Do những ưu điểm của hệ điều hành Linux, việc xõy dựng mụ hỡnh bảo vệ mạng bằng bức tường lửa Iptables trong Linux rất được sự quan tõm của nhiều cỏ nhõn và tổ chức. Nhiều phần mềm đó được ra đời và đó được ỏp dụng. Bạn cú thể tự xõy dựng bức tường lửa cho mỡnh mà khụng gặp phải khú khăn nào lớn cả.
Những phần mềm như là SBS2004;Rainmail tớch hợp rất nhiều chức năng như và dịch vụ như là Mail Server, webmail, proxy, Squid guard…
Fwbuilder là một cụng cụ linh hoạt và khỏ mạnh, nú cú thể dựng để xõy dựng bức tường lửa, xõy dựng cỏc chớnh sỏch cho một số dạng Firewall khỏc nhau như là ptables (Linux2.4 và 2.6), ipfilter, openbsd pf với cỏc modul Cisco PIX.
Kờ́t Chương.
Trong chương vừa rụ̀i đã trình bày qua vờ̀ cách sử dụng Iptables. Các thao tác trong các chuụ̃i luọ̃t có sẵn và chuụ̃i luọ̃t do người dùng định nghĩa hay các hành đụ̣ng. Nói vờ̀ cách cài đặt, duy trì, kiờ̉m tra IP Masquerading và IP Nat của Iptables. Và với những tinh năng như vọ̃y, Iptables là mụ̣t giải pháp lọc gói tin mới, cao cṍp hơn so với những gì có sẵn đụ́i với Linux kernel trước 2.4x.
Đề tài về Firewall luụn là mối quan tõm hàng đầu của cỏc nhà quản trị mạng núi riờng và của những nhà tin học núi chung. Để cú thể xõy dựng được một mạng riờng mà cú thể trỏnh khỏi mọi sự tấn cụng là khụng thể, nhưng chỳng ta cú thể xõy dựng được những mạng cú tớnh an toàn cao theo những yờu cầu cụ thể. Để cú thể xõy dựng được những mạng như vậy, người quản trị mạng phải nắm rừ được những kiến thức cơ bản về Firewall. Thực hiện đề tài xõy dựng chương trỡnh Firewall Iptables trong Linux sau quỏ trỡnh học tập và tỡm hiểu, đề tài này đó minh hoạ phần nào những kiến thức cơ bản đú và những vớ dụ rất cụ thể giỳp cho người đọc cú thể trực tiếp thực hiện một cỏch dễ dàng.
Trong phần ứng dụng đó minh hoạ được một số chức năng của hệ thống Firewall: IP Masquerading, IP NAT. Nhưng do thời gian cú hạn, lượng kiến thức liờn quan đến đề tài rất nhiều, nờn những ứng dụng trờn chỉ mang tớnh chất minh hoạ.
Với hệ thống Firewall sử dụng Iptables trờn Linux đạt được sự ổn định cao của hệ điều hành Linux và một Iptables với nhiều chức năng đỏp ứng được cho nhu cầu của cỏc đơn vị cú nhu cầu xõy dựng hệ thống Firewall khi cú mạng nội bộ kết nối Internet. Hệ thống Firewall này mang tớnh ứng dụng thực tế cao vỡ:
* Phần cứng sử dụng cho hệ thống này khụng cần cú cấu hỡnh mạnh.
* Tất cả cỏc phần mềm sử dụng cho hệ thống này đều là phần mềm mó nguồn mở.
* Tài liệu hỗ trợ cho cỏc phần mềm này cú đầy đủ trờn Internet và miễn phớ. * Trờn Internet cú nhiều diễn đàn về chủ đề này.
* Hệ thống được thiết kế mềm dẻo tuỳ vào chớnh sỏch an toàn của đơn vị. * Sử dụng hệ điều hành cú độ ổn định cao và bảo mật tốt.
PHỤ LỤC
CÁC TỪ VIẾT TẮT- ĐỊNH NGHĨA- THUẬT NGỮ
Linux là hệ điều hành cú mó nguồn mở.
Kernel: Nhõn hệ điều hành Linux, là thành phần chớnh trong hệ điều hành Linux
Console: Mọi hệ thống Linux cú một console chớnh (giao tiếp chớnh) được nối trực tiếp với mỏy tớnh. Console là một kiểu đặc biệt của terminal (thiết bị đầu cuối), được nhận diện khi hệ thống được khởi động. Đối với một số hệ điều hành Unix, cỏc lệnh phải được thực hiện tại console. Thụng thường console chỉ cho phộp tài khoản quản trị hệ thống được truy nhập.
Squid là cỏc webproxy phổ biến trờn thị trường. Nú là mó nguồn mở và miễn phớ. Nú cú thể thực hiện vài tỏc vụ lọc trước khi hoạt động trao đổi tới webserver của bạn, thực hiện thờm cỏc chức năng webcaching chuẩn cho mạng của bạn.
Mụ hỡnh tham chiếu OSI (Open Systems Interconnect) là một mụ hỡnh kiến trỳc 7 tầng được phỏt triển bởi tổ chức chuẩn hoỏ quốc tế IOS (International Standards Organization) mụ tả cấu trỳc và chức năng của giao thức truyền dữ liệu.
