BÁO cáo môn học cơ sở AN TOÀN THÔNG TIN đề tài xây DỰNG hệ THỐNG PHÁT HIỆN CHỐNG xâm NHẬP dựa vào FIREWALL IPTABLES và IDS SNORT

Firewall có chức năng đúng như tên gọi của nó, là bức tường lửa bảo vệ máy tính, máy tính bảng hay điện thoại thông minh khỏi những mối nguy hiểm khi truy cập mạng Internet.. Loại tường

BÁO CÁO MÔN HỌC

CƠ SỞ AN TOÀN THÔNG TIN

Đề tài:

XÂY DỰNG HỆ THỐNG PHÁT HIỆN CHỐNG XÂM NHẬP DỰA

VÀO FIREWALL IPTABLES VÀ IDS SNORT

NGUYỄN THANH HẢI AT160221 NHÓM 2

Hà Nội, 9-2022

1 OSI Mô hình Kết nối Hệ thống

tuyến thời gian thực

LỜI MỞ ĐẦU

Trong thời đại ngày nay, Internet phát triển mạnh mẽ, nhu cầu kết nối, chia sẻ, trao đổi dữ liệu trên mạng dần trở thành một phần thiết yếu trong cuộc sống Kèm theo đó sự gia tăng các vụ tấn công mạng và xâm nhập cơ sở dữ liệu đang gia tăng nhanh chóng với các cách thức tinh vi và khó lường Vì vậy, vấn đề bảo mật mạng đã trở nên quan trọng hơn đối với người dùng máy tính cá nhân, các tổ chức và quân sự

Theo Báo cáo Rủi ro Toàn cầu năm 2019 của Diễn đàn Kinh tế Thế giới, các cuộc tấn công an toàn, an ninh mạng hiện nằm trong số những rủi ro hàng đầu trên toàn cầu Các cuộc tấn công mạng có thể dẫn đến thiệt hại hàng tỷ đô la trong lĩnh vực kinh doanh, đặc biệt là khi máy chủ của ngân hàng, bệnh viện, nhà máy điện và thiết bị thông minh bị xâm nhập Điều này có thể dẫn đến những thiệt hại nghiêm trọng thay vì hỗ trợ sự phát triển kinh tế, xã hội Việc xuất hiện của các công nghệ bảo mật trở thành mối quan tâm lớn của bảo mật mạng Nhiều doanh nghiệp tự bảo mật bằng tường lửa và cơ chế mã hóa

để giảm thiểu các cuộc tấn công có thể được gửi qua mạng.

Nhận thấy tầm quan trọng cũng như xu hướng phát triển trong tương lai và được sự hướng dẫn của thầy Nguyễn Ngọc Toàn, chúng em đã nghiên cứu đề tài: “Tìm hiểu và so sánh tính năng của một số loại tường lửa” Đề tài trình bày những vấn đề tổng quan về tường lửa, một số loại tường lửa phổ biến, tường lửa Iptables, tường lửa Pfsense với những nội dung như sau:

Chương 1: Giới thiệu về tường lửa và so sánh một số loại tường lửa phổ biến Chương 2: Tổng quan về tường lửa Iptables và tường lửa Pfsense

Chương 3: Triển khai xây dựng tường lửa Iptables và tường lửa Pfsense Kết luận và hướng phát triển.

CHƯƠNG 1 GIỚI THIỆU VỀ TƯỜNG LỬA VÀ SO SÁNH MỘT SỐ LOẠI

TƯỜNG LỬA PHỔ BIẾN

1.1 Tổng quan về tường lửa

Trong phần này chúng em dự định trình bày về khái niệm, tác dụng, cấu trúc, cũng phân loại tường lửa

1.1.1 Khái niệm về tường lửa

để ngăn chặn, hạn chế hoả hoạn Trong lĩnh vực công nghệ thông tin, firewall là kỹ thuật được tích hợp vào hệ thống mạng với mục đích chống lại sự truy cập trái phép, giúp bảo vệ thông tin, dữ liệu nội bộ và hạn chế sự xâm nhập từ bên ngoài Firewall có chức năng đúng như tên gọi của nó, là bức tường lửa bảo vệ máy tính, máy tính bảng hay điện thoại thông minh khỏi những mối nguy hiểm khi truy cập mạng Internet.

