Cho phép người quản trị cấm dịch vụ ping.
No: IPCop cho phép ping tới tất cả card mạng. Đây là hành vi mặc định của tường lửa.
Only RED: IPCop cấm ping tới card mạng Red.
All Interfaces: IPCop cấm ping tới tất cả card mạng.
Hình 3.4: Tùy chọn tường lửa 3.2.2.9 Quản lý chức năng ghi nhật ký
Cũng như các phần mềm khác, IPCop cũng trang bị cho mình một chức năng ghi nhật ký gồm nhiều loại như Log Settings, Log Summary, Proxy Logs, Firewall Logs, IDS Logs (nếu được cài đặt) và System Logs để giúp nhà quản trị có thể xem lại những gì đã xảy ra trong hệ thống. Điều này rất có ích trong việc bảo vệ hệ thống mạng khi có những hành động đáng nghi ngờ hay một cuộc xâm nhập trái phép.
a. Log Sumary
Hiển thị bảng tóm tắt bản ghi được phát sinh bởi logwatch cho các ngày trước đó.
b. Proxy log
Trang này cung cấp những tiện ích để xem những tập tin đã được lưu trữ bởi máy chủ Web proxy bên trong IPCop. Web proxy không hoạt động sau khi cài đặt IPCop và có thể kích hoạt qua một trang đặc biệt.
Hình 3.6: Proxy log
c. Firewall Log
Trang này biểu diễn những gói dữ liệu đã được ngăn chặn bởi tường lửa IPCop.
Hình 3.7: Firewall Log
d. System Logs
Cho phép xem bản ghi hệ thống và các bản ghi khác, biết được chúng ta chỉnh sửa gì trên IPCop. Ở đây, trong phần Section có 12 loại chọn lựa như: Snort, DHCP, DNS, RED, IPSEC, Login/Logout, Kernel, NTP, Cron, Update
transcript, IPCop (default). Với mỗi loại sẽ có những bản ghi khác nhau cho từng loại.
Hình 3.8: System Log
Ví dụ : Login/Logout cung cấp một bản ghi của người sử dụng đã đăng nhập vào và ra của máy chủ IPCop. Bao gồm cả đăng nhập bên trong mạng cục bộ và đăng nhập trên một mạng qua giao diện SSH.
e. IDS Logs
Ghi lại những xâm nhập trái phép bởi hệ thống phát hiện xâm nhập dựa trên Snort, cung cấp một số thông tin về những cuộc xâm nhập trái phép. Cảnh báo cho người quản trị những xâm nhập hay có các dấu hiệu bắt đầu của sự xâm nhập trái phép.
Chương 4
TRIỂN KHAI VÀ QUẢN TRỊ IPCOP 4.1 Cài đặt tường lửa IPCop
4.1.1 Mô hình triển khai tường lửa IPCop
Hình 4.1: Mô hình triển khai IPCop
4.1.2 Cài đặt thực nghiệm
Triển khai tường lửa IPCop, chúng ta dùng mô hình mạng có một đường ADSL với địa chỉ modem ADSL (192.168.10.1) để minh họa. Lúc này trên máy tính cài IPCop cần 3 card mạng (ít nhất là 2 card mạng): Red có IP 192.168.10.111, Green có IP 172.16.1.1 và Orange có IP 10.0.0.1. Tải về tập tin ảnh đĩa (iso) cài đặt IPCop từ trang web www.ipcop.org. Sau đó dùng chương trình ghi đĩa như Nero Burn ghi tập tin ảnh lên đĩa CD. Khởi động máy tính với CD này, màn hình chào hiển thị như bên dưới.
Hình 4.2: Giao diện cài IPCop
Tiếp theo xác định ngôn ngữ hiển thị cho IPCop, từ phiên bản 1.4.10 trở đi đã hỗ trợ tiếng việt từ giao diện cài đặt đến giao diện quản trị. Ở đây chúng ta chọn English và nhấn OK.
Hình 4.3: Lựa chọn ngôn ngữ
Chương trình cài đặt sẽ xác nhận lại một lần nữa, nhấn OK để tiếp tục. Sau đó chọn cài đặt từ CD-ROM trên khung Select installation media. IPCop nhắc lại rằng đĩa cứng sẽ được phân vùng lại, mọi dữ liệu trên đó sẽ bị xóa sạch.
Bấm OK để đồng ý và tiếp tục hoặc Cancel để hủy bỏ và khởi động lại máy tính.
