những kẻ đánh cắp. Đối với tổ chức chính phủ, sở ban ngành, doanh nghiệp bảo vệ hệ thống mạng của mình về dữ liệu, về thông tin khách hàng, về website, về tài chính, về uy tín Chính vì lý do đó chúng em chọn đề tài "Tìm hiểu về Firewall và Phần mở đầu triển khai trên mã nguồn mở" nhằm mục đích nghiên cứu về một giải pháp an toàn cho mạng máy tính. Mục đích và nhiệm vụ nghiên cứu. Trước khi tìm hiểu chúng em cũng hiểu rằng không có một giải pháp nào là toàn diện cho an ninh mạng, một hệ thống dù vững chắc tới đâu rồi cũng sẽ bị vô hiệu hóa bởi những kẻ tấn công. Vì không thể có một giải pháp an toàn tuyệt đối nên để bảo vệ thông tin trên mạng máy tính thì cần xây dựng nhiều "lớp" bảo vệ khác nhau. Và Firewall là lớp ngoài cùng của hệ thống đó. Mục đích của đề tài là: Tìm hiểu các mối đe dọa đối với một hệ thống mạng máy tính. Tìm hiểu về các khái niệm cơ bản của firewall. Nghiên cứu về các công nghệ firewall và cách làm việc của chúng. Giới thiệu một số sản phẩm firewall đang được sử dụng trên thị trường và cách là việc của chúng. Demo triển khai sản phẩm firewall trên mã nguồn mở. Đối tượng nghiên cứu. Tìm hiểu kiến thức lý thuyết về các loại firewall, cách phân loại chúng một cách tổng quan. Các thành phần tạo lên một firewall và cách làm việc của chúng. Tìm hiểu về các loại firewall trên nền tảng mã nguồn mở Linux, cách làm việc, những ưu nhược điểm so với các sản phẩm khác. Tìm hiểu về các kiến trúc Firewall, một số mô hình dành cho hệ thống mạng. Sản phẩm ClearOS triển khai trên nền tảng Linux. Phạm vi nghiên cứu. Tập trung vào cách thức hoạt động của các loại firewall Phần mở đầu Triển khai thành công ClearOS cho một mô hình mạng cỡ nhỏ, tạo các rule theo các tình huống khác nhau, phân tích và giải thích ý nghĩa. Chương I: Tổng quan về Firewall PHẦN NỘI DUNG Chương 1: Tổng quan về Firewall Tại sao chúng ta cần những giải pháp bảo mật cho hệ thống mạng? Mạng máy tính cũng tương tự như thế giới thật mà chúng ta đang sống và việc triển khai các giải pháp bảo mật cho hệ thống mạng cũng tương tự như cách chúng ta bảo vệ bản thân chúng ta, tài sản của chúng ta, thông tin của chúng ta trước những kẻ tấn công. Tương tự như trong thế giới thật, Internet đem lại cho chúng ta nhiều thứ hữu ích nhưng nó cũng đem đến cho chúng ta những hiểm họa tiềm tàng như virus, worm, phần mềm gián điệp, phần mềm đánh cắp password, thư rác, hay các cuộc tấn công. Ngoài thế giới thật chúng ta phải đối mặt với kẻ không tuân thủ luật pháp, dùng mọi biện pháp để ăn cắp hay xâm phạm thông tin cá nhân hay tài sản của người khác. Tương tự vậy, trên hệ thống mạng cũng tồn tại những kẻ muốn đánh cắp thông tin cá nhân, dữ liệu hay phá hoại hệ thống của bạn. Ngoài những mục đích tấn công cá nhân, những kẻ này còn coi đó là một cách để kiếm sống. Chúng có thể đột nhập vào hệ thống mạng của bạn hoặc máy tính của bạn để ăn cắp các thông tin nhạy cảm, tấn công các website, ngăn chặn các kết nối, phá hủy hoặc làm sai lệnh dữ liệu. Những kẻ này có nhiều mục đích khác nhau từ những mục đích cá nhân như trả thù, khoe khoang kiến thức hay những động cơ nguy hiểm hơn như tiền bạc, phá hoại đối thủ, chính trị Chúng ta không thể đoán được lúc nào các cuộc tấn công sẽ xảy ra vì thế biện pháp tốt nhất đó chính là "phòng ngừa". Tương tự như trong thế giới thật chúng ta xây rào chắn, mua khóa, thuê vệ sĩ để bảo