1.1.2 Tác dụng của tường lửa

Tường lửa mang đến nhiều tác dụng có lợi cho hệ thống máy tính Cụ thể:

người gác cửa, kiểm tra tất cả dữ liệu đi vào hoặc đi ra từ mạng riêng Khi phát hiện có bất kỳ sự truy cập trái phép nào thì nó sẽ ngăn chặn, không cho traffic đó tiếp cận đến mạng riêng

nối qua internet vào mạng hay máy tính cá nhân

dùng mà doanh nghiệp, tổ chức, cá nhân không mong muốn

lập các chính sách bảo mật phù hợp

1.1.3 Cấu trúc của tường lửa

Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting).

1.1.4 Phân loại tường lửa

Tường lửa kiểm tra trạng thái là một loại tường lửa theo dõi và giám sát trạng thái của bất kỳ kết nối mạng nào đang hoạt động Nó cũng có thể phân tích lưu lượng đến

cùng với việc tìm kiếm các rủi ro dữ liệu có thể xảy ra Loại tường lửa này nằm ở Lớp

3 và Lớp 4 của mô hình Kết nối Hệ thống mở (OSI) Một trong những chức năng đi kèm với tường lửa trạng thái là khả năng ngăn chặn lưu lượng độc hại xâm nhập hoặc rời bỏ mạng riêng Hơn nữa nó có thể giám sát trạng thái tổng thể của giao tiếp mạng và phát hiện các nỗ lực truy cập mạng trái phép

 Ưu điểm

o Khả năng ngăn chặn các cuộc tấn công

o Khả năng ghi nhật kí mở rộng

o Sẽ không mở một loạt các cổng để lưu lượng truy cập

o Biết trạng thái kết nối

 Nhược điểm

o Có thể khó định dạng cấu hình

o Không có khả năng tránh những cuộc tấn công cấp ứng dụng

o Một số giao thức không có thông tin trạng thái

o Duy trì một bảng trạng thái đồi hỏi chi phí bổ xung

b Tường lửa không trạng thái hoặc Tường lửa bộ lọc gói Tường lửa không trạng thái còn được gọi là tường lửa lọc gói Đây là một trong những loại tường lửa cơ bản và lâu đời nhất hiện có So với những loại khác, loại tường lửa này hoạt động nội tuyến ở ngoại vi của mạng Loại tường lửa như thế này không định tuyến các gói, mà thay vào đó so sánh mọi gói nhận được với một bộ quy tắc được xác định trước

Bởi vì nó chỉ cung cấp bảo mật cơ bản, người dùng có thể đặt nó để bảo vệ khỏi các mối đe dọa đã biết, nhưng nó sẽ không hoạt động tốt với các mối đe dọa chưa biết

 Ưu điểm

o Không tốn nhiều chi phí bảo trì

o Quá trình xử lý các gói được thực hiện cực kỳ nhanh chóng

o Lọc lưu lượng cho toàn bộ mạng có thể được thực hiện với một thiết bị duy nhất

 Nhược điểm

o Trong một số trường hợp, nó có thể phức tạp để cấu hình và khó quản lý

o Khả năng ghi nhật ký bị giới hạn ở đây

o Khi nói đến các cuộc tấn công ứng dụng, không thể tránh chúng

thể, có nghĩa đơn giản là, dữ liệu duy nhất được lọc ở đây là từ một ứng dụng mạng được truyền

Đối với các ứng dụng mạng có thể hoạt động với ALG, một số trong số đó là Giao thức truyền tệp (FTP), Telnet, Giao thức truyền trực tuyến thời gian thực (RTSP) và BitTorrent

Chúng ta nên chỉ ra rằng ALG cung cấp một trong những giao diện mạng cấp cao nhất an toàn nhất Để giải thích điều này tốt hơn, chúng ta hãy xem một ví dụ đơn giản về cách mọi thứ hoạt động

Khi máy khách di chuyển để yêu cầu quyền truy cập vào máy chủ trên mạng cho các tài nguyên cụ thể, trước tiên máy khách kết nối với máy chủ proxy và từ đó, máy chủ proxy đó thiết lập kết nối với máy chủ chính

 Ưu điểm

o Ghi nhật ký lưu lượng truy cập dễ dàng hơn

o Hiệu suất mạng tốt hơn nhiều

o Khó kích hoạt kết nối trực tiếp từ bên ngoài mạng chính

Như bạn có thể nói, đây là phiên bản nâng cao hơn của hệ thống tường lửa điển hình, nhưng nó cung cấp các lợi ích tương tự Tuy nhiên, không giống như các hệ thống tường lửa truyền thống, NGFW áp dụng cả lọc gói tin động và tĩnh cùng với hỗ trợ VPN để bảo mật tất cả các kết nối đến giữa mạng, internet và tường lửa

