Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 57 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
57
Dung lượng
1,39 MB
Nội dung
005.8 TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN o0o BÁO CÁO ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: QUẢN LÝ TƯỜNG LỬA TRONG LINUX VỚI IPTABLES Sinh viên thực : Nguyễn Tiến Dũng Mã sinh viên : 1051070476 Lớp : Giáo viên hướng dẫn: 51K2 -CNTT ThS Vũ Chí Cƣờng Nghệ An, tháng 12 năm 2014 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN LỜI CẢM ƠN Trước tiên em xin gửi lời cảm ơn chân thành sâu sắc tới thầy, cô trường Đại Học Vinh người tận tình giảng dạy cung cấp kiến thức quý báu cho em suốt năm học qua Đặc biệt em xin chân thành cám ơn Thạc sỹ.Vũ Chí Cường Thầy dành nhiều thời gian vơ quý báu tận tình hướng dẫn em tạo điều kiện thuận lợi để em hoàn thành tốt đồ án Cuối em xin cảm ơn gia đình, bạn bè người thân bên cạnh động viên, giúp đỡ tạo điều kiện thuận lợi cho em Do hạn chế kiến thức kinh nghiệm nên đồ án cịn nhiều thiếu sót em mong phê bình, đánh giá góp ý thầy bạn Em xin chân thành cảm ơn! Vinh, tháng 12 năm 2014 Sinh viên Nguyễn Tiến Dũng Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN LỜI MỞ ĐẦU Với nhu cầu trao đổi thông tin, bắt buộc quan, tổ chức phải hồ vào mạng tồn cầu Internet An tồn bảo mật thơng tin vấn đề quan trọng hàng đầu, thực kết nối mạng nội quan, doanh nghiệp, tổ chức với Internet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xuyên có mạng bị cơng, có tổ chức bị đánh cắp thông tin,… gây nên hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính công ty lớn AT&T, IBM, trường đại học quan nhà nước, tổ chức quân sự, nhà băng,… số vụ công với quy mơ khổng lồ (có tới 100.000 máy tính bị công) Hơn số phần tảng băng trôi Một phần lớn vụ cơng khơng thơng báo nhiều lý do, kể lo uy tín đơn giản người quản trị dự án không hay biết vụ công nhằm vào hệ thống họ Không vụ cơng tăng lên nhanh chóng mà phương pháp cơng liên tục hồn thiện Điều phần nhân viên quản trị hệ thống ngày đề cao cảnh giác Vì việc kết nối mạng nội quan tổ chức vào mạng Internet mà khơng có biện pháp đảm bảo an ninh xem tự sát Từ nhu cầu phát triển, đòi hỏi quan, tổ chức phải hịa vào mạng tồn cầu, mạng Internet song phải đảm bảo an toàn thơng tin q trình kết nối Bởi vậy, em định chọn đề tài: “Quản lý tưởng lửa Linux với IPTables” đồ án tốt nghiệp Đồ án em bao gồm chương: Chương I: An tồn thơng tin mạng máy tính - Trình bày tổng quan vấn đề an ninh mạng máy tính, nguy vấn đề bảo mật hệ thống Chương II: Tổng quan firewall - Trình bày khái niệm firewall, chức firewall, phân loại firewall kiến trúc firewall - Đưa sách để xây dựng firewall, từ sách ta xây dựng firewall bảo vệ hệ thống Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN Chương III: Iptables CentOS - Tìm hiểu iptables tham số dòng lệnh thường gặp - Các tập luật cần thiết thông dụng cho iptables Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU MỤC LỤC CHƢƠNG I: AN