Một số dịch vụ

Một phần của tài liệu Cấu hình Iptables và Squid (Trang 35 - 52)

CHƯƠNG 3 :THỰC NGHIỆM

3.2 TRIỂN KHAI

3.2.1.3 Một số dịch vụ

* Chặn truy cập internet:

Hình 3.6 Thư truy cập google.com.vn khi chưa chặn internet

* Cấm IP: 192.168.1.2 truy cập internet

# iptables -A INPUT -i eth0 -s 192.168.1.2 –p tcp --dport 80 -j DROP # iptables –I FORWARD –i eth1 –s 192.168.1.2 –p tcp --dport 80 -j DROP

* Cấm 1 dãy IP truy cập internet:

iptables -I FORWARD -m iprange --src-range 192.168.1.100-192.168.1.150 –p tcp -- dport 80 -j DROP

Hình 3.7 Sau khi chặn internet. Client không thể truy cập * Cấm truy cập theo thời gian * Cấm truy cập theo thời gian

iptables –I FORWARD –s 192.168.1.15 –p tcp --dport 80 –m time –timestart 11:00 – timestop 11.30 --weekdays Mon,Tue,Wed,Thu,Fri,Sun –j DROP

Truy cập web lại lúc: 11:32 AM

Hình 3.9 Truy cập lại website sau khoản thời gian bị giới hạn 3.2.2 Nessus 3.2.2 Nessus

Vẽ Mơ Hình

Hình 3.10 Mơ hình mạng dùng Nessus

3.2.2.1 Hướng dẫn cài đặt

Lưu ý:

Máy chủ Nessus cần được cấu hình trên các hệ thống Linux, nhưng chương trình giao tiếp (Nessus client) có thể cài trên các hệ thống Windows OS hoặc Linux.

Cách 1:Đầu tiên chúng ta tải về bốn tập tin

1. nessus-libraries-2.0.9.tar.gz

2. libnasl-2.0.9.tar.gz

3. nessus-core-2.0.9.tar.gz

4. nessus-plugins-2.0.9.tar.gz

Tiến hành cài đặt theo thứ tự sau: #tar –zxvf nessus-libraries-2.0.9.tar.gz #cd ../nessus-libraries-2.0.9

#./configure && make && make install #cd ../

#tar –zxvf libnasl-2.0.9.tar.gz #cd libnasl-2.0.9

#./configure && make && make install #cd ../

#tar –zxvf nessus-core-2.0.9.tar.gz #cd nessus-core-2.0.9

#./configure && make && make install #cd ../

#tar –zxvf nessus-plugins-2.0.9.tar.gz #cd nessus-plugins-2.0.9

#./configure && make && make install

Các dòng lệnh trên sẽ giải nén và lần lượt cài đặt các gói tin thư viện và các plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình cài đặt hồn tất bạn hãy dùng trình soạn thảo

vi, hay emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại

và chạylệnh\ldconfig.

Để kết nối với máy chủ Nessus bằng giao thức an tồn SSL thì chúng ta cần tạo các SSL certificate cho Nessus thông qua lệnh nessus-mkcert và tiến hành theo các chỉ thị đưa ra.

Cách 2:

#sudo apt-get install nessusd nessus nessus-plugins #sudo update-rc.d nessusd defaults

#/etc/init.d/nessusd start

Bảng 3.4 Cài đặt từ dòng lệnh apt-get

Tạo tài khoản:

Tiếp theo ta cần tạo tài khoản dùng để chạy nessus bằng tiện ích nessus-adduser. Điều này có thể giúp chúng ta tạo ra các tài khoản chỉ có thể quét lỗi trên lớp mạng con mà mình quản lý.

Hình 3.11 Tạo user trên nessus

Chú ý: Mặc định khi cài đặt nessus bằng dịng lệnh apt-get thì mật khẩu “Authentication (pass/cert)” bằng rỗng.

Như vậy ta đã hoàn thành các bước cài đặt cho máy chủ nessus, hãy khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus thơng qua dịng lệnh nessus ở bất kỳ

terminal nào và cấu hình các tham số cần thiết cho quá trình quét lỗi.

3.2.2.2 Dị tìm lỗ hỗng trong hệ thống

Đầu tiên chúng ta cần log-in vào máy chủ nessus thông qua trang đang nhập với tài khoản đã tạo ra.

