Nghiên cứu và triển khai firewall iptables trên hệ điều hành linux

Các đối tượng đe dọa an ninh mạng: Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại gồm phần cứng hoặc phần mềm để dò tìm các điểm yếu và

LỜI CẢM ƠN

Trong thời đại công nghệ thông tin ngày nay, việc ứng dụng Công nghệ Thông tin vào cuộc sống cũng như các ngành khoa học ngày càng trở nên quan trọng Quá trình làm đề tài tốt nghiệp này là bước đầu tiên đi vào thực tiễn và cũng chính là bước đầu thực hành và đúc rút chứng minh cho những môn học trên ghế nhà trường nói chung

và môn học chuyên nghành nói riêng Nó cũng chính là quá trình nhận xét đánh giá và rút ra ưu, nhược điểm và tìm ra hướng khắc phục mục đích để tìm ra phương án tối ưu nhất cho việc học và đi ra thực tế sau này của bản thân

Em xin chân thành cảm ơn sự hướng dẫn của các thầy giáo, cô giáo trong Khoa Công Nghệ Thông Tin - Trường Đại học Vinh Em đặc biệt bày tỏ lòng biết ơn thầy giáo Th.s Lê Quốc Anh đã tạo mọi điều kiện và luôn giúp đỡ, hướng dẫn em tận tình

để em hoàn thành tốt đề tài tốt nghiệp này Em chân thành cảm ơn các thầy cô luôn sẵn sàng giúp đỡ và tạo mọi điều kiện tốt nhất cho em Cảm ơn bạn bè đã luôn quan tâm động viên cổ vụ giúp đỡ để em thực hiện tốt bài tập tốt nghiệp này Mặc dù có nhiều

cố gắng bằng toàn bộ kiến thức để hoàn thành công việc, song thời gian có hạn và kinh nghiệm kiến thức chưa nhiều nên việc trình bày, phân tích, xây dựng chương trình có nhiều thiếu sót cần được bổ sung Vì vậy, em rất mong nhận được ý kiến đóng góp của thầy cô và bạn bè để đề tài này được hoàn thiện hơn trong tương lai

Em xin chân thành cảm ơn và kính chúc các thầy cô cùng các bạn sức khỏe và hạnh phúc!

Sinh viên thực hiện

Hồ Viết Thắng

LỜI MỞ ĐẦU

Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó đã kết nối mọi người tới gần nhau hơn Ngồi trước máy tính, mọi người có thể biết được thông tin trên toàn cầu Bên cạnh đó, Internet giúp doanh nghiệp có thể triển khai những dịch vụ trực tuyến phục vụ người dùng trên toàn thế giới làm tăng lợi nhuận một cách nhanh chóng Nhưng chính vì khả năng kết nối rộng rãi như vậy mà hệ thống máy tính của doanh nghiệp cũng như người dùng có thể bị xâm nhập vào bất kỳ lúc nào mà không

Chính điều này thúc đẩy em tìm hiểu đề tài: "Nghiên cứu và triển khai firewall Iptables trên hệ điều hành Linux"

Đồ án này được viết ra nhằm đem đến cho mọi người cái nhìn r nét về Firewall và đặc biệt là Firewall Iptables của inux Nội dung chính của đồ án gồm 4 Chương như sau:

 Chương I: Giới thiệu tổng quan về đề tài

 Chương II: Tìm hiểu lý thuyết về an ninh mạng và tường lửa nói chung

 Chương III: Tìm hiểu lý thuyết về tường lửa Iptables của Linux

 Chương IV: Triển khai và cấu hình Iptables trên mô hình mạng cụ thể

MỤC LỤC

LỜI CẢM ƠN 1

LỜI MỞ ĐẦU 2

MỤC LỤC 3

DANH SÁCH HÌNH VẼ 5

DANH SÁCH BẢNG BIỂU 7

CHƯƠNG I: TỔNG QUAN VỀ ĐỀ TÀI 8

1.1 LÝ DO CHỌN ĐỀ TÀI: 8

1.2 MỤC TIÊU CỦA ĐỀ TÀI: 8

1.3 NỘI DUNG THỰC HIỆN: 8

CHƯƠNG II: TỔNG QUAN VỀ TƯỜNG LỬA VÀ AN NINH AN TOÀN MẠNG MÁY TÍNH 10

2.1 TỔNG QUAN VỀ VẤN ĐỀ AN NINH - AN TOÀN MẠNG MÁY TÍNH: 10

2.1.1 An ninh an toàn mạng là gì? 10

2.1.2 Các đặc trưng kỹ thuật của an ninh an toàn mạng: 11

2.2 ĐÁNH GIÁ VỀ SỰ ĐE DỌA, CÁC ĐIỂM YẾU CỦA HỆ THỐNG VÀ CÁC KIỂU TẤN CÔNG 13

2.2.1 Các đối tượng đe dọa an ninh mạng: 13

2.2.2 Các lỗ hổng bảo mật: 13

2.2.3 Các hình thức tấn công mạng phổ biến: 15

2.2.4 Một số công cụ an ninh - an toàn mạng: 18

2.3 GIỚI THIỆU VỀ FIREWALL: 18

2.4 CHỨC NĂNG CỦA FIREWALL: 19

2.5 KHẢ NĂNG CỦA HỆ THỐNG FIREWALL: 20

2.6 PHÂN LOẠI TƯỜNG LỬA (FIREWALL): 20

2.6.1 Firewall phần cứng: 20

2.6.2 Firewall phần mềm: 21

2.7 CÁC THÀNH PHẦN CỦA FIREWA VÀ CƠ CHẾ HOẠT ĐỘNG: 22

2.7.1 Bộ lọc packet (Packet filtering router): 22

2.7.2 Cổng ứng dụng (Application level gateway hay proxy server): 24

2.7.3 Cổng mạch (Circuit level gateway): 25

2.9 NHỮNG HẠN CHẾ CỦA FIREWALL: 26

CHƯƠNG III: IPTABLES TRONG HỆ ĐIỀU HÀNH LINUX 27

3.1 GIỚI THIỆU VỀ IPTABLES: 27

3.1.1 Netfilter/Iptables là gì? 27

3.1.2 Đặc điểm của Netfilter/Iptables: 27

3.2 CƠ CHẾ XỬ LÝ PACKAGE TRONG IPTABLES: 28

3.2.1 NAT table (Network Address Translation): 29

3.2.2 Filter table (Lọc gói): 30

3.2.3 MANGLE table: 30

3.2.4 Tổng quát: 32

3.3 TARGET AND JUMPS: 33

3.3.1 Khái niệm: 33

3.3.2 Phân biệt giữa ACCEPT, DROP và REJECT packet: 35

3.4 CÁC THAM SỐ VÀ DÒNG LỆNH THƯỜNG GẶP CỦA IPTABLES: 35

3.4.1 Các câu lệnh gọi trợ giúp: 35

3.4.2 Các tùy chọn để thao tác với chains: 35

3.4.3 Các tùy chọn để thao tác với luật: 35

3.4.4 Các tham số chuyển mạch quan trọng của Iptables: 36

3.5 ưu giữ và thực thi Iptales: 39

CHƯƠNG IV: TRIỂN KHAI VÀ CẤU HÌNH 40

4.1 GIỚI THIỆU SƠ QUA VỀ MÔ HÌNH TRIỂN KHAI HỆ THỐNG MẠNG ỨNG DỤNG IPTABLES: 40

4.2 CẤU HÌNH TRIỂN KHAI IPTAB ES THEO MÔ HÌNH ĐỀ RA: 41

4.2.1 Các lệnh cơ bản khi bắt đầu: 41

4.2.2 Cấu hình các luật lọc gói tin cơ bản (Filter): 42

4.2.3 Ứng dụng Iptables cho phép Firewall thực hiện kĩ thuật NAT: 45

4.2.4 Ứng dụng Iptables để quản lý chia sẻ Internet đối với Client: 48

4.2.5 Proxy Server: 50

4.2.6 Kết hợp Iptables với Squid Proxy: 55

4.2.7 Ứng dụng Iptables để chống tấn công DOS: 56

KẾT LUẬN 62

TÀI LIỆU THAM KHẢO 63

DANH SÁCH HÌNH VẼ

Hình 2 1 Lọc gói tin 22

Hình 2 2 Cổng mạch 25

Hình 3 1 Netfilter/Iptables trong Linux 27

Hình 3 2 Quá trình xử lý gói tin trong bảng NAT 30

Hình 3 3 Quá trình xử lý gói tin trong bảng Filter 30

Hình 3 4 Quá trình xử lý gói tin trong bảng Mangle 31

Hình 3 5 Cơ chế xử lý package trong Iptables 32

Hình 3 6 Sơ đồ luồng dữ liệu trong iptables 32

Hình 4 1 Sơ đồ logic của hệ thống 40

Hình 4 2 Các luật trong Iptables 41

Hình 4 3 File cấu hình của Iptables 42

Hình 4 4 Máy Firewall không thể truy cập Internet qua port 80 42

Hình 4 5 Máy Int - client không thể kết nối SSH sau khi cấm 43

Hình 4 6 Máy Ext - client thực hiện kết nối SSH 43

Hình 4 7 Máy Int - client không ping đƣợc Firewall sau khi cấm 43

Hình 4 8 Máy Ext - client ping đến máy Firewall 44

Hình 4 9 Máy Int - lient không Telnet đƣợc Firewall 44

Hình 4 10 Máy Ext - client Telnet đến Firewall 44

Hình 4 11 Trusted Interfaces trên máy Firewall 46

Hình 4 12 Giá trị Forward bằng '1' 46

Hình 4 13 Kết nối Internet cho mạng nội bộ bằng NAT Out 47

Hình 4 14 Kết nối tới Web bên trong mạng Lan thành công 48

Hình 4 15 Chỉnh sửa port của proxy 51

Hình 4 16 Khai báo host name của proxy server 51

Hình 4 17 Cấu hình proxy trên máy Client 52

Hình 4 18 Truy cập Web thông qua Proxy 52

Hình 4 19 File chứa các trang web cấm 53

Hình 4 20 Máy client không thể truy cập trang web đã cấm 53

Hình 4 21 File "gioihandown" 54

Hình 4 22 Máy client không thể download các file đã cấm 54

Hình 4 23 Thêm thông số "transparent" phía sau http_port 55

Hình 4 24 Truy cập web qua proxy ở chế độ trong suốt 55

Hình 4 25 Thực hiện tắt squid 56

Hình 4 26 Kết quả chống Ping of Death 57

Hình 4 27 Sơ đồ tấn công SYN flood 58

Hình 4 28 Kết nối đến từ máy attack đều gắn cờ SYN_RECV 59

Hình 4 29 Số lượng kết nối SYN tăng dần theo thời gian 60

Hình 4 30 Trang web đã không thể truy cập được 60

Hình 4 31 Số lượng kết nối SYN giảm dần 60

Hình 4 32 Ip máy attack bị Iptables DROP 61

Hình 4 33 Trang web có thể truy cập lại bình thường 61

DANH SÁCH BẢNG BIỂU

Bảng 3 1 Target trong Iptables 33

Bảng 3 2 Các lệnh switching quan trọng 36

Bảng 3 3 Lệnh switching mở rộng cho gói TCP và UDP 37

Bảng 3 4 Điều kiện của ICMP 38

Bảng 3 5 Các điều kiện mở rộng thông dụng 38

Bảng 4 1 Địa chỉ IP cho các NIC theo mô hình: 40

CHƯƠNG I: TỔNG QUAN VỀ ĐỀ TÀI

1.1 Lý do chọn đề tài:

