i đại học thái nguyên Tr-ờng đại học CÔNG NGHệ THÔNG TIN Và TRUYềN THÔNG NGUYN THANH TNG KIM SỐT AN NINH MẠNG MÁY TÍNH VÀ ỨNG DỤNG LUẬN VN THC S KHOA HC MY TNH thái nguyên - năm 2014 S húa bi Trung tõm Hc liu http://www.lrc-tnu.edu.vn/ ii đại học thái nguyên Tr-ờng đại học CÔNG NGHệ THÔNG TIN Và TRUYềN THÔNG NGUYN THANH TNG KIM SOT AN NINH MẠNG MÁY TÍNH VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01 Ngƣời hƣớng dẫn khoa học: PGS.TS TRỊNH NHẬT TIẾN Thái Nguyên, 2014 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ iii LỜI CẢM ƠN Lời tơi xin bày tỏ lịng biết ơn chân thành tới PGS.TS Trịnh Nhật Tiến tận tình hƣớng dẫn, giúp đỡ để tơi hồn thành đề tài nghiên cứu Tôi gửi lời cảm ơn tới thầy, cô giáo Trƣờng Đại học Công nghệ Thông tin Truyền thông - Đại học Thái Nguyên truyền đạt cho kiến thức chuyên đề, sở để tiếp cận kiến thức khoa học kiến thức chuyên ngành công nghệ thơng tin Tơi xin bày tỏ lịng biết ơn thầy giáo Phịng Quản lý đào tạo sau đại học tạo điều kiện để tơi có đƣợc thời gian học tập nghiên cứu tốt Tôi đặc biệt muốn cảm ơn Sở Thông tin Truyền thông sở, ban, ngành tỉnh Tuyên Quang tạo điều kiện thuận lợi, giúp đỡ tơi q trình tìm hiểu, nghiên cứu thực tế địa phƣơng; cảm ơn giúp đỡ gia đình, bạn bè đồng nghiệp thời gian qua Mặc dù cố gắng nhiều, song điều kiện thời gian kinh nghiệm thực tế cịn nhiều hạn chế nên khơng tránh khỏi thiếu sót Vì vậy, tơi mong nhận đƣợc ý kiến góp ý thầy cô nhƣ bạn bè, đồng nghiệp Tôi xin chân thành cảm ơn! năm 2014 Nguyễn Thanh Tùng Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ iv LỜI CAM ĐOAN Tôi , học viên lớp cao học khoá 2012-2014 ngành CNTT, chuyên ngành Khoa học máy tính Tơi xin cam đoan luận văn " " tơi nghiên cứu, tìm hiểu dƣới hƣớng dẫn PGS.TS.Trịnh Nhật Tiến Tôi xin chịu trách nhiệm lời cam đoan Thái Nguyên, tháng năm 2014 Tác giả Lớp Cao học KHMT 2012-2014 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ v MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN iv MỤC LỤC v DANH MỤC HÌNH VẼ vii .1 Chương VẤN ĐỀ AN NINH MẠNG MÁY TÍNH 1.1 TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH .3 1.1.1 Khái niệm mạng máy tính 1.1.2 Các thiết bị kết nối mạng 1.1.3 Các hình thức kết nối mạng 1.1.4 Phân loại mạng máy tính 1.2 CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH .10 1.2.1 Xem trộm thông tin 11 1.2.2 Mạo danh 11 1.2.3 Vi phạm Tính bí mật thơng tin 11 1.2.4 Vi phạm Tính tồn vẹn thơng tin .12 1.2.5 Sự can thiệp Tin tặc (Hacker) 12 1.2.6 Vi phạm Tính tồn vẹn mã .12 1.2.7 Tấn công “Từ chối dịch vụ” .12 1.3 NGUYÊN NHÂN CỦA CÁC HIỂM HOẠ TRÊN MẠNG MÁY TÍNH .13 1.3.1 Do Dùng chung tài nguyên mạng MT 13 1.3.2 Do Sự phức tạp hệ thống mạng MT 13 1.3.3 Do Ngoại vi không giới hạn mạng MT 13 1.3.4 Do có Nhiều điểm công 13 1.4 MỘT SỐ VẤN ĐỀ BẢO VỆ HỆ THỐNG VÀ MẠNG 13 1.4.1 Các vấn dề chung bảo vệ hệ thống mạng .13 1.4.2 Một số khái niệm lịch sử bảo vệ hệ thống 14 1.4.3 Các loại lỗ hổng bảo vệ phƣơng thức công mạng chủ yếu 15 1.5 KẾT LUẬN CHƢƠNG 18 Chương KIỂM SOÁT AN NINH MẠNG MÁY TÍNH .19 2.1 KIỂM SỐT TRUY NHẬP MẠNG MÁY TÍNH 19 2.1.1 Hiểm họa an toàn hệ thống máy tính 19 2.1.2 Phƣơng thức thực công 20 2.1.3 Các hình thức ngăn chặn kiểm sốt lối vào thơng tin .21 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ vi 2.1.4 Sử dụng mật cách an