Cho phép những trình duyệt trên máy trạm được phép kết nối Internet. • Browser check: Chỉ những máy đã cài đặt những trình duyệt được chọn
mới có thể vượt qua proxy server. Tất cả những yêu cầu khác sẽ bị bị chặn. Không áp dụng cho những đối tượng Unrestricted source IP addresses, Unrestricted source MAC addresses đã khai báo trước đó. • Client definitions: Ta có thể tự định nghĩa bằng cách khai báo trong tập
tin /var/ipcop/proxy/advanced/useragents.
Hình 4.36: Cấu hình web browser 4.4.1.13 Quyền riêng tư
Cho phép sửa đổi, bổ xung vào tiều đề của HTTP để bảo vệ quyền riêng tư.
Hình 4.37: Cấu hình privacy
• Fake useragent: Theo mặc định những tương tác của người dùng với trình duyệt web đang sử dụng sẽ gửi yêu cầu đến các máy chủ web bên ngoài. Một số trang web động có những đoạn mã hiển thị thông tin hệ điều hành hay trình duyệt... Với tùy chọn này, thông tin thật sẽ không bị hiển thị ra ngoài.
• Fake referer: Khi ta click vào một liên kết, địa chỉ URL nguồn sẽ được hiển thị trên các web đích. Tính năng này cho phép bạn dấu đi URL nguồn (thực tế của nó).
4.4.1.14 Lọc URL
Hình 4.38: Bật tính năng URL filter
Đây là tính năng lọc URL. Để sử dụng ta phải bật tính năng và cài đặt chức năng này tại trang http://www.urlfilter.net. Các chữ số màu đỏ là phiên bản của bộ lọc URL.
4.4.1.15 Cấu hình xác thực
Advance Proxy cung cấp một loạt các phương pháp để xác thực người dùng như local, identd, LDAP, Windows, RADIUS.
4.4.2 URL Filter
URL Filter là một tính năng rất hữu ích trong việc giới hạn người sử dụng truy cập vào các trang web cấm. Ngoài ra, URL Filter còn có tính năng quản
lý và ngăn chặn các máy trạm tiếp xúc với môi trường không tốt bên ngoài, như các tính năng lọc theo từ khóa, theo miền. URL Filter còn liệt kê các danh sách để cấm hay cho phép tất cả các máy trạm truy cập vào Internet. Tải trình cài đặt tại địa chỉ http://www.urlfiter.net/download.html. Cách cài đặt URL Filter giống như Advanced Proxy. Sau khi cài đặt thì trong menu Services sẽ xuất hiện thêm mục URL Filter.
4.4.2.1 Thiết lập chung lọc URL
Hình 4.39: Thiết lập lọc chung cho URL Filter
• Block categories: Chức năng lọc theo danh sách cấm của URL Filter, đây là danh sách URL Filter tự liệt kê cho ta, để sử dụng ta chỉ cần tích vào mục cần cấm. Mặc định sau khi cài xong danh sách này có rất hạn chế, ta có thể cập nhật danh sách này từ mạng bằng chức năng “Upload Blacklist” ở bên dưới.
• Custom blacklist : Tùy chọn danh sách cấm, do người quản trị tự định nghĩa.
o Block domain (one per line): Định nghĩa tên miền nào bị cấm, mỗi một tên miền được khai báo trên một dòng.
o Block URLs(one per line): Định nghĩa URL bị cấm, mỗi một URL được khai báo trên một dòng.
o Enable custom blacklist: Đánh dấu chọn để chức năng này có hiệu lực.
• Custom whitelist: Tùy chọn danh sách cho phép truy nhập, danh sách này do người quản trị tự định nghĩa.
o Allowed domains (one per line): Định nghĩa tên miền nào cho phép truy cập (tên miền tin cậy), mỗi tên miền được khai báo trên một dòng.
o Allowed URLs (one per line): Định nghĩa URL cho phép, mỗi một URL được khai báo trên một dòng.
o Enable custom Whitelist: Đánh dấu chọn để chức năng này có hiệu lực.
• Custom expression list: Tính năng này cho phép chặn theo biểu thức, cú pháp xuất hiện trong URL.
o Blocked expressions (as regular expressions): Ta cần khai báo cú pháp, từ khóa vào đây. Mỗi một cú pháp, từ khóa được khai báo trên một dòng. Ví dụ: Cấm người dùng xem video ta có thể khai báo từ khóa video, phim …
o Enable custom expression list: Để bật tính năng này. • File extension blocking : Chặn theo loại tập tin.
o Block executable files: Chặn tải về các tập tin thực thi. Điều này làm cho máy tính tránh được các nguy cơ bị tấn công mã độc, virus, trojan … (adsbygoogle = window.adsbygoogle || []).push({});
o Block audio/video files: Chặn tải về các tập tin video/audio. Nếu băng thông hạn chế thì tính năng này rất tiện ích.