 Ưu điểm

o An toàn hơn những nơi khác ở đây

o Ghi nhật ký chi tiết hơn

1.1.5 Nguyên lý hoạt động tường lửa

Khi một gói tin được chuyển tải trên mảng, nó được chia nhộ thành các gói (packet) Mội gói sể được gán một địa chỉ để có thể đển đích, sau đó được nhản dảng

và tái lảp lải ợ đích Các địa chỉ được lưu trong phản đảu của gói tin (header) và Firewall sể dưa vào Header của gói tin để lộc.

Bộ lộc gói tin có khả năng cho phép hay tư chội mội gói tin mà nó nhản được Nó kiểm tra toàn bộ độan dư liểu để quyểt định xem đoản dư liểu đó có thộa mãn một trong sộ các luảt của lộc gói tin hay không Các luảt lộc gói tin này sể dưa trên các thông tin ợ đảu mội gói tin (Header), Header của gói tin bao gộm các thông tin như sau:

 Version: Phiên bản của IP, hiển tải chúng ta đang sư dủng IP phiên bản 4

(Ipv4).

 IP Header Length: Độ dài của IP header là 32 bits.

 Type of Service (ToS): Loải dịch vủ.

 Size of Datagram: Kích thược của gói tin được tính bảng byte, bao gộm kích thược của Header và kích thược của Data (dư liểu).

 Identification: Dảu hiển nhản dảng, trượng hợp này được sư dủng để lảp ghép các phân đoản khi tảt cả các gói tin đã đển đích.

 Flag: Là một trong ba cợ được sư dủng để điểu khiển, định tuyển cho một gói tin và báo cho ngượi nhản biểt gói tin có bao nhiêu phản.

 Time To Live: Chỉ ra số lượng Hops hoặc liên kết mà gói tin có thể đi qua và được sử dụng để tránh quá trình lặp lại của gói tin (tránh cho gói tin chạy vô hạn).

 Protocol: Giao thưc truyển tin (TCP, UDP, ICMP, …

 Header Checksum: Mủc này được sư dủng để kiểm tra xem tộng sộ gói tin mà ngượi gợi có bảng tộng sộ gói tin mà ngượi nhản nhản được không Nểu không bảng nhau, nó sể báo lội và yêu cảu ngượi gợi gợi lải (nểu sư dủng giao thưc TCP); ngược lải, nó sể hủy gói tin nểu sư dủng giao thưc UDP.

 Source Address: Địa chỉ nợi xuảt phát.

 Destination Address: Địa chỉ nợi nhản.

 Source port: Cộng nguộn.

 Destination port: Cộng đích.

 Options: Tùy chộn này không được sư dủng.

Nểu gói tin thộa các luảt đã được thiểt lảp trược của Firewall, gói tin đó được chuyển qua, ngược lải, gói tin sể bị hủy Viểc kiểm soát các cộng sể cho phép Firewall kiểm soát một sộ loải kểt nội nhảt định mợi được vào mảng củc bộ.

Do viểc kiểm tra dưa trên Header của các gói tin nên bộ lộc không kiểm soát được nội dung thông tin của gói tin đó Vì vảy các gói tin chuyển qua vản có thể mang theo nhưng hành động vợi ý độ ăn cảp thông tin hay phá hộai của Hacker.

Hình 1.1 Tường lửa ngăn chặn tấn công của virus máy tính

Bảng 1.1 Tường lửa cho phép hoặ từ chối máy tính truy cập

Hình 1.2 Tường lửa kiểm soát bằng cổng truy cậo Port

1.2 So sánh một số loại tường lửa phổ biến

1.2.1 Cisco ASA 1.2.2 Fortigate 1.2.3 So sánh

Cisco ASA và FortiGate là các sản phẩm cung cấp bảo mật cho các ứng dụng mạng, bao gồm tường lửa, SSL, lọc web và VPN Cả Cisco ASA và FortiGate đều được ưa chuộng trong số các doanh nghiệp có quy mô vừa đến doanh nghiệp, nhưng các doanh nghiệp lớn được thành lập có xu hướng chọn ASA, đặc biệt nếu môi trường máy chủ của họ đã là Cisco FortiGate phổ biến hơn trong các doanh nghiệp quy mô trung bình, những doanh nghiệp có nhiều khả năng nhạy cảm về giá hơn.