TOÀN THƠNG TIN TRONG MẠNG MÁY TÍNH 1.1 An tồn bảo mật thơng tin mạng máy tính 1.2 Các chiến lƣợc an toàn hệ thống: 1.2.1 Giới hạn quyền tối thiểu .8 1.2.2 Bảo vệ theo chiều sâu 1.2.3 Nút thắt .8 1.2.4 Điểm nối yếu .8 1.2.5 Tính tồn cục .8 1.2.6 Tính đa dạng bảo vệ 1.3 Các mức bảo vệ mạng 1.3.1 Quyền truy nhập 1.3.2 Đăng ký tên/mật 1.3.3 Mã hóa liệu .9 1.3.4 Bảo vệ vật lý 1.3.5 Tường lửa 1.3.6 Quản trị mạng 10 1.4 Các loại lỗ hổng bảo mật phƣơng thức công mạng chủ yếu 10 1.4.1 Các loại lỗ hổng 10 1.4.2 Các hình thức cơng mạng phổ biến .12 CHƢƠNG II TỔNG QUAN VỀ FIREWALL 15 2.1 Giới thiệu firewall 15 2.1.1 Khái niệm firewall 15 2.1.2 Các chức firewall 15 2.1.3 Phân loại firewall .15 2.2 Các chiến lƣợc xây dựng firewall .19 Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN 2.2.1 Quyền hạn tối thiểu(Least Privilege) 19 2.2.2 Bảo vệ theo chiều sâu (Defense in Depth) 19 2.2.3 Nút thắt (Choke Point) .19 2.2.4 Điểm xung yếu (Weakest Link) 19 2.2.5 Hỏng an toàn (Fail-Safe Stance) 19 2.2.6 Sự tham gia toàn cầu 20 2.2.7 Tính đa dạng việc bảo vệ 20 2.2.8 Đơn giản hoá 20 2.3 Cách thức xây dựng firewall .21 2.3.1 Xây dựng nguyên tắc bản(Rule Base) 21 2.3.2 Xây dựng sách an toàn (Security Policy) 21 2.3.3 Xây dựng kiến trúc an toàn 22 2.3.4 Thứ tự quy tắc bảng (Sequence of Rules Base) 22 2.3.5 Các quy tắc (Rules Base) .23 2.4 Lọc gói chế hoạt động 24 2.4.1 Bộ lọc gói (packet filtering): .24 2.4.2 Cổng ứng dụng (Application Gateway) 24 2.4.3 Bộ lọc Sesion thông minh (Smart Sesion Filtering) 25 2.4.4 Firewall hỗn hợp (Hybrid Firewall) 26 CHƢƠNG III : IPTABLES TRÊN CENTOS 27 3.1 Iptables gì? .27 3.1.1 Tải cài đặt trọn gói Iptables 28 3.1.2 Khởi động dịch vụ Iptables 28 3.1.3 Cơ chế xử lý parkage Iptables 28 3.1.4 Target Jumps 32 3.1.5 Tùy chọn limit, limit-burst 35 3.1.6 Redirect cổng 35 3.1.7 Cách đổi địa IP động (dynamic NAT) 35 3.1.8 Cách đóng giả IP 37 3.1.9 Q trình chuyển gói liệu qua Netfilter 38 3.2 Các tham số dòng lệnh thƣờng gặp Iptables 38 Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN 3.2.1 Gọi trợ giúp 38 3.2.2 Các tùy chọn để thao tác với chain 38 3.2.3 Các tùy chọn để thao tác với luật 38 3.2.4 Các tùy chọn để định thông số 39 3.2.5 Sử dụng user defined chain: 42 3.2.6 Lưu lại đoạn mã iptables: .43 3.2.7 Thiết lập Rule cho Fedora’s iptables 43 3.2.8 Tìm lại đoạn mã bị mất: .44 3.2.9 Những modun kernel cần thiết: 44 3.2.10 Sửa lỗi bảng iptables 44 3.3 Các tập luật thƣờng gặp: .45 3.3.1 Cấm địa IP : 45 3.3.2 Cho phép máy chủ DNS truy cập đến firewall 47 3.3.3 Cho phép WWW SSH truy cập vào firewall 47 3.3.4 Một số ví dụ sử dụng kỹ thuật NAT 48 3.3.5 Giả mạo ( nhiều người đến NAT) 50 3.3.6 Chống DDOS .51 KẾT LUẬN 55 TÀI LIỆU THAM KHẢO 56 Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN CHƢƠNG I: AN TỒN THƠNG TIN TRONG MẠNG MÁY TÍNH 1.1 An tồn bảo mật thơng tin mạng máy tính Khi nhu cầu trảo đổi thơng tin liệu ngày lớn đa dạng, tiến điện tử - viễn thông công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng lưu lượng truyền tin quan niệm ý tưởng biện pháp bảo vệ thông tin liệu đổi Bảo vệ an tồn thơng tin liệu chủ đề rộng, có liên quan đến nhiều lĩnh vực thực tế có nhiều phương pháp thực để bảo vệ an tồn thơng tin liệu Các phương pháp bảo vệ an tồn thơng tin liệu để quy tụ vào ba nhóm sau: - Bảo vệ an tồn thơng tin phương pháp hành - Bảo vệ an tồn thơng tin biện pháp kỹ thuật (phần cứng) - Bảo vệ an tồn thơng tin biện pháp thuật tốn (phần mềm) Ba nhóm ứng dụng riêng rẽ phối kết hợp Mơi trường khó bảo vệ an tồn thơng tin mơi trường đói phương dễ xâm nhập mơi trường mạng truyền tin Biện pháp hiệu kinh tế mạng truyền tin mạng máy tính biện pháp thuật tốn An tồn thơng tin bao gồm nội dung sau: - Tính bí mật : Tính kín đáo riêng tư thơng tin - Tính xác thực thơng tin, bao gồm người gửi thơng tin khơng thể thối thác trách nhiệm thơng tin mà gửi - Tính trách nhiệm : Đảm bào người gửi thông tin thối thác trách nhiệm thơng tin mà gửi Để đảm bào an tồn thơng tin liệu đường truyền tin mạng máy tính có hiệu điều trước tiên phải lường trước dự đốn trước khả khơng an toàn, khả xâm phạm, cố rủi ro xảy thơng tin liệu lưu trữ trao đổi đường truyền tin mạng Xác định xác nguy nói định tốt giải pháp để giảm thiểu thiệt hại Có hai loại hành vi xâm nhập thông tin liệu là: vi phạm chủ động vi phạm thụ động Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN - Vi phạm thụ động mục đích cuối để nắm bắt thơng tin Việc làm có khơng biết nội dung cụ thể dị người gửi, người nhận nhờ thơng tin điều khiển giao thức chứa phần đầu gói tin Kẻ xâm nhập kiểm tra số lượng, độ dài thông tin liệu trao đổi Vi phạm thụ động thường khó phát có biện pháp ngăn chặn hiệu - Vi phạm chủ động dạng vi phạm làm thay đổi nội dung, xóa bỏ, làm trễ, xếp lại thứ tự làm lặp lại gói tin thời điểm sau thời gian Vi phạm chủ động thêm vào số thông tin ngoại lại dễ làm sai lệch nội dung thông tin trao đổi Vi phạm chủ động dễ phát để ngăn chặn hiệu khó khăn nhiều 1.2 Các chiến lƣợc an toàn hệ thống: 1.2.1 Giới hạn quyền tối thiểu Đây chiến lược theo nguyên tắc đối tượng có quyền định tài nguyên mạng, thâm nhập vào mạng đối tượng sử dụng số tài nguyên định 1.2.2 Bảo vệ theo chiều sâu Nguyên tắc nhắc nhở : Không nên dựa vào chế độ an toàn chúng mạnh, mà nên tọa nhiều chế an toàn để tương hỗ lẫn 1.2.3 Nút thắt Tạo cửa hẹp, cho phép thông tin vào hệ thống đường cửa Nên phải tổ chức cấu kiểm sốt điều khiển thơng tin qua cửa 1.2.4 Điểm nối yếu Chiến lược dựa nguyên tắc : “ Một dây xích chi mắt nhất, tường lửa cứng điểm yếu nhất” Kẻ phá hoại thường tìm yếu hệ thống để công, ta cần phải gia cố yếu điểm hệ thống Thông thường quan tâm đến kẻ công mạng kẻ tiếp cận hệ thống, an tồn vật lý dược coi điểm yếu hệ thống 1.2.5 Tính tồn cục Các hệ thống an tồn địi hỏi phải có tính tồn cục hệ thống cục Nếu có kẻ bẻ gãy chế an tồn chúng thành công Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN cách cơng hệ thống tự sau cơng hệ thống từ nội nộ bên 1.2.6 