Bảo mật hệ thống dùng Iptables

Một phần của tài liệu bảo mật hệ thống call center (Trang 139 - 177)

2

5.3.1 Bảo mật hệ thống dùng Iptables

5.3.1.1 Cài đặt Iptables

Kiểm tra Iptables đã được cài đặt chưa bằng lệnh:

# iptables -L

Với những máy chưa cài đặt Iptables thì dùng lệnh:

# apt-get install iptables

Nếu sau khi dùng lệnh iptables -L thấy hiện ra các Chain như hình sau tức là

iptables đã được cài đặt

Hình 5. 33: Kiểm tra cài đặt Iptables

Nếu Iptables đã được cài đặt thì start iptables bằng lệnh:

# service iptables start

Hoặc:

# /etc/init.d/iptables start

Để iptables tự start khi khởi động thì nên turn on iptables trong startup bằng lệnh:

# chkconfig iptables on

CHƯƠNG 5: DEMO BẢO MẬT HỆ THỐNG 5.3.1.2 Script Iptables Demo:

Sau khi cài đặt Iptables, tiến hành cấu hình iptables theo Script đã dựng sẵn. Tùy thuộc và mục đích của quản trị viên và vào tính chất của hệ thống mà Script được xây dựng sẽ khác nhaụ

Script này được xây dựng để chống các hướng tấn công sau: + Register bất hợp pháp SSH vào hệ thống + ICMP Flood + Syn Flood + Scan Port + UDP Flood + Ping of Death + Smurf + Fraggle >>> Xóa tất cả: # iptables -X

>>> Xóa các luật tồn tại trong Chain

# iptables -F

>>> Reset tất cả gói và Counter

# iptables -Z

>>> Không đóng các kết nối đang được thiết lập, đồng thời cũng cho phép mở các kết nối mới trong kết nối được thiết lập

# iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

>>> Chấp nhận 192.168.1.39 và 192.168.1.35 được phép register SSH vào hệ

thống. Chặn tất cả các IP còn lại

# iptables -A INPUT -s 192.168.1.35/32 -i eth0 -p tcp -m tcp --dport 2200 -m state - -state NEW -j ACCEPT

# iptables -A INPUT -s 192.168.1.39/32 -i eth0 -p tcp -m tcp --dport 2200 -m state - -state NEW -j ACCEPT

# iptables -A INPUT -i eth0 -p tcp -m tcp --dport 2200 -m state --state NEW -j DROP

>>> Hạn chế gói tin Ping tới Server: rule này sẽ giới hạn các gói Ping tới server là

10 gói/phút sau khi đạt mức đỉnh là 1 gói

# iptables -N test

# iptables -A test -m limit --limit-burst 1 --limit 10/m -j RETURN # iptables -A test -j DROP

CHƯƠNG 5: DEMO BẢO MẬT HỆ THỐNG

# iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type echo-request -j test

>>> Chống Syn Flood: rule này sẽ giới hạn các gói TCP (SYN = 1) tới server qua

port 3306 và 2200 là 1 gói/phút sau khi đạt mức đỉnh là 1 gói

# iptables -N syn_flood

# iptables -A syn_flood -m limit --limit 1/min --limit-burst 1 -j RETURN # iptables -A syn_flood -j DROP

# iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3306 --syn -j syn_flood # iptables -A INPUT -i eth0 -p tcp -m tcp --dport 2200 --syn -j syn_flood

>>> Chống UDP Flood: ngăn các gói UDP đến port UDP-echo (port 7)

# iptables -A INPUT -p udp --dport 7 -j DROP

>>> Chống Ping of Death: kỹ thuật Ping of Death gửi gói tin lớn hơn 65535 byte

làm tê liệt hệ thống nên rule này hạn chế kích cỡ của 1 gói tin ICMP dưới 65535, DROP các gói không thỏạ

# iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 60:65535 -j ACCEPT

# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

>>> Chống Smurf Attack: Rule này ngăn không cho Ping tới địa chỉ broadcast và giới hạn tốc độ các gói tin echo-reply là 10 gói/phút khi đạt 1 gói

# iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP

# iptables -A INPUT -p icmp --icmp-type echo-request -m pkttype --pkt-type broadcast -j DROP

# iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit-burst 1 --limit 10/m -j ACCEPT

>>> Chống Fraggle Attack: Rule này ngăn không cho các gói tin UDP gửi tới địa chỉ Broadcast

# iptables -A INPUT -p udp -m pkttype --pkt-type broadcast -j DROP # iptables -A INPUT -p udp -m limit --limit-birst 1 --limit 10/m -j ACCEPT

