(TIỂU LUẬN) báo cáo môn học cơ sở AN TOÀN THÔNG TIN đề tài xây DỰNG hệ THỐNG PHÁT HIỆN CHỐNG xâm NHẬP dựa vào FIREWALL IPTABLES và IDS SNORT

Cấu trúc của tường lửa Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến router hoặc cóchức năng router.. Loại tường lửa này nằm ở Lớp3 và Lớp 4 của mô hình Kết nối Hệ thống

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOAAN TOÀN THÔNG TIN

BÁO CÁO MÔN HỌC

CƠ SỞ AN TOÀN THÔNG TIN

Đề tài:

XÂY DỰNG HỆ THỐNG PHÁT HIỆN CHỐNG XÂM NHẬP DỰA VÀO FIREWALL IPTABLES VÀ IDS

SNORT

Sinh viên thực hiện: NGUYỄN HOÀNG ANH AT160504

NGUYỄN THANH HẢI AT160221NHÓM 2

Giảng viên hướng dẫn: TS NGUYỄN NGỌC TOÀN

Hà Nội, 9-2022

DANH MỤC KÍ HIỆU VÀ TỪ NGỮ VIẾT TẮT

tuyến thời gian thực

chỉ

LỜI MỞ ĐẦU

Trong thời đại ngày nay, Internet phát triển mạnh mẽ, nhu cầu kết nối, chia sẻ, traođổi dữ liệu trên mạng dần trở thành một phần thiết yếu trong cuộc sống Kèm theo đó sựgia tăng các vụ tấn công mạng và xâm nhập cơ sở dữ liệu đang gia tăng nhanh chóng vớicác cách thức tinh vi và khó lường Vì vậy, vấn đề bảo mật mạng đã trở nên quan trọnghơn đối với người dùng máy tính cá nhân, các tổ chức và quân sự

Theo Báo cáo Rủi ro Toàn cầu năm 2019 của Diễn đàn Kinh tế Thế giới, các cuộc tấncông an toàn, an ninh mạng hiện nằm trong số những rủi ro hàng đầu trên toàn cầu Cáccuộc tấn công mạng có thể dẫn đến thiệt hại hàng tỷ đô la trong lĩnh vực kinh doanh, đặcbiệt là khi máy chủ của ngân hàng, bệnh viện, nhà máy điện và thiết bị thông minh bịxâm nhập Điều này có thể dẫn đến những thiệt hại nghiêm trọng thay vì hỗ trợ sự pháttriển kinh tế, xã hội Việc xuất hiện của các công nghệ bảo mật trở thành mối quan tâmlớn của bảo mật mạng Nhiều doanh nghiệp tự bảo mật bằng tường lửa và cơ chế mã hóa

để giảm thiểu các cuộc tấn công có thể được gửi qua mạng

Nhận thấy tầm quan trọng cũng như xu hướng phát triển trong tương lai và được sựhướng dẫn của thầy Nguyễn Ngọc Toàn, chúng em đã nghiên cứu đề tài: “Tìm hiểu và sosánh tính năng của một số loại tường lửa” Đề tài trình bày những vấn đề tổng quan vềtường lửa, một số loại tường lửa phổ biến, tường lửa Iptables, tường lửa Pfsense vớinhững nội dung như sau:

Chương 1: Giới thiệu về tường lửa và so sánh một số loại tường lửa phổ biếnChương 2: Tổng quan về tường lửa Iptables và tường lửa Pfsense

Chương 3: Triển khai xây dựng tường lửa Iptables và tường lửa

Pfsense Kết luận và hướng phát triển

CHƯƠNG 1 GIỚI THIỆU VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ

LOẠI TƯỜNG LỬA PHỔ BIẾN

1.1 Tổng quan về tường lửa

Trong phần này chúng em dự định trình bày về khái niệm, tác dụng, cấu trúc, cũngphân loại tường lửa

