Đề tài Triển khai hệ thống Firewall trên Iptables cho mạng của công ty TNHH Vươn Cao

Trong công cuộc đổi mới không ngừng của khoa học kỹ thuật công nghệ, nhiều lĩnh vực đã và đang phát triển vượt bậc đặc biệt là lĩnh vực Công nghệ thông tin. Thành công lớn nhất có thể kể đến là sự ra đời của chiếc máy tính. Máy tính được coi là một phương tiện trợ giúp đắc lực cho con người trong nhiều công việc đặc biệt là công tác quản lý. Mạng máy tính được hình thành từ nhu cầu muốn chia sẻ tài nguyên và dùng chung nguồn dữ liệu. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh, và nhiều dạng thông tin khác nhau, nhưng không cho phép chia sẻ dữ liệu bạn đã tạo nên. Nếu không có hệ thống mạng, dữ liệu phải được in ra giấy thì người khác mới có thể hiệu chỉnh và sử dụng được hoặc chỉ có thể sao chép lên đĩa mềm do đó tốn nhiều thời gian và công sức. Khi người làm việc ở môi trường độc lập mà nối máy tính của mình với máy tính của nhiều người khác, thì ta có thể sử dụng trên các máy tính khác và cả máy in. Mạng máy tính được các tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên và cho phép giao tiếp trực tuyến bao gồm gửi và nhận thông điệp hay thư điện tử, giao dịch, buôn bán trên mạng, tìm kiếm thông tin trên mạng. Nhưng khi chia sẽ tài nguyên trên mạng thì phải đề cập đến độ bảo mật của các tài nguyên cần chia sẽ tránh những kẻ xâm nhập bât hợp pháp truy cập vào hệ thống của chúng ta, điều này nảy sinh ra những chương trình, phần cứng hay phần mềm hỗ trợ để quản lý và kiểm soát các tài nguyên ra, vào hệ thống, các phần mềm hỗ trợ thông thường như ISA 2004, ISA 2006, COMODO Firewall, iptables, TCP Wrappers chúng có cùng chung một xu hướng đó là bảo về và quản lý hệ thống mạng bên trong của chúng ta trước những tin tặc truy cập bất hợp pháp. Điều nảy thúc đẩy em tìm hiểu đề tài này. Lý do chọn đề tài : Trước khi triển khai một hệ thống mạng thì điều quan trọng nhất là khâu thiết kế hệ thống mạng, làm thế nào để hệ thống của chúng ta vận hành một các trơn tru và hiệu quả, nhưng bên cạnh đó ta không thể không tự đặt câu hỏi cho chính mình là hệ thống mạng của chúng ta đã vận hành trơn tru rồi nhưng có đủ độ an toàn và bảo mật hay chưa? điều này không quan trọng lắm đối với những doanh nghiệp nhỏ những rất quan trọng đối với các doanh nghiệp lớn, các tổ chức mang tầm cở quốc gia bởi những thông tin của họ rất nhạy cảm nên để đảm bảo độ an toàn cho hệ thống mạng chúng ta cần phải thiết lập những chính sách quản trị phù hợp, điều này đã thôi thúc em nghiên cứu và tìm tòi các ứng dụng phần cứng, phần mềm FIREWALL tương thích trên các hệ điều hành phổ biến hiện nay như Windows, Linux. Trong phần này em nghiên cứu chủ yếu các ứng dụng trên Iptables của Linux, tạo ra các chính sách để quản trị hệ thống mạng dựa trên iptables và quản lý các dữ liệu ra vào hệ thống, đảm bảo hệ thống được bảo vệ ở mức tối đa có thể. Em sử dụng iptables trên hệ điều hành Linux Centos version 5.8 Bố cục đề tài : Đề tài gồm có 3 chương Chương I : Tổng quan về mạng máy tính và bảo mật mạng Tổng quan về hệ thống mạng và phân tích các nguy cơ đe doạ hệ thống mạng và hướng giải quyết, các phương pháp để phòng thủ hệ thống mạng. Chương II : Tổng quan về Firewall và Iptables Giới thiệu về các vấn đề cơ bản của Firewall, phân loại Firewall, các kiến trúc cơ bản của Firewall và cơ chế làm việc của chúng. Chương III : Triển khai hệ thống Firewall trên Iptables cho mạng của công ty TNHH Vươn Cao Triển khai và cấu hình hệ thống Firewall