toàn .25 2.2 KIỂM SOÁT VÀ XỬ LÝ CÁC “LỖ HỔNG” THIẾU AN NINH TRONG MẠNG MÁY TÍNH 28 2.2.1 Khái niệm “lỗ hổng” ATTT 28 2.2.2 Phân loại lỗ hổng theo mức nguy hiểm 28 2.2.3 “Lỗ hổng” hệ thống mạng .28 2.2.4 Xử lý lỗ hổng thiếu an ninh phƣơng pháp bảo vệ .29 2.3 KIỂM SỐT VÀ PHỊNG CHỐNG CÁC DẠNG "TẤN CƠNG" VÀO MẠNG MÁY TÍNH 32 2.3.1 Tấn công mạng 32 2.3.2 Phịng chống dạng cơng vào mạng máy tính .33 2.4 MỘT SỐ CƠNG CỤ BẢO VỆ MẠNG MÁY TÍNH 36 2.4.1 Tƣờng lửa 36 2.4.2 Mạng riêng ảo 38 2.5 KẾT LUẬN CHƢƠNG 43 Chương 44 3.1 BÀI TOÁN THỰC TẾ 44 3.1.1 Khảo sát nhu cầu 44 3.1.2 44 45 3.2 .45 3.2.1 Firewall IPtable Redhat .45 51 3.2.3 ng dụng Iptables làm IP Masquerading 54 3.2.4 Ứng dụng IPTABLES làm NAT .62 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 73 TÀI LIỆU THAM KHẢO 74 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ vii DANH MỤC CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt ATTT DNS FTP GAN Dynamic Host Configuration Protocol Domain Name System File Transfer Protocol Global Area Network GUI Graphical User Interface DHCP Giao thức cấu hình động máy chủ Hệ thống tên miền Giao thức truyền tập tin Giao diện ngƣời dùng đồ họa HĐH HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure IP LAN Internet Protocol Local Area Network MAN Metropolitan Area Network Giao thức truyền tải siêu văn Là kết hợp giao thức HTTP giao thức bảo mật SSL hay TLS Giao thức Internet Mạng nội MT OSI Open Systems Interconnection Reference Model Mơ hình tham chiếu kết nối hệ thống mở TCP Transmission Control Protocol Giao thức Điều Khiển Truyền Thông WAN Wide Area Network Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ viii DANH MỤC HÌNH VẼ Số hiệu hình vẽ Tên hình vẽ Hình 1.1 1.2 1.3 1.4 Hình 1.5 Xem trộm thơng tin Hình 1.6 Mạo danh Hình 1.7 Sửa nội dung thông tin h 2.1 Hacker 2.2 Mật cách thức bảo vệ 2.3 Sử dụng cất giữ mật cách an toàn 2.4 Mơ hình mạng đa tảng Hình 2.5 Tƣờng lửa cứng Hình 2.6 Tƣờng lửa mềm 2.7 2.8 2.9 Đặc trƣng máy khách VPN 3.1 3.2 Đƣờng packet 3.3 Mơ hình kết nối máy Linux Anybox 3.4 Mơ hình kết nối máy Linux với mạng nội Internet Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ U Lý chọn đề tài Hiện quan, tổ chức có hệ thống mạng máy tính riêng kết nối với mạng Internet ứng dụng nhiều tiện ích CNTT Việc làm góp phần tích cực quản lý, điều hành, kết nối, quảng bá chìa khố thành công cho phát triển chung họ Trong hệ thống mạng máy tính có chứa nhiều liệu, thông tin quan trọng liên quan đến hoạt động quan, tổ chức Điều hấp dẫn, thu hút kẻ công Công nghệ máy tính mạng máy tính liên tục phát triển thay đổi, phần mềm liên tục đời mang đến cho ngƣời nhiều tiện ích hơn, lƣu trữ đƣợc nhiều liệu hơn, tính toán tốt hơn, chép truyền liệu máy tính nhanh chóng thuận tiện hơn, Nhƣng bên cạnh đó, hệ thống mạng cịn tồn nhiều lỗ hổng, nguy an tồn thơng tin Các vụ xâm nhập mạng lấy cắp thông tin nhạy cảm nhƣ phá hủy thông tin diễn ngày nhiều, thủ đoạn kẻ phá hoại ngày tinh vi Vấn đề đƣợc nhiều giới có nhiều nhiên, Tuy nay, vấn đề chƣa đƣợc nhận thức cách đầy đủ Từ tơi lựa chọn đề tài "Kiểm soát an ninh mạng máy tính ứng dụng" sở nghiên cứu luận văn Đối tƣợng phạm vi nghiên cứu Đối tƣợng nghiên cứu: Nghiên cứu phƣơng pháp kiểm sốt an ninh mạng máy tính (Kiểm sốt truy nhập mạng máy tính; kiểm sốt xử lý "lỗ hổng" thiếu an ninh mạng máy tính; kiểm sốt phịng chống dạng "tấn cơng" vào mạng máy tính) Phạm vi nghiên cứu: Nghiên cứu tƣờng lửa mạng riêng ảo Ứng dụng tƣờng lửa mã nguồn mở cài đặt thử nghiệm chƣơng trình Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ Những nội dung nghiên cứu Chƣơ Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 60 Bƣớc 2: Kiểm tra kết nối máy cục đến Server Masquerading -masq-client# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bƣớc 3: Kiểm tra kết nối cục Server IP Masquerading -masq-server# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - Bƣớc 4: Kiểm tra kết nối server IP Masquerading đến máy cục Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 61 masq-server# ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10): 56 data bytes 64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.10 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bƣớc 5: Kiểm tra kết nối giao diện với bên server Masquerading masq-server# ping 12.13.14.15 PING 12.13.14.15 (12.13.14.15): 56 data bytes 64 bytes from 12.13.14.15: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 12.13.14.15: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 12.13.14.15: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 12.13.14.15: icmp_seq=3 ttl=255 time=0.5 ms ^C - 12.13.14.15 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - Bƣớc 6: Kiểm tra kết nối máy nội đến giao diện bên server Masquerading masq-client# ping 12.13.14.15 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 62 PING 12.13.14.15 (12.13.14.15): 56 data bytes 64 bytes from 12.13.14.15: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 12.13.14.15: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 12.13.14.15: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 12.13.14.15: icmp_seq=3 ttl=255 time=0.5 ms ^C - 12.13.14.15 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - 3.2.4 Ứng dụng IPTABLES làm NAT Trong ứng dụng dùng Iptables máy chủ Linux làm IP NAT cho phép mạng bên truy cập vào mạng nội cho phép mạng nội truy cập mạng bên qua IP NAT - Khi máy bên mạng nội truy cập vào tài ngun bên ngồi packet đƣợc gửi đến IP NAT, IP NAT thay đổi địa nguồn packet địa hợp lệ dãy địa đƣợc cấp Internet cịn - Khi máy mạng bên ngồi truy cập tài nguyên mạng cục qua IP NAT, packet đến IP NAT thay đổi địa đích packet địa mạng nội 3.4 Mơ hình kết nối máy Linux với mạng nội Internet 3.2.4.1 Các chain người dùng định nghĩa - „bad_tcp_packet‟: chứa nguyên tắc xem xét packet TCP vào có header dị hình Loại packet có bit SYN ACK đƣợc bật nhƣng đƣợc Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 63 xem packet đầu kết nối mới, loại packet khơng có bit SYN đƣợc bắt đầu nhƣng đƣợc xem packet đầu kết nối - „allowed‟: Chứa nguyên tắc xem xét packet TCP có bit SYN đƣợc bắt đầu đƣợc xem packet đầu kết nối đƣợc phép qua Cho phép packet đến từ kết nối đƣợc thiết lập (ESTABLISHED) quan hệ với kết nối thiết lập (RELATED) để thông tin truyền đƣợc hai hƣớng Cuối huỷ tất trƣờng hợp lại - „tcp_packets‟: Chỉ định số hiệu cổng đƣợc phép sử dụng Firewall từ Internet (xét số hiệu cổng trạng thái packet) - „udp_packets‟: Chứa nguyên tắc xem xét packet UDP có số hiệu cổng đƣợc chấp nhận Firewall Internet (chỉ xét số hiệu cổng, không xét trạng thái