Giải pháp bảo vệ mạng nội bộ bằng mạng riêng ảo (VPN)

MỤC LỤC

Vấn đề bảo mật cho mạng LAN

Khi nói đến vấn đề bảo mật cho mạng LAN ta thường quan tâm tới những vấn đề chính là bảo mật thông tin dữ liệu trao đổi bên trong mạng nội bộ, bảo mật thông tin dữ liệu trao đổi từ trong mạng ra bên ngoài và từ bên ngoài vào trong mạng. Việc kiểm soát được những truy cập bất hợp pháp từ bên ngoài vào cũng như kiểm soát những truy cập không cho phép từ trong nội bộ mạng ra bên ngoài. Cùng với sự phát triển mạnh mẽ của Internet và sự kết nối mạng nội bộ với Internet thì vấn đề đảm bảo an toàn, an ninh mạng càng trở nên khó khăn và cần thiết.

Mạng riêng ảo (Virtual Private Network - VPN) là sự mở rộng mạng riêng của các công ty, tổ chức thông qua sử dụng các kết nối mạng công cộng hoăc mạng chia sẻ như Internet. VPN cung cấp cho khách hàng đầy đủ các tính năng mà một kênh thuê riêng có được nhưng với giá thành rẻ hơn do sử dụng hạ tầng cơ sở mạng công cộng. VPN sử dụng giao thức để tạo đường hầm truyền tin riêng và các biện pháp an ninh để bảo vệ dữ liệu trên đường truyền như mã hoá, xác thực….

Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Qua quá trình tìm hiểu em thấy rằng Firewall là phương pháp hữu hiệu và phổ biến nhất hiện nay do nó có nhiều ưu điểm, cung cấp những tính năng bảo mật tốt cho vấn đề bảo vệ an ninh mạng hiện nay.

TÌM HIỂU IPTALES TRONG HỆ ĐIỀU HÀNH LINUX

Firewall IPtable trên Redhat

Netfilter và iptables trên kernel 2.4 giải quyết tốt các hạn chế trên và có thêm nhiều tính năng khác mà Ipfwadm và Ipchains không có. IpTables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfilter xử lí. Nó làm việc này cho UDP và ICMP tốt nhất là kết nối TCP, ví dụ tình trạng đầy đủ của lọc ICMP chỉ cho phép hồi âm khi có yêu cầu phát đi, chứ không chặn các yêu cầu nhưng vẫn chấp nhận hồi âm với giả sử rằng chúng luôn đáp lại lệnh ping.

Xử sự đơn giản của các packet thoả thuận trong các chains (một danh sách các nguyên tắc) INPUT, OUTPUT, FORWARD. Trên các host có nhiều giao diện mạng, các packet di chuyển giữa các giao diện chỉ trên chain FORWARD hơn là trên 3 chain. Phõn biệt rừ ràng giữa lọc packet và NAT (Nework Address Translation) Có khả năng giới hạn tốc độ kết nối và ghi nhật ký.

Là một firewall cú nhiều trạng thỏi, nờn nú cú thể theo dừi trong suốt sự kết nối, do đó nó an toàn hơn firewall có ít trạng thái. Iptables bao gồm 4 bảng, mỗi bảng với một chính sách (police) mặc định và các nguyên tắc trong chain xây dựng sẵn. Một chuỗi luật là một danh sách các luật dùng để xử lý các gói tin có cùng kiểu là gói tin đến, gúi tin chuyển tiếp hay gúi tin đi ra.

Nếu packet khụng đỳng luật kế tiếp sẽ được xem xột, nếu đỳng thỡ luật kế tiếp sẽ chỉ định rừ giá trị của đích có thể các chain do người dùng định nghĩa hay có thể là một trong các giá trị cụ thể sau: ACCEPT, DENY, REJECT, MASQ, REDICRECT hay RETURN. • MASQ: Chỉ hợp lệ đối với chain forward và chain do người dùng định nghĩa và được dùng khi kernel được biên dịch với CONFIG_IP_MASQUERADE. Với chain này packet sẽ được masquerade như là nó được sinh ra từ máy cục bộ, hơn thế nữa các packet ngược sẽ được nhận ra và chúng sẽ được demasqueraded một cách tự động, bỏ qua forwarding chain.

• REDIRECT: Chỉ hợp lệ với chain input và chain do người dùng định nghĩa và chỉ được dùng khi Linux kernel được biên dịch với tham số CONFIG_IP_TRANSPARENT_PROXY được định nghĩa. Tiếp theo packet sẽ được chuyển lên cho các ứng dụng (client/server) xử lí và tiếp theo là được chuyển ra chain OUTPUT. Rule có thể là ACCEPT (chấp nhận gói dữ liệu), DROP (thả gói), REJECT (loại bỏ gói) hoặc tham chiếu (reference) đến một chain khác.

Hình 7: Firewall IPTable trong Linux.
Hình 7: Firewall IPTable trong Linux.

