Tải bản đầy đủ (.pdf) (68 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

MỘT SỐ GIẢI PHÁP AN NINH MẠNG TRÊN LINUX VỚI FIREWALL NETFILTERIPTABLES

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.4 MB, 68 trang )

Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 1 | P a g e



Lời nói đầu


Sự phát minh ra máy vi tính và sự hình thành của Mạng lưới Thông Tin Toàn
Cầu (Internet) đã mở ra một kỷ nguyên mới cho việc thông tin liên lạc. Từ một máy vi
tính nối vào Mạng lưới Thông Tin Toàn Cầu (WWW) người sử dụng có thể gửi và
nhận tin tức từ khắp nơi trên thế giới với khối lượng tin tức khổng lồ và thời gian tối
thiểu thông qua một số dịch vụ sẵn có trên Internet.
Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức, các
nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ, quảng
bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. Nhưng đồng thời với
những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lí
sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng. Từ đây nảy sinh ra một yêu cầu đ
là cần c một giải pháp hoc một hệ thống an ninh bảo vệ cho hệ thống mạng và luồng
thông tin chạy trên n.
Một trong các giải pháp chính và tốt nhất hiện nay là đưa ra khái niệm Firewall
và xây dựng n để giải quyết những vấn đề này.
Thuật ngữ “Firewall” c nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chn và hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ
nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông
tin khác không mong muốn. C hai loại kiến trc FireWall cơ bản là:
Proxy/Application FireWall và Filtering Gateway Firewall. Hầu hết các hệ thống
Firewall hiện đại là loại lai (hybrid) của cả hai loại trên.
Nhiều công ty và nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux như
một Internet Gateway. Những máy chủ này thường phục vụ như máy chủ Mail, Web,


Ftp, hay Dialup. Hơn nữa, chng cũng thường hoạt động như các Firewall, thi hành
các chính sách kiểm soát giữa Internet và mạng của công ty. Khả năng uyển chuyển,
tính kinh tế, và sự bảo mật cao khiến cho Linux thu ht như là một thay thế cho những
hệ điều hành thương mại.
Tính năng Firewall chuẩn được cung cấp sẵn trong Kernel của Linux được xây
dựng từ hai thành phần : Ipchains và IP Masquerading.
Linux IP Firewalling Chains là một cơ chế lọc gói tin IP. Những tính năng của
IP Chains cho phép cấu hình máy chủ Linux như một Filtering Gateway/Firewall dễ
dàng. Một thành phần quan trọng khác của nó trong Kernel là IP Masquerading, một
tính năng chuyển đổi địa chỉ mạng (Network Address Translation- NAT) mà có thể
che giấu các địa chỉ IP thực của mạng bên trong.
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 2 | P a g e

Ngoài ra trong Kernel của Linux 2.4x và 2.6x cũng c một Firewall ứng dụng
lọc gi tin c thể cấu hnh ở mức độ cao Netfilter/Iptables.
Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm
ngoài nhân. Netfilter cho php cài đt, duy tr và kiểm tra các quy tắc lọc gi tin trong
Kernerl. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc nhanh và
không làm giảm tốc độ của hệ thống. Được thiết kế để thay thế cho linux 2.2.x
Ipchains và linux 2.0.x Ipfwadm, có nhiều đc tính hơn Ipchains và được xây dựng
hợp lý hơn. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy
các luật của người dùng vào cho Netfilter xử lí. Chương trnh Iptables được dùng để
quản lý các quy tắc lọc gi tin bên dưới cơ sở hạ tầng của Netfilter.
Các ứng dụng của Iptables đ là làm IP Masquerading, IP NAT và IP Firewall.
Luận văn của em được viết ra nhằm đem đến cho mọi người cái nhn r nt về
FireWall và đc biệt là FireWall Iptables của Linux.




























Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 3 | P a g e


Mục lục
Lời nói đầu 1

CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG 6
I.1 An toàn mạng là gì ? 6
I.2 Các tiêu chí bảo vệ thông tin trên mạng 7
I.2.1. Tính xác thực (Authentification): 7
I.2.2. Tính khả dụng (Availability): 7
I.2.3. Tính bảo mật (Confidentiality): 7
I.2.4. Tính toàn vẹn (Integrity): 8
I.2.5. Tính kiểm soát truy nhập (Access control): 8
I.2.6. Tính không thể chối bỏ (Nonrepudiation): 8
I.3 Đánh giá về sự đe doạ, các điểm yếu của hệ thống và các kiểu tấn công. 8
I.3.1 Đánh giá về sự đe doạ 8
I.3.2 Các lỗ hổng và điểm yếu của mạng 9
I.3.3 Các kiểu tấn công 10
I.3.4 Các biện pháp phát hiện hệ thống bị tấn công 11
I.4 Bảo vệ thông tin trên mạng 11
CHƯƠNG II:TỔNG QUAN FIREWALL 14
II.1. Một số khái niệm 14
II.2.Chức năng 14
II.2.1. Khả năng của hệ thống firewall 15

II.2.2. Những hạn chế của firewall 16
II.2.3. Một số mô hình Firewall dùng cho doanh nghiệp vừa và……………………… 17
II.3. Phân loại bức tường lửa (Firewall) 18
II.3.1. Firewall lọc gói 19

II.3.2. Bức tường lửa ứng dụng(Application firewall) 21

II.3.3. Bức tường lửa nhiều tầng 25

II.4. Một vài kiến trúc firelwall 25

II.4.1 Screening Router 25

II.4.2 Dual-Homed Host 26

II.4.3. Bastion Host (máy chủ pháo đài) 27

II.4.4. Screened host (máy chủ sang lọc) 28

II.4.5. Mô hình Demilitarized Zone (DMZ) hay Screened Subnet Firewall 29

Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 4 | P a g e

CHƯƠNG III: NETFILTER/IPTABLES TRONG LINUX 32
III.1 Giới thiệu 32
III.2 Tính năng của Iptables……………………………………………………… 35
III.3 Cấu trúc của Iptables 36
III.4 Quá trình chuyển gói dữ liệu qua tường lửa 37
III.4.1 Xử lý gói trong Iptables 37
III.4.2 Target và Jumps 41
CHƯƠNG IV : ỨNG DỤNG FIREWALL 43
IV.1 Sử dụng Iptables 43
IV.1.1 Cài đặt Iptables – File cấu hình 43
IV.1.2 Cài đặt Iptables trong Kernel………………………………………………… 42
IV.1.3 Các thao tác trong toàn bộ chuỗi luật 47