ICMP (Internet Control Message Protocol) Giao thức điều khiển thụng bỏo Internet. Kết hợp với lớp Internet và sử dụng gúi dữ liệu IP để gửi thụng bỏo điều khiển, bỏo lỗi cho TCP/IP.
TCP: Transmisson Control Protocol – Giao thức điờ̀u khiờ̉n truyờ̀n UDP: Giao thức gúi dữ liệu.
Telnet: cung cấp dịch vụ vào mạng từ xa.
DNS: Domain Name Service cung cấp dịch vụ ỏnh xạ địa chỉ IP thành tờn. FTP: File Transfer Protocol cung cấp dịch vụ truyền tập tin.
Cỏc trang web: http://www.technoinfotech.com http://www.netfilter.org/. http://www.manguon.com; http://www.quantrimang.com http://www.echip.com http://www.google.com Sỏch tham khảo:
Tài liợ̀u mụn học Lý thuyờ́t mạng, An toàn mạng, CĐTN An toàn mạng của thõ̀y Nguyờ̃n Văn Tam.
Bảo mọ̃t và tụ́i ưu hóa Linux Red Hat của Nguyờ̃n Ngọc Tuṍn – Hụ̀ng Phúc.
Iptables Tutorial1 Oskar Andreasson - Copyright â 2001-2005 Oskar Andreasson.
Mạng mỏy tớnh và cỏc hệ thống mở - mó thư viện 02261.
David A. Ranch [May 26, 2003]- Linux IP Masquerade HOWTO- GNU General Public License
Rusty Russell [14/01/2002]- Linux 2.4 NAT HOWTO-GNU General Public License
MỤC LỤC
LỜI CẢM ƠN...1
LỜI NểI ĐẦU...2
CHƯƠNG I: CÁC MỐI ĐE DỌA AN MẠNG VÀ MỘT SỐ GIẢI PHÁP...4
1.1 Tầm quan trọng của bức tường lửa...4
1.2 Đối tượng bảo vệ của bức tường lửa...4
1.2.1 Bảo vệ dữ liệu...4
1.2.2 Bảo vệ cỏc tài nguyờn trờn mạng...4
1.2.3Bảo vệ uy tớn, danh tiếng của cụng ty...5
1.3. Một số mối đe dọa an ninh mạng...5
1.3.1.Tấn cụng truy nhập mạng...5
1.3.2. Tấn cụng theo kiểu khai thỏc mạng:...6
1.3.3.Tạo cửa hậu, xúa nhật ký:...8
1.3.4 Tấn cụng từ chối dịch vụ...8
1.3.5 Giả mạo địa chỉ IP:...9
1.3.6 Đựa nghịch, quấy rối:...9
1.3.7 Phỏ hoại:...10
1.3.8 Giỏn điệp:...10
1.3.9 Vụ ý hay thiếu hiểu biết của con người:...10
1.3.10 Tấn cụng vào yếu tố con người:...10
CHƯƠNG II:TỔNG QUAN FIREWALL...11
2.1. Một số khỏi niệm :...11
2.2.Chức năng:...11
2.2.1. Khả năng của hệ thống firewall...12
2.2.2. Những hạn chế của firewall...13
2.3. Phõn loại bức tường lửa (Firewall)...13
2.3.1. Firewall lọc gúi...13
2.3.2. Bức tường lửa ứng dụng(Application firewall)...15
2.3.3. Bức tường lửa nhiều tầng...17
2.4. Một vài kiến trỳc firelwall...18
2.4.1 Screening Router...18
2.4.2 Dual-Homed Host...18
2.4.3. Bastion Host (mỏy chủ phỏo đài)...19
2.4.4. Screened host (mỏy chủ sang lọc)...21
2.4.5. Screened Subnet (mạng con)...21
CHƯƠNG III: IPTABLES TRONG LINUX...24
3.1 Giới thiệu Iptables - Ipchains - so sỏnh...24
3.1.1 Giới thiệu Ipchains : Ipchains - quản trị IP Firewall...24
3.1.2 giới thiệu netfilter/Iptables...25
3.2 Cài đặt Iptables trong Kernel...27
3.3 Cài đặt ứng dụng phần người dựng (user-land)...29
3.4. Cỏch thức packet qua Firewall...31
3.5. Cỏc bảng và chuỗi luật...32 3.5.1 Bảng Nat...32 3.5.2 Bảng lọc (filter)...34 3.5.3 Bảng mangle...35 CHƯƠNG IV : ỨNG DỤNG Firewall...37 4.1 Sử dụng Iptable...37 4.1.1 Cỏc file cấu hỡnh...37
4.1.2 Cỏc thao tỏc trong toàn bộ chuỗi luật...37 4.1.3 luật đơn...38 4.1.4 Mụ tả bộ lọc...39 4.1.5 Mụ tả hành động...43 4.2.1 Ứng dụng Iptables làm masquerading...46 4.2.2 Ứng dụng IPTABLES làm NAT...53
4.2.3 Phần mềm ứng dụng Iptables/Netfilter trong Linux...61
KẾT LUẬN...61
PHỤ LỤC...63