1.1.1 Khái niệm về tường lửa

Thuật ngữ tường lửa (firewall) là từ mượn trong kỹ thuật thiết kế xây dựng nhằm

để ngăn chặn, hạn chế hoả hoạn Trong lĩnh vực công nghệ thông tin, firewall là kỹthuật được tích hợp vào hệ thống mạng với mục đích chống lại sự truy cập trái phép,giúp bảo vệ thông tin, dữ liệu nội bộ và hạn chế sự xâm nhập từ bên ngoài Firewall cóchức năng đúng như tên gọi của nó, là bức tường lửa bảo vệ máy tính, máy tính bảnghay điện thoại thông minh khỏi những mối nguy hiểm khi truy cập mạng Internet

1.1.2 Tác dụng của tường lửa

Tường lửa mang đến nhiều tác dụng có lợi cho hệ thống máy tính Cụ thể:

Tường lửa ngăn chặn các truy cập trái phép vào mạng riêng Nó hoạt động như người gác cửa, kiểm tra tất cả dữ liệu đi vào hoặc đi ra từ mạng riêng Khi phát hiện có bất kỳ sự truy cập trái phép nào thì nó sẽ ngăn chặn, không cho traffic

đó tiếp cận đến mạng riêng

Tường lửa giúp chặn được các cuộc tấn công mạng

Firewall hoạt động như chốt chặn kiểm tra an ninh Bằng cách lọc thông tin kết nối qua internet vào mạng hay máy tính cá nhân

Dễ dàng kiểm soát các kết nối vào website hoặc hạn chế một số kết nối từ

người dùng mà doanh nghiệp, tổ chức, cá nhân không mong muốn

Người dùng có thể tùy chỉnh tường lửa theo nhu cầu sử dụng Bằng cách

thiết lập các chính sách bảo mật phù hợp

1.1.3 Cấu trúc của tường lửa

Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc cóchức năng router Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ Thôngthường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kếtoán (Accounting)

1.1.4 Phân loại tường lửa

a Tường lửa kiểm tra trạng thái

Tường lửa kiểm tra trạng thái là một loại tường lửa theo dõi và giám sát trạng tháicủa bất kỳ kết nối mạng nào đang hoạt động Nó cũng có thể phân tích lưu lượng đến

cùng với việc tìm kiếm các rủi ro dữ liệu có thể xảy ra Loại tường lửa này nằm ở Lớp

3 và Lớp 4 của mô hình Kết nối Hệ thống mở (OSI)

Một trong những chức năng đi kèm với tường lửa trạng thái là khả năng ngăn chặnlưu lượng độc hại xâm nhập hoặc rời bỏ mạng riêng Hơn nữa nó có thể giám sát trạngthái tổng thể của giao tiếp mạng và phát hiện các nỗ lực truy cập mạng trái phép

Ưu điểm

o Khả năng ngăn chặn các cuộc tấn công

o Khả năng ghi nhật kí mở rộng

o Sẽ không mở một loạt các cổng để lưu lượng truy cập

o Biết trạng thái kết nối

Nhược điểm

o Có thể khó định dạng cấu hình

o Không có khả năng tránh những cuộc tấn công cấp ứng dụng

o Một số giao thức không có thông tin trạng thái

o Duy trì một bảng trạng thái đồi hỏi chi phí bổ xung b Tường lửa không trạng thái hoặc Tường lửa bộ lọc gói

Tường lửa không trạng thái còn được gọi là tường lửa lọc gói Đây là một trongnhững loại tường lửa cơ bản và lâu đời nhất hiện có So với những loại khác, loạitường lửa này hoạt động nội tuyến ở ngoại vi của mạng Loại tường lửa như thế nàykhông định tuyến các gói, mà thay vào đó so sánh mọi gói nhận được với một bộ quytắc được xác định trước

Bởi vì nó chỉ cung cấp bảo mật cơ bản, người dùng có thể đặt nó để bảo vệ khỏicác mối đe dọa đã biết, nhưng nó sẽ không hoạt động tốt với các mối đe dọa chưa biết

Ưu điểm

o Không tốn nhiều chi phí bảo trì

o Quá trình xử lý các gói được thực hiện cực kỳ nhanh chóng

o Lọc lưu lượng cho toàn bộ mạng có thể được thực hiện với một thiết bị duynhất

Nhược điểm

o Trong một số trường hợp, nó có thể phức tạp để cấu hình và khó quản lý

o Khả năng ghi nhật ký bị giới hạn ở đây

o Khi nói đến các cuộc tấn công ứng dụng, không thể tránh chúng

thể, có nghĩa đơn giản là, dữ liệu duy nhất được lọc ở đây là từ một ứng dụng mạngđược truyền.