IV.1.4 Luật đơn 48

IV.1.5 Mô tả bộ lọc 48


IV.1.6 Mô tả hành động 51

IV.2 Các ứng dụng 53
I
V.2.1 Một số giá trị khởi tạo của Iptables ………………………………… ……… 53
IV.2.2 Cho phép máy chủ DNS truy cập đến Firewall.…………………………… 54
IV.2.3 Cho phép WWW và SSH truy cập vào Firewall……………….…………… 54
IV.2.4 Cho phép Firewall truy cập Internet………………………………………… 55
IV.2.5 File cấu hình cho IP Masquerading………………………………………… 55
IV.2.6 NAT tĩnh (SNAT)…………………………………………………… … … 56
IV.3 Mô hình lab triển khai……………………………………………………… 58
KẾT LUẬN ……………………………………………….………………….…62
CÁC TỪ VIẾT TẮT - THUẬT NGỮ - ĐỊNH NGHĨA - CÂU LỆNH 63
TÀI LIỆU THAM KHẢO.…………………………………………………… 68










Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 5 | P a g e


CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG



I.1 An toàn mạng là gì ?

Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa
lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đc
điểm nhiều người sử dụng lại phân tán về mt vật lý nên việc bảo vệ các tài nguyên
thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách. An toàn
mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao
gồm : dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử
dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người
có thẩm quyền tương ứng.
An toàn mạng bao gồm :
Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố rủi ro
đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng.
Đánh giá nguy cơ tấn công của các Hacker đến mạng, sự phát tán virus…Phải
nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt
động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng.
Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần
thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, các
lỗ hỏng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trc. Xác định
những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy
cơ xoá, phá hoại CSDL, ăn cắp mật khẩu,…nguy cơ đối với sự hoạt động của hệ
thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết những nguy cơ ảnh
hưởng tới an ninh mạng thì mới có thể c được những biện pháp tốt nhất để đảm bảo
an ninh mạng.
Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và những biện
pháp, chính sách cụ thể cht chẽ.
Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm
chủ động. Thụ động và chủ động được hiểu theo nghĩa c can thiệp vào nội dung và
luồng thông tin có bị trao đổi hay không. Vi phạm thụ động chỉ nhằm mục đích nắm

bắt được thông tin. Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoc thêm
thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các hành
động vi phạm thụ động thường khó có thể phát hiện nhưng c thể ngăn chn hiệu quả.
Trái lại, vi phạm chủ động rất dễ phát hiện nhưng lại kh ngăn chn.



Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 6 | P a g e


I.2 Các tiêu chí bảo vệ thông tin trên mạng

I.2.1. Tính xác thực (Authentification): Kiểm tra tính xác thực của một thực
thể giao tiếp trên mạng. Một thực thể có thể là một người sử dụng, một chương trnh
máy tính, hoc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được
đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ
thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi
thực thể đ thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các
phương thức bảo mật dựa vào 3 mô hình chính sau :
 Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như
password, hoc mã số thông số cá nhân PIN.
 Kiểm tra dựa vào mô hình những thông tin đã c, đối tượng kiểm tra cần
phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoc số thẻ tín
dụng.
 Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng
kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví dụ như
thông qua giọng nói, dấu vân tay, chữ ký,…
Có thể phân loại bảo mật trên VPN theo các cách sau : mật khẩu truyền thống
hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, ) hay phần

cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu
vân tay, giọng nói, quét võng mạc…).

I.2.2. Tính khả dụng (Availability): Tính khả dụng là đc tính mà thông tin
trên mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết
bất cứ khi nào, trong hoàn cảnh nào. Tính khả dụng nói chung dùng tỉ lệ giữa thời gian
hệ thống được sử dụng bnh thường với thời gian quá trình hoạt động để đánh giá.
Tính khả dụng cần đáp ứng những yêu cầu sau : Nhận biết và phân biệt thực thể,
khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận
cưỡng bức ), khống chế lưu lượng (chống tắc nghẽn), khống chế chọn đường (cho
phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự
kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng
các biện pháp tương ứng).
Ví dụ như trong 1 hệ thống công ty phải luôn sẵn sàng đáp ứng truy vấn của
nhân viên (user) trong thời gian nhanh nhất có thể, phải đảm bảo rằng bất kì nhân viên
(user) nào cũng được đáp ứng trong thời gian ngắn nhất có thể.

I.2.3. Tính bảo mật (Confidentiality): Tính bảo mật là đc tính tin tức không bị
tiết lộ cho các thực thể hay quá trnh không đuợc uỷ quyền biết hoc không để cho các
đối tượng xấu lợi dụng. Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 7 | P a g e

thuật bảo mật thường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng cường
bảo mật thông tin (dưới sự khống chế của khoá mật mã), bảo mật vật lý (sử dụng các
phương pháp vật lý để đảm bảo tin tức không bị tiết lộ).
Dữ liệu trên hệ thống phải được bảo mật tuyệt đối bằng nhiều phương pháp mã
ha như Ipsec hoc các tool mã hóa dữ liệu.

I.2.4. Tính toàn vẹn (Integrity): Là đc tính khi thông tin trên mạng chưa

được uỷ quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang lưu
giữ hoc trong quá trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm
dối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoc cố ý và những sự phá hoại
khác. Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm : sự
cố thiết bị, sai mã, bị tác động của con người, virus máy tính
Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng :
- Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép,.
Nếu phát hiện th thông tin đ sẽ bị vô hiệu hoá.
- Phương pháp phát hiện sai và sửa sai. Phương pháp sửa sai mã hoá đơn giản
nhất và thường dùng là phép kiểm tra chẵn lẻ.
- Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin.
- Chữ ký điện tử : bảo đảm tính xác thực của thông tin.
- Yêu cầu cơ quan quản lý hoc trung gian chứng minh chân thực của thông tin.

