i LỜI CẢM ƠN Lời xin bày tỏ lòng biết ơn chân thành tới PGS.TS Trịnh Nhật Tiến tận tình hướng dẫn, giúp đỡ để hoàn thành đề tài nghiên cứu Tôi gửi lời cảm ơn tới thầy, cô giáo Trường Đại học Công nghệ Thông tin Truyền thông - Đại học Thái Nguyên truyền đạt cho kiến thức chuyên đề, sở để tiếp cận kiến thức khoa học kiến thức chuyên ngành công nghệ thông tin Tôi xin bày tỏ lòng biết ơn thầy cô giáo Phòng Quản lý đào tạo sau đại học tạo điều kiện để có thời gian học tập nghiên cứu tốt Tôi đặc biệt muốn cảm ơn Sở Thông tin Truyền thông sở, ban, ngành tỉnh Tuyên Quang tạo điều kiện thuận lợi, giúp đỡ trình tìm hiểu, nghiên cứu thực tế địa phương; cảm ơn giúp đỡ gia đình, bạn bè đồng nghiệp thời gian qua Mặc dù cố gắng nhiều, song điều kiện thời gian kinh nghiệm thực tế nhiều hạn chế nên không tránh khỏi thiếu sót Vì vậy, mong nhận ý kiến góp ý thầy cô bạn bè, đồng nghiệp Tôi xin chân thành cảm ơn! Thái Nguyên, tháng năm 2014 Nguyễn Thanh Tùng ii LỜI CAM ĐOAN Tôi Nguyễn Thanh Tùng, học viên lớp cao học khoá 2012-2014 ngành CNTT, chuyên ngành Khoa học máy tính Tôi xin cam đoan luận văn "Kiểm soát an ninh mạng máy tính ứng dụng" nghiên cứu, tìm hiểu hướng dẫn PGS.TS.Trịnh Nhật Tiến Tôi xin chịu trách nhiệm lời cam đoan Thái Nguyên, tháng năm 2014 Tác giả Nguyễn Thanh Tùng Lớp Cao học KHMT 2012-2014 iii MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC HÌNH VẼ v MỞ ĐẦU Chương VẤN ĐỀ AN NINH MẠNG MÁY TÍNH 1.1 TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH 1.1.1 Khái niệm mạng máy tính 1.1.2 Các thiết bị kết nối mạng 1.1.3 Các hình thức kết nối mạng 1.1.4 Phân loại mạng máy tính 1.2 CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH 10 1.2.1 Xem trộm thông tin 11 1.2.2 Mạo danh 11 1.2.3 Vi phạm Tính bí mật thông tin 11 1.2.4 Vi phạm Tính toàn vẹn thông tin 12 1.2.5 Sự can thiệp Tin tặc (Hacker) 12 1.2.6 Vi phạm Tính toàn vẹn mã 12 1.2.7 Tấn công “Từ chối dịch vụ” 12 1.3 NGUYÊN NHÂN CỦA CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH 13 1.3.1 Do Dùng chung tài nguyên mạng MT 13 1.3.2 Do Sự phức tạp hệ thống mạng MT 13 1.3.3 Do Ngoại vi không giới hạn mạng MT 13 1.3.4 Do có Nhiều điểm công 13 1.4 MỘT SỐ VẤN ĐỀ BẢO VỆ HỆ THỐNG VÀ MẠNG 13 1.4.1 Các vấn dề chung bảo vệ hệ thống mạng 13 1.4.2 Một số khái niệm lịch sử bảo vệ hệ thống 14 1.4.3 Các loại lỗ hổng bảo vệ phương thức công mạng chủ yếu 15 1.5 KẾT LUẬN CHƯƠNG 18 Chương KIỂM SOÁT AN NINH MẠNG MÁY TÍNH 19 2.1 KIỂM SOÁT TRUY NHẬP MẠNG MÁY TÍNH 19 2.1.1 Hiểm họa an toàn hệ thống máy tính 19 2.1.2 Phương thức thực công 20 2.1.3 Các hình thức ngăn chặn kiểm soát lối vào thông tin 21 iv 2.1.4 Sử dụng mật cách an toàn 25 2.2 KIỂM SOÁT VÀ XỬ LÝ CÁC “LỖ HỔNG” THIẾU AN NINH TRONG MẠNG MÁY TÍNH 28 2.2.1 Khái niệm “lỗ hổng” ATTT 28 2.2.2 Phân loại lỗ hổng theo mức nguy hiểm 28 2.2.3 “Lỗ hổng” hệ thống mạng 28 2.2.4 Xử lý lỗ hổng thiếu an ninh phương pháp bảo vệ 29 2.3 KIỂM SOÁT VÀ PHÒNG CHỐNG CÁC DẠNG "TẤN CÔNG" VÀO MẠNG MÁY TÍNH 32 2.3.1 Tấn công mạng 32 2.3.2 Phòng chống dạng công vào mạng máy tính 33 2.4 MỘT SỐ CÔNG CỤ BẢO VỆ MẠNG MÁY TÍNH 36 2.4.1 Tường lửa 36 2.4.2 Mạng riêng ảo 38 2.5 KẾT LUẬN CHƯƠNG 43 Chương ỨNG DỤNG MÃ NGUỒN MỞ CẤU HÌNH CÁC GÓI LỌC TIN 44 3.1 BÀI TOÁN THỰC TẾ 44 3.1.1 Khảo sát nhu cầu 44 3.1.2 Mô hình 44 3.1.3 Giải pháp 45 3.2 CÀI ĐẶT CẤU HÌNH CÁC GÓI LỌC TIN 45 3.2.1 Firewall IPtable Redhat 45 3.2.2 Cấu hình Iptable 51 3.2.3 Ứng dụng Iptables làm IP Masquerading 54 3.2.4 Ứng dụng IPTABLES làm NAT 62 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 73 TÀI LIỆU THAM KHẢO 74 v DANH MỤC CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh ATTT Tiếng Việt HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure IP LAN Internet Protocol Local Area Network An toàn thông tin Giao thức cấu hình động máy chủ Hệ thống tên miền Giao thức truyền tập tin Mạng toàn cầu Giao diện người dùng đồ họa Hệ điều hành Giao thức truyền tải siêu văn Là kết hợp giao thức HTTP giao thức bảo mật SSL hay TLS Giao thức Internet Mạng nội MAN Metropolitan Area Network Mạng đô thị DNS FTP GAN Dynamic Host Configuration Protocol Domain Name System File Transfer Protocol Global Area Network GUI Graphical User Interface DHCP HĐH MT Máy tính OSI Open Systems Interconnection Reference Model TCP Transmission Control Protocol WAN Wide Area Network Mô hình tham chiếu kết nối hệ thống mở Giao thức Điều Khiển Truyền Thông Mạng diện rộng vi DANH MỤC HÌNH VẼ Số hiệu hình vẽ Tên hình vẽ Hình 1.1 Kết nối hình Hình 1.2 Kết nối dạng đường thẳng Hình 1.3 Kế nối dạng đường tròn Hình 1.4 Kết nối vệ tinh Hình 1.5 Xem trộm thông tin Hình 1.6 Mạo danh Hình 1.7 Sửa nội dung thông tin Hình 2.1 Hacker Hình 2.2 Mật cách thức bảo vệ Hình 2.3 Sử dụng cất giữ mật cách an toàn Hình 2.4 Mô hình mạng đa tảng Hình 2.5 Tường lửa cứng Hình 2.6 Tường lửa mềm Hình 2.7 Mạng riêng ảo Hình 2.8 Truy nhập từ xa Hình 2.9 Đặc trưng máy khách VPN Hình 3.1 Mô hình tường lửa bảo vệ mạng Hình 3.2 Đường packet Hình 3.3 Mô hình kết nối máy Linux Anybox Hình 3.4 Mô hình kết nối máy Linux với mạng nội Internet MỞ ĐẦU Lý chọn đề tài Hiện quan, tổ chức có hệ thống mạng máy tính riêng kết nối với mạng Internet ứng dụng nhiều tiện ích CNTT công tác chuyên môn, nghiệp vụ Việc làm góp phần tích cực quản lý, điều hành, kết nối, quảng bá chìa khoá thành công cho phát triển chung họ Trong hệ thống mạng máy tính có chứa nhiều liệu, thông tin quan trọng liên quan đến hoạt động quan, tổ chức Điều hấp dẫn, thu hút kẻ công Công nghệ máy tính mạng máy tính liên tục phát triển thay đổi, phần mềm liên tục đời mang đến cho người nhiều tiện ích hơn, lưu trữ nhiều liệu hơn, tính toán tốt hơn, chép truyền liệu máy tính nhanh chóng thuận tiện hơn, Nhưng bên cạnh đó, hệ thống mạng tồn nhiều lỗ hổng, nguy an toàn thông tin Các vụ xâm nhập mạng lấy cắp thông tin nhạy cảm phá hủy thông tin diễn ngày nhiều, thủ đoạn kẻ phá hoại ngày tinh vi Vấn đề an ninh mạng máy tính biết đến nhiều giới có nhiều phương pháp kiểm soát an ninh mạng máy tính Tuy nhiên, địa phương nay, vấn đề an ninh mạng máy tính chưa nhận thức cách đầy đủ Từ lựa chọn đề tài "Kiểm soát an ninh mạng máy tính ứng dụng" sở nghiên cứu luận văn Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: Nghiên cứu phương pháp kiểm soát an ninh mạng máy tính (Kiểm soát truy nhập mạng máy tính; kiểm soát xử lý "lỗ hổng" thiếu an ninh mạng máy tính; kiểm soát phòng chống dạng "tấn công" vào mạng máy tính) Phạm vi nghiên cứu: Nghiên cứu tường lửa mạng riêng ảo Ứng dụng tường lửa mã nguồn mở cài đặt thử nghiệm chương trình Những nội dung nghiên cứu Chương Vấn đề an ninh mạng máy tính Nội dung chương nêu tổng quan mạng máy tính, hiểm hoạ mạng máy tính nguyên nhân hiểm hoạ Chương Kiểm soát an ninh mạng máy tính Nội dung chương trình bày phương pháp kiểm soát an ninh mạng máy tính Chương Ứng dụng mã nguồn mở để cấu hình gói lọc tin Giới thiệu mô hình mạng máy tính địa phương ứng dụng tường lửa nguồn mở để kiểm soát an ninh mạng Chương VẤN ĐỀ AN NINH MẠNG MÁY TÍNH 1.1 TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH 1.1.1 Khái niệm mạng máy tính 1.1.1.1 Định nghĩa Mạng máy tính tập hợp máy tính nối với môi trường truyền (đường truyền) theo cấu trúc thông qua máy tính