1
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG
NGÀNH CÔNG NGHỆ THÔNG TIN
======
ISO 9001:2000
ĐỒ ÁN TỐT NGHIỆP
TÊN ĐỀ TÀI: TÌM HIỂU VỀ VẤN ĐỀ BẢO MẬT TRONG MẠNG LAN
Giáo viên hướng dẫn : TS. Phạm Hồng Thái
CN. Lƣơng Việt Nguyên
Sinh viên
:Nguyễn Thị Thúy
Lớp
:CT 701
Mã số sinh viên :10419
2 NỘI DUNG
NỘI DUNG
MỤC ĐÍCH CỦA ĐỀ TÀI
NỘI DUNG CHÍNH
3 MỤC ĐÍCH CỦA ĐỀ TÀI
MỤC ĐÍCH CỦA ĐỀ TÀI
Nghiên cứu các giải pháp nhằm bảo vệ
cho mạng nội bộ nhằm điều khiển luồng
thông tin ra, vào và bảo vệ các mạng nội
bộ khỏi sự tấn công từ Internet.
4 NỘI DUNG CHÍNH
NỘI DUNG CHÍNH
I. Vấn đề an ninh mạng
II. Tổng quan về Firewall.
III. IPTables Firewall trên Linux
IV. Thiết lập firewall bảo vệ mạng nội bộ bằng Iptable
trên Linux.
5 I. Vấn đề an ninh mạng
I. Vấn đề an ninh mạng
1.1 An ninh mạng là gì?
An ninh mạng bao hàm tất cả các hoạt động mà các tổ chức,
hãng, hay cơ quan đảm nhiệm nhằm bảo vệ các giá trị và tính
hữu ích của các tài nguyên cũng nhƣ tính toàn vẹn và tính sẵn
sàng của các hoạt động hệ thống mạng.
Một chiến lƣợc an ninh mạng hiệu quả đòi hỏi sự xác định
đƣợc các mối đe dọa và sau đó là chọn lựa một tập các công cụ
có hiệu quả nhất để chống lại chúng.
6 1.2 Các giải pháp cơ bản để đảm bảo an ninh an toàn mạng
1.2 Các giải pháp cơ bản để đảm bảo an ninh
an toàn mạng
Giải pháp về phần cứng.
Giải pháp về phần mềm.
Giải pháp về con ngƣời.
7 1.3 Một số giải pháp bảo vệ cho mạng nội bộ.
1.3 Một số giải pháp bảo vệ cho mạng nội bộ.
Tƣờng lửa (Firewall)
Mạng riêng ảo (Virtual Private Network- VPN)
Mã hóa dữ liệu
Sử dụng các chƣơng trình antivirus
Các biện pháp bảo vệ vật lý…
8 II. Tổng quan về Firewall
II. Tổng quan về Firewall
2.1 Khái niệm
Firewall là thiết bị nhằm ngăn chặn sự truy nhập không
hợp lệ từ mạng ngoài vào mạng trong. Hệ thống firewall
thƣờng bao gồm cả phần cứng và phần mềm.
Firewall thƣờng đƣợc dùng theo phƣơng thức ngăn chặn
hay tạo các luật đối với các địa chỉ khác nhau.
9 2.2 Các chức năng cơ bản của Firewall
2.2 Các chức năng cơ bản của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin
giữa mạng cần bảo vệ (Trusted Network) và Internet thông
qua các chính sách truy nhập đã đƣợc thiết lập.
Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài
và từ ngoài vào trong.
Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng.
Kiểm soát khả năng truy cập ngƣời sử dụng giữa 2 mạng.
Kiểm soát nội dung thông tin truyền tải giữa 2 mạng.
Ngăn ngừa khả năng tấn công từ các mạng ngoài.
10 2.3 Phân loại Firewall
2.3 Phân loại Firewall
Thông thƣờng Firewall đƣợc chia làm 2 loại:
Firewall phần cứng
Firewall phần mềm.
Và một số hệ thống firewall khác.
11 a. Firewall phần cứng
a. Firewall phần cứng
Là một thiết bị phần cứng đƣợc tích hợp bộ định tuyến,
các quy tắc cho việc lọc gói tin đƣợc thiết lập ngay trên
bộ định tuyến đó.
Hình 1: Mô hình sử dụng Firewall phần cứng.