Đối với các ứng dụng mạng có thể hoạt động với ALG, một số trong số đó là Giaothức truyền tệp (FTP), Telnet, Giao thức truyền trực tuyến thời gian thực (RTSP) vàBitTorrent

Chúng ta nên chỉ ra rằng ALG cung cấp một trong những giao diện mạng cấp cao nhất an toàn nhất Để giải thích điều này tốt hơn, chúng ta hãy xem một ví dụ đơn giản

về cách mọi thứ hoạt động

Khi máy khách di chuyển để yêu cầu quyền truy cập vào máy chủ trên mạng chocác tài nguyên cụ thể, trước tiên máy khách kết nối với máy chủ proxy và từ đó, máychủ proxy đó thiết lập kết nối với máy chủ chính

Ưu điểm

o Ghi nhật ký lưu lượng truy cập dễ dàng hơn

o Hiệu suất mạng tốt hơn nhiều

o Khó kích hoạt kết nối trực tiếp từ bên ngoài mạng chính

o Hỗ trợ bộ nhớ đệm nội dung

Nhược điểm

o Khả năng của thông lượng tác động

o Ứng dụng tác động d Tường lửa thế hệ tiếp theo

Đây là một loại tường lửa kiểm tra gói tin sâu có thể mở rộng ra ngoài kiểm tracổng / giao thức Không chỉ vậy, nó còn vượt ra khỏi quy trình chặn để cung cấp thửnghiệm cấp ứng dụng, lên đến Lớp 7

Như bạn có thể nói, đây là phiên bản nâng cao hơn của hệ thống tường lửa điểnhình, nhưng nó cung cấp các lợi ích tương tự Tuy nhiên, không giống như các hệthống tường lửa truyền thống, NGFW áp dụng cả lọc gói tin động và tĩnh cùng với hỗtrợ VPN để bảo mật tất cả các kết nối đến giữa mạng, internet và tường lửa

Ưu điểm

o An toàn hơn những nơi khác ở đây

o Ghi nhật ký chi tiết hơn

1.1.5 Nguyên lý hoạt động tường lửa

ỉ ể ạ ể ế ậ ạ ạ

và tái l p l ỗ i ẽ ượ c chuy ộ ị c chia nh ượ

tin đ u m i gói tin (Header), Header c a gói tin bao g m các thông tin nh

Version: Phiên b n c a IP, hi n t i chúng ta đang s ng IP phiên b

IP Header Length: Đ dài c a IP header là 32 bits ằ ồ

ủ ữ ệ

Size of Datagram: Kích thạ c ị ụ ườ ợ ượ ử ụ ể ắ

các phân đo n ấ ệ ậ ạ ạ

u)

Flag: Là m ạ ấ ảth c c a Data (d li

n d ng, trế p này đ c s d ng đ l p ghépIdentification: D u hi n nh ng h

cho ng i nh n bi t gói tin có bao nhiêu ph n

Chỉ ra số lượng Hops hoặc liên kết mà gói tin có thể đi qua vàđược sử dụng để tránh quá trình lặp lại của gói tin (tránh cho gói tin chạy vô

