Tải bản đầy đủ (.ppt) (37 trang)

Trinhchieu_thuy ppsx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (593.46 KB, 37 trang )

1
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG
NGÀNH CÔNG NGHỆ THÔNG TIN
===

===
ISO 9001:2000
ĐỒ ÁN TỐT NGHIỆP
TÊN ĐỀ TÀI: TÌM HIỂU VỀ VẤN ĐỀ BẢO MẬT TRONG MẠNG LAN
Giáo viên hướng dẫn : TS. Phạm Hồng Thái
CN. Lương Việt Nguyên
Sinh viên :Nguyễn Thị Thúy
Lớp :CT 701
Mã số sinh viên :10419
2



 

 
3
MỤC ĐÍCH CỦA ĐỀ TÀI
MỤC ĐÍCH CỦA ĐỀ TÀI

Nghiên cứu các giải pháp nhằm bảo vệ cho mạng nội bộ nhằm điều khiển luồng thông tin ra, vào và bảo vệ các mạng nội bộ khỏi sự tấn công từ Internet.






 !"#$%&'((
)*(&+$%&'((,%-."/
0,(123%&'((*45#67*7*82,*(&
,%-."/
5


1.1 An ninh mạng là gì?
An ninh mạng bao hàm tất cả các hoạt động mà các tổ
chức, hãng, hay cơ quan đảm nhiệm nhằm bảo vệ các giá trị
và tính hữu ích của các tài nguyên cũng như tính toàn vẹn
và tính sẵn sàng của các hoạt động hệ thống mạng.
Một chiến lược an ninh mạng hiệu quả đòi hỏi sự xác
định được các mối đe dọa và sau đó là chọn lựa một tập các
công cụ có hiệu quả nhất để chống lại chúng.
6
1.2 Các giải pháp cơ bản để đảm bảo an ninh
1.2 Các giải pháp cơ bản để đảm bảo an ninh
an toàn mạng
an toàn mạng

4292#2:;<
 4292#2:
 4292#;5=>
7
1.3 Một số giải pháp bảo vệ cho mạng nội bộ.
1.3 Một số giải pháp bảo vệ cho mạng nội bộ.
 =>(?@$%&'((A
 %-45@%,"()%#,&&,'5%BC)A
 DEFG(6"

 H?FI;9;;=J,%K,#%"+
 9;*6292*45#6#1,(LM
8
 !"#$%&'((
 !"#$%&'((
2.1 Khái niệm
Firewall là thiết bị nhằm ngăn chặn sự truy nhập
không hợp lệ từ mạng ngoài vào mạng trong. Hệ thống
firewall thường bao gồm cả phần cứng và phần mềm.
Firewall thường được dùng theo phương thức ngăn
chặn hay tạo các luật đối với các địa chỉ khác nhau.
9
2.2 Các chức năng cơ bản của Firewall
2.2 Các chức năng cơ bản của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa
mạng cần bảo vệ (Trusted Network) và Internet thông qua các
chính sách truy nhập đã được thiết lập.
Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và
từ ngoài vào trong.
Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.
Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng.
Kiểm soát nội dung thông tin truyền tải giữa 2 mạng.
Ngăn ngừa khả năng tấn công từ các mạng ngoài.
10
2.3 Phân loại Firewall
2.3 Phân loại Firewall
Thông thường Firewall được chia làm 2 loại:
$%&'((2:;<
$%&'((2:
N7,+O6,O3%&'((B9;