12
b. Firewall phần mềm
Loại firewall này là một chƣơng trình ứng dụng nguyên
tắc hoạt động dựa trên trên ứng dụng proxy – là một phần
mềm cho phép chuyển các gói tin mà máy chủ nhận đƣợc
đến những địa điểm nhất định theo yêu cầu.
Các quy tắc lọc gói tin đƣợc ngƣời sử dụng tự thiết lập.
Hình 1: Mô hình sử dụng Firewall phần mềm.
13
c. Ưu và nhược điểm của firewall
Firewall phần cứng :
Thƣờng đƣợc sử dụng để đảm bảo an ninh cho các mạng
lớn.
Có thể chạy một cách hoàn toàn độc lập không bị phụ
thuộc vào hệ điều hành nhƣ firewall phần mềm.
Chỉ có thể lọc thông tin trong phần header của gói tin.
Không thể ngăn chặn đựơc các loại Virus.
Đắt hơn Firewall phần mềm.
Firewall phần mềm :
Thƣờng đƣợc sử dụng để đảm bảo an ninh cho các máy
tính cá nhân hoặc một mạng nhỏ
Điểm yếu của firewall phần mềm đó là với mỗi firewall
phần mềm đƣợc chạy trên từng hệ điều hành nhất định.
14 2.4 Một số hệ thống Firewall khác.
2.4 Một số hệ thống Firewall khác.
Packet-Filtering Router (Bộ trung chuyển có lọc
gói)
Screened Host Firewall
Demilitarized Zone (DMZ – khu vực phi quân
sự) hay Screened-subnet Firewall
15 2.5. Kết luận
2.5. Kết luận
Các hệ thống firewall thiết lập nhằm mục đích đảm bảo an
ninh mạng thông qua việc kiểm soát phần header của các gói
tin.
Nhƣng để sử dụng firewall đảm bảo đƣợc an ninh mạng một
các hiệu quả thì ngƣời quản trị hệ thống cần có những hiểu
biết sâu sắc về địa chỉ IP đích, địa chỉ IP nguồn, cổng dịch
vụ, các giao thức mạng (TCP, UDP, SMTP…)và đặc biệt cần
có những công cụ giúp cấu hình hệ thống firewall hiệu quả.
Trong chƣơng tiếp theo này em sẽ trình bày về công cụ
FirewallIptable đƣợc tích hợp trên hệ điều hành mã nguồn
mở Linux để bảo vệ cho mạng nội bộ.
16 III. IPTables Firewall trên Linux
III. IPTables Firewall trên Linux
3.1. Giới thiệu về Ipchain
Ipchain đƣợc dùng để cài đặt, duy trì và kiểm tra các luật
của Ip firewall trong Linux kernel.
Những luật này có thể chia làm nhóm chuỗi luật khác
nhau là:
Ip Input chain
Ip Output chain
Ip forwarding chain
Các chuỗi luật do ngƣời dùng định nghĩa
17 3.2. Firewall IPtable trên Redhat
3.2. Firewall IPtable trên Redhat
Iptables là một tƣờng lửa ứng dụng lọc gói dữ liệu rất mạnh,
có sẵn bên trong kernel Linux 2.4.x và 2.6.x.
Netfilter/Iptable gồm 2 phần là Netfilter ở trong nhân Linux
và Iptables nằm ngoài nhân. IpTables chịu trách nhiệm giao
tiếp giữa ngƣời dùng và Netfilter để đẩy các luật của ngƣời
dùng vào cho Netfilter xử lí.
Hình 3: Firewall IPTable trong Linux.
18 3.2.1 Netfilter/Iptables có khả năng gì?
3.2.1 Netfilter/Iptables có khả năng gì?
Xây dựng bức tƣờng lửa dựa trên cơ chế lọc gói stateless và
stateful
Dùng bảng NAT và masquerading chia sẻ sự truy cập mạng
nếu không có đủ địa chỉ mạng.
Dùng bảng NAT để cài đặt transparent proxy
Làm các thay đổi các bit(mangling) TOS/DSCP/ECN của IP
header
Có khả năng theo dõi sự kết nối, có khả năng kiểm tra nhiều
trạng thái của packet.
Có khả năng giới hạn tốc độ kết nối và ghi nhật ký tránh sự
tấn công từ chối dịch vụ (Deinal of service).
