CHƯƠNG 4 : GIẢI PHÁP AN NINH MẠNG
4.1. Phân tích mơ hình
Một mơ hình mạng bảo mật là cần thiết cho mỗi tổ chức để phân biệt rõ ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an tồn thông tin riêng cho từng vùng mạng theo yêu cầu thực tế.
Trước tiên ta cần tìm hiểu về các thành phần trong mơ hình mạng bảo mật, các thành phần trong mơ hình mạng bao gồm:
- Vùng mạng nội bộ: Còn gọi là mạng LAN (Local area network), là nơi đặt
các thiết bị mạng, máy trạm và máy chủ thuộc mạng nội bộ của đơn vị.
- Vùng mạng DMZ: Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ
và mạng Internet, là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet. Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, máy chủ Mail, máy chủ DNS, máy chủ FTP,…
- Vùng mạng Server (Server Farm): Vùng mạng Server hay Server Farm, là
nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet. Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server,…
- Vùng mạng Internet: Cịn gọi là mạng ngồi, kết nới với mạng Internet tồn
129 Việc tổ chức mơ hình mạng bảo mật đảm bảo bảo mật có ảnh hưởng lớn đến sự an tồn cho các hệ thớng mạng và các cổng thông tin điện tử. Đây là cơ sở đầu tiên cho việc xây dựng các hệ thống phòng thủ và bảo vệ. Ngồi ra, việc tổ chức mơ hình mạng bảo mật có thể hạn chế được các tấn cơng từ bên trong và bên ngồi một cách hiệu quả.
4.2. Mợt số mơ hình mạng phổ biến Mơ hình mạng sử dụng 1 filewall
IPS/IDS MAIL DATABASE 1
WEB
SERVER WEB APP
DATABASE 2 INTERNET ROUTER FIREWALL MẠNG NỘI BỘ SWITCH SWITCH Hình 4.1 Mơ hình mạng sử dụng 1 firewall
Trong mơ hình này, vùng mạng Internet, vùng mạng nội bộ và vùng mạng DMZ được thiết kế tách biệt nhau. Ngoài ra, ta đặt một firewall giữa các vùng mạng nhằm kiểm sốt luồng thơng tin giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các tấn công trái phép.
130
Mơ hình mạng sử dụng 2 firewall
IPS/IDS MAIL DATABASE
1
WEB
SERVER WEB APP
DATABASE 2 INTERNET ROUTER SWITCH MẠNG NỘI BỘ FIREWALL FIREWALL SWITCH Hình 4.2 Mơ hình mạng sử dụng 2 firewall
Trong mơ hình này, ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ và một firewall giữa vùng mạng DMZ và vùng mạng nội bộ.
Như vậy, vùng mạng nội bộ nằm sâu bên trong và cách vùng mạng Internet bằng 2 lớp firewall như trên hình vẽ.
131
Mơ hình mạng sử dụng 3 firewall
IPS/IDS MAIL DATABASE 1
WEB
SERVER WEB APP
DATABASE 2 INTERNET ROUTER MẠNG NỘI BỘ FIREWALL SWITCH SWITCH Hình 4.3 Mơ hình mạng sử dụng 3 firewall
Trong mơ hình này, ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ , một firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewall giữa vùng mạng nội bộ và vùng mạng Internet. Như vậy, mỗi sự truy cập giữa các vùng với nhau đều được kiểm sốt bởi một firewall như hình vẽ.
4.3. Mợt số tiêu chí khi thiết kế mơ hình mạng bảo mật
- Nên đặt các máy chủ web, máy chủ thư điện tử (mail server)… cung cấp dịch vụ ra mạng Internet trong vùng mạng DMZ. Nhằm tránh các cuộc tấn công mạng gây ảnh hướng tới mạng nội bộ nếu các máy chủ này bị tấn công và chiếm quyền kiểm sốt.
132 - Các máy chủ khơng trực tiếp cung cấp dịch vụ ra mạng ngoài như máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ xác thực… Nên đặt trong vùng mạng server network để tránh các tấn công trực diện từ Internet và từ mạng nội bộ. Đối với các hệ thớng thơng tin u cầu có mức bảo mật cao, hoặc có nhiều cụm máy chủ khác nhau có thể chia vùng server network thành các vùng nhỏ hơn độc lập để nâng cao tính bảo mật.
- Nên thiết lập các hệ thống phòng thủ như tường lửa (firewall) và thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép. Khuyến cáo đặt firewall và IDS/IPS ở các vị trí như sau: đặt firewall giữa đường nới mạng Internet với các vùng mạng khác nhằm hạn chế các tấn cơng từ mạng từ bên ngồi vào; đặt firewall giữa các vùng mạng nội bộ và mạng DMZ nhằm hạn chế các tấn công giữa các vùng đó; đặt IDS/IPS tại vùng cần theo dõi và bảo vệ.
