Hình 4.42: Tùy chọn nâng cao cho URL Filter
o Enable expression lists: Cho phép danh sách chặn kiểu biểu thức.
o Enable SafeSearch: Cho phép công cụ tìm kiếm dựa trên việc tìm kiếm an toàn bằng cách lọc kết quả tìm kiếm về hình ảnh và tìm kiếm web thông thường. Điều này phụ thuộc vào công cụ tìm kiếm hỗ trợ chức năng tìm kiếm an toàn.
o Block “ads” with empty windows: Chặn các popup có nội dung rỗng.
o Block sites accessed by it’s IP address: Không cho truy cập trực tiếp bằng địa chỉ IP.
Block all URLs not explicitly allowed: Chặn tất cả các URL không có trong danh sách cho phép truy cập.
Enable log: Bật chức năng ghi nhật kí.
Log username: Bật chức năng thêm tên người dùng mỗi khi có yêu cầu vào các tập tin nhật kí.
Split log by categories: Chia nhỏ các tập tin nhật kí cho mỗi thể loại của tập tin nhật kí chung.
Number of filter processes: Bạn có thể tăng hoặc giảm số lượng của quá trình lọc. Số lượng này còn phụ thuộc vào hiệu suất phần cứng, băng thông và số lượng truy cập đồng thời. Giá trị mặc định là 5.
Allow custom whitelist for banned clients: Cho phép các IP bị cấm tuyệt đối khi truy cập vào các URL có trong danh sách cho phép.
4.4.2.4 Nâng cấp, bảo trì URL filter
Hình 4.43: Nâng cấp & bảo trì URL Filter
• Enable automatic update: Bật chức năng tự động cập nhật danh sách cấm truy nhập theo nhóm.
• Automatic update schedule: Lịch cập nhật (hàng ngày, hàng tuần, hàng tháng).
• Select download source: Tùy chọn nguồn cập nhật.
• Custom source URL: Nếu muốn cập nhật từ nguồn riêng không có trong danh sách ở trên thì gõ địa chỉ vào đây.
• Save update settings: Lưu lại các thông số đã thiết lập.
• Update now: Cập nhật danh sách cấm truy nhập ngay lập tức. • Blacklist editor: Soạn thảo danh sách cấm truy nhập theo ý riêng.
• Backup URL filter settings: Bấm “Create backup file” để tạo tập tin sao lưu cấu hình URL filter. Chọn “Include complete blacklist” nếu muốn sao lưu toàn bộ danh sách cấm truy nhập.
• Restore URL filter settings: Bấm “Browser” để dẫn tới tập tin cần khôi phục rồi bấm “Import backup file” để phục hồi lại cấu hình đã sao lưu trước đó.
4.4.3 Block Out Traffic
4.4.3.1 Cài đặt
Bước 1: Tải gói cài đặt về từ http://blockouttraffic.de/download.php
Bước 2: Copy gói cài đặt lên tường lửa IPCop. Nếu là từ máy Windows, ta có thể sử dụng chương trình WinSCP (Phải chắc chắn dịch vụ SSH trên IPCop phải được bật).
Bước 3: Đăng nhập bằng tài khoản root qua SSH. Trên Windows, ta có thể sử dụng chương trình PuTTY(Sử dụng cổng 222).
Bước 4: Giải nén gói bằng câu lệnh:
o tar –zxvf BlockOutTraffic-3.0.0-GUI-b3.tar.gz
Bước 5: Cài đặt :
o cd BlockOutTraffic-3.0.0-GUI-b3
o ./setup
Bước 6: Mở giao diện web quản trị IPCop. Ta sẽ thấy dịch vụ được cài đặt trong Service.
4.4.3.2 Thiết lập cấu hình
Trước khi BlockOutTraffic(BOT) được kích hoạt ta phải cấu hình máy tính được phép quản trị BOT. Trong giao diện quản trị IPCop chọn Firewall => Block outgoing traffic:
o Admin MAC: Địa chỉ MAC máy trạm được phép quản trị BOT.
o HTTPS port: Khai báo cổng HTTPS truy cập tới giao diện quản trị. BOT tạo ra một quy tắc quản trị mặc định với MAC và cổng HTTPS điều này tránh được các truy cập trái phép.
o Connection state: BOT sẽ cho phép lưu lượng thuộc về một kết nối liên quan hoặc kết nối được thiết lập khi bạn kích hoạt tùy chọn này. Nếu sử dụng Port-Forwardings (ví dụ một máy chủ web nội bộ) bạn nên kích hoạt tùy chọn này.
o Logging: BOT sẽ tạo ra những luật nếu một máy tính nào không phù hợp với luật khi tính năng này được bật.
o Default Deny action: Ta có thể chọn hành động DROP (xóa bỏ) hoặc REJECT(từ chối) gói tin nếu không phù hợp với luật đề ra.
o Advanced Mode: Nếu tính năng này được kích hoạt ta sẽ có nhiều lựa chọn để tùy biến các quy tắc BOT. Nhưng được cảnh báo bạn có thể mở tường lửa trong chế độ nâng cao. Chỉ nên chọn tùy chọn này nếu người quản trị có kiến thức sâu về tường lửa.