vệ thì trên hệ thống mạng chúng ta có thể triển khai các giải pháp bảo mật như chứng thực, cấp quyền, xây dựng firewall, xây dựng hệ thống giám sát Tóm lại: Những thông tin, dữ liệu nhạy cảm luôn là miếng mối béo bở để những kẻ tấn công trục lợi. Bởi vậy khi xây dựng hệ thống mạng bất kỳ bạn cần phải quan tâm đến việc làm như thế nào để bảo vệ những thông tin, những dữ liệu quan trọng đó. Chương I: Tổng quan về Firewall Các mối nguy hiểm. Tấn công có mục tiêu và tấn công không có mục tiêu. Sự khác nhau của hai kiểu tấn công này nằm ở mục đích của kẻ tấn công. Kẻ tấn công có mục tiêu hắn sẽ tìm mọi cách để có thể đạt được mục đích của mình dù cho bạn có ngăn chặn nó như thế nào đi chăng nữa. Đây chính là điểm nguy hiểm hơn rất nhiều so với một cuộc tấn công không có mục tiêu đơn thuần. Những cuộc tấn công không có mục tiêu thường không có chủ đích rõ ràng, những kẻ tấn công thường rà soát những hệ thống nào dễ tấn công và có nhiều lỗi hổng. Nếu một hệ thống được bảo vệ tốt thì kẻ tấn công sẽ từ bỏ và chuyển sang mục tiêu mới, những kẻ tấn công này thường có ít kiến thức hoặc mục đích nhằm khoe khoang là chính. Điều này làm cho việc ngăn chặn nó dễ dàng hơn rất nhiều. Khác với những cuộc tấn công không có mục tiêu, những cuộc tấn công có mục tiêu nguy hiểm hơn rất nhiều. Bởi kẻ tấn công có nhiều mục đích để tấn công, có thể đó là tiền bạc, trả thù, được đối thủ của bạn thuê để phá hoại Những kẻ này sẽ tìm mọi cách để tấn công bạn, dù cho bạn có bảo vệ đến đâu hắn cũng sẽ không từ bỏ. Chính vì lí do đó nên nó khá là nguy hiểm, bạn cần phải luôn đề phòng vì rất có thể ngày hôm nay bạn chặn được cuộc tấn công đó nhưng ngày hôm sau kẻ tấn công sẽ sử dụng những thủ đoạn tinh vi và nguy hiểm hơn. Cách tốt nhất để chặn cuộc tấn công loại này là nhờ đến pháp luật Virus, worm và trojan. Virus máy tính (hay thường được gọi tắt là virus) là một chương trình hay một đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác như file, thư mục, ổ đĩa Ban đầu nó được viết ra nhằm mục đích chứng tỏ khả năng lập trình nên có một số hành động như xóa dữ liệu, làm treo máy tính hay thực hiện các trò đùa khó chịu. Ngày nay thì nó được sử dụng để đánh cắp các thông tin nhạy cảm, mở cửa sau cho tin tặc đột nhập hoặc chiếm quyền điều khiển máy tính. Đặc điểm quan trọng của virus đó là nó không thể tự động lây lan mà ban đầu nó cần sự tác động của con người để cho phép nó hoạt động. Worm (sâu máy tính): tương tự như virus nó cũng có khả năng tự nhân bản và lây lan. Điểm đặc biệt của nó là nó có thể lây lan qua hệ thống mạng còn virus thì không [...]... là firewall Firewall và mã nguồn mở Mỗi doanh nghiệp, tổ chức hay cá nhân đều có nhu cầu bảo vệ thông tin của mình Họ có thể lựa chọn nhiều giải pháp xây dựng firewall khác nhau để phục vụ cho mục đích của mình Firewall thì có rất nhiều loại từ loại firewall cứng, firewall mềm, các sản phẩm thương mại hay các sản phẩm mã nguồn mở khác Việc lựa chọn triển khai một sản phẩm firewall nào tùy thuộc vào... cả ở tầng ứng dụng Các sản phẩm Firewall (Firewall Products) Trên thị trường hiện nay chúng ta có thể tìm thấy ba loại network firewall cơ bản sau: Server-based, Appliance-based và Integrated Server-based firewall là một loại software firewall được cài đặt trên một hệ điều hành mạng (Network Operating System) và có chức năng của một firewall Nó