Cấu hình Iptables và Squid

Mô hình hiện tại: Hình 1.1 Mô hình mạng hiện tại 1.2 Hướng giải quyết Xây dựng hệ thống dựa trên nền tảng hiện có của thiết bị máy móc hiện có của công ty  File Server: Vẫn giữ nguyên

LỜI NÓI ĐẦU

Hiện nay, vấn đề về công nghệ thông tin rất quan trọng trong các doanh nghiệp vừa và nhỏ chẳng hạn như: Làm sao bảo mật thông tin, tối ưu đường truyền, hạn chế sự tấn công của virus và những email điện tử (phishing), hạn chế những rủi ro như mất mát

dữ liệu, bảo lưu dữ liệu trong một khoảng thời gian dài

Vậy giải pháp ra sao thì phù hợp với những doanh nghiệp vừa và nhỏ ? Để đáp ứng những yêu cầu từ phía doanh nghiệp và nhằm hạn chế tối đa những chi phí phần mềm, phần cứng thì hệ điều hành Linux luôn một trong những giải pháp và lựa chọn hàng đầu: Linux có tính tương đối và mức độ ổn định cao, không cần yêu cầu phần cứng quá cao, tính cộng đồng cao, Linux là hệ điều hành đa nhiệm, ít bị hackers khai thác và tấn công so với hệ điều hành Windows, đa phần những phiên bảng của Linux miễn phí Tuy nhiên, Linux cũng có những phiên bản mang tính chất thương mại và mức độ chạy

ổn định cao chẳng hạn như Red Hat Enterprise, SuSe Enterprise (Novell) và AIX (IBM)…