trao đổi thông tin qua lại cho Môi trường truyền hệ thống thiết bị truyền dẫn có dây hay không dây dùng để chuyển tín hiệu điện tử từ máy tính đến máy tính khác Các tín hiệu điện tử biểu thị giá trị liệu dạng xung nhị phân (on – off) Tất tín hiệu truyền máy tính thuộc dạng sóng điện từ Tùy theo tần số sóng điện từ dùng môi trường truyền vật lý khác để truyền tín hiệu Ở môi trường truyền kết nối dây cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến … Các môi trường truyền liệu tạo nên cấu trúc mạng Hai khái niệm môi trường truyền cấu trúc đặc trưng mạng máy tính 1.1.1.2 Các thành phần mạng máy tính 1/ Đường truyền vật lý Đường truyền vật lý dùng để chuyển tín hiệu điện tử máy tính Các tín hiệu điện tử biểu thị giá trị liệu dạng xung nhị phân (on off) Các tín hiệu truyền máy tính thuộc dạng sóng điện từ đó, chải từ tần số radio tới sóng cực ngắn (viba) tia hồng ngoại Tuỳ theo tần số sóng điện từ dùng đường truyền vật lý khác để truyền tín hiệu 2/ Kiến trúc mạng Kiến trúc mạng thể cách kết nối máy tính với nhau, cách kết nối máy tính gọi hình trạng (Topology) mạng Khi phân loại theo Topo người ta phân loại thành mạng hình sao, tròn, tuyến tính Tập hợp quy tắc, quy ước mà tất thực thể tham gia truyền thông mạng gọi giao thức (Protocol) mạng Phân loại theo giao thức mà mạng sử dụng người ta phân loại thành mạng TCPIP, NETBIOS 1.1.2 Các thiết bị kết nối mạng 1.1.2.1 Thiết bị chuyển mạch Thực chuyển tiếp liệu thiết bị đầu cuối kết nối mạng Nó có khả kết nối nhiều segment lại với tuỳ thuộc vào số cổng (port) 1.1.2.2 Thiết bị dồn/tách kênh Thực kết nối nhiều thiết bị cuối có tốc độ trao đổi liệu thấp, đường truyền có dung lượng cao 1.1.2.3 Các tập trung Thực kết nối thiết bị cuối 1.1.2.4 Hệ thống truyền dẫn Kết nối vật lý thiết bị mạng máy tính với thiết bị cuối Dữ liệu ứng dụng truyền dạng tín hiệu điện tử hệ thống truyền dẫn Tín hiệu điện tử dạng số hoá, hay dạng tương tự 1.1.3 Các hình thức kết nối mạng 1.1.3.1 Kết nối Điểm - Điểm 1/ Kết nối hình Hình 1.1 Kết nối hình 60 Bước 2: Kiểm tra kết nối máy cục đến Server Masquerading -masq-client# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 3: Kiểm tra kết nối cục Server IP Masquerading -masq-server# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - - Bước 4: Kiểm tra kết nối server IP Masquerading đến máy cục 61 masq-server# ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10): 56 data bytes 64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.10 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 5: Kiểm tra kết nối giao diện với bên server Masquerading masq-server# ping 12.13.14.15 PING 12.13.14.15 (12.13.14.15): 56 data bytes 64 bytes from 12.13.14.15: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 12.13.14.15: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 12.13.14.15: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 12.13.14.15: icmp_seq=3 ttl=255 time=0.5 ms ^C - 12.13.14.15 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - - Bước 6: Kiểm tra kết nối máy nội đến giao diện bên server Masquerading masq-client# ping 12.13.14.15 62 PING 12.13.14.15 (12.13.14.15): 56 data bytes 64 bytes from 12.13.14.15: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 12.13.14.15: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 12.13.14.15: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 12.13.14.15: icmp_seq=3 ttl=255 time=0.5 ms ^C - 12.13.14.15 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - 3.2.4 Ứng dụng IPTABLES làm NAT Trong ứng dụng dùng Iptables máy chủ Linux làm IP NAT cho phép mạng bên truy cập vào mạng