packet) - „icmp_packets‟: Chứa nguyên tắc xem xét packet ICMP có kiểu đƣợc chấp nhận 3.2.4.2 Cấu trúc file cấu hình file cấu hình - configuration: Phần cấu hình chung cho script Phần bao gồm định nghĩa giao diện, địa IP giao diện vị trí chƣơng trình iptables - modules: Tải vào kernel modules cần thiết cho ứng dụng - filtertr table: * proc : Cấu hình địi hỏi hệ thống file proc * set policies : Đặt sách mặc định cho chain hệ thống * create userspecified chains : Tạo chain ngƣời dùng định nghĩa * create content in userspecified chains : Tạo nội dung cho chain ngƣời dùng định nghĩa * INPUT chain : nguyên tắc cho chain INPUT * FORWARD chain : nguyên tắc cho chain FORWARD * OUTPUT chain : nguyên tắc cho chain OUTPUT - nat table : * PREROUTING chain : nguyên tắc cho chain PREROUTING * POSTROUTING chain : nguyên tắc cho chain POSTROUTING Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 64 - Chú ý : file script /etc/rc.d/rc.local gọi file script /etc/rc.d/rc.Firewall_nat sau lần khởi động hệ thống Script tải tất modules cần thiết cho IP NAT - Sau file cấu hình cho IP NAT(SNAT DNAT) #!/bin/sh # rc.Firewall_nat – Kh.i t.o IP NAT (SNAT - DNAT) # cho Kernel Linux 2.4.x s d.ng iptables # ############################################# # # # Configuration options # 1.1 Cấu hình giao diện với Internet INET_IP="203.162.76.1" INET_IFACE="eth0" INET_BROADCAST="203.162.76.255" # 1.2 Cấu hình giao diện cục LAN_IP="192.168.0.1" LAN_IP_RANGE="192.168.0.0/24" LAN_IFACE="eth1" # 1.3 Cấu hình giao diện Localhost LO_IFACE="lo" LO_IP="127.0.0.1" # 1.4 Vị trí chƣơng trình iptables IPTABLES="/usr/sbin/iptables" ############################################# # # # Tải Module cần thiết /sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 65 /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state # # # # # # # # # # # # # # # # ## # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # Cấu hình cần thiết cho hệ thống file proc echo "1" > /proc/sys/net/ipv4/ip_forward ############################################# ## # Cài đặt nguyên tắc # 4.1 Filter table # 4.1.1 Cài đặt sách mặc định cho chain hệ thống $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP # 4.1.2 T.o chain ngu.i dùng ð.nh nghia # Tạo chain bad_ tcp_packets $IPTABLES -N bad_tcp_packets # Tạo chain allowed, tcp_packets, udp_packets, icmp_packets # $IPTABLES -N allowed $IPTABLES -N tcp_packets $IPTABLES -N udp_packets $IPTABLES -N icmp_packets # 4.1.3 Tạo nội dung chain ngƣời dùng định nghĩa # bad_tcp_packets chain # $IPTABLES -A bad_tcp_packets -p tcp tcp-flags SYN,ACK SYN,ACK \ Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 66 -m state state NEW -j REJECT reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! syn -m state state NEW -j LOG \ log-prefix "New not syn:" $IPTABLES -A bad_tcp_packets -p tcp ! syn -m state state NEW -j DROP # # allowed chain # $IPTABLES -A allowed -p TCP syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP # # TCP rules # $IPTABLES -A tcp_packets -p TCP -s 0/0 dport 21 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 dport 22 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 dport 80 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 dport 113 -j allowed # # UDP ports # $IPTABLES -A udp_packets -p UDP -s 0/0 destination-port 2074 