Tải bản đầy đủ (.doc) (66 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Xây dựng mô hình bảo vệ mạng bằng bức tường lửa iptable của linux

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (623.67 KB, 66 trang )

Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
LỜI CẢM ƠN
Mở đầu cho đề tài tốt nghiệp này, em xin thành thật tỏ lòng kính trọng và biết
ơn đến ban giám hiệu, cùng các thầy cô giáo đã giúp đỡ em, đặc biệt là thầy giáo
Nguyễn Văn Tam - Viện Công Nghệ Thông Tin, thầy Đào Văn Thành là
những thầy đã trực tiếp hướng dẫn em thực hiện đề tài tốt nghiệp này và đã cho
em những chỉ dẫn và những kiến thức quý giá. Em xin chân thành cảm ơn các
thầy cô luôn sẵn sàng giúp đỡ và tạo mọi điều kiện tốt nhất cho em. Cảm ơn bạn
bè đã luôn quan tâm động viên cổ vụ giúp đỡ để em thực hiện tốt bài tập tốt
nghiệp này.
Mặc dù có nhiều cố gắng bằng toàn bộ kiến thức để hoàn thành công việc,
xong thời gian có hạn và kinh nghiệm kiến thức chưa nhiều nên việc trình bày,
phân tích, xây dựng chương trình có nhiều thiếu sót cần được bổ xung. Vì vậy,
em rất mong nhận được ý kiến đóng góp của thầy cô và bạn bè để đề tài này
được hoàn thiện hơn trong tương lai.
Hà Nội 6/2007
Người thực hiện
Nguyễn Tuấn Anh
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
LỜI NÓI ĐẦU
Từ xa xưa nhân loại đã tìm mọi cách để thông tin liên lạc với nhau, và đã
phát minh ra nhiều phương cách thông tin liên lạc rất đa dạng và phong phú để
cho việc chuyển tin tức từ nơi này sang nơi khác một cách thuận tiện và nhanh
chóng. Từ những phương cách thô sơ đơn giản như truyền miệng, đi bộ, đi ngựa,
gửi qua chim bồ câu, qua thuyền bè… Cho tới những phương cách hiện đại hơn
như máy radio, điện thoại và truyền hình, TV (television), vận chuyển thư từ
bằng máy bay, gửi thư bằng điện tín v.v. đã giúp cho việc thông tin liên lạc rất
hữu hiệu và nhanh chóng.
Sự phát minh ra máy vi tính và sự hình thành của Mạng Lưới Thông Tin
Toàn Cầu (Internet) đã mở ra một kỷ nguyên mới cho việc thông tin liên lạc. Từ


một máy vi tính nối vào Mạng Lưới Thông Tin Toàn Cầu (WWW) người sử
dụng có thể gửi và nhận tin tức từ khắp nơi trên thế giới với khối lượng tin tức
khổng lồ và thời gian tối thiểu thông qua một số dịch vụ sẵn có trên Internet.
Tuy nhiên việc làm này đã làm phát sinh những vấn đề khá quan trọng. Đó là
việc quản lý các tài nguyên thông tin của mình, bao gồm nguồn thông tin (các
thông tin về một doanh nghiệp, một tổ chức hay là của một quốc gia nào đó) và
việc bảo vệ chống lại sự truy cập bất hợp pháp. Từ đây nảy sinh ra một yêu cầu
đó là cần có một giải pháp hoặc một hệ thống an ninh bảo vệ cho hệ thống mạng
và luồng thông tin chạy trên nó.
Một trong các giải pháp chính và tốt nhất hiện nay là đưa ra khái niệm
Firewall và xây dựng nó để giải quyết những vấn đề này.
Thuật ngữ “Firewall” có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn và hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, Firewall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép
nhằm bảo vệ nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ
thống của một số thông tin khác không mong muốn. Có hai loại kiến trúc
FireWall cơ bản là: Proxy/Application FireWall và filtering gateway Firewall.
Hầu hết các hệ thống Firewall hiện đại là loại lai (hybrid) của cả hai loại trên.
Nhiều công ty và nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux như
một Internet gateway. Những máy chủ này thường phục vụ như máy chủ mail,
web, ftp, hay dialup. Hơn nữa, chúng cũng thường hoạt động như các Firewall,
thi hành các chính sách kiểm soát giữa Internet và mạng của công ty. Khả năng
uyển chuyển, tính kinh tế, và sự bảo mật cao khiến cho Linux thu hút như là một
thay thế cho những hệ điều hành thương mại.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Tính năng Firewall chuẩn được cung cấp sẵn trong kernel của Linux được
xây dựng từ hai thành phần : Ipchains và IP Masquerading.
Linux IP Firewalling Chains là một cơ chế lọc gói tin IP. Những tính năng
của IP Chains cho phép cấu hình máy chủ Linux như một filtering

gateway/firewall dễ dàng. Một thành phần quan trọng khác của nó trong kernel
là IP Masquerading, một tính năng chuyển đổi địa chỉ mạng (network address
translation- NAT) mà có thể che giấu các địa chỉ IP thực của mạng bên trong.
Ngoài ra trong kernel của Linux 2.4x và 2.6x cũng có một Firewall ứng dụng
lọc gói tin có thể cấu hình ở mức độ cao Netfilter/Iptables.
Netfilter/Iptable gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm
ngoài nhân. Netfilter cho phép cài đặt, duy trì và kiểm tra các quy tắc lọc gói tin
trong Kernerl. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc
nhanh và không làm giảm tốc độ của hệ thống. Được thiết kế để thay thế cho
linux 2.2.x Ipchains và linux 2.0.x ipfwadm, có nhiều đặc tính hơn Ipchains và
được xây dựng hợp lý hơn. IpTables chịu trách nhiệm giao tiếp giữa người dùng
và Netfilter để đẩy các luật của người dùng vào cho Netfilter xử lí. Chương trình
Iptables được dùng để quản lý các quy tắc lọc gói tin bên dưới cơ sở hạ tầng của
Netfilter.
Các ứng dụng của Iptables đó là làm IP Masquerading, IP NAT và IP
Firewall.
Tài liệu này được viết ra nhằm đem đến cho mọi người cái nhìn rõ nét về
FireWall và đặc biệt là FireWall Iptables của Linux. Nội dung chính của tài liệu
gồm 3 Chương và 1 Phụ lục.
Chương I: Các mối đe dọa an ninh mạng và một số giải pháp
Chương II:Tổng quan firewall
Chương III: Iptable trong linux
Chương IV: Ứng dụng của iptable trong linux
Phụ Lục A: Danh sách các từ viết tắt trong tài liệu này hoặc có liên quan.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
CHƯƠNG I: CÁC MỐI ĐE DỌA AN MẠNG VÀ MỘT SỐ GIẢI PHÁP
1.1 Tầm quan trọng của bức tường lửa
Ngày nay qua mạng Internet, chúng ta có thể truy nhập tới mọi nơi trên
thế giới thông qua một số dịch vụ, khi ngồi trước máy vi tính con người có thể