Tính đa dạng bảo vệ Cần phải sử dụng nhiều biện pháp bảo vệ khác cho hệ thống khác nhau, khơng có kẻ cơng vào hệ thống chúng dễ dàng công vào hệ thống khác 1.3 Các mức bảo vệ mạng Vì khơng thể có giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều hàng rào chắn hoạt động xâm nhập Thông thường bao gồm mức bảo vệ sau: 1.3.1 Quyền truy nhập Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên mạng quyền hạn tài nguyên Dĩ nhiên kiểm soát cấu trúc liệu chi tiết tốt Hiện việc kiểm soát thường mức tệp 1.3.2 Đăng ký tên/mật Thực kiểm sốt quyền truy nhập, khơng phải truy nhập mức thông tin mà mức hệ thống Đây phương pháp phổ biến đơn giản phí tổn hiệu Mỗi người sử dụng muốn tham gia vào mạng để sử dụng tài nguyên phải có đăng ký tên mật trước 1.3.3 Mã hóa liệu Để bảo mật thông tin đường truyền người ta sử dụng phương pháp mã hóa Dữ liệu bị biến đổi từ dạng nhận thức sang dạng khơng nhận thức theo thuật tốn biến đổi ngược lại trạm nhận (giải mã) Đây lớp bảo vệ thông tin quan trọng 1.3.4 Bảo vệ vật lý Ngăn cản truy nhâp vật lý vào hệ thống Thường dùng biện pháp truyền thông ngăn cấm tuyệt đối người không phận vào phịng đặt máy mạng, dùng ổ khóa máy tính cac máy trạm khơng có ổ mềm 1.3.5 Tƣờng lửa Ngăn chặn thâm nhập trái phép lọc bỏ gói tin khơng muốn gửi nhận lý để bảo vệ máy tính mạng nội Nguyễn Tiến Dũng - 51K CNTT ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN kết nối lập hướng NEW: Gói liệu bắt đầu kết nối RELATED: Gói liệu bắt đầu kết nối phụ Thông thường đặt điểm giao thức FTP lỗi ICMP INVALID: Gói liệu khơng thể nhận dạng Điều việc thiếu tài nguyên hệ thống lỗi ICMP không trùng với luồng liệu có sẵn Bảng 6: Tiêu chuẩn mở rộng phù hợp phổ biến Đây phần mở rộng ví dụ trước: #iptables -A FORWARD -s 0/0 -I eth0 -d 192.168.1.58 -o eth1 -p TCP -sport 1024:65535 -m multiport dport 80,443 -j ACCEPT #iptables -A FORWARD -d 0/0 -o eth0 -s 192.168.1.58 -I eth1 -p TCP -m state state ESTABLISHED -j ACCPET Iptables cấu hình cho phép firewall chấp nhận gói liệu có giao tiếp (protocols) TCP, đến từ card mạng eth0, có địa IP nguồn bất kỳ, đến địa 192.168.1.58 qua mạng eth1 Số port nguồn từ 1024 đến 65535 port đích 80 (www/http) 443 (https) Đến gói liệu nhận trở lại từ 192.168.1.58, thay mở port nguồn đích, bạn việc cho phép dùng kết nối cũ thiết lập cách dùng tham số -m state state ESTABLISHED 3.2.5 Sử dụng user defined chain: Chuỗi User Defined Chains nằm bảng iptables Nó giúp q trình xử lý gói tốt Ví dụ: Thay sử dụng gói đơn xây dựng chain cho tất giao thức, ta sử dụng chain để định loại giao thức cho gói sau kiểm sốt việc xử lý user-defined, protocol-specific chain bảng filter table Mặt khác, ta thay chuỗi “long chain” với chuỗi “stubby main chain” nhiều “stubby chain”, chác chia ngắn tổng chiều dài tất chain gói phải thơng qua Sáu lệnh sau giúp việc cải tiến tốc độ xử lý: Nguyễn Tiến Dũng - 51K CNTT 42 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN #iptables -A INPUT -i eth0 -d 192.168.1.11 -j fast-input-queue #iptables -A OUTPUT -o eth0 -s 192.168.1.11 -j fast-output-queue #iptables -A fast-input-queue -p icmp-queue-in #iptables -A fast-output-queue -p icmp -j icmp-queue-out #iptables -A icmp-queue-out -p icmp icmp-type echo-request -m state state NEW -j ACCEPT #iptables -A icmp-queue-in -p icmp icmp-type echo-reply -j ACCEPT Chain Desciption Input Được xây dựng INPUT chian bảng Iptables Output Được xây dựng OUTPUT chain bảng Iptables Fast-input-queue Input chain tách riêng biệt để hỗ trợ cho giao thức đặc biệt chuyển gói đến protocol specific chain Fast-output-queue Output chain tách riêng biệt để hỗ trợ cho giao thức đặc biệt chuyển gói đến protocol specific chain Icmp-queue-out Lệnh output tách riêng cho giao thức ICMP Icmp-queue-in Lệnh input tách riêng cho giao thức ICMP Bảng 7: Tùy chỉnh Queue 3.2.6 Lƣu lại đoạn mã iptables: Đoạn mã iptables lưu tạm thời file “/etc/sysconfig/iptables” Định dạng mẫu file iptables cho phép giao thức ICMP, IPSec ( Những gói ESP AH), thiết lập liên kết, quay lại SSH 3.2.7 Thiết lập Rule cho Fedora’s iptables: Trong Fedora có chương trình gọi lokkit, chương trình thiết lập rule firewall đơn giản, giúp tăng cường bảo mật Chương trình lokkit lưu rule firewall file “/etc/sysconfig/iptables” Nguyễn Tiến Dũng - 51K CNTT 43 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CƠNG NGHỆ THƠNG TIN 3.2.8 Tìm lại đoạn mã bị mất: Đoạn mã iptables lưu trữ file “/etc/sysconfig/iptables” Ta chỉnh sửa đoạn mã tạo lại thành rule Ví dụ: Xuất lệnh iptables lưu trữ file văn với tên firewallconfig: #iptables-save > firewall-config #cat firewall-config 44auk hi chỉnh sửa file firewall-config, ta tải lại rule firewall với lệnh: #iptables-restore < firewall-config Ta lưu tạm thời: #service iptables save 3.2.9 Những modun kernel cần thiết: Modun kernel cần thiết để hoạt động vài chương trình ứng dụng iptables Một số modun: iptables_nat module, ip_conntrack_ftp module + iptales_nat module cần cho số loại NAT + ip_conntrack_ftp module cần cho việc thêm vào giao thức FTP + ip_conntrack module giữ trạng thái liên kết với giao thức TCP + ip_nat_ftp module cần tải cho máy chủ FTP sau firewall Chú ý: file /etc/sysconfig/iptables không cập nhật modun tải về, phải thêm vào trạng thái vào file /etc/rc.local chạy cuối lần boot lại Những mẫu đoạn mã phần bao gồm trạng thái lưu file /etc/rc.local 3.2.10 Sửa lỗi bảng iptables: Một số công cụ cho phép sửa lỗi đoạn mà firewall iptables Một phương pháp tốt loại bỏ tất gói bị khóa - Kiểm tra fireall log: ta theo dõi gói qua firewall có danh sách bảng iptables rule sử dụng LOG target LOG target sẽ: Nguyễn Tiến Dũng - 51K CNTT 44 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN + Tạm dừng tất đường truyền để chỉnh sửa rule iptables nơi chứa + Tự động viết vào file /var/log/messages sau thực thi rule để tạm dừng đường truyền không mong muốn, ta phải thêm vào rule phù hợp với DROP target sau LOG rule Tạm dừng nhóm gói bị lỗi vào file /var/log/message #iptables -A OUTPUT -j LOG #iptables -A INPUT -j LOG #iptables -A FORWARD -j LOG #iptables -A OUTPUT -j DROP #iptables -A INPUT -j DROP #iptables -A FORWARD -j DROP 3.3 Các tập luật thƣờng gặp: 3.3.1 Cấm địa IP : Nếu bạn có địa IP muốn khóa, dùng câu lệnh sau: #iptables -i INPUT -s -j DROP Ví dụ: ta muốn cấm địa ip : 172.16.1.24 #iptables -i INPUT -s 172.16.1.24 -j DROP Câu lệnh thêm entry vào file cấu hình IPTable, dẫn bỏ qua gói tin đến từ địa IP 172.16.1.24 Nếu bạn đối mặt với nhiều công, tốt hết bạn nên sử dụng phương pháp tự động để thêm địa IP từ danh sách cấm Để làm việc này, ta tạo đoạn mã sau: #!/bin/sh for i in $(< banned_IPs.cfg) ; iptables -I INPUT -i eth1 -s "$i" -j DROP Nguyễn Tiến Dũng - 51K CNTT 45 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN done Lưu đoạn mã vào file với tên banned_IPs.sh gán cho quyền thực thi: # chmod +x banned_IPs.sh Bây tạo file banned_IPs.cfg nhập vào danh sách địa IP bạn muốn khóa, dòng: 172.16.1.31 …………… Bây chạy file banned_IPs.sh để đưa địa IP bạn muốn khóa thêm vào danh sách IP cấm iptables: # /banned_IPs.sh Trước cấm: File banned_IPs.sh: File banned_IPs.cfg: Nguyễn Tiến Dũng - 51K CNTT 46 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN Sau cấm: 3.3.2 Cho phép máy chủ DNS truy cập đến firewall Firewall tạo yêu cầu DNS queries đến Internet Internet yêu cầu cho hàm firewall, Fedora Linux’s yum RPM giúp giữ máy chủ cập nhật với trạng thái bảo Những trạng thái theo sau cập nhật không cho firewall hoạt động DNS client cho firewall làm việc đệm có vai trị DNS server #iptables -A OUTPUT -p udp -o eth0 dport 53 sport 1024:65535 -j ACCEPT #iptables -A INPUT -p udp -I eth0 sport 53 dport 1024:65535 -j ACCEPT 3.3.3 Cho phép WWW SSH truy cập vào firewall Đoạn mã ngắn cho firewall gấp đôi wed server quản lý người quản trị hệ thống web server “web server system administrator” qua lớp vỏ bảo mật ( SSH_secure shell) Những gói quay lại dự định trước cho port 80 (www) 22 (ssh) phép Vì tạo bước để thiết lập liên kết Ngược lại, port (80 22) không thiết lập chế độ bảo mật ngõ cho gói chuyển khơng quay cho tất liên kết thiết lập phép: #iptables -A OUTPUT -o eth0 -m state state ESTABLISHED,RELATED -j ACCEPT #iptables -A INPUT -p tcp -i eth0 dport 22 sport 1024:65535 -m state state NEW -j ACCEPT #iptables -A INPUT -p tcp -i eth0 dport 80 sport 1024:65535 -m state state NEW -j ACCEPT Kết Nguyễn Tiến Dũng - 51K CNTT 47 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THƠNG TIN 3.3.4 Một số ví dụ sử dụng kỹ thuật NAT NAT ip tĩnh: - NAT OUT Sử dụng máy clinet truy cập mạng sử dụng NAT Cấu hình : #echo > /proc/sys/net/ipv4/ip_forward #iptables -t nat -A POSTROUTING -s 172.16.1.0/8 -d 0/0 -o eth0 -jMASQUERADE #service iptables save #service iptables restart - NAT IN Sử dụng máy client mạng truy cập vào dịch vụ mạng dùng DNAT: -Cho phép thực DNAT để đổi địa đích thành địa server mạng nội (172.16.1.31) truy cập đến 192.168.1.11 - Dịch vụ http Nguyễn Tiến