Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server Lê An Tân – April 2006 Trang 1 IPCop là mt bn phân phi Linux thun túy dùng làm Proxy Server có chc nng "tng la" (firewall) chuyên nghip bo v h thng mng trc các nguy c nh virus và xâm nhp bt hp pháp. IPCop Firewall không đòi hi cu hình phn cng cao nên cho phép tn dng máy tính c. Trc khi cài đt và trin khai IPCop, nên tham kho danh sách các phn cng tng thích vi IPCop ti trang web: http://ipcop.sourceforge.net/cgi-bim/twiki/view/IPCopHCLv01. IPCop Firewall/Router có nhiu tính nng mnh mà ngay c nhng sn phm tng la thng mi hàng đu cng không có đc.  tng cng bo mt cho các ng dng và ti u hóa bng thông, IPCop đã tích hp nhng chng trình bo mt hàng đu vi nhng tính nng hu ích nh: 1. Linux Netfilter - Stateful Packet Inspection: mt ng dng firewall ni ting và mnh. 2. Snort -Network IDS: h thng dò tìm và phát hin s xâm nhp trái phép. 3. Squid – Web Proxy: chng trình kim soát và tng tc truy cp Internet. 4. H tr FreeS/WAN IPSec cho phép xây dng máy ch VPN cung cp truy cp tài nguyên ni b cho ngi dùng t xa thông qua các phiên truyn đc mã hóa và chng thc cht ch. 5. Ngoài ra còn có các dch v mng ph bin và quan trng nh DHCP server cp đa ch IP đng, h tr chc nng đng kí tên min đng thông qua c ch Dynamic DNS 6. Giao din qun lý, cu hình thân thin và d s dng thông qua môi trng web. 7. C ch t vá li và cp nht các chính sách bo mt t đng. 8. Cho phép sao lu và khôi phc nhanh chóng các thông tin cu hình ca IPCop khi có s c xy ra. Yêu cu thit b ti thiu : • PC 386 vi 16MB RAM (nên có nhiu hn nu s dng chc nng IDS ca Snort và tng tc đ truy cp Internet ca Squid) • a cng ATA dung lng ti thiu 125MB + 2x (dung lng b nh RAM) • Ngoài ra, IPCop là mt h thng firewall cho nên cn có ít nht hai card mng (NIC): mt cho môi trng bên ngoài (Internet) và mt cho h thng ni b (LAN). Lu ý: khi cài đt IPCop, đa cng s đc phân vùng li, toàn b d liu đang có s b xóa. Các kiu vùng mng : • Red: lp mng giao tip vi h thng bên ngoài nh Internet. • Green: h thng mng ni b ca công ty, gm máy tính ca các nhân viên, phòng ban • Orange: đây là vùng DMZ dành cho các web server, mail server… Client t Internet có th kt ni đn vùng này mà không nh hng đn vùng Green. • Blue: đây là vùng dành riêng cho các thit b không dây nhm tng cng tính bo mt cho các máy tính và d liu đc truyn trong môi trng này. Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server TRIN KHAI IPCOP FIREWALL/ROUTER Chúng ta dùng mô hình mng có 1 đng truyn ADSL vi đa ch modem ADSL (IP: 192.168.8.1) đ minh ha. Lúc này trên máy tính cài IPCop cn 2 card mng: Red có IP 192.168.8.2 và Green có IP 192.168.1.1. Ti v tp tin nh đa (iso) cài đt IPCop t website www.ipcop.org, sau đó dùng chng trình ghi đa nh Nero Burn ghi file nh lên đa CD. Khi đng máy tính vi CD này, màn hình chào hin th nh bên di. Lê An Tân – April 2006 Trang 2 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server Nhn Enter đ bt đu và ch tin trình khi đng hoàn tt. Tip theo xác đnh ngôn ng hin th cho IPCop, version 1.4.10 đã h tr ting Vit t giao din cài đt đn giao din qun tr.  