MỤC LỤC

CHƯƠNG 1 : GIỚI THIỆU ĐỀ TÀI 4

1.1 ĐẶT VẤN ĐỀ 8

1.2 HƯỚNG GIẢI QUYẾT 9

1.3 CẤU TRÚC BÁO CÁO 10

CHƯƠNG 2 : CƠ SỞ LÝ THUYẾT 11

2.1 IPTABLES 11

2.1.1 Định nghĩa: 11

2.1.2: Xử lý gói trong iptables: 11

2.1.3 Targets: 13

2.1.4 Các tham số dòng lệnh thường gặp trên iptales: 15

2.1.5 Những điều kiện về TCP và UDP thông dụng 17

2.1.6 Điều kiện ICMP 18

2.1.7 Một số điều kiện mở rộng 18

2.1.8: Logs trên Iptables 20

2.1.9 Gói phần mềm cần cài đặt : 21

2.2 NESSUS 22

2.2.1 Định nghĩa Nessus 22

2.2.2 Chức Năng của Nessus 22

2.2.3 Vì Sao Dùng Nessus 23

2.3 : SQUID 23

2.3.1 Định Nghĩa 23

2.3.2 Yêu cầu phần cứng 24

2.4 SARG 25

2.4.1 Định nghĩa 25

2.4.2 Một vài lựa chọn thường gặp trên Sarg 25

2.5 CACTI 26

2.5.1 Định nghĩa 26

2.5.2 Ưu điểm và khuyết điểm 26

CHƯƠNG 3 :THỰC NGHIỆM 28

3.1 GIỚI THIỆU MÔ HÌNH MẠNG 28

3.2 TRIỂN KHAI 28

3.2.1 IPTABLES 28

3.2.1.1 Cài đặt 29

3.2.1.2 Hướng dẫn chặn port và dịch vụ trên iptables 32

3.2.1.3 Một số dịch vụ 35

3.2.2 NESSUS 37

3.2.2.1 Hướng dẫn cài đặt 38

3.2.2.2 Dò tìm lỗ hỗng trong hệ thống 40

3.2.3 SQUID PROXY 46

3.2.3.1 Hướng dẫn cài đặt 47

3.2.3.2 Một số tính năng trên Squid 52

3.2.4 SARG 58

3.2.4.1 Hướng dẫn cài đặt 58

3.2.4.2 Khởi động Sarg 59

3.2.5 CACTI 61

3.2.5.1 Hướng dẫn 61

3.2.5.2 Đăng nhập vô cacti 67

CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM 85

BẢNG BIỂU

Bảng 2.1 Các dạng route trên iptables 13

Bảng 2.2 Các tùy chọn trên iptables 15

Bảng 2.3 Các thông sồ dòng lệnh trên iptables 16

Bảng 2.4 Những điều kiện về TCP và UDP 17

Bảng 2.5 Điều kiện ICMP 18

Bảng 2.6 Điều kiện mở rộng khi dùng TCP và UDP 19

Bảng 2.7 Kiểm tra logs trên iptables 20

Bảng 2.8 Một số thông số sử dung trong Sarg 26

Bảng 3.1 Hiển thị thông tin IP 31

Bảng 3.2 Cấu hình NAT trên Iptables 31

Bảng 3.3 Trình tự cài đặt Nessus 38

Bảng 3.4 Cài đặt từ dòng lệnh apt-get 39

Bảng 3.5 Đường dẫn để cập nhật những gói phần mềm mới trên ubuntu 49

Bảng 3.6 Danh sách chặn website khi truy cập thông qua proxy 53

Bảng 3.7 Chặn những file mở rộng thông qua proxy 55

MÔ HÌNH

Hình 1.1 Mô hình mạng hiện tại 9

Hình 2.1 Câu lệnh được lưu trong Iptables 21

Hình 3.1 Mô Hình Mạng 28

Hình 3.2 Mô hình mạng Iptables 29

Hình 3.3 Kiểm tra lại cách chặn gói icmp 32

Hình 3.4 Truy cập từ ngoài vô máy chủ web khi chưa đưa ra ngoài 31

Hình 3.5 Truy cập được tới máy chủ web sau khi đưa ra ngoài 34

Hình 3.6 Thư truy cập google.com.vn khi chưa chặn internet 35

Hình 3.7 Sau khi chặn internet Client không thể truy cập 36

Hình 3.8 Cấm truy cập internet từ 11:00 tới 11:30 từ thứ 2-thứ 6 và chủ nhật 36

Hình 3.9 Truy cập lại website sau khoản thời gian bị giới hạn 37

Hình 3.10 Mô hình mạng dùng Nessus 37

Hình 3.11 Tạo user trên nessus 40

Hình 3.12 Màn hình đăng nhập 41

Hình 3.13 Chọn dịch vụ muốn quét 42

Hình 3.14 Chọn dãy IP muốn quét 43

Hình 3.15 Dò tìm IP tồn tại trong mạng 44

Hình 3.16 Quét địa chỉ IP tồn tại trong mạng 45

Hình 3.17 Hiển thị thông tin sau khi quét 46

Hình 3.18 Mô hình hệ thống tích hợp với Squid 47

Hình 3.19 Địa chỉ IP của máy con 50

Hình 3.20 Cấu hình IE thông qua Proxy 51

Hình 3.21 Kiểm tra truy cập internet qua Proxy 51

Hình 3.22 Xem lại sự kiện truy cập web của các máy con 52

Hình 3.23 Thử truy cập trang web sau khi đã chặn 53

Hình 3.24 Truy cập internet thông qua sự ủy quyền 55

Hình 3.25 Kiểm tra lại sau khi khóa download những tập tin hình ảnh 56

Hình 3.26 Thử download tập tin với đuôi mở rộng exe 56

Hình 3.27 Mô hình mạng với Sarg 58

Hình 3.28 Màn hình hiễn thị thông tin báo cáo của Sarg 59

Hình 3.29 Hiển thị thông tin truy cập của các máy trong mạng 60

Hình 3.30 Hiển thị chi tiết truy cập vào website của 1 máy trong hệ thống mạng 60 Hình 3.32 Kiểm tra PHP sau khi cài đặt 61

Hình 3.33 Yêu cầu nhập mật khẩu cho tài khoản Root trong MySQL 62

Hình 3.34 Yêu cầu nhập lại mật khẩu 63

Hình 3.35 Tạo cơ sở dữ liệu trên Cacti 64

Hình 3.36 Cài đặt thư viện libphp-adodb 65

Hình 3.37 Chọn phiên bản máy chủ web đang dùng 65

Hình 3.38 Cấu hình cơ sở dữ liệu 66

Hình 3.39 Nhập password cho cơ sở dữ liệu 66

Hình 3.40 Nhập mật khẩu truy cập cơ sở dữ liệu 67

Hình 3.41 Nhập lại mật khẩu truy cập cơ sở dữ liệu 67

Hình 3.42 Màn hình giao diện cài đặt Cacti 68

Hình 3.43 Lựa chọn cài đặt Cacti 69

Hình 3.44 Hiển thị thông tin đã cài đặt trên Cacti 70

Hình 3.45 Màn hình đăng nhập 71

Hình 3.46 Màn hình yêu cầu đổi mật khẩu 71

Hình 3.47 Màn hình giao diện của Cacti 72

Hình 3.48 đặt giao thức SNMP trên modem ADSL D-LINK 73

Hình 3.49 Màn hình sau khi đăng nhập 75

Hình 3.50 Thêm thiết bị để quan sát 76

Hình 3.51 Điền vào thông tin của thiết bị cần quan sát 76

Hình 3.52 Tạo biểu đồ cho thiết bị 77

Hình 3.53 Chọn thông tin muốn hiển thị cho thiết bị 78

Hình 3.54 Hiển thị những thông tin đã chọn của tất cả thiết bị 79

Hình 3.55 Cấu trúc cây thư mục của thiết bị 80

Hình 3.56 Đặt tên cho thiết bị cần quan sát 81

Hình 3.57 Hiển thị thông tin sau khi thêm vào quan sát “Internet ADSL” 82

Hình 3.58 Chọn thiết bị để quan sát 83

Hình 3.59 Chọn thiết bị để đặt vào mục “Internet ADSL” 84

Hình 3.60 Hiển thị thiết bị sau khi thêm 85

Hình 3.61 Cấu trúc cây sau khi hoàn thành thêm vào các thiết bị 86

Hình 3.62 Hiển thị thông tin bằng đồ họa của thiết bị 87

Hình 3.63 Thêm vào những mẩu mà trên Cacti không hổ trợ 88

Chương 1 : GIỚI THIỆU ĐỀ TÀI

1.1 Đặt vấn đề

Hiện nay, nhiều công ty đang có nhu cầu nâng cấp toàn bộ hệ thống hiện có và chuyền sang dùng hệ điều hành Linux để nhằm giảm chi phí cho phần bảng quyền về hệ điều hành và các ứng dụng đang dùng trong hệ thống