Dũng - 51K CNTT 48 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN #iptables -t nat -A PREROUTING -d 192.168.1.11 -i eth0 -p tcp -m tcp dport 80 -j DNAT to-destination 172.16.1.31:80 - Dịch vụ smtp #iptables -t nat -A PREROUTING -d 192.168.1.11 -i eth0 -p tcp -m tcp dport 25 -j DNAT to-destination 172.16.1.31:25 - Dịch vụ pop3 #iptables -t nat -A PREROUTING -d 192.168.1.11 -i eth0 -p tcp -m tcp dport 110 -j DNAT to-destination 172.16.1.31:110 - Dịch vụ IMAP #iptables -t nat -A PREROUTING -d 192.168.1.11 -i eth0 -p tcp -m tcp dport 143 -j DNAT to-destination 172.16.1.31:143 - Dịch vụ telnet #iptables -t nat -A PREROUTING -d 192.168.1.11 -i eth0 -p tcp -m tcp dport 23 -j DNAT to-destination 172.16.1.31:23 - Dịch vụ DNS #iptables -t nat -A PREROUTING -d 192.168.1.11 -i eth0 -p tcp -m tcp dport 53 -j DNAT to-destination 172.16.1.31:53 #service iptables save #service iptables restart -Dịch vụ SSH -Dịch vụ telnet Nguyễn Tiến Dũng - 51K CNTT 49 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN -Dịch vụ web server 3.3.5 Giả mạo ( nhiều ngƣời đến NAT) Bạn cấu hình nhiều NAT cho IP, sử dụng POSTROUTING khơng báo cáo Masquerade Một ví dụ điều nhìn thấy phần NAT tĩnh sau Hãy nhớ iptables yêu cầu module iptables_nat nạp với lệnh modprobe cho tính giả mạo để làm việc Giả mạo phụ thuộc vào hệ điều hành Linux cấu hình để hỗ trợ đinh tuyến internet giao diện mạng riêng tường lửa Điều thực cách cho phép chuyển tiếp IP định tuyến cách cho tập tin /proc/sys/net/ipv4/ip_forward giá trị trái ngược với giá trị mặc định vơ hiệu hóa Sau giả mạo đạt cách sử dụng chuỗi POSTROUTING bảng nat, bạn phải cấu hình iptables phép cá gói tin đến dòng chảy hai giao diện Để làm điều này, sử dụng chuỗi FORWARD bảng lọc Cụ thể hơn, gói liên quan đến kết nối NEW ESTABLISHED phép vào Internet, gói tin liên quan đến kết nối ESTABLISHED phép vào Điều giúp bảo vệ mạng gia đình từ cố gằng để bắt đầu kết nối từ Internet: #modprobe iptable_nat #echo > /proc/sys/net/ipv4/ip_forward #iptables -t nat -A PREROUTING -p tcp -i eth0 -d 192.168.1.11 dport 80 -sport 1024:65535 -j DNAT to 192.168.1.11:8080 #iptables -A FORWARD -p tcp -i eth0 -o eth1 -d 192.168.1.11 dport 8080 -sport 1024:65535 -m state state NEW -j ACCEPT #iptables -A FORWARD -t filter NEW,ESTABLISHED,RELATED -j ACCEPT #iptables -A FORWARD -t ESTABLISHED,RELATED -j ACCEPT filter -o -i eth0 eth0 -m -m state state state state #service iptables save #service iptables restart Nguyễn Tiến Dũng - 51K CNTT 50 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN 3.3.6 Chống DDOS Sơ đồ: Công cụ: - http attack 3.6 : dùng để công ddos - Máy chủ web server iptables + ip: 192.168.10.3 + Đã cài web server phân giải tên miền - Máy client(ip:192.168.10.24) Ban đầu: Nguyễn Tiến Dũng - 51K CNTT 51 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN Bước :- Ta tắt dịch vụ iptables máy chủ web - Dùng công cụ http attack 3.6 công web - kiểm tra kết Tấn công Kết quả: Nguyễn Tiến Dũng - 51K