I.2.5. Tính kiểm soát truy nhập (Access control): Là khả năng hạn chế và
kiểm soát truy nhập đến các hệ thống máy tính và các ứng dụng theo các đường truyền
thông. Mỗi thực thể muốn truy nhập đều phải định danh hay xác nhận có quyền truy
nhập phù hợp.
Trong hệ thống thông thường bây giờ đều lắp đt isa để kiểm soát truy nhập và
khả năng chạy các ứng dụng. Ở phân quyền người sử dụng thông thường (user) thì ko
thể chạy những file cài đt, thay đổi địa chỉ IP hay truy cập đến những file không cho
phép trên fileserver, những việc này chỉ có quyền quản trị mới làm được.

I.2.6. Tính không thể chối bỏ (Nonrepudiation): xác nhận tính chân thực đồng
nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia không thể chối bỏ
hoc phủ nhận những thao tác và cam kết đã được thực hiện.
Hệ thống phải có biện pháp giám sát, đảm bảo một đối tượng khi tham gia trao
đổi thông tin thì không thể từ chối, phủ nhận việc mnh đã phát hành hay sửa đổi
thông tin.


I.3 Đánh giá về sự đe doạ, các điểm yếu của hệ thống và các kiểu tấn
công.

Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 8 | P a g e

I.3.1 Đánh giá về sự đe doạ
Về cơ bản có 4 mối đe doạ đến vấn đề bảo mật mạng như sau :
- Đe doạ không có cấu trúc (Unstructured threats)
- Đe doạ có cấu trúc (Structured threats)
- Đe doạ từ bên ngoài (External threats)
- Đe doạ từ bên trong (Internal threats)

I.3.2 Các lỗ hổng và điểm yếu của mạng
Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của
dịch vụ, thêm quyền đối với người sử dụng hoc cho phép các truy nhập không hợp lệ
vào hệ thống. Các lỗ hổng có thể nằm ngay các dịch vụ như sendmail, Web, Ftp và
ngay chính tại hệ điều hành như trong WindowsNT, Windows server, Unix hoc trong
các ứng dụng mà người sử dụng thường xuyên sử dụng như word processing, các hệ
databases…
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đc biệt.
Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ
thống được chia như sau:
Lỗ hổng loại C: Cho phép thực hiện các phương thức tấn công theo kiểu từ
chối dịch vụ DoS (Denial of Services). Mức độ nguy hiểm thấp, chỉ ảnh hưởng chất
lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng dữ liệu hoc
chiếm quyền truy nhập.
Lỗ hổng loại B: Cho php người sử dụng có thêm các quyền trên hệ thống mà
không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình, những lỗ
hổng loại này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến lộ thông tin

yêu cầu bảo mật.
Lỗ hổng loại A: Cho php người sử dụng ở ngoài có thể truy nhập vào hệ thống
bất hợp pháp. Lỗ hổng loại này rất nguy hiểm, có thể làm phá huỷ toàn bộ hệ thống.

Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 9 | P a g e

Hình 1-1: Các loại lỗ hổng bảo mật và mức độ nguy hiểm
I.3.3 Các kiểu tấn công

Tấn công trực tiếp
Những cuộc tấn công trực tiếp thường được sử dụng trong giai đoạn đầu để
chiếm được quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tm
tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không
đòi hỏi một điều kiện đc biệt nào để bắt đầu. Kẻ tấn công c thể dựa vào những
thông tin mà chng biết như tên người dùng, ngày sinh, địa chỉ, số nhà v.v để đoán
mật khẩu dựa trên một chương trnh tự động hoá về việc dò tm mật khẩu. Trong một
số trường hợp, khả năng thành công của phương pháp này c thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trnh ứng dụng và bản thân hệ điều
hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm
quyền truy nhập.Trong một số trường hợp phương pháp này cho php kẻ tấn công c
được quyền của người quản trị hệ thống.

Nghe trộm
Việc nghe trộm thông tin trên mạng c thể đem lại những thông tin c ích như
tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm
thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ
thống, thông qua các chương trnh cho php. Những thông tin này cũng c thể dễ dàng
lấy được trên Internet.


Giả mạo địa chỉ
Việc giả mạo địa chỉ IP c thể được thực hiện thông qua việc sử dụng khả năng
dẫn đường trực tiếp. Với cách tấn công này, kẻ tấn công gửi các gi tin IP tới mạng
bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoc một
máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ r đường dẫn mà các
gi tin IP phải gửi đi.

Vô hiệu các chức năng của hệ thống
Đây là kểu tấn công nhằm tê liệt hệ thống, không cho n thực hiện chức năng
mà n thiết kế. Kiểu tấn công này không thể ngăn chn được, do những phương tiện
được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông
tin trên mạng.

Lỗi của người quản trị hệ thống
Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của
người quản trị hệ thống thường tạo ra những lỗ hổng cho php kẻ tấn công sử dụng để
truy nhập vào mạng nội bộ.
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 10 | P a g e


Tấn công vào yếu tố con người
Kẻ tấn công c thể liên lạc với một người quản trị hệ thống, giả làm một người
sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mnh đối với hệ
thống, hoc thậm chí thay đổi một số cấu hnh của hệ thống để thực hiện các phương
pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào c thể ngăn chn
một cách hữu hiệu, và chỉ c một cách giáo dục người sử dụng mạng nội bộ về những
yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.
Ni chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ
nào và chỉ c sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng c thể

nâng cao được độ an toàn của hệ thống bảo vệ.