đây chúng ta chn English và nhn OK. Chng trình cài đt s xác nhn li mt ln na, nhn OK đ tip tc Lê An Tân – April 2006 Trang 3 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server Sau đó chn cài đt t CD ROM trên khung Select installation media. IPCOP nhc li rng đa cng s đc phân vùng li, mi d liu đang có trên đó s b xoá sch. Bm OK đ đng ý và tip tc hoc CANCEL đ hu b và khi đng li máy tính. Lê An Tân – April 2006 Trang 4 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server Sau khi h thng tp tin đc khi to, mt màn hình nhc nh có cn phc hi IPCop Firewall t đa mm lu gi thông tin cu hình hay không, chn Skip đ b qua bc này. Tip theo chúng ta cn xác đnh các trình điu khin (driver) và tham s cho các card mng, chn Probe đ h thng t đng dò tìm hoc chn Select nu nh mun t mình xác đnh. Lu ý là  bc này ta ch cài đt card mng cho vùng GREEN mà thôi, card mng vùng RED s đc cài đt  bc sau. Sau khi trình điu khin cho GREEN interface đc np, chúng ta s cu hình các tham s TCP/IP cho card mng này, theo mô hình  trên chúng ta s nhp vào: IP address: 192.168.1.1Network mask: 255.255.255.0 Lê An Tân – April 2006 Trang 5 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server Lúc này tt c các thành phn cn thit ca IPCop đã đc cài đt, h thng s yêu cu ta ly đa CD cài đt ra khi  CD-ROM, bm OK đ bt đu khi to các thông tin cu hình c bn. Hãy chn kiu bàn phím (keyboard) là US và chn Time zone phù hp vi múi gi ti đa phng. Lê An Tân – April 2006 Trang 6 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server t tên và domain cho IPCop Firewall, ví d ipcop và localdomain ri chn OK, chúng ta có th thay đi các thông tin này trong phn qun tr IPCop. Bc tip theo là cu hình thông s cho mng ISDN. Do s dng ADSL nên ta chn Disable ISDN. Lê An Tân – April 2006 Trang 7 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server Sau đó chúng ta xác đnh thêm v các thông tin nh TCP/IP ca RED interface, dãy đa ch đng cp cho các client, đa ch DNS, gateway, mt mã đng nhp h thng và website qun tr và khi đng li h thng. • Vào mc Network configuration type. Chn kiu cu hình mng là GREEN + RED. • Chn Drivers and card assignments đ vào chc nng dò tìm card mng. Lúc này chúng ta cài đt card mng cho vùng RED, cách làm ging nh đi vi vùng GREEN. • Vào mc Address settings, chn RED đ đt IP cho card mng vùng RED. • Vào mc DNS and Gateway settings đ cu hình Default Gateway và DNS Server dùng đ kt ni ra Internet. Lê An Tân – April 2006 Trang 8 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server t IP cho card mng vùng RED: 192.168.1.2 Cu hình Default Gateway là IP ca Router ADSL (192.168.1.1), đa ch DNS tu theo ISP (ví d: FPT là 210.245.31.10 và 210.245.31.130 – VDC là 203.162.4.190 và 203.162.4.191) Cu hình DHCP, nu mng dùng IP tnh thì đ trng mc Enable ri bm OK. Lê An Tân – April 2006 Trang 9 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server Tip theo là đt mt khu cho tài khon root. Mt khu qun tr, bn s đc hi mt khu này khi truy cp vào trang web qun tr ca IPCop. n đây là quá trình cài đt đã hoàn tt. Bm OK đ khi đng li máy tính. Lê An Tân – April 2006 Trang 10 [...]... n M m AZ Lê An Tân – April 2006 Tài li u IPCop Proxy Server Trang 11 Công ty CP Gi i Pháp Ph n M m AZ Tài li u IPCop Proxy Server QU N TR IPCOP FIREWALL/ROUTER Chúng ta có th qu n tr IPCop b ng giao di n web t b t c máy tính nào trong h th ng c a mình, ngo i tr chính nó Vì là m t firewall nên b n có th tháo b các thi t b ngo i vi nh chu t, bàn phím và c màn hình kh i IPCop Firewall ti t ki m chi phí... Pháp Ph n M m AZ H NG D N CÀI 1 CÔNG C TM TS Tài li u IPCop Proxy Server ADD-ON CHO IPCOP K T N I SSH IPCop s d ng giao th c SSH SSH là giao th c an toàn cho phép k t n i t xa n m t máy tính, ng i dùng có th ch y các dòng l nh ho c th c hi n sao chép d li u gi a 2 máy tính th c hi n cài t add-on lên h th ng IPCop chúng ta dùng m t ch ng trình SSH Client Tài li u h ng d n này s minh ho d a trên ph n... a server IPCop User name là root M c nh giao th c SSH dùng port 22 nh ng IPCop l i s d ng port 222 nên ta ph i s a l i cho úng Các m c khác không i Lê An Tân – April 2006 Trang 19 Công ty CP Gi i Pháp