>>> Chống Scan Port

>>>>> Chống Xmas Scan (gửi gói tin với ba cờ được thiết lập FIN, URG, PSH)

# iptables -A INPUT -m state --state NEW -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

>>>>> Chống Xmas Scan với tất cả cờđược thiết lập

#iptables -A INPUT -m state --state NEW -p tcp --tcp-flags ALL ALL -j DROP

>>>>> Chống Null Scan (tắt tất cả cờ)

CHƯƠNG 5: DEMO BẢO MẬT HỆ THỐNG

Sau khi cấu hình Script xong, nếu trong quá trình test không có lỗi gì thì tiến hành save cấu hình lại bằng câu lệnh:

# iptables-save

Cách sửa cấu hình và reboot đã đề cập ởchương 4

Lệnh iptables-save chỉ tạm save lại cấu hình và khi restart lại hệ thống thì sẽ tự

dùng lệnh iptables-restore để đọc lại cấu hình nhưng khi reboot (tắt) và khởi động lại hệ thống thì cấu hình sẽ mất đị Để tránh mỗi lần mở máy phải cấu hình Script lại ta thực hiện các bước sau:

# pre-up iptables-restore < /etc/iptables.rules

# post-down iptables-restore < /etc/iptables.downrules # vi /etc/network/if-pre-up.d/iptablesload và thêm vào: # !/bin/sh

iptables-restore < /etc/iptables.rules exit0

# vi /etc/network/if-post-down.d/iptablessave và thêm vào # !/bin.sh iptables-save -c > /etc/iptables.rules if [ -f /etc/iptables.downrules ]; then iptables-restore < /etc/iptables.downrules fi exit 0 # chmod +x /etc/network/if-post-down.d/iptablessave # chmod +x /etc/network/if-pre-up.d/iptablesload # iptables-save > /etc/iptables.rules

Trước khi test demo nên restart lại hệ thống:

# /etc/init.d/networking restart

5.3.2 Bảo mật hệ thống dùng Fail2ban kết hợp Iptables 5.3.2.1 Cài đặt Fail2ban 5.3.2.1 Cài đặt Fail2ban

Fail2ban được tích hợp sẵn trong Ubuntu 11.04

Để bắt đầu cấu hình trước tiên phải cài đặt Fail2ban bằng câu lệnh:

# apt-get install fail2ban

5.3.2.2 Cấu hình

Cấu hình file asterisk.conf

Sau khi cài đặt fail2ban, tạo một tập tin có tên asterisk.conf trong thư mục fail2ban filters bằng lệnh:

# /etc/fail2ban/filter.d/asterisk.conf

Bây giờ thêm những phần sau đây vào tập tin vừa tạo: # Fail2Ban configuration file

CHƯƠNG 5: DEMO BẢO MẬT HỆ THỐNG

#

# $Revision: 250 $ #

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from # common.local

#before = common.conf

[Definition]

#_daemon = asterisk

# Option: failregex

# Notes.: regex to match the password failures messages in the logfilẹ The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>\S+)

# Values: TEXT #

failregex = NOTICẸ*.*: Registration from '.*' failed for '<HOST>' - Wrong password

NOTICẸ*.*: Registration from '.*' failed for '<HOST>' - No matching peer found NOTICẸ*.*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch

NOTICẸ*.*: Registration from '.*' failed for '<HOST>' - Device does not match ACL

NOTICẸ* <HOST> failed to authenticate as '.*'$

NOTICẸ*.*: No registration for peer '.*' \(from <HOST>\)

NOTICẸ*.*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICẸ*.*: Failed to authenticate user.*@<HOST>.*

# Option: ignoreregex

# Notes.: regex to ignorẹ If this regex matches, the line is ignored. # Values: TEXT

#

ignoreregex =

Trong dòng trên bạn có thể thấy rằng fail2ban sẽ tìm cụm từ: “Wrong password”, “No matching peer found”, “Username/auth name mismatch” and “Device does not match ACL”

CHƯƠNG 5: DEMO BẢO MẬT HỆ THỐNG

Hình 5. 34: Cấu hình asterisk.conf

Cấu hình file jail.conf

Tiếp theo thêm những dòng sau trong

# / etc/fail2ban/jail.conf

[asterisk-iptables] enabled = true filter = asterisk

action = iptables-allports[name=ASTERISK, port=all, protocol=all]

sendmail-whois[name=ASTERISK, dest=root, sender=fail2ban@examplẹorg] logpath = /var/log/asterisk/messages ignoreip = 192.168.1.(máy chủ) 192.168.1.39 maxretry = 3 bantime = 18000 [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3

