Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Lời nói đầu
Sự phát minh ra máy vi tính và sự hình thành của Mạng lưới
Thông Tin Toàn Cầu (Internet) đã mở ra một kỷ nguyên mới cho việc
thông tin liên lạc. Từ một máy vi tính nối vào Mạng lưới Thông Tin
Toàn Cầu (WWW) người sử dụng có thể gửi và nhận tin tức từ khắp
nơi trên thế giới với khối lượng tin tức khổng lồ và thời gian tối thiểu
thông qua một số dịch vụ sẵn có trên Internet.
Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ
chức, các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để
tính toán, lưu trữ, quảng bá thông tin hay sử dụng các giao dịch trực
tuyến trên mạng. Nhưng đồng thời với những cơ hội được mở ra lại
có những nguy cơ khi mạng máy tính không được quản lí sẽ dễ dàng
bị tấn công, gây hậu quả nghiêm trọng. Từ đây nảy sinh ra mô ôt yêu
cầu đó là cần có mô ôt giải pháp hoă ôc mô ôt hê ô thống an ninh bảo vê ô
cho hê ô thống mạng và luồng thông tin chạy trên nó.
Mô ôt trong các giải pháp chính và tốt nhất hiê ôn nay là đưa ra
khái niê ôm Firewall và xây dựng nó để giải quyết những vấn đề này.
Thuật ngữ “Firewall” có nguồn gốc từ một kỹ thuật thiết kế
trong xây dựng để ngăn chặn và hạn chế hoả hoạn. Trong Công nghệ
mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống
mạng để chống lại sự truy cập trái phép nhằm bảo vệ nguồn thông tin
nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông
tin khác không mong muốn. Có hai loại kiến trúc FireWall cơ bản là:
Proxy/Application FireWall và Filtering Gateway Firewall. Hầu hết
các hệ thống Firewall hiện đại là loại lai (hybrid) của cả hai loại trên.
Nhiều công ty và nhà cung cấp dịch vụ Internet sử dụng máy
chủ Linux như một Internet Gateway. Những máy chủ này thường
phục vụ như máy chủ Mail, Web, Ftp, hay Dialup. Hơn nữa, chúng
cũng thường hoạt động như các Firewall, thi hành các chính sách
Nguyễn Mạnh Trung - TH1204
1|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
kiểm soát giữa Internet và mạng của công ty. Khả năng uyển chuyển,
tính kinh tế, và sự bảo mâ ôt cao khiến cho Linux thu hút như là một
thay thế cho những hệ điều hành thương mại.
Tính năng Firewall chuẩn được cung cấp sẵn trong Kernel của
Linux được xây dựng từ hai thành phần : Ipchains và IP
Masquerading.
Linux IP Firewalling Chains là một cơ chế lọc gói tin IP. Những
tính năng của IP Chains cho phép cấu hình máy chủ Linux như một
Filtering Gateway/Firewall dễ dàng. Một thành phần quan trọng khác
của nó trong Kernel là IP Masquerading, một tính năng chuyển đổi địa
chỉ mạng (Network Address Translation- NAT) mà có thể che giấu các
địa chỉ IP thực của mạng bên trong.
Ngoài ra trong Kernel của Linux 2.4x và 2.6x cũng có mô ôt
Firewall ứng dụng lọc gói tin có thể cấu hình ở mức đô ô cao
Netfilter/Iptables.
Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và
Iptables nằm ngoài nhân. Netfilter cho phép cài đă ôt, duy trì và kiểm
tra các quy tắc lọc gói tin trong Kernerl. Netfilter tiến hành lọc các gói
dữ liệu ở mức IP. Netfilter làm việc nhanh và không làm giảm tốc độ
của hệ thống. Được thiết kế để thay thế cho linux 2.2.x Ipchains và
linux 2.0.x Ipfwadm, có nhiều đặc tính hơn Ipchains và được xây
dựng hợp lý hơn. Iptables chịu trách nhiệm giao tiếp giữa người dùng
và Netfilter để đẩy các luật của người dùng vào cho Netfilter xử lí.
Chương trình Iptables được dùng để quản lý các quy tắc lọc gói tin
bên dưới cơ sở hạ tầng của Netfilter.
Các ứng dụng của Iptables đó là làm IP Masquerading, IP NAT
và IP Firewall. Luận văn của em được viết ra nhằm đem đến cho mọi
người cái nhìn rõ nét về FireWall và đă ôc biê tô là FireWall Iptables của
Linux.
Nguyễn Mạnh Trung - TH1204
2|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Mục lục
Lời nói đầu......................................................................................1
CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG
............................................................................................................6
I.1 An toàn mạng là gì ?...............................................................6
Nguyễn Mạnh Trung - TH1204
3|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
I.2 Các tiêu chí bảo vệ thông tin trên mạng..............................7
I.2.1. Tính xác thực (Authentification):.........................................7
I.2.2. Tính khả dụng (Availability):...............................................7
I.2.3. Tính bảo mật (Confidentiality):............................................7
I.2.4. Tính toàn vẹn (Integrity):.....................................................8
I.2.5. Tính kiểm soát truy nhập (Access control):.........................8
I.2.6. Tính không thể chối bỏ (Nonrepudiation):..........................8
I.3 Đánh giá về sự đe doạ, các điểm yếu của hệ thống và các kiểu
tấn công..........................................................................................8
I.3.1 Đánh giá về sự đe doạ...........................................................8
I.3.2 Các lỗ hổng và điểm yếu của mạng......................................9
I.3.3 Các kiểu tấn công................................................................10
I.3.4 Các biện pháp phát hiện hệ thống bị tấn công...................11
I.4 Bảo vệ thông tin trên mạng..................................................11
CHƯƠNG II:TỔNG QUAN FIREWALL.................................14
II.1. Một số khái niệm..............................................................14
II.2.Chức năng..........................................................................14
II.2.1. Khả năng của hệ thống firewall.......................................15
II.2.2. Những hạn chế của firewall.............................................16
II.2.3. Một số mô hình Firewall dùng cho doanh nghiệp vừa
và………………………...17
II.3. Phân loại bức tường lửa (Firewall)..................................18
II.3.1. Firewall lọc gói...............................................................19
II.3.2. Bức tường lửa ứng dụng(Application firewall)................21
II.3.3. Bức tường lửa nhiều tầng................................................25
II.4. Một vài kiến trúc firelwall...............................................25
Nguyễn Mạnh Trung - TH1204
4|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
II.4.1 Screening Router...............................................................25
II.4.2 Dual-Homed Host............................................................26
II.4.3. Bastion Host (máy chủ pháo đài)....................................27
II.4.4. Screened host (máy chủ sang lọc)....................................28
II.4.5. Mô hình Demilitarized Zone (DMZ) hay Screened Subnet
Firewall.......................................................................................29
CHƯƠNG III: NETFILTER/IPTABLES TRONG LINUX.....32
III.1 Giới thiệu............................................................................32
III.2 Tính năng của
Iptables………………………………………………………...35
III.3 Cấu trúc của Iptables........................................................36
III.4 Quá trình chuyển gói dữ liệu qua tường lửa..................37
III.4.1 Xử lý gói trong Iptables....................................................37
III.4.2 Target và Jumps................................................................41
CHƯƠNG IV : ỨNG DỤNG FIREWALL.................................43
IV.1 Sử dụng Iptables.................................................................43
IV.1.1 Cài đặt Iptables – File cấu hình......................................43
IV.1.2 Cài đặt Iptables trong
Kernel…………………………………………………..42
IV.1.3 Các thao tác trong toàn bộ chuỗi luật.............................47
IV.1.4 Luật đơn..........................................................................48
IV.1.5 Mô tả bộ lọc....................................................................48
IV.1.6 Mô tả hành động.............................................................51
IV.2 Các ứng dụng......................................................................53
IV.2.1 Một số giá trị khởi tạo của Iptables..
…………………………………..……….......53
Nguyễn Mạnh Trung - TH1204
5|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
IV.2.2 Cho phép máy chủ DNS truy cập đến Firewall.
…………………………….....54
IV.2.3 Cho phép WWW và SSH truy cập vào
Firewall……………….……………....54
IV.2.4 Cho phép Firewall truy cập
Internet…………………………………………..55
IV.2.5 File cấu hình cho IP
Masquerading…………………………………………...55
IV.2.6 NAT tĩnh (SNAT)
……………………………………………………..…...…..56
IV.3 Mô hình lab triển
khai………………………………………………………...58
KẾT LUẬN ……………………………………………….