biết mọi thông tin trên toàn cầu, có thể giải trí, con người có thể kinh doanh tiếp
thị trên toàn cầu và tiếp cận đươc khối lượng thông tin khổng lồ, luôn cập nhật
trong thời gian tương đối nhanh. Tuy nhiên, cùng với những lợi ích mà Internet
đem lại thì vấn đề an ninh mạng cần được đưa ra xem xét một cách nghiêm túc
vì khi tham gia vào mạng có rất nhiều nguy hiểm. Nguy hiểm chính là các tin tặc
trên Internet luôn rình rập để ăn trộm các thông tin.Vấn đề này là mối đe dọa lớn
đối với mỗi cá nhân, một doanh nghiệp, một tổ chức hay một quốc gia về sự hư
hỏng và mất mát thông tin.
Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một
quốc gia. Do đó, chúng ta phải bảo vệ thông tin từ các mối đe dọa, một trong các
giải pháp tốt nhất hiện nay là sử dụng bức tường lửa (firewall).
1.2 Đối tượng bảo vệ của bức tường lửa
Trong môi trường Internet có nhiều tổ chức, quốc gia cùng tham gia. Do
đó, nhu cầu bảo vệ thông tin trên Internet có thể chia làm 3 loại như sau:
1.2.1 Bảo vệ dữ liệu
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các
yêu cầu sau:
- Tính bí mật (Secrecy): những thông tin có giá trị về kinh tế, quân sự,
chính sách… cần được giữ kín.
- Tính toàn vẹn (Integrity): Thông tin không bị mất mát hoặc sửa đổi
đánh tráo. Để làm được điều đó thì chúng ta phải ngăn ngừa được sự thay đổi
thông tin một cách vô ý hay cố ý và ngăn những kẻ tấn công hệ thống vì họ có
thể sửa đổi, xóa bỏ, hoặc làm hỏng thông tin quan trọng mang tính sống còn cho
các hoạt động của tổ chức.
- Tính sẵn sàng (Availability): Yêu cầu truy nhập thông tin vào đúng thời
điểm cần thiết và ngăn ngừa việc nắm giữ thông tin và tài nguyên để hệ thống
chứa các thông tin hoặc cung cấp các dịch vụ có khả năng truy cập được, đáp
ứng các yêu cầu và tránh mất mát những thông tin quan trọng.
Trong các yêu cầu này, thì tính bí mật là quan trọng nhất đối với thông tin
lưu trữ trên mạng. Tuy nhiên, khi thông tin này không được bí mật thì tính toàn

vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài
nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết tính đúng
đắn của thông tin đó.
1.2.2 Bảo vệ các tài nguyên trên mạng
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Mối đe dọa trên các tài nguyên này là ai đó xâm nhập vào mạng của
chúng ta và sử dụng chúng như tài nguyên của chính họ.
Trong thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công sau khi
đã làm chủ hệ thống bên trong, có thể sử dụng những máy này để phục vụ cho
lợi ích của mình như chạy các chương trình dò tìm mật khẩu người sử dụng, sử
dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác…
1.2.3Bảo vệ uy tín, danh tiếng của công ty
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và là một
trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các
công ty lớn và các cơ quan trong nội bộ nhà nước.
Sự đe dọa này thể hiện ở chỗ một người nào đó xuất hiện trên Internet với
định danh là mạng của chúng ta, thực hiện những gì mà qui ước quốc tế về lưu
thông trên Internet cấm, hay gửi đi những thông tin không hợp pháp. Hậu quả là
ảnh hưởng tới uy tín của chúng ta, thậm chí cả tiền bạc.
1.3. Một số mối đe dọa an ninh mạng
Các mối đe dọa về bảo mật mạng có thể là con người và thiên nhiên (lũ
lụt, động đất, hỏa hoạn, … ) nhưng phạm vi đề tài chỉ tập trung và khía cạnh
con người.
Con người
Cố tình vô tình
Bên trong Bên ngoài thiếu hiểu biết
Có thể phân loại những tấn công theo tính chất hoạt động như sau:
1.3.1.Tấn công truy nhập mạng
` 1.3.1.1 Tấn công theo mật khẩu: mật khẩu là tập hợp là tất cả các chữ cái, chữ

số.
Có hai cách tấn công theo mật khẩu
 Tấn công thô: là dùng tất cả các tổ hợp, các kí tự để làm mật khẩu
vào mạng và thử truy nhập. Tấn công này thường dùng cho mạng LAN.
 Tấn công dùng từ điển: dự đoán một số từ khóa thông thường người
ta hay dùng làm password. Tấn công này thường dùng cho từ xa truy nhập vào
mạng.
1.3.1.2. Tấn công theo phân tích mật khẩu:
Hầu hết trong các hệ điều hành đều lưu username và password. Nhưng mỗi
hệ điều hành có các cách lưu khác nhau. Ví dụ, trong Window có file
System_32/ config/ SAM/ Security Acount, trong Linux, Unix có 2 file
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
etc/passwd và etc/shadow. Trong các hệ điều hành thì hầu như password đều
được mã hóa theo thuật toán DES và MD5 chứ nó không lưu bản rõ.
 Đối với Win 95,98 thì dùng thuật toán DES.
 Đối với Win NT và Win 2000 thì dùng thuật toán hàm băm MD4 sau
đó sử dụng MD5.
Đối với Win 2000 sau này dùng Kerboros.
Các thuật toán công khai như vậy thì người ta đều biết. Thông thường
biết mã và thuật toàn thì người ta giải mã được nhưng có một số thuật toán mà
người ta giải mã rất khó như thuật toán DES thì người ta phải phá vài chục năm
mới phá được (phương pháp này giống kiểu tấn công thô). Do đó, tin tặc sử
dụng các kỹ thuật sau để tấn công:
Sử dụng wordlist:
Danh sách của những từ sử dụng như danh mục địa phương, danh mục họ
tên của nước nào đó. Đầu tiên dùng thuật toán mã hóa wordlist sau đó so sánh
worslist đã mã với mật khẩu. Có thể nói dùng phương pháp này cũng gần đi tới
kết quả.
Sử dụng chương trình giám điệp :