CHƯƠNG 5: DEMO BẢO MẬT HỆ THỐNG [ssh-đos] enabled = true port = ssh filter = sshd-đos logpath = /var/log/auth.log maxretry = 3

Hình 5. 35: Cấu hình file jail.conf

Cấu hình file logger.conf để Asterisk ngày đăng nhập và định dạng thời gian

Dùng lệnh

# /etc/asterisk/logger.conf

Và thêm phần sau đây trước phần [logfiles]. Điều này làm cho ngày và thời gian

được định dạng Năm-tháng-ngày giờ:phút [general]

dateformat=%F %T

Sau đó tải lại các mô-đun logger cho Asterisk, tại dòng lệnh nhập vào lệnh sau đây:

asterisk -rx "logger reload"

Bật và kiểm tra Fail2ban, Iptables

Bật Iptables

# /etc/init.d/iptables start

Bật Fail2ban

# /etc/init.d/fail2ban start

CHƯƠNG 5: DEMO BẢO MẬT HỆ THỐNG

# iptables -L -v

You should see something like the following for the INPUT chain (you will see more if you have other Fail2Ban filters enabled):

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

2104K 414M fail2ban-ASTERISK all — any any anywhere anywhere

If you do not seem something similar to that then you have some troubleshooting to, check out /var/log/fail2ban.log

Bật lên

# update-rc.d iptables defaults # update-rc.d fail2ban defaults

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG

CHƯƠNG 6: KT QU DEMO BO MT H THNG

6.1 Kết quả bảo mật nghe lén bằng TLS và SRTP 6.1.1 Kết quả bảo mật cuộc gọi bằng TLS 6.1.1 Kết quả bảo mật cuộc gọi bằng TLS

Sau khi tạo khóa cho cảServer và Client đồng nhất, tiến hành thực hiện cuộc gọi giữa tls1 và tls2.

Hình 6. 1: Cuộc gọi 2 extensions tls1 và tls2 Trong quá trình đàm thoại Wireshark vẫn bắt được các gói tin

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG

Các gói tin trong quá trình đàm thoại đã được TLS mã hóa thông tin nên khi Wireshark bắt được vẫn không nghe được cuộc gọị

Hình 6. 3: Cuộc gọi nghe lén bị mã hóa

6.1.2 Kết quả bảo mật cuộc gọi bằng SRTP

- Nghe lén bằng Wireshark:

Vì các bản tin báo hiệu không được mã hóa nên Wireshark nhận biết được có cuộc gọi vừa được tiến hành. Cuộc gọi SRTP không truyền trực tiếp giữa 2 Softphone mà gián tiếp qua server Asterisk, vậy nên Wireshark nhận dạng được 2 cuộc gọi:

192.168.1.34 <=> 192.168.1.43 và 192.168.1.43<=> 192.168.1.37

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG

Tuy nhiên khi nghe lại cuộc gọi này trên Wireshark thì ta chỉ nhận được các âm thanh nhiễu vô nghĩa, nguyên nhân là do các bản tin RTP đã được mã hóa, và

Wireshark đã không giải mã được các bản tin nàỵ

Hình 6. 5: Nghe lén cuộc gọi SRTP bằng Wireshark.

Như vậy SRTP bảo vệđược cuộc gọi khỏi tấn công nghe trộm, tuy nhiên các thông tin quan trọng trong các bản tip SIP vẫn có thể bị mất, tạo điều kiện cho các loại tấn công khác.

- Nghe lén cuộc gọi bằng Cain & Able

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG

Giống như Wireshark, Cain & Able cũng nhận dạng được 2 cuộc gọi vừa diễn ra, nhưng khi nghe lại 2 cuộc gọi này đều chỉ nhận được các âm thanh nhiễu vô nghĩạ

Cain & Able cũng không giải mã được các gói tin SRTP.

Như vậy SRTP đã bảo vệ được các cuộc gọi khỏi tấn công nghe trộm, tuy nhiên, các thông tin quan trọng về người sử dụng không được bảo mật, và có thể bị khai thác cho một số loại tấn công khác như tấn công vào cước phí chẳng hạn

6.2 Kết quả bảo mật hệ thống bằng Iptables và Fail2 Ban 6.2.1 Kết quả Demo khi test Script Iptables 6.2.1 Kết quả Demo khi test Script Iptables

6.2.1.1 Dùng cửa sổ lệnh cmd thử ping vào hệ thống:

Bất kì địa chỉ IP nào khi Ping tới hệ thống đề sẽ thấy hiện tượng gói ICMP bị hạn chế. Đó là do iptables đã hạn chế tốc độ và sốlượng gói ICMP tới hệ thống.