………………….…62
CÁC TỪ VIẾT TẮT - THUẬT NGỮ - ĐỊNH NGHĨA - CÂU
LỆNH............63
TÀI LIỆU THAM KHẢO.
……………………………………………………..68
CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THÔNG TIN
TRÊN MẠNG
Nguyễn Mạnh Trung - TH1204
6|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
I.1
An toàn mạng là gì ?
Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ
những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao
đổi thông tin với nhau. Do đặc điểm nhiều người sử dụng lại phân tán
về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh
sự mất mát, xâm phạm là cần thiết và cấp bách. An toàn mạng có thể
hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng
bao gồm : dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài
nguyên mạng được sử dụng tương ứng với một chính sách hoạt động
được ấn định và với chỉ những người có thẩm quyền tương ứng.
An toàn mạng bao gồm :
Xác định chính sách, các khả năng nguy cơ xâm phạm mạng,
các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp
phù hợp đảm bảo an toàn mạng.
Đánh giá nguy cơ tấn công của các Hacker đến mạng, sự phát
tán virus…Phải nhận thấy an toàn mạng là một trong những vấn đề
cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc
khai thác sử dụng các tài nguyên mạng.
Một thách thức đối với an toàn mạng là xác định chính xác cấp
độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần
mạng. Đánh giá các nguy cơ, các lỗ hỏng khiến mạng có thể bị xâm
phạm thông qua cách tiếp cận có cấu trúc. Xác định những nguy cơ ăn
cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy cơ
xoá, phá hoại CSDL, ăn cắp mật khẩu,…nguy cơ đối với sự hoạt động
của hệ thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết
những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được
những biện pháp tốt nhất để đảm bảo an ninh mạng.
Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và
những biện pháp, chính sách cụ thể chặt chẽ.
Về bản chất có thể phân loại vi phạm thành các vi phạm thụ
động và vi phạm chủ động. Thụ động và chủ động được hiểu theo
Nguyễn Mạnh Trung - TH1204
7|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
nghĩa có can thiệp vào nội dung và luồng thông tin có bị trao đổi hay
không. Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin.
Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc thêm thông
tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại.
Các hành động vi phạm thụ động thường khó có thể phát hiện nhưng
có thể ngăn chặn hiệu quả. Trái lại, vi phạm chủ động rất dễ phát hiện
nhưng lại khó ngăn chặn.
I.2
Các tiêu chí bảo vệ thông tin trên mạng
I.2.1. Tính xác thực (Authentification): Kiểm tra tính xác thực
của một thực thể giao tiếp trên mạng. Một thực thể có thể là một
người sử dụng, một chương trình máy tính, hoặc một thiết bị phần
cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan
trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ
thống thông thường phải thực hiện kiểm tra tính xác thực của một
thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Cơ chế
kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô
hình chính sau :
Đối tượng cần kiểm tra cần phải cung cấp những thông tin
trước, ví dụ như password, hoặc mã số thông số cá nhân PIN.
Kiểm tra dựa vào mô hình những thông tin đã có, đối
tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví
dụ như Private Key, hoặc số thẻ tín dụng.
Kiểm tra dựa vào mô hình những thông tin xác định tính
duy nhất, đối tượng kiểm tra cần phải có những thông tin để định
danh tính duy nhất của mình, ví dụ như thông qua giọng nói, dấu vân
tay, chữ ký,…
Nguyễn Mạnh Trung - TH1204
8|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Có thể phân loại bảo mật trên VPN theo các cách sau : mật khẩu
truyền thống hay mật khẩu một lần; xác thực thông qua các giao thức
(PAP, CHAP,..) hay phần cứng (các loại thẻ card: smart card, token
card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét
võng mạc…).
I.2.2. Tính khả dụng (Availability): Tính khả dụng là đặc tính
mà thông tin trên mạng được các thực thể hợp pháp tiếp cận và sử
dụng theo yêu cầu khi cần thiết bất cứ khi nào, trong hoàn cảnh nào.
Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử
dụng bình thường với thời gian quá trình hoạt động để đánh giá. Tính
khả dụng cần đáp ứng những yêu cầu sau : Nhận biết và phân biệt
thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận
và khống chế tiếp cận cưỡng bức ), khống chế lưu lượng (chống tắc
nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch
nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh
trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng
các biện pháp tương ứng).
Ví dụ như trong 1 hệ thống công ty phải luôn sẵn sàng đáp ứng
truy vấn của nhân viên (user) trong thời gian nhanh nhất có thể, phải
đảm bảo rằng bất kì nhân viên (user) nào cũng được đáp ứng trong
thời gian ngắn nhất có thể.
I.2.3. Tính bảo mật (Confidentiality): Tính bảo mật là đặc tính
tin tức không bị tiết lộ cho các thực thể hay quá trình không đuợc uỷ
quyền biết hoặc không để cho các đối tượng xấu lợi dụng. Thông tin
chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ thuật bảo mật
thường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng cường
bảo mật thông tin (dưới sự khống chế của khoá mật mã), bảo mật vật
lý (sử dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết
lộ).
Dữ liệu trên hệ thống phải được bảo mật tuyệt đối bằng nhiều
phương pháp mã hóa như Ipsec hoặc các tool mã hóa dữ liệu.
Nguyễn Mạnh Trung - TH1204
9|Page
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
I.2.4. Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên
mạng chưa được uỷ quyền thì không thể tiến hành được, tức là thông
tin trên mạng khi đang lưu giữ hoặc trong quá trình truyền dẫn đảm
bảo không bị xoá bỏ, sửa đổi, giả mạo, làm dối loạn trật tự, phát lại,
xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại khác.
Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng
gồm : sự cố thiết bị, sai mã, bị tác động của con người, virus máy
tính..
Một số phương pháp bảo đảm tính toàn vẹn thông tin trên
mạng :
- Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi
hay sao chép,. Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hoá.
- Phương pháp phát hiện sai và sửa sai. Phương pháp sửa sai mã
hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn lẻ.
- Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và
cản trở truyền tin.
- Chữ ký điện tử : bảo đảm tính xác thực của thông tin.
- Yêu cầu cơ quan quản lý hoặc trung gian chứng minh chân
thực của thông tin.
I.2.5. Tính kiểm soát truy nhập (Access control): Là khả năng
hạn chế và kiểm soát truy nhập đến các hệ thống máy tính và các ứng
dụng theo các đường truyền thông. Mỗi thực thể muốn truy nhập đều
phải định danh hay xác nhận có quyền truy nhập phù hợp.
Trong hệ thống thông thường bây giờ đều lắp đặt isa để kiểm
soát truy nhập và khả năng chạy các ứng dụng. Ở phân quyền người
sử dụng thông thường (user) thì ko thể chạy những file cài đặt, thay
đổi địa chỉ IP hay truy cập đến những file không cho phép trên
fileserver, những việc này chỉ có quyền quản trị mới làm được.
I.2.6. Tính không thể chối bỏ (Nonrepudiation): xác nhận tính
chân thực đồng nhất của những thực thể tham gia, tức là tất cả các
Nguyễn Mạnh Trung - TH1204
10 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và
cam kết đã được thực hiện.
Hệ thống phải có biện pháp giám sát, đảm bảo một đối tượng
khi tham gia trao đổi thông tin thì không thể từ chối, phủ nhận việc
mình đã phát hành hay sửa đổi thông tin.
I.3 Đánh giá về sự đe doạ, các điểm yếu của hệ thống và
các kiểu tấn công.
I.3.1 Đánh giá về sự đe doạ
Về cơ bản có 4 mối đe doạ đến vấn đề bảo mật mạng như sau :
- Đe doạ không có cấu trúc (Unstructured threats)
- Đe doạ có cấu trúc (Structured threats)
- Đe doạ từ bên ngoài (External threats)
- Đe doạ từ bên trong (Internal threats)
I.3.2
Các lỗ hổng và điểm yếu của mạng
Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự
ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho
phép các truy nhập không hợp lệ vào hệ thống. Các lỗ hổng có thể
nằm ngay các dịch vụ như sendmail, Web, Ftp...và ngay chính tại hệ
điều hành như trong WindowsNT, Windows server, Unix hoặc trong
các ứng dụng mà người sử dụng thường xuyên sử dụng như word
processing, các hệ databases…
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ
hổng đặc biệt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ
hổng bảo mật trên một hệ thống được chia như sau:
Lỗ hổng loại C: Cho phép thực hiện các phương thức tấn công
theo kiểu từ chối dịch vụ DoS (Denial of Services). Mức độ nguy
hiểm thấp, chỉ ảnh hưởng chất lượng dịch vụ, có thể làm ngưng trệ,
gián đoạn hệ thống, không phá hỏng dữ liệu hoặc chiếm quyền truy
nhập.