11
a. Firewall phần cứng
a. Firewall phần cứng
Là một thiết bị phần cứng được tích hợp bộ định tuyến,
các quy tắc cho việc lọc gói tin được thiết lập ngay trên
bộ định tuyến đó.
Hình 1: Mô hình sử dụng Firewall phần cứng.
12
b. Firewall phần mềm
Loại firewall này là một chương trình ứng dụng
nguyên tắc hoạt động dựa trên trên ứng dụng proxy - là
một phần mềm cho phép chuyển các gói tin mà máy chủ
nhận được đến những địa điểm nhất định theo yêu cầu.
Các quy tắc lọc gói tin được người sử dụng tự thiết
lập.
Hình 1: Mô hình sử dụng Firewall phần mềm.
13
c. Ưu và nhược điểm của firewall
Firewall phần cứng :
=>=P;+?FIQ4*45;5;9;
(R
E,Q;S7,;9;5N,5N7;(12BT*U2I
,"7;#N56"N=3%&'((2:
V;E,Q(W;,T,,%52:&F&%;XE,
YT,QZ;[\J;;9;(5%"+
],J$%&'((2:
Firewall phần mềm :
=>=P;+?FIQ4*45;5;9;9S
,^;9_5[;7,`
QS0";X3%&'((2:E(N#Ra3%&'((

2:=P;;S,%-,b6"N,U
14
2.4 Một số hệ thống Firewall khác.
2.4 Một số hệ thống Firewall khác.
Packet-Filtering Router (Bộ trung chuyển có lọc
gói)
Screened Host Firewall
Demilitarized Zone (DMZ - khu vực phi quân
sự) hay Screened-subnet Firewall
15
2.5. Kết luận
2.5. Kết luận

Các hệ thống firewall thiết lập nhằm mục đích đảm bảo an
ninh mạng thông qua việc kiểm soát phần header của các gói
tin.

Nhưng để sử dụng firewall đảm bảo được an ninh mạng một
các hiệu quả thì người quản trị hệ thống cần có những hiểu
biết sâu sắc về địa chỉ IP đích, địa chỉ IP nguồn, cổng dịch
vụ, các giao thức mạng (TCP, UDP, SMTP…)và đặc biệt cần
có những công cụ giúp cấu hình hệ thống firewall hiệu quả.

Trong chương tiếp theo này em sẽ trình bày về công cụ
FirewallIptable được tích hợp trên hệ điều hành mã nguồn
mở Linux để bảo vệ cho mạng nội bộ.
16
III. IPTables Firewall trên Linux
III. IPTables Firewall trên Linux
3.1. Giới thiệu về Ipchain

Ipchain được dùng để cài đặt, duy trì và kiểm tra các
luật của Ip firewall trong Linux kernel.
Những luật này có thể chia làm nhóm chuỗi luật khác
nhau là:

 22",;

 2c",2",;

 235%'%F;

 9;;"a("1,F5=>FdUe
17
3.2. Firewall IPtable trên Redhat
3.2. Firewall IPtable trên Redhat

Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh,
có sẵn bên trong kernel Linux 2.4.x và 2.6.x.

Netfilter/Iptable gồm 2 phần là Netfilter ở trong nhân Linux
và Iptables nằm ngoài nhân. IpTables chịu trách nhiệm giao
tiếp giữa người dùng và Netfilter để đẩy các luật của người
dùng vào cho Netfilter xử lí.
Hình 3: Firewall IPTable trong Linux.
18
3.2.1 Netfilter/Iptables có khả năng gì?
3.2.1 Netfilter/Iptables có khả năng gì?

Xây dựng bức tường lửa dựa trên cơ chế lọc gói stateless
và stateful


Dùng bảng NAT và masquerading chia sẻ sự truy cập
mạng nếu không có đủ địa chỉ mạng.

Dùng bảng NAT để cài đặt transparent proxy

Làm các thay đổi các bit(mangling) TOS/DSCP/ECN của
IP header

Có khả năng theo dõi sự kết nối, có khả năng kiểm tra
nhiều trạng thái của packet.

Có khả năng giới hạn tốc độ kết nối và ghi nhật ký tránh
sự tấn công từ chối dịch vụ (Deinal of service).

Có khả năng lọc trên các cờ và địa chỉ vật lý của TCP.
19
3.2.2. Cấu trúc của Iptable.
3.2.2. Cấu trúc của Iptable.
Iptables được chia làm 3 bảng (table):
20
3.2.3. Nguyên tắc làm việc của Netfilter/Iptable
3.2.3. Nguyên tắc làm việc của Netfilter/Iptable
Hình 4: Quá trình chuyển gói dữ liệu qua Netfilter
21

Packet sẽ qua chain PREROUTING

Tại đây, packet có thể bị thay đổi thông số (mangle) hoặc bị đổi địa chỉ
IP đích (DNAT).