 Đặc trưng Cisco ASA và FortiGate cung cấp nhiều dịch vụ giống nhau, nhưng có các tính năng nổi bật của mỗi dịch vụ.

Cisco ASA dễ triển khai và hoạt động tốt trong hầu hết các môi trường Nó thích ứng tốt với các máy chủ quy mô vừa và nhỏ, đặc biệt là các máy chủ đã sử dụng sản phẩm của Cisco Người dùng thích VPN để kết nối người dùng từ xa với mạng hoặc kết nối trang web này với trang web khác và các doanh nghiệp đánh giá cao thành phần lọc web Phần cứng đáng tin cậy, cũng như hỗ trợ kỹ thuật của Cisco.

FortiGate là một phiên bản mới hơn trong thế giới an ninh mạng Nó dễ dàng xử lý lượng truy cập tăng đột biến và tải máy chủ lớn hơn, đồng thời giá cả phải chăng hơn

so với các đối thủ cạnh tranh tương đương Giao diện đơn giản để sử dụng và tường lửa dễ cấu hình Định giá đơn giản cho phép các doanh nghiệp chỉ trả tiền cho các dịch

vụ mà họ sử dụng.

 Hạn chế Mỗi sản phẩm tường lửa này đều có những hạn chế riêng có thể ảnh hưởng đến việc khách hàng tiềm năng sẽ chọn sản phẩm nào.

Mặc dù nhiều người dùng đánh giá cao Cisco ASA và hệ thống đáng tin cậy và hỗ trợ của nó, nhưng nó có thể trở nên đắt đỏ đối với các doanh nghiệp nhỏ hơn, đặc biệt

là khi bao thanh toán trong các hợp đồng hỗ trợ Giao diện không rõ ràng và có thể khó

sử dụng ASA không có đầy đủ tính năng như NGFW (nó thiếu hỗ trợ đa WAN đáng tin cậy mà FortiGate có) và một số người dùng cho biết đã chuyển sang NGFW để có giải pháp mạnh mẽ hơn.

Nhược điểm của giá đơn giản của FortiGate là nó ảnh hưởng đến khả năng mở rộng Nếu người dùng muốn tăng hiệu suất máy chủ, họ phải mua các sản phẩm bổ sung Các phiên bản khác nhau của phần mềm có thể bị lỗi và các bản vá lỗi thường

xuyên được phát hành Mặc dù giao diện người dùng tốt, nhưng dấu nhắc dòng lệnh có thể gây nhầm lẫn khi sử dụng.

 Định giá Giá FortiGate có sẵn theo báo giá từ Fortinet hoặc các nhà cung cấp bên thứ ba Giá ASA có thể được tìm thấy bằng cách liên hệ với Cisco hoặc Đối tác được chứng nhận của Cisco.

CHƯƠNG 2 TỔNG QUAN VỀ TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA

PFSENSE

2.1 Tổng quan về tưởng lửa Iptables

Trong phần này chúng em dự định giới thiệu về Iptables, thành phần của Iptables, cấu hình, các câu lệnh cơ bản, giới thiệu về Snort, kiến trúc, cơ chế hoạt động và bộ luật của Snort

2.1.1 Giới thiệu về Iptables

Iptables chính là một chương trình Firewall – Tường lửa miễn phí Chương trình này được phát triển chủ yếu cho hệ điều hành Linux Chương trình cho phép hệ điều hành thiết lập các quy tắc riêng để kiểm soát truy cập và tăng tính bảo mật cho hệ thống gồm: VPS/Hosting/Server.

Khi sử dụng máy chủ, Iptables sẽ tiến hành thực thi tốt nhất nhiệm vụ ngăn chặn các truy cập không hợp lệ bằng cách sử dụng Netfilter Iptables/Netfilter gồm 2 phần chính là phần Netfilter ở bên trong nhân Linux Phần còn lại là Iptables nằm ở bên ngoài Vì vậy sự hiện diện của Iptables chính là hệ thống giao tiếp với người dùng Sau

đó đẩy các luật của người dùng vào cho Netfilter xử lý.

Netfilter chịu trách nhiệm lọc các gói dữ liệu ở mức IP Netfilter làm việc trực tiếp trong nhân, nhanh và giảm tốc độ của hệ thống Iptables chỉ là Interface cho Netfilter.