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 destination-port 4000 -j ACCEPT # # ICMP rules # Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 67 $IPTABLES -A icmp_packets -p ICMP -s 0/0 icmp-type -j ACCEPT $IPTABLES -A icmp_packets -p ICMP -s 0/0 icmp-type 11 -j ACCEPT # # 4.1.4 INPUT chain # # Các packet dị dạng không muốn # $IPTABLES -A INPUT -p tcp -j bad_tcp_packets # # Các nguyên tắc cho mạng không phần Internet # $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT # # Nguyên tắc cho packet đến từ Internet # $IPTABLES -A INPUT -p ALL -d $INET_IP -m state state ESTABLISHED,RELATED \ -j ACCEPT $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets # # Ghi lại packet không khớp với nguyên tắc # $IPTABLES -A INPUT -m limit limit 3/minute limit-burst -j LOG \ Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 68 log-level DEBUG log-prefix "IPT INPUT packet died: " # # 4.1.5 FORWARD chain # Các packet dị dạng không muốn # $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets $IPTABLES -A FORWARD –p TCP -i $INET_IFACE –o $LAN_IFACE -j ACCEPT # # Chấp nhận packet muốn forward # $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT $IPTABLES -A FORWARD -m state state ESTABLISHED,RELATED -j ACCEPT # # Ghi lại packet không khớp với nguyên tắc # $IPTABLES -A FORWARD -m limit limit 3/minute limit-burst -j LOG\ log-level DEBUG log-prefix "IPT FORWARD packet died: " # # 4.1.6 OUTPUT chain ## # Các packet dị dạng không muốn # $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets # # Các nguyên tắc OUTPUT đƣợc phép # $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 69 $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT # # Ghi lại packet không khớp với nguyên tắc # $IPTABLES -A OUTPUT -m limit limit 3/minute limit-burst -j LOG\ log-level DEBUG log-prefix "IPT OUTPUT packet died: " ###### # 4.2 Nat table # # 4.2.1 PREROUTING chain – cho phép DNAT # $IPTABLES -t nat -A PREROUTING –p TCP -i $INET_IFACE -d $INET_IP – dport 23 –j DNAT –to-destination 192.168.0.254 # # 4.2.2 POSTROUTING chain ## # Cho phép SNAT # $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT to-source $INET_IP - Cấu hình cho máy nội truy cập mạng bên IP NAT thực nhƣ ứng dụng IP Masquerading 3.2.4.3 Kiểm tra NAT từ mạng nội đến mạng bên ngược lại - Bƣớc 1: Kiểm tra kết nối cục máy nội -nat-client# ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10): 56 data bytes Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 70 64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms - 192.168.0.10 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bƣớc 2: Kiểm tra kết nối máy cục đến server IP NAT -nat-client# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bƣớc 3: Kiểm tra kết nối cục Server IP NAT -nat-server# ping 192.168.0.1 PING 192.168.0.1 (192.168.0.1): 56 data bytes 64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms ^C Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 71 - 192.168.0.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - Bƣớc 4: Kiểm tra kết nối server IP NAT đến máy cục -nat-server# ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10): 56 data bytes 64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms ^C - 192.168.0.10 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Bƣớc 5: Kiểm tra kết nối giao diện với bên server IP NAT nat-server# ping 203.162.76.1 PING 203.162.76.1(203.162.76.1): 56 data bytes 64 bytes from 203.162.76.