- Nên đặt một Router ngồi cùng (Router biên) trước khi kết nới đến nhà cung cấp dịch vụ Internet (ISP) để lọc một số lưu lượng khơng mong ḿn và chặn những gói tin đến từ những địa chỉ IP không hợp lệ.
Tin tặc tấn công vào hệ thống dựa trên các yếu tố sau:
- Website, hệ thống mạng, thiết bị, ứng dụng có chứa lỗ hổng
- Hệ thớng chứa những nguy cơ tấn công, nguy cơ bị ăn cắp dữ liệu thông tin - Hệ thống chứa các thông tin quan trọng hoặc tài sản có giá trị
- Hoặc Hacker chỉ tấn cơng với mục đích mua vui; nâng cao kỹ năng Hacking Tin tặc có thể tấn công theo hướng từ bên trong mạng nội bộ hoặc từ bên ngồi vào. Hành vi tấn cơng đó có thể là chủ ý hoặc khơng chủ ý.
Đặc điểm nhận biết khi xảy ra sự cố tấn công là máy tính, thiết bị có những tín hiệu lạ, hình ảnh tớng tiền, thơng báo tớng tiền…Những kẻ tấn cơng này chủ yếu dùng hệ điều hành có mã nguồn mở để tấn cơng vào hệ thớng.
133 Có rất nhiều giải pháp để phòng chống tấn công dành cho cá nhân và tổ chức. Để phòng chống tấn công cho hệ thống mạng, cá nhân và tổ chức cần thực hiện:
- Tắt các dịch vụ không cần thiết
- Phòng ngừa các nguy cơ tấn công (bảo vệ tài liệu, cập nhật các bản vá lỗi cho hệ điều hành, ứng dụng..)
- Mã hóa thơng tin mật
- Kiểm tra, rà quét lỗ hổng thiết bị, hệ thống bằng công cụ, hoặc bằng thiết bị thông minh SecurityBox 4Website và SecurityBox 4Network.
- Đánh giá an ninh mạng con người (là những nhân viên trong công ty, tổ chức). - Bảo mật thông tin và dữ liệu cá nhân, doanh nghiệp
- Đào tạo kiến thức tổng quan về chủ đề “Tấn Công Mạng” và kỹ năng chuyên môn phòng chống phát hiện, xử lý
- Trang bị hệ thống Firewall cứng hoặc firewall mềm cho doanh nghiệp. Một số loại firewall phổ biến như sau:
o Firewall cứng: Cisco, checkpoint, sidewinder, Sophos, Juniper, Fortinet..
o Firewall mềm: Pfsense, IPtable, Comodo..
4.4. Hướng dẫn cài đặt và cấu hình mợt số loại Firewall 4.4.1. IPtable
Iptables do Netfilter Organiztion viết ra để tăng tính năng bảo mật trên hệ thống Linux. Là một ứng dụng rất phổ biến trên nhiều hệ điều hành Linux, iptables cho phép người quản trị Linux cấu hình cho phép/chặn luồng dữ liệu đi qua mạng. IPtables có thể đọc, thay đổi, chuyển hướng hoặc hủy các gói tin đi tới/đi ra dựa trên các tables, chains và rules. Mỗi một table sẽ có nhiều chain chứa các rule khác nhau quyết định cách thức xử lý gói tin (dựa trên giao thức, địa chỉ nguồn, đích….).
134 Hiện có nhiều phiên bản khác nhau của iptables dùng cho các giao thức khác nhau như: iptables (IPv4), ip6tables (IPv6), arptables (ARP) và ebtables (Ethernet frame). Một phiên bản mới của iptables là nftables, nftables được hỗ trợ từ bản kernel 3.13.
Iptables cung cấp các tính năng sau: - Tính năng lọc gói (packet filtering)
- Tính năng NAT (network address translation)
- Và một số tính năng quản lý chất lượng gói tin (packet mangling) - Iptables hoạt động ở tầng 3 trong mơ hình OSI
Cấu hình Iptables:
Trong Centos , file cấu hình Iptables nằm trong /etc/sysconfig/iptables. Một số lệnh để bật Iptables:
#chkconfig iptables on #service iptables start
Một số file cấu hình khác • /etc/sysctl.conf
• /proc/sys/net/ipv4/ip_forward
• /proc/net/ip_conntrack
• /proc/sys/net/ipv4/ip_conntrack_max
Iptables yêu cầu load một số module sau: • iptable_nat module cho NAT.
• ip_conntrack_ftp module cần cho FTP support.
• ip_conntrack module để theo dõi trạng thái của TCP connect.