Khi bạn nhấn nút “Save” thì các thiết lập được lưu lại và ta có thể bắt đầu xác định các quy tắc BOT và các tính năng hữu ích khác. Những tính năng bổ sung (nâng cao) có thể được cấu hình khi bạn vào Firewall => Advanced BOT trong giao diện web quản trị.
Trước tiên, ta nên định nghĩa một vài dịch vụ cho truy cập tường lửa IPCop. Ta có thể định nghĩa nó sau khi tạo nhóm dịch vụ hoặc tạo các luật BOT. Có 3 dịch vụ ta cần định nghĩa sau:
1. IPCop ssh là dịch vụ cần thiết để quản trị tường lửa thông qua ssh.
2. IPCop https để quản trị tường lửa qua giao diện web. Với máy tính đã khai báo địa chỉ MAC tại “Admin MAC” sẽ có thể truy cập tới được tường lửa qua giao diện web và những máy tính khác áp dụng luật này cũng có thể truy cập được.
3. IPCop proxy dịch vụ cho phép truy cập tới web proxy để truy cập tới Internet.
Tiếp theo, ta có thể định nghĩa nhóm dịch vụ, tùy chọn địa chỉ, nhóm địa chỉ hoặc một giao diện mới. Ví dụ :
• Nhóm quản lý tường lửa IPCop gồm có IPCop ssh, IPCop https. ….
Hình 4.44: Định nghĩa nhóm dịch vụ
Sau khi định nghĩa những dịch vụ tùy chọn và các nhóm dịch vụ ta cần định nghĩa các tập luật. Ví dụ ta muốn mạng nội bộ được phép:
• Gửi và nhập email.
• Truy nhập Internet thông qua dịch vụ proxy.
• Truy vấn được dịch vụ DNS, DHCP và NTP trên IPCop.
• Cho phép 2 máy quản trị để quản trị IPCop qua giao diện web và ssh. Trở lại mục BlockOutTraffic (Webgui => Firewall => BlockOutTraffic) và tại mục “Add a new rule”. Ta có thể tùy chọn luật cho tường lửa như ACCEPT(cho phép), DROP(xóa bỏ), REJECT(từ chối), LOG only(chỉ ghi nhật kí). Trong tùy chọn này ta phải khai báo: nguồn, đích, bổ sung các thiết lập và khung thời gian.
4.4.4 Mạng riêng ảo
4.4.4.1 Cài đặt VPN
Bước 1: Tải gói ZERINA-0.9.7a14-Installer.tar.gz tại trang web http://www.openvpn.eu/index.php?id=35.
Bước 2: Từ máy Windows, ta sử dụng chương trình WinSCP (Phải chắc chắn dịch vụ SSH trên IPCop phải được bật).
Bước 3: Sử dụng chương trình PuTTY(Sử dụng cổng 222), đăng nhập bằng tài khoản root qua SSH.
Bước 4: Giải nén gói bằng câu lệnh :
o tar –zxvf ZERINA-0.9.7a14-Installer.tar.gz
Bước 5: Cài đặt :
o cd ZERINA-0.9.7a14-Installer
o ./install
Bước 6: Mở giao diện web quản trị IPCop. Ta sẽ thấy dịch vụ được cài đặt trong Service.
4.4.4.2 Mô hình Client to Site
Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. Cũng có thể áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty. Client to Site còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server. VPN là giải pháp thiết kế mạng khá hay, VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.
Hình 4.45: Mô hình Client to Site.
a. Cấu hình cho server:
• Tích vào “OpenVPN on red” để chỉ card lắng nghe các yêu cầu kết nối VPN.
• Cấu hình địa chỉ IP tại “Local VPN Hostname/IP”, địa chỉ IP này lắng nghe các yêu cầu kết nối tới.
• Cầu hình dải địa chỉ IP cung cấp cho các máy trạm kết nối tới tại “OpenVPN subnet”.