Cả 2 thành phần này có nhiệm vụ tương tự nhau

Trong đó tường lửa quyết định các packet nào được phép đi vào hay đi ra khỏi hệ thống Các Packet ở bất kỳ Network nào cũng đều giao tiếp bằng cách sử dụng các cổng port Để quyết định Port nào được phép kết nối từ bên ngoài là nhiệm vụ của Tường lửa Một số tính năng tiêu biểu do Iptables cung cấp:

 Tích hợp tốt với Kernel của Linux

 Phân tích Package hiệu quả

 Lọc Package

 Cung cấp đầy đủ các tùy chọn để ghi nhận sự kiện hệ thống

 Cung cấp kỹ thuật NAT

 Ngăn chặn sự tấn công theo kiểu DoS

2.1.2 Thành phần của iptables

a Các bảng trong Iptables

 Filter Table Đối với thành phần Tables – Các bảng trong Iptables thì bảng Filter Table là một trong những bảng được Iptables sử dụng nhiều nhất trong suốt quá trình hoạt động.

Bảng này được tích hợp với nhiệm vụ chính là quyết định việc một gói tin có được đi đến đích dự kiến hay không Hay quyết định từ chối yêu cầu của gói tin một cách chắc chắn, nhanh chóng.

 NAT Table Như đã đề cập ở trên, mỗi bảng trong Iptables sẽ có một nhiệm vụ khác nhau trong

hệ thống Vì vậy đối với bản NAT Table sẽ dùng các rules về NAT Nhiệm vụ chính của NAT Table chính là chịu trách nhiệm chỉnh sửa các Source hay còn gọi là IP nguồn Hoặc chỉnh sửa các destination (IP đích) của các gói tin Với sự hiện diện của bảng NAT Table thì việc chỉnh sửa thông tin gói tín khi thực hiện cơ chế NAT trở nên đơn giản, dễ dàng hơn.

 Mangle Table Mangle Table là một trong những bảng quan trọng trong Iptables Bảng này có nhiệm vụ chỉnh sửa header của gói tín Ngoài ra, sự hiện diện của Mangle Table còn cho phép chỉnh sửa giá trị của các trường: TTL, MTL, Type of Service.

 RAM Table Dựa theo bản chất của Iptables thì Iptables là một stateful firewall với các gói tin Các gói tin này được kiểm tra liên quan đến trạng thái State RAM Tablet sẽ là bảng giúp người dùng dễ dàng làm việc với các gói tin trước khi kernel bắt đầu kiểm tra trạng thái Bảng RAM cũng chức năng loại bỏ một số gói tin khỏi việc tracking vì vấn

đề hiệu năng của hệ thống Vì thế tâm quan trọng của bảng RAM trong Iptables cũng

vô cùng quan trọng và cần thiết.

 Security Table

Bảng tiếp theo có trong Iptables chính là Security Table Một số Kernel có thể hỗ trợ thêm cho Security Table, được dùng bởi Selinux từ đó giúp thiết lập các chính sách bảo mật hiệu quả Vậy nên Security Table luôn là một trong những bảng quan trọng trong các bảng của Iptables.

b Chains Chains chính là thành phần cơ bản tiếp theo trong Iptables Thành phần này được tạo ra với một số lượng nhất định ứng với mỗi bảng trong Iptables Công dụng chính của thành phần này chính là giúp lọc gói tin tại điểm khác nhau.

 Chain Prerouting: Chain tồn tại trong Nat Table, Mangle Table và Raw Table Các rules trong Chain sẽ được thực thi ngay khi gói tin vào đến giao diện Network Interface.

 Chain Input: Chain chỉ có ở Mangle Table và Nat Table Các rules trong Chain này được cung cấp nhiệm vụ thực thi trước khi gói tin vào tiến trình.

 Chain Output: Chain này tồn tại ở các bảng quen thuộc như Raw Table, Mangle Table và Filter Các rules tại đây được cung cấp nhiệm vụ thực thi sau khi gói tin được tiến trình tạo ra.

 Chain Forward: Chain này tồn tại ở các bảng Mangle Table và Filter Table Các rules được cung cấp nhiệm vụ thực thi cho các gói tin được định tuyến qua host hiện đại.

