Đăng ký Đăng nhập
Trang chủ Một số giải pháp an ninh mạng trên linux với firewall netfilteriptables...

Tài liệu Một số giải pháp an ninh mạng trên linux với firewall netfilteriptables

.DOC
87
169
83

Mô tả:

Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Lời nói đầu Sự phát minh ra máy vi tính và sự hình thành của Mạng lưới Thông Tin Toàn Cầu (Internet) đã mở ra một kỷ nguyên mới cho việc thông tin liên lạc. Từ một máy vi tính nối vào Mạng lưới Thông Tin Toàn Cầu (WWW) người sử dụng có thể gửi và nhận tin tức từ khắp nơi trên thế giới với khối lượng tin tức khổng lồ và thời gian tối thiểu thông qua một số dịch vụ sẵn có trên Internet. Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức, các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lí sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng. Từ đây nảy sinh ra mô ôt yêu cầu đó là cần có mô ôt giải pháp hoă ôc mô ôt hê ô thống an ninh bảo vê ô cho hê ô thống mạng và luồng thông tin chạy trên nó. Mô ôt trong các giải pháp chính và tốt nhất hiê ôn nay là đưa ra khái niê ôm Firewall và xây dựng nó để giải quyết những vấn đề này. Thuật ngữ “Firewall” có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn và hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Có hai loại kiến trúc FireWall cơ bản là: Proxy/Application FireWall và Filtering Gateway Firewall. Hầu hết các hệ thống Firewall hiện đại là loại lai (hybrid) của cả hai loại trên. Nhiều công ty và nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux như một Internet Gateway. Những máy chủ này thường phục vụ như máy chủ Mail, Web, Ftp, hay Dialup. Hơn nữa, chúng cũng thường hoạt động như các Firewall, thi hành các chính sách Nguyễn Mạnh Trung - TH1204 1|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES kiểm soát giữa Internet và mạng của công ty. Khả năng uyển chuyển, tính kinh tế, và sự bảo mâ ôt cao khiến cho Linux thu hút như là một thay thế cho những hệ điều hành thương mại. Tính năng Firewall chuẩn được cung cấp sẵn trong Kernel của Linux được xây dựng từ hai thành phần : Ipchains và IP Masquerading. Linux IP Firewalling Chains là một cơ chế lọc gói tin IP. Những tính năng của IP Chains cho phép cấu hình máy chủ Linux như một Filtering Gateway/Firewall dễ dàng. Một thành phần quan trọng khác của nó trong Kernel là IP Masquerading, một tính năng chuyển đổi địa chỉ mạng (Network Address Translation- NAT) mà có thể che giấu các địa chỉ IP thực của mạng bên trong. Ngoài ra trong Kernel của Linux 2.4x và 2.6x cũng có mô ôt Firewall ứng dụng lọc gói tin có thể cấu hình ở mức đô ô cao Netfilter/Iptables. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. Netfilter cho phép cài đă ôt, duy trì và kiểm tra các quy tắc lọc gói tin trong Kernerl. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc nhanh và không làm giảm tốc độ của hệ thống. Được thiết kế để thay thế cho linux 2.2.x Ipchains và linux 2.0.x Ipfwadm, có nhiều đặc tính hơn Ipchains và được xây dựng hợp lý hơn. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfilter xử lí. Chương trình Iptables được dùng để quản lý các quy tắc lọc gói tin bên dưới cơ sở hạ tầng của Netfilter. Các ứng dụng của Iptables đó là làm IP Masquerading, IP NAT và IP Firewall. Luận văn của em được viết ra nhằm đem đến cho mọi người cái nhìn rõ nét về FireWall và đă ôc biê tô là FireWall Iptables của Linux. Nguyễn Mạnh Trung - TH1204 2|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Mục lục Lời nói đầu......................................................................................1 CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN - AN NINH MẠNG ............................................................................................................6 I.1 An toàn mạng là gì ?...............................................................6 Nguyễn Mạnh Trung - TH1204 3|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES I.2 Các tiêu chí bảo vệ thông tin trên mạng..............................7 I.2.1. Tính xác thực (Authentification):.........................................7 I.2.2. Tính khả dụng (Availability):...............................................7 I.2.3. Tính bảo mật (Confidentiality):............................................7 I.2.4. Tính toàn vẹn (Integrity):.....................................................8 I.2.5. Tính kiểm soát truy nhập (Access control):.........................8 I.2.6. Tính không thể chối bỏ (Nonrepudiation):..........................8 I.3 Đánh giá về sự đe doạ, các điểm yếu của hệ thống và các kiểu tấn công..........................................................................................8 I.3.1 Đánh giá về sự đe doạ...........................................................8 I.3.2 Các lỗ hổng và điểm yếu của mạng......................................9 I.3.3 Các kiểu tấn công................................................................10 I.3.4 Các biện pháp phát hiện hệ thống bị tấn công...................11 I.4 Bảo vệ thông tin trên mạng..................................................11 CHƯƠNG II:TỔNG QUAN FIREWALL.................................14 II.1. Một số khái