I.3.4 Các biện pháp phát hiện hệ thống bị tấn công
Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ
đều có những lỗ hổng bảo mật tiềm tàng. Người quản trị hệ thống không những
nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm
tra hệ thống có dấu hiệu tấn công hay không. Một số biện pháp cụ thể :
1. Kiểm tra các dấu hiệu hệ thống bị tấn công : Hệ thống thường bị treo bằng
những thông báo lỗi không r ràng. Kh xác định nguyên nhân do thiếu thông tin liên
quan. Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu không
phải hãy nghĩ đến khả năng máy tính bị tấn công.
2. Kiểm tra các tài khoản người dùng mới lạ, nhất là với các tài khoản có ID
bằng không.
3. Kiểm tra sự xuất hiện của các tập tin lạ. Người quản trị hệ thống nên có thói
quen đt tên tập theo mẫu nhất định để dễ dàng phát hiện tập tin lạ.
4. Kiểm tra thời gian thay đổi trên hệ thống.
5. Kiểm tra hiệu năng của hệ thống : Sử dụng các tiện ích theo dõi tài nguyên
và các tiến trnh đang hoạt động trên hệ thống.
6. Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp.
7. Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng
trường hợp các tài khoản này bị truy nhập trái php và thay đổi quyền hạn mà người
sử dụng hợp pháp không kiểm soát được.
8. Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ
không cần thiết.
9. Kiểm tra các phiên bản của sendmaill, /bin/mail, ftp, tham gia các nhóm
tin về bảo mật để có thông tin về lỗ hỏng của dịch vụ sử dụng.
Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với
hệ thống.



Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 11 | P a g e


I.4 Bảo vệ thông tin trên mạng
Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử
dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn” đối với
các hoạt động xâm phạm. Ngoài việc bảo vệ thông tin trên đường truyền, chúng ta còn
phải bảo vệ thông tin được cất giữ trong các máy tính, đc biệt là trong các máy chủ
trên mạng. Bởi thế ngoài một số biện pháp nhằm chống lại việc tấn công vào thông tin
trên đường truyền, mọi cố gắng phải tập trung vào việc xây dựng các mức “rào chắn”
từ ngoài vào trong cho các hệ thống kết nối vào mạng. Hình 1-2 mô tả các lớp “rào
chắn” thông dụng hiện nay để bảo vệ thông tin trên mạng máy tính:


Hình 1-2: Các mức bảo vệ thông tin trên mạng máy tính

 Quyền truy nhập
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên thông
tin của mạng và quyền hạn của người sử dụng trên tài nguyên đ. Hiện tại việc kiểm
soát thường ở mức tệp.
 Đăng kí tên và mật khẩu
Lớp bảo vệ tiếp theo là đăng kí tên/ mật khẩu (login/password). Thực ra đây
cũng là lớp kiểm soát quyền truy nhập, nhưng không phải truy nhập ở mức thông tin
mà ở mức hệ thống. Đây là phương pháp bảo vệ phổ biến nhất vì n đơn giản, ít phí
tổn và cũng rất hiệu quả. Mỗi người sử dụng, kể cả người quản trị mạng muốn vào
được mạng để sử dụng các tài nguyên của mạng đều phải đăng kí tên và mật khẩu
trước. Người quản trị mạng có trách nhiệm quản lí, kiểm soát mọi hoạt động của mạng
và xác định quyền truy nhập của những người sử dụng khác tùy theo thời gian và
không gian, nghĩa là một người sử dụng chỉ được phép vào mạng ở những thời điểm

và từ những vị trí xác định. Về lí thuyết, nếu mọi người đều giữ kín được tên và mật
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 12 | P a g e

khẩu đăng kí của mình thì sẽ không xảy ra các truy nhập trái php. Song điều đ rất
kh đảm bảo trong thực tế vì nhiều nguyên nhân, chẳng hạn như người sử dụng thiếu
cẩn thận khi chọn mật khẩu trùng với ngày sinh, tên người thân hoc ghi mật khẩu ra
giấy…Điều đ làm giảm hiệu quả của lớp bảo vệ này. Có thể khắc phục bằng nhiều
cách như người quản trị có trách nhiệm đt mật khẩu, thay đổi mật khẩu theo thời
gian…
 Mã hóa dữ liệu
Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương pháp mã
hóa. Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không nhận thức được
theo một thuật toán nào đ (lập mã) và sẽ được biến đổi ngược lại (dịch mã) ở nơi
nhận. Đây là lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi
trường mạng.
 Bảo vệ vật lý
Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Người ta
thường dùng các biện pháp truyền thống như cấm tuyệt đối người không phận sự vào
phòng đt máy mạng, dùng ổ khóa trên máy tính (ngắt nguồn điện đến màn hình và
bàn phím nhưng vẫn giữ liên lạc trực tuyến giữa máy tính với mạng, hoc cài cơ chế
báo động khi có truy nhập vào hệ thống) hoc dùng các trạm không có ổ đĩa mềm…
 Bức tường lửa (Firewall)
Để bảo vệ từ xa một máy tính hoc cho cả một mạng nội bộ, người ta thường
dùng các hệ thống đc biệt là tường lửa. Chức năng của các tường lửa là ngăn chn
các thâm nhập trái phép (theo danh sách truy nhập xác định trước) và thậm chí có thể
“lọc” bỏ các gói tin mà ta không muốn gửi đi hoc nhận vì những lí do nào đ.
Phương thức này được sử dụng nhiều trong môi trường mạng Internet.

















Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 13 | P a g e


CHƯƠNG II:TỔNG QUAN FIREWALL

II.1. Một số khái niệm
-Nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chn hạn chế các
hỏa hoạn, trong công nghệ thông tin, Firewall là một cơ chế đảm bảo an toàn cho
mạng máy tính, n bao gồm một hoc nhiều những thành phần tạo lên bức tường lửa
với mục đích để ngăn cản điều khiển các truy xuất giữa mạng bên ngoài với mạng nội
bộ. Bức tường lửa c thể là một server proxy, filter, hoc phần cứng, phần mềm…để
hiểu chi tiết hơn về bức tường lửa ta sẽ xem xt về các chức năng của bức tường lửa.
- Về mt vật lý, thường c sự khác nhau từ nơi này qua nơi khác.Thông thường
Firewall là tập phần cứng sau : một router,một Host hay một tổ hợp nào đ của
routers,máy tính và mạng c các phần mềm thích hợp

- Về mt logic, Firewall là bộ tách(Separator) v n phân định một bên là mạng
ngoài không an toàn và bên kia là mạng nội bộ cần được bảo vệ, là bộ tách(Restricter)
v n ngăn chn sự tấn công từ bên ngoài, là bộ phân tích(Analyzer) v n xem xt các
gi thông tin vào ra để quyết định cho vào ra hay không.
- Về mt tư tưởng nhằm giải quyết 2 công việc : Cửa khẩu(Gates) và chốt
chn(chokes). Cửa khẩu nhằm đảm bảo dữ liệu, dịch vụ thông suốt giữa các mạng.
Chốt chn nhằm kiểm soát và ngăn chn nguồn thông tin xác định nào đ vào ra mạng
nội bộ.