nội cho phép mạng nội truy cập mạng bên qua IP NAT - Khi máy bên mạng nội truy cập vào tài nguyên bên packet gửi đến IP NAT, IP NAT thay đổi địa nguồn packet địa hợp lệ dãy địa cấp Internet - Khi máy mạng bên truy cập tài nguyên mạng cục qua IP NAT, packet đến IP NAT thay đổi địa đích packet địa mạng nội Hình 3.4 Mô hình kết nối máy Linux với mạng nội Internet 3.2.4.1 Các chain người dùng định nghĩa - ‘bad_tcp_packet’: chứa nguyên tắc xem xét packet TCP vào có header dị hình Loại packet có bit SYN ACK bật 63 xem packet đầu kết nối mới, loại packet bit SYN bắt đầu xem packet đầu kết nối - ‘allowed’: Chứa nguyên tắc xem xét packet TCP có bit SYN bắt đầu xem packet đầu kết nối phép qua Cho phép packet đến từ kết nối thiết lập (ESTABLISHED) quan hệ với kết nối thiết lập (RELATED) để thông tin truyền hai hướng Cuối huỷ tất trường hợp lại - ‘tcp_packets’: Chỉ định số hiệu cổng phép sử dụng Firewall từ Internet (xét số hiệu cổng trạng thái packet) - ‘udp_packets’: Chứa nguyên tắc xem xét packet UDP có số hiệu cổng chấp nhận Firewall Internet (chỉ xét số hiệu cổng, không xét trạng thái packet) - ‘icmp_packets’: Chứa nguyên tắc xem xét packet ICMP có kiểu chấp nhận 3.2.4.2 Cấu trúc file cấu hình file cấu hình - configuration: Phần cấu hình chung cho script Phần bao gồm định nghĩa giao diện, địa IP giao diện vị trí chương trình iptables - modules: Tải vào kernel modules cần thiết cho ứng dụng - filtertr table: * proc : Cấu hình đòi hỏi hệ thống file proc * set policies : Đặt sách mặc định cho chain hệ thống * create userspecified chains : Tạo chain người dùng định nghĩa * create content in userspecified chains : Tạo nội dung cho chain người dùng định nghĩa * INPUT chain : nguyên tắc cho chain INPUT * FORWARD chain : nguyên tắc cho chain FORWARD * OUTPUT chain : nguyên tắc cho chain OUTPUT - nat table : * PREROUTING chain : nguyên tắc cho chain PREROUTING * POSTROUTING chain : nguyên tắc cho chain POSTROUTING 64 - Chú ý : file script /etc/rc.d/rc.local gọi file script /etc/rc.d/rc.Firewall_nat sau lần khởi động hệ thống Script tải tất modules cần thiết cho IP NAT - Sau file cấu hình cho IP NAT(SNAT DNAT) #!/bin/sh # rc.Firewall_nat – Kh.i t.o IP NAT (SNAT - DNAT) # cho Kernel Linux 2.4.x s d.ng iptables # ############################################# # # # Configuration options # 1.1 Cấu hình giao diện với Internet INET_IP="203.162.76.1" INET_IFACE="eth0" INET_BROADCAST="203.162.76.255" # 1.2 Cấu hình giao diện cục LAN_IP="192.168.0.1" LAN_IP_RANGE="192.168.0.0/24" LAN_IFACE="eth1" # 1.3 Cấu hình giao diện Localhost LO_IFACE="lo" LO_IP="127.0.0.1" # 1.4 Vị trí chương trình iptables IPTABLES="/usr/sbin/iptables" ############################################# # # # Tải Module cần thiết /sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter 65 /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state # # # # # # # # # # # # # # # # ## # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # Cấu hình cần thiết cho hệ thống file proc echo "1" > /proc/sys/net/ipv4/ip_forward ############################################# ## # Cài đặt nguyên tắc # 4.1 Filter table # 4.1.1 Cài đặt sách mặc định cho chain hệ thống $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP # 4.1.2 T.o chain ngu.i dùng ð.nh nghia # Tạo chain bad_ tcp_packets $IPTABLES -N bad_tcp_packets # Tạo chain allowed, tcp_packets, udp_packets, icmp_packets # $IPTABLES -N allowed $IPTABLES -N tcp_packets $IPTABLES -N udp_packets $IPTABLES -N icmp_packets # 4.1.3 Tạo nội dung chain người dùng định nghĩa # bad_tcp_packets chain # $IPTABLES -A bad_tcp_packets -p tcp tcp-flags SYN,ACK SYN,ACK \ 66 -m state state NEW -j REJECT reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! syn -m state state NEW -j LOG \ log-prefix "New not syn:" $IPTABLES -A bad_tcp_packets -p tcp ! syn -m state state NEW -j DROP # # allowed chain # $IPTABLES -A allowed -p TCP syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP # # TCP rules # $IPTABLES -A tcp_packets -p TCP -s 0/0 dport 21 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 dport 22 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 dport 80 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 dport 113 -j allowed # # UDP ports # $IPTABLES -A udp_packets -p UDP -s 0/0 destination-port 2074 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 destination-port 4000 -j ACCEPT # # ICMP rules # 67 $IPTABLES -A icmp_packets -p ICMP -s 0/0 icmp-type -j ACCEPT $IPTABLES -A icmp_packets -p ICMP -s 0/0 icmp-type 11 -j ACCEPT # # 4.1.4 INPUT chain # # Các packet dị dạng không muốn # $IPTABLES -A INPUT -p tcp -j bad_tcp_packets # # Các nguyên tắc cho mạng không phần Internet # $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT # # Nguyên tắc cho packet đến từ Internet # $IPTABLES -A INPUT -p ALL -d $INET_IP -m state state ESTABLISHED,RELATED \ -j ACCEPT $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets # # Ghi lại packet không khớp với nguyên tắc # $IPTABLES -A INPUT -m limit limit 3/minute limit-burst -j LOG \ 68 log-level DEBUG log-prefix "IPT INPUT packet died: " # # 4.1.5 FORWARD chain # Các packet dị dạng không muốn # $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets $IPTABLES -A FORWARD –p TCP -i $INET_IFACE –o $LAN_IFACE -j ACCEPT # # Chấp nhận packet muốn forward # $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT $IPTABLES -A FORWARD -m state state ESTABLISHED,RELATED -j ACCEPT # # Ghi lại packet không khớp với nguyên tắc # $IPTABLES -A FORWARD -m limit limit 3/minute limit-burst -j LOG\ log-level DEBUG log-prefix "IPT FORWARD packet died: " # # 4.1.6 OUTPUT chain ## # Các packet dị dạng không muốn # $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets # # Các nguyên tắc OUTPUT phép # $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT 69 $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT # # Ghi lại packet không khớp với nguyên tắc # $IPTABLES -A OUTPUT -m limit limit 3/minute limit-burst -j LOG\ log-level DEBUG log-prefix "IPT OUTPUT packet died: " ###### # 4.2 Nat table # # 4.2.1 PREROUTING chain – cho phép DNAT # $IPTABLES -t nat -A PREROUTING –p TCP -i $INET_IFACE -d $INET_IP – dport 23 –j DNAT –to-destination 192.168.0.254 # # 4.2.2 POSTROUTING chain ## # Cho phép SNAT # $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT to-source $INET_IP - Cấu hình cho máy nội truy cập mạng bên IP NAT thực ứng dụng IP Masquerading 3.2.4.3 Kiểm tra NAT từ mạng nội đến mạng bên ngược lại - Bước 1: Kiểm tra kết nối cục máy nội -nat-client# ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10): 56 data bytes 70 64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms - 192.168.0.10 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 2: Kiểm tra kết nối máy cục đến server IP NAT -nat-client# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 3: Kiểm tra kết nối cục Server IP NAT -nat-server# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms ^C 71 - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - Bước 4: Kiểm tra kết nối server IP NAT đến máy cục -nat-server# ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10): 56 data bytes 64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.10 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bước 5: Kiểm tra kết nối giao diện với bên server IP NAT nat-server# ping 203.162.76.1 PING 203.162.76.1(203.162.76.1): 56 data bytes 64 bytes from 203.162.76.