 Chain Postrouting: Chain này chỉ tồn tại ở các bảng Mangle Table và Nat Table Các rules trong Chain được thực thi khi gói tin rời giao diện Internet.

c Target

Bộ phận thứ 3 trong Iptables chính là Target Target – hành động sử dụng dành cho các gói tin khi các gói tin thỏa mãn các rules đặt ra

 ACCEPT: Hành động chấp nhận và cho phép gói tin đi vào hệ thống

 DROP: Hành động loại gói tin, không có gói tin trả lời.

 REJECT: Hành động loại gói tin nhưng vẫn cho phép gói tin trả lời Table gói tin khác

 LOG: Hành động chấp thuận gói tin nhưng có ghi lại log Target là hành động dành cho gói tin được phép đi qua tất cả các rules đặt ra mà không dừng lại ở bất kỳ rules nào Trong trường hợp gói tin không khớp với yêu cầu của reles thì mặc định sẽ được chấp thuận.

2.1.3 Cấu hình Iptables

Iptables – tường lửa có cấu hình yêu cầu cao về độ bảo mật Trong đó tất cả các dữ liệu từ các gói tin được gửi đi sẽ được định dạng qua Internet Linux Kernel sẽ thực hiện nhiệm vụ lọc các gói tin này bằng cách mang đến một giao diện sử dụng một bảng các bộ lọc khác

Tạo chain mới: Iptables – N

 Xóa hết các rule đã có trong chain: Iptables – X

 Đặt danh sách cho các chain: ‘built-in’(INPUT, OUTPUT & FORWARD): Iptables – p

 Liệt kê các rule trong chain: Iptables – L

 Xóa các rule trong chain: Iptables – F

 Reset bộ đếm Packet về 0: Iptables – Z

c Những tùy chọn để thao tác với rule

Để thao tác với các rule trong Iptables đều phải thực hiện các tùy chọn tương ứng theo quy định Trong đó các tùy chọn quan trọng mà người dùng nên nhớ để thực hiện thao tác với rule dễ dàng như:

Tùy chọn để thao tác với rules trong Iptables

 Thêm rule: -A

 Xóa rule: -D

 Thay thế rule: -R

 Chèn thêm rule: -I

2.1.4 Các câu lệnh cơ bản Iptables

Để làm việc với rule trong Iptables thì tất cả các thao tác đều phải sử dụng lệnh.

Các lệnh sử dụng trong Iptables được phân chia thành cơ bản với nâng cao Tuy nhiên thông thường người dùng chỉ cần áp dụng linh hoạt các lệnh cơ bản của Iptables đã có thể dễ dàng làm việc với các rule Vậy các lệnh cơ bản của Iptables gồm những lệnh nào, tất cả sẽ được cập nhật ngay sau đây.

a Lệnh tạo một rule mới

Ví dụ: iptables -A INPUT -i lo -j ACCEPT Lệnh này có nghĩa là:

 A nghĩa là Append A INPUT nghĩa là khai báo kiểu kết nối sẽ được áp dụng

 I nghĩa là Internet I lo nghĩa là khai báo thiết bị mạng được áp dụng

 J nghĩa là Jump J ACCEPT nghĩa là khai báo hành động sẽ được áp dụng cho quy tắc này.

Nếu người dùng gõ lại lệnh iptables –L –v thì sẽ thấy ngay 1 rule mới xuất hiện after-created-iptables-rule

Sau khi thêm mới rules hoặc thay đổi gõ lệnh lưu thì người dùng tiến hành khởi động lại tường lửa để áp dụng các thay đổi.

service iptables save service iptables restart Nếu tiếp tục thêm rule để được phép lưu lại quá trình kết nối hiện tại cũng như tránh các hiện tượng tự Block ra khỏi máy chủ thì hãy thực hiện đúng lệnh quy định Lệnh thực hiện: iptables -A INPUT -m state –state ESTABLISHED, RELATED -j ACCEPT

Lệnh tạo một rule mới

Để các cổng được phép truy cập từ bên ngoài vào qua giao thức tcp thì hãy thực hiện theo lệnh.