Trong những năm gần đây, việc tổ chức và khai thác mạng Internet rất phát triển Mạng Internet cho phép máy tính trao đổi thông tin một cách nhanh chóng, thuận tiện Mọi đối tượng đều có thể sử dụng các dịch vụ và tiện ích của Internet một cách dễ dàng như trao đổi thông tin, tham khảo các thư viện tri thức Tại thời điểm hiện nay, lợi ích của Internet là không thể phủ nhận Nhưng bên cạnh đó đi kèm với nó là các nguy cơ mất an toàn thông tin trên Internet đang là một cản trở nghiêm trọng của sự phát triển Internet Bảo đảm an toàn an ninh là nhu cầu của các nhà cung cấp dịch vụ mạng và của người sử dụng

Trên thế giới có rất nhiều công trình nghiên cứu về lĩnh vực bảo mật, an toàn thông tin trên mạng và kết quả đã trở thành sản phẩm thương mại như: Vista Firewall, ZoneAlarm Firewall, Smooth Wall… Tuy nhiên mỗi loại có những ưu nhược điểm riêng, phát triển theo các hướng khác nhau Các sản phẩm này được xây dựng trên các

hệ điều hành khác nhau nhưng chủ yếu là Windows của Microsoft và hệ điều hành mã nguồn mở Linux

Ở Việt Nam, mặc dù Internet mới phát triển nhưng những vấn đề an toàn, an ninh mạng cũng gặp nhiều khó khăn Hiện nay chưa có sản phẩm Firewall nào do Việt Nam tạo ra, đặc biệt là sản phẩm Firewall được xây dựng trên hệ điều hành mã nguồn mở inux Để vấn đề an ninh mạng được đảm bảo, một trong những biện pháp được áp dụng là sử dụng tường lửa – Firewall Đây là biện pháp đơn giản, tiết kiệm chi phí mà đạt hiệu quả khả quan

Trên cơ sở đó em đã chọn đề tài: “NGHIÊN CỨU VÀ TRIỂN KHAI FIREWALL IPTABLES TRÊN HỆ ĐIỀU HÀNH LINUX”

1.2 Mục tiêu của đề tài:

 Tìm hiểu tổng quan về an toàn - an ninh mạng, các kĩ thuật tấn công trên mạng

 Tìm hiểu lí thuyết chung về Firewall

 Tìm hiểu lý thuyết về tưởng lửa Iptables

 Triển khai Iptables trên hệ điều hành Linux

1.3 Nội dung thực hiện:

Iptables là một mô hình mạng mới tận dụng lại những cơ sơ hạ tầng hiện có của Internet Với mô hình mạng mới này, người ta không phải đầu tư thêm nhiều về cơ sở

hạ tầng mà các tính năng như bảo mật, độ tin cậy đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này

Nội dung nghiên cứu - thực hiện cụ thể như sau:

 Nghiên cứu tổng quan hệ điều hành Linux, ở đây là CentOS 6

 Nghiên cứu công nghệ tưởng lửa Iptables

 Khảo sát, đưa ra mô hình mạng phù hợp

 Thực hiện cấu hình

CHƯƠNG II: TỔNG QUAN VỀ TƯỜNG LỬA VÀ AN NINH AN

TOÀN MẠNG MÁY TÍNH

2.1 Tổng quan về vấn đề an ninh - an toàn mạng máy tính:

Ngày nay qua mạng Internet, chúng ta có thể truy nhập tới mọi nơi trên thế giới

thông qua một số dịch vụ, khi ngồi trước máy vi tính con người có thể biết mọi thông tin trên toàn cầu, có thể giải trí, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếp cận đươc khối lượng thông tin khổng lồ, luôn cập nhật trong thời gian tương đối nhanh Tuy nhiên, cùng với những lợi ích mà Internet đem lại thì vấn đề an ninh mạng cần được đưa ra xem xét một cách nghiêm túc vì khi tham gia vào mạng có rất nhiều nguy hiểm Nguy hiểm chính là các tin tặc trên Internet luôn rình rập để ăn trộm các thông tin Vấn đề này là mối đe dọa lớn đối với mỗi cá nhân, một doanh nghiệp, một tổ chức hay một quốc gia về sự hư hỏng và mất mát thông tin

2.1.1 An ninh an toàn mạng là gì?

Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách An toàn mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm: dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng

An toàn mạng bao gồm:

 Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố rủi ro đối với các thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng

 Đánh giá nguy cơ tấn công của các Hacker đến mạng, sự phát tán virus… Phải nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng

 Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng Đánh giá các nguy

cơ, các lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, sâu gián điệp, nguy cơ xóa, phá hoại CSD , ăn cắp mật khẩu, … nguy cơ đối

với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng

 Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và những biện pháp, chính sách cụ thể chặt chẽ

 Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủ động Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội dung và luồng thông tin có bị trao đổi hay không Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin Vi phạm chủ động là thực hiện sự biến đổi, xóa bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hoạt động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn hiệu quả Trái lại, vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn

2.1.2 Các đặc trưng kỹ thuật của an ninh an toàn mạng:

a Tính xác thực (Authentification):

Kiểm tra tính xác thực của một thực thể giao tiếp mạng Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một thiết bị phần cứng Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật Một hệ thống mạng thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau:

 Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như password, hoặc mã số thông tin cá nhân PIN

 Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng

 Kiểm tra dựa vào mô hình những thông tin xác đinh tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví

dụ thông qua giọng nói, dấu vân tay, chữ ký…

b Tính khả dụng (Availability):

Tính khả dụng là đặc tính mà thông tin trên mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ khi nào, trong hoàn cảnh nào Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá Tính khả dụng cần đáp ứng những yêu cầu

sau: Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế

tự tiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn), không chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng)

c Tính bảo mật (Confidentialy):

Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các thực thể hay quá trình không được ủy quyền biết hoặc không để cho đối tượng xấu lợi dụng Thông tin chỉ cho phép thực thể được ủy quyền sử dụng Kỹ thuật bảo mật thường là phòng ngừa dò

la thu nhập, phòng ngừa bức xạ, tăng bảo mật thông tin (dưới sự khống chế của khóa mã), bảo mật vật lý (sử dụng phương pháp bảo mật vật lý để bảo đảm tin tức không bị tiết lộ)

d Tính toàn vẹn (Integrity):

à đặc tính khi thông tin trên mạng chưa được ủy quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang được lưu giữ hoặc trong quá trình truyền dẫn đảm bảo không bị xóa bỏ, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm: sự cố thiết bị, sai mã, bị con người tác động, virus máy tính …

Một số phương pháp đảm bảo tính toàn vẹn thông tin trên mạng:

 Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép… Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hóa

 Phương pháp phát hiện sai và sửa sai Phương pháp sửa sai mã hóa đơn giản nhất

và thường dùng là phép kiểm tra chẵn lẻ

 Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin

 Chữ ký điện tử: bảo đảm tính xác thực của thông tin

 Yêu cầu cơ quan quản lý hoặc trung gian chứng minh chân thực của thông tin

e Tính khống chế (Accountlability):

à đặc tính về năng lực khống chế truyền bá và nội dung vốn có của tin tức trên mạng

f Tính không thể chối từ (Nonrepulation):

Trong quá trình giao lưu tin tức trên mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã được thực hiện

2.2 Đánh giá về sự đe dọa, các điểm yếu của hệ thống và các kiểu tấn công

2.2.1 Các đối tượng đe dọa an ninh mạng:

Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên trái phép

Một số đối tượng tấn công mạng như:

 Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ

phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhập trên hệ thống

 Masquerader: Là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên

miền, định danh người dùng…

 Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các

công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch

vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp

Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu sâu về các dịch vụ cung cấp…

Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau Có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc phá hủy hệ thống

Các lỗ hổng bảo mật trên hệ thống được phân làm ba loại như sau:

 Lỗ hổng loại C: Cho phép thực hiện các hình thức tấn công theo DoS (Denial of

Services- Từ chối dịch vụ) Mức độ nguy hiểm thấp chỉ ảnh hưởng tới chất lượng dịch

vụ, làm ngưng trệ gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống

Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình trạng tấn công kiểu này vì bản thân thiết

kế ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tang của các lỗ hổng loại này

 Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà

không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật Lỗ hổng này thường có trong các ứng dụng trên hệ thống Có mức độ nguy hiểm trung bình

Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C Cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp Những

lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định

Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng mã nguồn

C Những chương trình viết bằng mã nguồn C thường sử dụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý Người lập trình thường

sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu Ví dụ khi viết chương trình nhập trường tên người sử dụng quy định trường này dài 20 ký tự bằng khai báo:

Char first_name [20];

Khai báo này cho phép người sử dụng nhập tối đa 20 ký tự Khi nhập dữ liệu ban đầu dữ liệu được lưu ở vùng đệm Khi người sử dụng nhập nhiều hơn 20 ký tự sẽ tràn vùng đệm Những ký tự nhập thừa sẽ nằm ngoài vùng đệm khiến ta không thể kiểm soát được Nhưng đối với những kẻ tấn công chúng có thể lợi dụng những lỗ hổng này

để nhập vào những ký tự đặc biệt để thực thi một số lệnh đặc biệt trên hệ thống Thông thường những lỗ hổng này được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ Để hạn chế được các lỗ hổng loại B phải kiểm soát chặt chẽ cấu hình hệ thống và các chương trình

 Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp

vào hệ thống Có thể làm phá huỷ toàn bộ hệ thống Loại lỗ hổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệ thống Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng

Ví dụ với các web server chạy trên hệ điều hành Novell các server này có một scripst

là convert.bas chạy scripst này cho phép đọc toàn bộ nội dung các file trên hệ thống Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này Vì vậy thường xuyên phải kiểm tra các thông báo của các nhóm tin

về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger

b Ảnh hưởng của các lỗ hổng bảo mật trên mạng Internet:

Phần trên đã trình bày một số trường hợp có những lỗ hổng bảo mật, những kẻ tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một chuỗi mắt xích những lỗ hổng

Ví dụ: Một kẻ phá hoại muốn xâm nhập vào hệ thống mà anh ta không có tài khoản

truy nhập hợp lệ trên hệ thống đó Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm

ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công

cụ dò tìm thông tin trên hệ thống để đạt được quyền truy nhập vào hệ thống; sau khi mục tiêu thứ nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn Tuy nhiên, không phải bất kỳ lỗ hổng nào cũng nguy hiểm đến hệ thống Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng, hầu hết trong số đó là các lỗ hổng loại C và không đặc biệt nguy hiểm đối với hệ thống Ví dụ: khi những lỗ hổng

về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn

bộ hệ thống Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống

hỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể dựa vào những thông tin

mà chúng biết như tên người dùng, ngày sinh, địa chỉ, số nhà v.v… để đoán mật khẩu dựa trên một chương trình tự động hóa về việc dò tìm mật khẩu Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành

đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống

 Nghe trộm:

Việc nghe trộm thông tin trên mạng có thể đem lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép Những thông tin này cũng có thể dễ dàng lấy được từ Internet

 Giả mạo địa chỉ:

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ r đường dẫn mà các gói tin

IP phải gửi đi

 Vô hiệu các chức năng của hệ thống:

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà

nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được

tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng Ví dụ sử dụng lệnh “ping” với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác

 Lỗi của người quản trị hệ thống:

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ

 Tấn công vào yếu tố con người:

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ

thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hiệu quả, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi

Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào

và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ

b Các biện pháp phát hiện hệ thống bị tấn công:

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều

có những lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống không những nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay không Một số biện pháp cụ thể:

 Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treo bằng những thông báo lỗi không r ràng Khó xác định nguyên nhân do thiếu thông tin liên quan Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu không phải nghĩ đến khả năng máy tính bị tấn công

 Kiểm tra các tài khoản người dùng mới lạ, nhất là các tài khoản có ID bằng không

 Kiểm tra sự xuất hiện của các tập tin lạ Người quản trị hệ thống nên có thói quen đặt tên tập tin theo mẫu nhất định để dễ dàng phát hiện tập tin lạ

 Kiểm tra thời gian thay đổi trên hệ thống

 Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống

 Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp

 Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát được

 Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần thiết

 Kiểm tra các phiên bản của sendmail, ftp… tham gia các nhóm tin về bảo mật để

có thông tin về lỗ hổng bảo mật của dịch vụ sử dụng

Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống

2.2.4 Một số công cụ an ninh - an toàn mạng:

a Thực hiện an ninh - an toàn từ cổng truy nhập dùng tường lửa:

Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sách đồng

ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng Tường lửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng là người như họ đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng

Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thời tường lửa còn hạn chế lưu lượng và điểu khiển lưu lượng chỉ cho phép chúng đến những nơi chúng được phép đến

b Mã hóa thông tin:

Mật hóa (Cryptography) là quá trình chuyển đổi thông tin gốc sang dạng mã hóa

Có hai cách tiếp cận để bảo vệ thông tin bằng mật mã: theo đường truyền và từ đến-nút (End-to-End)

Trong cách thứ nhất, thông tin được mã hóa để bảo vệ đường truyền giữa hai nút không quan tâm đến nguồn và đích của thông tin đó Ưu điểm của cách này là có thể bí mật được luồng thông tin giữa nguồn và đích và có thể ngăn chặn được toàn bộ các vi phạm nhằm phân tích thông tin trên mạng Nhược điểm là vì thông tin chỉ được mã hóa trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt

Ngược lại, trong cách thứ hai, thông tin được bảo vệ trên toàn đường đi từ nguồn tới đích Thông tin được mã hóa ngay khi được tạo ra và chỉ được giải mã khi đến đích

Ưu điểm của tiếp cận này là người sử dụng có thể dùng nó mà không ảnh hưởng gì tới người sử dụng khác Nhược điểm của phương pháp này là chỉ có dữ liệu người sử dụng được mã hóa, còn thông tin điều khiển phải giữ nguyên để có thể xử lý tại các nút

2.3 Giới thiệu về Firewall:

Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng ngoài vào mạng trong Hệ thống firewall thường bao gồm cả phần cứng và phần mềm Firewall thường được dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài

nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn Cụ thể hơn, có thể hiểu Firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ với các mạng không tin tưởng mà thông thường là internet Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với bộ định tuyến (router) hoặc có chức năng router

2.4 Chức năng của Firewall:

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập đã được thiết lập

- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong

- Kiểm soát các máy thông qua các địa chỉ các ứng dụng, thông qua các cổng

- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng

- Kiểm soát nội dung thông tin truyền tải giữa mạng bên trong và mạng bên ngoài

- Ngăn ngừa khả năng tấn công từ mạng bên ngoài vào mạng nội bộ

Xây dựng Firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ mạng Thông thường, một hệ thống Firewall là một cổng (gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại

Các thuật ngữ thường gặp trong khi sử dụng Firewall:

- Mạng nội bộ (Internal network): bao gồm các máy tính, các thiết bị mạng

Mạng máy tính thuộc các đơn vị quản lý (Trường học, Công ty, Tổ chức đoàn thể, Quốc gia ) cùng nằm một bên với firewall

- Host bên trong (Internal Host): máy thuộc mạng nội bộ

- Host bên ngoài (External Host): máy bất kỳ kết nối vào liên mạng và không

thuộc mạng nội bộ nói trên

- “Nội bộ” hay “Bên trong” chỉ rõ thuộc đơn vị cùng một bên đối với firewall của

đơn vị đó

Về vị trí: Firewall là nơi kiểm soát chặt chẽ và hạn chế về luồng thông tin vào ra của

một mạng nội bộ khi giao tiếp với các thành phần bên ngoài nó

Về mục tiêu: Nó ngăn cản đe dọa từ bên ngoài với những yêu cầu cần được bảo vệ,

trong khi vẫn đảm bảo các dịch vụ thông suốt qua nó

2.5 Khả năng của hệ thống firewall:

Một Firewall là một trung tâm quyết định những vấn đề an toàn: Firewall đóng vai

trò là một chốt chặn, mọi dòng thông tin đi vào hay đi ra một mạng nội bộ đều phải qua nó theo các chính sách an toàn đã được cài đặt Tập trung kiểm soát chặt chẽ các dòng thông tin đó có lợi hơn là phân tán trên diện rộng

Một Firewall làm cho chính sách an toàn trở nên hiệu quả thực sự: Nhiều dịch vụ

mà người sử dụng dịch vụ mong muốn vốn có những chỗ không an toàn Firewall chỉ cho đi qua sau khi đã kiểm nhận và được phép Mặt khác, firewall còn cho phép kiểm soát nghiêm ngặt mọi người sử dụng về quyền xâm nhập Internet Firewall có thể cấu hình đa dạng, nhiều mức khác nhau Do đó, Firewall có thể bảo đảm thích hợp cho một chính sách an toàn đã chọn

Firewall có thể ghi nhận lại các giao tiếp với Internet rất hiệu quả: Như đã nói ở

trên, mọi luồng thông tin vào hay ra mạng nội bộ đều phải qua Firewall Do đó, nó cung cấp một vị trí tốt nhất để tập hợp những thông tin về hệ thống và mạng đã dùng Ghi nhận điều gì xảy ra trong giao tiếp giữa mạng nội bộ và bên ngoài Những thông tin đó rất quý giá cho những nguời có trách nhiệm quản lý

Firewall có thể hạn chế được sự đổ vỡ của hệ thống bên trong: Firewall có thể tách

một phần mạng nội bộ với các phần khác trong mạng nội bộ àm điều này nhằm mục đích có những phần được ủy quyền nhiều hơn Do đó, hạn chế được những nguy hiểm xẩy ra hơn

2.6 Phân loại tường lửa (Firewall):

Firewall được phân loại làm 2 loại chính là:

Khi hoạt động, tường lửa sẽ dựa trên các quy tắc được thiết lập trong bộ định tuyến

mà kiểm tra thông tin header của gói tin như địa chỉ nguồn (source IP address), địa chỉ

đích (destination IP address), cổng (Port) Nếu mọi thông tin trong header của gói tin

là hợp lệ nó sẽ được cho qua và nếu không hợp lệ nó sẽ bị bỏ qua Chính việc không mất thời gian xử lí những gói tin có địa chỉ không hợp lệ làm cho tốc độ xử lí của firewall phần cứng rất nhanh và đây chính là ưu điểm lớn nhất của hệ thống firewall phần cứng Một điểm đáng chú là tất cả các loại firewall phần cứng trên thế giới hiện nay đều chưa thể lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dung trong header của gói tin

Đặc điểm của FireWall cứng:

 Không được linh hoạt như Firewall mềm (Không thể thêm chức năng, thêm quy tắc như firewall mềm)

 Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)

 Firewall cứng không thể kiểm tra được nột dung của gói tin

Hiện nay trên thế giới có một số hãng sản xuất firewall phần cứng rất nổi tiếng như CISCO, D-LINK, PLANET

2.6.2 Firewall phần mềm:

Loại firewall này là một chương trình ứng dụng nguyên tắc hoạt động dựa trên trên ứng dụng proxy - là một phần mềm cho phép chuyển các gói tin mà máy chủ nhận được đến những địa điểm nhất định theo yêu cầu Và các quy tắc lọc gói tin được người sử dụng tự thiết lập Người ta thường sử dụng firewall loại này khi một mạng máy tính có máy chủ và mọi thông tin đều thông qua máy chủ này rồi mới chuyển đến máy con trong mạng hoặc dùng cho máy tính cá nhân khi tham gia mạng Firewall phần mềm này rất tiện lợi ở chỗ phần mềm có thể dễ dàng thay đổi cập nhật các phiên bản mới

Cách thức hoạt động của firewall dạng này cũng rất đơn giản Phần mềm firewall được chạy thường trú trên máy chủ hay máy tính cá nhân Máy tính này có thể đảm đương nhiều nhiệm vụ ngoài công việc là Firewall Mỗi khi có các gói tin được chuyển đến hay chuyển đi nó đều được phần mềm firewall này kiểm tra phần header của gói tin bao gồm các thông tin về địa chỉ đến, địa chỉ đi, giao thức, cổng dịch vụ Firewall phần mềm mới hiện nay còn có thể kiểm tra được nội dung của gói tin Các thông tin

mà firewall kiểm tra được người dùng quy định trước trong tập luật Nếu gói tin được phần mềm firewall cho qua thì tiếp theo nó sẽ được đưa đến các máy con trong mạng hoặc là các ứng dụng chạy trực tiếp trên máy đó

Đặc điểm của FireWall mềm:

 Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

 Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

 Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả năng lọc gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus, ZoneAlarm Pro, Sygate Personal Firewall

2.7 Các thành phần của Firewall và cơ chế hoạt động:

Một FireWall chuẩn bao gồm một hay nhiều thành phần sau:

 Bộ lọc packet (Packet filtering router)

 Cổng ứng dụng (Application level gateway hay proxy server)

 Cổng mạch (Circuite level gateway)

2.7.1 Bộ lọc packet (Packet filtering router):

Hình 2 1 Lọc gói tin

Nguyên lý hoạt động:

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn

bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật

lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu

mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng Đó là:

 Địa chỉ IP nơi xuất phát (IP Source address)

 Địa chỉ IP nơi nhận (IP Destination address)

 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

 Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

 Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

 Dạng thông báo ICMP (ICMP message type)

 Giao diện packet đến (incomming interface of packet)

 Giao diện packet đi (outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua Firewall Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

Ưu điểm:

- Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router

- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

Hạn chế:

- Có tất cả hạn chế của một packet-filtering router, như là dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn công ngầm dưới những dịch

vụ đã được phép

- Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ

bị tấn công quyết định bởi số lượng các host và dịch vụ được phép Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một

hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công nào không

- Nếu một packet - filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công

2.7.2 Cổng ứng dụng (Application level gateway hay proxy server):

Một cổng ứng dụng thường được coi như là một pháo đài (Bastion host), bởi vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một Bastion host là:

 Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp Firewall

 Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể

bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastion host

 Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau Ví dụ như user password hay smart card

 Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống

 Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

 Mỗi proxy đều độc lập với các proxy khác trên Bastion host Điều này cho phép

dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để

Ưu điểm:

- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ

- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch

2.7.3 Cổng mạch (Circuit level gateway):

Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng mạch đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào

Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng mạch Cổng mạch đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào Cổng mạch làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (Inside connection) và các kết nối bên ngoài (Outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ

Hình 2 2 Cổng mạch

Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến và cổng mạch cho các kết nối đi Điều này làm cho hệ thống Firewall dễ dàng

sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới dịch vụ internet, trong khi vẫn cung cấp chức năng firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài

 Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi qua nó Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm

 Firewall không thể bảo vệ chống lại những mối đe dọa mới phát sinh vì nó không thể tự động bảo vệ trước những mối đe dọa mới phát sinh Do đó, khi có những vấn đề mới cần cấu hình lại cho Firewall

 Firewall không thể bảo vệ chống lại virus Firewall hầu hết chỉ xem xét địa chỉ nơi gửi, nơi đến, số cổng của gói thông tin chứ không xem chi tiết phần dữ liệu ngay cả các phần mềm lọc gói thông tin Firewall không thể làm nhiệm vụ quét virus trên dữ liệu được chuyển qua nó do sự xuất hiện của các virus mới

và do có rất nhiều cách để mã hóa dữ liệu thoát khỏi sự kiểm soát của Firewall Do đó, chống virus bằng Firewall là vấn đề không khả thi, vì có quá nhiều loại virus và có quá nhiều cách virus ẩn trong dữ liệu

Tuy nhiên Firewall vẫn là giải pháp hữu hiệu nhất được áp dụng rộng rãi

CHƯƠNG III: IPTABLES TRONG HỆ ĐIỀU HÀNH LINUX

3.1 Giới thiệu về IPtables:

3.1.1 Netfilter/Iptables là gì?

Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miển phí và có sẵn trên linux Iptables gồm hai phần là netfilter ở trong nhân linux và Iptables nằm ngoài nhân linux Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào Netfilter xử lý Netfilter tiến hành lọc các gói dữ liệu ở mức IP Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ thống

Hình 3 1 Netfilter/Iptables trong Linux

Iptables do Netfilter organization viết ra để tăng tính bảo mật trên hệ thống Linux Iptables cung cấp các tính năng sau:

 Tích hợp tốt với nhân kernel của Linux

 Có khả năng phân tích package hiệu quả

 Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header

 Cung cấp chi tiết các tùy chọn để ghi nhận sụ kiện hệ thống

 Cung cấp kỹ thuật NAT và có khả năng ngăn chặn một số cơ chế tấn công theo kiểu từ chối dịch vụ

3.1.2 Đặc điểm của Netfilter/Iptables:

 Xây dựng bức tường lửa dựa trên cơ chế lọc gói stateless và stateful

 Dùng bảng NAT và MASQUERADING chia sẻ sự truy cập mạng nếu không có

đủ địa chỉ mạng

 Dùng bảng NAT để cài đặt transparent proxy

 Giúp các hệ thống tc và ip route 2 để tạo các chính sách router phức tạp và QoS

 àm các thay đổi các bit (mangling) TOS/DSCP/ECN của IP header

 Có khả năng theo d i sự kết nối, có khả năng kiểm tra nhiều trạng thái của packet Nó làm việc này cho UDP và ICMP tốt nhất là kết nối TCP, ví dụ tình trạng đầy đủ của lọc ICMP chỉ cho phép hồi âm khi có yêu cầu phát đi, chứ không chặn các yêu cầu nhưng vẫn chấp nhận hồi âm với giả sử rằng chúng luôn đáp lại lệnh ping Sự hồi âm không do yêu cầu có thể là tín hiệu của sự tấn công hoặc cửa sau

 Xử sự đơn giản của các packet thoả thuận trong các chains (một danh sách các nguyên tắc) INPUT, OUTPUT, FORWARD Trên các host có nhiều giao diện mạng, các packet di chuyển giữa các giao diện chỉ trên chain FORWARD hơn là trên 3 chain

 Phân biệt rõ ràng giữa lọc packet và NAT (Nework Address Translation)

 Có khả năng giới hạn tốc độ kết nối và ghi nhật ký Bạn có thể giới hạn kết nối

và ghi nhật ký ồ ạt để tránh sự tấn công từ chối dịch vụ (Deinal of service)

 Có khả năng lọc trên các cờ và địa chỉ vật lý của TCP

 Là một firewall có nhiều trạng thái, nên nó có thể theo dõi trong suốt sự kết nối,

do đó nó an toàn hơn firewall có ít trạng thái

 Iptables bao gồm 3 bảng, mỗi bảng với một chính sách (police) mặc định và các nguyên tắc trong chain xây dựng sẵn

3.2 Cơ chế xử lý package trong IPtables:

Iptables sẽ kiểm tra tất cả các package khi nó đi qua iptables host, quá trình kiểm tra này được thực hiện tuần tự từ entries đầu tiên đến entries cuối cùng

Iptables tổ chức phân loại dựa theo cách thức xử lý gói tin Các gói tin này được xử

lý qua các bảng, trong mỗi bảng có phân biệt gói tin đi vào (INPUT), đi ra (OUTPUT) hoặc chuyển tiếp (FORWARD) Hay một số cách thức biến đổi địa chỉ nguồn, đích gọi

là NAT bao gồm việc biến đổi địa chỉ nguồn thành đích gọi là PREROUTING, và đích thành nguồn gọi là POSTROUTING người ta gọi đó là các chain Trong mỗi chain sẽ

có những luật để quyết định xử lý gói tin như thế nào: cho phép (ACCEPT), từ chối (REJECT), bỏ đi (DROP) Trong thực thế người ta chủ yếu dùng cơ chế là Filter và NAT

 Filter: Chịu trách nhiệm lọc gói dữ liệu Nó gồm có 3 quy tắc nhỏ (chain) để

giúp bạn thiết lập các nguyên tắc lọc gói, gồm :

+ Forward chain: lọc gói khi đi đến đến các server khác

+ Input chain: lọc gói khi đi vào trong server

+ Output chain: lọc gói khi ra khỏi server

 NAT: Gồm có 2 loại :