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 203.162.76.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 203.162.76.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 203.162.76.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 203.162.76.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms 72 - - Bước 6: Kiểm tra kết nối từ máy nội đến giao diện bên server IP NAT nat-client# ping 203.162.76.1 PING 203.162.76.1(203.162.76.1): 56 data bytes 64 bytes from 203.162.76.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 203.162.76.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 203.162.76.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 203.162.76.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 203.162.76.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - 73 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Đề tài Kiểm soát anh ninh mạng máy tính mối quan tâm hàng đầu nhà quản trị mạng nói riêng nhà tin học nói chung Vấn đề đảm bảo an toàn cho mạng máy tính trước công xâm nhập trái phép, hạn chế thấp rủi ro thiệt hại việc làm đầy khó khăn thách thức Đòi hỏi người làm CNTT cần thiết phải có kiến thức am hiểu nguy có mạng máy tính Luận văn trình bầy mối hiểm hoạ mạng máy tính, phương pháp kiểm soát an ninh mạng máy tính công cụ bảo vệ Mục đích luận văn tìm hiểu phương pháp kiểm soát mạng máy tính; công cụ bảo vệ mạng máy tính để từ đề biện pháp phòng chống, ngăn chặn cho mạng máy tính cách hiệu Kết nghiên cứu hướng tới khả áp dụng vào thực tế việc quản lý, vận hành sử dụng mạng máy tính quan, tổ chức Các kết đạt cụ thể luận văn gồm: Tìm hiểu hiểm hoạ mạng máy tính, nguyên nhân hiểm hoạ mạng máy tính Trình bày phương pháp kiểm soát mạng máy tính; công cụ bảo vệ mạng máy tính Đề xuất biện pháp kỹ thuật bảo vệ mạng máy tính cách an toàn Xây dựng mô thử nghiệm ứng dụng bảo vệ mạng máy tính Tuy nhiên mặt thời gian nghiên cứu có hạn, việc thử nghiệm ứng dụng kết đạt luận văn không tránh khỏi hạn chế định Hướng phát triển luận văn triển khai ứng dụng vào thực tế, đồng thời kết hợp với hệ thống an ninh mạng nhằm tăng mức độ an ninh an toàn cho mạng máy tính 74 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Trịnh Nhật Tiến, “An ninh mạng”, Trường Đại học Công nghệ, Đại học quốc gia HN, 2010 [2] Trịnh Nhật Tiến, “An toàn liệu”, Trường Đại học công nghệ, Đại học quốc gia Hà Nội, 2008 Tiếng Anh [3] Andrew Lockhart, Network Security Hacks, O'Reilly Media, 2006 [4] Roberta Bragg, Mark Rhodes – Ousley, Keith Strassberg, Network Security, McGraw-Hill Education, 2004 [5] Oskar Andreasson, Iptables Tutorial, GNU General Public License, 2001 Trang Website [6] http://root.vn/threads/thiet-lap-tuong-lua-iptables-cho-linux.9635/ ... phương pháp kiểm soát an ninh mạng máy tính (Kiểm soát truy nhập mạng máy tính; kiểm soát xử lý "lỗ hổng" thiếu an ninh mạng máy tính; kiểm soát phòng chống dạng "tấn công" vào mạng máy tính) Phạm... hình mạng máy tính địa phương ứng dụng tường lửa nguồn mở để kiểm soát an ninh mạng 3 Chương VẤN ĐỀ AN NINH MẠNG MÁY TÍNH 1.1 TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH 1.1.1 Khái niệm mạng máy tính. .. phương pháp kiểm soát an ninh mạng máy tính Tuy nhiên, địa phương nay, vấn đề an ninh mạng máy tính chưa nhận thức cách đầy đủ Từ lựa chọn đề tài "Kiểm soát an ninh mạng máy tính ứng dụng" sở nghiên