Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 49 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
49
Dung lượng
1,5 MB
Nội dung
TRƯỜNG ĐẠI HỌC VINH 005.8 KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC BẢO MẬT MẠNG MÁY TÍNH BẰNG FIREWALL VÀ TRIỂN KHAI IPTABLES TRÊN CENTOS Giáo viên hướng dẫn: ThS Phạm Thị Thu Hiền Sinh viên thực hiện: Nguyễn Tấn Vƣơng Mã sinh viên: 1051070441 Lớp: 51K2 - CNTT Nghệ An, tháng 12 năm 2014 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI CẢM ƠN Trong thời đại công nghệ thông tin ngày nay, việc ứng dụng Công nghệ Thông Tin vào sống ngành khoa học ngày trở nên quan trọng Quá trình làm đề tài tốt nghiệp bước vào thực tiễn bước đầu thực hành đúc rút chứng minh cho môn học ghế nhà trường nói chung mơn học chun nghành nói riêng Nó q trình nhận xét đánh giá rút ưu, nhược điểm tìm hướng khắc phục mục đích để tìm phương án tối ưu cho việc học thực tế sau thân Em xin chân thành cảm ơn hướng dẫn thầy giáo, cô giáo Khoa Công Nghệ Thông Tin - Trường Đại học Vinh Em đặc biệt bày tỏ lịng biết ơn giáo Th.s Phạm Thị Thu Hiền tạo điều kiện ln giúp đỡ, hướng dẫn em tận tình để em hoàn thành tốt đề tài tốt nghiệp Em chân thành cảm ơn thầy cô sẵn sàng giúp đỡ tạo điều kiện tốt cho em Cảm ơn bạn bè quan tâm động viên cổ vụ giúp đỡ để em thực tốt q trình làm đồ án Mặc dù có nhiều cố gắng toàn kiến thức để hoàn thành cơng việc, song thời gian có hạn kinh nghiệm kiến thức chưa nhiều nên việc trình bày, phân tích, xây dựng chương trình có nhiều thiếu sót cần bổ sung Vì vậy, em mong nhận ý kiến đóng góp thầy bạn bè để đề tài hoàn thiện tương lai Em xin chân thành cảm ơn kính chúc thầy cô bạn sức khỏe hạnh phúc! Vinh, tháng 12 năm 2014 Sinh viên Nguyễn Tấn Vương Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI MỞ ĐẦU Internet đời đem lại nhiều lợi ích lớn cho người, kết nối người tới gần Ngồi trước máy tính, người biết thơng tin tồn cầu Bên cạnh đó, Internet giúp doanh nghiệp triển khai dịch vụ trực tuyến phục vụ người dùng toàn giới làm tăng lợi nhuận cách nhanh chóng Nhưng khả kết nối rộng rãi mà hệ thống máy tính doanh nghiệp người dùng bị xâm nhập vào lúc mà trước Mạng máy tính tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên cho phép giao tiếp trực tuyến bao gồm gửi nhận thông điệp hay thư điện tử, giao dịch, buôn bán mạng, tìm kiếm thơng tin mạng Nhưng chia sẻ tài nguyên mạng phải đề cập đến độ bảo mật tài nguyên cần chia tránh kẻ xâm nhập bất hợp pháp truy cập vào hệ thống chúng ta, điều nảy sinh chương trình, phần cứng hay phần mềm hỗ trợ để quản lý kiểm soát tài nguyên ra, vào hệ thống, phần mềm hỗ trợ thông thường ISA 2004, ISA 2006, TMG 2010, COMODO Firewall, Iptables, TCP Wrappers chúng có chung xu hướng bảo quản lý hệ thống mạng bên trước tin tặc truy cập bất hợp pháp Nổi bật số firewall IPTABLES hệ điều hành Linux với nhiều ưu điểm vượt trội so với firewall khác Chính điều thúc đẩy em tìm hiểu đề tài: "Bảo mật mạng máy tính Firewall & triển khai IPTABLES CentOs" Đồ án viết nhằm đem đến cho người nhìn rõ nét Firewall đặc biệt Firewall Iptables Linux Nội dung đồ án gồm Chương sau: Chương I: Tổng quan an toàn – an ninh mạng Chương II: Tổng quan Firewall Chương III: Iptables hệ điều hành CentOs Chương IV: Triển khai & cấu hình Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC CHƢƠNG I TỔNG QUAN VỀ AN TOÀN – AN NINH MẠNG 1.1 An tồn mạng gì? 1.2 Các đặc trương kỹ thuật an toàn mạng 1.3 Đánh giá đe dọa, điểm yếu hệ thống kiểu công 1.3.1 Đánh giá đe dọa 1.3.2 Các lỗ hổng điểm yếu mạng 1.3.3 Các kiểu công 10 1.3.4 Các biện pháp phát hệ thống bị công 12 CHƢƠNG II TỔNG QUAN VỀ FIREWALL 13 2.1 Khái niệm Firewall 13 2.1.1 Tại phải sử dụng Firewall cho mạng máy tính kết nối Internet? 