TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

MH/MĐ: QUẢN TRỊ MẠNG LINUX
Bài 1: TRIỂN KHAI VÀ QUẢN TRỊ HỆ ĐIỀU HÀNH LINUX
Bài 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG VÀ LẬP TRÌNH
SHELL
Bài 3: TRIỂN KHAI DỊCH VỤ DNS VÀ DHCP
Bài 4: TRIỂN KHAI DỊCH VỤ SAMBA VÀ NFS
Bài 5: TRIỂN KHAI DỊCH VỤ WEB VÀ FTP
Bài 6: TRIỂN KHAI DỊCH VỤ MAIL
Bài 7: BẢO MẬT HỆ THỐNG LINUX
ÔN TẬP
BÁO CÁO ĐỒ ÁN
THI
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Bài 7: BẢO MẬT HỆ THỐNG LINUX
•
Bảo mật hệ thống mạng bằng Squid Proxy
•
Bảo mật cho hệ thống Linux bằng Iptables
Bảo mật hệ thống bằng squid proxy và iptables
Bảo mật hệ thống bằng squid proxy và iptables
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

MỤC TIÊU BÀI HỌC
Trình bày được khái niệm và các đặc điểm của hệ thống
proxy.
Giải thích được các thông số cấu hình của squid.
Cấu hình được squid hoạt động ở chế độ cache và
transparent.

Nhận biết hệ thống firewall dùng iptables.
Giải thích các thông số của iptables.
Cấu trúc lệnh của iptables.
Triển khai firewall dùng iptables.
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Tầm quan trọng của cache Proxy
Chia sẻ và cân bằng tải.
Sử dụng lại các object đã được lưu trữ trong cache.
Giảm tải truy xuất trên đường truyền.
Cài đặt, cấu hình squid proxy
Cài đặt, cấu hình squid proxy
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Yêu cầu hệ thống cho cache proxy Server
Tốc độ truy xuất đĩa nhanh
Yêu cầu dung lượng RAM lớn
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Giới thiệu Squid proxy
Squid là chương trình Internet proxy-caching có vai trò tiếp
nhận các yêu cầu từ client và truy vấn đến các Internet
Server thí ch hợp.
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Giao thức được hỗ trợ trên Squid
Squid hỗ trợ những giao thức sau:
HTTP
FTP
Secure Socket Layer

…
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Cơ chế cache của Squid
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Cài đặt Squid Proxy
Cài đặt squid từ package rpm
Cài đặt từ package squid-version.i386.rpm trong CDROM.
Cài đặt từ lệnh yum: #yum install squid
Cấu trúc thư mục mặc định của Squid
/usr/sbin: Lưu những thư viện của Squid .
/etc/squid: Lưu các tập tin cấu hình squid
(/etc/squid/squid.conf).
/var/log/squid: Lưu các tập tin log của squid
/var/spool/squid: lưu trữ squid cache.
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Cấu hình squid proxy
visible_hostname: Nếu không gán hostname khi đó việc khởi
động squid sẽ thất bại.
visible_hostname bigboy
http_port: cấu hình cổng mà Squid sẽ lắng nghe những yêu cầu
được gởi đến.
http_port 3128
cache_dir: chỉ định nơi cache data được lưu trữ
cache_dir ufs /var/spool/squid 100 16 256
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Cấu hình squid proxy(tt)

Tuỳ chọn Giải thích
cache_dir Định nghĩa những giá trị của thư mục cache được dùng
cho Squid.
ufs Unix file system (ufs) Squid cho biết rằng hệ thống đang
chạy trên Linux
/var/spool/squid Thư mục lưu trữ cache /var/spool/squid.
100 Tổng dung lượng của thư mục cache
16 Số thư mục con được tạo trong thư mục cache
256 Số thư mục con cấp 2 được tạo trong thư mục cache
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Access List
Định nghĩa access list dùng acl Tag:
acl aclname acltype string1
acl aclname acltype "file"
Các acl phổ biến:
acl aclname src ip-address/netmask
acl aclname src addr1-addr2/netmask
acl aclname dst ip-address/netmask
acl aclname srcdomain .foo.com
acl aclname dstdomain .foo.com
acl aclname url_regex [-i] ^http://
acl aclname urlpath_regex [-i] \.gif$
acl aclname port 80 70 21
acl aclname port 0-1024
acl aclname proto HTTP FTP
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Access List(tt)
acl aclname method GET POST