Mục đích:

* Chia sẽ hệ thống tập tin và thư mục rõ ràng theo từng phòng ban

* Xây dựng hệ thống bảo mật nhằm hạn chế về virus và những tấn công từ bên ngoài hoặc bên trong vào máy chủ

* Giám sát đường truyền internet như băng thông ra vô hệ thống để biết được nhu cầu dùng đường truyền

Hệ thống hiện tại:

Gồm có: 1 file server, 1 tường lửa, 40 máy tính để bàn và 10 máy tính xách tay

* File Server

-Dùng hệ điều hành Windows Server 2003 Enterprise

-Dùng mô hình quản lý tập trung

-Phân quyền và chia sẽ tập tin và thư mục

Mô hình hiện tại:

Hình 1.1 Mô hình mạng hiện tại 1.2 Hướng giải quyết

Xây dựng hệ thống dựa trên nền tảng hiện có của thiết bị máy móc hiện có của công ty

 File Server: Vẫn giữ nguyên mô hình quản lý dữ liệu tập trung và dùng

hệ điều hành của Windows Server 2003 Enterprise

 Tường lửa

Dùng hệ điều hành Linux với phiên bản của Ubuntu 8.10

Ứng dụng: iptables, nesssus, squid proxy, sarg

Quản lý băng thông

Vẫn dùng chung máy chủ của tường lửa nhưng trên đó sẽ dùng thêm phần mềm Cacti

để quan sát băng thông trên đường truyền, cũng như hiệu năng sử dụng của máy chủ

ISA 2006

1.3 Cấu trúc báo cáo

- Chương 1: Giới thiệu đề tài; Chương 2 : Cơ sở lý thuyết giới thiệu các khái niệm về Iptables, Nessus, Sarg, Quid và Cacti ; Chương 3: Thực nghiệm triển khai mô hình sử dụng bức tường lửa trên ubuntu ( thêm vô một tí nữa); Chương 4: Kết quả thực nghiệm và đánh giá kết quả thực hiện

CHƯƠNG 2 : CƠ SỞ LÝ THUYẾT

2.1 IPTABLES

2.1.1 Định nghĩa: Iptables do Netfilter Organiztion viết ra để tăng tính năng bảo mật trên hệ thống Linux

Iptables cung cấp các tính năng sau:

 Tích hợp tốt với kernel của Linux

 Có khả năng phân tích package hiệu quả

 Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header

 Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống

 Cung cấp kỹ thuật NAT

 Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS

Iptables là bộ lọc packet mới và nặng, dành cho Linux 2.4.x Tiền thân của nó là ipchains dành cho kernel 2.2.x Một trong những điểm cải tiến quan trọng là iptables có thể thực hiện stateful packet filtering Với khả năng này, nó có thể theo dấu các kết nối TCP đã hình thành

2.1.2: Xử lý gói trong iptables:

Tất cả mọi gói dữ liệu đều được kiểm tra bởi iptables bằng cách dung các bảng tuần

tự xây dựng sẵn (queues) Có ba loại bảng này gồm:

1 Mangle: Chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP header như TOS (type of service), TTL (time to live) và MARK

2 Filter: Chịu trách nhiệm lọc gói dữ liệu Nó gồm có 3 quy tắc nhỏ (chain) để giúp bạn thiết lập các nguyên tắc lọc gói:

 Forward chain: lọc gói khi đi đến các server khác

 Input chain: lóc gói khi đi vào trong server

 Output chain: lọc gói khi ra khỏi server

3 NAT: gồm có 2 loại:Pre-routing chain: thay đổi địa chỉ đến của gói dữ liệu khi cần thiết Post-routing chain: thay đổi địa chỉ nguồn của gói dữ liệu khi cần thiết

Loại queues Chức năng

queues

Quy tắc xử lý gói (chain)

Chức năng của chain

đến các server khác kết nối trên các NIC khác của firewall

INPUT Lọc gói đi đến

firewall OUTPUT Lọc gói đi ra khỏi

firewall

Translation (Biên dịch địa chỉ mạng)