Header ứ ề

hạn)

ng

Protocol: Giao th c truy n tin (TCP, UDP, ICMP, … ế

ườ ở ằ ổ ố c s dườ ậ ạ ậ ạ ượ

th cằ Checksum: M c này đẽ ỗ ng đ ki m tra xem tầ ườ ở ở ạ ng s gói tin màế ử ụ

ứ ượ ạ ng s gói tin mà ngẽ ủ ế i nh n nh n đử ụ c không N u

Hình 1.1 Tường lửa ngăn chặn tấn công của virus máy tính

Bảng 1.1 Tường lửa cho phép hoặ từ chối máy tính truy cập

Hình 1.2 Tường lửa kiểm soát bằng cổng truy cậo Port

1.2 So sánh một số loại tường lửa phổ biến

FortiGate là một phiên bản mới hơn trong thế giới an ninh mạng Nó dễ dàng xử lýlượng truy cập tăng đột biến và tải máy chủ lớn hơn, đồng thời giá cả phải chăng hơn

so với các đối thủ cạnh tranh tương đương Giao diện đơn giản để sử dụng và tườnglửa dễ cấu hình Định giá đơn giản cho phép các doanh nghiệp chỉ trả tiền cho các dịch

để có giải pháp mạnh mẽ hơn

Nhược điểm của giá đơn giản của FortiGate là nó ảnh hưởng đến khả năng mởrộng Nếu người dùng muốn tăng hiệu suất máy chủ, họ phải mua các sản phẩm bổsung Các phiên bản khác nhau của phần mềm có thể bị lỗi và các bản vá lỗi thường

xuyên được phát hành Mặc dù giao diện người dùng tốt, nhưng dấu nhắc dòng lệnh cóthể gây nhầm lẫn khi sử dụng.

Định giá

Giá FortiGate có sẵn theo báo giá từ Fortinet hoặc các nhà cung cấp bên thứ ba.Giá ASA có thể được tìm thấy bằng cách liên hệ với Cisco hoặc Đối tác được chứngnhận của Cisco

CHƯƠNG 2 TỔNG QUAN VỀ TƯỜNG LỬA IPTABLES VÀ TƯỜNG

LỬA PFSENSE

2.1 Tổng quan về tưởng lửa Iptables

Trong phần này chúng em dự định giới thiệu về Iptables, thành phần của Iptables,cấu hình, các câu lệnh cơ bản, giới thiệu về Snort, kiến trúc, cơ chế hoạt động và bộluật của Snort

2.1.1 Giới thiệu về Iptables

Iptables chính là một chương trình Firewall – Tường lửa miễn phí Chương trìnhnày được phát triển chủ yếu cho hệ điều hành Linux Chương trình cho phép hệ điềuhành thiết lập các quy tắc riêng để kiểm soát truy cập và tăng tính bảo mật cho hệthống gồm: VPS/Hosting/Server

Khi sử dụng máy chủ, Iptables sẽ tiến hành thực thi tốt nhất nhiệm vụ ngăn chặncác truy cập không hợp lệ bằng cách sử dụng Netfilter Iptables/Netfilter gồm 2 phầnchính là phần Netfilter ở bên trong nhân Linux Phần còn lại là Iptables nằm ở bênngoài Vì vậy sự hiện diện của Iptables chính là hệ thống giao tiếp với người dùng.Sau đó đẩy các luật của người dùng vào cho Netfilter xử lý

Netfilter chịu trách nhiệm lọc các gói dữ liệu ở mức IP Netfilter làm việc trực tiếptrong nhân, nhanh và giảm tốc độ của hệ thống Iptables chỉ là Interface cho Netfilter

Cả 2 thành phần này có nhiệm vụ tương tự nhau

Trong đó tường lửa quyết định các packet nào được phép đi vào hay đi ra khỏi hệthống Các Packet ở bất kỳ Network nào cũng đều giao tiếp bằng cách sử dụng cáccổng port Để quyết định Port nào được phép kết nối từ bên ngoài là nhiệm vụ củaTường lửa Một số tính năng tiêu biểu do Iptables cung cấp:

Tích hợp tốt với Kernel của

Linux Phân tích Package hiệu quả

Lọc Package

Cung cấp đầy đủ các tùy chọn để ghi nhận sự kiện hệ

thống Cung cấp kỹ thuật NAT

Ngăn chặn sự tấn công theo kiểu DoS

Bảng này được tích hợp với nhiệm vụ chính là quyết định việc một gói tin có được điđến đích dự kiến hay không Hay quyết định từ chối yêu cầu của gói tin một cách chắcchắn, nhanh chóng.