• Cấu hình giao thức kết nói “Protocol” mặc định là UDP. • Tích vào “LZO-Compression” để nén dữ liệu khi truyền.
• Tiếp đến, ta click vào nút “Advanced Server options” nếu muốn thiết lập một số tính năng khác.
• Nhấp vào “Save” để lưu lại các thiết lập. b. Tạo chứng chỉ cho Root và máy chủ IPCop:
• Click vào nút “Generate Root/Host Certificates” để tạo chứng chỉ cho Root và máy chủ IPCop.
• Khai báo tên, địa chỉ IP máy chủ IpCop, địa chỉ email … c. Tạo chứng chỉ cho các máy trạm:
• Tại mục “Roadwarrior Client status and control” ta nhấn nút “Add” để tạo chứng chỉ cho máy trạm.
• Ta cần khai báo tên, địa chỉ e-mail, mật khẩu truy cập … cho máy trạm. Rồi nhấn nút “Save” để ghi lại các thiết lập.
• Click vào biểu tượng “Download” để tải chứng chỉ về, đưa chứng chỉ cho máy muốn truy nhập VPN từ xa.
• Cuối cùng, ta chạy dịch vụ VPN “Start OpenVPN”. Nếu cấu hình mọi thứ chính xác ta sẽ thấy trạng thái chuyển sang chế độ “Running”.
4.4.4.3 Mô hình Site to Site
Mô hình Site to site là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site. Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode giữa các Gateway. Với 2 mạng riêng, Office 1 và office 2 được kết nối với nhau qua Internet. Để bảo mật dữ liệu, VPN gateway 1 và VPN gateway 2 thiết lập một đường hầm – tất cả lưu lượng đi qua nó được mã hóa để đảm bảo bí mật và tính toàn vẹn. Để tránh các tường lửa ở hai đầu ngăn chặn lưu lượng được mã hóa như là mã độc, chức năng VPN được kết hợp với các bức tường lửa. IPCop đã hỗ trợ IPSEC Site to Site.
Hình 4.46: Mô hình Site to Site
a. Cấu hình Site to Site:
• 2 tường lửa IPCop, một cho Office 1(Hà nội) và Office 2 (Hồ Chí Minh).
• Các dải địa chỉ mạng LAN tương ứng là 172.16.1.0/24 và 172.16.2.0/24
Tham số Thiết lập bên Hà Nội Thiết lập bên Hồ Chí Minh
Name HaNoi HoChiMinh
Remote host/IP 192.168.10.222 192.168.10.111 Remote subnet 172.16.2.0/255.255.255.0 172.16.1.0/255.255.255.0 Host IP address 192.168.10.111 192.168.10.222 Local subnet 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0 Use a Pre- Shared Key (PSK) 123456 123456
• Trên tường lửa của Hà Nội vào menu VPNs -> VPNs trong mục “Connection status and control” nhấn “Add” để tạo kết nối.
• Chọn “Net-to-Net Virtual Private Network” để cấu hình Site to Site. • Cấu hình tham số như trong bảng ở trên. Rồi nhấn nút “Save” để lưu lại
các thiết lập.
• Trên tường lửa của Hồ Chí Minh cấu hình tương tự.
Hình 4.48: Trạng thái kết nối Site to Site bên Hồ Chí Minh.
Bảo mật mạng riêng ảo dựa trên việc chia sẻ PSK và bí mật của khóa. Nếu PSK bị lộ mang có thể bị đe dọa. Để khắc phục vấn đề này, mạng riêng ảo dựa trên chứng chỉ có thể được sử dụng bằng cách tạo ra một RootCA và chứng chỉ cho máy.
KẾT LUẬN
Để bảo vệ cho hệ thống mạng bên trong thì chúng ta có nhiều giải pháp như sử dụng Router Cisco, dùng tường lửa của Microsoft như ISA….Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy đối với người dùng không muốn tốn tiền nhưng lại muốn có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp vối hệ thống mạng bên ngoài (Internet) thì IPCop là một giải pháp tiết kiệm và hiệu quả tương đối tốt nhất đối với người dùng.