Tin tặc dùng chương trình này để copy các tệp mật khẩu. Khi copy được
các tệp mật khẩu thì nó cũng có thể thay đổi mật khẩu được. Người dùng nên
dùng password phức tạp để tin tặc tấn công khó hơn.
1.3.2. Tấn công theo kiểu khai thác mạng:
Đầu năm 90 tin tặc đã sử dụng kỹ thuật tiếm quyền để khai thác mạng
1.3.2.1 Kỹ thuật làm tràn bộ đệm:
Kiểu bộ đệm có thể làm tràn bộ đệm trên ngôn ngữ lập trình, ví dụ trên
ngôn ngữ lập trình C:
int f (int j )
{
int i;
char buf [128];
gets (buf);
}
chương trình chính gọi chương trình con thông qua stack và sử dụng
push, pop.
Stack 100h
Địa chỉ byte
1000 4 j
996 4 return address
992 4 i
988 128 buf
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
….
(1) khoảng cách đó là tin tặc không biết trước nên tin tặc phải thử
nhiều lần để biết return address cách bộ đệm bao nhiêu. Khi biết khoảng các đó
rồi thì phải viết địa chỉ vào để chương trình của tin tặc nhảy vào tiếp, nó không
cần biết địa chỉ chính xác mà nó nhảy vào bất kỳ một NOP nào đó ( NOP không
làm gì cả sau đó đến chương trình của tin tặc). Do các ngôn ngữ lập trình trỏ tới

bộ đệm mà không giới hạn bộ đệm đó là bao nhiêu nên tin tặc dùng lỗ hổng để
tấn công.
Tóm lại lỗ hổng kỹ thuật làm trần bộ đệm là kỹ thuật dễ dàng nhất để tin
tặc tấn công vào mạng chiếm quyền điếu khiển.
1.3.2.2 Lỗi của Unicode:
Do đường dẫn URL bằng mã Unicode khi truy nhập mail hay web thì
cũng phải qua Unicode để dẫn tới tài nguyên. Nếu là mã của ASCII thì đường
dẫn chỉ cho phép truy nhập vào nguồn tài nguyên đúng thư mục của server cung
cấp cái thông tin đó.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
(1)
Return address
CT
CT Shell
NOP
NOP
NOP
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
1.3.3.Tạo cửa hậu, xóa nhật ký:
Để tiếp tục tấn công vào lần sau (tấn công sau khi đã vào mạng).
 Nó xóa các cổng truyền thông tạo ra các cổng truyền thông mới (nếu
cổng truyền thông server không cho phép thì tạo ra để cho phép).
 Tạo ra người sử dụng mới, người sử dụng có quyền quản trị.
 Cài các chương trình cho phép tin tặc từ xa có thể điều khiển được,
thường điều khiển để lấy thông tin hoặc phá hoại.
 Ngụy trang để xóa hết tên tệp, thay đổi tên thư mục, thay đổi những
lệnh mà người quản trị sử dụng để phát hiện truy nhập.
 Xóa tệp nhật ký để cho người quản trị không thấy được dấu vết đã truy
nhập hoặc có thể thay đổi tệp đăng ký, thay đổi thời gian ghi nhật ký. Ví dụ như
khi truy nhập tuần này thì nó thay đổi thời gian là tuần trước (nhật ký tuần trước

thì không thông báo) làm cho người quản trị không quản lí được.
Khắc phục:
 Một số tệp quan trọng của hệ thống thì phải được bảo vệ tính toàn vẹn của nó
thông quan việc tạo ra các tóm lược và sau một thời gian nhất định thì phải kiểm
tra tệp đó có toàn vẹn không.
 Đối với một số nhật ký quan trọng thì được sao chép lưu giữ, bảo vệ để tin
tặc không thay đổi được.
 Luôn kiểm tra các cổng truyền thông để phát hiện tin tặc có truyền thông tin
ra từ máy không.
1.3.4 Tấn công từ chối dịch vụ
• SYN Fload:
SYN là yêu cầu của tin tặc gửi tới server
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
SYN5
server
CT tin
tặc
SYN3
SYN2
SYN1
SYN4
SYN1/ACK
ACK
RST/ACK
SYN
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Đầu tiên tin tặc gửi yêu cầu tới server, khi server nhận được yêu cầu của
tin tặc thì server trả lời cho tin tặc nhưng tin tặc lại không xác nhận trả lời của
server (ACK) làm cho server chờ trả lời. Khi server chờ hết thời gian Tout thì
server buộc phải gửi yêu cầu hủy kết nối (RST/ACK). Khi tin tặc nhận được hủy

kết nối thì tin tặc tiếp tục gửi tín hiệu SYN để yêu cầu kết nối và cứ như vậy
server chỉ phục vụ cho tin tặc không phục được cái khác.
Khắc phục:
 Có một số firewall chặn một số cổng SYN như Checkpoint.
 Làm tăng hàng đợi server có thể phục vụ.
 Xác định Tout một cách mềm dẻo cũng có thể tránh được tắc nghẽn do
tin tặc gây ra.
 Xác định thêm một bộ đệm để biết được chu trình thiết lập liên kết một
nửa và từ đó có quy trình để đối phó.
 Kết hợp các công cụ của hệ điều hành.
*Tấn công UDP flood:
Tin tặc gửi rất nhiều UDP làm cho server không kịp sử lý.
Khắc phục:
Sử dụng firewall, chỉ cho phép các dịch vụ UDP cần thiết buộc phải có như
DNS, DHCP, SNMP. Những gói UDP của các dịch vụ này thì bắt buộc phải cho
vào mạng còn các gói UDP của các dịch vụ khác thì không cần thiết.
* Tấn công SMURF
Tấn công kiểu ICMP, thường sử dụng chế độ Broadcast (quảng bá) như
thông tin Echo gửi thông tin quảng bá cho tất cả các máy và tất cả các máy gửi
lại thông tin cho echo response. Chính vì vậy, làm cho máy rất chậm có thể gây
tê liệt hệ thống.
Khắc phục:
Cấu hình bức tường lửa để từ chối Broadcast từ các máy khác gửi đến.
.Tấn công Teardrop: Tin tặc chia gói tin thành nhiều mảnh và đánh địa
chỉ offset , số không theo trình tự làm cho router server bận rộn tức là làm
cho server tê liệt vì không kịp sử lí gói tin đến.
. Tấn công Mail Bomb:
bomb thư cũng làm cho server tê liệt
1.3.5 Giả mạo địa chỉ IP:
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng

dẫn đường trực tiếp. Với cách tấn công này, tin tặc gửi các gói IP tới mạng bên
trong với địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một
máy được coi là an toàn đối với mạng bên trong), đồng thời phải chỉ rõ đường
dẫn mà các gói tin IP phải gửi đi.
1.3.6 Đùa nghịch, quấy rối:
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Là do con người có tính tò mò, xâm nhập vào hệ thống tìm những thông tin mà
họ thích thú. Họ thường làm hỏng hệ thống do thiếu kiến thức hoặc cố gắng che
dấu vết của họ.
1.3.7 Phá hoại:
Là những người cố ý phá hoại hệ thống thông tin mà họ muốn. Những người này
thường là họ bất bình trong môi trường làm việc của họ, hoặc do tính chất cạnh
tranh nào đó. Chúng có thể xóa dữ liệu hoặc làm hỏng thiết bị hệ thống mà
chúng xâm nhập.
1.3.8 Gián điệp:
Là những người xâm nhập vào hệ thống và chỉ lấy những thông tin nào có giá
trị lớn như các hệ thống tín dụng, ngân hàng…Khó phát hiện tức thời được,
thường chúng lấy thông tin mà không để lại dấu vết.
1.3.9 Vô ý hay thiếu hiểu biết của con người:
Các tai họa hoàn toàn không phải do kẻ xấu làm nên, mà đa số là do những
người chưa được đào tạo tốt về kiến thức máy tính nên không nhận thức được
các mối nguy hiểm cho hệ thống và do những người quản trị hệ thống thiếu kinh
nghiệm, hoặc lỗi của một chương chình ứng dụng…
1.3.10 Tấn công vào yếu tố con người:
Tin tặc liên lạc với người quản trị hệ thống, giả làm một người sử dụng để yêu
cầu làm thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống
hoặc có thậm chí có thể làm thay đổi một số cấu hình của hệ thống để thực hiện
các phương pháp tấn công khác. Với kiểu tấn công này, không một thiết bị nào
có thể ngăn chặn một cách hữu hiệu mà chỉ có một cách là giáo dục người sử

dụng mạng nội bộ về những yêu cầu về bảo mật để đề cao cảnh giác với những
hiện tượng đáng nghi ngờ. Nói chung, con người là một điểm yếu trong bất kỳ
hệ thống bảo vệ nào, chỉ có sự giáo dục và tinh thần hợp tác từ phía người sử
dụng có thể nâng cao được hệ thống bảo vệ.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
CHƯƠNG II:TỔNG QUAN FIREWALL
2.1. Một số khái niệm :
-Nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn hạn chế
các hỏa hoạn, trong công nghệ thông tin, Firewall là một cơ chế đảm bảo an toàn
cho mạng máy tính, nó bao gồm một hoặc nhiều những thành phần tạo lên bức
tường lửa với mục đích để ngăn cản điều khiển các truy xuất giữa mạng bên
ngoài với mạng nội bộ. Bức tường lửa có thể là một server proxy, filter, hoặc
phần cứng, phần mềm…để hiểu chi tiết hơn về bức tường lửa ta sẽ xem xét về
các chức năng của bức tường lửa.
- Về mặt vật lý, thường có sự khác nhau từ nơi này qua nơi khác.Thông
thường Firewall là tập phần cứng sau : một router,một Host hay một tổ hợp nào
đó của routers,máy tính và mạng có các phần mềm thích hợp
- Về mặt logic, Firewall là bộ tách(Separator) vì nó phân định một bên là
mạng ngoài không an toàn và bên kia là mạng nội bộ cần được bảo vệ, là bộ
tách(Restricter) vì nó ngăn chặn sự tấn công từ bên ngoài, là bộ phân
tích(Analyzer) vì nó xem xét các gói thông tin vào ra để quyết định cho vào ra
hay không.
- Về mặt tư tưởng nhằm giải quyết 2 công việc : Cửa khẩu(Gates) và chốt
chặn(chokes). Cửa khẩu nhằm đảm bảo dữ liệu, dịch vụ thông suốt giữa các
mạng. Chốt chặn nhằm kiểm soát và ngăn chặn nguồn thông tin xác định nào đó
vào ra mạng nội bộ.
2.2.Chức năng:
-Bức tường lửa cho phép hoặc cấm các dịch vụ từ bên trong ra bên ngoài
và từ bên ngoài vào bên trong.

-Nó kiểm soát các máy thông qua các địa chỉ các ứng dụng, thông qua các
cổng.
-Nó kiểm soát người sử dụng truy cập giữa các mạng .
-Kiểm soát theo nội dung truyền thông giữa mạng bên trong và mạng bên
ngoài.
-Ngăn cản, chặn những tấn công từ bên ngoài vào bên trong nội bộ.
Một vài từ ngữ sử dụng trong firewall có ý nghĩa sau
- Mạng nội bộ (Internal network): bao gồm các máy tính, các thiết bị
mạng. Mạng máy tính thuộc các đơn vị quản lý (Trường học, Công ty, Tổ chức
đoàn thể, Quốc gia,…) cùng nằm một bên với firewall.
- Host bên trong (Internal Host): máy thuộc mạng nội bộ
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
- Host bên ngoài (External Host): máy bất kỳ kết nối vào liên mạng và
không thuộc mạng nội bộ nói trên.
- “Nội bộ ”hay “bên trong” chỉ rõ thuộc đơn vị cùng một bên đối với
firewall của đơn vị đó.
- Về vị trí: Firewall là nơi kiểm soát chặt chẽ và hạn chế về luồng thông
tin vào ra của một mạng nội bộ khi giao tiếp với các thành phần bên ngoài nó.
- Về mục tiêu: nó ngăn cản đe dọa từ bên ngoài với những yêu cầu cần
được bảo vệ, trong khi vẫn đảm bảo các dịch vụ thông suốt qua nó.
Sơ đồ tổng quát của firewall
Figure2-1: sơ đồ tổng quát của firewall
2.2.1. Khả năng của hệ thống firewall
+ Một Firewall là một trung tâm quyết định những vấn đề an toàn: Firewall
đóng vai trò là một chốt chặn, mọi dòng thông tin đi vào hay đi ra một mạng nội
bộ đều phải qua nó theo các chính sách an toàn đã được cài đặt. Tập trung kiểm
soát chặt chẽ các dòng thông tin đó có lợi hơn là phân tán trên diện rộng.
+ Một firewall làm cho chính sách an toàn trở nên hiệu quả thực sự: Nhiều
dịch vụ mà người sử dụng dịch vụ mong muốn vốn có những chỗ không an

toàn. Firewall chỉ cho đi qua sau khi đã kiểm nhận và được phép. Mặt
khác, firewall còn cho phép kiểm soát nghiêm ngặt mọi người sử dụng về
quyền xâm nhập Internet. Firewall có thể cấu hình đa dạng, nhiều mức
khác nhau. Do đó, Firewall có thể bảo đảm thích hợp cho một chính sách
an toàn đã chọn.
+ Firewall có thể ghi nhận lại các giao tiếp với Internet rất hiệu quả: Như
đã nói ở trên, mọi luồng thông tin vào hay ra mạng nội bộ đều phải qua
Firewall. Do đó, nó cung cấp một vị trí tốt nhất để tập hợp những thông tin
về hệ thống và mạng đã dùng. Ghi nhận điều gì xẩy ra trong giao tiếp giữa
mạng nội bộ và bên ngoài. Những thông tin đó rất quý giá cho những nguời
có trách nhiệm quản lý.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
+ Firewall có thể hạn chế được sự đổ vỡ của hệ thống bên trong: Firewall
có thể tách một phần mạng nội bộ với các phần khác trong mạng nội bộ.
Làm điều này nhằm mục đích có những phần được ủy quyền nhiều hơn.
Do đó, hạn chế được những nguy hiểm xẩy ra hơn.
2.2.2. Những hạn chế của firewall
Tuy có những khả năng trên, xong mô hình Firewall có những hạn chế
nhất định sau:
+ Firewall không thể bảo vệ trước những kẻ phá hoại từ bên trong, đánh
cắp dữ liệu làm hư hỏng phần cứng và phần mềm hay thay đổi chương trình mà
không cần đến Firewall.
+ Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không đi qua nó. Một cách cụ thể, Firewall không thể chống lại một cuộc
tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao
chép bất hợp pháp lên đĩa mềm.
+ Firewall không thể bảo vệ chống lại những mối đe dọa mới phát sinh vì
nó không thể tự động bảo vệ trước những mối đe dọa mới phát sinh. Do đó, khi
có những vấn đề mới cần cấu hình lại cho Firewall.

+ Firewall không thể bảo vệ chống lại virus. Firewall hầu hết chỉ xem xét
địa chỉ nơi gửi, nơi đến, số cổng của gói thông tin chứ không xem chi tiết phần
dữ liệu ngay cả các phần mềm lọc gói thông tin. Firewall không thể làm nhiệm
vụ quét virus trên dữ liệu được chuyển qua nó do sự xuất hiện của các virus mới
và do có rất nhiều cách để mã hóa dữ liệu thoát khỏi sự kiểm soát của Firewall.
Do đó, chống virus bằng Firewall là vấn đề không khả thi, vì có quá nhiều loại
virus và có quá nhiều cách virus ẩn trong dữ liệu.
Tuy nhiên Firewall vẫn là giải pháp hữu hiệu nhất được áp dụng rộng rãi.
2.3. Phân loại bức tường lửa (Firewall)
Firewall bao gồm các loại sau :
• Bức tường lửa lọc gói tin (packet-filtering router).
• Bức tường lửa ứng dụng (proxy).
• Bức tường lửa nhiều tầng
2.3.1. Firewall lọc gói
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Figure2-2: Firewall lọc gói
Bức tường lửa lọc gói làm việc ở tầng 3 đối với mô hình OSI. Thông tin
được đưa lên tầng 3 sau đó lại tiếp tục được chuyển đi. Nếu thông tin được ở
dưới tầng 3 thì bức tường lửa không thể kiểm soát được, ví dụ như mạng LAN
không dây dữ liệu được truyền ở dưới tầng 3. Do vậy, bức tường lửa không thể
kiểm soát được mà mạng LAN không dây phải dùng một phần mềm khác để bảo
vệ và kiểm soát dữ liệu.
Bộ lọc gói cho phép hay từ chối mỗi gói mà nó nhận được. Khi nhận
được gói tin từ Internet, nó kiểm tra toàn bộ dữ liệu để quyết định xem đoạn dữ
liệu đó có thỏa mãn một trong các luật lệ của gói đặt ra hay không. Các luật lệ
này là dựa trên thông tin ở đầu mỗi gói (packet header).
Thông tin của ở đầu gói tin bao gồm:
SA DA Port Get Index html
- SA (Source Address): địa chỉ IP nguồn.

- DA(Destination Address): địa chỉ IP đích.
(Nếu đi từ bên trong ra bên ngoài thì địa chỉ nguồn là ở bên trong mạng
nội bộ còn địa chỉ đích là bên ngoài. Nếu đi từ bên ngoài vào bên trong thì địa
chỉ nguồn sẽ là ở bên ngoài còn địa chỉ đích sẽ là ở bên trong mạng nội bộ).
- Port: lọc theo cổng nguồn, cổng đích của giao thức tương ứng với TCP
hay UDP .
- Các giao thức (UDP, TCP, ICMP…): nó có thể cấm và cho phép, ví dụ
có thể cấm giao thức UDP và chỉ cho TCP và ICMP hoặc Cấm ICMP cho phép
TCP và UDP…
- Dạng thông điệp ICMP (Internet control message protocol).
Nếu luật được thỏa mãn thì gói được chuyển qua firewall, nếu không thỏa
mãn thì gói sẽ bị hủy đi. Nhờ vậy mà firewall có thể ngăn chặn được các kết nối
vào máy chủ hoặc mạng nào đó được xác định hoặc khóa việc truy nhập vào hệ
thống mạng nội bộ từ những địa chỉ không cho phép. Như vậy, việc kiểm soát
càng làm cho firewall có khả năng chỉ cho phép một một số loại kết nối nhất
định vào máy chủ nào đó hoặc chỉ một số dịch vụ nào đó (Telnet, SMNP,
FTP…) được phép mới chạy được trên hệ thống mạng cục bộ.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Mặc dù firewall loại này có tốc độ kiểm tra nhanh nhưng chúng cũng
tương đối dễ bị qua mặt. Một phương pháp để vượt qua firewall kiểu này là giả
mạo địa chỉ IP (IP spoofing), ví dụ như trong hệ thống mạng của một công ty,
khi một người nào đó đi công tác ở xa nhưng vẫn phải truy nhập vào mạng của
công ty để lấy dữ liệu. Khi đó, firewall vẫn phải mở các dịch vụ để người đó vào
lấy dữ liệu và nhân cơ hội này thì hacker ăn trộm địa chỉ IP và tấn công vào
mạng và làm cho firewall tưởng rằng các gói của hacker đến từ nguồn thực sự.
Loại router được sử dụng trong Firewall để làm Pactket Filtering được
xem như là một Sreening router.
- Một số khác nhau giữa router bình thường và Screening router: router
bình thường thì chọn đường đi tốt nhất để gửi gói tin. Screening router thì xem