NAT Table

Như đã đề cập ở trên, mỗi bảng trong Iptables sẽ có một nhiệm vụ khác nhau trong

hệ thống Vì vậy đối với bản NAT Table sẽ dùng các rules về NAT Nhiệm vụ chínhcủa NAT Table chính là chịu trách nhiệm chỉnh sửa các Source hay còn gọi là IPnguồn Hoặc chỉnh sửa các destination (IP đích) của các gói tin Với sự hiện diện củabảng NAT Table thì việc chỉnh sửa thông tin gói tín khi thực hiện cơ chế NAT trở nênđơn giản, dễ dàng hơn

Mangle Table

Mangle Table là một trong những bảng quan trọng trong Iptables Bảng này cónhiệm vụ chỉnh sửa header của gói tín Ngoài ra, sự hiện diện của Mangle Table còncho phép chỉnh sửa giá trị của các trường: TTL, MTL, Type of Service

RAM Table

Dựa theo bản chất của Iptables thì Iptables là một stateful firewall với các gói tin.Các gói tin này được kiểm tra liên quan đến trạng thái State RAM Tablet sẽ là bảnggiúp người dùng dễ dàng làm việc với các gói tin trước khi kernel bắt đầu kiểm tratrạng thái Bảng RAM cũng chức năng loại bỏ một số gói tin khỏi việc tracking vì vấn

đề hiệu năng của hệ thống Vì thế tâm quan trọng của bảng RAM trong Iptables cũng

vô cùng quan trọng và cần thiết

Security Table

Bảng tiếp theo có trong Iptables chính là Security Table Một số Kernel có thể hỗ trợthêm cho Security Table, được dùng bởi Selinux từ đó giúp thiết lập các chính sách bảomật hiệu quả Vậy nên Security Table luôn là một trong những bảng quan trọng trong cácbảng của Iptables

b Chains

Chains chính là thành phần cơ bản tiếp theo trong Iptables Thành phần này đượctạo ra với một số lượng nhất định ứng với mỗi bảng trong Iptables Công dụng chínhcủa thành phần này chính là giúp lọc gói tin tại điểm khác nhau

Chain Prerouting: Chain tồn tại trong Nat Table, Mangle Table và Raw

Table Các rules trong Chain sẽ được thực thi ngay khi gói tin vào đến giao diện Network Interface

Chain Input: Chain chỉ có ở Mangle Table và Nat Table Các rules trong

Chain này được cung cấp nhiệm vụ thực thi trước khi gói tin vào tiến trình.Chain Output: Chain này tồn tại ở các bảng quen thuộc như Raw Table,

Mangle Table và Filter Các rules tại đây được cung cấp nhiệm vụ thực thi sau khi gói tin được tiến trình tạo ra

Chain Forward: Chain này tồn tại ở các bảng Mangle Table và Filter Table Các rules được cung cấp nhiệm vụ thực thi cho các gói tin được định tuyến quahost hiện đại.

Chain Postrouting: Chain này chỉ tồn tại ở các bảng Mangle Table và Nat

Table Các rules trong Chain được thực thi khi gói tin rời giao diện Internet

Bộ phận thứ 3 trong Iptables chính là Target Target – hành động sử dụng dành cho các gói tin khi các gói tin thỏa mãn các rules đặt ra

ACCEPT: Hành động chấp nhận và cho phép gói tin đi vào hệ thống

DROP: Hành động loại gói tin, không có gói tin trả lời

REJECT: Hành động loại gói tin nhưng vẫn cho phép gói tin trả lời Table gói tin khác

LOG: Hành động chấp thuận gói tin nhưng có ghi lại log

Target là hành động dành cho gói tin được phép đi qua tất cả các rules đặt ra màkhông dừng lại ở bất kỳ rules nào Trong trường hợp gói tin không khớp với yêu cầucủa reles thì mặc định sẽ được chấp thuận