• ip_nat_ftp module cần cho việc load FTP servers sau NAT firewall.
4.4.1.1. Network Address Translation (NAT)
NAT có thể hoạt động trên nhiều chức năng khác nhau dựa trên thao tác với địa chỉ ( đích hoặc nguồn ) và các cổng. NAT trong iptables hỗ trợ các module để giúp nhúng địa
135 chỉ vào các gói dữ liệu được trao đổi theo các giao thức. Nếu khơng có các module giúp đỡ, các gói dữ liệu sẽ được sửa đổi để đi đến các host khác nhau, nhưng dữ liệu của ứng dụng được trao đổi vẫn sẽ sử dụng Pre-NAT (DNAT) .
Helper Protocol
ip_nat_amanda Amanda backup protocol (cần cấu hình file CONFIG_IP_NF_NAT_AMANDA)
ip_nat_ftp File Transfer Protocol (cần cấu hình file CONFIG_IP_NF_NAT_FTP )
ip_nat_irc Internet Relay Chat (cần cấu hình file CONFIG_IP_NF_NAT_IRC )
ip_nat_snmp_basic Simple Network Management Protocol
(cần cấu hình file
CONFIG_IP_NF_NAT_SNMP_BASIC)
ip_nat_tftp Trivial File Transfer Protocol (cần cấu hình file CONFIG_IP_NF_NAT_TFTP)
Bảng 1: Những module giúp đỡ của NAT
Nếu muốn một số gói tin nào đó vượt qua bảng NAT, chúng ta sử dụng lệnh:
#iptables -t nat -i eth1 ... -j ACCEPT
4.4.1.2. Source NAT , Destination NAT and Masquerading
Source NAT (SNAT) và Destination NAT (DNAT) thường được dùng để chia sẻ kết nối Internet giữa các máy tính trong mạng nội bộ . Máy tính kết nối Internet được coi là gateway . Source NAT (SNAT) sẽ thay đổi địa chỉ nguồn của các gói tin di ra Internet bằng địa chỉ Ip Internet tĩnh của gateway. Khi gateway nhận được các gói tin trả về từ Internet , Destination NAT (DNAT) sẽ thay đỗi địa chỉ đích của các gói tin rồi chuyển đến các máy tính trong mạng nội bộ.
136 Trong Iptables POSTROUTING chain của bảng NAT sẽ đảm nhận công việc Source SNAT. Source NAT có hai phần mở rộng đó là SNAT và MASQUERADE. SNAT dùng cho các máy tính gateway có địa chỉ IP tĩnh . Cịn MASQUERADE dùng cho các máy tính gateway có địa chỉ IP động.
Chúng ta có thể thiết lập SNAT trên giao diện eth1 bằng lệnh :
#iptables -t nat -A POSTROUTING -o eth1 -j SNAT
Và với MASQUERADE :
#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Tương tự như vậy PREROUTING chain của bảng NAT sẽ đảm nhận công việc Destination NAT (DNAT) . Ví dụ
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT -- to-destination 192.168.1.3:8080
Câu lệnh trên cho phép những gói tin di vào từ interface eth1 với giao thức tcp cổng được chuyển đến địa chỉ IP 192.168.1.3 cổng 8080 .
4.4.1.3. Transparent Proxying
Transparent proxy là một cách để ngăn chặn những kết nối ra ngoài và chuyển hướng chúng vào một máy tính thay thế vị trí của các máy tính đích ban đầu. Kỹ thuật này cho phép chúng ta thiết lập proxy cho các dịch vụ mà khơng cần phải cấu hình mỗi máy tính trong mạng nội bộ. Ví dụ có một proxy HTTP ( Squid) được cấu hình lắng nghe trên cổng 8888, chúng ta có thể thêm một rule để chuyển hướng lưu lượng HTTP ra ngồi thơng qua Proxy :
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8888
4.4.1.4. Các câu lệnh trong Iptables 4.4.1.4.1. Các câu lệnh trợ giúp:
137 #iptables -m match -h #iptables -j TARGET -h #man iptables 4.4.1.4.2. Các Tùy chọn Tùy chọn Giải thích
-A (--append) Ghi thêm một rule vào chain
-D (--delete) Xóa rule
-E (--rename-chain) Đổi tên chain
-F (--flush) Xóa tất cả rule trong một chain
-I (--insert) Chèn thêm rule vào chain tại vị trí được xác định
-L (--list) Xem các rule trong chain -N (--new-chain) Tạo một chain mới
-P (--policy) Tạo rule mặc định cho chain
-R (--replace) Thay thế một rule bằng một rule khác tại vị trí xác định
