Đề tài: Iptables trên hệ điều hành Linux Centos version 5.8
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (562.6 KB, 27 trang )
LỜI NÓI ĐẦU
!"#$%&'(
'!)*!+,$$
-!./-#01*2#01%&!
"%3&4"5%/
('!#678*29#01%&:!
;<.=!0>!?@A?B*
2#01#C!D0/4"9?B'71
:7!?9#%
"E".=?B'9 9>*F-,<9
?B"7%&+0:%/#,$G
!.H?D%&(G,$.E">?,<
/!.I*
J%/!K%/"!<#01
:#01%/#:,$.H?D
>##01#!7#0*29#01%&#
I.H?D0-$.=?@!0>!
"E"-"0-'AH!"0%
H?L''#>9:->
9*F%.M!0>>9:"7"-
'7#!0>;.M#B=NC
"'C&""#"0"!<4!0
70.B%3:";I0";O&
$678!$.##!0>!<#";
O & %/ % PQR STTU PQR STTV )W2WXW
YZ["'Z.)\]""Z.^4,@N
%,!'7!678<9'>4
%B(0"'+&""#"*_704`0
Z:$!!0*
Lý do chọn đề tài a%$<9:
6+!C--<9!-!
$<4b#3!67
%'>9,$(Cc1
:!<94 !3A
%,!!'70%d!0
65<B?"cB+6
<#?"#I;K6<
'KB+907>$7'7
!<94;"7-"B1
.#67L"@&"!0 4Z>I!:
e#I?D";I";YPfg]Rhh%31
>#!"'-0%]?[.hN***
";!0Z>I0-#I?D>
P"'Z.hN9#1.#$67L<
9?>"'Z.!678#?B!<
7'7<%&'7KI<,$*g.H?D
"'Z.>!hN)Z.Z.i*j
Bố cục đề tài :_!A,k%3
Chương I : Tổng quan về mạng máy tính và bảo mật mạng
l6>b>mnmb"C1#03Z
?9 <9!%7 60-#"%3"#" $
"bl<9*
Chương II : Tổng quan về Firewall và Iptables
o#+3'7YZ["C9
YZ[#-43'7YZ[!3-!
4*
Chương III : Triển khai hệ thống Firewall trên Iptables cho
mạng của công ty TNHH Vươn Cao
$!+:<YZ[
CHƯƠNG I
TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ BẢO MẬT MẠNG
I.1 GIỚI THIỆU MẠNG MÁY TÍNH VÀ MÔ HÌNH MẠNG
I.1.1 Giới thiệu về mạng máy tính
I.1.1.1 Mạng máy tính là gì?
29#01!"&"##01-<'K
%/08Z+4!,$#"I#0>
;%/?@*
I.1.1.2 Vai trò của mạng máy tính ?
- J7p.H?D!0>
- p0<
- FC+%&!67#
9
• _#"IB;<I?D
?9
• )+".<+B#?B
I.1.2 Mô hình mạng máy tính
I.1.2.1 Mô hình khách- chủ (Client- Server)
Các máy trạm được nối với các máy chủ, nhận quyền truy nhập
mạng và tài nguyên mạng từ các máy chủ. Đối với Windows NT các
máy được tổ chức thành các miền (domain). An ninh trên các domain
được quản lý bởi một số máy chủ đặc biệt gọi là domain controller.
Hình 1.1 Mô hình Client – Server
I.1.2.2 Mô hình mạng ngang hàng (Peer- to- Peer)
I.2 CÁC PHƯƠNG PHÁP TẤN CÔNG MẠNG
I.2.1 Main in the middle attack
Đây là một kỹ thuật tấn công cổ điển nhưng vẫn được sử dụng cho
đến ngày hôm nay, kiểu tấn công này thường dùng cho mạng không
dây như giả mạo ARP, DNS, chiếm quyền điều khiển Sestion, đánh
cắp Cookies bằng Hamster và Ferret…
Hình 1.3 Mô hình ARP- spoofing
Kiểu tấn công này thường được sử dụng nhất là kiểu giả mạo
ARP, hiểu được cách tấn công giả mạo này thì cũng phần nào hình
dung được hình thức phương thức tấn công này.Việc sử dụng kỹ thuật
encryption và authentication để nâng cấp việc bảo mật dữ liệu nhưng
hackers vẫn còn có thễ thâm nhập vào hệ thống của bạn dựa vào sự
hoạt động của các giao thức. Hackers sử dụng một thiết bị không có
thật giữa người dùng cuối và mạng không dây. Hackers sử dụng
những tools để có thể tìm ra những gói tin arp và có thể điều khiển
mạng của bạn.