13 2.1.2 Sự đời Firewall 14 2.1.3 Mục đích Firewall 15 2.1.4 Các lựa chọn Firewall .18 2.2 Chức FireWall 19 2.2.1 Firewall bảo vệ vấn đề gì? 19 2.2.2 Firewall bảo vệ chống lại vấn đề gì? 20 2.3 Mơ hình kiến trúc FireWall 21 2.4 Phân loại FireWall .23 2.4.1 Packet Filtering Firewall 23 2.4.2 Application-proxy firewall .24 2.5 Một số vấn đề lựa chọn FireWall 26 2.5.1 Có cần Firewall? .26 2.5.2 Firewall điều khiển bảo vệ gì? 26 2.6 Những hạn chế FireWall .26 CHƢƠNG III IPTABLES TRÊN HỆ ĐIỀU HÀNH CENTOS 28 3.1 Iptables gì? 28 3.1.2 Tải cài đặt trọn gói Iptables 28 3.1.3.Làm để bắt đầu iptables? 29 3.1.4 Xác định Các trạng thái iptables 29 Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.2 Cơ chế xử lý package iptables 29 3.3 Target and Jumps .33 3.4 Phân biệt ACCEPT, DROP REJECT packet .34 3.5 Tùy chọn limit, limit-burst 35 3.6 Các tham số dòng lệnh thường gặp Iptables 35 3.6.1 Các câu lệnh gọi trợ giúp 35 3.6.2 Các tùy chọn để thao tác với chains .36 3.7 Các tham số chuyển mạch quan trọng Iptables 36 CHƢƠNG IV TRIỂN KHAI VÀ CẤU HÌNH 39 4.1 Giới thiệu sơ qua mơ hình triển khai hệ thống .40 4.2 Cấu hình triển khai IPTABLES theo mơ hình đề .40 4.2.1 Các lệnh bắt đầu .40 4.3 Cấu hình luật lọc gói tin (Filter) 42 KẾT LUẬN 46 TÀI LIỆU THAM KHẢO 47 Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƢƠNG I TỔNG QUAN VỀ AN TỒN – AN NINH MẠNG 1.1 An tồn mạng gì? Mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác sử dụng chung tài nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tài nguyên thông tin mạng tránh mát, xâm phạm cần thiết cấp bách An tồn mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm : liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng An tồn mạng bao gồm: Xác định sách, khả nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an toàn mạng Đánh giá nguy công Hacker đến mạng, phát tán virus…Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng Một thách thức an tồn mạng xác định xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hỏng khiến mạng bị xâm phạm thơng qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, bọ gián điệp, nguy xoá, phá hoại CSDL, ăn cắp mật khẩu,…nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Khi đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt để đảm bảo an ninh mạng Sử dụng hiệu cơng cụ bảo mật (ví dụ Firewall) biện pháp, sách cụ thể chặt chẽ Về chất phân loại vi phạm thành vi phạm thụ động vi phạm chủ động Thụ động chủ động hiểu theo nghĩa có can thiệp vào nội dung luồng thơng tin có bị trao đổi hay không Vi phạm thụ động nhằm mục đích nắm bắt thơng tin Vi phạm chủ động thực biến đổi, xoá bỏ thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường khó phát ngăn chặn hiệu Trái lại, vi phạm chủ động dễ phát lại khó ngăn chặn Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 1.2 Các đặc trƣơng kỹ thuật an toàn mạng Tính xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể người sử dụng, chương trình máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống thông thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phương thức bảo mật dựa vào mơ hình sau : - Đối tượng cần kiểm tra cần phải cung cấp thơng tin trước, ví dụ password, mã số thông số cá nhân PIN - Kiểm tra dựa vào mơ hình thơng tin có, đối tượng kiểm tra cần phải thể thơng tin mà chúng sở hữu, ví dụ Private Key, số thẻ tín dụng - Kiểm tra dựa vào mơ hình thơng tin xác định tính nhất, đối tượng kiểm tra cần phải có thơng tin để định danh tính mình, ví dụ - Như thơng qua giọng nói, dấu vân tay, chữ ký,… Có thể phân loại bảo mật VPN theo cách sau : mật truyền thống hay mật lần; xác thực thông qua giao thức (PAP, CHAP, ) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc…) Tính khả dụng (Availability): Tính khả dụng đặc tính mà thơng tin mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu cần thiết nào, hoàn cảnh Tính khả dụng nói chung dùng tỉ lệ thời gian hệ thống sử dụng bình thường với thời gian q trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau : Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cưỡng ), khống chế lưu lượng (chống tắc nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống lưu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tương ứng) Tính bảo mật (Confidentialy): Tính bảo mật đặc tính tin tức khơng bị tiết lộ cho thực thể hay q trình khơng đuợc uỷ quyền biết không đối tượng xấu lợi dụng Thông tin cho phép thực thể uỷ quyền sử dụng Kỹ thuật bảo mật thường phòng ngừa dò la thu thập, phòng ngừa xạ, tăng cường bảo mật thông tin (dưới khống chế Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC khoá mật mã), bảo mật vật lý (sử dụng phương pháp vật lý để đảm bảo tin tức khơng bị tiết lộ) Tính tồn vẹn (Integrity): Là đặc tính thơng tin mạng chưa uỷ quyền khơng thể tiến hành được, tức thông tin mạng lưu giữ q trình truyền dẫn đảm bảo khơng bị xoá bỏ, sửa đổi, giả mạo, làm dối loạn trật tự, phát lại, xen vào cách ngẫu nhiên cố ý phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới toàn vẹn thông tin mạng gồm : cố thiết bị, sai mã, bị tác động người, virus máy tính Số phương pháp bảo đảm tính tồn vẹn thơng tin mạng : - Giao thức an tồn kiểm tra thông tin bị chép, sửa đổi hay chép Nếu phát thơng tin bị vơ hiệu hố - Phương pháp phát sai sửa sai Phương pháp sửa sai mã hoá đơn giản thường dùng phép kiểm tra chẵn lẻ - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc cản trở truyền tin - Chữ ký điện tử : bảo đảm tính xác thực thông tin - Yêu cầu quan quản lý trung gian chứng minh chân thực thông tin Tính khống chế (Accountlability): Là đặc tính lực khống chế truyền bá nội dung vốn có tin tức mạng Tính khơng thể chối cãi (Nonreputation): Trong trình giao lưu tin tức mạng, xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ phủ nhận thao tác cam kết thực 1.3 Đánh giá đe dọa, điểm yếu hệ thống kiểu công 1.3.1 Đánh giá đe dọa Về có nối đe doạ đến vấn đề bảo mật mạng sau : - Đe doạ khơng có cấu trúc (Unstructured threats) - Đe doạ có cấu trúc (Structured threats) - Đe doạ từ bên (External threats) - Đe doạ từ bên (Internal threats) Đe dọa cấu trúc Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Những mối đe doạ thuộc dạng tạo hacker không