Tường lửa
Bộ lọc out
Các chính sách áp dụng
cho người dùng nội bộ
được phép ra mạng ngoài
Bộ lọc in
Các chính sách áp dụng
cho người mạng ngoài
Được dùng các dịch vụ
của mạng nội bộ
Mạng ngoài
Internet
Mạng nội bộ


Hình 2-1: Mô hnh tường lửa đơn giản


Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 14 | P a g e



II.2. Chức năng
-Bức tường lửa cho php hoc cấm các dịch vụ từ bên trong ra bên ngoài và từ
bên ngoài vào bên trong.
-N kiểm soát các máy thông qua các địa chỉ các ứng dụng, thông qua các
cổng.
-N kiểm soát người sử dụng truy cập giữa các mạng .
-Kiểm soát theo nội dung truyền thông giữa mạng bên trong và mạng bên
ngoài.
-Ngăn cản, chn những tấn công từ bên ngoài vào bên trong nội bộ.
Một vài từ ngữ sử dụng trong firewall có ý nghĩa sau
- Mạng nội bộ (Internal network): bao gồm các máy tính, các thiết bị mạng.
Mạng máy tính thuộc các đơn vị quản lý (Trường học, Công ty, Tổ chức đoàn thể,
Quốc gia,…) cùng nằm một bên với firewall.
- Host bên trong (Internal Host): máy thuộc mạng nội bộ
- Host bên ngoài (External Host): máy bất kỳ kết nối vào liên mạng và không
thuộc mạng nội bộ ni trên.
- “Nội bộ ”hay “bên trong” chỉ r thuộc đơn vị cùng một bên đối với firewall
của đơn vị đ.
- Về vị trí: Firewall là nơi kiểm soát cht chẽ và hạn chế về luồng thông tin vào
ra của một mạng nội bộ khi giao tiếp với các thành phần bên ngoài n.
- Về mục tiêu: n ngăn cản đe dọa từ bên ngoài với những yêu cầu cần được
bảo vệ, trong khi vẫn đảm bảo các dịch vụ thông suốt qua n.




Hình 2-2: Sơ đồ tổng quát của firewall





Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 15 | P a g e

II.2.1. Khả năng của hệ thống firewall
+ Một Firewall là một trung tâm quyết định những vấn đề an toàn: Firewall
đng vai trò là một chốt chn, mọi dòng thông tin đi vào hay đi ra một mạng nội bộ
đều phải qua n theo các chính sách an toàn đã được cài đt. Tập trung kiểm soát cht
chẽ các dòng thông tin đ c lợi hơn là phân tán trên diện rộng.
+ Một firewall làm cho chính sách an toàn trở nên hiệu quả thực sự: Nhiều dịch
vụ mà người sử dụng dịch vụ mong muốn vốn c những chỗ không an toàn. Firewall
chỉ cho đi qua sau khi đã kiểm nhận và được php. Mt khác, firewall còn cho php
kiểm soát nghiêm ngt mọi người sử dụng về quyền xâm nhập Internet. Firewall c
thể cấu hnh đa dạng, nhiều mức khác nhau. Do đ, Firewall c thể bảo đảm thích hợp
cho một chính sách an toàn đã chọn.
+ Firewall c thể ghi nhận lại các giao tiếp với Internet rất hiệu quả: Như đã
ni ở trên, mọi luồng thông tin vào hay ra mạng nội bộ đều phải qua Firewall. Do đ,
n cung cấp một vị trí tốt nhất để tập hợp những thông tin về hệ thống và mạng đã
dùng. Ghi nhận điều g xẩy ra trong giao tiếp giữa mạng nội bộ và bên ngoài. Những
thông tin đ rất quý giá cho những nguời c trách nhiệm quản lý.
+ Firewall c thể hạn chế được sự đổ vỡ của hệ thống bên trong: Firewall c
thể tách một phần mạng nội bộ với các phần khác trong mạng nội bộ. Làm điều này
nhằm mục đích c những phần được ủy quyền nhiều hơn. Do đ, hạn chế được những
nguy hiểm xẩy ra hơn.

II.2.2. Những hạn chế của firewall
Tuy c những khả năng trên, xong mô hnh Firewall c những hạn chế nhất
định sau:
+ Firewall không thể bảo vệ trước những kẻ phá hoại từ bên trong, đánh cắp dữ

liệu làm hư hỏng phần cứng và phần mềm hay thay đổi chương trnh mà không cần
đến Firewall.
+ Firewall không thể ngăn chn một cuộc tấn công nếu cuộc tấn công này không
đi qua n. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một
đường dial-up, hoc sự dò rỉ thông tin do dữ liệu bị sao chp bất hợp pháp lên đĩa
mềm.
+ Firewall không thể bảo vệ chống lại những mối đe dọa mới phát sinh v n
không thể tự động bảo vệ trước những mối đe dọa mới phát sinh. Do đ, khi c những
vấn đề mới cần cấu hnh lại cho Firewall.
+ Firewall không thể bảo vệ chống lại virus. Firewall hầu hết chỉ xem xt địa
chỉ nơi gửi, nơi đến, số cổng của gi thông tin chứ không xem chi tiết phần dữ liệu
ngay cả các phần mềm lọc gi thông tin. Firewall không thể làm nhiệm vụ qut virus
trên dữ liệu được chuyển qua n do sự xuất hiện của các virus mới và do c rất nhiều
cách để mã ha dữ liệu thoát khỏi sự kiểm soát của Firewall. Do đ, chống virus bằng
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 16 | P a g e

Firewall là vấn đề không khả thi, v c quá nhiều loại virus và c quá nhiều cách virus
ẩn trong dữ liệu.
Tuy nhiên Firewall vẫn là giải pháp hữu hiệu nhất được áp dụng rộng rãi.

