Chương 4: TRIỂN KHAI VÀ THỰC NGHIỆM FIREWALL IPTABLES TRÊN LINUX
4.3. Tổng quan các bước thực hiện
- Máy Firewall Iptable (hệ điều hành Centos 5.9) sử dụng 3 card mạng (eth0, eth1, eth2), đã cài đặt gói phần mềm iptables v1.3.5-9.2.el5_8.i386.rpm.
- Máy SERVER (sử dụng hệ điều hành ubuntu server 11.04), đã cài đặt cấu hình các dịch vụ như: DNS, Web Server, FTP Server.
Máy MailServer (sử dụng hệ điều hành Centos 5.9), đã cài đặt và cấu hình dịch vụ Mail Server.
- Máy PC1 (sử dụng hệ điều hành widows XP), dùng để test các dịch vụ trên máy Firewall Iptable và máy SERVER.
- Máy PC2 (sử dụng hệ điều hành widows XP).
- Máy attack (sử dụng hệ điều hành windows XP), máy dùng để tấn công hệ thống máy SERVER.
Trên máy Firewall IPtables
Kiểm tra cấu hình địa chỉ IP cho card eth0:
Hình 4.3: Cấu hình địa chỉ IP trên card eth0 Kiểm tra cấu hình địa chỉ IP cho card eth1và eth2:
Hình 4.4:Cấu hình địa chỉ IP trên card eth1 và eth2 Vào file nano /etc/sysctl.conf, để bật tính năng forward.
Tiếp theo vào nano /proc/sys/net/ipv4/ip_forward: Mặc định là 0 đổi thành 1 trùng với thiết lập ở file /etc/sysctl.conf.
Hình 4.6: Cấu hình ipv4 forward
Khởi động lại dịch vụ iptables: Sử dụng lệnh “service iptables restart”
Điều chỉnh file cấu hình iptables load các module cần thiết:
Vào nano /etc/sysconfig/iptables-config
IPTABLES MODUNLES = “ ip_nat_ftp, ip_nat, ip_conntrack_netbios_ns”
Hình 4.7: Cấu hình iptables-config
Xóa tất cả các luật ở Chain và cài đặt Policy mặt định cho các Chain:
Hình 4.8: Cấu hình xóa các rule mặc định
Cho phép các gói tin đi vào eth2 (IP 172.16.1.1) và đi ra eth0 (IP 192.168.1.100) trên máy Firewall IPtables:
iptables -t filter -A FORWARD -i eth2 -o eth0 -j ACCEPT
Hình 4.9: Cấu hình forward gói tin đi vào eth2 và đi ra eth0
Cho phép các kết nối từ bên ngoài đi vào eth0 (IP 192.168.1.100) và ra eth2 (IP 172.16.1.1):
iptables -t filter -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
Hình 4.10: Cấu hình kết nối đi vào eth0 và ra eth2 Đổi địa chỉ nguồn của các gói tin đi ra từ eth0 (IP 192.168.1.100):
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Hoặc
Cấu hình iptables cho phép máy PC1 truy cập vào DNS Web FTP trên máy SERVER và Email trên máy MailServer:
- Chỉ cho phép các gói tin có cổng đích là: 80 (HTTP) 21 (FTP) 110 (POP3) 25 (SMTP) đi vào eth2 và đi ra eth1.
iptables -t filter -D FORWARD 1
iptables -t filter -I FORWARD 1 -i eth2 -o eth1 -p tcp -m multiport --dports 80,21,110,143,25 -j ACCEPT
Hình 4.12: Cấu hình HTTP FTP POP3 và SMTP đi vào eth2 và ra eth1 Cho phép các gói tin có cổng đích là 53 (DNS) đi vào eth2 và đi ra eth1:
iptables -t filter -A FORWARD -i eth2 -o eth1 -p udp --dport 53 -j ACCEPT
Hình 4.13: Cấu hình forward gói tin dns vào eth2 và ra eth1 Cho phép các gói tin đã được thiết lập kết nối đi vào eth1 và đi ra eth2:
iptables -t filter -A FORWARD -i eth1 -o eth2 –m state --state ESTABLISHED, RELATED –j ACCEPT
Hình 4.14: Cấu hình các gói tin đi vào eth1 và đi ra eth2
Đổi địa chỉ đích của gói tin đi vào eth2 (IP 172.16.1.1) có cổng đích là 80 và 21 sang địa chỉ 10.10.10.2
iptables -t nat -A PREROUTING -i eth2 -p tcp -m multiport --dports 80,21 - j DNAT --to-destination 10.10.10.2
Hình 4.15: Cấu hình NAT PREROUTING port 80,21 đi vào eth2
Đổi địa chỉ đích của gói tin đi vào eth2 (IP 172.16.1.1) có cổng đích là 110, 143 và 25 sang địa chỉ 10.10.10.3
iptables -t nat -A PREROUTING -i eth2 -p tcp -m multiport --dports 110,143,25 -j DNAT --to-destination 10.10.10.3
Hình 4.16: Cấu hình NAT PREROUTING port 110,143,21 đi vào eth2
Đổi địa chỉ đích của các gói tin đi vào eth2 (IP 172.16.1.1) với giao thức udp cổng đích là 53 (DNS) sang địa chỉ 10.10.10.2:
iptables -t nat -A PRETROUTING -i eth2 -p udp --dport 53 -j DNAT --to- destination 10.10.10.2