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 203.162.76.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 203.162.76.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 203.162.76.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 203.162.76.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 72 - Bƣớc 6: Kiểm tra kết nối từ máy nội đến giao diện bên server IP NAT nat-client# ping 203.162.76.1 PING 203.162.76.1(203.162.76.1): 56 data bytes 64 bytes from 203.162.76.1: icmp_seq=0 ttl=255 time=0.8 ms 64 bytes from 203.162.76.1: icmp_seq=1 ttl=255 time=0.4 ms 64 bytes from 203.162.76.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 203.162.76.1: icmp_seq=3 ttl=255 time=0.5 ms ^C - 203.162.76.1 ping statistics packets transmitted, packets received, 0% packet loss round-trip min/avg/max = 0.4/0.5/0.8 ms - Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 73 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN nhà quản trị mạng nói riêng nhà tin học nói chung đảm bảo an tồn cho mạng máy tính trƣớc công xâm nhập trái phép, hạn chế thấp rủi ro thiệt hại việc làm đầy khó khăn thách thức Địi hỏi ngƣời làm CNTT cần thiết phải có kiến thức am hiểu nguy có mạng máy tính Mục đích luận văn mạng máy tính; mạng máy tính để từ đề đƣợc biện pháp phịng chống, ngăn chặn cho mạng máy tính cách hiệu Kết nghiên cứu hƣớng tới khả áp dụng vào thực tế việc quản lý, vận hành sử dụng mạng máy tính quan, tổ chức Các kết đạt đƣợc cụ thể luận văn gồm: mạng máy tính, mạng máy tính phƣơng pháp mạng máy tính; mạng máy tính Đề xuất biện pháp kỹ thuật mạng Xây dựng mô thử nghiệm Tuy nhiên mặt thời gian nghiên cứu có hạn, kết đạt đƣợc luận văn không tránh khỏi hạn chế định Hƣớng phát triển triển khai ứng dụng vào thực tế, hệ thống an ninh mạng nhằm tăng mức độ an ninh an tồn cho mạng máy tính Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 74 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Trịnh Nhật Tiến, “An ninh mạng”, Trƣờng Đại học Công nghệ, Đại học quốc gia HN, 2010 [2] Trịnh Nhật Tiến, “An tồn liệu”, Trƣờng Đại học cơng nghệ, Đại học quốc gia Hà Nội, 2008 Tiếng Anh [3] Andrew Lockhart, Network Security Hacks, O'Reilly Media, 2006 [4] Roberta Bragg, Mark Rhodes – Ousley, Keith Strassberg, Network Security, McGraw-Hill Education, 2004 [5] Oskar Andreasson, Iptables Tutorial, GNU General Public License, 2001 Trang Website [6] http://root.vn/threads/thiet-lap-tuong-lua-iptables-cho-linux.9635/ Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ... "Kiểm soát an ninh mạng máy tính ứng dụng" sở nghiên cứu luận văn Đối tƣợng phạm vi nghiên cứu Đối tƣợng nghiên cứu: Nghiên cứu phƣơng pháp kiểm sốt an ninh mạng máy tính (Kiểm sốt truy nhập mạng. .. http://www.lrc-tnu.edu.vn/ Chương VẤN ĐỀ AN NINH MẠNG MÁY TÍNH 1.1 TỔNG QUAN VỀ HẠ TẦNG MẠNG MÁY TÍNH 1.1.1 Khái niệm mạng máy tính 1.1.1.1 Định nghĩa Mạng máy tính tập hợp máy tính đƣợc nối với môi trƣờng... nhập mạng máy tính; kiểm sốt xử lý "lỗ hổng" thiếu an ninh mạng máy tính; kiểm sốt phịng chống dạng "tấn cơng" vào mạng máy tính) Phạm vi nghiên cứu: Nghiên cứu tƣờng lửa mạng riêng ảo Ứng dụng tƣờng