II.2.3. Một số mô hình Firewall dùng cho doanh nghiệp vừa và nhỏ
Với các doanh nghiệp nhỏ việc trang bị một mạng tác nghiệp vừa phải đảm bảo
an ninh an toàn, vừa phải phù hợp chi phí, và dễ triển khai và bảo tr là điều rất cần
thiết. Ở đây chng ta đưa ra giải pháp dùng một thiết bị PC đa chức năng làm tường
lửa để bảo vệ vành đai, chạy IDS để cảnh báo tấn công, chạy NAT để che cấu trúc
logic của mạng, chạy VPN để hỗ trợ kết nối xa bảo mật với các cấu hnh cơ bản sau:


Hình 2-3: Firewall trong mô hình mạng cho doanh nghiệp cỡ nhỏ






Với các doanh nghiệp vừa th sơ đồ trên phù hợp cho các chi nhánh của họ.



Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 17 | P a g e


Còn tại trung tâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như:

Hình 2-4: Firewall trên mô hình mạng cho doanh nghiệp cỡ vừa




II.3. Phân loại bức tường lửa (Firewall)

Firewall bao gồm các loại sau :
 Bức tường lửa lọc gi tin (packet-filtering router).
 Bức tường lửa ứng dụng (proxy).
 Bức tường lửa nhiều tầng







Mạng phòng
kinh doanh
Mạng công cộng
INTERNET
DMZ - Mạng ngoài cho giao dịch
Mạng trong
Tường lửa bên trong
IDS,IPS
VPN server
Anti virus server
Máy chủ web
Đoạn mạng bảo vệ 2 tầng
Đảm bảo anh ninh chiều sâu
Máy quản trị
Router
Tường lửa
Tiền tiêu
Database server
Máy chủ mail
Máy chủ web E-commerce server
Máy chủ ủy quyền
Máy chủ
chạy dịch vụ
Máy chủ
chạy dịch vụ
Giám sát mạng
Mạng chi nhánh
Router

Mạng văn phòng
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 18 | P a g e


II.3.1. Firewall lọc gói















Hình 2-5: Firewall lọc gi

Bức tường lửa lọc gi làm việc ở tầng 3 đối với mô hnh OSI. Thông tin được
đưa lên tầng 3 sau đ lại tiếp tục được chuyển đi. Nếu thông tin được ở dưới tầng 3 th
bức tường lửa không thể kiểm soát được, ví dụ như mạng LAN không dây dữ liệu
được truyền ở dưới tầng 3. Do vậy, bức tường lửa không thể kiểm soát được mà mạng
LAN không dây phải dùng một phần mềm khác để bảo vệ và kiểm soát dữ liệu.
Bộ lọc gi cho php hay từ chối mỗi gi mà n nhận được. Khi nhận được gi
tin từ Internet, n kiểm tra toàn bộ dữ liệu để quyết định xem đoạn dữ liệu đ c thỏa

mãn một trong các luật lệ của gi đt ra hay không. N dựa trên thông tin ở đầu mỗi
gi (packet header) trong một số trường hợp:
- SA (Source Address): địa chỉ IP nguồn.
- DA(Destination Address): địa chỉ IP đích.
(Nếu đi từ bên trong ra bên ngoài th địa chỉ nguồn là ở bên trong mạng nội bộ
còn địa chỉ đích là bên ngoài. Nếu đi từ bên ngoài vào bên trong th địa chỉ nguồn sẽ
là ở bên ngoài còn địa chỉ đích sẽ là ở bên trong mạng nội bộ).
The Internet
Bªn ngoµi
Packet filtering
router
M¹ng néi bé
Bªn trong
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 19 | P a g e

- Port: lọc theo cổng nguồn, cổng đích của giao thức tương ứng với TCP hay
UDP .
- Các giao thức (UDP, TCP, ICMP…): n c thể cấm và cho php, ví dụ c
thể cấm giao thức UDP và chỉ cho TCP và ICMP hoc Cấm ICMP cho phép TCP và
UDP…
- Dạng thông điệp ICMP (Internet control message protocol).
Nếu luật được thỏa mãn th gi được chuyển qua firewall, nếu không thỏa mãn
th gi sẽ bị hủy đi. Nhờ vậy mà firewall c thể ngăn chn được các kết nối vào máy
chủ hoc mạng nào đ được xác định hoc kha việc truy nhập vào hệ thống mạng nội
bộ từ những địa chỉ không cho php. Như vậy, việc kiểm soát càng làm cho firewall
c khả năng chỉ cho php một một số loại kết nối nhất định vào máy chủ nào đ hoc
chỉ một số dịch vụ nào đ (Telnet, SMNP, FTP…) được php mới chạy được trên hệ
thống mạng cục bộ.
Mc dù firewall loại này có tốc độ kiểm tra nhanh nhưng chng cũng tương đối