2.1.3 Cấu hình Iptables

Iptables – tường lửa có cấu hình yêu cầu cao về độ bảo mật Trong đó tất cả các dữliệu từ các gói tin được gửi đi sẽ được định dạng qua Internet Linux Kernel sẽ thựchiện nhiệm vụ lọc các gói tin này bằng cách mang đến một giao diện sử dụng mộtbảng các bộ lọc khác

Tạo chain mới: Iptables – N

Xóa hết các rule đã có trong chain: Iptables – X

Đặt danh sách cho các chain: ‘built-in’(INPUT, OUTPUT &

FORWARD): Iptables – p

Liệt kê các rule trong chain: Iptables – L

Xóa các rule trong chain: Iptables – F

Reset bộ đếm Packet về 0: Iptables – Z

c Những tùy chọn để thao tác với rule

Để thao tác với các rule trong Iptables đều phải thực hiện các tùy chọn tương ứngtheo quy định Trong đó các tùy chọn quan trọng mà người dùng nên nhớ để thực hiệnthao tác với rule dễ dàng như:

Tùy chọn để thao tác với rules trong Iptables

Thêm rule: -A

Xóa rule: -D

Thay thế rule: -R

Chèn thêm rule: -I

2.1.4 Các câu lệnh cơ bản Iptables

Để làm việc với rule trong Iptables thì tất cả các thao tác đều phải sử dụng lệnh.Các lệnh sử dụng trong Iptables được phân chia thành cơ bản với nâng cao Tuy nhiênthông thường người dùng chỉ cần áp dụng linh hoạt các lệnh cơ bản của Iptables đã cóthể dễ dàng làm việc với các rule Vậy các lệnh cơ bản của Iptables gồm những lệnhnào, tất cả sẽ được cập nhật ngay sau đây

a Lệnh tạo một rule mới

Ví dụ: iptables -A INPUT -i lo -j ACCEPT

service iptables save

service iptables restart

Nếu tiếp tục thêm rule để được phép lưu lại quá trình kết nối hiện tại cũng như tránh các hiện tượng tự Block ra khỏi máy chủ thì hãy thực hiện đúng lệnh quy định.Lệnh thực hiện: iptables -A INPUT -m state –state ESTABLISHED, RELATED -jACCEPT

Lệnh tạo một rule mới

Để các cổng được phép truy cập từ bên ngoài vào qua giao thức tcp thì hãy thực hiện theo lệnh

Lệnh thực hiện: iptables -A INPUT -p tcp –dport 22 -j ACCEPT

p tcp: Giao thức được áp dụng

dport 22: Cổng cho phép áp dụng 22 là cho SSH

Để ngăn chặn tất cả các kết nối truy cập theo hướng từ bên ngoài vào không thỏa mãnnhững rule trên Thao tác này thực hiện tương tự với rule 5 ở trên

iptables -A INPUT -j DROP

b Lệnh bổ sung một rule mới

Để chèn 1 rule mới vào trong 1 vị trí nào đó thì việc sử dụng các lệnh bổ sung thêmrule là điều quan trọng Trong đó người dùng chỉ cần thay tham số -A table bằng tham sốINSERT –l là xong.

Cấu trúc lệnh bổ sung 1 rule mới: IPtables -I INPUT 2 -p tcp –dport 8080 -j

ACCEPT c Lệnh xóa 1 rule

Để thực hiện xóa 1 rule trong Iptables mà đã tạo ra tại vị trí 4, bạn có thể sử dụnglệnh xóa với tham số -D Cấu trúc lệnh xóa 1 rule chi tiết như sau:

IPtables -D INPUT 4

Trong trường hợp bạn muốn thực hiện thao tác xóa toàn bộ các rule chứa hànhđộng DROP có trong Iptables rất đơn giản Bạn chỉ cần thực hiện lệnh với cấu trúcnhư sau sẽ dễ dàng loại bỏ tất cả các rule này

IPtables -D INPUT -j DROP

2.2 Tổng quan về tường lửa Pfsense

Tường lửa PfSense là loại tường lửa mềm, miễn phí có chức năng kiểm soát lưulượng mạng, thực hiện các hành động để bảo vệ an toàn cho mạng máy tính

