1. Trang chủ
  2. » Luận Văn - Báo Cáo

Bảo mật mạng máy tính bằng firewall triển khai iptables trên centos

49 13 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 49
Dung lượng 1,5 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Cấu trúc

  • CHƯƠNG I. TỔNG QUAN VỀ AN TOÀN – AN NINH MẠNG (6)
    • 1.1. An toàn mạng là gì? (6)
    • 1.2. Các đặc trương kỹ thuật của an toàn mạng (7)
    • 1.3. Đánh giá về sự đe dọa, các điểm yếu của hệ thống và các kiểu tấn công (8)
      • 1.3.1. Đánh giá về sự đe dọa (8)
      • 1.3.2. Các lỗ hổng và điểm yếu của mạng (9)
      • 1.3.3. Các kiểu tấn công (11)
      • 1.3.4. Các biện pháp phát hiện hệ thống bị tấn công (13)
  • CHƯƠNG II. TỔNG QUAN VỀ FIREWALL (14)
    • 2.1. Khái niệm về Firewall (14)
      • 2.1.1. Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet? (14)
      • 2.1.2. Sự ra đời của Firewall (15)
      • 2.1.3. Mục đích của Firewall (16)
      • 2.1.4. Các lựa chọn Firewall (19)
    • 2.2. Chức năng của FireWall (20)
      • 2.2.1. Firewall bảo vệ những vấn đề gì? (20)
      • 2.2.2. Firewall bảo vệ chống lại những vấn đề gì? (21)
    • 2.3. Mô hình và kiến trúc của FireWall (22)
    • 2.4. Phân loại FireWall (24)
      • 2.4.1. Packet Filtering Firewall (24)
      • 2.4.2. Application-proxy firewall (25)
    • 2.5. Một số vấn đề khi lựa chọn FireWall (27)
      • 2.5.1. Có cần Firewall? (27)
      • 2.5.2. Firewall điều khiển và bảo vệ gì? (27)
    • 2.6. Những hạn chế của FireWall (27)
  • CHƯƠNG III. IPTABLES TRÊN HỆ ĐIỀU HÀNH CENTOS (29)
    • 3.1. Iptables là gì? (29)
      • 3.1.2. Tải về và cài đặt trọn gói Iptables (0)
      • 3.1.3. Làm thế nào để bắt đầu iptables? (0)
      • 3.1.4. Xác định Các trạng thái của iptables (0)
    • 3.2. Cơ chế xử lý package trong iptables (30)
    • 3.3. Target and Jumps (34)
    • 3.4. Phân biệt giữa ACCEPT, DROP và REJECT packet (35)
    • 3.5. Tùy chọn --limit, --limit-burst (36)
    • 3.6. Các tham số và dòng lệnh thường gặp của Iptables (36)
      • 3.6.1. Các câu lệnh gọi trợ giúp (36)
      • 3.6.2. Các tùy chọn để thao tác với chains (37)
    • 3.7. Các tham số chuyển mạch quan trọng của Iptables (37)
  • CHƯƠNG IV. TRIỂN KHAI VÀ CẤU HÌNH (40)
    • 4.1. Giới thiệu sơ qua về mô hình triển khai hệ thống (41)
    • 4.2. Cấu hình triển khai IPTABLES theo mô hình đề ra (41)
      • 4.2.1. Các lệnh cơ bản khi bắt đầu (41)
    • 4.3. Cấu hình các luật lọc gói tin cơ bản (Filter) (43)
  • KẾT LUẬN (48)
  • TÀI LIỆU THAM KHẢO (49)

Nội dung

TỔNG QUAN VỀ AN TOÀN – AN NINH MẠNG

An toàn mạng là gì?

Mục tiêu kết nối mạng là cho phép nhiều người từ các vị trí khác nhau cùng sử dụng tài nguyên và trao đổi thông tin Tuy nhiên, với sự phân tán của người dùng, việc bảo vệ tài nguyên thông tin khỏi mất mát và xâm phạm trở nên cần thiết An toàn mạng được hiểu là bảo vệ tất cả các thành phần của mạng, bao gồm dữ liệu, thiết bị và cơ sở hạ tầng, đồng thời đảm bảo rằng tài nguyên mạng được sử dụng theo chính sách đã định và chỉ cho những người có thẩm quyền.

An toàn mạng bao gồm:

Xác định chính sách và khả năng nguy cơ xâm phạm mạng là rất quan trọng để đảm bảo an toàn cho thiết bị và dữ liệu trên mạng Đánh giá các nguy cơ tấn công từ Hacker và sự phát tán virus giúp đưa ra các giải pháp phù hợp An toàn mạng cần được coi là một vấn đề cực kỳ quan trọng trong các hoạt động và giao dịch điện tử, cũng như trong việc khai thác và sử dụng tài nguyên mạng.

Một thách thức lớn trong an toàn mạng là xác định mức độ bảo mật cần thiết cho việc điều khiển hệ thống và các thành phần mạng Việc đánh giá các nguy cơ và lỗ hổng có thể dẫn đến xâm phạm mạng cần được thực hiện theo cách tiếp cận có cấu trúc Các mối nguy hiểm như ăn cắp dữ liệu, phá hoại thiết bị, virus, bọ gián điệp, và rủi ro liên quan đến cơ sở dữ liệu cần được xác định Đồng thời, các nguy cơ ảnh hưởng đến hoạt động của hệ thống như nghẽn mạng và nhiễu điện tử cũng không thể bỏ qua Chỉ khi đánh giá đầy đủ những nguy cơ này, chúng ta mới có thể đề xuất các biện pháp hiệu quả để đảm bảo an ninh mạng.

Để bảo vệ thông tin hiệu quả, cần sử dụng các công cụ bảo mật như Firewall cùng với những chính sách và biện pháp chặt chẽ Vi phạm bảo mật có thể được phân loại thành hai loại: vi phạm thụ động và vi phạm chủ động Vi phạm thụ động nhằm mục đích thu thập thông tin mà không can thiệp vào nội dung, trong khi vi phạm chủ động liên quan đến việc thay đổi, xóa bỏ hoặc thêm thông tin để làm sai lệch dữ liệu gốc Mặc dù vi phạm thụ động khó phát hiện nhưng có thể ngăn chặn hiệu quả, thì vi phạm chủ động dễ nhận biết nhưng lại khó để ngăn chặn.

Các đặc trương kỹ thuật của an toàn mạng

Kiểm tra tính xác thực của một thực thể giao tiếp trên mạng là một hoạt động quan trọng trong bảo mật, bao gồm người dùng, chương trình máy tính hoặc thiết bị phần cứng Hệ thống cần thực hiện kiểm tra tính xác thực trước khi cho phép kết nối Có ba mô hình chính để thực hiện cơ chế này trong các phương thức bảo mật.

- Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như password, hoặc mã số thông số cá nhân PIN

Để tiến hành kiểm tra dựa vào mô hình thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, chẳng hạn như Private Key hoặc số thẻ tín dụng.

Kiểm tra dựa vào mô hình yêu cầu những thông tin xác định tính duy nhất của đối tượng Để đảm bảo tính chính xác, đối tượng cần cung cấp các thông tin cần thiết nhằm định danh rõ ràng.

- Như thông qua giọng nói, dấu vân tay, chữ ký,…

Bảo mật trên VPN có thể được phân loại theo nhiều cách, bao gồm mật khẩu truyền thống và mật khẩu một lần Ngoài ra, xác thực có thể được thực hiện thông qua các giao thức như PAP, CHAP, hoặc thông qua phần cứng như thẻ thông minh, thẻ token, và thẻ PC Bên cạnh đó, nhận diện sinh trắc học như dấu vân tay, giọng nói và quét võng mạc cũng là những phương pháp bảo mật quan trọng.

Tính khả dụng là khả năng mà thông tin trên mạng được các thực thể hợp pháp tiếp cận và sử dụng khi cần thiết, bất kể thời gian hay hoàn cảnh Để đánh giá tính khả dụng, người ta thường sử dụng tỷ lệ giữa thời gian hệ thống hoạt động bình thường và thời gian tổng thể hoạt động Tính khả dụng cần đáp ứng một số yêu cầu quan trọng, bao gồm khả năng nhận biết và phân biệt thực thể, kiểm soát tiếp cận (bao gồm cả tự tiếp cận và tiếp cận cưỡng bức), kiểm soát lưu lượng để chống tắc nghẽn, kiểm soát chọn đường cho phép lựa chọn nhánh và mạch nối ổn định, cũng như giám sát tung tích để lưu giữ tất cả các sự kiện trong hệ thống nhằm phân tích nguyên nhân và áp dụng biện pháp kịp thời.

Tính bảo mật là đặc tính quan trọng giúp ngăn chặn việc tiết lộ thông tin cho các thực thể không được ủy quyền và ngăn chặn các đối tượng xấu lợi dụng Chỉ những thực thể được ủy quyền mới có quyền truy cập vào thông tin Các kỹ thuật bảo mật bao gồm việc ngăn chặn dò la, bảo vệ thông tin khỏi bức xạ, tăng cường bảo mật thông tin thông qua mã hóa, và bảo mật vật lý để đảm bảo thông tin không bị rò rỉ.

Toàn vẹn thông tin trên mạng là đặc tính đảm bảo rằng thông tin chưa được ủy quyền không thể bị thay đổi, xóa bỏ, giả mạo hoặc làm rối loạn trong quá trình lưu giữ và truyền dẫn Các yếu tố chính ảnh hưởng đến sự toàn vẹn này bao gồm sự cố thiết bị, sai mã, tác động từ con người và virus máy tính.

Số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng :

Giao thức an toàn có khả năng kiểm tra thông tin để phát hiện việc sao chép, sửa đổi hoặc giả mạo Khi phát hiện những hành vi này, thông tin sẽ ngay lập tức bị vô hiệu hóa.

- Phương pháp phát hiện sai và sửa sai Phương pháp sửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn lẻ

- Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin

- Chữ ký điện tử : bảo đảm tính xác thực của thông tin

- Yêu cầu cơ quan quản lý hoặc trung gian chứng minh chân thực của thông tin

Là đặc tính về năng lực khống chế truyền bá và nội dung vốn có của tin tức trên mạng

6 Tính không thể chối cãi (Nonreputation):

Trong quá trình giao lưu thông tin trực tuyến, việc xác nhận tính chân thực và đồng nhất của các thực thể tham gia là rất quan trọng Điều này có nghĩa là tất cả các bên liên quan không thể chối bỏ hoặc phủ nhận các hành động và cam kết mà họ đã thực hiện.

Đánh giá về sự đe dọa, các điểm yếu của hệ thống và các kiểu tấn công

1.3.1 Đánh giá về sự đe dọa

Về cơ bản có 4 nối đe doạ đến vấn đề bảo mật mạng như sau :

- Đe doạ không có cấu trúc (Unstructured threats)

- Đe doạ có cấu trúc (Structured threats)

- Đe doạ từ bên ngoài (External threats)

- Đe doạ từ bên trong (Internal threats)

1 Đe dọa không có cấu trúc

Những mối đe dọa này thường xuất phát từ những hacker thiếu kinh nghiệm, những người khao khát tìm hiểu và tải dữ liệu từ Internet Họ bị cuốn hút bởi khả năng sáng tạo mà họ có thể đạt được.

2 Đe dọa có cấu trúc

Hacker sử dụng kỹ thuật tinh vi hơn so với phương pháp không có cấu trúc, nhờ vào hiểu biết sâu sắc về cấu trúc hệ thống mạng Họ thành thạo trong việc khai thác các điểm yếu của mạng, tạo ra một hệ thống có cấu trúc nhằm xâm nhập sâu vào hệ thống mạng.

Cả hai dạng có cấu trúc và không có cấu trúc đều thông qua Internet để thực hiện tấn công mạng

3 Các mối đe dọa bên ngoài

Khi các công ty quảng bá sự hiện diện của mình trên Internet, các hacker bắt đầu tìm kiếm lỗ hổng trong hệ thống mạng từ bên ngoài Họ rà soát để phát hiện điểm yếu, đánh cắp dữ liệu và phá hủy hệ thống mạng.

Mối đe dọa nội bộ từ nhân viên hoặc quản trị viên là rất nguy hiểm, bởi họ có kiến thức sâu sắc về cấu trúc và điểm yếu của hệ thống mạng, cho phép họ thực hiện các cuộc tấn công một cách nhanh chóng và dễ dàng.

1.3.2 Các lỗ hổng và điểm yếu của mạng

Lỗ hổng bảo mật hệ thống là những điểm yếu có thể gây ra sự gián đoạn dịch vụ, tăng quyền truy cập cho người dùng hoặc cho phép truy cập trái phép vào hệ thống Những lỗ hổng này có thể xuất hiện trong các dịch vụ như Sendmail, Web, cũng như trong các hệ điều hành mạng như Windows NT, Windows 95, Unix, và trong các ứng dụng khác Các lỗ hổng bảo mật trên hệ thống được phân loại thành nhiều loại khác nhau.

Lỗ hổng loại C cho phép thực hiện các cuộc tấn công từ chối dịch vụ (DoS), với mức độ nguy hiểm thấp Mặc dù không gây hư hại cho dữ liệu hoặc chiếm quyền truy cập, lỗ hổng này có thể làm giảm chất lượng dịch vụ và gây gián đoạn hệ thống.

Tấn công DoS là phương thức sử dụng giao thức Internet trong bộ giao thức TCP/IP để làm gián đoạn hoạt động của hệ thống, dẫn đến việc từ chối truy cập cho người dùng hợp pháp Khi một lượng lớn gói tin được gửi liên tục đến server, hệ thống sẽ bị quá tải, gây ra tình trạng server phản hồi chậm hoặc hoàn toàn không thể xử lý các yêu cầu từ client.

Một ví dụ tiêu biểu về tấn công từ chối dịch vụ (DoS) là các cuộc tấn công nhằm vào những trang web lớn như www.ebay.com và www.yahoo.com, dẫn đến việc ngưng trệ hoạt động của các trang này.

Mức độ nguy hiểm của các lỗ hổng loại C được đánh giá là thấp, vì chúng chỉ gây gián đoạn dịch vụ hệ thống trong một khoảng thời gian ngắn mà không ảnh hưởng đến dữ liệu Hơn nữa, những kẻ tấn công không thể đạt được quyền truy cập trái phép vào hệ thống.

Lỗ hổng loại B cho phép người dùng có thêm quyền truy cập vào hệ thống mà không cần kiểm tra tính hợp lệ, gây ra mức độ nguy hiểm trung bình Những lỗ hổng này thường xuất hiện trong các ứng dụng trên hệ thống và có khả năng dẫn đến việc lộ thông tin yêu cầu bảo mật.

Lỗ hổng này nguy hiểm hơn lỗ hổng loại C, cho phép người dùng nội bộ có khả năng chiếm quyền cao hơn hoặc truy cập trái phép.

Những lỗ hổng này thường xuất hiện trong các dịch vụ trên hệ thống, và người sử dụng local được hiểu là những người đã có quyền truy cập vào hệ thống với một số quyền hạn nhất định.

Các lỗ hổng loại B thường xuất hiện trong các ứng dụng, chẳng hạn như lỗ hổng của trình Sendmail trên hệ điều hành Unix và Linux, cũng như lỗi tràn bộ đệm trong các chương trình viết bằng ngôn ngữ C.

Trong lập trình C, bộ đệm là vùng nhớ dùng để lưu trữ dữ liệu trước khi xử lý Các lập trình viên thường sử dụng bộ đệm để quản lý không gian bộ nhớ cho từng khối dữ liệu Ví dụ, khi viết chương trình nhập tên người sử dụng, họ có thể quy định chiều dài trường tên là 20 ký tự và sẽ khai báo tương ứng.

Khai báo cho phép người sử dụng nhập tối đa 20 ký tự, nhưng nếu nhập 35 ký tự, sẽ xảy ra hiện tượng tràn vùng đệm, dẫn đến 15 ký tự dư thừa nằm ở vị trí không kiểm soát trong bộ nhớ Lỗ hổng này có thể bị kẻ tấn công lợi dụng để nhập ký tự đặc biệt, thực hiện các lệnh trên hệ thống Thường thì, lỗ hổng này được sử dụng bởi những người dùng trong hệ thống để đạt được quyền root không hợp lệ.

Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hỏng loại B

TỔNG QUAN VỀ FIREWALL

Khái niệm về Firewall

2.1.1 Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet?

Internet đã mang lại nhiều lợi ích to lớn cho con người và kết nối mọi người lại gần nhau hơn, nhưng cũng đồng thời gia tăng nguy cơ mất an toàn cho mạng máy tính Những nguy cơ này bao gồm tấn công lấy dữ liệu, phá hoại hệ thống và thay đổi cơ sở dữ liệu, khiến việc đảm bảo an toàn mạng trở nên cấp thiết Mặc dù đã có nhiều giải pháp bảo mật như phần mềm bảo vệ và tài khoản có mật khẩu, nhưng chúng chỉ bảo vệ một phần mạng Khi kẻ xâm nhập đã thâm nhập sâu vào hệ thống, nguy cơ phá hoại trở nên nghiêm trọng hơn Do đó, nhu cầu về các công cụ ngăn chặn xâm nhập từ bên ngoài, như Firewall (Tường lửa), trở nên cần thiết hơn bao giờ hết.

Firewall đóng vai trò quan trọng trong việc bảo vệ hệ thống máy tính khỏi các lưu lượng Internet nguy hiểm như hacker, sâu và virus, ngăn chặn chúng gây ra sự cố Ngoài ra, Firewall còn giúp máy tính tránh tham gia vào các cuộc tấn công vào hệ thống khác mà không hay biết Việc sử dụng Firewall là cần thiết, đặc biệt cho những máy tính luôn kết nối Internet qua băng thông rộng hoặc DSL/ADSL.

Trên Internet, tin tặc thường sử dụng mã độc như virus, sâu và Trojan để tìm kiếm lỗ hổng trong các máy tính không được bảo vệ Để bảo vệ máy tính khỏi những hoạt động này và các cuộc tấn công bảo mật khác, việc sử dụng tường lửa là rất cần thiết.

Tin tặc có thể thực hiện nhiều hành động khác nhau tùy thuộc vào mục đích tấn công Một số chỉ đơn giản là gây rối với các trò đùa, trong khi những kẻ khác có ý định nghiêm trọng hơn, như xóa hoặc phá hủy thông tin trên máy tính, hoặc đánh cắp thông tin cá nhân như mật khẩu và số thẻ tín dụng Một số tin tặc thường nhắm vào các máy tính dễ bị tấn công, sử dụng virus, sâu và Trojan để thực hiện hành vi của mình Tuy nhiên, người dùng có thể giảm nguy cơ lây nhiễm bằng cách sử dụng Firewall.

2.1.2 Sự ra đời của Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn

Trong công nghệ mạng thông tin, Firewall là một kỹ thuật quan trọng được tích hợp vào hệ thống mạng nhằm ngăn chặn truy cập trái phép và bảo vệ thông tin nội bộ Nó hoạt động như một cơ chế bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng, giúp hạn chế xâm nhập không mong muốn vào hệ thống.

Firewall thường được đặt giữa mạng nội bộ (Intranet) của các công ty, tổ chức hoặc quốc gia và Internet Vai trò chính của Firewall là bảo vệ thông tin, ngăn chặn truy cập không mong muốn từ Internet và cấm truy cập từ Intranet đến một số địa chỉ nhất định trên Internet.

Internet FireWall là một hệ thống thiết bị, bao gồm cả phần cứng và phần mềm, đóng vai trò bảo vệ giữa mạng nội bộ của tổ chức, công ty hoặc quốc gia (Intranet) và Internet.

Firewall có thể được cấu hình trong cùng một mạng nội bộ để cô lập các miền an toàn Ví dụ, trong một mạng cục bộ, Firewall được sử dụng để ngăn cách giữa phòng máy và hệ thống mạng ở tầng dưới.

Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet không xâm nhập được vào máy tính

Firewall hoạt động bằng cách kiểm tra thông tin đến và đi từ Internet, giúp nhận diện và chặn các dữ liệu từ nguồn nguy hiểm hoặc đáng ngờ Khi được cài đặt đúng cách, Firewall sẽ ngăn chặn các tin tặc tìm kiếm máy tính dễ bị tấn công, bảo vệ an toàn cho hệ thống của bạn.

Firewall là giải pháp phần cứng hoặc phần mềm thiết yếu để kiểm tra dữ liệu, đặc biệt quan trọng cho bất kỳ máy tính hoặc mạng nào kết nối Internet Đối với kết nối băng thông rộng, firewall càng cần thiết do tính chất luôn bật, tạo điều kiện cho tin tặc có nhiều thời gian để xâm nhập Hơn nữa, kết nối băng thông rộng cũng cho phép tin tặc dễ dàng tấn công các máy tính khác.

Firewall giúp người dùng yên tâm giám sát dữ liệu truyền thông giữa máy tính của họ và các hệ thống khác Nó hoạt động như một người bảo vệ, kiểm tra "giấy thông hành" của mọi gói dữ liệu ra vào máy tính, chỉ cho phép các gói hợp lệ đi qua và loại bỏ những gói không hợp lệ.

Giải pháp Firewall là rất cần thiết do cách thức di chuyển dữ liệu trên Internet Khi gửi một bức thư qua mạng, bức thư sẽ được chia thành các gói nhỏ, tìm đường tối ưu để đến địa chỉ người nhận, sau đó được lắp ráp lại theo thứ tự đã đánh số Mặc dù việc phân chia này giúp đơn giản hóa việc chuyển dữ liệu, nhưng nó cũng có thể gây ra vấn đề nếu kẻ xấu gửi gói dữ liệu độc hại, khiến máy tính không biết cách xử lý hoặc lắp ghép sai thứ tự Điều này có thể dẫn đến việc kẻ xấu chiếm quyền kiểm soát máy tính và sử dụng kết nối Internet để thực hiện các cuộc tấn công khác mà không bị phát hiện.

Firewall đóng vai trò quan trọng trong việc bảo vệ máy tính của bạn bằng cách đảm bảo tất cả dữ liệu vào là hợp lệ, ngăn chặn những người dùng bên ngoài chiếm quyền kiểm soát Bên cạnh đó, chức năng kiểm soát dữ liệu ra cũng rất cần thiết, giúp ngăn chặn kẻ xâm nhập cài đặt virus có hại vào máy tính, từ đó tránh các cuộc tấn công cửa sau tới các máy tính khác trên Internet.

Hình 2.1.3 Firewall được đặt ở giữa mạng riêng và mạng công cộng

Một Firewall có ít nhất hai giao diện mạng: giao diện chung kết nối với Internet, cho phép người dùng truy cập, và giao diện riêng chứa dữ liệu được bảo vệ Số lượng giao diện riêng có thể thay đổi tùy thuộc vào số đoạn mạng cần tách rời Mỗi giao diện đi kèm với một bộ quy tắc bảo vệ riêng, xác định loại lưu thông được phép giữa mạng chung và mạng riêng.

Firewall không chỉ đơn thuần là thiết bị bảo mật mà còn có nhiều chức năng khác như kết nối VPN, máy chủ xác thực và máy chủ DNS Tuy nhiên, việc chạy nhiều dịch vụ trên cùng một Firewall có thể gia tăng rủi ro bảo mật Do đó, để đảm bảo an toàn, một Firewall nên được sử dụng cho một dịch vụ duy nhất.

Chức năng của FireWall

FireWall đóng vai trò quan trọng trong việc quản lý quyền truy cập, xác định các dịch vụ nội bộ nào có thể được truy cập từ bên ngoài, cũng như ai từ bên ngoài được phép truy cập vào các dịch vụ nội bộ Nó cũng kiểm soát những dịch vụ bên ngoài nào có thể được truy cập bởi người dùng nội bộ.

2.2.1 Firewall bảo vệ những vấn đề gì?

- Bảo vệ dữ liệu: Theo dõi luồng dữ liệu mạng giữa Internet và Intranet Những thông tin cần được bảo vệ do những yêu cầu sau:

Bảo mật mạng được tăng cường nhờ vào chức năng của Firewall, giúp bảo vệ thông tin nội bộ khỏi các mạng không đáng tin cậy Firewall đóng vai trò là một điểm quản lý trung tâm, rất hữu ích cho các tổ chức có nguồn lực nhân sự và tài chính hạn chế.

- Danh tiếng của công ty sở hữu các thông tin cần bảo vệ

2.2.2 Firewall bảo vệ chống lại những vấn đề gì?

FireWall bảo vệ chống lại những sự tấn công từ bên ngoài

Hacker là những chuyên gia máy tính thành thạo, có khả năng lập trình xuất sắc và thường khám phá các lỗ hổng trong hệ thống Họ sử dụng kỹ năng của mình để truy cập trái phép, tạo thông tin giả và đánh cắp dữ liệu Nhiều công ty hiện nay đang lo ngại về việc dữ liệu bảo mật có thể bị hacker tấn công Để bảo vệ dữ liệu, việc sử dụng Firewall là một trong những phương pháp hiệu quả.

2.2.2.2 Chống lại việc sửa đổi mã

Khả năng tấn công xảy ra khi kẻ xấu sửa đổi, xóa hoặc thay thế mã nguồn thông qua virus, worm và các chương trình độc hại Việc tải file từ internet có thể dẫn đến việc tải xuống mã độc, đặc biệt khi người dùng thiếu kiến thức về bảo mật máy tính Những file này có thể thực thi quyền hạn theo ý đồ của kẻ tấn công trên một số trang web.

2.2.2.3 Từ chối các dịch vụ đính kèm

Từ chối dịch vụ là một hình thức tấn công gây gián đoạn hoạt động của hệ thống mạng, dẫn đến mối đe dọa đối với tính liên tục của dịch vụ Các phương thức tấn công này bao gồm việc làm tràn ngập thông tin, khi kẻ xâm nhập tạo ra lưu lượng giả mạo nhằm giảm khả năng cung cấp dịch vụ cho người dùng thực Ngoài ra, kẻ tấn công cũng có thể âm thầm phá hoại hệ thống máy tính bằng cách cài đặt phần mềm độc hại, gây ra các cuộc tấn công theo thời gian đã được lập trình trước.

Phương pháp đầu tiên để dò mật khẩu là sử dụng các chương trình dò tìm mật khẩu dựa trên thông tin cá nhân của người dùng như ngày sinh, tuổi và địa chỉ Kẻ tấn công có thể kết hợp thông tin này với thư viện mật khẩu do người dùng tạo ra, dẫn đến khả năng thành công lên tới 30% Một ví dụ điển hình là chương trình Crack, chạy trên hệ điều hành Unix, cho phép thực hiện việc này.

Cách thứ hai để chiếm quyền truy cập là khai thác lỗi của các ứng dụng và hệ điều hành, những lỗ hổng này đã tồn tại từ các vụ tấn công trước và vẫn chưa được khắc phục.

Có thể thu thập tên, mật khẩu và thông tin truyền qua mạng nhờ vào các chương trình cho phép card mạng (NIC) hoạt động ở chế độ nhận toàn bộ dữ liệu lưu thông trên mạng.

2.2.2.6 Vô hiệu hoá các chức năng của hệ thống (Deny service) Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiện các chức năng được thiết kế Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng

2.2.2.7 Lỗi người quản trị hệ thống

Hiện nay, trình độ của hacker ngày càng cao, trong khi các hệ thống mạng vẫn chậm chạp trong việc khắc phục lỗ hổng bảo mật Điều này yêu cầu người quản trị mạng phải có kiến thức vững về an ninh mạng để bảo vệ thông tin hệ thống Mặc dù người dùng cá nhân không thể nắm hết các thủ thuật để xây dựng Firewall, nhưng họ cần nhận thức rõ tầm quan trọng của bảo mật thông tin Từ đó, họ nên tìm hiểu các biện pháp phòng tránh những cuộc tấn công đơn giản từ hacker Ý thức phòng tránh là yếu tố quan trọng, giúp nâng cao khả năng an toàn cho thông tin cá nhân.

Với tính cách chủ quan và thiếu hiểu biết về tầm quan trọng của bảo mật hệ thống, người dùng dễ dàng để lộ thông tin quan trọng cho hacker.

* Ngoài ra thì còn dùng Firewall để chống lại sự ― giả mạo địa chỉ IP ―.

Mô hình và kiến trúc của FireWall

Kiến trúc của hệ thống sử dụng Firewall như sau:

Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau:

- Screening Router: là chặng kiểm soát đầu tiên cho LAN

Hình 2.3 Kiến trúc của hệ thống sử dụng Firewall

Hình 2.3b Cấu trúc chung của một hệ thống

- DMZ: là vùng có nguy cơ bị tấn công từ internet

- Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật

- IF1 (Interface 1): là card giao tiếp với vùng DMZ

- IF2 (Interface 2): là card giao tiếp với vùng mạng LAN

The FTP Gateway manages FTP access between the local area network (LAN) and the FTP zone, allowing unrestricted internet access However, any FTP access into the LAN requires authentication through an Authentication server.

Cổng Telnet: Kiểm soát truy cập Telnet tương tự như FTP, cho phép người dùng tự do telnet ra ngoài, trong khi các kết nối telnet từ bên ngoài vào cần phải được xác thực qua máy chủ xác thực.

- Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần)

Tất cả các Firewall đều có khả năng phân biệt và từ chối truy cập dựa trên địa chỉ nguồn, giúp bảo vệ an toàn cho các máy chủ dịch vụ trong mạng LAN Nhờ vào mô hình Firewall, mọi thông tin trao đổi với internet đều được kiểm soát qua gateway.

Phân loại FireWall

Hiện nay có nhiều loại Firewall, để tiện cho quá trình nghiên cứu và phát triển, người ta chia Firewall ra làm hai loại chính bao gồm:

Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có kiểm soát

Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các máy khách và các host

2.4.1 Packet Filtering Firewall Đây là kiểu Firewall thông dụng hoạt động dựa trên mô hình OSI mức mạng Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng Mô hình này hoạt động theo nguyên tắc lọc gói tin Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên router

Firewall hoạt động ở lớp mạng với tốc độ xử lý nhanh, vì chỉ cần kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa.

Hình 2.4.1 Circuit level gateway chỉ sai hay bị cấm Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy

Lỗ hổng của kiểu Firewall này nằm ở việc chỉ dựa vào địa chỉ IP nguồn để kiểm soát truy cập Khi một gói tin có địa chỉ nguồn giả mạo, nó có thể dễ dàng vượt qua các mức truy cập và xâm nhập vào mạng nội bộ.

Firewall kiểu packet filtering chia làm hai loại:

Firewall lọc gói tin hoạt động tại lớp mạng trong mô hình OSI, sử dụng các quy tắc lọc dựa trên các trường trong tiêu đề IP, tiêu đề truyền tải, địa chỉ IP nguồn và địa chỉ IP đích.

Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình OSI Mô hình này không cho phép các kết nối end to end

Inside host in in in out out out outside connection inside connection

Khi một người dùng kết nối đến mạng qua Firewall, kết nối đó sẽ bị chặn và Firewall sẽ tiến hành kiểm tra các trường liên quan.

Tường lửa lọc gói tin kiểm tra yêu cầu kết nối và nếu các thông tin đáp ứng đúng các quy tắc đã được thiết lập, nó sẽ tạo một cầu kết nối cho phép gói tin đi qua.

- Không có chức năng chuyển tiếp các gói tin IP

- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall

- Đưa ra công cụ cho phép ghi lại quá trình kết nối

- Tốc độ xử lý khá chậm

Sự chuyển tiếp gói tin IP từ mạng ngoài vào mạng nội bộ khi máy chủ nhận yêu cầu là một lỗ hổng bảo mật, tạo điều kiện cho hacker xâm nhập.

Firewall này hoạt động dựa trên ứng dụng phần mềm, yêu cầu tạo một trình ứng dụng ủy quyền (proxy) cho mỗi dịch vụ trên mạng, như FTP proxy và HTTP proxy.

* Firewall kiểu Application- proxy chia thành hai loại:

- Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer) trong mô hình TCP/IP

Outside host Inside host outside connection inside connection

Firewall kiểm tra đa lớp stateful là loại firewall tích hợp tính năng của nhiều loại firewall khác nhau, cho phép lọc gói tin ở lớp mạng và kiểm tra nội dung tại lớp ứng dụng Với khả năng kết nối trực tiếp giữa client và host, loại firewall này giúp giảm thiểu lỗi và cung cấp tính năng bảo mật cao, đồng thời mang lại trải nghiệm liền mạch cho người dùng cuối.

Một số vấn đề khi lựa chọn FireWall

Để thực thi hiệu quả vấn đề Firewall, cần thiết phải tiến hành nghiên cứu và phân tích kỹ lưỡng Việc thực thi Firewall phải dựa trên những yêu cầu về định danh và chứng minh, vì nó không được xác định giống như các giải pháp của các tổ chức khác Việc tạo ra Firewall cho các quy mô nhỏ có thể dẫn đến những lỗ hổng an ninh, gây ra nhiều vấn đề mạng lưới hơn là chỉ đơn thuần thực hiện Firewall.

2.5.2 Firewall điều khiển và bảo vệ gì? Để tạo ra một Firewall thì phải định danh cho được chức năng nào của Firewall sẽ cần để thực hiện Nó sẽ điều khiển truy cập đến từ mạng lưới nào, hay nó sẽ bảo vệ những dịch vụ và người sử dụng nào

- Truy cập trong những mạng lưới bên trong, những lĩnh vực hay những công trình kiến trúc

- Truy cập những nhóm đặt trưng, nhũng người sử dụng hoặc địa chỉ

- Truy cập đến những tài nguyên cụ thể hoặc những dịch vụ

- Firewall cần bảo vệ cái gì?

- Những mạng lưới hoặc bộ điều khiển đặc biệt

- Thông tin riêng tư hoặc công cộng

Sau khi nhận thức được tầm quan trọng của Firewall trong việc bảo vệ và kiểm soát thông tin, cần xem xét những rủi ro xảy ra khi người dùng truy cập vào các trang không được phép Nếu dịch vụ không được bảo vệ và thông tin không được bảo mật, nguy cơ tiềm ẩn sẽ gia tăng Do đó, việc đánh giá mức độ rủi ro trong việc kiểm soát và bảo vệ thông tin là cần thiết, từ đó khẳng định sự cần thiết phải có giải pháp Firewall.

Những hạn chế của FireWall

Firewall không thể phân tích nội dung thông tin như con người, do đó không đủ khả năng để đánh giá tốt hay xấu của từng loại dữ liệu Nó chỉ có thể ngăn chặn xâm nhập từ những nguồn thông tin không mong muốn, nhưng cần phải xác định rõ các thông số địa chỉ để thực hiện chức năng này hiệu quả.

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không

Firewall không thể ngăn chặn các cuộc tấn công từ đường dây dial-up hay việc rò rỉ thông tin do dữ liệu bị sao chép trái phép lên đĩa mềm.

Firewall không thể ngăn chặn các cuộc tấn công dựa trên dữ liệu Khi một số chương trình được gửi qua email, chúng có thể vượt qua Firewall và xâm nhập vào mạng đã được bảo vệ, sau đó bắt đầu hoạt động bên trong.

Firewall không thể quét virus trên dữ liệu do tốc độ làm việc và sự xuất hiện liên tục của virus mới, cũng như nhiều cách mã hóa dữ liệu Mặc dù Firewall có khả năng ngăn chặn các mối đe dọa từ bên ngoài, nhưng các mối đe dọa nội bộ vẫn cần được xem xét Để tối ưu hóa bảo mật hệ thống, Firewall nên được kết hợp với phần mềm diệt virus, phần mềm đóng gói và mã hóa dữ liệu Chính sách bảo mật phù hợp và có chiều sâu là yếu tố then chốt để phát huy hiệu quả của các phần mềm bảo mật Cuối cùng, sự hợp tác của nhân viên và đồng nghiệp cũng là yếu tố quan trọng quyết định thành công của giải pháp bảo mật.

IPTABLES TRÊN HỆ ĐIỀU HÀNH CENTOS

Iptables là gì?

Iptables là một tường lửa mạnh mẽ, miễn phí và có sẵn trên Linux, bao gồm hai phần chính: Netfilter trong nhân Linux và Iptables bên ngoài nhân Iptables đóng vai trò giao tiếp giữa người dùng và Netfilter, cho phép người dùng thiết lập các quy tắc để Netfilter xử lý Netfilter thực hiện việc lọc gói dữ liệu ở mức IP, hoạt động trực tiếp trong nhân, giúp duy trì hiệu suất hệ thống mà không làm giảm tốc độ.

Hình 1.1 Sơ đồ Nefilter/ip tables

3.1.1 Tải về và cài đặt trọn gói Iptables

Trước khi bắt đầu, hãy đảm bảo rằng bạn đã cài đặt các RPM iptables Khi tìm kiếm các RPM, lưu ý rằng tên tệp thường bắt đầu bằng tên gói phần mềm kèm theo phiên bản, ví dụ như iptables-1.2.9-1.0.i386.rpm.

3.1.2 Làm thế nào để bắt đầu iptables? Để có được cấu hình iptables để bắt đầu lúc khởi động, sử dụng lệnh chkconfig:

[Root @ localhost Desktop] # chkconfig iptables on

Bạn có thể bắt đầu, dừng lại, và khởi động lại iptables sau khi khởi động bằng cách sử dụng các lệnh:

[Root@ localhost Desktop] #Service iptables start

[Root@ localhost Desktop] #Service iptables stop

[Root@ localhost Desktop]#Service iptables restart

3.1.3 Xác định Các trạng thái của iptables

Để kiểm tra xem iptables có đang chạy hay không, bạn có thể sử dụng lệnh kiểm tra trạng thái dịch vụ iptables Fedora Core sẽ hiển thị một thông báo trạng thái đơn giản để cho biết tình trạng hoạt động của iptables.

[Root@ localhost Desktop]#Service iptables status

Cơ chế xử lý package trong iptables

Tất cả các gói kiểm tra iptables được xử lý qua chuỗi các bảng (hàng đợi) riêng biệt Mỗi hàng đợi được thiết kế cho một loại hoạt động gói tin cụ thể và được điều khiển bởi các quy tắc lọc liên quan.

Có ba bảng trong tổng số:

Bảng mangle đóng vai trò quan trọng trong việc điều chỉnh chất lượng dịch vụ của các bit trong phần đầu TCP, nhưng thường không được áp dụng trong môi trường gia đình hoặc SOHO.

Bảng xếp hàng thứ hai là bộ lọc chịu trách nhiệm lọc gói, với ba chuỗi được xây dựng sẵn cho phép bạn thiết lập các quy tắc chính sách tường lửa của mình.

Chuyển tiếp chuỗi: Bộ lọc các gói dữ liệu đến các máy chủ được bảo vệ bởi tường lửa

Nhập chuỗi: Bộ lọc gói tin cho tường lửa Đầu ra chuỗi: Bộ lọc gói có nguồn gốc từ các bức tường lửa

- Bảng xếp hàng thứ ba là nat có trách nhiệm cho dịch địa chỉ mạng Nó có hai được xây dựng trong các dây chuyền, đó là:

+ Dự bị định tuyến chuỗi: NAT gói tin khi địa chỉ đích của gói tin cần phải được thay đổi

+ Post-routing chain: NAT gói tin khi địa chỉ nguồn của gói tin cần phải được thay đổi

Bảng 3.1: Các loại queues và chain cùng chức năng của nó

Gói chuyển đổi Trong Queue Chức năng chuỗi

The FORWARD packet filter directs data packets to servers accessible by a Network Interface Card (NIC) on the firewall, while the INPUT filter manages packets entering the firewall itself.

OUTPUT Bộ lọc gói đi ra khỏi tường lửa (gói dừ liệu có nguồn gốc từ các bức tường lửa)

(Biên dịch địa chỉ mạng)

PREROUTING là giai đoạn thay đổi địa chỉ đích diễn ra trước khi định tuyến, giúp chuyển đổi địa chỉ IP đích để tương thích với bảng định tuyến của tường lửa Quá trình này thường được sử dụng trong NAT của địa chỉ IP đích, còn được gọi là destination NAT hoặc DNAT.

POSTROUTING là quá trình thay đổi địa chỉ đích diễn ra sau khi định tuyến, không cần thay đổi địa chỉ IP đích của gói tin như trong định tuyến trước Quá trình này thường được sử dụng với NAT cho địa chỉ IP nguồn thông qua một-một hoặc NAT-một nhiều, được gọi là source NAT hay SNAT.

Bạn cần xác định các bảng và chuỗi cho mỗi nguyên tắc tường lửa bạn tạo ra

Hầu hết các quy tắc trong iptables liên quan đến việc lọc dữ liệu, vì vậy bất kỳ chuỗi nào không có bảng liên quan đều được coi là thuộc về bảng lọc, mà bảng này là mặc định Để hiểu rõ hơn, hãy xem cách mà các gói dữ liệu được xử lý bởi iptables.

Hình 3.2 Việc lọc và xử lý gói trong Iptables

Ta cùng xem qua một ví dụ mô tả đường đi của gói dữ liệu:

OUTPUT NAT sử dụng cho các gói dữ liệu xuất phát từ tường lửa.Rất hiếm khi được sử dụng trong môi trường SOHO)

PREROUTING và POSTROUTING là các bước quan trọng trong việc điều chỉnh chất lượng dịch vụ trước khi dẫn đường Kết quả INPUT và FORWARD cũng đóng vai trò không kém, mặc dù việc sử dụng chúng trong môi trường SOHO (small office - home office) là rất hiếm.

Hình 3.2b Mô tả đường đi của gói dữ liệu

Trong hình một gói tin TCP từ Internet về đến giao diện của tường lửa trên mạng A để tạo ra một kết nối dữ liệu

Gói tin đầu tiên được kiểm tra theo các quy tắc trong chuỗi PREROUTING của bảng mangle, sau đó được xem xét bởi các quy tắc trong chuỗi PREROUTING của bảng nat để xác định xem có yêu cầu DNAT hay không DNAT sẽ thay đổi địa chỉ đích của gói dữ liệu trước khi tiến hành định tuyến.

Khi gói dữ liệu được đưa vào mạng lưới bảo vệ, nó sẽ được lọc theo các quy tắc trong chuỗi FORWARD của bảng lọc Nếu cần thiết, gói dữ liệu còn trải qua SNAT trong chuỗi POSTROUTING để thay đổi địa chỉ IP nguồn trước khi đến mạng B.

Khi máy chủ đích quyết định phản hồi, gói dữ liệu sẽ trải qua các bước tương tự Cả chuỗi FORWARD và POSTROUTING đều có thể được cấu hình để thực hiện các tính năng chất lượng dịch vụ (QoS) trong bảng mangle, nhưng điều này thường không được áp dụng trong môi trường SOHO.

Khi gói dữ liệu được hướng vào bên trong tường lửa, nó sẽ được kiểm tra qua các bảng mangle trong chuỗi INPUT Nếu gói dữ liệu vượt qua các kiểm tra này, nó sẽ được xử lý bởi các ứng dụng định nghĩa trên tường lửa.

Tại một số điểm, tường lửa sẽ xử lý các phản hồi, được định tuyến và kiểm tra qua các quy tắc trong chuỗi OUTPUT của bảng mangle Sau đó, các quy tắc trong chuỗi OUTPUT của bảng nat sẽ xác định xem có cần thực hiện DNAT hay không, và các quy tắc này cũng sẽ được kiểm tra qua bộ lọc để ngăn chặn các gói dữ liệu trái phép Cuối cùng, trước khi gói tin được gửi trở lại Internet, SNAT và QoS sẽ được thực hiện thông qua các chuỗi POSTROUTING.

Target and Jumps

 Jump: là cơ chế chuyển một packet đến một target nào đó để xử lý thêm một số thao tác khác

 Target: là cơ chế hoạt động trong iptables, dùng để nhận diện và kiểm tra packet Các target được xây dựng sẵn trong iptables như bảng sau:

Iptables ngừng xử lý gói dữ liệu đó và chuyển tiếp nó vào một ứng dụng cuối hoặc hệ điều hành để xử lý

Iptables ngừng xử lý gói dữ liệu đó và gói dữ liệu bị chặn, loại bỏ

Thông tin của gói sẽ được đưa vào syslog để kiểm tra

Iptables tiếp tục xử lý gói với quy luật kế tiếp

IPtables sẽ thêm vào log message một chuỗi do người dùng định sẵn

Thông thường là để thông báo lý do vì sao gói bị bỏ

Tương tự DROP nhưng nó sẽ gởi trả lại cho phía người dùng một thông báo lỗi rằng gói đã bị chặn và loại bỏ

The qualifier parameter indicates the type of message sent back to the sender when a rejection occurs The available qualifier types include: +icmp-port-unreachable (default), +icmp-net-unreachable, +icmp-host-unreachable, and +icmp-proto-unreachable.

+icmp-net-prohibited +icmp-host-prohibited +tcp-reset

DNAT Dùng để thực hiện

Destination network address translation, địa chỉ đích của gói dữ liệu sẽ được viết lại

to-destination ipaddress Iptables sẽ viết lại địa chỉ ipaddress vào địa chỉ đích của gói dữ liệu

Dùng để thực hiện Source network address translation, viết lại địa chỉ nguồn của gói dữ liệu

Miêu tả IP và port sẽ được viết lại bởi Iptables

Dùng để thực hiện Source Networkaddress

Translation Mặc định thì địa chỉ IP nguồn sẽ giống như IP nguồn của firewall

Ghi rõ tầm các port nguồn mà port nguồn gốc có thể ánh xạ được.

Phân biệt giữa ACCEPT, DROP và REJECT packet

 DROP: thả packet (không hồi âm cho client)

 REJECT: loại bỏ packet (hồi âm cho client bằng một packet khác)

#iptables -A INPUT -i eth0 dport 80 -j ACCEPT => chấp nhận các packet vào cổng 80 trên card mạng eth0

#iptables -A INPUT -i eth0 -p tcp dport 23 -j DROP => thả các packet đến cổng 23 dùng giao thức TCP trên card mạng eth0

The command `iptables -A INPUT -i eth1 -s ! 10.0.0.1-10.0.0.5 dport 22 -j REJECT reject-with tcp-reset` sends a TCP packet with the RST flag set to 1 for connections not originating from the IP address range 10.0.0.1 to 10.0.0.5 on port 22, specifically on the network interface eth1.

#iptables -A INPUT -p udp dport 139 -j REJECT reject-with icmp-port- unreachable => Gửi gói ICMP "port-unreachable" cho các kết nối đến cổng 139, dùng giao thức UDP

Phân biệt giữa NEW, ESTABLISHED và RELATED

+ NEW : mở kết nối mới

+ ESTABLISHED : đã thiết lập kết nối

+ RELATED : mở một kết nối mới trong kết nối hiện tại

#iptables -PINPUTDROP => đặt chính sách cho chain INPUT là DROP

#iptables -A INPUT -p tcp syn -m state state NEW-j ACCEPT => chỉ chấp nhận các gói TCP mở kết nối đã set cờ SYN = 1

#iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT

=> không đóng kết nối đang được thiết lập, đồng thời cũng cho phép mở các kết nối mới trong kết nối được thiết lập

#iptables -A INPUT -p tcp -j DROP => Các gói TCP còn lại đều bị DROP.

Tùy chọn limit, limit-burst

limit-burst : mức đỉnh, tính bằng số packet

limit : tốc độ khi chạm mức đỉnh, tính bằng số parket/s(giây) , m(phút), d(giờ), hoặc h(ngày) Để xem các tập luận iptables ta gõ lệnh:

-L : Tất cả tập luật trong tất cả các chain, table mặc định là filter

-n : Liệt kê ở dạng số v : Để xem chi tiết

#iptables -X : xóa các chain đã tạo

Iptables hỗ trợ tùy chọn -j REDIRECT, cho phép bạn dễ dàng chuyển hướng cổng Ví dụ, nếu SQUID đang lắng nghe trên cổng 3128/tcp, bạn có thể chuyển hướng cổng 80 đến cổng 3128 bằng cách thực hiện các bước sau.

#iptables -t nat -A PREROUTING -p tcp —dport 80 -j REDIRECT-to-port

3128 Lưu ý: tùy chọn -j REDIRECT cho có trong chain PREROUTING.

Các tham số và dòng lệnh thường gặp của Iptables

3.6.1 Các câu lệnh gọi trợ giúp Để gọi trợ giúp về Iptables, ta gõ lệnh:

3.6.2 Các tùy chọn để thao tác với chains

 Tạo chain mới: iptables -N

 Xóa hết các luật đã tạo trong chain: iptables -X

 Đặt chính sách cho các chain 'built-in' (INPUT, OUTPUT & FORWARD): iptables

-P , ví dụ: iptables -P INPUT ACCEPT để chấp nhận các packet vào chain INPUT

 Liệt kê các luật có trong chain: iptables -L

 Xóa các luật có trong chain (flush chain): iptables -F

 Reset bộ đếm packet về 0: iptables -Z

Các tùy chọn để thao tác với luật:

Các tham số chuyển mạch quan trọng của Iptables

a Các tham số chuyển mạch (switching) quan trọng của Iptables

Các tham số dưới đây cho phép Iptables thực hiện các hành động phù hợp với biểu đồ xử lý gói mà người dùng đã định sẵn.

Lệnh switching quan trọng Ý nghĩa

-t Nếu bạn không chỉ định rõ là tables nào thì filter table sẽ được áp dụng Có ba loại table là filter, nat, mangle

-j Nhảy đến một chuỗi target nào đó khi gói dữ liệu phù hợp quy luật hiện tại

-A Nối thêm một quy luật nào đó vào cuối chuỗi (chain) -F Xóa hết tất cả mọi quy luật trong bảng đã chọn

-p Phù hợp với giao thức (protocols), thông thường là icmp, tcp, udp, và all

-s Phù hợp IP nguồn

-d Phù hợp IP đích

-i Phù hợp điều kiện INPUT khi gói dữ liệu đi vào firewall

The is suitable for the OUTPUT condition when data packets exit the firewall To better understand the commands, let's examine the following example.

#iptables -A INPUT-s 0 / 0-i eth0-d 192.168.1.1-p TCP -j ACCEPT

Iptables được cấu hình để firewall chấp nhận các gói dữ liệu TCP từ card mạng eth0, với địa chỉ IP nguồn bất kỳ, hướng đến địa chỉ IP 192.168.1.1, địa chỉ của firewall Tham số 0/0 biểu thị cho bất kỳ địa chỉ IP nào.

IP nào b Mở rộng cho gói TCP và UDP

-p tcp sport Điều kiện TCP port nguồn (source port) Có thể là một giá trị hoặc một chuỗi có dạng:

Start-port-number:end-port-number

-p tcp dport Điều kiện TCP port đích (destination port ) Có thể là một giá trị hoặc 1 chuỗi dạng: Starting-port:ending-port

-p tcp -syn Dùng để nhận dạng một yêu cầu kết nối TCP mới ! syn, nghĩa là không có yêu cầu kết nối mới

-p udp sport Điều khiển UDP port nguồn (source port) Có thể là một giá trị hoặc một chuỗi có dạng:

Start-port-number:end-port-number -p udp dport Điều kiện TCP port đích (destination port) Có thể là một giá tri hoặc một chuỗi có dạng:

#iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP \ sport 1024:65535 - -dport 80 -j ACCEPT

Iptables được cấu hình để cho phép firewall chấp nhận các gói dữ liệu TCP từ card mạng eth0 với bất kỳ địa chỉ IP nguồn, gửi đến địa chỉ 192.168.1.58 qua card mạng eth1, với số port nguồn từ 1024 đến 65535 và port đích là 80 (www/http).

—icmp-type Thường dùng nhất là echo-reply và echo- Request

Ta cùng xem mộ ví dụ sau về ICMP

#iptables-A OUTPUT-p icmp - icmp-tỵpe echo-request-j ACCEPT #iptables-A INPUT-p icmp - icmp-type echo-reply-j ACCEPT

Iptables được cấu hình cho phép firewall chấp nhận gởi ICMP echo-requests (pings) và gởi trả các ICMP echo-replies

-m multiport —sport Nhiều port nguồn khác nhau của

TCP/UDP được phân cách bởi dấu phẩy (,) Đây là liệt kê của các port chứ không phải là một chuỗi các port

-m multiport —dport

Ngày đăng: 25/08/2021, 15:33

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w