CNTT 52 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN Bước 2: - Thêm luật vào *filter iptables #vi /etc/sysconfig/iptables A INPUT -m state state RELATED,ESTABLISHED -m limit limit 3/second -limit-burst -j ACCEPT -A INPUT -p icmp -m limit limit 1/second -j ACCEPT -A INPUT -p tcp -m tcp dport 80 -m state state NEW -m limit limit 3/second -limit-burst -j ACCEPT -A INPUT -j LOG -A INPUT -j DROP -A FORWARD -j DROP -Khởi động lại dịch vụ iptables: #service iptables restart Khởi động lại dịch vụ httpd: #service httpd restart Bước : Tấn công lại kiểm tra kết Nguyễn Tiến Dũng - 51K CNTT 53 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THƠNG TIN Như ta cấu hình tập luật iptables nhằm tránh khỏi công ddos nguy hiểm cho trang web Nguyễn Tiến Dũng - 51K CNTT 54 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN KẾT LUẬN Tình trạng có nhiều cơng mạng triển khai gây thiệt hại nhiều cho cá nhân tổ chức An toàn bảo mật thông tin vấn đề ưu tiên hàng đầu người quản trị mạng, Firewall cửa chặn cá nhân, tổ chức muốn xâm nhập vào hệ thống Để xây dựng hệ thống Firewall có mức bảo vệ cao ta cần có kiến thức Firewall Đề tài trình bày chi tiết Firewall, vấn đề liên quan đến bảo mật thông tin hệ thống Đề tài có trình bày số tập luật Iptables nhằm ngăn chặn nguy cơng bên ngồi cơng Ddos ( cơng từ chối dịch vụ), cấm địa ip cố định, kỹ thuật NAT nhằm cho cá nhân tổ chức bên truy cập vào mạng bên cho cá nhân bên internet thông qua firewall Hệ thống firewall sử dụng Iptables Linux đạt sử ổn định cao Iptables có nhiều chức đáp ứng nhu cầu bảo mật thông tin cho hệ thống Nguyễn Tiến Dũng - 51K CNTT 55 ĐỒ ÁN TỐT NGHIỆP KỸ SƯ CÔNG NGHỆ THÔNG TIN TÀI LIỆU THAM KHẢO [1] Nguyễn Hồng Sơn - Giáo trình Hệ thống mạng CCNA – NXB Giáo dục năm 2001 [2] Nguyễn Thanh Thuy, Nguyễn Quang Huy, Nguyễn Hữu Đức, Đinh Lan Anh Nhập môn hệ điều hành Linux – NXB Khoa học kỹ thuật – 2000 [3] Dave Hucaby – Cisco ASA and PIX Firewall Handbook- Cisco Press – năm 2005 [4] Michael Hasenstein – IP Network Address Translation - 1997 [5] Elizabeth, D Ziwicky, Simon Cooper & D Brent Chapman - Building Internet Firewall [6] Website: http://www.Proxyfree.com [7] http://www.pscs.co.uk [8] http://www.Quantrimang.com.vn [9] http://www.Unix.org.ua/orelly/networking/firewall [10] http://www.Iptables.org [11]http://anninhmang.net Nguyễn Tiến Dũng - 51K CNTT 56 ... trình dùng để quản lý tường lửa Linux ipchains Linux 2.2, ipfwadm linux 2.0, dựa chương trình ipfw BSD Iptables tường lửa ứng dụng lọc gói liệu mạnh , miễn phí có sẵn Linux Netfilter /Iptables gồm... TIN CHƢƠNG III : IPTABLES TRÊN LINUX 3.1 Iptables gì? Iptables Netfiter Organiztion viết để tăng tính bảo mật Linux Iptables cung cấp tính sau: - Tích hợp tốt với kenel(nhân) Linux - Có khả phân... Internet song phải đảm bảo an tồn thơng tin trình kết nối Bởi vậy, em định chọn đề tài: ? ?Quản lý tưởng lửa Linux với IPTables? ?? đồ án tốt nghiệp Đồ án em bao gồm chương: Chương I: An toàn thơng tin mạng