I.2.2 Tấn công DoS
+XQ!$+!%/!%/+
!<9C$.H?D(!
<,'L##$.%/.H?D':
%/'q#!6#7!0><*F-=+
,7pNC"!<:4<5
!<'L.D"!,7p"DD%/
?@':%/:,!+XZrQZZ*
I.2.2.1 Các mục đích của tấn công DoS
)<5-'p9!!<9'L"
D
)<55-BS#0!p(0"!?L
D
Fp(%/?@0"?LDD$!?+
+XQ%/+0!59I9
!1'L+^
I.2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
I.2.3 Tấn công DDoS
I.2.3.1 Các đặc tính của tấn công DDoS.
I.2.3.2 Tấn công DDoS không thể ngăn chặn hoàn toàn.
I.3 CÁC KỸ THUẬT TẤN CÔNG MẠNG PHỔ BIẾN
I.3.1 Nghe lén (sniffing)
Theo đúng như tên gọi, kỹ thuật này không tấn công trực diện
vào các máy người dùng (client) hay máy chủ (server), mà nó nhằm
vào không gian truyền dữ liệu giữa các máy. Sniffing là kỹ thuật
được các quản trị viên dùng theo dõi, chuẩn đoán, phát hiện các sự cố
nhằm giúp cải thiện hoạt động hệ thống mạng. Tuy nhiên, kỹ thuật
này về sau bị biến tướng, trở thành công cụ đắc lực phục vụ mục đích
thu thập trái phép các thông tin nhạy cảm, tên tài khoản, mật khẩu,
credit card,… của người dùng khi luân chuyển trên mạng .
I.3.2 Quét thăm dò ( Scanning)
Phần lớn thông tin quan trọng từ server có được từ bước này.
Xác định hệ điều hành, xác định hệ thống có đang chạy không, tìm
hiểu các dịch vụ đang chạy hay đang lắng nghe, tìm hiểu các lỗ hổng,
kiểm tra các cổng, xác định các dịch vụ sử dụng giao thức TCP và
UDP Những thông tin này sẽ giúp cho hacker có kế hoạch tấn công
hợp lý, cũng như việc chọn kỹ thuật tấn công nào. Quét giúp định vị
hệ thống còn hoạt động trên mạng hay không. Một hacker chân chính
sử dụng cách này đề tìm kiếm thông tin của hệ thống đích.
I.3.3 Social Engineering
I.3.4 Reverse engineering
I.3.5 Tấn công tràn bộ đệm (Buffer Overflow)
I.3.6 Tấn công bằng cách cài worm,virus và trojan.
I.3.6.1 Virus máy tính
I.3.6.2 Worm
I.3.6.3 Trojan Horse
I.4 PHÒNG THỦ MẠNG
Hầu hết trên thế giới hiện nay đều nghiên cứu kỹ lưỡng từng kỹ thuật
tấn công và tìm kiếm nhược điểm nhằm mục đích vô hiệu hóa
phương thức tấn công đó. Công cụ để triển khai phòng thủ không
khác gì ngoài những hệ thống được dựng lên với những chính sách và
luật riêng như tường lửa, hệ thống xác thực, mã hóa, phân quyền,
những bản vá lỗi lổ hổng bảo mật, IDS,honeynet,honeysport…
Người quản trị phải luôn cập nhật mới kiến thức và thường xuyên thử
đóng vai trò người tấn công vào chính hệ thống của mình từ đó xây
dựng các phương án phòng thủ phù hợp.
I.4.1 Các nguyên tắc cơ bản của công tác phòng thủ mạng
I.4.1.1 Nguyên tắc chỉnh thể
I.4.1.2 Nguyên tắc quy phạm
I.4.1.3 Nguyên tắc độ thích ứng
I.4.1.4 Nguyên tắc đồng bộ
I.4.2 Đánh giá nguy cơ hệ thống mạng
I.4.3 Một số kỹ thuât phòng thủ
I.4.3.1 Anti DDoS
I.4.3.2 Anti ARP- snoofing
I.4.3.3 Anti SSL (man- in- the- middle)
CHƯƠNG II
TỔNG QUAN VỀ FIREWALL VÀ IPTABLES
II.1 TỔNG QUAN VỀ FIREWALL
II.1.1 Firewall là gì?
II.1.1.1 khái niệm Firewall
9YZ[!
%3m 1&"!<9$<.0"#"E"
q'7#A'!9-.NC"
<!<*)s,$$YZ[!