• Local file redirection: Chuyển hướng các tập tin tải về tới kho lưu trữ nội bộ. Điều này là tăng tốc tải về và tiết kiệm băng thông.
o Enable local file redirection: Để bật chức năng này.
o Manage repository: Cho phép mở hộp thoại giao diện để quản lý kho lưu trữ các tập tin.
4.4.2.2 Điều khiển truy nhập mạng
Hình 4.40: Điều khiển truy nhập của URL Filter
o Unfiltered IP addresses: Những máy có địa chỉ IP hay một dải địa chỉ IP ( một mạng con) bị giới hạn truy nhập.
o Banned IP addresses: Những máy có địa chỉ IP hay một dải địa chỉ IP ( một mạng con) bị cấm tuyệt đối.
• Time based access control: Điều khiển thời gian truy nhập.
o Set time constraints: Giới hạn truy cập theo ngày giờ.
Hình 4.41: Thiết lập cảnh báo
• Block page settings: Các tùy chọn về trang cảnh báo khi người dùng truy cập vào địa chỉ bị cấm hay những máy có địa chỉ IP bị cấm truy cập.
o Redirect to this URL: Chuyển tiếp tới địa chỉ này khi người dùng truy cập trang bị cấm.
o Message line 1, 2, 3: Các thông điệp nhắc nhở người dùng trên trang cảnh báo. Nếu để trống thì IPCop sẽ sử dụng các thông báo mặc định.
o Show URL on block page: Hiển thị địa chỉ bị cấm trên trang cảnh báo.
o Show IP on block page: Hiển thị địa chỉ IP của người dùng trên trang cảnh báo.
o Use “DNS Error” to block URLs: Hiển thị dạng máy chủ phân dải tiên miền bị lỗi thay cho trang cảnh báo.
o Enable background image: Bật chức năng sử dụng nền cho trang cảnh báo.
4.4.2.3 Thiết lập nâng cao
Hình 4.42: Tùy chọn nâng cao cho URL Filter
o Enable expression lists: Cho phép danh sách chặn kiểu biểu thức.
o Enable SafeSearch: Cho phép công cụ tìm kiếm dựa trên việc tìm kiếm an toàn bằng cách lọc kết quả tìm kiếm về hình ảnh và tìm kiếm web thông thường. Điều này phụ thuộc vào công cụ tìm kiếm hỗ trợ chức năng tìm kiếm an toàn.
o Block “ads” with empty windows: Chặn các popup có nội dung rỗng.
o Block sites accessed by it’s IP address: Không cho truy cập trực tiếp bằng địa chỉ IP.
Block all URLs not explicitly allowed: Chặn tất cả các URL không có trong danh sách cho phép truy cập.
Enable log: Bật chức năng ghi nhật kí.
Log username: Bật chức năng thêm tên người dùng mỗi khi có yêu cầu vào các tập tin nhật kí.
Split log by categories: Chia nhỏ các tập tin nhật kí cho mỗi thể loại của tập tin nhật kí chung.
Number of filter processes: Bạn có thể tăng hoặc giảm số lượng của quá trình lọc. Số lượng này còn phụ thuộc vào hiệu suất phần cứng, băng thông và số lượng truy cập đồng thời. Giá trị mặc định là 5.
Allow custom whitelist for banned clients: Cho phép các IP bị cấm tuyệt đối khi truy cập vào các URL có trong danh sách cho phép. (adsbygoogle = window.adsbygoogle || []).push({});
4.4.2.4 Nâng cấp, bảo trì URL filter
Hình 4.43: Nâng cấp & bảo trì URL Filter
• Enable automatic update: Bật chức năng tự động cập nhật danh sách cấm truy nhập theo nhóm.
• Automatic update schedule: Lịch cập nhật (hàng ngày, hàng tuần, hàng tháng).
• Select download source: Tùy chọn nguồn cập nhật.
• Custom source URL: Nếu muốn cập nhật từ nguồn riêng không có trong danh sách ở trên thì gõ địa chỉ vào đây.
• Save update settings: Lưu lại các thông số đã thiết lập.
• Update now: Cập nhật danh sách cấm truy nhập ngay lập tức. • Blacklist editor: Soạn thảo danh sách cấm truy nhập theo ý riêng.
• Backup URL filter settings: Bấm “Create backup file” để tạo tập tin sao lưu cấu hình URL filter. Chọn “Include complete blacklist” nếu muốn sao lưu toàn bộ danh sách cấm truy nhập.