có thể được triển khai trên các nền tảng sau đây • Apple... Circuit-Level Firewalls • Application-Level Firewalls • Stateful Multilayer Inspection Firewall Chương I: Tổng quan về Firewall Hình 1.4: Các kỹ thuật sử dụng trên firewall Chú ý đây không phải là cách phân loại các loại firewall, các công nghệ này hoàn toàn có thể được áp dụng trên cùng một loại firewall Dù cho firewall đó thuộc loại Serverbased firewall hay Appliance-based firewall hay loại Intergrated firewall. .. Firewall Lưu ý: Bạn có thể đọc được nhiều khái niệm về firewall từ một số quyển sách và một số website trên mạng Điều cần lưu ý ở đây là không có một thuật ngữ cố định cho việc miêu tả một bức firewall (The thing to note here is that there is no fixed terminology for the description of firewalls.) RFC 2196 Firewall có thể làm gì? Trước khi tìm hiểu về cách hoạt động của firewall chúng ta cần phải hiểu. .. là loại firewall dành cho cá nhân và máy tính cá nhân, ta có thể liệt firewall của các phần mềm diệt virus vào nhóm này Network Firewall: Sự khác nhau chính giữa hai loại firewall này đơn giản là số lượng máy tính mà nó bảo vệ Hình 1.3: Phân loại Firewall Personal Firewalls Đây là loại firewall được thiết kế để bảo vệ duy nhất một máy tính trước các truy cập trái phép Hiện nay nó đã được phát triển nên... hành này so với các hệ điều hành khác đã được chứng minh qua thời gian, hiểu quả và tính bảo mật của nó  Chi phí để chi trả cho firewall dựa trên mã nguồn mở gần như bằng không, bạn có thể download trực tiếp trên trang chủ và sử dụng cũng như có thể trả tiền để nhận được sự support tốt hơn từ nhà sản xuất Chương I: Tổng quan về Firewall  Đáp ứng được các công nghệ tiên tiến như lọc gói theo trạng... nghiệp vừa và nhỏ do những ưu điểm về giá cả, quản trị dễ dàng và đáp ứng đủ các nhu cầu Appliance-based firewall là một loại firewall dựa trên nền tảng phần cứng và được thiết kế đặc biệt như một thiết bị firewall chuyên dụng Ngoài chức năng là firewall nó còn một số chức năng thứ yếu khác Có thể kể tới một số sản phẩm như Cisco PIX, Jupiter's NetScreen Firewall hay Symantec Enterprise Firewall, các... lượng thiết bị mà còn giảm chi phí triển khai và quản lý các thiết bị đó Các firewall tích hợp như Cisco ASA hay Tipping Point X505 Firewall Technologies Trong phần này chúng ta sẽ tập trung vào các công nghệ được sử dụng trong các loại firewall khác nhau và cách nó làm việc như thế nào Ở hình 2 ta đã có một cái nhìn tổng quát về các loại firewall, tuy nhiên một loại firewall có thể sử dụng nhiều công... các phần tiếp theo chúng ta sẽ nghiên cứu kỹ hơn về từng loại firewall khác nhau mà ta đã đề cập tới Những ưu điểm của firewall dựa trên mã nguồn mở đó là:  Trước tiên nó là một dạng FOSS nên có những ưu thế như mã mở, cộng đồng người sử dụng lớn nên bạn hoàn toàn có thể nhận được sự giúp đỡ một cách dễ dàng, phát triển liên tục  Dựa trên nền tảng các hệ điều hành *nix Ưu điểm của các hệ điều hành... quan về Firewall • Microsoft Windows NT Có thể kể đến một số firewall loại này như Microsoft ISA Server, Check Point NG, Gauntlet, iptable trên Linux hay FreeBSD hay bộ lọc gói pf trên OpenBSD Ưu điểm của loại firewall này là nó khá đa năng ví dụ như nó có thể được triển khai thành một hệ thống DNS hay bộ lọc các spam mail Firewall loại này dễ dàng đảm nhiệm vai trò đa năng hơn các thiết bị firewall