Hình 6. 7: Kết quả gởi gói tin Ping

Nhận xét:

Hệ thống đã có thể hạn chế số lượng và tốc độ các gói tin Ping chứng tỏ hệ

thống đã có thể chống lại ICMP Flood Attack

6.2.1.2 Dùng Putty register SSH vào hệ thống

Địa chỉ IP 192.168.1.35 đăng nhập thành công vào hệ thống SSH vì đã được iptables chấp nhận

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG Hình 6. 8: Đăng nhập putty

Hình 6. 9: Đăng nhập thành công

Địa chỉ IP 192.168.1.42 vẫn đăng nhập SSH đúng với IP của máy chủvà đúng port

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG Hình 6. 10: Đăng nhập IP 192.168.1.42

Hình 6. 11: Đăng nhập thất bại

Ngoài ra nên chỉnh sửa cấu hình trong fie sshd_config để hệ thống được bảo mật

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG

Chỉnh sửa trong file /etc/ssh/sshd_config

# only allow SSHv2 Protocol 2

# specify the keys for SSHv2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key # disallow root to login via SSH PermitRootLogin yes

#disconnect after 3 tries MaxAuthTries 3

#do strict checking on users homedir permissions StrictModes yes

# enable Authentication via RSA keys RSAAuthentication yes

PubkeyAuthentication yes

# specify the file with the public key for ourusers AuthorizedKaysFilẹssh/authorized_keys

# disable various “bad” options RhostsRSAAuthentication no HostbasedAuthentication no IgnoreUserKnownHosts yes IgnoreRhosts yes PasswordAuthentication no PermitEmptyPasswords no X11Forwarding no

# disable PAM anthentification (as we only use keys now) UsePAM no

# only allow login, if user is in group ‘ssh’ AllowGroups ssh

Nhận xét:

SSH là lĩnh vực cực kì quan trọng cần được bảo mật vì khi kẻ tấn công

register ssh vào được sẽ tìm cách chiếm quyền kiểm soát hệ thống. Nhờ cấu hình iptables cấm IP bất hợp pháp register hệ thống nên server luôn đứng vững bất chấp mọi cố gắng từ bất kì địa chỉ IP nàọ

6.2.1.3 Dùng Tool ĐoS SynFlood - Good Bye vs5.2 tấn công hệ thống vào port 2200 2200

Lúc đầu thực hiện ĐoS Syn Flood vào server tại địa chỉ 192.168.1.47 tại port 2200 khi chưa cấu hình iptables cho server sẽ thấy hiện tượng trong 20s gói tin SYN gửi liên tục, với tốc độ nhanh và sốlượng quá nhiểu chỉ trong thời gian ngắn sẽlàm tràn băng thông, hết tài nguyên và tê liệt hoàn toàn.

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG

Hình 6. 12: Lượng gói tin đến server trong 20s (chưa cấu hình Iptables)

Sau khi đã cấu hình iptables thì sau khi nhấn Start thì server chỉ nhận một gói SYN duy nhất và DROP tất cả

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG

Sau 1 phút server bắt đầu nhận gói tin SYN tiếp theo và với tốc độ được hạn chế, vì thếđảm bảo an toàn được cho server

Hình 6. 14: Bắt đầu nhận gói SYN sau 1 phút Sau đó vẫn tiếp tục nhận gói tin với tốc độ bị hạn chế rất nhiều

CHƯƠNG 6: KẾT QUẢ DEMO BẢO MẬT HỆ THỐNG Nhận xét:

Dù đây là tool ĐoS SYN FLood mạnh và nguy hiểm, mặc dù không thể

chặn hoàn toàn vì tính chất nguy hiểm của ĐoS nhưng hệ thống đã hạn chế tầm

ảnh hưởng của nó bằng cách giảm tốc độ truyển và hạn chế số lượng gói tin. Điều này chứng tỏ hệ thống đã Anti SYN Flood

6.2.2 Fail2 Ban

Sau khi cấu hình xong restart lại hệ thống. Dùng softphone 3CX register vào hệ thống

Cốý đăng nhập sai mật khẫu 4 lần và xem hiện tượng

Hình 6. 16: Đăng nhập sai pass và ban IP

Và đến lần thứ 5 không register được nữa vì IP đã bị ban và phải chờ hết thời gian bantime mới register lại được.

CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI

CHƯƠNG 7: KT LUẬN VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI

7.1 Kết luận

Dưới sựhướng dẫn tận tình của giáo viên hướng dẫn cùng với sựgiúp đỡ nhiệt

Một phần của tài liệu bảo mật hệ thống call center (Trang 139 - 177)

Tải bản đầy đủ (PDF)

(177 trang)