acl aclname time [day] [h1:m1-h2:m2]
day:
S - Sunday
M - Monday
T - Tuesday
W - Wednesday
H - Thursday
F - Friday
A - Saturday
h1:m1 must be less than h2:m2
Ví dụ:
acl home_network src 192.168.1.0/24
acl business_hours time M T W H F 9:00-17:00
http_access allow/deny home_network bussiness_hours
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Access List(tt)
http_access: điều khiển việc truy cập đến Squid
Cú pháp: http_access allow|deny [!]aclname [aclname]
icp_port: dùng queries các cache khác
Mặc định: icp_port 8082
cache_peer: chỉ định cache khác theo sự phân cấp
Cú pháp: cache_peer hostname type http_port icp_port
cache_peer proxy2.ispace.edu.vn parent 8080 8082
cache_peer proxy.kcntt.ispace.edu.vn sibling 8080 8082
type :
‘parent’ : proxy cha ở cấp cao hơn
‘sibling’: proxy ngang hàng
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:


Cấu hình tối thiểu cho squid server
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Cấu hình tối thiểu cho squid server(tt)
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM
YOUR CLIENTS
For example:
http_access allow home_network business_hours
http_access allow localhost
http_access deny all

TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Theo dõi truy xuất internet thông qua Squid
tail –f /var/log/squid/access_log
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Khởi động Squid
Để khởi động Squid ta dùng lệnh sau:
#/etc/init.d/squid start|stop|restart
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Bảo mật Linux
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Log file
Log file: File log để ghi nhận lại các sự kiện, một số file log chính
trong hệ thống
/var/log/messages
/var/log/secure
/var/log/wtmp
/var/log/utmp
Triển khai bảo mật cơ bản trên Linux
Triển khai bảo mật cơ bản trên Linux
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Port Based Security
Cho phép thực thi chức năng lọc gói tin (packet filtering)
thông qua iptables
Triển khai hệ thống firewall trên Linux dùng iptables
Triển khai hệ thống firewall trên Linux dùng iptables

TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Port Based Security(tt)
Giới thiệu iptables: Iptables do tổ chức Netfilter cung cấp để tăng
tính năng bảo mật trên hệ thống Linux.
Tích hợp tốt với kernel của Linux.
Có khả năng phân tích package hiệu quả.
Lọc package dựa vào MAC và một số cờ hiệu trong TCP header.
Cung cấp kỹ thuật NAT.
…
Cài đặt iptables: iptables được cài đặt mặc định trong hệ thống
Linux.
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Port Based Security(tt)
Cơ chế và chức năng hoạt động của iptables:
Iptables sẽ kiểm tra tất cả các package khi nó đi qua iptables host,
quá trình kiểm tra này được thực hiện một cách tuần tự entry đầu
tiên đến entry cuối cùng.
Có 3 loại bảng trong iptables:
Mangle: chịu trách nhiệm biến đổi quality of service bits trong
TCP header. Thông thường loại table này được ứng dụng trong
SOHO (Small Office/Home Office).
Filter: chịu trách nhiệm thiết lập bộ lọc packet (packet filtering),
có ba loại built-in chains được mô tả để thực hiện các chính sách
về firewall (firewall policy rules).

Forward chain : lọc những gói tin đi qua hệ thống (đi vào
một hệ thống khác).


Input chain: lọc những gói tin đi vào hệ thống.

Output chain : lọc những gói tin đi ra từ hệ thống.
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Port Based Security(tt)
NAT: thực thi chức năng NAT (Network Address
Translation), cung cấp hai loại built-in chains sau:

Pre-routing: sửa địa chỉ đích của gói tin trước khi nó
được routing bởi bảng routing của hệ thống (destination
NAT hay DNAT).

Post-routing: ngược lại với Pre-routing, nó sửa địa chỉ
nguồn của gói tin sau khi gói tin đã được routing bởi hệ
thống (SNAT).
Chú ý: Mỗi rule mà bạn tạo ra phải tương ứng với một chain, table
nào đấy. Nếu bạn không xác định tables nào thì iptables coi mặc
định là cho bảng FILTER.
TRƯỜNG TRUNG CẤP VIỆT KHOA Website:

Port Based Security(tt)
Sơ đồ sử lý gói tin: