Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp Đề tài triển khai hệ thống firewall trên iptables cho mạng của công ty TNHH vươn cao luận văn, đồ án, đề tài tốt nghiệp
Trang 1L@I NOIDA
Trong công culic đi mBi không ngữlng cña khoa
thuRit công nghữ, nhiBu lĩnh vữc đã và đang phát trin vt đfic biflt là lĩnh viic Công nghñ thông tin Thành công liin nhiït có thữ kữ đữn là s@ ra đi cña chiflc máy tính Máy tính đc coi là mfit ph8ing tin trữ giúp ]Œc cho con nglữi trong nhiu công vific đc biữt là công tác quBn lý Miững máy tính đữlBc hình thành tB nhu c?u muBn chia sữi tài nguyên và dùng chung nguữn đ8 li8u Máy tính cá nhân là công cñ tuyBt vữi giúp to dRl li8u, b@ng tinh, hinh Binh, va nhi@lu dữing thông tin khác nhau, những không cho phép chia sữ1 dữ liu bữn đã to nên Niữu không có
hữ thững mững, dữ li8u phữi dBc in ra gifly thì ngữiBi khác m8Bi có thữl hifu chữinh và sữi diing đ8lfic hofilc chữl có thữl sao chép lên đĩa mm do đó tữìn nhi@u thi gian va cong slic
Khi ng8Bi làm vifc ñ môi tr8lng đc lữp mà nỉ máy tính cña mình vi máy tính ca nhi3u ngữi khác, thì ta có thí
sữ dữing trên các máy tính khác và c máy in Mững máy tính đữñc các tữ chíc sữ dữIng chữ yl3u đñ1 chia sữ, dùng chung tài nguyên và cho phép giao trfc tuyfn bao gữìm gli và nhữn thông đifp hay thữ điữn t3, giao dfich, buôn bán trên mflng, tìm kim thông tin trên miầng Những khi chia sÍ? tài nguyên trên m@ng thi ph@i d@ c@lp điần đi bữlo mftt cña các tài nguyên cñn chia sữ tránh những kữ xâm nhữp bât hp pháp truy cflp vào hf1 thững cña chúng ta, điu này nfly sinh ra những chữfng trình,
phñn cflng hay phiần miầm hñl trữ đữ1 quữn lý và kiflm soát các
tài nguyên ra, vào hf1 thilng, các phữin mflm hi trữ thông th8lng
nh@ ISA 2004, ISA 2006, COMODO Firewall, iptables, TCP
Wrappers chting cé cling chung mt xu hing dé 1a bBo va va quữn lý hñữ thững mfing bên trong ca chúng ta trữiic những tin
Trang 2
truy clip bflt hp pháp Đi8u nR\y thúc đ8y em tìm hi8u đã
tai nay
Lý do chữn đñi tài : Trước khi triển khai một hệ thống mạng thì
điều quan trọng nhất là khâu thiết kế hệ thống mang, lam thé nào
để hệ thống của chúng ta vận hành mBit các trữin tru và hiữiu qufi,
những bên cfinh đó ta không thổi không tfl đfit câu hi cho chính
mình là hữl thững mững cữla chúng ta đã vữIn hành trữn tru ri
những có đi đf an toàn và bữlo mfit hay chữa? điu này không
quan trững 12m d@i v@i những doanh nghiữp nhữ những rữit
quan trững đổi vũi các doanh nghiữjp lữn, các ti chữic mang tìm
c1 qulc gia bi những thông tin cña hữl rt nhy cm nên 48
đím bo đổi an toàn cho hf thing mfing ching ta cần phiẦli
thiñt lilp những chính sách quữn trí phù hp, điØu này đã thôi
thúc em nghiên cu và tìm tòi các Ang dfing phữin cñng, phần
mm FIREWALL tñữing thích trên các hữl điØu hành phổi bin
hifn nay nhữi Windows, Linux
Trong phữn này em nghiên cu chữ yflu các ng dững trên
Iptables cila Linux, t@lo ra các chính sách đữi quữn trữ hữl thing
mñững dữla trên iptables và quữn lý các dữ liu ra vào hữ thững,
điìm bo hñ thững đc b8o vũ 3 mfc tRi đa có thữ Em si
dững iptables trên hữ điiu hành Linux Centos version 5.8
tai: DH tai gam cé 3 ching
: Tñng quan vữ mững máy tính va bZ@o mit ming
Tổng quan vê hệ thống mạng và phân tích các nguy cữ đe
doñl hñl thững mfing và hflfing gii quyfit, các phổing pháp đổi
phòng thư hñ thững mữing
Chñững II : Töồng quan vũ Firewall và Iptables
Giữi thiu vữ các vn đi cữ biần cñla Firewall, phân loBli
Firewall, các kiữin trúc cữ bữin cia Firewall và cữ chữ làm viBic
TÀI LIU THAM KHBO
Tiững VifIt [1] Phữm Hoàng Dũng, Linux tñ hBc trong 24 giØ, NXB Thững Kê,
2005
[2] Nguyän Thúc Hồi, Miing máy tính và cdc hB thing mB, NXB
Giáo dc, 1999
[3] Nguy@n Ph@@ing Lan, Hoang Giáo Dữc, 2001
Hồi, Lữp trình LINUX, NXB
[4] Nguyfn Hữing Thái, Cài đít và cầu hình Iptables, TP H1 Chí Minh
[5] Trữn Nhữt Huy- Hoàng Hai Nguyên - Ngô Trí Hùng
Nam,Tñng bfifc làm quen viii Iptables, TP Hữl Chí Minh,
12/2006
Trang 3
ca chúng
Chữững HH : Triữn khai h2 thững Firewall trén Iptables cho
miầng cña công ty TNHH Vflön Cao
Đà Nũing, Ngày 26 tháng 4 năm 2013
Trifn khai và cflu hình hữl thữlng Firewall Sinh viên thiïc hifIn
Võ Văn Vũng
Trang 4
G QUAN Vil MEING MAY TINH VA B&O M2IT MEING
1.1 GIGI THIGU MENG MAY TINH VA MO HINH MENG
1.1.1 Giới thiệu về mạng máy tính
1.1.1.1 Mạng máy tính là gì?
Miing máy tính là tiip hp các máy tính kfit nữi vii nhau bBli
đữlững truyữn vũit lý theo mữit cu trúc nào đó đữi đáp [ng các
yêu cu
i ding
1.1.1.2 Vai trò của mạng máy tính ?
- _ Khi năng sñl dững chung tài nguyên
- Tang d@ tin cHly cla hf thing
- Nang cao ch@t 18@ing va hi@u qu® khai thdc théng tin
trong ming
© Dap Gng nhGing nhu cu ca hO thing Qng ding kinh
doanh hiữIn đãi
e _ Cung cñp sỡ thữïng nh@it giữia các dữ liiu
1.1.2 M6 hình mạng máy tính
1.1.2.1 Mô hình khách- chủ (Client- Server)
Các máy trạm được nói với các máy chủ, nhận quyền truy nhập
mạng và tài nguyên mạng từ các máy chủ Đối với Windows NT các
máy được tổ chức thành các miền (domain) An ninh trén các domain
được quản lý bởi một số máy chủ đặc biệt gọi là domain controller
KT LUBN
1 Những gì đã đạt được
Đñ tài đã đi sâu phân tích làm rõ những nét tñng quan vữ
hệ thống tưởng lửa cũng như triển khai một hệ thống tưởng lửa
được ứng dụng mạnh và miên phí hiên nay là iptables
2 Những phần chưa đạt
DB tai con rBit nhi3u những th sót Chí3 giá và gii thích nguyên tĩic hoflt đĩng cñl thí1 cña Firewall Phñn lý thuyBt ting quát chữi chữ sữ IBic tóm tt chữi chữa đi sâu nghiên cñiu kĩ lướng vẫn đñi Phữn thữi nghiữm chạy trên máy
ao thì đã thành công nhưng chưa áp dụng trên thực tế
đi sâu đánh
3 Hướng mở rộng,
- Khai thác và phối hợp các luật cua iptables để bao vệ
mạng
- Tích hợp hệ thống Snort vào trong hệ thống
~ Triển khai cho một mô hình công ty cụ thể
Trang 5
‘NIC
Firewall 1 192.168.120 Ï172.16.0.10 192.168.1.1/24]
Firewall 2 172.16.0.20 [10.0.0.10 172.16.0.10/16)
III.3.3 Các bước triển khai
111,3.3.1 Lắp đặt các thiết bị theo sơ đồ logic
111.3.3.2 Cau hinh trén mdy Firewall 2
111.3.3.3 Cau hinh trén mdy Firewall 1
THỊ.3.3.4 Cài đặt và cấu hình vùng DMZ
-_ Cài đữt và hình Webs
- Cai d@it va clu hinh FTPs
IIL3.3.5 Thiết kế các chính sách cho 2 firewall dành cho công
ty Vain Cao
Thiữit lip các chính sách đữa vào mô hình mững giai pháp áp
dụng cho công ty
+ Cho phép vùng Internal truy cfp Internet
+ Cho phép ving Internal truy c@lp DMZ
+ Cho phép ngữØi dùng bên ngoài truy cữip DMZ với các
cổng dich vụ được hố trợ nhữl 80,443,53,21,25
+ CPim vùng Internal truy cñip điữn các web không lành
mạnh
+ Chữn các c
t@in công tí bên ngoài vào nhữi DOS
1.3.4 Một số hình ảnh minh họa
Hình 1.1 Mô hình Client — Server
1.1.2.2 M6 hinh mang ngang hang (Peer- to- Peer) 1.2 CAC PHUONG PHAP TAN CONG MANG
1.2.1 Main in the middle attack
Đây là một kỹ thuật tấn công cổ điển nhưng vẫn được sử dụng cho đến ngày hôm nay, kiểu tắn công này thường dùng cho mạng không dây như giả mạo ARP, DNS, chiếm quyền điều khiển Sestion, đánh cắp Cookies bằng Hamster và Ferret
Mac: pene Rhee a)
10003
—.ỏ
Hinh 1.3 M6 hinh ARP- spoofing
Trang 6
Kiểu tắn công này thường được sử dụng nhất là kiểu giả mạo
ARP, hiểu được cách tấn công giả mạo này thì cũng phần nào hình
dung được hình thức phương thức tấn công này.Việc sử dụng kỹ
thuật encryption và authentication để nâng cấp việc bảo mật dữ liệu
nhưng hackers vẫn còn có thể thâm nhập vào hệ thống của bạn dựa
vào sự hoạt động của các giao thức Hackers sử dụng một thiết bị
không có thật giữa người dùng cuối và mạng không dây Hackers sử
dụng những tools để có thể tìm ra những gói tin arp và có thẻ điều
khiển mạng của bạn
1.2.2 Tan cong DoS
công DoS là kiu tin công mà ngñ1ñi mà ngñiBi tIn
công làm cho hữl thững niìn nhân không thữ sữ dững hoc làm
cho hữ thững đó bñi chữm đi m@t cach dang k® so vBi ng@Bi sB
ding binh th@Bing bling cach lam qua ti tai nguyén cia hB
thiñng Nữu kÑ] tìn công không có khii năng xâm nhữjp vào hi
thững thì chúng cñl gìng làm cho hi thững bñl silp đi và không
có khfi năng phc vĩ ngizli dùng bình thữing thì đó gữi là tiần
công Denial of Service
1.2.2.1 Cac mic đích cña tìn công DoS
Cũ gữìng chiữm băng thông mfïng và làm hñ thững mững bữi
ng@p lft
- 10.0.0.x/8 Lớp mạng nội bộ bên trong - internal
III.3.2 Các chương trình và thiết bi cân thiết cho giai pháp
Tuy là xây dựng sơ đô hệ thống mới nhưng chúng ta vẫn
tan dụng triệt để những thiết bi cua hê thống cũ mà vấn đáp ứng
tốt được yêu câu, với mô hình mới thì công ty chỉ cân mua thêm
các thiết bi sau :
- 2 máy tính, mối máy có 2 card mạng lân lượt đóng vai trò là firewall 1 và firewall 2
~ Hệ điêu hành Linux (Centos 5.8)
Để tiến hành triển khai giai pháp trên ta sẽ demo mô hình trên
nên tang máy ao, khi đó ta cân chuẩn bi những thiết bi sau :
- 3 máy cài h1 đifiu hành Linux Centos trong đó có:
+ 1 máy đóng vai trò là firewall 1 có 2 card mạng
là eth0 và eth1
+ 1 máy đóng vài trò là firewall 2 có 2 card mạng cũng là eth0 và eth1
+ 1 máy đóng vai trò FTPs và WEBs có 1 NIC eth0
- Các máy Client được đặt dia chi ip thuộc lớp internal để tiến hành kiểm tra sự thực thi cua luật
Bang phân chia đia chỉ IP cho các NIC theo mô hình
Trang 7
III2.2 Dé xuất giai pháp
Xây dựng hệ thống Firewall 2 lớp theo mô hình dé xuất đề
xuất có khả năng khắc phục được hầu hết các nhược dié
của mô hình hiện tại của công ty Mô hình có nhiều ưu điểm và có
tính khả thi cao vì đáp ứng được các vần đề cáp thiết, oan toàn, bảo
mật, chỉ phí thấp
III.3 TRIBN KHAI Hữ THữNG FIREWALL TRÊN IPTABLES CHO
MENG CBA CONG TY TNHH VEEN CAO
II.3.1 Sơ đô logic khi áp dụng giải pháp
TITSBMIE OW: TIGA