Hình 4.4: Bắt đầu cài đặt
Sau khi hệ thống tập tin được khởi tạo, một phần mềm nhắc nhở có cần phục hồi tường lửa IPCop từ đĩa mềm lưu trữ thông tin cấu hình hay không. Chọn Skip để bỏ qua bước này. Tiếp theo chúng ta cần xác định các trình điều khiển và tham số cho các card mạng, chọn “Probe” để hệ thống tự động dò tìm hoặc chọn “Select” nếu như muốn tự mình xác định. Lưu ý bước này ta chỉ cài đặt card mạng cho vùng mạng Green mà thôi, card mạng Red và Orange sẽ được cài đặt ở bước sau.
Sau khi trình điều khiển cho card Green được nạp, chúng ta sẽ cấu hình các tham số TCP/IP cho card mạng này, theo mô hình ở trên chúng ta sẽ nhập vào: IP address: 172.16.1.1 Network mask: 255.255.255.0.
Lúc này tất cả các thành phần cần thiết của IPCop đã được cài đặt, hệ thống sẽ yêu cầu ta lấy đĩa CD cài đặt ra khỏi ổ CD-ROM, bấm OK để bắt đầu khởi động các thông tin cấu hình cơ bản.
Hình 4.6: Hoàn tất cấu hình
Hãy chọn kiểu bàn phím là US và chọn Time zone phù hợp với múi giờ tại địa phương. Đặt tên và domain cho tường lửa IPCop, ví dụ ipcop và rồi chọn OK, chúng ta có thể thay đổi các thông tin này trong phần quản trị IPCop.
Bước tiếp theo là cấu hình tham số cho mạng ISDN. Do sử dụng ADSL nên ta chọn Disable ISDN. Sau đó chúng ta xác định thêm về các thông tin như TCP/IP của mạng Red, dãy địa chỉ động cấp cho các máy trạm, địa chỉ DNS, gateway, mật mã đăng nhập hệ thống, mật khẩu website quản trị và khởi động lại hệ thống.
Hình 4.8: Menu cấu hình mạng
•Vào mục Network configuration type. Chọn kiểu cấu hình mạng là Green + Red + Orange.
•Chọn Driver and card assignments để vào chức năng dò tìm card mạng. Lúc này chúng ta cài đặt card mạng cho vùng mạng Red, cách làm giống như đối với vùng mạng Green.
•Vào mục Address settings, chọn Red để đặt IP cho card mạng vùng Red và làm tương tự cho vùng Orange.
•Vào mục DNS and Gateway settings để cấu hình Default Gateway và DNS server dùng để kết nối ra ngoài Internet.
Cấu hình Default Gateway là IP của Router ADSL (192.168.10.1), địa chỉ DNS tùy theo IPS hoặc openDNS, google DNS …
Hình 4.9: Giao diện thiết lập IP cho DNS và Gateway
Cấu hình DHCP, nếu mạng dùng IP tĩnh thì để trống mục Enable rồi bấm Ok.
Hình 4.10: Lựa chọn cấu hình DHCP
Tiếp theo là đặt mật khẩu cho tài khoản root.
Tiếp đến là mật khẩu quản trị, bạn sẽ được hỏi mật khẩu này khi truy cập vào trang web quản trị của IPCop. Tiếp đến là quá trình cài đặt đã hoàn tất. Bấm OK để khởi động lại máy.
Hình 4.12: Giao diện cài đặt hoàn tất
Chọn IPCop bấm Enter để khởi động máy.
Hình 4.13: Giao diện khởi động
Đăng nhập IPCop bằng tài khoản root và mật khẩu đã cấu hình lúc cài đặt. Màn hình giao diện IPCop sau khi đăng nhập thành công.
Nếu bạn muốn thay đổi quá trình cài đặt của mình thì gõ ”setup” vào giao diện cài đặt của IPCop, bạn có thể thay đổi tất cả những gì bạn đã cấu hình lúc cài đặt.
Hình 4.15: Giao diện cài đặt
Từ máy IPCop bạn ping ra những mạng Green, Red và Orange thành công thì bạn có thể quản lý IPCop bằng giao diện Web. IPCop được quản trị bằng giao diện web nên từ bất cứ máy tính nào trên hệ thống mạng nội bộ, ngoại trừ chính nó. Vì là một tường lửa nên có thể tháo bỏ các thiết bị ngoại vi như chuột, bàn phím và cả màn hình khỏi tường lửa IPCop để tiết kiệm chi phí và nâng cao tính bảo mật. Từ trên máy tính người dùng để quản trị bằng cách truy nhập vào địa chỉ sau: http://ipcop:81 hoặc https://172.16.1.1:445 tùy theo địa chỉ mạng trong của tường lửa để đăng nhập vào màn hình quản trị. Cung cấp thông tin tài khoản quản trị IPCop với quyền chứng thực hợp lệ để kết nối với IPCop và tiến hành các thao tác quản trị.