lành nghề, họ thật kinh nghiệm Những người ham hiểu biết muốn download liệu từ mạng Internet Họ thật bị thúc đẩy nhìn thấy mà họ tạo Đe dọa có cấu trúc Hacker tạo dạng tinh tế dạng unstructured nhiều Họ có kỹ thuật hiểu biết cấu trúc hệ thống mạng Họ thành thạo việc làm để khai thác điểm yếu mạng Họ tạo hệ thống có ―cấu trúc‖ phương thức xâm nhập sâu vào hệ thống mạng Cả hai dạng có cấu trúc khơng có cấu trúc thơng qua Internet để thực công mạng Các mối đe dọa bên ngồi Xuất phát từ Internet, người tìm thấy lỗ hổng hệ thống mạng từ bên Khi cơng ty bắt đầu quảng bá có mặt họ Internet lúc hacker rà sốt để tìm kiếm điểm yếu, đánh cắp liệu phá huỷ hệ thống mạng Đe dọa bên Mối đe doạ thật nguy hiểm xuất phát từ nội bộ, điển hình nhân viên thân người quản trị Họ thực việc cơng cách nhanh gọn dễ dàng họ am hiểu cấu trúc biết rõ điểm yếu hệ thống mạng 1.3.2 Các lỗ hổng điểm yếu mạng Các lỗ hổng mạng Các lỗ hỏng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp lệ vào hệ thống Các lỗ hỏng tồn dịch vụ : Sendmail, Web, hệ điều hành mạng WindowsNT, Windows95, Unix ứng dụngCác lỗ hỏng bảo mật hệ thống chia sau : Lỗ hỏng loại C: Cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Mức độ nguy hiểm thấp, ảnh hưởng chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, không phá hỏng liệu chiếm quyền truy nhập DoS hình thức thức công sử dụng giao thức tầng Internet giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Một số lượng lớn gói tin gửi tới server Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC khoảng thời gian liên tục làm cho hệ thống trở nên tải, kết server đáp ứng chậm đáp ứng yêu cầu từ client gửi tới Một ví dụ điển hình phương thức cơng DoS vào số website lớn làm ngưng trệ hoạt động website : www.ebay.com www.yahoo.com Tuy nhiên, mức độ nguy hiểm lỗ hỏng loại xếp loại C; nguy hiểm chúng làm gián đoạn cung cấp dịch vụ hệ thống thời gian mà không làm nguy hại đến liệu kẻ công không đạt quyền truy nhập bất hợp pháp vào hệ thống Lỗ hỏng loại B: Cho phép người sử dụng có thêm quyền hệ thống mà khơng cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hỏng loại thường có ứng dụng hệ thống, dẫn đến lộ thông tin yêu cầu bảo mật Lỗ hỏng loại có mức độ nguy hiểm lỗ hỏng loại C, cho phép người sử dụng nội chiếm quyền cao truy nhập không hợp pháp Những lỗ hỏng loại hường xuất dịch vụ hệ thống Người sử dụng local hiểu người có quyền truy nhập vào hệ thống với số quyền hạn định Một số lỗ hỏng loại B thường xuất ứng dụng lỗ hỏng trình Sendmail hệ điều hành Unix, Linux… hay lỗi tràn đệm chương trình viết C Những chương trình viết C thường sử dụng đệm – vùng nhớ sử dụng để lưu liệu trước xử lý Những người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng không gian nhớ cho khối liệu Ví dụ: người sử dụng viết chương trình nhập trường tên người sử dụng ; qui định trường dài 20 ký tự Do họ khai báo : Char first_name [20]; Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập liệu, trước tiên liệu lưu vùng đệm; người sử dụng nhập vào 35 ký tự, xảy tượng tràn vùng đệm kết 15 ký tự dư thừa nằm vị trí khơng kiểm sốt nhớ Đối với kẻ cơng lợi dụng lỗ hỏng để nhập vào ký tự đặc biệt để thực số lệnh đặc biệt hệ thống Thông thường, lỗ hỏng thường lợi dụng người sử dụng hệ thống để đạt quyền root không hợp lệ Việc kiểm sốt chặt chẽ cấu hình hệ thống chương trình hạn chế lỗ hỏng loại B Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC DNAT SNAT MASQUERADE +icmp-net-prohibited +icmp-host-prohibited +tcp-reset +echo-reply Dùng để thực to-destination ipaddress Destination network Iptables viết lại địa address translation, địa ipaddress vào địa đích đích gói liệu gói liệu viết lại Dùng để thực Source to-source [network address ][:translation, viết lại địa ] nguồn gói liệu Miêu tả IP port viết lại Iptables Dùng để thực Source [ to-ports [Networkaddress ]] Translation Mặc định Ghi rõ tầm port nguồn địa IP nguồn giống mà port nguồn gốc IP nguồn firewall ánh xạ 3.4 Phân biệt ACCEPT, DROP REJECT packet ACCEPT: chấp nhận packet DROP: thả packet (không hồi âm cho client) REJECT: loại bỏ packet (hồi âm cho client packet khác) Một số ví dụ: #iptables -A INPUT -i eth0 dport 80 -j ACCEPT => chấp nhận packet vào cổng 80 card mạng eth0 #iptables -A INPUT -i eth0 -p tcp dport 23 -j DROP => thả packet đến cổng 23 dùng giao thức TCP card mạng eth0 #iptables -A INPUT -i eth1 -s ! 10.0.0.1-10.0.0.5 dport 22 -j REJECT -reject-with tcp-reset => Gửi gói TCP với cờ RST=1 cho kết nối không đến từ dãy địa IP 10.0.0.1 - cổng 22, card mạng eth1 #iptables -A INPUT -p udp dport 139 -j REJECT reject-with icmp-portunreachable => Gửi gói ICMP "port-unreachable" cho kết nối đến cổng 139, dùng giao thức UDP 34 Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Phân biệt NEW, ESTABLISHED RELATED + NEW : mở kết nối + ESTABLISHED : thiết lập kết nối + RELATED : mở kết nối kết nối Ví dụ: #iptables -PINPUTDROP => đặt sách cho chain INPUT DROP #iptables -A INPUT -p tcp syn -m state state NEW-j ACCEPT => chấp nhận gói TCP mở kết nối set cờ SYN = #iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT => khơng đóng kết nối thiết lập, đồng thời cho phép mở kết nối kết nối thiết lập #iptables -A INPUT -p tcp -j DROP => Các gói TCP cịn lại bị DROP 3.5 Tùy chọn limit, limit-burst limit-burst : mức đỉnh, tính số packet limit : tốc độ chạm mức đỉnh, tính số parket/s(giây) , m(phút), d(giờ), h(ngày) Để xem tập luận iptables ta gõ lệnh: #iptables –L-nv -L : Tất tập luật tất chain, table mặc định filter -n : Liệt kê dạng số v : Để xem chi tiết #iptables -Z : reset counter #iptables -F : flush luật #iptables -X : xóa chain tạo Iptables hổ trợ tùy chọn -j REDIRECT cho phép bạn đổi hướng cổng cách dễ dàng Ví dụ SQUID nghe cổng 3128/tcp Để redirect cổng 80 đến cổng 3128 bạn làm sau: #iptables -t nat -A PREROUTING -p tcp —dport 80 -j REDIRECT-to-port 3128 Lưu ý: tùy chọn -j REDIRECT cho có chain PREROUTING 3.6 Các tham số dòng lệnh thƣờng gặp Iptables 3.6.1 Các câu lệnh gọi trợ giúp Để gọi trợ giúp Iptables, ta gõ lệnh: 35 Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC #iptables -h #iptables -m match -h #iptables -j TARGET -h #man iptables 3.6.2 Các tùy chọn để thao tác với chains Tạo chain mới: iptables -N Xóa hết luật tạo chain: iptables -X Đặt sách cho chain 'built-in' (INPUT, OUTPUT & FORWARD): iptables -P , ví dụ: iptables -P INPUT ACCEPT để chấp nhận packet vào chain INPUT Liệt kê luật có chain: iptables -L Xóa luật có chain (flush chain): iptables -F Reset đếm packet 0: iptables -Z Các tùy chọn để thao tác với luật: Thêm luật: -A (append) Xóa luật: -D (delete) Thay luật: -R (replace) Chèn