Có khả năng lọc trên các cờ và địa chỉ vật lý của TCP.
19 3.2.2. Cấu trúc của Iptable.
3.2.2. Cấu trúc của Iptable.
Iptables đƣợc chia làm 3 bảng (table):
20 3.2.3. Nguyên tắc làm việc của Netfilter/Iptable
3.2.3. Nguyên tắc làm việc của Netfilter/Iptable
Hình 4: Quá trình chuyển gói dữ liệu qua Netfilter
21
Packet sẽ qua chain PREROUTING
Tại đây, packet có thể bị thay đổi thông số (mangle) hoặc bị đổi địa chỉ IP
đích (DNAT).
Đối với packet đi vào máy, sẽ qua chain INPUT.
Tiếp theo packet sẽ đƣợc chuyển lên cho các ứng dụng (client/server) xử
lí và tiếp theo là đƣợc chuyển ra chain OUTPUT.
Tại chain OUTPUT, packet có thể bị thay đổi các thông số và bị lọc chấp
nhận ra hay bị hủy bỏ.
Đối với packet forward qua máy, packet sau khi rời chain PREROUTING
sẽ qua chain FORWARD.
Tại chain FORWARD, nó cũng bị lọc ACCEPT hoặc DENY. Packet đến
chain POSTROUTING
Tại chain POSTROUTING, packet có thể đƣợc đổi địa chỉ IP nguồn
(SNAT) hoặc MASQUERADE.
Packet sau khi ra card mạng sẽ đƣợc chuyển lên cáp để đi đến máy tính
khác trên mạng.
22 3.3 Sử dụng IPTables
3.3 Sử dụng IPTables
3.3.1. Cấu hình iptables
Iptables đƣợc cài đặt mặc định trong hệ thống Linux, package
của iptables là iptablesversion.rpm hoặc iptables-version.tgz.
Để khởi động, ngừng hoặc khởi động lại Iptables có thể
dùng lệnh sau:
/etc/rc.d/init.d/Iptables start : khởi động iptables.
/etc/rc.d/init.d/Iptables stop : ngừng iptables.
/etc/rc.d/init.d/Iptables restart : khởi động lại iptables.
Để cấu hình Iptables thì dùng file :
/etc/sysconfig/iptables.
23 3.4. Các tham số dòng lệnh
3.4. Các tham số dòng lệnh
3.4.1 Gọi trợ giúp
$ man iptables hoặc $ iptables –help.
VD :Tùy chọn của match limit :$ iptables -m limit –help
3.4.2. Các tùy chọn để thao tác với chain
iptables -N : Tạo chain mới
iptables -X : Xóa hết các luật đã tạo
iptables –P: Đặt chính sách cho các chain (INPUT, OUTPUT &
FORWARD)
ví dụ: iptables -P INPUT ACCEPT để chấp nhận các packet vào chain
INPUT
iptables -L : Liệt kê các luật có trong chain
iptables -F : Xóa các luật có trong chain
iptables -Z : Reset bộ đếm packet về 0
24 3.4.3 Các tùy chọn để chỉ định thông số
3.4.3 Các tùy chọn để chỉ định thông số
Chỉ định tên table: -t , ví dụ -t filter, -t nat
Chỉ đinh loại giao thức: -p , ví dụ -p tcp, -p udp hoặc -p !
udp để chỉ định các giao thức không phải là udp
Chỉ định card mạng vào: -i , ví dụ: -i eth0, -i lo
Chỉ định card mạng ra: -o , ví dụ: -o eth0, -o pp0
Chỉ định địa chỉ IP nguồn: -s <địa_chỉ_ip_nguồn>
Chỉ định địa chỉ IP đích: -d <địa_chỉ_ip_đích
Chỉ định cổng nguồn: --sport , ví dụ: --sport 21 (cổng 21
Chỉ định cổng đích: --dport , tƣơng tự nhƣ –sport
25
3.4.4. Các tùy chọn để thao tác với luật
Thêm luật: -A (append)
Xóa luật: -D (delete)
Thay thế luật: -R (replace)
Chèn thêm luật: -I (insert
3.4.5 Phân biệt giữa ACCEPT, DROP và REJECT
packet
ACCEPT: chấp nhận packet
DROP: thả packet (không hồi âm cho client)
REJECT: loại bỏ packet (hồi âm cho client bằng một packet
khác)