xét gói tin kỹ hơn, nó xác định một gói có được gửi đi hay không bởi chính sách
bảo mật của nó.
Một số ưu điểm của lọc gói
- Do bức tường lửa lọc gói ở tầng 3 nên nó kiểm tra tất cả các ứng dụng
đi qua nó. Nó không phụ thuộc vào ứng dụng mặc dù của mail hay web.
- Chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm
router và nó chỉ xem xét thông tin của đầu gói tin, do đó thời gian trì hoãn thấp.
- Sẵn sàng cho nhiều sản phẩm phần mềm và phần cứng, cả trong các sản
phẩm thương mại và miễn phí.
- Ngoài ra bộ lọc gói là trong suốt đối với người sử và các ứng dụng vì
vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả .
- Giúp bảo vệ toàn mạng, một thuận lợi chính của nó là đơn giản và
tương đối nhẹ.
Một số nhược điểm của lọc gói
- Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi
người quản trị cần có các hiểu biết về các dịch vụ Internet, các dạng packet
header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi sự
lọc là càng lớn thì các quy tắc về lọc gói càng trở lên dài và phức tạp, rất khó để
quản lý và điều khiển.
- Do làm việc dựa trên header của gói tin, bộ lọc gói không kiểm soát
được nội dung thông tin của gói tin. Các gói tin chuyển qua vẫn có thể mang
theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
2.3.2. Bức tường lửa ứng dụng(Application firewall)
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Figure 2-3: Bức tường lửa ứng dụng
Làm việc ở tầng 7 của mô hình OSI. Nếu TCP thì nó làm việc ở tầng dịch
vụ. Nó không kiểm soát được thông tin ở tầng ứng dụng.
Nguyên tắc hoạt động chung:
- Firewall này được thiết lập từ phần mềm ứng dụng.

- Không chuyển tiếp các gói tin IP.
- Tốc độ xử lí chậm.
- Mỗi một dịch vụ phải có kết nối chương trình tương ứng: ví dụ đối với
web thì phải có kết nối tương ứng để quản lí web và chương trình tương ứng để
cho phép hay cấm, đối với mail thì cũng phải có kết nối tương ứng để quản lí
mail và chương trình tương ứng để cho phép hay cấm.
- Vì nó làm việc ở tầng ứng dụng do đó nó cho phép nhiều công cụ ghi
lại quá trình kết nối.
- Do quản lí kết nối nên các chương trình yêu cầu dịch vụ của client gốc
có thể phải thay đổi để thích ứng với proxy.
- Quá trình kết nối được thực hiện theo kiểu đại diện chính vì vậy
firewall kiểu này người ta còn gọi là proxy.
Proxy có hai thành phần:
- Proxy Server: là chương trình ứng sử với server bên ngoài thay mặt cho
các yêu cầu của người sử dụng bên trong. Nó chuyển tiếp các yêu cầu hợp lệ của
mọi người sử dụng và quyết định cái nào cho qua, cái nào ngăn lại.
- Proxy Client: là chương trình của người sử dụng làm việc với Proxy
server thay vì với server thực.
Một số ưu điểm của Proxy
- Dịch vụ Proxy có thể ghi lại nhật ký thông tin rất tốt, bởi vì nó hiểu
được giao thức ứng dụng. Có thể ghi lại những hoạt động theo cách hữu hiệu
nhất, chỉ ghi lại những lệnh đã phát ra và nhận lại.
- Dịch vụ Proxy có thể lưu trữ lại các dữ liệu đã được yêu cầu, để giảm
bớt khả năng hoạt động và giảm bớt tải trên đường liên kết mạng khi có yêu cầu
đến cùng dữ liệu .
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
- Dịch vụ Proxy có thể làm packet filtering thông minh, có khả năng lọc
kiểu nội dung của dịch vụ Web (loại bỏ Javascript,…) và nhận biết virus tốt hơn
hệ thống packet filtering.

- Dịch vụ proxy có thể xác thực người sử dụng (packet filtering có thể
nhưng khó khăn).
- Dịch vụ Proxy có thể bảo vệ các máy bên trong trước các packet nguy
hiểm.
Một số khuyết điểm của Proxy
- Các dịch vụ Proxy chậm hơn các dịch vụ không có Proxy, độ chậm phụ
thuộc vào dịch vụ được thiết kế. Ngoài ra, khi một phần mềm Proxy đang có
hiệu lực mà hệ thống cần dịch vụ mới, có thể ngoài tầm kiểm soát của nó (lỗ
hổng an toàn mới), do đó cần phần mền Proxy mới.
- Dịch vụ Proxy có thể đòi hỏi nhiều server khác nhau cho mỗi dịch vụ vì
proxy Server phải hiểu giao thức đó để xác định cái gì được phép và cái gì
không được phép.
- Dịch vụ Proxy thường đòi hỏi biến đổi ứng dụng, thủ tục, trừ khi ứng
dụng được thiết kế cho proxy. Hạn chế của biến đổi này là không thể luôn sử
dụng dễ dàng như bình thường.
2.3.3. Bức tường lửa nhiều tầng
Figure 2-4: Firewall nhiều tầng
- Kết hợp từ tầng 3 với tầng ứng dụng, có thể cấm và cho phép ở tầng
phiên, tầng trình, tầng giao vận. Đối với bức tường lửa lọc gói ngoài những
thông số kiểm soát như địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao
thức tầng trên (TCP, UDP, ICMP) thì còn có bức tường lửa phân tích chi tiết hơn
về gói tin. Ví dụ ACK, ACK=0 (khởi động một kết nối của gói tin đầu của kết
nối), ACK=1 (là các gói theo sau).ACK=0, SYN =1 (Yêu cầu kết nối);
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
ACK=1,SYN=1 (trả lời kết nối). Kiểm tra chi tiết về gói tin để bảo vệ hệ thống
tốt hơn, chống các dịch vụ từ bên ngoài.
Tất cả những điều trên đã giới thiệu sơ qua về bức tường lửa, để hiểu
được chi tiết bức tường lửa nó hoạt động như thế nào, được xậy dựng như thế
nào, và bức tường lửa có những loại kiến trúc nào thì chúng ta cùng đi vào phần