3-tZ.u$'79%Kt.Z?Z[u
c#9%3l tv.Z?Z[u*
%3b YZ[ %3m ( B 9 '>
tPZu0I!06<!
PZZ*we1!'7p(.0
"<'>!tPZZu!+0"
'>tPZu.<LG+L>PZZ*
Hình 2.12:m.%l ?m%3b %l
II.1.1. Firewall làm được những gì?
II.1.1.3 Firewall không làm được những gì?
II.1.1.4 Nguyên lý hoạt động của Firewall
J,-%?BB#9
6YZ[:,,qYZ[9
(MI)\xP\*w:I!0!Z
#c#?B%&#I?D>9
0 ,1 N#3 ! #?L D 90> # I
tZZQ2\XFQQ2F\FYQ***u! #, ?Bt?
"Z.uA##"Z!0BLG$,$
?9#"9K1;H-?,#9YZ[s
>6+-#\Z!B.<LG
4*
y,"E"0<O\Z!,
%&*F,$!'9?B$60-LNZ9?B
,,7 .<#,0*
)#,!0!?>#K;O\Z
t\ZzZ?Zu?@$"E"0#\Z,K>
9*_,!a
{ _LGP\3N+"#tP\QZ??Z u
{ _LGP\3tP\XZ.??Z u
{ FBD0t)\vX\P)2\P\Zu
{ ))\xvX\3N+"#t)\xvX\.Z"u
{ ))\xvX\3t)\xvX\?Z."u
{ X9'#P)2\tP)2\Z Z0"Zu
{ o?\Z-tPZrZr\Zu
{ o?\ZtWZrZr\Zu
F-,%&7 :\Z%&0$
6YZ[*F-\Z.M'L'c*F/0!YZ[,
$p7%&#-<!##0(9!,
%&N#L(,0"!<9'
BLG"E"*
II.1.1.5 Phân tích cấu trúc của gói ip
II.1.1.6 Chức năng của Firewall
- %3b %l 60Z|
n
m%} %3b b%} ?mmb%b '>
%3m "Zn"0|m"'>bb l%} ?mm%b '>
bb%3m "Zn"0|m"b'>*
- Z|
l
n.nn.%m Z|mmaZ|m|
n
l'n
PXQbP\QnZ|
l
Z|
l
Z|m|
n
%3b %l *
- Z|
l
|mb%n p>Z|
b
%3b %l aFR
|
n
>.^
- _Z|
l
%3b %l bZ|mZ|m6l|
n
l |
l
%b
bb%3m mZ|
b
"l%m Z|m6%3b %l *
II.1.1.7 Ưu nhược điểm khi dùng Firewall
II.1. Phân loại Firewall
~\ZYZa!<YZ["E"0$
B<!!9,$.#*
~R""~"N0YZ[a!<YZ[
#-<-"#0#0>;*
II.1.2.1 Packet flitering
~J$YZ[+!$?>I9
:WQP*YZ[I9%/9Z0>5
YZ[0e%&!fZxYZ[,!9#
"E"600"9?>I9*2:
!09Z0>5,t\ZYZu*
II.1.2.2 Application- proxy Firewall
~J$YZ[!09?>";*-
<%/?@!,-9.H?DYZ[$!0
:-<,.M'L(9.,YZ[.M$#%/
,>6,0>;-<*F-$!
,!#%/#"I%&#
(>YZ[:YZ[9#;-<BS
?Z*
II.1.3Các thế hệ Firewall thường dùng
II.1.3.1 Firewall lọc gói tin
%/H,a%/H-;>
"C1%%&9K;0$t.""
0Zu*
II.1.3.2 Firewall mức giao vận (Circuit Level Firewall)
II.1.3.3 Firewall mức ứng dụng
II.1.3.4 Firewall lọc gói tin động
II.1.4 Một số phần mềm Firewall thông dụng
II.1.4.1 Packet filtering
J$,!0,$%&!;9
YZ[!G,+#D&4"
,>PZZt$7"70%&•"1u*Q
C0,$>.<1%0a
II.1.4.2 TCP_wrappers
II.1.4.3 Netgate
II.1.4.4 Internet packet filter
II.1.4.5 Application- proxy Firewall
II.1.5 Các kiến trúc của Firewall
II.1.5.1 Dual homed host
PP*€*i*€*2b
Hình 2.3Q3A-4X•zZ?z.
PP*€*i*€*'##-4XZ?.
II.1.5.2 Screened host
II.1.5.2.a Mô hình
Hình 2.4Q3A-4QZZZ?z.
PP*€*i*S*'_nn
II.1.5.3 Screened subnet host
PP*€*i*k*2‚b
Hình 2.5Q3A-4QZZZ?Q'Zz.