Lệnh thực hiện: iptables -A INPUT -p tcp –dport 22 -j ACCEPT

 p tcp: Giao thức được áp dụng

 dport 22: Cổng cho phép áp dụng 22 là cho SSH

Để ngăn chặn tất cả các kết nối truy cập theo hướng từ bên ngoài vào không thỏa mãn những rule trên Thao tác này thực hiện tương tự với rule 5 ở trên.

iptables -A INPUT -j DROP

b Lệnh bổ sung một rule mới

Để chèn 1 rule mới vào trong 1 vị trí nào đó thì việc sử dụng các lệnh bổ sung thêm rule là điều quan trọng Trong đó người dùng chỉ cần thay tham số -A table bằng tham số INSERT –l là xong

Cấu trúc lệnh bổ sung 1 rule mới: IPtables -I INPUT 2 -p tcp –dport 8080 -j ACCEPT

c Lệnh xóa 1 rule

Để thực hiện xóa 1 rule trong Iptables mà đã tạo ra tại vị trí 4, bạn có thể sử dụng lệnh xóa với tham số -D Cấu trúc lệnh xóa 1 rule chi tiết như sau:

IPtables -D INPUT 4 Trong trường hợp bạn muốn thực hiện thao tác xóa toàn bộ các rule chứa hành động DROP có trong Iptables rất đơn giản Bạn chỉ cần thực hiện lệnh với cấu trúc như sau sẽ dễ dàng loại bỏ tất cả các rule này.

IPtables -D INPUT -j DROP

2.2 Tổng quan về tường lửa Pfsense

Tường lửa PfSense là loại tường lửa mềm, miễn phí có chức năng kiểm soát lưu lượng mạng, thực hiện các hành động để bảo vệ an toàn cho mạng máy tính

2.2.1 Giới thiệu về Pfsense

PfSense là tường lửa cấu hình cơ bản dựa trên dòng lệnh Quản trị dựa trên chế độ

đồ họa cho nên dễ dàng cho người quản trị có thể cấu hình, theo dõi hoạt động của mạng, đảm bảo an toàn cho mạng máy tính.

2.2.2 Thành phần của Pfsense 2.2.3 Cấu hình

Hình 3.3 Mô hình cài đặt

CHƯƠNG 3 TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES VÀ

TƯỜNG LỬA PFSENSE

3.1 Triển khai Iptables

3.1.1 Mô tả

Tường lửa Iptables là loại tường lửa miễn phí được tích hợp sẵn trong các hệ điều hành Linux Có thể ứng dụng để kiểm soát truy cập cho mạng máy tính nội bộ và phân vùng mạng máy chủ.

Trong hướng dẫn này, thiết lập tập luật cho tường lửa Iptables để kiểm soát các dịch vụ cho mạng nội bộ, mạng DMZ, mạng Internet Cụ thể là cho phép người dùng trong mạng nội bộ LAN có thể truy cập được ra ngoài Internet với các giao thức HTTP, HTTPS, ICMP, DNS.

Cho phép người dùng từ mạng Internet và mạng nội bộ truy cập được trang web từ máy chủ web trong phần vùng DMZ.

Cho phép người dùng sử dụng ứng dụng thư điện tử để gửi và nhận thư với nhau.

3.1.2 Chuẩn bị

 01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng thư Mozilla Thunderbird

 01 máy ảo hệ điều hành Windows Server 2012.

 Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft.

 Đã cài dịch vụ phân giải tên miền DNS với các bản ghi thích hợp cho web và mail.

 Đã cài phần mềm máy chủ thư điện tử (MDaemon V10).

 01 máy ảo hệ điều hành CentOS 6.5 để làm tường lửa Iptables

3.1.3 Mô hình cài đặt

Hình 3.4

3.1.4 Một số câu lệnh cơ bản sử dụng trong tường lửa Iptables

[root@server]# service iptables start [root@server]# service iptables stop [root@server]# service iptables restart

[root@server]# chkconfig iptables on

[root@server]# service iptables status

[root@server]# /etc/init.d/iptables save

[root@server]# iptables F [root@server]# iptables –t nat

-3.1.5 Các kịch bản thực hiện

 Kịch bản 1 Cho phép máy tính trong LAN Ping ra ngoài mạng Internet

Bước 1 Kiểm tra Ping

Tại máy trạm Windows 7 thực Ping đến địa chỉ IP bất kỳ

Kết quả, không Ping được ra ngoài mạng

Bước 2 Thiết lập luật trên tường lửa Iptables để cho phép máy trạm Ping ra bên

ngoài.

Trước hết cần kiểm tra tên của các giao diện mạng trên máy tường lửa Iptables:

Trong hình trên giao diện eth1 kết nối mạng Internet Giao diện eth2 kết nối mạng nội bộ, giao diện eth3 kết nối mạng máy chủ.

Tiếp theo đặt lệnh cho Iptables để cho phép máy trạm trong mạng nội bộ Ping ra mạng Internet.