• Restore URL filter settings: Bấm “Browser” để dẫn tới tập tin cần khôi phục rồi bấm “Import backup file” để phục hồi lại cấu hình đã sao lưu trước đó.
4.4.3 Block Out Traffic
4.4.3.1 Cài đặt
Bước 1: Tải gói cài đặt về từ http://blockouttraffic.de/download.php
Bước 2: Copy gói cài đặt lên tường lửa IPCop. Nếu là từ máy Windows, ta có thể sử dụng chương trình WinSCP (Phải chắc chắn dịch vụ SSH trên IPCop phải được bật).
Bước 3: Đăng nhập bằng tài khoản root qua SSH. Trên Windows, ta có thể sử dụng chương trình PuTTY(Sử dụng cổng 222).
Bước 4: Giải nén gói bằng câu lệnh:
o tar –zxvf BlockOutTraffic-3.0.0-GUI-b3.tar.gz
Bước 5: Cài đặt :
o cd BlockOutTraffic-3.0.0-GUI-b3
o ./setup
Bước 6: Mở giao diện web quản trị IPCop. Ta sẽ thấy dịch vụ được cài đặt trong Service.
4.4.3.2 Thiết lập cấu hình
Trước khi BlockOutTraffic(BOT) được kích hoạt ta phải cấu hình máy tính được phép quản trị BOT. Trong giao diện quản trị IPCop chọn Firewall => Block outgoing traffic:
o Admin MAC: Địa chỉ MAC máy trạm được phép quản trị BOT.
o HTTPS port: Khai báo cổng HTTPS truy cập tới giao diện quản trị. BOT tạo ra một quy tắc quản trị mặc định với MAC và cổng HTTPS điều này tránh được các truy cập trái phép.
o Connection state: BOT sẽ cho phép lưu lượng thuộc về một kết nối liên quan hoặc kết nối được thiết lập khi bạn kích hoạt tùy chọn này. Nếu sử dụng Port-Forwardings (ví dụ một máy chủ web nội bộ) bạn nên kích hoạt tùy chọn này.
o Logging: BOT sẽ tạo ra những luật nếu một máy tính nào không phù hợp với luật khi tính năng này được bật.
o Default Deny action: Ta có thể chọn hành động DROP (xóa bỏ) hoặc REJECT(từ chối) gói tin nếu không phù hợp với luật đề ra.
o Advanced Mode: Nếu tính năng này được kích hoạt ta sẽ có nhiều lựa chọn để tùy biến các quy tắc BOT. Nhưng được cảnh báo bạn có thể mở tường lửa trong chế độ nâng cao. Chỉ nên chọn tùy chọn này nếu người quản trị có kiến thức sâu về tường lửa.
Khi bạn nhấn nút “Save” thì các thiết lập được lưu lại và ta có thể bắt đầu xác định các quy tắc BOT và các tính năng hữu ích khác. Những tính năng bổ sung (nâng cao) có thể được cấu hình khi bạn vào Firewall => Advanced BOT trong giao diện web quản trị. (adsbygoogle = window.adsbygoogle || []).push({});
Trước tiên, ta nên định nghĩa một vài dịch vụ cho truy cập tường lửa IPCop. Ta có thể định nghĩa nó sau khi tạo nhóm dịch vụ hoặc tạo các luật BOT. Có 3 dịch vụ ta cần định nghĩa sau:
1. IPCop ssh là dịch vụ cần thiết để quản trị tường lửa thông qua ssh.
2. IPCop https để quản trị tường lửa qua giao diện web. Với máy tính đã khai báo địa chỉ MAC tại “Admin MAC” sẽ có thể truy cập tới được tường lửa qua giao diện web và những máy tính khác áp dụng luật này cũng có thể truy cập được.
3. IPCop proxy dịch vụ cho phép truy cập tới web proxy để truy cập tới Internet.
Tiếp theo, ta có thể định nghĩa nhóm dịch vụ, tùy chọn địa chỉ, nhóm địa chỉ hoặc một giao diện mới. Ví dụ :
• Nhóm quản lý tường lửa IPCop gồm có IPCop ssh, IPCop https. ….
Hình 4.44: Định nghĩa nhóm dịch vụ
Sau khi định nghĩa những dịch vụ tùy chọn và các nhóm dịch vụ ta cần định nghĩa các tập luật. Ví dụ ta muốn mạng nội bộ được phép:
• Gửi và nhập email.
• Truy nhập Internet thông qua dịch vụ proxy.
• Truy vấn được dịch vụ DNS, DHCP và NTP trên IPCop.