+ Pre-routing chain: thay đổi địa chỉ đến của gói dữ liệu khi cần thiết

+ Post-routing chain: thay đổi địa chỉ nguồn của gói dữ liệu khi cần thiết

 MANGLE: Chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP

header như TOS (type of service), TTL (time to live), và MARK

3.2.1 NAT table (Network Address Translation):

Chỉ được sử dụng để chuyển đổi địa chỉ tĩnh hoặc động trên những gói tin Nói cách khác, nó chỉ được dùng để chuyển đổi trường địa chỉ nguồn hay trường địa chỉ đích của gói tin, tuỳ theo luật được chỉ ra Các gói tin trong một dòng dữ liệu (stream) chỉ

đi qua bảng này một lần Giả sử gói đầu tiên của một dòng dữ liệu được cho phép (chỉ

có gói đầu tiên trong một dòng dữ liệu sẽ vấp phải chuỗi này) Phần gói còn lại trong dòng dữ liệu sẽ được tự động thay đổi địa chỉ và sẽ phải chịu cùng các tác động như gói đầu tiên

- Khi một máy bên trong mạng nội bộ truy cập vào tài nguyên bên ngoài thì packet được gửi đến IP NAT, IP NAT sẽ thay đổi địa chỉ nguồn của packet bằng một địa chỉ hợp lệ trong dãy địa chỉ được cấp trên Internet nếu còn

- Khi một máy của mạng bên ngoài truy cập tài nguyên của mạng cục bộ qua IP NAT, khi packet đến IP NAT nó sẽ thay đổi địa chỉ đích của packet bằng một địa chỉ của mạng nội bộ

Để thực thi chức năng NAT (Network Address Translation), ta dùng ba loại built-in chains sau đây:

 PREROUTING chain: Thay đổi địa chỉ đích xảy ra trước khi định tuyến Tạo

điều kiện cho việc chuyển đổi địa chỉ IP đích tương thích với bảng định tuyến của tường lửa Được sử dụng với NAT của địa chỉ IP đích, còn được gọi là destination NAT hoặc DNAT

 POSTROUTING chain: Thay đổi địa chỉ đích xảy ra sau khi định tuyến Điều

này có nghĩa rằng không có cần phải thay đổi địa chỉ IP đích của gói tin như trong định tuyến trước Được sử dụng với NAT của địa chỉ IP nguồn bằng cách

sử dụng one-to-one hoặc NAT many-to-one Điều này được gọi là source NAT, hoặc SNAT

 OUTPUT: NAT sử dụng cho các gói dữ liệu xuất phát từ firewall Hiếm khi dùng

trong môi trường SOHO (small office - home office)

Hình 3 2 Quá trình xử lý gói tin trong bảng NAT

3.2.2 Filter table (Lọc gói):

Bảng filter dùng để lọc các gói tin Chúng ta có thể kiểm tra và lọc các gói tin tương ứng và lọc gói chúng theo cách mà chúng ta muốn Đây là nơi chúng ta thật sự thực hiện hành động trên các gói tin và kiểm tra nội dung của gói tin và loại bỏ (DROP) hoặc chấp nhận (ACCEPT) chúng

Chịu trách nhiệm thiết lập bộ lọc packet (packet filtering), có ba loại built-in chains:

 FORWARD chain: Cho phép packet nguồn chuyển qua firewall

 INPUT chain: Cho phép những gói tin đi vào từ firewall

 OUTPUT chain: Cho phép những gói tin đi ra từ firewall

Hình 3 3 Quá trình xử lý gói tin trong bảng Filter

3.2.3 MANGLE table:

Được sử dụng để thay đổi thông tin của gói tin Ta có thể thay đổi nội dung gói tin

và phần header của gói tin đó Bảng này gồm 5 loại chains được xây dựng sẵn:

Được sử dụng để thay đổi thông tin của gói tin Ta có thể thay đổi nội dung gói tin

và phần header của gói tin đó Bảng này gồm 5 chuỗi luật được xây dựng sẵn

 PREOUTING: được sử dụng để thay đổi gói tin khi chúng vừa vào Firewall và

trước khi chúng qua bước quyết định dẫn đường

 POSTROUTING: được sử dụng để thay đổi thông tin gói tin ngay sau khi tất cả

các quyết định dẫn đường được thực hiện

 INPUT: được sử dụng để thay đổi thông tin gói tin sau khi chúng đã được dẫn tới

bản thân máy cục bộ, nhưng trước khi được gửi tới tiến trình ứng dụng

 FORWARD: được sử dụng để thay đổi thông tin gói tin sau khi chúng đã sang

bước quyết định dẫn đường đầu tiên, nhưng trước khi chúng chịu tác động của quyết định dẫn đường cuối cùng

 OUTPUT: được sử dụng để thay đổi thông tin của các gói tin được phát sinh cục

bộ trước khi chúng được chuyển sang bước quyết định dẫn đường

Chúng ta không sử dụng bảng này để thực hiện lọc gói tin và cũng không thực hiện chuyển đổi địa chỉ NAT hay Masquerading trong bảng này Các hành động có thể được sử dụng trong bảng này bao gồm: TOS, TTL, MARK Chúng chỉ hợp lệ trong bảng mangle

 TOS: dùng xác lập một byte (8 - bit) TOS (Type of service) trong phần tiêu đề IP

của gói tin Nó không thực sự hoàn hảo trên thực tế nó không sử dụng trên internet và hầu hết các router không quan tâm đến giá trị trong trường này, và đôi khi chúng thực hiện sai trên thông tin chúng nhận được

 TTL: dùng thay đổi trường TTL (Time To Live) của gói tin tương kết

 MARK: dùng xác lập các giá trị cho trường điểm đặc biệt cho gói tin Những

điểm này được nhận diện bởi các chương trình ip router2 để thực hiện dẫn đường khác nhau trên gói phụ thuộc vào mark mà chúng có Chúng ta cũng có thể giới hạn băng thông và class based queuing trên những mark này