Ph n M m AZ B m nút Profiles, ch n Profile ã c u hình b t thi t l p trong quá trình cài t IPCop L n k t n i host hay không, tr l i YES Tài li u IPCop Proxy Server u k t n i Nh p password c a tài kho n... Ngoài ra có th l p l ch ng l i ho c Shutdown t t máy tính ch y IPCop IPCop t Reboot hay Shutdown m c Shedule IPCop reboots 2 STATUS Khi h th ng ã ho t ng, chúng ta c n xem xét tr ng thái hi n t i c a firewall, nh ng d ch v nào ang ch y, quá trình s d ng b nh , a Lê An Tân – April 2006 Trang 14 Công ty CP Gi i Pháp Ph n M m AZ Tài li u IPCop Proxy Server 2.1 Giám sát các d ch v C n m b o t t c các... whitelist Tài li u IPCop Proxy Server 2 ch c n ng này có hi u l c 3.1 Network based access control B n có th nh p nhi u a ch IP ng n cách b ng kho ng tr ng (space) 3.2 Block page settings Lê An Tân – April 2006 Trang 25 Công ty CP Gi i Pháp Ph n M m AZ Tài li u IPCop Proxy Server Redirect to this URL: chuy n ti p t i a ch này khi user truy c p trang b c m Message line 1, 2, 3: các thông i p nh c nh IPCop. .. qu n tr , hãy nh p vào a ch sau http:/ /ipcop: 81 ho c http://192.168.1.1:81 tùy theo a ch m ng trong c a firewall ng nh p vào màn hình qu n tr Trong giao di n web qu n tr h th ng IPCop Firewall, trên thanh công c có các menu i u khi n nh : System, Status, Network, Services, Firewall Tr c khi có th truy c p các ch c n ng i u khi n c a IPCop, b n c n ng nh p v i tài kho n admin D i ây s i m qua m t s... profile k tn i gi ng nh trên Sau khi logon b n s vào console c a server IPCop T ây b n có th th c hi n ch y các l nh gi ng nh ang thao tác tr c ti p trên server Lê An Tân – April 2006 Trang 20 Công ty CP Gi i Pháp Ph n M m AZ Tài li u IPCop Proxy Server 2 ADVANCED PROXY Advanced Proxy là m t Plugin thay th cho d ch v Proxy chu n c a IPCop nh m b sung thêm nhi u tính n ng h u ích L u ý: Tr c khi cài t... các l nh sau: o o o cd / tar –xzf ipcop- advproxy-version.tar.gz (version: gõ theo tên file) ipcop- advproxy/install Ch ng trình s t ti n hành cài t vào h th ng 2.2 S d ng Ph n Common settings và Upstream proxy thì không có gì khác L u ý: Proxy port Lê An Tân – April 2006 ây ph i t trùng v i port ã t trên d ch v Proxy Trang 21 Công ty CP Gi i Pháp Ph n M m AZ Tài li u IPCop Proxy Server Log enable: b... t n i ra Internet Lê An Tân – April 2006 Trang 23 Công ty CP Gi i Pháp Ph n M m AZ Tài li u IPCop Proxy Server Authentication method: ch n ki u ch ng th c ng h ng d n c a Advanced Proxy i dùng Tham kh o thêm trong tài li u Sau khi thi t l p các tu ch n, b m nút Save l u l i nh ng thay i Các thi t l p s có hi u l c khi IPCop kh i ng l i N u mu n các thi t l p có hi u l c ngay thì b m Save and restart... reboot h th ng firewall hay không Lê An Tân – April 2006 Trang 12 Công ty CP Gi i Pháp Ph n M m AZ Tài li u IPCop Proxy Server 1.2 SSH Access cho phép qu n tr IPCop firewall/router m c sâu, c n ph i thi t l p SSH Server thông qua menu SSH Access và ch n enable (m c nh disable) L u ý: SSH server trên IPCop s d ng port 222 cho nên chúng ta c n ph i k t n i SSH Client port 222 thay vì port 22 nh thông . AZ Tài liu IPCop Proxy Server t tên và domain cho IPCop Firewall, ví d ipcop và localdomain ri chn OK, chúng ta có th thay đi các thông tin này trong phn qun tr IPCop. Bc. liu IPCop Proxy Server Lê An Tân – April 2006 Trang 11 Công ty CP Gii Pháp Phn Mm AZ Tài liu IPCop Proxy Server QUN TR IPCOP FIREWALL/ROUTER Chúng ta có th qun tr IPCop. ha. Lúc này trên máy tính cài IPCop cn 2 card mng: Red có IP 192.168.8.2 và Green có IP 192.168.1.1. Ti v tp tin nh đa (iso) cài đt IPCop t website www .ipcop. org, sau đó dùng chng