PP*€*i*k*'_nn
II.2 TỔNG QUAN VỀ LINUX VÀ IPTABLES
II.2.1 Tổng quan về Linux
II.2.1.1 Quá trình hình thành linux
II.2.1.2 Các phiên bản hiện nay
hN!B!9+!
+0.<%&%/?@p*
hN%&##!G3![?[<
ƒ#!*hN+"%/?@1p!
67<NH8"1'c?%/%,I
!,!!•"1*z!hN.#0
'7#<?@0'-1&"#
?"*
),!D#">'7hN%&+"-"1%a
+ Fredora
+ Ubuntu
+ Arch Linux Distros
+ Open SUSE
+ CentOS
+ Debyan GNU……
II.2.2 Tổng quan về IPTables
II.2.2.1 Iptables là gì ?
P"'Z.!%3:90K%/?@
"E" %/ 67 L <, $ + : # '7
%/ HC hNt%& ! ( #
FZrZ#u!%B#O*
P"'Z.0>;60+"<$9
!"7%&%/?@-.<I
p%3:.M9*
II.2.2.2 Nguyên tắc triển khai Firewall iptables
II.2.2.3 Cơ chế xử lý trong iptables
+7,?B%&$'KP"'Z.'q#
?@;NC?.„t6ZZ.u*),k9'7!a
- 2Z:)L#0#'.+%&?L
D)\Z?Z%WQt0"Zr.ZZuhtZZu
!2RfJ
~YZa )L##,?B*F,A,k
605ctu
…Y[?ah,-.ZZ#*
…P"ah,!.ZZ*
…W"ah,c.ZZ*
- Fa oA,S9F%/!FW'?!F
P'?
Hình 2.6†#:,6YZ[
~ ‡".ah!3-0$"Z-Z!,
$NH8>.<##*
~Zah!3-9"'Z.?@$?
!$"Z*)#Z%&NC0?.„"'Z.
% a MASQUERADE, SNAT, DNAT, REJECT, LOG, DROP,
ACCEPT.
II.2.2.5 Các tham số chuyển mạch quan trọng của iptables
Lệnh switching
quan trọng
Ý Nghĩa
- t <table> Nếu bạn không chỉ rõ là tables nào, thì
filter tables sẽ được áp dụng. Có 3 loại
table là filter, nat, mangle.
- j <target>
Nhảy thêm một chuỗi targer nào đó khi
gói dữ liệu phù hợp quy luật hiện tại.
- I <chain> Insert thêm rule vào đầu chain.
- A <chain>
Nối thêm một quy luật nào đó vào cuối
chain.
- F
Xóa hết tất cả mọi quy luật trong bảng đã
chọn.
- p <protocol- type>
Phù hợp với giao thức (protocols), thông
thường là các giao thức như icmp, tcp,
udp và all.
- s <ip_address> Source để chỉ ip nguồn.
- d <ip_address> Destination để chỉ ip đích.
- i <interface- name>
Phù hợp điều kiện INPUT khi gói dữ liệu
đi vào Firewall
- o <interface- name>
Phù hợp điều kiện OUTPUT khi gói dữ
liệu đi ra khỏi Firewall
Bảng 2.3 Các tham số chuyển mạch quan trọng của iptables
II.2.2.6 Những module kernel cần thiết
II.2.2.7 lưu cấu hình script cho iptables
II.2.2.8 Khắc phục sự cố trên iptables
CHƯƠNG III
TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO
MẠNG CỦA CÔNG TY TNHH VƯƠN CAO
III.1 GIỚI THIỆU HỆ THỐNG MẠNG CÔNG TY TNHH VƯƠN
CAO
III.1.1 Sơ đồ logic hệ thống mạng hiện tại công ty đang áp dụng
Hình 3.1~Q3|
b
Z|m|
n
mn"?m
III.1.2 Phân tích sơ đồ hệ thống
- Mô hình mạng mà công ty đang áp dụng là mạng ngang
hàng.
- Vùng DMZ nằm chung lớp mạng với vùng Inside.
- Hệ thống hầu như không được bảo vệ và phản ứng yếu ớt khi
bị tấn công…
III.2 HIỆN TRẠNG MẠNG CỦA CTY VƯƠN CAO ĐANG SỬ DỤNG
III.2.1 Hiện trạng bị tấn công
6#:90 !'"
%&:,U+XXQ!