Sau khi chọn Connection để đăng nhập thì màn hình sẽ xuất hiện thông báo nhập tài khoản và mật khẩu cho quá trình kết nối tường lửa IPCop từ máy trạm, ở đây ta sẽ đăng nhập với quyền quản trị và mật khẩu như trong phần cài đặt.
Hình 4.16: Kết nối đến IPCop với quyền Admin
Nhấn OK kết nối thiết bị modem ADSL của hệ thống với nhà cung cấp dịch vụ để kết nối Internet. Trong giao diện web quản trị hệ thống tường lửa IPCop, trên thanh công cụ có các thanh menu điều khiển như: System, Status, Network, Services, Firewall… với mỗi menu hệ thống sẽ có những chức năng riêng biệt.
4.2. Thiết lập chức năng quản trị
4.2.1 Thay đổi mật khẩu
Cho phép người quản trị có thể thay đổi mật khẩu của Admin/ Dial user đơn giản bằng cách nhập mật khẩu vào các ô và nhấn nút “Save” để lưu lại thiết lập. Nhập mật khẩu vào ô “Dial user password” khi có một kết nối dial up và cho phép người dùng kết nối đến Internet nhưng không có quyền quản trị tường lửa. Trong phần này bạn có quyền thay đổi mật khẩu cho người quản trị.
4.3.2 Truy cập an toàn với SSH
Truy cập SSH cho phép thiết lập một cách an toàn tính bảo mật bằng cách sử dụng chế độ dòng lệnh với quyền hạn thích hợp từ xa (như là tài khoản gốc root). SSH là một công cụ rất hữu ích, SSH có thể sử dụng để chạy lệnh, truy cập từ xa và quản lý hệ thống cũng như các chế độ kiểm soát khác trên máy tính cũng rất tốt. Chức năng của SSH Server thông qua menu SSH Access. Ta chọn “Allow password based authentication” để đăng nhập vào IPCop Server
với quyền và mật khẩu của root. Nếu tùy chọn này không được chọn trước tiên cấu hình tập tin SSH key sau đó dùng tập tin này để đăng nhập vào hệ thống.
Hình 4.17: Truy cập SSH
Ngoài ra còn có các tùy chọn SSH cũng nên chọn.
SSH Access: Bật chức năng SSH (mặc định là tắt đi - dịch vụ ssh chỉ sẵn sàng cho card mạng Green) cho phép bất kể người dùng nào có mật khẩu IPCop với quyền root có thể truy nhập vào tại dòng lệnh.
Support SSH protocol version 1 (required only for old clients): Chọn tính năng này để bật chức năng hỗ trợ phiên bản 1. Dùng tùy chọn này cho truy nhập tạm thời nếu hệ thống chỉ hỗ trợ SSH phiên bản 1 clients mà không có cách nào nâng cấp lên SSH phiên bản 2 (hầu hết các hệ thống hiện tại đều hỗ trợ SSH phiên bản 2).
Allow TCP Forwarding: Cho phép tạo kênh mã hóa SSH giữa máy tính bên trong tường lửa và máy tính bên ngoài.
Allow public key based authentication: Cho phép chứng thực khóa công khai bằng SSH. Đây là một phương thức bảo mật ưu tiên của IPCop dùng SSH. SSH server trên IPCop sử dụng cổng 222 cho nên cần phải kết nối SSH Client đến cổng 222 thay vì cổng 22 như thông thường.
SSH Command : $ ssh -p 222 root@ip address
Ví dụ: $ ssh -p 222 root@192.168.20.1
Hình 4.18: Đăng nhập vào IPCop qua SSH
4.3.3 GUI Settings
Thiết lập chế độ ngôn ngữ cho IPCop, ở đây các bạn có thể tùy chọn ngôn ngữ mình muốn. Ở đây, tôi sẽ chọn ngôn ngữ tiếng anh (English).
Ngoài ra còn có các tùy chọn:
Enable JavaScript: Kích hoạt chức năng của JavaScript.
Display hostname in window title: Hiển thị tên máy chủ lưu trữ trong cửa sổ tiêu đề. Nếu chọn phần này sẽ mở chức năng hiển thị tên máy IPCop tại đầu của mỗi trang web.
Có thể thay đổi sang giao diện tiếng Việt bằng cách chọn ngôn ngữ VietNamese trong phần “Select the language you wish IPCop to display in” đánh dấu check vào Sound, nó có chức năng làm cho hệ thống sẽ kêu tiếng Beep khi IPCop kết nối và không kết nối nếu đánh dấu chọn trong Sound. Trong trường hợp này chọn chế độ ngôn ngữ là tiếng anh ( English ).
4.3.4 Shutdown
Trình đơn này thì tương đối không phức tạp. Để khởi động hay tắt máy hệ thống tường lửa nhấn vào các nút tương ứng. Ta cũng có thể lên kế hoạch bằng cách chọn thời gian các ngày trong tuần để khởi động hay tắt máy lại hệ thống tường lửa thông qua các tùy chọn trong phần Schedule IPCop reboots.