dễ bị qua mt. Một phương pháp để vượt qua firewall kiểu này là giả mạo địa chỉ IP
(IP spoofing), ví dụ như trong hệ thống mạng của một công ty, khi một người nào đ
đi công tác ở xa nhưng vẫn phải truy nhập vào mạng của công ty để lấy dữ liệu. Khi
đ, firewall vẫn phải mở các dịch vụ để người đ vào lấy dữ liệu và nhân cơ hội này
th hacker ăn trộm địa chỉ IP và tấn công vào mạng và làm cho firewall tưởng rằng
các gói của hacker đến từ nguồn thực sự.
Loại router được sử dụng trong Firewall để làm Pactket Filtering được xem
như là một Sreening router.
- Một số khác nhau giữa router bnh thường và Screening router: router bnh
thường th chọn đường đi tốt nhất để gửi gi tin. Screening router thì xem xét gói tin
kỹ hơn, n xác định một gi c được gửi đi hay không bởi chính sách bảo mật của n.
Một số ưu điểm của lọc gói
- Do bức tường lửa lọc gi ở tầng 3 nên n kiểm tra tất cả các ứng dụng đi
qua n. N không phụ thuộc vào ứng dụng mc dù của mail hay web.
- Chi phí thấp v cơ chế lọc gi đã được bao gồm trong mỗi phần mềm router
và n chỉ xem xt thông tin của đầu gi tin, do đ thời gian tr hoãn thấp.
- Sẵn sàng cho nhiều sản phẩm phần mềm và phần cứng, cả trong các sản
phẩm thương mại và miễn phí.
- Ngoài ra bộ lọc gi là trong suốt đối với người sử và các ứng dụng v vậy
n không yêu cầu sự huấn luyện đc biệt nào cả .
- Gip bảo vệ toàn mạng, một thuận lợi chính của n là đơn giản và tương
đối nhẹ.
Một số nhược điểm của lọc gói
- Việc định nghĩa các chế độ lọc gi là một việc khá phức tạp, n đòi hỏi
người quản trị cần c các hiểu biết về các dịch vụ Internet, các dạng packet header, và
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 20 | P a g e

các giá trị cụ thể mà họ c thể nhận trên mỗi trường. Khi đòi hỏi sự lọc là càng lớn th
các quy tắc về lọc gi càng trở lên dài và phức tạp, rất kh để quản lý và điều khiển.

- Do làm việc dựa trên header của gi tin, bộ lọc gi không kiểm soát được
nội dung thông tin của gi tin. Các gi tin chuyển qua vẫn c thể mang theo những
hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.

II.3.2. Bức tường lửa ứng dụng(Application firewall)













Hình 2-6: Bức tường lửa ứng dụng

Làm việc ở tầng 7 của mô hnh OSI. Nếu TCP th n làm việc ở tầng dịch vụ.
N không kiểm soát được thông tin ở tầng ứng dụng.
Nguyên tắc hoạt động chung:
- Firewall này được thiết lập từ phần mềm ứng dụng.
- Không chuyển tiếp các gi tin IP.
- Tốc độ xử lí chậm.
- Mỗi một dịch vụ phải c kết nối chương trnh tương ứng: ví dụ đối với web
th phải c kết nối tương ứng để quản lí web và chương trnh tương ứng để cho php
hay cấm, đối với mail th cũng phải c kết nối tương ứng để quản lí mail và chương
trnh tương ứng để cho php hay cấm.

- V n làm việc ở tầng ứng dụng do đ n cho php nhiều công cụ ghi lại
quá trnh kết nối.
- Do quản lí kết nối nên các chương trnh yêu cầu dịch vụ của client gốc c
thể phải thay đổi để thích ứng với proxy.
- Quá trnh kết nối được thực hiện theo kiểu đại diện chính v vậy firewall
kiểu này người ta còn gọi là proxy.
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 21 | P a g e


Hình 2-7: Mô hình 1 Proxy đơn giản
Proxy c hai thành phần:
- Proxy Server: là chương trnh ứng sử với server bên ngoài thay mt cho
các yêu cầu của người sử dụng bên trong. N chuyển tiếp các yêu cầu hợp lệ của mọi
người sử dụng và quyết định cái nào cho qua, cái nào ngăn lại.
- Proxy Client: là chương trnh của người sử dụng làm việc với Proxy server
thay v với server thực.
Một số ưu điểm của Proxy
- Dịch vụ Proxy c thể ghi lại nhật ký thông tin rất tốt, bởi v n hiểu được
giao thức ứng dụng. C thể ghi lại những hoạt động theo cách hữu hiệu nhất, chỉ ghi
lại những lệnh đã phát ra và nhận lại.
- Dịch vụ Proxy c thể lưu trữ lại các dữ liệu đã được yêu cầu, để giảm bớt
khả năng hoạt động và giảm bớt tải trên đường liên kết mạng khi c yêu cầu đến cùng
dữ liệu .
- Dịch vụ Proxy c thể làm packet filtering thông minh, c khả năng lọc kiểu
nội dung của dịch vụ Web (loại bỏ Javascript,…) và nhận biết virus tốt hơn hệ thống
packet filtering.
- Dịch vụ proxy c thể xác thực người sử dụng (packet filtering c thể
nhưng kh khăn).
- Dịch vụ Proxy c thể bảo vệ các máy bên trong trước các packet nguy

hiểm.
Một số khuyết điểm của Proxy
- Các dịch vụ Proxy chậm hơn các dịch vụ không c Proxy, độ chậm phụ
thuộc vào dịch vụ được thiết kế. Ngoài ra, khi một phần mềm Proxy đang c hiệu lực
mà hệ thống cần dịch vụ mới, c thể ngoài tầm kiểm soát của n (lỗ hổng an toàn
mới), do đ cần phần mền Proxy mới.
- Dịch vụ Proxy c thể đòi hỏi nhiều server khác nhau cho mỗi dịch vụ v
proxy Server phải hiểu giao thức đ để xác định cái g được php và cái g không
được php.
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 22 | P a g e

- Dịch vụ Proxy thường đòi hỏi biến đổi ứng dụng, thủ tục, trừ khi ứng dụng
được thiết kế cho proxy. Hạn chế của biến đổi này là không thể luôn sử dụng dễ dàng
như bnh thường.