Nguyễn Mạnh Trung - TH1204
11 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên
hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy
hiểm trung bình, những lỗ hổng loại này thường có trong các ứng
dụng trên hệ thống, có thể dẫn đến lộ thông tin yêu cầu bảo mật.
Lỗ hổng loại A: Cho phép người sử dụng ở ngoài có thể truy
nhập vào hệ thống bất hợp pháp. Lỗ hổng loại này rất nguy hiểm, có
thể làm phá huỷ toàn bộ hệ thống.
Hình 1-1: Các loại lỗ hổng bảo mật và mức độ nguy hiểm
I.3.3
Các kiểu tấn công
Tấn công trực tiếp
Những cuộc tấn công trực tiếp thường được sử dụng trong giai
đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương
pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây
là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện
đặc biệt nào để bắt đầu. Kẻ tấn công có thể dựa vào những thông tin
mà chúng biết như tên người dùng, ngày sinh, địa chỉ, số nhà v.v.. để
đoán mật khẩu dựa trên một chương trình tự động hoá về việc dò tìm
mật khẩu. Trong một số trường hợp, khả năng thành công của phương
pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản
thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và
Nguyễn Mạnh Trung - TH1204
12 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
vẫn được tiếp tục để chiếm quyền truy nhập.Trong một số trường hợp
phương pháp này cho phép kẻ tấn công có được quyền của người
quản trị hệ thống.
Nghe trộm
Việc nghe trộm thông tin trên mạng có thể đem lại những thông
tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật
chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau
khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua
các chương trình cho phép. Những thông tin này cũng có thể dễ dàng
lấy được trên Internet.
Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử
dụng khả năng dẫn đường trực tiếp. Với cách tấn công này, kẻ tấn
công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo
(thông thường là địa chỉ của một mạng hoặc một máy được coi là an
toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói
tin IP phải gửi đi.
Vô hiệu các chức năng của hệ thống
Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực
hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn
chặn được, do những phương tiện được tổ chức tấn công cũng chính
là các phương tiện để làm việc và truy nhập thông tin trên mạng.
Lỗi của người quản trị hệ thống
Đây không phải là một kiểu tấn công của những kẻ đột nhập,
tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng
cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ.
Tấn công vào yếu tố con người
Nguyễn Mạnh Trung - TH1204
13 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả
làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền
truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số
cấu hình của hệ thống để thực hiện các phương pháp tấn công khác.
Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một
cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội
bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện
tượng đáng nghi.
Nói chung yếu tố con người là một điểm yếu trong bất kỳ một
hệ thống bảo vệ nào và chỉ có sự giáo dục cộng với tinh thần hợp tác
từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống
bảo vệ.
I.3.4
Các biện pháp phát hiện hệ thống bị tấn công
Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối,
mỗi một dịch vụ đều có những lỗ hổng bảo mật tiềm tàng. Người
quản trị hệ thống không những nghiên cứu, xác định các lỗ hổng bảo
mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu
hiệu tấn công hay không. Một số biện pháp cụ thể :
1. Kiểm tra các dấu hiệu hệ thống bị tấn công : Hệ thống thường
bị treo bằng những thông báo lỗi không rõ ràng. Khó xác định nguyên
nhân do thiếu thông tin liên quan. Trước tiên, xác định các nguyên
nhân có phải phần cứng hay không, nếu không phải hãy nghĩ đến khả
năng máy tính bị tấn công.
2. Kiểm tra các tài khoản người dùng mới lạ, nhất là với các tài
khoản có ID bằng không.
3. Kiểm tra sự xuất hiện của các tập tin lạ. Người quản trị hệ
thống nên có thói quen đặt tên tập theo mẫu nhất định để dễ dàng phát
hiện tập tin lạ.
4. Kiểm tra thời gian thay đổi trên hệ thống.
5. Kiểm tra hiệu năng của hệ thống : Sử dụng các tiện ích theo
dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống.
6. Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp.
Nguyễn Mạnh Trung - TH1204
14 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
7. Kiểm tra truy nhập hệ thống bằng các tài khoản thông
thường, đề phòng trường hợp các tài khoản này bị truy nhập trái phép
và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát
được.
8. Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ
các dịch vụ không cần thiết.
9. Kiểm tra các phiên bản của sendmaill, /bin/mail, ftp,.. tham
gia các nhóm tin về bảo mật để có thông tin về lỗ hỏng của dịch vụ sử
dụng.
Các biện pháp này kết hợp với nhau tạo nên một chính sách về
bảo mật đối với hệ thống.
I.4 Bảo vệ thông tin trên mạng
Vì không thể có một giải pháp an toàn tuyệt đối nên người ta
thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành
nhiều lớp “rào chắn” đối với các hoạt động xâm phạm. Ngoài việc
bảo vệ thông tin trên đường truyền, chúng ta còn phải bảo vệ thông tin
được cất giữ trong các máy tính, đặc biệt là trong các máy chủ trên
mạng. Bởi thế ngoài một số biện pháp nhằm chống lại việc tấn công
vào thông tin trên đường truyền, mọi cố gắng phải tập trung vào việc
xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết
nối vào mạng. Hình 1-2 mô tả các lớp “rào chắn” thông dụng hiện nay
để bảo vệ thông tin trên mạng máy tính:
Nguyễn Mạnh Trung - TH1204
15 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Hình 1-2: Các mức bảo vệ thông tin trên mạng máy tính
Quyền truy nhập
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các
tài nguyên thông tin của mạng và quyền hạn của người sử dụng trên
tài nguyên đó. Hiện tại việc kiểm soát thường ở mức tệp.
Đăng kí tên và mật khẩu
Lớp bảo vệ tiếp theo là đăng kí tên/ mật khẩu (login/password).
Thực ra đây cũng là lớp kiểm soát quyền truy nhập, nhưng không phải
truy nhập ở mức thông tin mà ở mức hệ thống. Đây là phương pháp
bảo vệ phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rất hiệu quả.
Mỗi người sử dụng, kể cả người quản trị mạng muốn vào được mạng
để sử dụng các tài nguyên của mạng đều phải đăng kí tên và mật khẩu
trước. Người quản trị mạng có trách nhiệm quản lí, kiểm soát mọi
hoạt động của mạng và xác định quyền truy nhập của những người sử
dụng khác tùy theo thời gian và không gian, nghĩa là một người sử
dụng chỉ được phép vào mạng ở những thời điểm và từ những vị trí
xác định. Về lí thuyết, nếu mọi người đều giữ kín được tên và mật
khẩu đăng kí của mình thì sẽ không xảy ra các truy nhập trái phép.
Song điều đó rất khó đảm bảo trong thực tế vì nhiều nguyên nhân,
chẳng hạn như người sử dụng thiếu cẩn thận khi chọn mật khẩu trùng
với ngày sinh, tên người thân hoặc ghi mật khẩu ra giấy…Điều đó
Nguyễn Mạnh Trung - TH1204
16 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
làm giảm hiệu quả của lớp bảo vệ này. Có thể khắc phục bằng nhiều
cách như người quản trị có trách nhiệm đặt mật khẩu, thay đổi mật
khẩu theo thời gian…
Mã hóa dữ liệu
Để bảo mật thông tin truyền trên mạng, người ta sử dụng các
phương pháp mã hóa. Dữ liệu được biến đổi từ dạng nhận thức được
sang dạng không nhận thức được theo một thuật toán nào đó (lập mã)
và sẽ được biến đổi ngược lại (dịch mã) ở nơi nhận. Đây là lớp bảo vệ
thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường
mạng.
Bảo vệ vật lý
Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống.
Người ta thường dùng các biện pháp truyền thống như cấm tuyệt đối
người không phận sự vào phòng đặt máy mạng, dùng ổ khóa trên máy
tính (ngắt nguồn điện đến màn hình và bàn phím nhưng vẫn giữ liên
lạc trực tuyến giữa máy tính với mạng, hoặc cài cơ chế báo động khi
có truy nhập vào hệ thống) hoặc dùng các trạm không có ổ đĩa
mềm…
Bức tường lửa (Firewall)
Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ,
người ta thường dùng các hệ thống đặc biệt là tường lửa. Chức năng
của các tường lửa là ngăn chặn các thâm nhập trái phép (theo danh
sách truy nhập xác định trước) và thậm chí có thể “lọc” bỏ các gói tin
mà ta không muốn gửi đi hoặc nhận vì những lí do nào đó. Phương
thức này được sử dụng nhiều trong môi trường mạng Internet.