PREROUTING Việc thay đổi địa

chỉ diễn ra trước khi dẫn đường

Thay đổi địa chỉ đích sẽ giúp gói

dữ liệu phù hợp với bảng chỉ đường của firewall Sử dụng destination NAT

or DNAT POSTROUTING Việc thay đổi địa

chỉ diễn ra sau khi dẫn đường

Sử dụng source

NAT or SNAT OUTPUT NAT sử dụng cho

các gói dữ liệu xuất phát từ firewall Hiếm khi dung trong môi truong SOHO (small office- home office)

header

PREROUTING POSTROUTING OUTPUT

INPUT FORWARD

Điều chỉnh các bit quy địch chất lượng dịch vụ trước khi dẫn đường

Hiếm khi dùng trong môi trường SOHO (small office – home office)

Bảng 2.1 Các dạng route trên iptables 2.1.3 Targets:

Targets là hành động sẽ diễn ra khi một gói dữ liệu được kiễm tra và phù hợp với một yêu cầu nào đó Khi một target đã được nhận dạng, gói dữ liệu cần nhảy (jump) để thực hiện các xử lý tiếp theo Bảng sau liệt kê các targets mà iptables sử dụng

ACCEPT Iptables ngừng xử lý gói

dữ liệu đó và chuyển tiếp nó vào một ứng dụng cuối hoặc hệ điều hành để xử lý

dữ liệu đó và gói dữ liệu

bị chặn và loại bỏ

được đưa vào syslog để kiểm tra Iptables tiếp tục xử lý gói với quy luật kế tiếp

log-prefix “string”

Iptables sẽ them vào log message một chuổi do người dùng định sẵn

Thông thường là để thong báo lý do vì sao gói bị bỏ

nhưng nó sẽ gởi trả lại cho phía người gởi một thông báo lỗi rằng gói đã

bị chặn và loại bỏ

reject-with qualifier Tham số qualifier sẽ cho biết loại thông báo gởi trả lại phía gởi Qualifier gồm các loại sau:

Icmp-port-unreachable (default)

Icmp-net-unreachable Icmp-host-unreachable Icmp-proto-unreachable Icmp-net-prohibited

Icmp-host-prohibited Icmp-reset

Icmp-reply

Destination network address translation, địa chỉ đích của gói dữ liệu

sẽ được viết lại

to-destination ipaddress Iptables sẽ viết lại địa chỉ ipaddress vào địa chỉ đích của gói dữ liệu

Source network address translation, viết lại địa chỉ nguồn của gói dữ liệu

to-source <address>

[-

<address>][:<port>-<port>]

Miêu tả IP và port sẽ được viết lại bởi iptables MASQUERADE Dùng để thực hiện

source network address transation Mặc định thì địa chỉ ip nguồn sẽ giống như IP nguồn của

firewall

-to-ports <port>

[-<port>]]

Ghi rõ tầm các port nguồn mà port nguồn gốc có thể ánh xạ được

Bảng 2.2 Các tùy chọn trên iptables

2.1.4 Các tham số dòng lệnh thường gặp trên iptales:

Tham số Ý nghĩa

-t <table> Nếu bạn không chỉ định rõ là tables nào,

thì filter tables sẽ được áp dụng Có ba loại table là filter, nat, mangle

-j <target> Nhảy đến một chuỗi target nào đó khi

gói dữ liệu phù hợp quy luật hiện tại

chuỗi (chain)

đã chọn -p <protocol-type> -Giao thức, thông thường là: icmp,

tcp,udp và all

-s <ip-address> -Phù hợp IP nguồn

-d <ip-address> -Phù hợp IP đích

-i<interface-name> -Phù hợp điều kiện INPUT kh gói dữ

liệu đi vào firewall -o <interface-name> -Phù hợp điều kiện OUTPUT khi gói dữ

liệu khi ra khỏi firewall

Bảng 2.3 Các thông sồ dòng lệnh trên iptables

Ví du:

#iptables –A INPUT –s 0/0 –i eth0 –d 192.168.1.1 –p TCP \ -j ACCEPT

Cho phép bất cứ địa chỉ IP và giao thức TCP từ card mạng eth0 đi tới địa chỉ IP: 192.168.1.1

2.1.5 Những điều kiện về TCP và UDP thông dụng

start-port-number:end p tcp –dport <port> Điều kiện TCP port đích (destination

port) Có thể là một giá trị hoặc một

chuỗi có dạng: port

nối TCP mới

!—syn, nghĩa là không có yêu cầu kết nối mới

-p udp –sport <port> Điều kiện UDP port nguồn (source

port) Có thể là một giá tri hoặc một chuỗi có dạng: start-port-number:end-port-number

-p udp –dport <port> Điều kiện TCP port đích (destination

port) Có thể là một giá trị hoặc một chuỗi có dạng: starting-port:ending-port

Bảng 2.4 Những điều kiện về TCP và UDP

#iptables –A OUTPUT -p icmp –icmp-type echo-request –j ACCEPT

#iptables –A INPUT -p icmp –icmp-type echo-reply –j ACCEPT

Cho phép gửi các gói tin gởi ICMP requests (pings) và gởi trả các ICMP replies

echo-2.1.7 Một số điều kiện mở rộng

-m multiport –sport <port, port> Nhiều port nguồn khác nhau của

TCP/UDP được phân cách bởi dấu phẩy (,) Đây là liệt kê của các port chứ không phải là một chuỗi các port