Hình 4.20: Thiết lập thời gian shutdown
Và như trong hình ta sẽ chọn thời gian tắt là 4 giờ 30 phút vào ngày thứ sáu (Friday) thì máy sẽ tự động tắt máy.
4.3 Giám sát trạng thái của hệ thống
Khi hệ thống đã hoạt động, cần xem xét trạng thái hiện tại của tường lửa. Một phần quản lý bao gồm các thủ tục giám sát tường lửa IPCop để đảm bảo rằng những quá trình tải CPU, sử dụng bộ nhớ, hoạt động mạng... để duy trì ở mức tốt nhất. Đây là một vai trò rất quan trọng để thiết lập một đường quét cơ sở cho hệ thống nhằm để xác định những biểu hiện không bình thường như sự xâm nhập, lỗi phần cứng, những dịch vụ nào đang chạy.
4.3.1 System Status
Giám sát những dịch vụ đang hoạt động trên IPCop, cần phải đảm bảo các dịch vụ đều Running ngoại trừ các dịch vụ như VPN, NTP Server và DHCP server. Riêng dịch vụ DHCP Server có thể cấu hình trong quá trình cài đặt
hoặc có thể cấu hình sau khi cài đặt xong bằng việc vào trang quản trị Service/DHCP Server của IPCop để cấu hình.
Hình 4.21: Trạng thái hệ thống
Ngoài ra, quá trình sử dụng bộ nhớ còn cho biết thông tin về tình trạng sử dụng bộ nhớ của hệ thống.
4.3.2 Network Status
Thông tin tình trạng mạng trên màn hình thì rất hữu ích trong việc xử lý sự cố mạng. Khi IPCop được đính kèm tới mạng bằng kết nối ADSL để phân phối thông tin cấu hình được chỉ định qua dịch vụ DHCP, điều này rất hữu ích cho việc kiểm tra có hay không việc mất một kết nối thì có liên quan đến máy IPCop hoặc nếu có một mạng ngừng kết nối với nhà cung cấp dịch vụ. Từ đó, có thể nhìn thấy số lượng lỗi và mất gói tin, điều này đôi khi cũng có ích trong việc xử lý các sự cố mạng với các vấn đề khác nhau.
Trong phần Network Status sẽ trình bày những giao tiếp của các card mạng, địa chỉ IP và một vài thông số trong quá trình hoạt động. Mỗi card mạng sẽ có một màu sắc riêng biệt cho từng vùng mạng.
Hình 4.22: Trạng thái mạng
4.3.3 System Graphs
IPCop sử dụng một gói phần mềm gọi là rrdtool (http://oss.oetiker.ch/rrdtool/) để duy trì một số lượng thống kê liên quan đến hệ thống và hoạt động mạng. Ở đây là quá trình thiết lập tự động khi hệ thống được cài đặt. Với một số lượng thống kê được biểu diễn ở dưới dạng đồ thị hệ thống mà chúng ta có thể thấy như trong hình.
Hình 4.23: Đồ thị CPU
4.3.4 Traffic Graphs
Traffic Graphs miêu tả bằng đồ thị dữ liệu ra vào các giao diện Green / Orange / Red theo ngày/tháng/năm.
Hình 4.24: Đồ thị vùng Green
4.3.5 Giám sát kết nối
Giám sát các máy tính đang truy cập và kết nối với tường lửa thông qua menu Connections, giao thức sử dụng, trạng thái kết nối và các cổng kết nối.
o Assured: đảm bảo
o Established: thiết lập
Mỗi màu sắc tượng trưng cho một vùng. Theo như trong hình ta có màu xanh lá cây tượng trưng cho vùng mạng LAN. Màu đỏ tượng trưng cho vùng Internet và màu đen tượng trưng cho IPCop, màu cam tượng trưng cho vùng DMZ và màu tím tượng trưng cho VPN.
4.4 Quản trị chức năng của các dịch vụ
4.4.1 Advanced Proxy
Advanced proxy có chức năng giống như proxy nhưng có nhiều chức năng hơn proxy, nên dùng nó để thay thế dịch vụ proxy trong IPCop nhằm bổ sung nhiều tiện ích cho IPCop. Advanced proxy có rất nhiều tính năng trong việc ngăn chặn, giới hạn, lọc các gói tin, cho phép hay không cho phép truy cập vào các trang web, nhưng vì nó là một phần mềm riêng nên cần phải cài đặt vào IPCop để thay thế proxy. Kích hoạt chức năng proxy trên phân đoạn mạng Green, mặc định cần phải chọn chức năng này.