[root@server]#iptables -A FORWARD -i eth2 -o eth1 -s 172.16.1.0/24 -p icmp icmp-type any -j ACCEPT

[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p icmp icmp-type any -j ACCEPT

[root@server]#iptables -t nat -A POSTROUTING -o eth1 -s 172.16.1.0/24 -j SNAT to-source 192.168.190.4

[root@server]#nano /proc/sys/net/ipv4/ip_forward 0 -> 1

Ghi chú: địa chỉ IP 192.168.190.4 là địa chỉ của giao diện mạng kết nối Internet (eth1), tùy thuộc vào trường hợp cụ thể của máy ảo mà sử dụng địa chỉ IP này.

Bước 3 Kiểm tra kết quả

Trở lại máy trạm Windows 7 kiểm tra Ping tới địa chỉ IP tại bước 1 Kết quả thành công.

Bước 1 Kiểm tra truy vấn

Trước khi thiết lập luật cho tường lửa, tại máy trạm Windows 7 không truy vấn được DNS Sử dụng lệnh nslookup để truy vấn.

Bước 2 Cấu hình luật để cho phép truy vấn DNS tại tường lửa.

[root@server]#iptables -A FORWARD-i eth2 -o eth1 -s 172.16.1.0/24 -p udp dport 53 -j ACCEPT

[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p udp sport 53 -j ACCEPT

Bước 3 Kiểm tra kết quả

Kết quả, lúc này tại máy Windows 7 thực hiện truy vấn thành công

 Kịch bản 3 Cho phép máy tính trong mạng LAN truy cập được các website từ mạng Internet

Yêu cầu:

Thiết lập luật cho tường lửa Iptables sao cho các máy tính trạng mạng nội bộ có thể truy cập được mạng Internet thông qua hai giao thức HTTP và HTTPS.

Sử dụng Win 7 để kiểm tra truy cập trước và sau khi thiết lập luật cho tường lửa.

Yêu cầu:

 Thiết lập luật cho tường lửa Iptables sao cho các máy tính trong mạng nội bộ

có thể truy cập được website từ máy chủ web trong mạng DMZ

 Thiết lập luật cho tường lửa Iptables sao cho các máy tính từ mạng Internet có thể truy cập được website trong mạng DMZ.

 Sử dụng Win7 là máy ảo trong mạng nội bộ để kiểm tra.

 Sử dụng máy tính vật lý làm máy từ Internet truy cập vào website.

Yêu cầu:

 Thiết lập luật cho tường lủa Iptables sao cho các máy tính trong mạng nội bộ

và máy tính từ Internet có thể gửi và nhận thư điện tử được cho nhau thông qua máy chủ mail trong DMZ.

 Sử dụng mail client Mozilla Thunderbirth để kiểm tra.

PfSense là tường lửa cấu hình cơ bản dựa trên dòng lệnh Quản trị dựa trên chế độ

đồ họa cho nên dễ dàng cho người quản trị có thể cấu hình, theo dõi hoạt động của mạng, đảm bảo an toàn cho mạng máy tính.

3.2.2 Chuẩn bị

 01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng Google Chrome

 01 máy ảo hệ điều hành Windows Server 2012.

 Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft.

 Đã cài phần mềm máy chủ thư điện tử (MDaemon V10).

 01 máy ảo gốc.

3.2.3 Mô hình cài đặt

Các bước thực hiện

 Bước 1: Chuẩn bị các máy ảo

 Bước 2: Cài đặt tường lửa PfSense

 Bước 3: Cấu hình tường lửa cơ bản

 Bước 4: Quản trị tường lửa bằng đồ họa

 Bước 5: Tạo tập luật theo kịch bản

3.2.4 Chuẩn bị các máy ảo

 Máy ảo Windows 7 với cấu hình như sau:

 Cài đặt trình duyệt Google Chrome

 Cấu hình IP:

 Máy ảo Server 2012

 Cấu hình mạng:

 Cài đặt máy chủ web IIS Truy cập theo đường dẫn để cài đặt dịch vụ Server Manager → Manage → Add Roles and Features

Cửa sổ Add Roles and Features xuất hiện chọn Next để bắt đầu quá trình cài đặt Trong lựa chọn Select installation type → chọn Role-based or feature-based installation để cài đặt các dịch vụ và tính năng cho máy chủ.

Chọn Next để tiếp tục cài đặt.

Trong tùy chọn Select destination server → Chọn Select a server from the server pool.

Tiếp tục lựa chọn dịch vụ