Qua phân tích từ những phần trước ta biết được địa chỉ ip của kẻ tấn công, việc đầu tiên là sẽ cách ly các gói tin từ địa chỉ ip của kẻ tấn công:
Lúc này hệ thống có thể tạm an toàn sau khi cách ly các gói tin từ địa chỉ 10.0.0.10, nhưng kẻ tấn công có thể thay đổi địa chỉ bất cứ lúc nào và nguy cơ tái tấn công là rất cao. Để bảo vệ hệ thống hoạt động lâu dài cần tính đến việc phòng thủ từ xa. Mục tiêu cần đặt ra lúc này là sẽ giới hạn số lượng truy cập vào hệ thống sao cho phù hợp và tránh bị tái tấn công.
Giới hạn tốc độ trung bình truyền gói tin và số lượng gói tin được phép khởi tạo tối đa:
Cần giới hạn các kết nối HTTP (port 80) không được phép hơn 10 kết nối trên mỗi phút:
Như vậy với cấu hình như trên hệ thống đã tương đối an toàn. Để thử nghiệm khả năng phòng thủ của hệ thống ta có thể đổi địa chỉ ip của máy tấn
$IPT I FORWARD p tcp s 0/0 d 192.168.10.10 \ sport 513:65535 dport 80 m state state \ NEW,ESTABLISHED m recent set j ACCEPT
$IPT I FORWARD p tcp dport 80 m state –state \ NEW m recent update seconds 60 \
hitcount 11 j DROP $IPT N syn_flood
$IPT A FORWARD p tcp syn j syn_flood $IPT A syn_flood m limit limit 1/s \ limitburst 3 j RETURN
$IPT A syn_flood j DROP
$IPT –I INPUT –s 10.0.0.10 –j DROP $IPT –I FORWARD –s 10.0.0.10 –j DROP
công thành 10.0.0.30 và tạo lại tấn công DoS với tool DoSHTTP và kết quả như sau:
- Trên giao diện của tool DoSHTTP cho thấy có hơn 100.000 request được gửi đi nhưng chỉ nhận được 4 hồi đáp (Hình 4.13).
- Tại log của web server cũng chỉ có 4 lượt truy cập được access (Hình 4.14).
- Trên BASE của Snort IDS cũng có các cảnh báo với các gói tin có cờ SYN của máy tấn công và không có hồi đáp SYN, ACK nào của web server (Hình 4.15).
Hình 4.14: Nội dung access.log của web server
Chương 5: TỔNG KẾT 6.1 Kết quả đạt được
Theo yêu cầu đặt ra ban đầu là tìm hiểu Firewall iptables trên linux kết hợp với hệ thống phát hiện xâm nhập (IDS) để bảo vệ hệ thống mạng của doanh nghiệp, đồng thời cũng tìm hiểu về cách các tấn công và phòng thủ cho hệ thống, cho đến thời điểm hiện tại tôi đã thu được một số kết quả sau:
Tìm hiểu được các mô hình Firewall.
Tìm hiểu Firewall iptables.
Cấu trúc module của iptables.
Các bảng và chain trong iptables.
Quy trình các gói tin đi qua các chain của các bảng
Cú pháp viết luật cho iptables.
NAT với iptables.
Tìm hiểu về hệ thống phát hiện xâm nhập (IDS)
Khái niệm, chức năng, phân loại, kiến trúc của IDS
Cách thức làm việc.
Phương pháp pháp hiện và phản ứng của IDS.
Tìm hiểu về Snort IDS.
Cài đặt và sử dụng Snort IDS.
Cách viết rules cho Snort.
Tìm hiểu hệ điều hành Ubuntu Linux.
6.2 Những hạn chế
Mặc dù tôi đã nỗ lực hết sức để hoàn thành đề tài nhưng với khoảng thời gian nghiên cứu không được lâu và sự thiếu hụt về mặc thiết bị, không có điều kiện tốt để làm thí nghiệm nên vẫn tồn tại những hạn chế sau:
Chưa thực hiện được mô hình lab trên máy thực mà chỉ sử dụng mô hình ảo hóa bằng công cụ máy ảo VMware.
Chưa thử nghiệm mô hình với Snort_Inline hay Snort_Sam, hai bộ phần mềm cải tiến của Snort có khả năng tự động ngăn chặn xâm nhập khi phát hiện được nhờ kết hợp với iptables.
Chưa có điều kiện tìm hiểu và tạo nhiều kiểu tấn công để từ đó rút ra nhiều biện phát bảo vệ và phòng thủ hơn cho hệ thống mạng.
6.3 Hướng nghiên cứu
Mã nguồn mở là một hướng phát triển mà nhiều người quan tâm. Để mở rộng hơn nữa tính thực tiễn của đề tài, cần phải nghiên cứu thêm và thực hiện được mô hình mạng doanh nghiệp vừa và nhỏ. Cần phải đưa thêm các dịch vụ mạng cần thiết khác như email, quản lý người dùng, dịch vụ thư mục, và những dịch vụ khác cũng như yêu cầu bảo mật khác.
Hiện nay, những phần mềm nguồn mở và hệ điều hành mạng nguồn mở đã có thể đủ sức để thực hiện quản lý một mạng hoàn thiện. Người dùng có thể lựa chọn nhiều phát hành dựa trên nhân Linux để sử dụng. Bằng cách sử dụng phần mềm nguồn mở, các công ty, tổ chức có thể tiết kiệm được một khoảng đầu tư khá lớn cho vấn đề bản quyền phần mềm.
Cùng với sự nâng cấp và phát hành các phiên bản Linux Ubuntu mới, người dùng Linux đã có thể thực hiện xây dựng được máy quản lý miền cũng như sử dụng máy tính với giao diện thân thiện và thoải mái hơn. Người dùng hoàn toàn có thể dùng Linux thay thế cho Window. Những phần mềm nguồn mở hiện nay rất phong phú và cũng ngày càng dể sử dụng hơn.
TÀI LIỆU THAM KHẢO
[1] Russell, Rusty. iptables HOWTO ( http://netfilter.kernelnotes.org)
[2] Quick HOWTO : Ch14 : Linux Firewalls Using iptables - Linux Home
Networking
[3] Understanding Linux Network Internals – Oreilly
[4] Dr. Richard Stevens, “Network Intrusion Detection, Third Edition”, New Riders Publishing, 2003.
[5] Kerry J. Cox, Christopher Gerg, “Managing Security with Snort and IDS
Tools”, O'Reilly, August 2004.
[6] Andrew R. Baker, Brian Caswell and Mike Poor, “Snort 2.1 Intrusion
Detection Second Edition”, Syngress Publishing, 2004.
[7] The Snort Project, “SnortTM Users Manual 2.6.1”, December 3 2006. [8] http://www.snort.org
[9] IT.TheLibrarie.Com » Installing SNORT on Ubuntu 10.04