2.2.1 Giới thiệu về Pfsense

PfSense là tường lửa cấu hình cơ bản dựa trên dòng lệnh Quản trị dựa trên chế độ

đồ họa cho nên dễ dàng cho người quản trị có thể cấu hình, theo dõi hoạt động củamạng, đảm bảo an toàn cho mạng máy tính

2.2.2 Thành phần của Pfsense

2.2.3 Cấu hình

CHƯƠNG 3 TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES

VÀ TƯỜNG LỬA PFSENSE

3.1 Triển khai Iptables

3.1.1 Mô tả

Tường lửa Iptables là loại tường lửa miễn phí được tích hợp sẵn trong các hệ điềuhành Linux Có thể ứng dụng để kiểm soát truy cập cho mạng máy tính nội bộ và phânvùng mạng máy chủ

Trong hướng dẫn này, thiết lập tập luật cho tường lửa Iptables để kiểm soát cácdịch vụ cho mạng nội bộ, mạng DMZ, mạng Internet Cụ thể là cho phép người dùngtrong mạng nội bộ LAN có thể truy cập được ra ngoài Internet với các giao thứcHTTP, HTTPS, ICMP, DNS

Cho phép người dùng từ mạng Internet và mạng nội bộ truy cập được trang web từmáy chủ web trong phần vùng DMZ

Cho phép người dùng sử dụng ứng dụng thư điện tử để gửi và nhận thư với nhau

3.1.2 Chuẩn bị

01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng thư Mozilla

Thunderbird 01 máy ảo hệ điều hành Windows Server 2012

Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định

của Microsoft

Đã cài dịch vụ phân giải tên miền DNS với các bản ghi thích hợp cho web

và mail

Đã cài phần mềm máy chủ thư điện tử (MDaemon V10)

01 máy ảo hệ điều hành CentOS 6.5 để làm tường lửa Iptables

3.1.3 Mô hình cài đặt

Hình 3.3 Mô hình cài đặt

3.1.4 Một số câu lệnh cơ bản sử dụng trong tường lửa Iptables

Lệnh khởi động tường lửa:

[root@server]# service iptables start [root@server]# service iptables stop [root@server]# service iptables restart

Để khởi động Iptables mỗi khi khởi động máy:

[root@server]# chkconfig iptables on

Để xem tình trạng của Iptables:

[root@server]# service iptables status

Lưu thông tin cấu hình:

[root@server]# /etc/init.d/iptables save

Lệnh xóa toàn bộ luật có trong Iptables:

[root@server]# iptables F [root@server]# iptables –t nat

-3.1.5 Các kịch bản thực hiện

Kịch bản 1 Cho phép máy tính trong LAN Ping ra ngoài mạng

Internet Bước 1 Kiểm tra Ping

Tại máy trạm Windows 7 thực Ping đến địa chỉ IP bất kỳ

Hình 3.4

Kết quả, không Ping được ra ngoài mạng

Bước 2 Thiết lập luật trên tường lửa Iptables để cho phép máy trạm Ping ra bên

ngoài

Trước hết cần kiểm tra tên của các giao diện mạng trên máy tường lửa

Iptables:

Trong hình trên giao diện eth1 kết nối mạng Internet Giao diện eth2 kết nối mạng nội bộ, giao diện eth3 kết nối mạng máy chủ.

Tiếp theo đặt lệnh cho Iptables để cho phép máy trạm trong mạng nội bộ Ping ra mạng Internet

[root@server]#iptables -A FORWARD -i eth2 -o eth1

-s 172.16.1.0/24 -p icmp icmp-type any -j

ACCEPT

[root@server]#iptables -A FORWARD -i eth1 -o eth2

-d 172.16.1.0/24 -p icmp icmp-type any -j

ACCEPT

[root@server]#iptables -t nat -A POSTROUTING -o

eth1 -s 172.16.1.0/24 -j SNAT to-source

192.168.190.4

[root@server]#nano /proc/sys/net/ipv4/ip_forward 0 -> 1

Ghi chú: địa chỉ IP 192.168.190.4 là địa chỉ của giao diện mạng kết nối Internet (eth1), tùy thuộc vào trường hợp cụ thể của máy ảo mà sử dụng địa chỉ IP này.