hai “kiến trúc cơ bản và hoạt động của bức tường lửa”.
2.4. Một vài kiến trúc firelwall
2.4.1 Screening Router
- Screening Router là một kiểu Firewall đơn giản, chỉ gồm một router sử
dụng cơ chế packet filtering.
- Screening Router bảo vệ cho toàn mạng, có giá thành thấp.
- Screening Router không linh động có thể cho phép hoặc ngăn cấm các
giao thức bởi số hiệu cổng.
- Screening Router không cho phép phòng thủ chiều sâu khi nó bị tổn
thương hay có lỗi an toàn thì toàn bộ hệ thống dễ dàng bị tổn thương.
Figure 2-5: Kiến trúc Screening Router
2.4.2 Dual-Homed Host
- Firewall kiểu kiến trúc Dual-Homed Host được xây dựng trên máy tính
Dual-Homed Host. Một máy tính Dual-Homed Host có tối thiểu hai giao diện,
một giao diện để kết nối với bên ngoài và một giao diện để kết nối với bên trong
(mạng nội bộ).
- Chức năng đầu tiên của nó hoạt động như bộ định tuyến
- Khi giữ vai trò bức tường lửa, nó không thể thực hiện được chức năng
định tuyến mà thay vào đó là chức năng phân tích gói tin.
- Các gói tin IP thì truyền giữa mạng trong và mạng ngoài.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
- Dual-Homed Host là một điểm bảo vệ không có chiều sâu, nên sự an
toàn của các máy bên trong phải rất hoàn hảo. Nếu Dual-Homed Host bị tổn
thương thì toàn bộ mạng bên trong sẽ bị tổn thương.
- Máy chủ trung gian có thể cung cấp các dịch vụ như Proxy. Nó thường
tốt cho những người sử dụng bên trong mạng nội bộ truy cập Internet hơn là
những người sử dụng trên Internet truy cập tài nguyên bên trong mạng nội bộ.
Hình 2.6. Cấu trúc firewall Dual Home Host.
2.4.3. Bastion Host (máy chủ pháo đài)

- Máy chủ pháo đài thuộc mạng nội bộ, nó chỉ có một giao diện để kết
nối với một mạng nội bộ.
- Máy tính có cấu hình bảo mật ở mức độ bảo mật cao. Trên nó được cài
các phần mềm bảo vệ ví dụ như Proxy trên firewall. Mọi thông tin từ bên ngoài
muốn đưa vào bên trong đều phải qua máy chủ pháo đài hay mọi thông tin từ
bên trong ra bên ngoài cũng qua máy chủ pháo đài.
- Đặt ở điểm mà mạng nội bộ kết nối với Internet: đối mặt chính với các
kẻ tấn công truy nhập.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Internet
M¹ng trung gian

M¹ng néi bé
Touter
ngoµi
Router
trong
Firewall
Ph¸o ®µi
Host
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Figure 2-7: Kiến trúc Bastion Host
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
2.4.4. Screened host (máy chủ sang lọc)
- Cả server và router đều là thành phần của bức tường lửa.
- Về cấu trúc thì máy chủ sàng lọc có một router và một máy chủ để lọc
thông tin.
- Chức năng an ninh cơ bản là do bộ lọc.
- Máy chủ nội bộ chỉ được phép kết nối Internet đối với một số dịch vụ hạn

chế.
- Phần lớn các máy nội bộ phải sử dụng các dịch vụ đại diện trên các
máy chủ nội bộ.
- Khi máy chủ có lỗ hổng an ninh thì thì mạng nộ bộ rễ bị tấn công.
- Nếu trường hợp router bị đánh thủng thì server nằm ngay trong mạng
nội bộ bị tổn thương và chính vì vậy mạng nội bộ bị ảnh hưởng .
Figure 1-8: Kiến trúc Screened host
2.4.5. Screened Subnet (mạng con)
- Screened Subnet dẫn xuất từ kiến trúc Screened host bằng cách thêm
vào một tầng an toàn gọi là mạng ngoại vi (Perimeter network), nhằm cô lập
mạng nội bộ ra với mạng bên ngoài và cô lập Bastion host bằng cách đặt chúng
trên mạng ngoại vi, nhằm tránh sự lay lan khi bastion bị tổn thương.
- Screened Subnet có hai router.
- Rrouter ngoài được cấu hình để bảo vệ các máy chủ pháo đài và bộ
định tuyến trong và mạng nội bộ.
- Các máy chủ pháo đài phục vụ như một điểm chính của mạng nội bộ
liên hệ với các mạng Internet.
- Router trong ngăn cách máy chủ pháo đài với mạng nội bộ, khi hệ
thống bảo mật trên pháo đài bị tổn thương thì máy chủ pháo đài cũng không thể
bị lợi dụng làm bàn đạp để tấn công vào mạng nội bộ vì trong mạng nội bộ đã có
một router trong bảo vệ. Như vậy Screened Subnet đã tạo nên một tầng bảo vệ
lớn.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Internet

M¹ng néi bé
Firewall
Router
sµng läc
Ph¸o ®µi

Host
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
- Bastion host trong mạng ngoại vi là điểm tiếp xúc của kết nối đi vào từ
bên ngoài. Ngoài ra nó còn phục vụ cho các máy bên trong truy cập mạng bên
ngoài theo một vài hướng sau:
 Có thể cài đặt cả router giao tiếp với Internet và router giao tiếp với
mạng nội bộ là packet filtering, điều này cho phép mạng nội bộ truy cập trực tiếp
mạng bên ngoài.
 Có thể cài đặt một Proxy server trên một bastion host và mạng nội bộ từ
Internet, điều này cho phép các mạng nội bộ truy nhập mạng bên ngoài gián tiếp.
- Router trong (Interior router) nó có chức năng packet filtering. Các dịch
vụ mà router trong cho phép giữa Bastion host và mạng nội bộ, giữa mạng bên
ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn giữa dịch vụ
bastion host và mạng nội bộ nhằm làm giảm số lượng máy có thể bị tấn công khi
bastion host bị tổn thương.
Hình 2.9. Cấu trúc firewall Screen Subnet.
Trong các kiến trúc trên thì kiến trúc Screened Subnet được sử dụng
nhiều nhất hiện nay. Trong mỗi một cơ quan bao giờ giờ cũng có một trang web
để giới thiệu với bên ngoài và phải có giao dịch với bên ngoài. Do đó, họ phải
dùng kiến trúc bưc tường lửa có kiểu Screened Subnet thì mới an toàn vì nếu
dùng cấu trúc khác thì khi tin tặc tấn công được vào server thì mạng nội bộ sẽ bị
tổn thương, có thể dẫn đến tê liệt mạng hoàn toàn. Chính vì vậy, mỗi một cơ
quan nên sử dụng bức tường lửa có cấu trúc Screened Subnet là hợp lí nhất.
Kết Chương:
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
Trong Chương vừa rồi chúng ta đã tìm hiểu về Firewall, và đó là tập hợp
thành phần làm nhiệm vụ ngăn cản hay điều khiển việc truy xuất giữa mạng
ngoài và mạng nội bộ.
FIREWALL được chia làm hai loại là Firewall ứng dụng và Firewall mức