Hình 4.17: Cấu hình NAT PREROUTING DNS
Đổi địa chỉ nguồn của các gói tin đi ra eth1 có địa chỉ đích 10.10.10.2 thành địa chỉ 10.10.10.1
iptables -t nat -A POSTROUTING -o eth1 -d 10.10.10.2 -j SNAT --to-source 10.10.10.1
Hình 4.18: Cấu hình NAT POSTROUTING địa chỉ 10.10.10.2 đi ra eth1
Đổi địa chỉ nguồn của các gói tin đi ra eth1 có địa chỉ đích 10.10.10.3 thành địa chỉ 10.10.10.1
Hình 4.19: Cấu hình NAT POSTROUTING địa chỉ n10.10.10.3 đi ra eth1 Chặn gói tin với port 25 của máy PC2 (IP 172.16.1.11)
Hình 4.20: Chặn gói tin với port 25
Chặn các gói tin đi vào với dãy địa chỉ từ 172.16.1.10 đến 172.16.1.12
Hình 4.21: Chặn gói tin với dãy địa chỉ IP
Cấu hình giới hạn gói tin ICMP chỉ một gói tin trên 1 giây đi vào card eth1
Cấu hình chặn truy cập website www.facebook.com trên PC1 với IP 172.16.1.10:
Cấu hình ngăn chặn tấn công syn flood:
+ Tạo một chain mới: “iptables -N syn_flood”
+ Thêm một luật vào chain mới tạo: “iptables -p tcp --syn -j syn_flood”
+ Cho phép kết nối syn trong 5 giây chỉ 5 kết nối card eth1 (IP 10.10.10.1)
Hình 4.23: Cấu hình syn flood Trên máy SERVER
Kiểm tra cấu hình địa chỉ IP trên máy SERVER:
Hình 4.24: Cấu hinh địa chỉ IP trên máy SERVER Cấu hình web server (apache2): vào file /var/www/index.html
Hình 4.25: Cấu hình web server
Trên máy MailServer Kiểm tra cấu hình địa chỉ IP:
Hình 4.26: Cấu hình địa chỉ IP trên máy MailServer
Trên máy PC1: Test các dịch vụ mà PC1 được phép truy cập tài nguyên mạng Kiểm tra cấu hình địa chỉ IP:
Hình 4.27: Cấu hình địa chỉ IP Kết nối Internet trên máy PC1 (IP 172.16.1.10):
Hình 4.28: Kiểm tra kết nối internet trên PC1
Phân giải DNS trên máy PC1 từ máy SERVER trả về:
Hình 4.29: Phân giải tên miền DNS Truy cập website trên máy SERVER : http://10.10.10.2
Hình 4.30: PC1 truy cập web server trên máy SERVER
Truy cập vào FTP Server trên máy SERVER: ftp://10.10.10.2 đăng nhâp FTP Server với User name (sinhvien) Password (sinhvien).
Hình 4.31: PC1 truy cập FTP Server trên máy SERVER Ta thấy đã truy cập vào FTP Server trên máy SERVER với thư mục database.
Kiểm tra gửi vào nhận thư trên máy PC1 thông qua mail server trên máy MailServer sử dụng giao thức POP3 và SMTP
Hình 4.32: Kiểm tra mail server với giao thức POP3 và SMTP
Ta thấy gửi và nhận mail thành công:
Hình 4.33: Hộp thư mail nhận trên máy PC2
Triển khai tấn công từ máy attack vào Web Server sử dụng công cụ httpdos:
- Trên máy attack tấn công băng httpdos vào Web Server với địa chỉ website http://10.10.10.2. Khi Web Server bị tấn công thì dịch web cung cấp sẽ bị ngưng hoạt động, các máy trạm không thể truy cập được.
Hình 4.34: Atack sử dụng httpdos tấn công Web Server
- Trên máy Firewall IPtables: Cấu hình ngăn chặn tấn công httpdos vào Web Server bằng các câu lệnh cấu hình sau:
KẾT LUẬN
Những kết quả đạt được Lý thuyết:
- Hiểu cơ chế hoạt động, chức năng của firewall.
- Hiểu cơ chế hoạt động, chức năng của iptables.
- Các ứng dụng trong các dịch vụ mà iptables cung cấp.
- Tìm hiểu lỗ hổng bảo mật trong mạng LAN.
Thực hành:
- Từ tìm hiểu những lý thuyết do đó đã triển khai thành công firewall iptables hệ điều hành Centos.
- Cấu hình iptables cho phép client trong mạng nội bộ kết nối internet, hạn chế truy cập internet, truy cập tài nguyên trên máy SERVER thuộc vùng DMZ.
- Kiểm soát truy cập internet đối với các máy trạm.
- Hạn chế gói tin vào ra hệ mạng nội bộ, kiểm soát truy cập các máy trạm.
- Triển khai các dịch như: DNS Web Server FTP Server và Mail Server trên hệ điều hành ubuntu server.
Những hạn chế:
- Triển khai với hệ thống mạng chỉ với một vài máy trạm.
- Một số câu lênh cấu hình chính sách của iptables còn tìm hiểu hết.
- Triển khai Web Server, DNS và FTP còn đơn giản.