Bước 3 Kiểm tra kết quả

Trở lại máy trạm Windows 7 kiểm tra Ping tới địa chỉ IP tại bước 1 Kết quả thànhcông

Kịch bản 2 Cho phép máy tính trong LAN truy vấn DNS ra

Internet Bước 1 Kiểm tra truy vấn

Trước khi thiết lập luật cho tường lửa, tại máy trạm Windows 7 không truy vấn được DNS Sử dụng lệnh nslookup để truy vấn

Bước 2 Cấu hình luật để cho phép truy vấn DNS tại tường lửa.

[root@server]#iptables -A FORWARD-i eth2 -o

eth1 -s 172.16.1.0/24 -p udp dport 53 -j

ACCEPT

[root@server]#iptables -A FORWARD -i eth1 -o

eth2 -d 172.16.1.0/24 -p udp sport 53 -j

ACCEPT

Bước 3 Kiểm tra kết quả

Kết quả, lúc này tại máy Windows 7 thực hiện truy vấn thành công

Kịch bản 3 Cho phép máy tính trong mạng LAN truy cập được các website

Thiết lập luật cho tường lửa Iptables sao cho các máy tính trong mạng nội

bộ có thể truy cập được website từ máy chủ web trong mạng DMZ

Thiết lập luật cho tường lửa Iptables sao cho các máy tính từ mạng Internet

có thể truy cập được website trong mạng DMZ

Sử dụng Win7 là máy ảo trong mạng nội bộ để kiểm tra

Sử dụng máy tính vật lý làm máy từ Internet truy cập vào

website Kịch bản 5 Cho phép người dùng gửi và nhận thư điện tử

Yêu cầu:

Thiết lập luật cho tường lủa Iptables sao cho các máy tính trong mạng nội

bộ và máy tính từ Internet có thể gửi và nhận thư điện tử được cho nhau thông qua máy chủ mail trong DMZ

Sử dụng mail client Mozilla Thunderbirth để kiểm tra

3.2 Thiết lập và cấu hình tường lửa PfSense

3.2.1 Mô tả

Tường lửa PfSense là loại tường lửa mềm, miễn phí có chức năng kiểm soát lưulượng mạng, thực hiện các hành động để bảo vệ an toàn cho mạng máy tính

PfSense là tường lửa cấu hình cơ bản dựa trên dòng lệnh Quản trị dựa trên chế độ

đồ họa cho nên dễ dàng cho người quản trị có thể cấu hình, theo dõi hoạt động củamạng, đảm bảo an toàn cho mạng máy tính

3.2.2 Chuẩn bị

01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng Google

Chrome 01 máy ảo hệ điều hành Windows Server 2012

Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định

Bước 1: Chuẩn bị các máy ảo

Bước 2: Cài đặt tường lửa PfSense

Bước 3: Cấu hình tường lửa cơ bản

Bước 4: Quản trị tường lửa bằng đồ họa

Bước 5: Tạo tập luật theo kịch bản

3.2.4 Chuẩn bị các máy ảo

Máy ảo Windows 7 với cấu hình như sau:Cấu hình phần cứng: chú ý Vmnet2

Cài đặt trình duyệt Google Chrome Cấu hình IP:

Máy ảo Server 2012

Cấu hình phần cứng: chú ý Vmnet3

Cấu hình mạng:

Cài đặt máy chủ web IIS

Truy cập theo đường dẫn để cài đặt dịch vụ

Server Manager → Manage → Add Roles and Features

Cửa sổ Add Roles and Features xuất hiện chọn Next để bắt đầu quá trình cài đặt Trong lựa chọn Select installation type → chọn Role-based or feature-basedinstallation để cài đặt các dịch vụ và tính năng cho máy chủ.

Chọn Next để tiếp tục cài đặt

Trong tùy chọn Select destination server → Chọn Select a server from the server pool

Tiếp tục lựa chọn dịch vụ