mạng. Firewall mức ứng dụng kiểm tra các lưu thông chi tiết hơn Firewall
mức mạng và duy trì nhiều mô hình bảo mật hơn Firewall mức mạng nhưng
lại thiếu tính trong suốt và khó hiểu.
Có rất nhiều mô hình kiến trúc Firewall khác nhau mà người thiết kế
mạng nên áp dụng các mô hình đó như thế nào đối với những bài toán cụ thể
được đặt ra cho những yêu cầu khác nhau về tính bảo mật của cơ quan.
Nhưng những thiết kế vẫn chủ yếu dựa trên các kiến trúc cơ bản đó là kiến
trúc Dual Home Host, Screen Host và Screen Subnet.
Trên hệ điều hành Windows có rất nhiều công cụ quản trị mạng giúp các
nhà quản trị có thể bảo vệ mạng của mình rất hữu hiệu. Nhưng một giải pháp
cho việc xây dựng mạng truy cập Internet ổn định là dùng server chạy trên hệ
điều hành Linux. Hiện nay linux đang được coi là một trong những hệ điều
hành tốt nhất trong môi trường mạng, giải pháp này giúp giảm chi phí đầu tư
về phần cứng cho server, tăng tốc độ của mạng cục bộ và đảm bảo môi
trường mạng chạy ổn định. Để có thể xây dựng được các chương trình bảo
vệ mạng trong Linux, trước tiên chúng ta cần thực hiện việc cài đặt và cấu
hình chương trình bảo vệ mạng vào trong hệ điều hành Linux. Ở đây cụ thể
là chương trình Iptables trong Linux.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
CHƯƠNG III: IPTABLES TRONG LINUX
Trong hệ thống Unix/Linux có rất nhiều FIREWALL. Trong đó có một số
Firewall được cấu hình và hoạt động trên nền Console rất nhỏ và tiện dụng đó là
Iptable và Ipchains
3.1 Giới thiệu IPTABLES - IPCHAINS - so sánh
3.1.1 Giới thiệu Ipchains : Ipchains - quản trị IP Firewall
Một trong những phần mềm mà linux sử dụng để cấu hình bảng NAT
của kernel là Ipchains. Bên trong chương trình Ipchains có hai trình kịch
bản (script) chính có thể được sử dụng để đơn giản hoá công tác quản trị
Ipchains

Những Firewall cũ hơn của Linux không xử lý các packet phân mảnh,
chỉ hỗ trợ các giao thức TCP, UDP hoặc ICMP. Không thể chỉ định những
nguyên tắc ngược
Ipchains được dùng để cài đặt, duy trì và kiểm tra các luật của IP
Firewall trong Linux kernel. Những luật này có thể chia làm nhóm chuỗi
luật khác nhau là:
IP input chain (chuỗi luật input áp dụng cho các gói tin đi đến Firewall),
IP output chain (áp dụng cho các gói tin được phát sinh cục bộ trên Firewall
và đi ra khỏi Firewall), IP Forwarding chain (áp dụng cho các gói tin được
chuyển tiếp tới máy hoặc mạng khác thông qua Firewall) và các chuỗi luật
do người dùng định nghĩa (user defined).
Ipchains sử dụng khái niệm chuỗi luật (chain) để xử lý các gói tin. Một
chuỗi luật là một danh sách các luật dùng để xử lý các gói tin có cùng kiểu
là gói tin đến, gói tin chuyển tiếp hay gói tin đi ra. Những luật này chỉ rõ
hành động nào được áp dụng cho gói tin. Các luật được lưu trữ trong bảng
NAT là những cặp địa chỉ IP chứ không phải từng địa chỉ IP riêng lẻ.
Một luật Firewall chỉ ra các tiêu chuẩn cho packet và đích đến. Nếu
packet không đúng, luật kế tiếp sẽ được xem xét, nếu đúng thì luật kế tiếp
sẽ chỉ định rõ giá trị của đích có thể các chain do người dùng định nghĩa
hay có thể là một trong các giá trị cụ thể sau: ACCEPT, DENY, REJECT,
MASQ, REDICRECT hay RETURN
* ACCEPT: Cho phép packet đi qua
* DENY/DROP: Huỷ packet mà không có trả lời thông báo cho client
biết điều này.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh
Xây dựng mô hình bảo vệ mạng bằng bức từong lửa iptable của linux
* REJECT: Tương tự như DROP nhưng sẽ có trả lời cho client biết gói
tin đã bị huỷ bỏ
* MASQ: Chỉ hợp lệ đối với chain forward và chain do người dùng
định nghĩa và được dùng khi kernel được biên dịch với

CONFIG_IP_MASQUERADE. Với chain này packet sẽ được masquerade
như là nó được sinh ra từ máy cục bộ, hơn thế nữa các packet ngược sẽ
được nhận ra và chúng sẽ được demasqueraded một cách tự động, bỏ qua
forwarding chain.
* REDIRECT: Chỉ hợp lệ với chain input và chain do người dùng định
nghĩa và chỉ được dùng khi Linux kernel được biên dịch với tham số
CONFIG_IP_TRANSPARENT_PROXY được định nghĩa. Với điều này
packets sẽ được chuyển tới socket cục bộ, thậm chí chúng được gửi đến
host ở xa.
3.1.2 Giới thiệu Netfilter/Iptables
3.1.2.1 Giới thiệu Iptables
Hình 3.1 Vị trí Netfilter/Iptables trong Kernel Linux 2.4.
Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, có sẵn bên
trong kernel Linux 2.4.x và 2.6.x. Netfilter/Iptable gồm 2 phần là Netfilter
ở trong nhân Linux và Iptables nằm ngoài nhân. Iptables được dùng để
quản lý các quy tắc lọc gói tin bên dưới cơ sở hạ tầng của Netfilter.Hệ
thống con Netfilter của Linux 2.4x cho phép cài đặt, duy trì, và kiẻm tra các
quy tắc lọc gói tin trong Kernel. Netfilter làm việc trực tiếp trong nhân,
nhanh và không làm giảm tốc độ của hệ thống.
Nó là một giải pháp lọc gói tin mới, cao cấp hơn so với những gì có sẵn
đối với Linux Kernel trước 2.4x. Netfilter cung cấp 1 số ưu điểm và hiện
nay nó đã trở thành một giải pháp mạnh mẽ và hoàn thiện hơn để giúp bạn
bảo vệ các mạng cộng tác.
Đại học dân lập Thăng Long-Nguyễn Tuấn Anh

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×