-m multiport dport <port, port> Nhiều port đích khác nhau của

TCP/UDP được phân cách bởi dấu phẩy

(,) Đấy là liệt kê của các port chứ không phải là một chuỗi các port -m multiport ports <port, port> Nhiều port khác nhau của TCP/UDP

được phân cách bởi dấu phẩy (,) Đây là liệt kê của các port chứ không phải là một chuỗi các port Không phân biệt port đích hay port nguồn

-m state <state> Các trạng thái thông dụng nhất được

dùng là:

ESTABLISHED: Gói dữ liệu là một

phần của kết nối đã được thiết lập bởi

cả 2 hướng

NEW: Gới dữ liệu là bắt đầu của một

kết nối mới

RELATED: Gói dữ liệu bắt đầu một

kết nối phụ Thông thường đây là đặt điểm của các giao thức như FTP hoặc lỗi ICMP

INVALID: Gói dữ liệu không thể

nhận dạng được Điều này có thể do việc thiếu tài nguyên hệ thống hoặc lỗi ICMP không trùng với một luồng dữ liệu đã có sẵn

Bảng 2.6 x Điều kiện mở rộng khi dùng TCP và UDP

Ví dụ:

#iptables –A FORWARD –s 0/0 –i eth0 –d 192.168.1.58 –o eth1 –p TCP \ sport 1024:65535 –m multiport –dport 80, 443 –j ACCEPT

#iptables –A FORWARD –d 0/0 –o eth0 –s 192.168.1.58 –I eth1 –p TCP\ -m state –state ESTABLISHED –j ACCEPT

Cho phép các gói dữ liệu có dùng giao thức TCP, đến từ cổng eth0, có bất

kỳ địa chỉ IP nguồn là bất kỳ, đi đến địa chỉ 192.168.1.58 qua card mạng eth1 Số port nguồn là từ 1024 đến 65535 và port đích là 80 và 443 Đến khi các gói dữ liệu nhận trở lại từ 192.168.1.58, thay vì mở các port nguồn và đích, bạn chỉ việc cho phép dùng kết nối cũ đã thiết lập bằng cách dùng tham số -m state và –state ESTABLISHED

2.1.8: Logs trên Iptables

log-level <syslog level> Mức độ ưu tiên khi được ghi vào trong

tập tin syslog.h:

/usr/include/sys/syslog.h Cũng có 1 vài logs có tương tự được dùng trong:

/etc/syslog.conf chẳng hạn như (0), alert (1), crit (2), err(3), warn (4), notice (5), info (6), memerg (0), alert (1), crit (2), err (3), warn (4), notice (5), info (6), and debut (7)

log-prefix <"descriptive string"> Miêu tả logs

log-ip-options Chì xuất ra những địa chỉ ip khi yêu cấu log-tcp-sequence Bao gồm những gói tin TCP được xuất

theo tuần tự

log-tcp-option Chỉ xuất ra những dạng giao thức của IP

khi yêu cầu

Bảng 2.7 Kiểm tra logs trên iptables

Ví dụ: #sudo iptables –I INPUT –p tcp –d 192.168.1.1 –dport 8000 –j logaccept

Ghi lại tất cả thông tin từ bên ngoài tới IP: 192.168.1.1 với cổng 8000

#sudo iptables –I INPUT 5 –m limit limit 5/min –j LOG –log-prefix “iptables denied:

“ –log-level 7

Cứ 5 phút sẽ ghi lại tất cả những thông tin mà bị từ chối bởi iptables

Hiển thị những câu lệnh đã cấu hình trên iptables

#sudo iptables –L

Hình 2.1 Câu lệnh được lưu trong Iptables 2.1.9 Gói phần mềm cần cài đặt :

Có rất nhiều công cụ trợ giúp trong việc xác định các lỗi bảo mất và những điểm nhạy cảm của hệ thống như Retina của Eeye, hay GFI N.S.S của GFI… Nhưng công cụ

được các hacker và những nhà quản trị hệ thống yêu thích hơn cả vẫn là nessus, công

cụ được xếp hạng thứ nhất trong 75 công cụ bảo mật được đánh giá bởi tổ chức Insecure

Nessus là một trình quét lỗ hổng phổ biến nhất hiện nay trên thế giới, ước lượng có đến 75.000 tổ chức trên toàn thế giới sử dụng Nó xuất hiện lần đầu tiên trong bảng thống kê các công cụ bảo mật 2000, 2003 và 2006 cúa SecTools.Org

2.2.2 Chức Năng của Nessus

- Các lỗ hổng cho phép cracker từ xa có thể kiểm soát hoặc truy cập các dữ liệu nhạy

cảm trên hệ thống

- Lỗi cấu hình (ví dụ như mở mail relay, mất các bản vá,…)