Hình 3.2 - Sơ đô logic hệ thống mạng ứng dụng firewall
- 192.168.1.x/24
internet
- 172.16.0.x/16 Lop mang ving DMZ
Lớp mạng nối ra ngoài
Cñl gữìng ngữit kflt nữi gia 2 máy và ngăn chữin truy cữp vào d@ich va
Ngăn chữin ng@i@i dùng truy cflp mBlt dfich vfl cữi thổi và du hi8u tìn công DoS thữlng nhữn thấy là tt mững, t chức không hoRit đững, tài chính bữl mỗi
1.2.2.2 Mic tiêu mà kì tầìn công thữlflng sữì đồng tữìn công DoS' 1.2.3 Tấn công DDoS
2.3.1 Các đặc tính của tắn công DDoS
1.2.3.2 Tắn công DDoS không thể ngăn chặn hoàn toàn
1.3 CAC KỸ THUAT TAN CÔNG MẠNG PHÓ BIẾN
1.3.1 Nghe lén (sniffing)
Theo đúng như tên gọi, kỹ thuật này không tấn công trực diện vào các máy người dùng (client) hay máy chủ (server), mà nó nhằm vào không gian truyền dữ liệu giữa các máy Sniffng là kỹ thuật
được các quản trị viên dùng theo dõi, chuẩn đoán, phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng Tuy nhiên, kỹ thuật
này về sau bị biến tướng trở thành công cụ đắc lực phục vụ mục đích thu thập trái phép các thông tin nhạy cảm tên tài khoản mật khẩu, credit card, của người dùng khi luân chuyển trên mạng
1.3.2 Quét thim dé ( Scanning) Phần lớn thông tin quan trọng từ server có được từ bước này
Xác định hệ điều hành, xác định hệ thống có đang chạy không, tìm
hiểu các dịch vụ đang chạy hay đang lắng nghe, tìm hiểu các lỗ hồng,
Trang 8
kiểm tra các công, xác định các dịch vụ sử dụng giao thức TCP và
UDP Những thông tin này sẽ giúp cho hacker có kế hoạch tấn công
hợp lý, cũng như việc chọn kỹ thuật tắn công nào Quét giúp định vị
hệ thống còn hoạt động trên mạng hay không Một hacker chân chính
sử dụng cách này đề tìm kiếm thông tin của hệ thống đích
1.3.3 Social Engineering
1.3.4 Reverse engineering
1.3.5 Tấn công tràn bộ đệm (Buffer Overflow)
1.3.6 Tấn công bằng cách cài worm,virus và trojan
1.3.6.1 Virus máy tính
1.3.6.2 Worm
1.3.6.3 Trojan Horse
1.4 PHONG THU MANG
Hầu hết trên thế giới hiện nay đều nghiên cứu kỹ lưỡng từng kỹ thuật
tấn công và tìm kiếm nhược điểm nhằm mục đích vô hiệu hóa
phương thức tấn công đó Công cụ để triển khai phòng thủ không
khác gì ngoài những hệ thống được dựng lên với những chính sách
và luật riêng như tường lửa, hệ thống xác thực, mã hóa, phân quyền,
những bản vá lỗi lỗ hồng bảo mật, IDS,honeynet,honeysport
Người quản trị phải luôn cập nhật mới kiến thức và thường xuyên thử
đóng vai trò người tắn công vào chính hệ thống của mình từ đó xây
dựng các phương án phòng thủ phù hợp
III.2 HIZN TRANG MENG C&A CTY VAIN CAO DANG Sil DENG
III.2.1 Hién trạng bi tấn công Trong quá trình hoflt đững cữla công ty mà bñữl phn kB thuñt ghi nhữin đữifc thì có tìng cữing 4 cufic tữìn công DDoS vào hai máy FTP server và WEB server công ty trong 6 tháng đu năm 2013 nhi8u hữn giữp 2 ln cùng kỳ năm trifc và tình tì chung là nhân viên không th truy cp vào 2 trang nay
Email cña giám đc và ki toán trữi”ng bữ xem tri1m, mBt vữn đữ rữt nhñy cm và cữn có những phñlữing án cữip bách đữi ngăn chữn tinh trững này xũy ra mũi lữn nữa tr8iØc khi tìm
phim
Công vific làm ăn cBia céng ty thufin IBi va ngay cang mB rững, yêu cñu bây giữ là phñii xây di2ng mñit mô hình công ty phù
hp vii tình hình mBi trong dé cf sB hi t@ng hO thững mững