docx27 trang | Chia sẻ: tuandn | Ngày: 28/05/2014 | Lượt xem: 3122 | Lượt tải: 6download
Bạn đang xem nội dung tài liệu Đề tài Triển khai hệ thống Firewall trên Iptables cho mạng của công ty TNHH Vươn Cao, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
LỜI NÓI ĐẦU Trong công cuộc đổi mới không ngừng của khoa học kỹ thuật công nghệ, nhiều lĩnh vực đã và đang phát triển vượt bậc đặc biệt là lĩnh vực Công nghệ thông tin. Thành công lớn nhất có thể kể đến là sự ra đời của chiếc máy tính. Máy tính được coi là một phương tiện trợ giúp đắc lực cho con người trong nhiều công việc đặc biệt là công tác quản lý. Mạng máy tính được hình thành từ nhu cầu muốn chia sẻ tài nguyên và dùng chung nguồn dữ liệu. Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh, và nhiều dạng thông tin khác nhau, nhưng không cho phép chia sẻ dữ liệu bạn đã tạo nên. Nếu không có hệ thống mạng, dữ liệu phải được in ra giấy thì người khác mới có thể hiệu chỉnh và sử dụng được hoặc chỉ có thể sao chép lên đĩa mềm do đó tốn nhiều thời gian và công sức. Khi người làm việc ở môi trường độc lập mà nối máy tính của mình với máy tính của nhiều người khác, thì ta có thể sử dụng trên các máy tính khác và cả máy in. Mạng máy tính được các tổ chức sử dụng chủ yếu để chia sẻ, dùng chung tài nguyên và cho phép giao tiếp trực tuyến bao gồm gửi và nhận thông điệp hay thư điện tử, giao dịch, buôn bán trên mạng, tìm kiếm thông tin trên mạng. Nhưng khi chia sẽ tài nguyên trên mạng thì phải đề cập đến độ bảo mật của các tài nguyên cần chia sẽ tránh những kẻ xâm nhập bât hợp pháp truy cập vào hệ thống của chúng ta, điều này nảy sinh ra những chương trình, phần cứng hay phần mềm hỗ trợ để quản lý và kiểm soát các tài nguyên ra, vào hệ thống, các phần mềm hỗ trợ thông thường như ISA 2004, ISA 2006, COMODO Firewall, iptables, TCP Wrappers… chúng có cùng chung một xu hướng đó là bảo về và quản lý hệ thống mạng bên trong của chúng ta trước những tin tặc truy cập bất hợp pháp. Điều nảy thúc đẩy em tìm hiểu đề tài này. Lý do chọn đề tài : Trước khi triển khai một hệ thống mạng thì điều quan trọng nhất là khâu thiết kế hệ thống mạng, làm thế nào để hệ thống của chúng ta vận hành một các trơn tru và hiệu quả, nhưng bên cạnh đó ta không thể không tự đặt câu hỏi cho chính mình là hệ thống mạng của chúng ta đã vận hành trơn tru rồi nhưng có đủ độ an toàn và bảo mật hay chưa? điều này không quan trọng lắm đối với những doanh nghiệp nhỏ những rất quan trọng đối với các doanh nghiệp lớn, các tổ chức mang tầm cở quốc gia bởi những thông tin của họ rất nhạy cảm nên để đảm bảo độ an toàn cho hệ thống mạng chúng ta cần phải thiết lập những chính sách quản trị phù hợp, điều này đã thôi thúc em nghiên cứu và tìm tòi các ứng dụng phần cứng, phần mềm FIREWALL tương thích trên các hệ điều hành phổ biến hiện nay như Windows, Linux... Trong phần này em nghiên cứu chủ yếu các ứng dụng trên Iptables của Linux, tạo ra các chính sách để quản trị hệ thống mạng dựa trên iptables và quản lý các dữ liệu ra vào hệ thống, đảm bảo hệ thống được bảo vệ ở mức tối đa có thể. Em sử dụng iptables trên hệ điều hành Linux Centos version 5.8 Bố cục đề tài : Đề tài gồm có 3 chương Chương I : Tổng quan về mạng máy tính và bảo mật mạng Tổng quan về hệ thống mạng và phân tích các nguy cơ đe doạ hệ thống mạng và hướng giải quyết, các phương pháp để phòng thủ hệ thống mạng. Chương II : Tổng quan về Firewall và Iptables Giới thiệu về các vấn đề cơ bản của Firewall, phân loại Firewall, các kiến trúc cơ bản của Firewall và cơ chế làm việc của chúng. Chương III : Triển khai hệ thống Firewall trên Iptables cho mạng của công ty TNHH Vươn Cao Triển khai và cấu hình hệ thống Firewall CHƯƠNG I TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ BẢO MẬT MẠNG I.1 GIỚI THIỆU MẠNG MÁY TÍNH VÀ MÔ HÌNH MẠNG I.1.1 Giới thiệu về mạng máy tính I.1.1.1 Mạng máy tính là gì? Mạng máy tính là tập hợp các máy tính kết nối với nhau bởi đường truyền vật lý theo một cấu trúc nào đó để đáp ứng các yêu cầu của người dùng. I.1.1.2 Vai trò của mạng máy tính ? Khả năng sử dụng chung tài nguyên Tăng độ tin cậy của hệ thống Nâng cao chất lượng và hiệu quả khai thác thông tin trong mạng Đáp ứng những nhu cầu của hệ thống ứng dụng kinh doanh hiện đại Cung cấp sự thống nhất giữa các dữ liệu I.1.2 Mô hình mạng máy tính I.1.2.1 Mô hình khách- chủ (Client- Server) Các máy trạm được nối với các máy chủ, nhận quyền truy nhập mạng và tài nguyên mạng từ các máy chủ. Đối với Windows NT các máy được tổ chức thành các miền (domain). An ninh trên các domain được quản lý bởi một số máy chủ đặc biệt gọi là domain controller. Hình 1.1 Mô hình Client – Server I.1.2.2 Mô hình mạng ngang hàng (Peer- to- Peer) I.2 CÁC PHƯƠNG PHÁP TẤN CÔNG MẠNG I.2.1 Main in the middle attack Đây là một kỹ thuật tấn công cổ điển nhưng vẫn được sử dụng cho đến ngày hôm nay, kiểu tấn công này thường dùng cho mạng không dây như giả mạo ARP, DNS, chiếm quyền điều khiển Sestion, đánh cắp Cookies bằng Hamster và Ferret….. Hình 1.3 Mô hình ARP- spoofing Kiểu tấn công này thường được sử dụng nhất là kiểu giả mạo ARP, hiểu được cách tấn công giả mạo này thì cũng phần nào hình dung được hình thức phương thức tấn công này.Việc sử dụng kỹ thuật encryption và authentication để nâng cấp việc bảo mật dữ liệu nhưng hackers vẫn còn có thễ thâm nhập vào hệ thống của bạn dựa vào sự hoạt động của các giao thức. Hackers sử dụng một thiết bị không có thật giữa người dùng cuối và mạng không dây. Hackers sử dụng những tools để có thể tìm ra những gói tin arp và có thể điều khiển mạng của bạn. I.2.2 Tấn công DoS Tấn công DoS là kiểu tấn công mà người mà người tấn công làm cho hệ thống nạn nhân không thể sử dụng hoặc làm cho hệ thống đó bị chậm đi một cách đáng kể so với người sử dụng bình thường bằng cách làm quá tải tài nguyên của hệ thống. Nếu kẻ tấn công không có khả năng xâm nhập vào hệ thống thì chúng cố gắng làm cho hệ thống bị sụp đổ và không có khả năng phục vụ người dùng bình thường thì đó gọi là tấn công Denial of Service. I.2.2.1 Các mục đích của tấn công DoS Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập lụt Cố gắng ngắt kết nổi giữa 2 máy và ngăn chặn truy cập vào dịch vụ Ngăn chặn người dùng truy cập một dịch vụ cụ thể và dấu hiệu tấn công DoS thường nhận thấy là tắt mạng, tổ chức không hoạt động, tài chính bị mất… I.2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS I.2.3 Tấn công DDoS I.2.3.1 Các đặc tính của tấn công DDoS. I.2.3.2 Tấn công DDoS không thể ngăn chặn hoàn toàn. I.3 CÁC KỸ THUẬT TẤN CÔNG MẠNG PHỔ BIẾN I.3.1 Nghe lén (sniffing) Theo đúng như tên gọi, kỹ thuật này không tấn công trực diện vào các máy người dùng (client) hay máy chủ (server), mà nó nhằm vào không gian truyền dữ liệu giữa các máy. Sniffing là kỹ thuật được các quản trị viên dùng theo dõi, chuẩn đoán, phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng. Tuy nhiên, kỹ thuật này về sau bị biến tướng, trở thành công cụ đắc lực phục vụ mục đích thu thập trái phép các thông tin nhạy cảm, tên tài khoản, mật khẩu, credit card,… của người dùng khi luân chuyển trên mạng . I.3.2 Quét thăm dò ( Scanning) Phần lớn thông tin quan trọng từ server có được từ bước này. Xác định hệ điều hành, xác định hệ thống có đang chạy không, tìm hiểu các dịch vụ đang chạy hay đang lắng nghe, tìm hiểu các lỗ hổng, kiểm tra các cổng, xác định các dịch vụ sử dụng giao thức TCP và UDP... Những thông tin này sẽ giúp cho hacker có kế hoạch tấn công hợp lý, cũng như việc chọn kỹ thuật tấn công nào. Quét giúp định vị hệ thống còn hoạt động trên mạng hay không. Một hacker chân chính sử dụng cách này đề tìm kiếm thông tin của hệ thống đích. I.3.3 Social Engineering I.3.4 Reverse engineering I.3.5 Tấn công tràn bộ đệm (Buffer Overflow) I.3.6 Tấn công bằng cách cài worm,virus và trojan. I.3.6.1 Virus máy tính I.3.6.2 Worm I.3.6.3 Trojan Horse I.4 PHÒNG THỦ MẠNG Hầu hết trên thế giới hiện nay đều nghiên cứu kỹ lưỡng từng kỹ thuật tấn công và tìm kiếm nhược điểm nhằm mục đích vô hiệu hóa phương thức tấn công đó. Công cụ để triển khai phòng thủ không khác gì ngoài những hệ thống được dựng lên với những chính sách và luật riêng như tường lửa, hệ thống xác thực, mã hóa, phân quyền, những bản vá lỗi lổ hổng bảo mật, IDS,honeynet,honeysport….. Người quản trị phải luôn cập nhật mới kiến thức và thường xuyên thử đóng vai trò người tấn công vào chính hệ thống của mình từ đó xây dựng các phương án phòng thủ phù hợp. I.4.1 Các nguyên tắc cơ bản của công tác phòng thủ mạng I.4.1.1 Nguyên tắc chỉnh thể I.4.1.2 Nguyên tắc quy phạm I.4.1.3 Nguyên tắc độ thích ứng I.4.1.4 Nguyên tắc đồng bộ I.4.2 Đánh giá nguy cơ hệ thống mạng I.4.3 Một số kỹ thuât phòng thủ I.4.3.1 Anti DDoS I.4.3.2 Anti ARP- snoofing I.4.3.3 Anti SSL (man- in- the- middle) CHƯƠNG II TỔNG QUAN VỀ FIREWALL VÀ IPTABLES II.1 TỔNG QUAN VỀ FIREWALL II.1.1 Firewall là gì? II.1.1.1 khái niệm Firewall Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Hình 2.1 Mô hình mạng sử dụng tường lửa II.1.1.2 Firewall làm được những gì? II.1.1.3 Firewall không làm được những gì? II.1.1.4 Nguyên lý hoạt động của Firewall Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ của chúng. Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header ), dùng để cho phép truyền các Packet đó ở trên mạng. Đó là : • Địa chỉ IP nơi xuất phát ( IP Source address) • Địa chỉ IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thông báo ICMP (ICMP message type) • Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet đi (Outcomming interface of Packet) Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall. Nếu không Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. II.1.1.5 Phân tích cấu trúc của gói ip II.1.1.6 Chức năng của Firewall Tường lửa quyết định những người nào, những dịch vụ nào từ bên trong được phép truy cập ra bên ngoài và cả những dịch vụ từ bên ngoài nào được phép truy cập vào bên trong. Triển khai giám sát các sự kiện an ninh mạng : hệ thống cảnh báo, IDS và IPS có thể triển khai hệ thống tường lửa. Triển khai một vài chức năng trên nền tường lửa : NAT, thống kê, logs… Để tường lửa làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và ngược lại đều phải thực hiện thông qua tường lửa. II.1.1.7 Ưu nhược điểm khi dùng Firewall II.1.2 Phân loại Firewall - Packet Flitering: là hệ thống Firewall cho phép chuyển thông tin giữa hệ thống trong và ngoài mạng có kiểm soát. - Application- proxy Firewall: là hệ thống Firewall thực hiện các kết nối trực tiếp từ máy khách yêu cầu. II.1.2.1 Packet flitering - Kiểu Firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI. Firewall mức mạng thường hoạt động theo nguyên tắc của Firewall hay còn được gọi là Router/Firewall, có nghĩa là tạo ra các luật cho phép quyền truy cập mạng dựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin (Packet Flitering). II.1.2.2 Application- proxy Firewall - Kiểu Firewall này hoạt động dựa trên phần mềm. khi một kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đã đặt ra trên Firewall thì Firewall tạo ra một cái cầu kết nối giữa 2 node với nhau. II.1.3 Các thế hệ Firewall thường dùng II.1.3.1 Firewall lọc gói tin Tường lửa lọc gói tin : công nghệ tường lửa thế hệ đầu tiên phân tích lưu lượng mạng ở tầng vận chuyển (transport protocol layer). II.1.3.2 Firewall mức giao vận (Circuit Level Firewall) II.1.3.3 Firewall mức ứng dụng II.1.3.4 Firewall lọc gói tin động II.1.4 Một số phần mềm Firewall thông dụng II.1.4.1 Packet filtering Kiểu lọc gói tin này có thể được thực hiện mà không cần tạo một Firewall hoàn chỉnh, có rất nhiều các công cụ trợ giúp cho việc lọc gói tin trên Internet (kể cả phải mua hay được miễn phí ). Sau đây ta có thể liệt kê một số tiện ích như vậy: II.1.4.2 TCP_wrappers II.1.4.3 Netgate II.1.4.4 Internet packet filter II.1.4.5 Application- proxy Firewall II.1.5 Các kiến trúc