Hình 3.12 Màn hình đăng nhập

Tiếp theo là chọn các plug-in để tiến hành quét lỗi, càng nhiều plug-in được chọn thì kết quả thu được sẽ tốt hơn tuy nhiên thời gian cũng sẽ lâu hơn, hãy click chuột vào ô check-box bên phải để chọn các plug-in mình muốn:

Hình 3.13 Chọn dịch vụ muốn quét

Cuối cùng là nhập địa chỉ các máy cần kiểm tra lổi trong trang Target selection rồi

lưu lại với tùy chọn Save this section, nhấn phím Start the scan để nessus bắt đầu hoạt

Hình 3.14 Chọn dãy IP muốn quét

Hình 3.15 Dị tìm IP tồn tại trong mạng

Trong dãy IP từ: 192.168.1.1 tới 192.168.1.20, có 1 PC dùng hệ điều hành Windows và chương trình bắt đầu quét lổ hổng trên máy 15

Hình 3.16 Quét địa chỉ IP tồn tại trong mạng

Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời gian tiến hành lâu hay mau. Kết quả thu được sẽ được trình bày như khung sau:

Hình 3.17 Hiển thị thơng tin sau khi quét

Dựa trên kết quả thu được, chương trình cho biết máy đang dùng hệ điều Windows và cảnh báo trên cổng số 135 thì dễ dàng bị tấn cơng và chiếm đoạt quyền trên hệ thống. Và cảnh báo nên cập nhật lại bản vá lổi này từ Microsoft theo đường dẫn: http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

3.2.3 SQUID PROXY

MƠ HÌNH

Hình 3.18 Mơ hình hệ thống tích hợp với Squid

3.2.3.1 Hướng dẫn cài đặt Mô tả :

Tất cả các máy trong mạng khi truy cập Internet sẽ đi qua Squid Proxy và các giao thức đi qua đây sẽ được lọc và kiểm tra. Nếu chúng hợp lệ thì sẽ truy cập được internet, ngược lại sẽ không truy cập được dựa trên những quy luật mà người quản trị cài đặt trên Squid.

Chú ý :

-Nếu trên Iptables chặn hết tất cả các cổng thì chỉnh iptables theo như sau :

#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080

#iptables -A INPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -i eth1 -p tcp --dport 8080

#iptables -A OUTPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -o eth0 -p tcp --dport 80

#iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -i eth0 -p tcp --sport 80

#iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -o eth1 -p tcp --sport 80

-Nếu Squid và Iptables là 2 con server khác nhau. Ví dụ : Squid có Ip : 192.168.1.100 thì các anh/chị cấu hình iptables như sau :

#iptables -t nat -A PREROUTING -i eth1 -s ! 192.168.1.100 -p tcp --dport 80 -j DNAT --to 192.168.1.100:8080

#iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -d 192.168.1.100 -j SNAT --to 192.168.1.254

#iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.1.100 -i eth1 -o eth1 -m state -- state NEW,ESTABLISHED,RELATED -p tcp --dport 8080 -j ACCEPT

#iptables -A FORWARD -d 192.168.1.0/24 -s 192.168.1.100 - i eth1 -o eth1 -m state --state ESTABLISHED,RELATED -p tcp --sport 8080 -j ACCEPT

Cài đặt : # sudo apt-get install squid squid-common Note :

Trong trường hợp nếu khi không dùng được câu lệnh trên thì vơ trong đường dẫn sau update lại source.list của hệ điều hành Ubuntu : gedit /etc/apt/sources.list. Thêm vào những dòng sau bên trong tập tin sources.list :

deb http://us.archive.ubuntu.com/ubuntu/ hardy main restricted deb-src http://us.archive.ubuntu.com/ubuntu/ hardy main restricted deb http://us.archive.ubutntu.com/ubuntu/ hardy-updates main restricted deb-src http://us.archive.ubuntu.com/ubuntu/ hardy-updates main restricted deb http://archive.canonical.com/ubuntu hardy partner

deb-src http://archive.canonical.com/ubuntu hardy partner

Bảng 3.5 Đường dẫn để cập nhật những gói phần mềm mới trên ubuntu

Cấu hình Squid : Mở tập tin cấu hình squid : gedit /etc/squid/squid.conf và

khai báo 1 số thông tin visible_hostname server http_port 8080

cache_mem 10 MB

access_log /var/log/squid/access.log squid cache_dir ufs /var/spool/squid 100 16 256 acl all src 192.168.1.0/24

http_access allow all

Cấu hình máy client :

Cấu hình địa chỉ IP Client : Mở Network Connections và chỉnh lại IP của máy con như sau :

Hình 3.19 Địa chỉ IP của máy con

Sau đó mở Internet Explorer : vô mục : tools internet options  Connections. Sau đó chọn Lan Settings

Hình 3.20 Cấu hình IE thơng qua Proxy

Truy cập Internet :

Kiểm tra trên server : tail –n 10 /var/log/squid/access.log

Hình 3.22 Xem lại sự kiện truy cập web của các máy con

Một phần của tài liệu Cấu hình Iptables và Squid (Trang 35 - 52)

Tải bản đầy đủ (PDF)

(88 trang)