- Các mật khẩu mặc định, một số mật khẩu chung, các một khẩu blank/absent (trắng hay thiếu) trên một số tài khoản hệ thống Nessus cũng có thể gọi Hydra (một công cụ bên ngoài) để khởi chạy một tấn công dictionary

- Từ chối dịch vụ đối với ngăn xếp TCP/IP bằng sử dụng các gói dữ liệu đã bị đọc sai

2.2.3 Vì Sao Dùng Nessus

Lý do mà Nessus được yêu thích bởi vì chúng có một cơ sở dử liệu rất lớn, lổ hỏng hệ thống được cập nhận thường xuyên Giao diện dể sử dụng và kết quả được lưu lại dưới nhiều dạng khác nhau như: Biểu Đồ, XML hay PDF dể dàng tham khảo.Ngoài

ra khi sử dụng Nessus chúng ta không lo lắng về bảng quyền ít tốn tài nguyên mặc dầu vậy để quản lí Nessus đòi hỏi phải có hiểu biết tốt về Nessus cũng như Linux

2.3.1 Định nghĩa : Squid là một proxy server, khả năng của squid là tiết kiệm

băng thông(bandwidth), cải tiến việc bảo mật, tăng tốc độ truy cập web cho người sử dụng và trở thành một trong những proxy phổ biến được nhiều người biết đến Hiện nay, trên thị trường có rất nhiều chương trình proxy-server nhưng chúng lại có hai nhược điểm, thứ nhất là phải trả tiền để sử dụng, thứ hai là hầu hết không hỗ trợ ICP ( ICP được sử dụng để cập nhật những thay đổi về nội dung của những URL sẵn có trong cache – là nơi lưu trữ những trang web mà bạn đã từng đi qua ) Squid là sự lựa chọn tốt nhất cho một proxy-cache server, squid đáp ứng hai yêu cầu của chúng ta là sử

dụng miễn phí và có thể sử dụng đặc trưng ICP

- Squid đưa ra kỹ thuật lưu trữ ở cấp độ cao của các web client, đồng thời hỗ trợ các dịch vụ thông thường như FTP, Gopher và HTTP Squid lưu trữ thông tin mới nhất của các dịch vụ trên trong RAM, quản lý một cơ sở dữ liệu lớn của các thông tin trên đĩa,

có một kỹ thuật điều khiển truy cập phức tạp, hỗ trợ giao thức SSL cho các kết nối bảo mật thông qua proxy Hơn nữa, squid có thể liên kết với các cache của các proxy server khác trong việc sắp xếp lưu trữ các trang web một cách hợp lý

Các thư mục mặc định của squid:

Dung lượng đĩa dành cho cache phụ thuộc vào kích cỡ của mạng mà Squid phục vụ

Từ 1 đến 2 Gb cho một mạng trung bình khoảng 100 máy Tuy nhiên đây chỉ là một con số có tính chất ví dụ vì nhu cầu truy cập Internet mới là yếu tố quyết định sự cần thiết độ lớn của đĩa cứng

RAM : rất quan trọng, ít RAM thì Squid sẽ chậm hơn một cách rõ ràng CPU : không cần mạnh lắm, khoảng 133 MHz là cũng có thể chạy tốt với tải là 7 requests/second

* Gói phần mềm

1 : Squid: 1ubuntu2.1 _powerpc.deb

2: Squid-common : common_2.7.STABLE3-4.1_all.deb

http://ftp.us.debian.org/debian/pool/main/s/squid/squid-* Tắt / khởi động Squid

Đối với Linux : - Khởi động squid: #service squid start

- Tắt squid: #service squid stop

-Tái khởi động squid: #service squid restart

Trên Ubuntu: - Khởi động squid: # /etc/init.d/squid start

- Tắt squid: # /etc/init.d/squid stop -Tái khởi động squid: # /etc/init.d/squid restart

Chú ý: Squi khởi động không được nếu anh/chị không đưa tên của máy chủ trong khi

cấu hình squid: visible_hostname server: tên của máy cài squid

Đặc tính :

Thông qua Squid người quản trị dễ dàng quản lý hệ thống mạng của mình thông qua việc tạo những cái quy luật riêng theo ý mình :

 Nhằm tối ưu đường truyền

 Hạn chế người dùng truy cập đến những trang web hoặc những thông tin không cần thiết trên mạng

 Thông qua chức năng cache, nó giúp cho người dùng truy cập web nhanh hơn.