Đối với packet đi vào máy, sẽ qua chain INPUT.

Tiếp theo packet sẽ được chuyển lên cho các ứng dụng (client/server)
xử lí và tiếp theo là được chuyển ra chain OUTPUT.

Tại chain OUTPUT, packet có thể bị thay đổi các thông số và bị lọc
chấp nhận ra hay bị hủy bỏ.

Đối với packet forward qua máy, packet sau khi rời chain
PREROUTING sẽ qua chain FORWARD.

Tại chain FORWARD, nó cũng bị lọc ACCEPT hoặc DENY. Packet
đến chain POSTROUTING

Tại chain POSTROUTING, packet có thể được đổi địa chỉ IP nguồn
(SNAT) hoặc MASQUERADE.

Packet sau khi ra card mạng sẽ được chuyển lên cáp để đi đến máy
tính khác trên mạng.
22
3.3 Sử dụng IPTables
3.3 Sử dụng IPTables
3.3.1. Cấu hình iptables
Iptables được cài đặt mặc định trong hệ thống Linux,
package của iptables là iptablesversion.rpm hoặc iptables-
version.tgz.
Để khởi động, ngừng hoặc khởi động lại Iptables có thể
dùng lệnh sau:
f&,;f%;Ff,Ff2,*(&++,%,gBh72,*(&+

f&,;f%;Ff,Ff2,*(&++,52gb2,*(&+
f&,;f%;Ff,Ff2,*(&+%&+,%,gBh7(2,*(&+
Để cấu hình Iptables thì dùng file :
f&,;f+S+;53f2,*(&+
23
3.4. Các tham số dòng lệnh
3.4. Các tham số dòng lệnh
3.4.1 Gọi trợ giúp
$ man iptables hoặc $ iptables help.
VD :Tùy chọn của match limit :$ iptables -m limit –help
3.4.2. Các tùy chọn để thao tác với chain

2,*(&+Cg5;R

2,*(&+CigiE0,;9;("1,D,5

2,*(&+j)g[,;^+9;;5;9;;@)kc)l
$cmnmA
#^FIg2,*(&+C))o)Q;21;9;2;B&,#N5;
)

2,*(&+C.g.6,B-;9;("1,;E,%5;

2,*(&+C$giE;9;("1,;E,%5;

2,*(&+Cpgm&+&,*702;B&,#q
24
3.4.3 Các tùy chọn để chỉ định thông số
3.4.3 Các tùy chọn để chỉ định thông số


Chỉ định tên table: -t , ví dụ -t filter, -t nat

Chỉ đinh loại giao thức: -p , ví dụ -p tcp, -p udp hoặc -p !
udp để chỉ định các giao thức không phải là udp

Chỉ định card mạng vào: -i , ví dụ: -i eth0, -i lo

Chỉ định card mạng ra: -o , ví dụ: -o eth0, -o pp0

Chỉ định địa chỉ IP nguồn: -s <địa_chỉ_ip_nguồn>

Chỉ định địa chỉ IP đích: -d <địa_chỉ_ip_đích

Chỉ định cổng nguồn: sport , ví dụ: sport 21 (cổng 21

Chỉ định cổng đích: dport , tương tự như –sport
25
3.4.4. Các tùy chọn để thao tác với luật

Thêm luật: -A (append)

Xóa luật: -D (delete)

Thay thế luật: -R (replace)

Chèn thêm luật: -I (insert
3.4.5 Phân biệt giữa ACCEPT, DROP và REJECT
packet

ACCEPT: chấp nhận packet


DROP: thả packet (không hồi âm cho client)

REJECT: loại bỏ packet (hồi âm cho client bằng một packet
khác)

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×