của Firewall II.1.5.1 Dual homed host II.1.5.1.a Mô hình Hình 2.3 Sơ đồ kiến trúc Dual – Homed Host II.1.5.1.b đánh giá về kiến trúc Dual homed host II.1.5.2 Screened host II.1.5.2.a Mô hình Hình 2.4 Sơ đồ kiến trúc Screened Host II.1.5.2.b Đánh giá II.1.5.3 Screened subnet host II.1.5.3.a Mô hình Hình 2.5 Sơ đồ kiến trúc Screened Subnet Host II.1.5.3.b Đánh giá II.2 TỔNG QUAN VỀ LINUX VÀ IPTABLES II.2.1 Tổng quan về Linux II.2.1.1 Quá trình hình thành linux II.2.1.2 Các phiên bản hiện nay Linux là một trong những hệ điều hành mạnh nhất và nhanh nhất hiện nay, với số lượng người dùng không ngừng tăng cao. Linux được đánh giá là nhỉnh hơn hệ điều hành window về tốc độ lẫn giá thành. Linux cung cấp cho người dùng tính năng và hiệu quả cao, tốc độ xử lý nhanh, chi phí bỏ ra dường như không có tức là nó hoàn toàn miễn phí. Hệ điều hành Linux thật sự đáng tin cậy, bảo mật an ninh khá tốt, giao diện tùy biến, thích hợp cho các doanh nghiệp. Có hàng chục các phiên bản Linux được cung cấp miến phí như : + Fredora + Ubuntu + Arch Linux Distros + Open SUSE + CentOS + Debyan GNU…… II.2.2 Tổng quan về IPTables II.2.2.1 Iptables là gì ? Iptables là một chương trình chạy ở không gian người dùng, cho phép người quản trị hệ thống có thể cấu hình các bảng của tường lửa trong nhân Linux (được cài đặt trong các mô đun Netfilter khác nhau) và lưu trữ các chuỗi, luật. Iptables yêu cầu quyền cao cấp trong hệ thống để hoạt động và phải được người dùng root thực thi, nếu không một số chức năng của chương trình sẽ không hoạt động. II.2.2.2 Nguyên tắc triển khai Firewall iptables II.2.2.3 Cơ chế xử lý trong iptables Tất cả mọi gói dữ liệu đề được kiểm tra bởi Iptables bằng cách dùng tuần tự xâu dựng sẵn (queues). Có 3 loại bảng là: - Mangle: Chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP header như TOS (type of service), TTL (time to live) và MARK - Filter: Chịu trách nhiệm lọc các gói dữ liệu. Nó gồm có 3 quy tắc nhỏ (chain) + Forwoard chain: Lọc gói khi đi đến server khác. + Input chain: Lọc gói ki đi vào trong server. + Output chain: Lọc gói khi đi ra khỏi server. Nat: Gồm có 2 loại Nat ta thường gọi là Nat Outbound và Nat Inbound Hình 2.6 Quá trình lọc gói tin qua Firewall - Jumps: Là cơ chế chuyển một packet đến một target nào đó để xử lý thêm một số thao tác khác. - Target: Là cơ chế hoạt động trong iptables, dùng để nhận diện và kiểm tra packet. Các target được xây dựng sẵn trong iptables như : MASQUERADE, SNAT, DNAT, REJECT, LOG, DROP, ACCEPT. II.2.2.5 Các tham số chuyển mạch quan trọng của iptables Lệnh switching quan trọng Ý Nghĩa - t Nếu bạn không chỉ rõ là tables nào, thì filter tables sẽ được áp dụng. Có 3 loại table là filter, nat, mangle. - j Nhảy thêm một chuỗi targer nào đó khi gói dữ liệu phù hợp quy luật hiện tại. - I Insert thêm rule vào đầu chain. - A Nối thêm một quy luật nào đó vào cuối chain. - F Xóa hết tất cả mọi quy luật trong bảng đã chọn. - p Phù hợp với giao thức (protocols), thông thường là các giao thức như icmp, tcp, udp và all. - s Source để chỉ ip nguồn. - d