Nguyễn Mạnh Trung - TH1204
17 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
CHƯƠNG II:TỔNG QUAN FIREWALL
II.1. Một số khái niệm
-Nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn hạn chế các hỏa hoạn, trong công nghệ thông tin, Firewall là một
cơ chế đảm bảo an toàn cho mạng máy tính, nó bao gồm một hoặc
nhiều những thành phần tạo lên bức tường lửa với mục đích để ngăn
cản điều khiển các truy xuất giữa mạng bên ngoài với mạng nội bộ.
Bức tường lửa có thể là một server proxy, filter, hoặc phần cứng, phần
mềm…để hiểu chi tiết hơn về bức tường lửa ta sẽ xem xét về các chức
năng của bức tường lửa.
- Về mặt vật lý, thường có sự khác nhau từ nơi này qua nơi
khác.Thông thường Firewall là tập phần cứng sau : một router,một
Host hay một tổ hợp nào đó của routers,máy tính và mạng có các
phần mềm thích hợp
- Về mặt logic, Firewall là bộ tách(Separator) vì nó phân định
một bên là mạng ngoài không an toàn và bên kia là mạng nội bộ cần
được bảo vệ, là bộ tách(Restricter) vì nó ngăn chặn sự tấn công từ bên
ngoài, là bộ phân tích(Analyzer) vì nó xem xét các gói thông tin vào
ra để quyết định cho vào ra hay không.
- Về mặt tư tưởng nhằm giải quyết 2 công việc : Cửa
khẩu(Gates) và chốt chặn(chokes). Cửa khẩu nhằm đảm bảo dữ liệu,
Nguyễn Mạnh Trung - TH1204
18 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
dịch vụ thông suốt giữa các mạng. Chốt chặn nhằm kiểm soát và ngăn
chặn nguồn thông tin xác định nào đó vào ra mạng nội bộ.
Hình 2-1: Mô hình tường lửa đơn giản
II.2. Chức năng
-Bức tường lửa cho phép hoặc cấm các dịch vụ từ bên trong ra
bên ngoài và từ bên ngoài vào bên trong.
-Nó kiểm soát các máy thông qua các địa chỉ các ứng dụng,
thông qua các cổng.
-Nó kiểm soát người sử dụng truy cập giữa các mạng .
-Kiểm soát theo nội dung truyền thông giữa mạng bên trong và
mạng bên ngoài.
-Ngăn cản, chặn những tấn công từ bên ngoài vào bên trong nội
bộ.
Một vài từ ngữ sử dụng trong firewall có ý nghĩa sau
- Mạng nội bộ (Internal network): bao gồm các máy tính, các thiết
bị mạng. Mạng máy tính thuộc các đơn vị quản lý (Trường học, Công
ty, Tổ chức đoàn thể, Quốc gia,…) cùng nằm một bên với firewall.
Nguyễn Mạnh Trung - TH1204
19 | P a g e
Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES
Host bên trong (Internal Host): máy thuộc mạng nội bộ
Host bên ngoài (External Host): máy bất kỳ kết nối vào
liên mạng và không thuộc mạng nội bộ nói trên.
“Nội bộ ”hay “bên trong” chỉ rõ thuộc đơn vị cùng một
bên đối với firewall của đơn vị đó.
Về vị trí: Firewall là nơi kiểm soát chặt chẽ và hạn chế về
luồng thông tin vào ra của một mạng nội bộ khi giao tiếp với các
thành phần bên ngoài nó.
Về mục tiêu: nó ngăn cản đe dọa từ bên ngoài với những
yêu cầu cần được bảo vệ, trong khi vẫn đảm bảo các dịch vụ thông
suốt qua nó.
Hình 2-2: Sơ đồ tổng quát của firewall
II.2.1. Khả năng của hệ thống firewall
+ Một Firewall là một trung tâm quyết định những vấn đề an
toàn: Firewall đóng vai trò là một chốt chặn, mọi dòng thông tin đi
vào hay đi ra một mạng nội bộ đều phải qua nó theo các chính sách an
toàn đã được cài đặt. Tập trung kiểm soát chặt chẽ các dòng thông tin
đó có lợi hơn là phân tán trên diện rộng.
Nguyễn Mạnh Trung - TH1204
20 | P a g e
- Xem thêm -