-d Xuất dữ liệu từ ngày nào đến ngày nào

-e Email để gửi báo cáo

-f Tập tin cấu hình (/etc/sarg/sarg.conf)

-g Định dạng ngày tháng năm

-h Trợ giúp

-i User và IP

-l Ghi vào log

-n Phân giải địa chỉ IP

-o Xuất ra theo đường dẫn nào

-p Chỉ xuất báo cáo ra dạng IP, không dùng UserID

-s Truy cập website (Ví dụ : www.microsoft.com, www.24h.com.vn)

-t Thời gian truy cập

-w Xuất báo cáo ra 1 thư mục tạm thời nào đó

-x Xử lý dữ liệu

-z Dò tìm lồi trong qua trình xử lý dữ liệu từ Squid

Bảng 2.8 Một số thông số sử dung trong Sarg

2.5 CACTI

2.5.1 Định nghĩa: dùng để hổ trợ người quản trị mạng quan sát hệ thống, tối ưu

hệ thống về mặc đường truyền internet và server thông qua những biểu hiện trên biểu

đồ hệ thống chẳng hạn như dựa trên độ thị chúng ta có thể biết được hàng tháng chúng

ta dùng được bao nhiêu MB khi truy cập internet và chọn gói tin phù hợp khi đăng ký với các nhà dịch vụ internet Bên cạnh đó chúng ta biết được liệu CPU, RAM của thiết

bị mạng đã hoạt động có hết công sức hay chưa, qua đó chúng ta biết được có nên nâng cấp đường truyền, CPU hoặc RAM của thiết bị hay không

2.5.2 Ưu điểm và khuyết điểm

* Ưu điểm

Giao diện thân thiện, dễ sử dụng, không cần dùng những giao diện dòng lệnh như MRTG

Báo cáo đơn giản, rõ ràng và dể hiểu Tương thích tốt với Router Cisco và hệ điều hành Windows

* Khuyết điểm

Một vài thiết bị không có sẳn những templates để lấy những thông tin cấu hình về CPU, RAM và Card Mạng chẳng hạn như D-LINK, LINK-PRO…

CHƯƠNG 3 :THỰC NGHIỆM VÀ TRIỂN KHAI MÔ HÌNH MẠNG

3.1 Giới thiệu mô hình mạng

Hình 3.1 Mô Hình Mạng 3.2 Triển khai

3.2.1 Iptables

Iptables, Nessus, Squid, Sarg, Cacti

Hình 3.2 Mô hình mạng Iptables

-Dùng dòng lệnh : #sudo apt-get install iptables # chương trình sẽ tự động cài đặt

những gói tin cần thiết cho iptables

Khởi động iptables :

-Khởi động : #sudo /etc/init.d/iptables start

-Tắt : #sudo /etc/init.d/iptables stop

-Khởi động lại : #sudo /etc/init.d/iptables restart

-Lưu cấu hình :

1 : #sudo iptables-save > /etc/iptables.rules # lưu iptables ra thành 1 tập tin tên : iptables.rules

2 : Mở tập tin interface : #sudo gedit /etc/network/interfaces và thêm vào 2 dòng sau :

Bảng 3.1 : Câu lệnh để lưu Iptables

-Mô tả:

-Tất cả các máy tính trong mạng sẽ đi ra internet thông qua tường lửa Iptables Iptables ở đây có chứng năng lọc các gói dữ liệu đi ra và vô trong hệ thống mạng Nhằm mục đích hạn chế những đợt tấn công từ phía bên ngoài vào trong hệ thống nội

bộ và sự tấn công của virus

-Bên cạnh đó trên Iptables sẽ mở 1 số cổng nhằm mục đích hổ trợ cho những users bên ngoài truy cập vào hệ thống của công ty để truy cập tài nguyên như cổng: 21, 80, 443,

pre-up iptables-restore < /etc/iptables.rules

post-down iptables-restore < /etc/iptables.downrules

#sudo iptables flush

#sudo iptables table nat flush

#sudo iptables delete-chain

#sudo iptables table nat delete-chain

#sudo iptables table nat append POSTROUTING out-interface eth0 -j

MASQUERADE

#sudo iptables append FORWARD in-interface eth1 -j ACCEPT

Bảng 3.2 Cấu hình NAT trên Iptables

Sau khi nhập xong các dòng trên Mở tập tin /etc/sysctl.conf và chỉnh lại dòng sau:

net.ipv4.ip_forward=1

3.2.1.2 Hướng dẫn chặn port và dịch vụ trên iptables

Giới hạn icmp từ bên ngoài:

#iptables -N icmp_rules

# iptables -A icmp_rules -m limit limit-burst 5 limit 2/m -j RETURN

# iptables -A icmp_rules -j DROP

# iptables -A INPUT -i eth0 -p icmp icmp-type echo-request -j icmp_rules

Client (10.1.1.2) ping tới máy chủ iptables: ping 10.1.1.10 –t

Hình 3.3 Kiểm tra lại cách chặn gói icmp

Chỉ 5 gói đầu trong phút đầu tiên được chấp nhận, thỏa luật RETURN đó Bây giờ đã đạt đến mức đỉnh là 5 gói, lập tức Iptables sẽ giới hạn PING tới lo là 2 gói trên mỗi phút bất chấp có bao nhiêu gói được PING tới lo đi nữa Nếu trong phút tới không có gói nào PING tới, Iptables sẽ giảm limit đi 2 gói tức là tốc độ đang là 2 gói/phút sẽ

tăng lên 4 gói/phút Nếu trong phút nữa không có gói đến, limit sẽ giảm đi 2 nữa là trở

về lại trạng thái cũ chưa đạt đến mức đỉnh 5 gói Quá trình cứ tiếp tục như vậy Bạn chỉ cần nhớ đơn giản là khi đã đạt tới mức đỉnh, tốc độ sẽ bị giới hạn bởi tham số limit Nếu trong một đơn vị thời gian tới không có gói đến, tốc độ sẽ tăng lên đúng bằng limit đến khi trở lại trạng thái chưa đạt mức limit-burst thì thôi