ca công ty phi đm bo đñữc tính mữi.Trong thữii gian ti3i đây công ty tin hành public các server ra ngoài internet, xây dữing website hoàn chữnh nhữm quững bá hình nh cña công ty đ3 phi h@p v@i xu th®@ phát tri8n cña thữ trữlng Ngoài vific xây đững mBt hñ thững mững mang tính oan toàn, bữlo mBt thì phñi đáp ng đữZc tính sàng khi hữ thững mững đòi hữli cin nâng clip cũng nhữ triữZn khai các chính sách cl2a công ty ngay trên đó
Những thông tỉn trên là hôi chuông canh báo cân có những thay
đổi và phai xây dựng lại một hệ thống mạng phù hợp hơn khắc
phục được những điểm yếu cua hệ thống mạng hiện tại cua công
ty và phai đáp ứng được những yêu câu an toàn đặt ra cũng như
phù hợp với việc quan lý sau này
Trang 9
CHONG IIT
TRIN KHAI Hữ THữNG FIREWALL TREN IPTABLES CHO
MENG CÔNG TY TNHH VPIIN CAO
III.1 GI8I THI8U Hữ THữNG MữING CONG TY TNHH VERN CAO
TIL1.1 Sơ đồ logic hệ thống mạng hiện tại công ty đang áp dụng
munis = amuses
GW/BSI GWISHRI
Web Shrver_ FTP Server ⁄
Router
19216812-938
“KẾ Toán x ae Se ——^¬ - F
tag ý
Hình 3.1 - Sơ đô logic hê thống mạng đang áp dụng
HI.1.2 Phân tích sữ đã hữ thững
- Mô hình mạng mà công ty đang áp dụng là mạng ngang
hàng
- Ving DMZ nim chung lép mang véi ving Inside
- Héthéng hau nhu không được bảo vệ và phản ứng yếu ớt khi
bị tấn công
1.4.1 Các nguyên tắc cơ bản của công tác phòng thủ mạng
1.4.1.1 Nguyên tắc chính thể
1.4.1.2 Nguyên tắc quy phạm 4.1.3 Nguyên tắc độ thích ứng
14.1.4 Nguyên tắc đồng bộ 1.4.2 Danh gia nguy cf hf thing ming
1.4.3 Một số ký thuât phòng thư
1.4.3.1 Anti DDoS 1.4.3.2 Anti ARP- snoofing 1.4.3.3 Anti SSL (man- in- the- middle)
Trang 10
TUNG QUAN Vel FIREWALL VA IPTABLES
G QUAN Vi FIREWALL
H.1
TI.1.1 Firewall là gì?
TH.1.1.1 khái niệm Firewall
Trong công nghĩ mững thông tin, Firewall là mũt kữ
thuBt được tích vào hñ thững mững đũ chững sữ truy cfip
trái phép, nhữm bflo vi các nguữn thông tin nữi bBl và hữn chữ
s1 xâm nhiÄp không mong muin vào hf thững Cũng có thi hi8u
Firewall là mữit cữ chữl (mechanism) đñ bo vữ m@ing tin t@@ng
(Trusted network) khfli các miing không tin tưởng (Untrusted
network)
Thông thưởng Firewall được đt giña mữing bên trong
(Intranet) mfBt công ty, tữl chữc, ngành hay mfit qulc gia, và
Internet Vai trò chính là bữlo mữit thông tin, ngăn chữn sữ truy
nhiữlp khéng mong muffin tũÌ bên ngoài (Internet) và cm truy
nhữp tñi bên trong (Intranet) tñi mũi sữl đa chữ nhBt d@nh trén
Internet
Nhảy thêm một chuỗi targer nào đó khi
gói dữ liệu phù hợp quy luật hiện tại
~1<chain> Insert thém rule vao đâu chain
Nổi thêm một quy luật nào dé vao cudi
- A <chain> -
chain
F Xóa hết tất cả mọi quy luật trong bảng đã
chọn
Phù hợp với giao thức (protocols), thông
~p <protocol- type> | thường là các giao thức như icmp, tep,
udp và all
-s <ip_address> Source dé chi ip nguôn
- d <ip_address> Destination dé chi ip dich
Phù hợp điêu kiện INPUT khi gói dữ liệu
đi vào Firewall
- i <interface- name>
Phù hợp điêu kiện OUTPUT khi gói dữ
~ 0 <interface- name>
liệu đi ra khỏi Firewall
Bảng 2.3 Các tham số chuyên mạch quan trọng của iptables 1.2.2.6 Những module kernel cần thiết
1.2.2.7 lưu cẫu hình script cho iptables 1.2.2.8 Khắc phục sự cố trên ipfables