Đặc điểm cũng khá quan trọng là cấu hình để cài đặt và sử dụng phần mềm IPCop không đòi hỏi phải cao như những phần mềm mới hiện nay. IPCop là một tường lửa có chức năng định tuyến như một tường lửa mạnh và ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Phần mềm được thiết kế nhỏ gọn, dễ dàng cấu hình thông qua giao diện web và đặc biệt là có khả năng cài đặt thêm gói dịch vụ để mở rộng tính năng. Tường lửa IPCop có thể đáp ứng được một mạng doanh nghiệp nhỏ và nó cũng dễ dàng trong quản lý và cung cấp nhiều tính năng để như trong các sản phẩm thương mại. Mặc dù vậy một số tính năng đã được sử dụng trong các doanh nghiệp lớn vẫn còn nhiều hạn chế, chính vì vậy tôi không khuyên các bạn sử dụng trong môi trường lớn như vậy. Với cộng đồng phát triển tích cực của ứng dụng này, dự án nên giải quyết các vấn đề này đó như các tính năng mới được bổ sung. Bạn hoàn toàn có thể bổ sung IPCop vào danh sách các giải pháp tường lửa đang phát triển, giá thành thấp hoặc miễn phí.
Qua quá trình tìm hiểu, học tập và triển khai ứng dụng em đã đạt được những mục tiêu:
- Tìm hiểu rõ ràng về tường lửa IPCop, phân biệt được rõ ưu và nhược điểm các giải pháp.
- Có cái nhìn sâu sắc về tường lửa IPCop, cụ thể là các chức năng cơ bản của một tường lửa cần có hiện nay như lọc web, giới hạn băng thông, mở cổng, kết nối mạng riêng ảo.
- Xây dựng được mô hình tường lửa sử dụng máy ảo VMware hoạt động tốt, hiệu năng làm việc của tường lửa cao.
Tuy nhiên do thời gian làm đồ án có hạn và kiến thức thực tế còn hạn chế nên em chưa thể tìm hiểu sâu hơn cũng như trình bày kỹ lưỡng, chi tiết về các vấn đề liên quan. Trong tương lai em sẽ cố gắng phát triển đồ án theo hướng:
- Tiếp tục nghiên cứu, tìm hiểu thêm về các chức năng chống spam mail, tăng tính sẵn sàng cho tường lửa bằng cách kết hợp phương pháp cân bằng tải vào IPCop.
- Làm tài liệu để có thể ứng dụng cho những doanh nghiệp hạn hẹp về tài chính muốn có một tường lửa đủ mạnh.
Qua quá trình làm đồ án em thấy được hiệu quả của tường lửa trong các hoạt động thực tế. Nhờ tường lửa mà ta có thể tránh được nhiều nguy cơ tiềm tàng ảnh hưởng trực tiếp đến hệ thống máy tính cũng như thông tin nhạy cảm trên máy tính. Chính vì vậy việc triển khai hệ thống tường lửa là rất cần thiết đối với một hệ thống mạng của mỗi cơ quan, tổ chức hay doanh nghiệp.
Em hy vọng tiếp tục nhận được nhiều hơn nữa những sự góp ý, bổ sung của các thầy cô giáo, các bạn sinh viên để em có thể hoàn thiện đồ án này hơn nữa và trang bị kiến thức cho bản thân. Em xin chân thành cảm ơn tất cả mọi người.
TÀI LIỆU THAM KHẢO
[1] James Eaton-Lee and Barrie Dempster. Configuring IPCop Firewalls: Closing Borders with Open Source: How to setup, configure and manage your Linux firewall, web proxy, DHCP, DNS, time ... VPN with this powerful Open Source solution. Birmingham, Mumbai (Oct 1, 2006).
[2] Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, Peter Walker. “IPCop v1.4.21 Administration Manual” (17 June 2009).
<URL: http://www.ipcop.org/1.4.0/en/admin/html/ >
[3] Marco Sondermann. Advanced Web Proxy Server for IPCop 1.4. (Mar 2009).
<URL: http://www.advproxy.net>
[4] Andreas “ Howto setup IPCop in a virtual machine” (February 8th 2005). <URL: http://www.smokinggun.de/?p=78>
[5] TS. Vũ Quốc Thành, KS. Nguyễn Trung Luận, KS. Phạm Duy Trung.
Giáo trình Bức tường lửa. Ban cơ yếu chính phủ Học Viện Kỹ Thuật Mật Mã. (2006)
[6] Ufuk Altinkaynak “ IPCop and OpenVPN roadwarrior, easy as one two three...” June 2005.
<URL: http://www.openvpn.eu/index.php?id=73>
[7] Kefa Rabah. Deploy Secure Network Defense for Small Enterprises using IPCop Firewall. Global Open Versity, Vancouver Canada (Năm 2007).
[8] Rajesh Deodhar. “Guard Your Network with IPCop, Part 5: Your First Site-to-Site VPN” May 1 2012.
<URL: http://www.linuxforu.com/2012/05/guard-your-network-with-ipcop- part-5-your-first-site-to-site-vpn/ >