Destination để chỉ ip đích. - i Phù hợp điều kiện INPUT khi gói dữ liệu đi vào Firewall - o Phù hợp điều kiện OUTPUT khi gói dữ liệu đi ra khỏi Firewall Bảng 2.3 Các tham số chuyển mạch quan trọng của iptables II.2.2.6 Những module kernel cần thiết II.2.2.7 lưu cấu hình script cho iptables II.2.2.8 Khắc phục sự cố trên iptables CHƯƠNG III TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO MẠNG CỦA CÔNG TY TNHH VƯƠN CAO III.1 GIỚI THIỆU HỆ THỐNG MẠNG CÔNG TY TNHH VƯƠN CAO III.1.1 Sơ đồ logic hệ thống mạng hiện tại công ty đang áp dụng Hình 3.1 - Sơ đồ logic hệ thống mạng đang áp dụng III.1.2 Phân tích sơ đồ hệ thống Mô hình mạng mà công ty đang áp dụng là mạng ngang hàng. Vùng DMZ nằm chung lớp mạng với vùng Inside. Hệ thống hầu như không được bảo vệ và phản ứng yếu ớt khi bị tấn công… III.2 HIỆN TRẠNG MẠNG CỦA CTY VƯƠN CAO ĐANG SỬ DỤNG III.2.1 Hiện trạng bị tấn công Trong quá trình hoạt động của công ty mà bộ phận kỹ thuật ghi nhận được thì có tổng cộng 4 cuộc tấn công DDoS vào hai máy FTP server và WEB server của công ty trong 6 tháng đầu năm 2013 nhiều hơn gấp 2 lần cùng kỳ năm trước và tình trạng chung là nhân viên không thể truy cập vào 2 trang này Email của giám đốc và kế toán trưởng bị xem trộm, một vấn đề rất nhạy cảm và cần có những phương án cấp bách để ngăn chặn tình trạng này xảy ra một lần nữa trước khi tìm ra thủ phạm. Công việc làm ăn của công ty thuận lợi và ngày càng mở rộng, yêu cầu bây giờ là phải xây dựng một mô hình công ty phù hợp với tình hình mới trong đó cơ sở hạ tầng hệ thống mạng của công ty phải đảm bảo được tính mở.Trong thời gian tới đây công ty tiến hành public các server ra ngoài internet, xây dựng website hoàn chỉnh nhằm quảng bá hình ảnh của công ty để phù hợp với xu thế phát triển của thị trường. Ngoài việc xây dựng một hệ thống mạng mang tính oan toàn, bảo mật thì phải đáp ứng được tính sẵn sàng khi hệ thống mạng đòi hỏi cần nâng cấp cũng như triển khai các chính sách của công ty ngay trên đó. Những thông tin trên là hồi chuông cảnh báo cần có những thay đổi và phải xây dựng lại một hệ thống mạng phù hợp hơn khắc phục được những điểm yếu của hệ thống mạng hiện tại của công ty và phải đáp ứng được những yêu cầu an toàn đặt ra cũng như phù hợp với việc quản lý sau này. III.2.2 Đề xuất giải pháp Xây dựng hệ thống Firewall 2 lớp theo mô hình đề xuất đề xuất có khả năng khắc phục được hầu hết các nhược điểm hiện có của mô hình hiện tại của công ty. Mô hình có nhiều ưu điểm và có tính khả thi cao vì đáp ứng được các vấn đề cấp thiết, oan toàn, bảo mật, chi phí thấp. III.3 TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES CHO MẠNG CỦA CÔNG TY TNHH VƯƠN CAO III.3.1 Sơ đồ logic khi áp dụng giải pháp Hình 3.2 - Sơ đồ logic hệ thống mạng ứng dụng firewall 192.168.1.x/24 Lớp mạng nối ra ngoài internet 172.16.0.x/16 Lớp mạng vùng DMZ 10.0.0.x/8 Lớp mạng nội bộ bên trong - internal III.3.2 Các chương trình và thiết bị cần thiết cho giải pháp Tuy là xây dựng sơ đồ hệ thống mới nhưng chúng ta vẫn tận dụng triệt để những thiết bị của hệ thống cũ mà v