Hình 2-8: Mô hnh hoạt động Firewall truyền thống

Hnh vẽ trên cho chng ta thấy r một vấn đề lớn của hệ thống: luồng dữ liệu
kết nối Web ( sử dụng giao thức HTTP) từ bên ngoài vào bên trong,truy xuất tới hệ
thống dữ liệu Database mà không c sự “giám sát nội dung” của Firewall. Tm hiểu r
hơn về cơ chế hoạt động của Firewall truyền thống, chng ta thấy được một điều là
các thiết bị này hoạt động chủ yếu ở 4 tầng đầu tiên trong mô hnh IOS, trong khi đ
hầu hết các ứng dụng được xây dựng trong hệ thống mạng tuân thủ 3 lớp trên cùng.
Đây là nguyên nhân khiến Firewall không thể kiểm soát được nội dung của các kết nối
từ Web vào Database.
WAF là giải pháp bảo mật toàn diện và mạnh mẽ dành cho các ứng dụng
Web.WAF đưa ra một phương thức phòng vệ chống lại các hoạt động như tin tc, khai
thác các lỗ hổng về giao thức. Bên cạnh đ, WAF còn cảnh báo cho bạn về những lỗi

ứng dụng mà các hacker có thể khai thác, đánh cắp thông tin, gây lỗi từ chối dịch vụ
hoc làm thay đổi giao diện trang web của bạn.
Mục đích chính của WAF là:
 Ứng dụng mở rộng hoc chọn lọc cho máy chủ dịch vụ web
nhằm thiết lập các chính sách cho các kết nối người dùng HTTP.
 Bảo vệ hệ thống trước các loại tấn công phổ biến như: Cross-site
Scripting (XSS) and SQL Injection
 Kiểm tra cả nội dung các truy cập Web sử dụng giao thức HTTP
ở lớp ứng dụng
 Phân tích những yêu cầu và cảnh báo ngay khi có một hoạt động
đáng nghi nào đ trên hệ thống.
 Tăng khả năng hiển thị của lưu lượng website.
Xu hướng ứng dụng giải pháp WAF:
 Bạn không thể bảo vệ những cái bạn không thấy
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 23 | P a g e

 Bạn cần phải có một cái nhìn tốt hơn vào lưu lượng của tầng ứng
dụng.
 Đây luôn là thành phần mà đội ngũ điều hành bảo mật không thấu
hiểu
 WAF sẽ giám sát và phát hiện những cuộc tấn công nhằm gây tổn
hại vào hệ thống từ người dùng
 WAF cung cấp một cách hiển thị tốt hơn đối với những sự kiện
bảo mật trong hệ thống
 Như một sản phẩm WAF hoàn chỉnh, bạn có thể mong đợi rằng
WAF sẽ cập nhật những lỗ hổng theo thời gian thực bởi công cụ bảo mật ứng
dụng web của bạn, nhờ đ c thể chủ động ngăn chn những cuộc tấn công mới
được phát hiện.
 Một phần khó vận dụng ở đây đ là bạn cần có sự gip đỡ của

những người trong ban điều hành bảo mật để bạn có thể triển khai thành công
WAF vào trong môi trường kinh doanh


Hình 2-9: Mô hnh ứng dụng WAF








Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 24 | P a g e

II.3.3. Bức tường lửa nhiều tầng











Hình 2-10: Firewall nhiều tầng


- Kết hợp từ tầng 3 với tầng ứng dụng, c thể cấm và cho php ở tầng phiên,
tầng trnh, tầng giao vận. Đối với bức tường lửa lọc gi ngoài những thông số kiểm
soát như địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức tầng trên (TCP,
UDP, ICMP) th còn c bức tường lửa phân tích chi tiết hơn về gi tin. Ví dụ ACK,
ACK=0 (khởi động một kết nối của gi tin đầu của kết nối), ACK=1 (là các gi theo
sau).ACK=0, SYN =1 (Yêu cầu kết nối); ACK=1,SYN=1 (trả lời kết nối). Kiểm tra
chi tiết về gi tin để bảo vệ hệ thống tốt hơn, chống các dịch vụ từ bên ngoài.
Tất cả những điều trên đã giới thiệu sơ qua về bức tường lửa, để hiểu được chi
tiết bức tường lửa n hoạt động như thế nào, được xậy dựng như thế nào, và bức
tường lửa c những loại kiến trc nào th chng ta cùng đi vào phần hai “kiến trc cơ
bản và hoạt động của bức tường lửa”.

II.4. Một vài kiến trúc firelwall

II.4.1 Screening Router
- Screening Router là một kiểu Firewall đơn giản, chỉ gồm một router sử
dụng cơ chế packet filtering.
- Screening Router bảo vệ cho toàn mạng, c giá thành thấp.
- Screening Router không linh động c thể cho php hoc ngăn cấm các giao
thức bởi số hiệu cổng.
- Screening Router không cho php phòng thủ chiều sâu khi n bị tổn thương
hay c lỗi an toàn th toàn bộ hệ thống dễ dàng bị tổn thương.


Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Nguyễn Mạnh Trung - TH1204 25 | P a g e














Hình 2-11: Kiến trc Screening Router

II.4.2 Dual-Homed Host
- Firewall kiểu kiến trc Dual-Homed Host được xây dựng trên máy tính
Dual-Homed Host. Một máy tính Dual-Homed Host c tối thiểu hai giao diện, một
giao diện để kết nối với bên ngoài và một giao diện để kết nối với bên trong (mạng nội
bộ).
- Chức năng đầu tiên của n hoạt động như bộ định tuyến
- Khi giữ vai trò bức tường lửa, n không thể thực hiện được chức năng định
tuyến mà thay vào đ là chức năng phân tích gi tin.
- Các gi tin IP th truyền giữa mạng trong và mạng ngoài.
- Dual-Homed Host là một điểm bảo vệ không c chiều sâu, nên sự an toàn
của các máy bên trong phải rất hoàn hảo. Nếu Dual-Homed Host bị tổn thương th
toàn bộ mạng bên trong sẽ bị tổn thương.
- Máy chủ trung gian c thể cung cấp các dịch vụ như Proxy. N thường tốt
cho những người sử dụng bên trong mạng nội bộ truy cập Internet hơn là những người
sử dụng trên Internet truy cập tài nguyên bên trong mạng nội bộ.
The Internet
Bªn ngoµi Packet filtering
router
Bªn trong

Information server
Bastion host
m¸y néi bé

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×