#0Y\.ZZ!]gy.ZZ0V#;p
ST€k3+"S;@ˆp%!:9
!C>$0"!S!0
g#<!-#%K'LNZ
++907!;,B"%3#+"'#$p
(:9!0N70;B%:"9*
)!p0&!!0!K
0>;'C0/!"7NC0?:0"@
&"::,3.K9;<9
0"77'7%&1K*/C00
-!"'#.ZZ!ZZNC0?[Z'.Z
!Gq67'#:70$"@&"N
-"#$L%/*F!NC0?<
91!'7:"7#"I%&1.„
.!<9ec;C+"s%$
#1.#00>,*
F%} >b |
b
l'n|
b
n %} 0
|
l
b "lNC0?%m m|mZ|m|
n
m"b 3m "3‰
n
"m%3m %} Z|
l
0Z|
n
lZ|m|
n
mZ|mml0
b"ln"%n %3m %} 0>|
b
b‰m}%"b
3m "3n Z|m6l0n.b0*
III.2.2 Đề xuất giải pháp
Xây dựng hệ thống Firewall 2 lớp theo mô hình đề xuất đề
xuất có khả năng khắc phục được hầu hết các nhược điểm hiện có của
mô hình hiện tại của công ty. Mô hình có nhiều ưu điểm và có tính
khả thi cao vì đáp ứng được các vấn đề cấp thiết, oan toàn, bảo mật,
chi phí thấp.
III.3 TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO
MẠNG CỦA CÔNG TY TNHH VƯƠN CAO
III.3.1 Sơ đồ logic khi áp dụng giải pháp
Hình 3.2~Q3|
b
Z|m|
n
m%n ?mŠZ[
- €‹S*€Vj*€*NxSU h3n "m|
n
bZZ
- €ŒS*€V*T*Nx€V h3n "mbX2•
- €T*T*T*Nxj h3n "m|m'|m'>~
Z
III.3.2 Các chương trình và thiết bị cần thiết cho giải pháp
0b NC0?%m .3|
b
Z|m|
n
3n %n|
}
|m?mZ|mZ|
l
%} Z|
n
'mlZ|m|
n
} b |
}
n"%n
|
n
%3m 0>|
b
3n ‚b3n ‚b0‚l|
b
>n
Z|
n
'm.a
- Sn0‚n|
}
n0nS?m|
b
%3m n
bbŠZ[€bŠZ[S*
- zZ|mZ|
b
bhNt)Z.i*ju
_Z|
l
Z|
n
bZ|
l
l"n">.Z}?Z‚b>Z|
b
ln0ln|
b
|
l
'm%} Z|
n
'm.a
~k#0!!hN)Z.,,a
…€#0,e!ŠZ[€,S?mb
ZT!Z€
…€#0,!e!ŠZ[S,S?m
}bZT!Z€
…€#0,eY\.!]gy.,€FP)ZT
~)##0)Z%3m ‰mm‚l"|m3n "ZZ|
l
Z|
n
bZ|
l
.%m %m l|m*
yl"Cm‚lP\nFP)Z‚b
III.3.3 Các bước triển khai
III.3.3.1 Lắp đặt các thiết bị theo sơ đồ logic
III.3.3.2 Cấu hình trên máy Firewall 2
III.3.3.3 Cấu hình trên máy Firewall 1
III.3.3.4 Cài đặt và cấu hình vùng DMZ
- )!(!+:]Z'.
- )!(!+:Y\.
III.3.3.5 Thiết kế các chính sách cho 2 firewall dành cho công
ty Vươn Cao
-"#1.#?!:9l"n"n"?m
0
…)"E"@PZ0"PZZ*
…)"E"@PZ0"X2•
…)"E"%/?@'>!0"X2•3n n
|
l
?mm%3m |
}
3m %jTUUkikS€Si^**
… )+ b PZ 0 "- # [Z' b
m*
…)(#+'>!!%XWQ
III.3.4 Một số hình ảnh minh họa
KẾT LUẬN
1. Những gì đã đạt được
_! .C"C1!ŽBE6
Z|m|
n
%3b %l }%Z|
l
|mZ|m|
n
%3b %l
%3m %n ?mmbZ|
b
"‚nZ|m0b"'Z.*
2. Những phần chưa đạt
_!e+B-.,*)%.C##
!710>59D$YZ[^*\;8
0-6#GG.3%&,5I%.C>
I‚}%3} |
n
*\;Hm0>n0l‚b}
b%%n"?m>%m Z|
n
*
3. Hướng mở rộng
~Jn!"|
n
3m "n|ml"'Z.Z|
l
'lZ|mm
~‚n3m "Z|m|
n
QbZ|m|
n
~Z|
l
|m‚b0mZ|
l