thêm luật: -I (insert) 3.7 Các tham số chuyển mạch quan trọng Iptables a Các tham số chuyển mạch (switching) quan trọng Iptables Các tham số sau cho phép Iptables thực hành động cho phù hợp với biểu đồ xử lý gói người sử dụng hoạch định sẵn: Lệnh switching quan trọng Ý nghĩa -t Nếu bạn khơng định rõ tables filter table áp dụng Có ba loại table filter, nat, mangle -j Nhảy đến chuỗi target gói liệu phù hợp quy luật -A Nối thêm quy luật vào cuối chuỗi (chain) -F Xóa hết tất quy luật bảng chọn 36 Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC -p Phù hợp với giao thức (protocols), thông thường icmp, tcp, udp, all -s Phù hợp IP nguồn -d Phù hợp IP đích -i Phù hợp điều kiện INPUT gói liệu vào firewall -o Phù hợp điều kiện OUTPUT gói liệu khỏi firewall Để hiểu rõ lệnh ta, ta xem ví dụ sau: #iptables -A INPUT-s / 0-i eth0-d 192.168.1.1-p TCP -j ACCEPT Iptables cấu hình cho phép ―firewall‖ chấp nhận gói liệu có giao tiếp (protocols) TCP , đến từ giao tiếp card mạng eth0 , có địa IP nguồn đến địa 192.168.1.1, địa IP firewall 0/0 nghĩa địa IP b Mở rộng cho gói TCP UDP Lệnh switching -p tcp sport Ý nghĩa Điều kiện TCP port nguồn (source port) Có thể giá trị chuỗi có dạng: Start-port-number:end-port-number -p tcp dport Điều kiện TCP port đích (destination port ) Có thể giá trị chuỗi dạng: Starting-port:ending-port -p tcp -syn Dùng để nhận dạng yêu cầu kết nối TCP ! syn, nghĩa khơng có u cầu kết nối -p udp sport Điều khiển UDP port nguồn (source port) Có thể giá trị chuỗi có dạng: Start-port-number:end-port-number -p udp dport Điều kiện TCP port đích (destination port) Có thể 37 Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC giá tri chuỗi có dạng: Starting-port:ending-port Ví dụ: #iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP \ sport 1024:65535 - -dport 80 -j ACCEPT Iptables cấu hình cho phép firewall chấp nhận gói liệu có giao tiếp (protocols) TCP , đến từ card mạng eth0, có địa IP nguồn bất kỳ, đến địa 192.168.1.58 qua card mạng eth1 Số port nguồn từ 1024 đến 65535 port đích 80 (www/http) c Điều kiện ICMP Lệnh —icmp-type Miêu tả Thường dùng echo-reply echo- Request Ta xem mộ ví dụ sau ICMP #iptables-A OUTPUT-p icmp - icmp-tỵpe echo-request-j ACCEPT #iptables-A INPUT-p icmp - icmp-type echo-reply-j ACCEPT Iptables cấu hình cho phép firewall chấp nhận gởi ICMP echo-requests (pings) gởi trả ICMP echo-replies Ý nghĩa Lệnh -m multiport —sport Nhiều port nguồn khác TCP/UDP phân cách dấu phẩy (,) Đây liệt kê port chuỗi port -m multiport —dport /proc/sys/net/ipv4/ip_forward + Vào file /etc/sysctl conf chuyển net.ipv4 ip_forward 1: Giá trị Forward '1' Chúng ta thực NAT máy Firewall lệnh sau: #iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d 0/0 -o eth0 -j MASQUERADE #service iptables save #service iptables restart Kiểm tra máy Client có kết sau: 45 Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Kết nối Internet cho mạng nội NAT Out NAT Inbound: Thơng qua việc cấu hình NAT In cho phép số máy nội hệ thống public lên mạng dịch vụ Web server, FTP server, Mail server Có thể hiểu ta thực việc chuyển gói tin tới địa IP Firewall thành địa IP máy bên mạng nội Để thực cấu hình, ta dùng lệnh sau: Đối với dịch vụ HTTP: #iptables -t nat -A PREROUTING -d 192.168.1.4 -i eth0 -p tcp -m tcp dport 80 -j DNAT to-destination 