-V (--version) Xem phiên bản của Iptables -X (--delete-chain) Xóa chain
-Z (--zero) Xóa bộ đếm trong chain
-t Chỉ định bảng cho iptables bao gồm: filter, nat, mangle tables
-j Nhảy đến một target
138 tcp, udp và all
-s Chỉ định địa chỉ nguồn
-d Chỉ định địa chỉ đích
-i Chỉ định địa chỉ interface cho các gói
tin đi vào
-o Chỉ định địa chỉ interface cho các gói
tin đi ra
-m multiport Chỉ định nhiều dãy cổng -m state --state Kiểm tra trạng thái:
• ESTABLISHED: đã thiết lập connection
• NEW: bắt đầu thiết lập connection • RELATED: thiết lập connection thứ
2
Bảng 2 Các lệnh tùy chọn trong IP table
4.4.1.4.3. Các câu lệnh lưu và phục hồi Iptables
• iptables-restore : lệnh phục hồi iptables có hai tùy chọn :
Tùy chọn Giải thích
-c (--counters) Phục hồi bộ đếm gói và byte cho các rule
-n (--noflush) Tắt chức năng xóa (-flush) trong tables trước khi phục hồi
Bảng 3 Các câu lệnh lưu và phục hồi IPtable
139
Tùy chọn Giải thích
-c (--counters) Hiện bộ đếm gói và byte cho các rule
-t (--table) Chỉ hiện bảng được chỉ định
Bảng 4 Lệnh ghi lại IPtable
4.4.2. PfSense
Khi tiến hành cài đặt, pfSense sẽ tự chọn mode khởi động
140
Hình 4.5 Chọn OK để Install pfSense
141
Hình 4.7 Bước tiếp theo chọn OK để pfSense cài đặt
142
Hình 4.9 Chọn No rồi Reboot lại hệ thống
143
C ấ u h ì n h đ ị a c h ỉ i p a d d r e s s c h o c á c i n t e r f a c e c ủ a p f S e n s e
Hình 4.11 Tại mục menu chọn “option : 2” để thiết lập IP address cho interface LAN
Hình 4.12 Chọn “2 – LAN interface” -> thiết lập ip address: 192.168.8.10 -> subnetmask: 24 -> và Click Enter
144
Hình 4.13 Phần IPv6 “Click Enter ” để bỏ qua -> Chọn “n” không thiết lập DHCP cho LAN -> Chọn “y” ( revert to HTTP) -> Sau đó truy cập pfSense tại
địa chỉ http://192.168.8.10
Note: Tới bước này nếu không vào được địa chỉ trên cần quay lại xem cấu hình VMnet8 trong Virtual Network Editor chỉnh subnet IP cho đúng dải 192.168.8.0/24 nhé
Hình 4.14 Truy cập pfSense trên trình duyệt web http://192.168.8.10 . Đăng nhập với username: admin & password: pfsense
145
Hình 4.15 Giao diện Pfsense 2.4.3 – 2018
Cài đặt các thông số cơ bản Hostname, Domain, DNS Server, Disable DNS Forwarder, timezone… cho pfSense -> “Save”
146
Hình 4.16 Chọn Next
147
Hình 4.18 Chọn Time Zone GMT+7
148
Hình 4.20 Cấu hình WAN interface 2
Tại bước này pfsense cung cấp cho chúng ta nhiều phương thức cấu hình mạng WAN khác nhau – static / dhcp / pppoe
Với mơi trường thực nghiệm thì chọn DHCP để nhận các cấu hình cần thiết từ nhà mạng , với các cơng ty có IP tĩnh thì có thể cấu hình pppoe/static…
149
Hình 4.21 Đặt mật khẩu
150
Hình 4.23 Sau khi Reload xong sẽ vào giao diện Dashboard của Pfsense
151
Hình 4.25 Thêm card mạng - vào “Interfaces -> Asignments” -> Click “Add” để thêm card mạng -> Chọn “Save” để lưu cấu hình
Hình 4.26 Add card mạng ở bước trên ta có interface “OPT1” như hình dưới
152
Hình 4.27 Chọn “Interface -> WAN” và chỉnh lại các thông số cho interface card “WAN“.
Description: ADSL1(dùng tên nào cũng được để phân biệt cổng WAN1 với WAN2), Static IPv4, IP: 172.16.20.10, subnetmask /24, Add new gateway: ADSL1GW với IP 172.16.20.1 -> click “Save” rồi chọn Apply Changes
153
154
Hình 4.29 Chọn “Interface -> OPT1” và chỉnh lại các thông số cho interface card “OPT1“.
Description: ADSL2, Static IPv4, IP: 192.168.1.10, subnetmask /24, Add new gateway: ADSL2GW-192.168.1.1 như cấu hình vhowis ADSL1GW và tick Enable
155
Hình 4.30 Đổi Gateway thì vào System /Routing / Gateways