• Cho phép 2 máy quản trị để quản trị IPCop qua giao diện web và ssh. Trở lại mục BlockOutTraffic (Webgui => Firewall => BlockOutTraffic) và tại mục “Add a new rule”. Ta có thể tùy chọn luật cho tường lửa như ACCEPT(cho phép), DROP(xóa bỏ), REJECT(từ chối), LOG only(chỉ ghi nhật kí). Trong tùy chọn này ta phải khai báo: nguồn, đích, bổ sung các thiết lập và khung thời gian.
4.4.4 Mạng riêng ảo
4.4.4.1 Cài đặt VPN
Bước 1: Tải gói ZERINA-0.9.7a14-Installer.tar.gz tại trang web http://www.openvpn.eu/index.php?id=35.
Bước 2: Từ máy Windows, ta sử dụng chương trình WinSCP (Phải chắc chắn dịch vụ SSH trên IPCop phải được bật).
Bước 3: Sử dụng chương trình PuTTY(Sử dụng cổng 222), đăng nhập bằng tài khoản root qua SSH.
Bước 4: Giải nén gói bằng câu lệnh :
o tar –zxvf ZERINA-0.9.7a14-Installer.tar.gz
Bước 5: Cài đặt :
o cd ZERINA-0.9.7a14-Installer
o ./install
Bước 6: Mở giao diện web quản trị IPCop. Ta sẽ thấy dịch vụ được cài đặt trong Service.
4.4.4.2 Mô hình Client to Site
Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. Cũng có thể áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty. Client to Site còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server. VPN là giải pháp thiết kế mạng khá hay, VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.
Hình 4.45: Mô hình Client to Site.
a. Cấu hình cho server:
• Tích vào “OpenVPN on red” để chỉ card lắng nghe các yêu cầu kết nối VPN.
• Cấu hình địa chỉ IP tại “Local VPN Hostname/IP”, địa chỉ IP này lắng nghe các yêu cầu kết nối tới.
• Cầu hình dải địa chỉ IP cung cấp cho các máy trạm kết nối tới tại “OpenVPN subnet”. (adsbygoogle = window.adsbygoogle || []).push({});
• Cấu hình giao thức kết nói “Protocol” mặc định là UDP. • Tích vào “LZO-Compression” để nén dữ liệu khi truyền.
• Tiếp đến, ta click vào nút “Advanced Server options” nếu muốn thiết lập một số tính năng khác.
• Nhấp vào “Save” để lưu lại các thiết lập. b. Tạo chứng chỉ cho Root và máy chủ IPCop:
• Click vào nút “Generate Root/Host Certificates” để tạo chứng chỉ cho Root và máy chủ IPCop.
• Khai báo tên, địa chỉ IP máy chủ IpCop, địa chỉ email … c. Tạo chứng chỉ cho các máy trạm:
• Tại mục “Roadwarrior Client status and control” ta nhấn nút “Add” để tạo chứng chỉ cho máy trạm.
• Ta cần khai báo tên, địa chỉ e-mail, mật khẩu truy cập … cho máy trạm. Rồi nhấn nút “Save” để ghi lại các thiết lập.
• Click vào biểu tượng “Download” để tải chứng chỉ về, đưa chứng chỉ cho máy muốn truy nhập VPN từ xa.
• Cuối cùng, ta chạy dịch vụ VPN “Start OpenVPN”. Nếu cấu hình mọi thứ chính xác ta sẽ thấy trạng thái chuyển sang chế độ “Running”.
4.4.4.3 Mô hình Site to Site
Mô hình Site to site là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site. Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode giữa các Gateway. Với 2 mạng riêng, Office 1 và office 2 được kết nối với nhau qua Internet. Để bảo mật dữ liệu, VPN gateway 1 và VPN gateway 2 thiết lập một đường hầm – tất cả lưu lượng đi qua nó được mã hóa để đảm bảo bí mật và tính toàn vẹn. Để tránh các tường lửa ở hai đầu ngăn chặn lưu lượng được mã hóa như là mã độc, chức năng VPN được kết hợp với các bức tường lửa. IPCop đã hỗ trợ IPSEC Site to Site.
Hình 4.46: Mô hình Site to Site
a. Cấu hình Site to Site:
• 2 tường lửa IPCop, một cho Office 1(Hà nội) và Office 2 (Hồ Chí Minh).
• Các dải địa chỉ mạng LAN tương ứng là 172.16.1.0/24 và 172.16.2.0/24
Tham số Thiết lập bên Hà Nội Thiết lập bên Hồ Chí Minh
Name HaNoi HoChiMinh
Remote host/IP 192.168.10.222 192.168.10.111 Remote subnet 172.16.2.0/255.255.255.0 172.16.1.0/255.255.255.0 Host IP address 192.168.10.111 192.168.10.222 Local subnet 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0 Use a Pre-