Đưa website, mail, ftp ra ngoài internet

1:website: cổng 80 (HTTP), 443( HTTPS)

Hình 3.4 Truy cập từ ngoài vô máy chủ web khi chưa đưa ra ngoài

# iptables -t nat -A PREROUTING -i eth0 -p tcp dport 80 -j DNAT to 192.168.1.2

# iptables -t nat -A PREROUTING -i eth0 -p tcp dport 443 -j DNAT to 192.168.1.2

Hình 3.5 Truy cập được tới máy chủ web sau khi đưa ra ngoài FTP:

# iptables -t nat -A PREROUTING -i eth0 -p tcp dport 21 -j DNAT to 192.168.1.2

# iptables -t nat -A PREROUTING -i eth0 -p tcp dport 20 -j DNAT to 192.168.1.2

Mail:

# iptables -t nat -A PREROUTING -i eth0 -p tcp dport 110 -j DNAT to 192.168.1.2

# iptables -t nat -A PREROUTING -i eth0 -p tcp dport 25 -j DNAT to 192.168.1.2

3.2.1.3 Một số dịch vụ

* Chặn truy cập internet:

Hình 3.6 Thư truy cập google.com.vn khi chưa chặn internet

* Cấm IP: 192.168.1.2 truy cập internet

# iptables -A INPUT -i eth0 -s 192.168.1.2 –p tcp dport 80 -j DROP

# iptables –I FORWARD –i eth1 –s 192.168.1.2 –p tcp dport 80 -j DROP

* Cấm 1 dãy IP truy cập internet:

iptables -I FORWARD -m iprange src-range 192.168.1.100-192.168.1.150 –p tcp dport 80 -j DROP

Hình 3.7 Sau khi chặn internet Client không thể truy cập

* Cấm truy cập theo thời gian

iptables –I FORWARD –s 192.168.1.15 –p tcp dport 80 –m time –timestart 11:00 –timestop 11.30 weekdays Mon,Tue,Wed,Thu,Fri,Sun –j DROP

Hình 3.8 Cấm truy cập internet từ 11:00 tới 11:30 từ thứ 2-thứ 6 và chủ nhật

Truy cập web lại lúc: 11:32 AM

Hình 3.9 Truy cập lại website sau khoản thời gian bị giới hạn

3.2.2 Nessus

Vẽ Mô Hình

Hình 3.10 Mô hình mạng dùng Nessus

Nessus

3.2.2.1 Hướng dẫn cài đặt

Lưu ý:

Máy chủ Nessus cần được cấu hình trên các hệ thống Linux, nhưng chương trình giao

tiếp (Nessus client) có thể cài trên các hệ thống Windows OS hoặc Linux

Cách 1:Đầu tiên chúng ta tải về bốn tập tin

Các dòng lệnh trên sẽ giải nén và lần lượt cài đặt các gói tin thư viện và các plug-in cần thiết cho quá trình quét lỗi Khi tiến trình cài đặt hoàn tất bạn hãy dùng trình soạn thảo

vi, hay emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại

và chạylệnh\ldconfig

Để kết nối với máy chủ Nessus bằng giao thức an toàn SSL thì chúng ta cần tạo các SSL

certificate cho Nessus thông qua lệnh nessus-mkcert và tiến hành theo các chỉ thị đưa ra Cách 2:

#sudo apt-get install nessusd nessus nessus-plugins

#sudo update-rc.d nessusd defaults

#/etc/init.d/nessusd start

Bảng 3.4 Cài đặt từ dòng lệnh apt-get

Tạo tài khoản:

Tiếp theo ta cần tạo tài khoản dùng để chạy nessus bằng tiện ích nessus-adduser Điều này có thể giúp chúng ta tạo ra các tài khoản chỉ có thể quét lỗi trên lớp mạng con mà mình quản lý

Hình 3.11 Tạo user trên nessus

Chú ý: Mặc định khi cài đặt nessus bằng dòng lệnh apt-get thì mật khẩu

“Authentication (pass/cert)” bằng rỗng

Như vậy ta đã hoàn thành các bước cài đặt cho máy chủ nessus, hãy khởi động bằng

lệnh nessusd &, sau đó chạy trình khách nessus thông qua dòng lệnh nessus ở bất kỳ

terminal nào và cấu hình các tham số cần thiết cho quá trình quét lỗi

3.2.2.2 Dò tìm lỗ hỗng trong hệ thống

Đầu tiên chúng ta cần log-in vào máy chủ nessus thông qua trang đang nhập với tài khoản đã tạo ra