10.0.0.3:80 Kết nối SSH: #iptables -t nat -A PREROUTING -d 192.168.1.4 -i eth0 -p tcp -m tcp dport 23 -j DNAT to-destination 10.0.0.3:23 Kết nối Telnet: #iptables -t nat -A PREROUTING -d 192.168.1.4 -i eth0 -p tcp -m tcp dport 23 -j DNAT to-destination 10.0.0.3:23 Dùng máy Ext - client để kiểm tra việc kết nối: 46 Nguyễn Tấn Vương – Mã sv: 1051070441 – 51K2 CNTT ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KẾT LUẬN Kết đạt được: Qua việc nghiên cứu mạng máy tính an tồn mạng máy tính, vấn đề bảo mật mạng máy tính lửa - giải pháp hiệu bảo vệ mạng máy tính Qua suốt tháng tìm hiếu nghiên cứu em thu nhiều kiến thức bổ ích triển khai cấu hình luật lọc gói tin (filter) như: - Cấm Firewall Internet thông qua giao thức HTTP (port 80) - Chặn kết nối SSH đến Firewall cho phép IP Internet thực kết nối SSH đến Firewall - Chặn kết nối Telnet đến Firewall cho phép IP Internet thực kết nối Telnet đến Firewall - Chặn giao thức Ping đến Firewall hay ngược lại cho phép IP mạng Internet ping đến Firewall - Cấu hình NAT Out NAT In phép Firewall thực kĩ thuật NAT để máy nội máy internet ping thông truy cập dịch vụ thông qua firewall Hạn chế: Do thời gian ngắn kiến thức tìm hiểu cịn chưa nhiều nên đề tài triển khai chưa lớn Nếu thêm số tập luật, triển khai thêm mail POP3, Proxy Squid, Samba….v.v.v Hướng phát triển đề tài: Có thêm thời gian để tìm hiểu em phát triển đề tài trở nên rộng Sẽ triển khai mô hình mạng nhỏ, đầy đủ dịch vụ mơi trường mạng nội gồm dịch vụ như: Webmail, mail POP3, Samba, VNC, kiểm soát mail nội bộ, kiểm soát email người dùng….v.v Và thiết lập firewall để tập luật firewall cho phép hay khơng cho phép để trao đổi thông tin với mạng internet phía ngồi, máy nội trao đổi, chia dịch vụ với Qua đợt đồ án tốt nghiệp này, em xin chân trọng cám ơn giúp đỡ nhiệt tình bảo sát cô giáo Th.s Phạm Thị Thu Hiền thầy cô giáo khoa Công Nghệ Thông Tin – Trường Đại Học Vinh nhiệt tình hướng dẫn giúp em suốt thời gian em làm đồ án tốt nghiệp Một lần em xin cảm ơn giúp đỡ nhiệt tình động viên kịp thời gia đình, bạn bè ln bên tơi suốt thời gian qua Trong thực đồ án tốt nghiệp không tránh khảo khiếm khuyết sai lệch em mong báo giúp đỡ thầy cô bạn Xin chân thành cảm ơn! Nguyễn Tấn Vương – MSSV 1051070441 – 51k2 CNTT 47 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TÀI LIỆU THAM KHẢO [1] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở, NXB Giáo Dục, 1999 [2] Nguyễn Trí Thành & Hà Quang Thụy, Giáo trình hệ điều hành unix-linux, NXB Đại học quốc gia Hà Nội, 2004 [3] Nguyễn Thị Điệp & Tiêu Đơng Nhơn, Giáo trình Dịch vụ mạng Linux, Đại học Quốc Gia Thành phổ Hồ Chí Minh 12/2005 [4] http://www.linuxhomenetworking.com/ [5] www.centos.org/ Nguyễn Tấn Vương – MSSV 1051070441 – 51k2 CNTT 48 ... với firewall khác Chính điều thúc đẩy em tìm hiểu đề tài: "Bảo mật mạng máy tính Firewall & triển khai IPTABLES CentOs" Đồ án viết nhằm đem đến cho người nhìn rõ nét Firewall đặc biệt Firewall Iptables. .. pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng địi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thôi, kẻ phá hoại mạng máy. .. máy tính an tồn mạng máy tính, vấn đề bảo mật mạng máy tính lửa - giải pháp hiệu bảo vệ mạng máy tính Qua suốt tháng tìm hiếu nghiên cứu em thu nhiều kiến thức bổ ích triển khai cấu hình luật lọc