Các tham số dòng lệnh thường gặp

• Đặt chính sách cho các chain `built-in` (INPUT, OUTPUT &. FORWARD): iptables -P , ví dụ: iptables -P INPUT ACCEPT để chấp nhận các packet vào chain INPUT. Gửi gói ICMP `port-unreachable` cho các kết nối đến cổng 139, dùng giao thức UDP. Không đóng các kết nối đang được thiết lập, đồng thời cũng cho phép mở các kết nối mới trong kết nối được thiết lập.

Giới thiệu về bảng NAT (Network Address Traslation)

Chúng ta sẽ tìm hiểu về một số phương thức đổi địa chỉ của NAT sau đây. NAT động là một trong những kĩ thuật chuyển đổi địa chỉ IP NAT (Network Address Translation). Liên lạc giữa các máy trong mạng LAN với máy khác bên ngoài hoàn toàn trong suốt qua router.

Iptables hổ trợ tùy chọn -j REDIRECT cho phép đổi hướng cổng một cách dễ dàng. (MASQUERADE thường được dùng khi kết nối đến Internet là pp0 và dùng địa chỉ IP động).

¾ Nếu thay đổi địa chỉ Internet cũng không cần phải cấu hình lại cho
¾ Nếu thay đổi địa chỉ Internet cũng không cần phải cấu hình lại cho

THIẾT LẬP FIREWALL BẢO VỆ MẠNG NỘI BỘ BẰNG IPTABLES TRONG HỆ ĐIỀU HÀNH LINUX

    # tất cả các packet đã được thiết lập kết nối và có quan hệ với một kết nối đã thiết lập đi vào từ #Internet đến Firewall. Bên cạnh việc đặt địa chỉ IP thích hợp cho các máy nội bộ bên trong Firewall (gán địa chỉ IP tĩnh hoặc động), đặt địa chỉ IP Gateway thích hợp của Server Linux Firewall, địa chỉ DNS Server. Nhưng muốn sử dụng công cụ này một cách hiệu quả nhất thì đòi hỏi người quản trị phải hiểu biết sâu sắc về kiến thức mạng máy tính và nhớ chắc chắn một số lượng lớn các tham số phức tạp.

    Phần mềm được xây dựng bằng ngôn ngữ PHP và chạy trên Webserver Apache nên tại mọi máy tính trong mạng ta đều có thể truy xuất đến phần mềm và cấu hình hệ thống firewall này. Ngoài ra để giải quyết vấn đề người sử dụng phải nhớ quá nhiều tham số phức tạp thì chương trình sẽ có sẵn các tập luật và mỗi luật này sẽ cú chỳ thớch và mụ tả rừ ràng cụng dụng. Như phần trên đã nêu, để có thể sử dụng công cụ firewall iptables người sử dụng cần phải có kiến thức rất sâu sắc về mạng như các giao thức, địa chỉ IP, cổng dịch vụ hơn nữa là rất nhiều tham số của tường lửa iptables.

    Với mục đích giúp dễ dàng cho việc cấu hình firewall nhờ iptables thì phần mềm quản lí IP-Tables đã được xây dựng trên nền tảng là ngôn ngữ PHP. Phần mềm với nhiều tính năng nổi trội như cho phép người dùng có thể cấu hình tường lửa từ xa, cho phép lưu trữ các cấu hình cũ và có thể cập nhật lại, người dùng dễ dàng thêm/xóa/sửa/ di chuyển các câu lệnh. Vì chương trình được xây dựng trên cơ sở các trang web nên tại mọi thời điểm chỉ cần người sử dụng có trình duyệt và kết nối đến máy tính cần cấu hình firewall.

    - Thiết kế dưới dạng website nên tại mọi máy tính trong mạng đều có thể thực hiện công việc cấu hình iptables. - Giúp người dùng không cần kiến thức quá sâu sắc về các tham số của iptables vẫn có thể cấu hình được firewall nhờ việc tạo sẵn các luật. Đề tài về Firewall luôn là mối quan tâm hàng đầu của các nhà quản trị mạng nói riêng và của những nhà tin học nói chung.

    Để có thể xây dựng được một mạng riêng mà có thể tránh khỏi mọi sự tấn công là không thể, nhưng chúng ta có thể xây dựng được những mạng có tính an toàn cao theo những yêu cầu cụ thể. Để cú thể xõy dựng được những mạng như vậy, người quản trị mạng phải nắm rừ được những kiến thức cơ bản về Firewall. Đề tài đã trình bày khá chi tiết về Firewall, và những vấn đề liên quan đến bảo vệ thông tin cho các mạng nội bộ.

    Đề tài cũng đã thiết lập được mô hình Firewall bảo vệ mạng nội bộ bằng IPTABLES trong hệ điều hành LINUX. Với hệ thống Firewall sử dụng Iptables trên Linux đạt được sự ổn định cao của hệ điều hành Linux và một Iptables với nhiều chức năng đáp ứng được cho nhu cầu của các đơn vị có nhu cầu xây dựng hệ thống Firewall khi có mạng nội bộ kết nối Internet.

    4.2.3. Cài đặt cấu hình cần thiết cho hệ thống file proc.
    4.2.3. Cài đặt cấu hình cần thiết cho hệ thống file proc.