niệm..............................................................14 II.2.Chức năng..........................................................................14 II.2.1. Khả năng của hệ thống firewall.......................................15 II.2.2. Những hạn chế của firewall.............................................16 II.2.3. Một số mô hình Firewall dùng cho doanh nghiệp vừa và………………………...17 II.3. Phân loại bức tường lửa (Firewall)..................................18 II.3.1. Firewall lọc gói...............................................................19 II.3.2. Bức tường lửa ứng dụng(Application firewall)................21 II.3.3. Bức tường lửa nhiều tầng................................................25 II.4. Một vài kiến trúc firelwall...............................................25 Nguyễn Mạnh Trung - TH1204 4|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES II.4.1 Screening Router...............................................................25 II.4.2 Dual-Homed Host............................................................26 II.4.3. Bastion Host (máy chủ pháo đài)....................................27 II.4.4. Screened host (máy chủ sang lọc)....................................28 II.4.5. Mô hình Demilitarized Zone (DMZ) hay Screened Subnet Firewall.......................................................................................29 CHƯƠNG III: NETFILTER/IPTABLES TRONG LINUX.....32 III.1 Giới thiệu............................................................................32 III.2 Tính năng của Iptables………………………………………………………...35 III.3 Cấu trúc của Iptables........................................................36 III.4 Quá trình chuyển gói dữ liệu qua tường lửa..................37 III.4.1 Xử lý gói trong Iptables....................................................37 III.4.2 Target và Jumps................................................................41 CHƯƠNG IV : ỨNG DỤNG FIREWALL.................................43 IV.1 Sử dụng Iptables.................................................................43 IV.1.1 Cài đặt Iptables – File cấu hình......................................43 IV.1.2 Cài đặt Iptables trong Kernel…………………………………………………..42 IV.1.3 Các thao tác trong toàn bộ chuỗi luật.............................47 IV.1.4 Luật đơn..........................................................................48 IV.1.5 Mô tả bộ lọc....................................................................48 IV.1.6 Mô tả hành động.............................................................51 IV.2 Các ứng dụng......................................................................53 IV.2.1 Một số giá trị khởi tạo của Iptables.. …………………………………..……….......53 Nguyễn Mạnh Trung - TH1204 5|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES IV.2.2 Cho phép máy chủ DNS truy cập đến Firewall. …………………………….....54 IV.2.3 Cho phép WWW và SSH truy cập vào Firewall……………….……………....54 IV.2.4 Cho phép Firewall truy cập Internet…………………………………………..55 IV.2.5 File cấu hình cho IP Masquerading…………………………………………...55 IV.2.6 NAT tĩnh (SNAT) ……………………………………………………..…...…..56 IV.3 Mô hình lab triển khai………………………………………………………...58 KẾT LUẬN ………………………………………………. ………………….…62 CÁC TỪ VIẾT TẮT - THUẬT NGỮ - ĐỊNH NGHĨA - CÂU LỆNH............63 TÀI LIỆU THAM KHẢO. ……………………………………………………..68 CHƯƠNG I : TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG Nguyễn Mạnh Trung - TH1204 6|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES I.1 An toàn mạng là gì ? Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách. An toàn mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm : dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng. An toàn mạng bao gồm : Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. Đánh giá nguy cơ tấn công của các Hacker đến mạng, sự phát tán virus…Phải nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng. Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, các lỗ hỏng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc. Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp, nguy cơ xoá, phá hoại CSDL, ăn cắp mật khẩu,…nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử. Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng. Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall) và những biện pháp, chính sách cụ thể chặt chẽ. Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủ động. Thụ động và chủ động được hiểu theo Nguyễn Mạnh Trung - TH1204 7|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES nghĩa có can thiệp vào nội dung và luồng thông tin có bị trao đổi hay không. Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin. Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các hành động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn hiệu quả. Trái lại, vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn. I.2 Các tiêu chí bảo vệ thông tin trên mạng I.2.1. Tính xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp trên mạng. Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau :  Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như password, hoặc mã số thông số cá nhân PIN.  Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng.  Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví dụ như thông qua giọng nói, dấu vân tay, chữ ký,… Nguyễn Mạnh Trung - TH1204 8|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Có thể phân loại bảo mật trên VPN theo các cách sau : mật khẩu truyền thống hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP,..) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc…). I.2.2. Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứ khi nào, trong hoàn cảnh nào. Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệ thống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá. Tính khả dụng cần đáp ứng những yêu cầu sau : Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức ), khống chế lưu lượng (chống tắc nghẽn), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng). Ví dụ như trong 1 hệ thống công ty phải luôn sẵn sàng đáp ứng truy vấn của nhân viên (user) trong thời gian nhanh nhất có thể, phải đảm bảo rằng bất kì nhân viên (user) nào cũng được đáp ứng trong thời gian ngắn nhất có thể. I.2.3. Tính bảo mật (Confidentiality): Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các thực thể hay quá trình không đuợc uỷ quyền biết hoặc không để cho các đối tượng xấu lợi dụng. Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ thuật bảo mật thường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng cường bảo mật thông tin (dưới sự khống chế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết lộ). Dữ liệu trên hệ thống phải được bảo mật tuyệt đối bằng nhiều phương pháp mã hóa như Ipsec hoặc các tool mã hóa dữ liệu. Nguyễn Mạnh Trung - TH1204 9|Page Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES I.2.4. Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được uỷ quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang lưu giữ hoặc trong quá trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm dối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại khác. Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm : sự cố thiết bị, sai mã, bị tác động của con người, virus máy tính.. Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng : - Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép,. Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hoá. - Phương pháp phát hiện sai và sửa sai. Phương pháp sửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn lẻ. - Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin. - Chữ ký điện tử : bảo đảm tính xác thực của thông tin. - Yêu cầu cơ quan quản lý hoặc trung gian chứng minh chân thực của thông tin. I.2.5. Tính kiểm soát truy nhập (Access control): Là khả năng hạn chế và kiểm soát truy nhập đến các hệ thống máy tính và các ứng dụng theo các đường truyền thông. Mỗi thực thể muốn truy nhập đều phải định danh hay xác nhận có quyền truy nhập phù hợp. Trong hệ thống thông thường bây giờ đều lắp đặt isa để kiểm soát truy nhập và khả năng chạy các ứng dụng. Ở phân quyền người sử dụng thông thường (user) thì ko thể chạy những file cài đặt, thay đổi địa chỉ IP hay truy cập đến những file không cho phép trên fileserver, những việc này chỉ có quyền quản trị mới làm được. I.2.6. Tính không thể chối bỏ (Nonrepudiation): xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả các Nguyễn Mạnh Trung - TH1204 10 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã được thực hiện. Hệ thống phải có biện pháp giám sát, đảm bảo một đối tượng khi tham gia trao đổi thông tin thì không thể từ chối, phủ nhận việc mình đã phát hành hay sửa đổi thông tin. I.3 Đánh giá về sự đe doạ, các điểm yếu của hệ thống và các kiểu tấn công. I.3.1 Đánh giá về sự đe doạ Về cơ bản có 4 mối đe doạ đến vấn đề bảo mật mạng như sau : - Đe doạ không có cấu trúc (Unstructured threats) - Đe doạ có cấu trúc (Structured threats) - Đe doạ từ bên ngoài (External threats) - Đe doạ từ bên trong (Internal threats) I.3.2 Các lỗ hổng và điểm yếu của mạng Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp lệ vào hệ thống. Các lỗ hổng có thể nằm ngay các dịch vụ như sendmail, Web, Ftp...và ngay chính tại hệ điều hành như trong WindowsNT, Windows server, Unix hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như word processing, các hệ databases… Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biệt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau: Lỗ hổng loại C: Cho phép thực hiện các phương thức tấn công theo kiểu từ chối dịch vụ DoS (Denial of Services). Mức độ nguy hiểm thấp, chỉ ảnh hưởng chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng dữ liệu hoặc chiếm quyền truy nhập. Nguyễn Mạnh Trung - TH1204 11 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình, những lỗ hổng loại này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến lộ thông tin yêu cầu bảo mật. Lỗ hổng loại A: Cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng loại này rất nguy hiểm, có thể làm phá huỷ toàn bộ hệ thống. Hình 1-1: Các loại lỗ hổng bảo mật và mức độ nguy hiểm I.3.3 Các kiểu tấn công Tấn công trực tiếp Những cuộc tấn công trực tiếp thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể dựa vào những thông tin mà chúng biết như tên người dùng, ngày sinh, địa chỉ, số nhà v.v.. để đoán mật khẩu dựa trên một chương trình tự động hoá về việc dò tìm mật khẩu. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%. Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và Nguyễn Mạnh Trung - TH1204 12 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES vẫn được tiếp tục để chiếm quyền truy nhập.Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống. Nghe trộm Việc nghe trộm thông tin trên mạng có thể đem lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép. Những thông tin này cũng có thể dễ dàng lấy được trên Internet. Giả mạo địa chỉ Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. Vô hiệu các chức năng của hệ thống Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Lỗi của người quản trị hệ thống Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. Tấn công vào yếu tố con người Nguyễn Mạnh Trung - TH1204 13 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ. I.3.4 Các biện pháp phát hiện hệ thống bị tấn công Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều có những lỗ hổng bảo mật tiềm tàng. Người quản trị hệ thống không những nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay không. Một số biện pháp cụ thể : 1. Kiểm tra các dấu hiệu hệ thống bị tấn công : Hệ thống thường bị treo bằng những thông báo lỗi không rõ ràng. Khó xác định nguyên nhân do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu không phải hãy nghĩ đến khả năng máy tính bị tấn công. 2. Kiểm tra các tài khoản người dùng mới lạ, nhất là với các tài khoản có ID bằng không. 3. Kiểm tra sự xuất hiện của các tập tin lạ. Người quản trị hệ thống nên có thói quen đặt tên tập theo mẫu nhất định để dễ dàng phát hiện tập tin lạ. 4. Kiểm tra thời gian thay đổi trên hệ thống. 5. Kiểm tra hiệu năng của hệ thống : Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống. 6. Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp. Nguyễn Mạnh Trung - TH1204 14 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES 7. Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát được. 8. Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần thiết. 9. Kiểm tra các phiên bản của sendmaill, /bin/mail, ftp,.. tham gia các nhóm tin về bảo mật để có thông tin về lỗ hỏng của dịch vụ sử dụng. Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống. I.4 Bảo vệ thông tin trên mạng Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn” đối với các hoạt động xâm phạm. Ngoài việc bảo vệ thông tin trên đường truyền, chúng ta còn phải bảo vệ thông tin được cất giữ trong các máy tính, đặc biệt là trong các máy chủ trên mạng. Bởi thế ngoài một số biện pháp nhằm chống lại việc tấn công vào thông tin trên đường truyền, mọi cố gắng phải tập trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết nối vào mạng. Hình 1-2 mô tả các lớp “rào chắn” thông dụng hiện nay để bảo vệ thông tin trên mạng máy tính: Nguyễn Mạnh Trung - TH1204 15 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Hình 1-2: Các mức bảo vệ thông tin trên mạng máy tính  Quyền truy nhập Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên thông tin của mạng và quyền hạn của người sử dụng trên tài nguyên đó. Hiện tại việc kiểm soát thường ở mức tệp.  Đăng kí tên và mật khẩu Lớp bảo vệ tiếp theo là đăng kí tên/ mật khẩu (login/password). Thực ra đây cũng là lớp kiểm soát quyền truy nhập, nhưng không phải truy nhập ở mức thông tin mà ở mức hệ thống. Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng, kể cả người quản trị mạng muốn vào được mạng để sử dụng các tài nguyên của mạng đều phải đăng kí tên và mật khẩu trước. Người quản trị mạng có trách nhiệm quản lí, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác tùy theo thời gian và không gian, nghĩa là một người sử dụng chỉ được phép vào mạng ở những thời điểm và từ những vị trí xác định. Về lí thuyết, nếu mọi người đều giữ kín được tên và mật khẩu đăng kí của mình thì sẽ không xảy ra các truy nhập trái phép. Song điều đó rất khó đảm bảo trong thực tế vì nhiều nguyên nhân, chẳng hạn như người sử dụng thiếu cẩn thận khi chọn mật khẩu trùng với ngày sinh, tên người thân hoặc ghi mật khẩu ra giấy…Điều đó Nguyễn Mạnh Trung - TH1204 16 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES làm giảm hiệu quả của lớp bảo vệ này. Có thể khắc phục bằng nhiều cách như người quản trị có trách nhiệm đặt mật khẩu, thay đổi mật khẩu theo thời gian…  Mã hóa dữ liệu Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương pháp mã hóa. Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không nhận thức được theo một thuật toán nào đó (lập mã) và sẽ được biến đổi ngược lại (dịch mã) ở nơi nhận. Đây là lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng.  Bảo vệ vật lý Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Người ta thường dùng các biện pháp truyền thống như cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính (ngắt nguồn điện đến màn hình và bàn phím nhưng vẫn giữ liên lạc trực tuyến giữa máy tính với mạng, hoặc cài cơ chế báo động khi có truy nhập vào hệ thống) hoặc dùng các trạm không có ổ đĩa mềm…  Bức tường lửa (Firewall) Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người ta thường dùng các hệ thống đặc biệt là tường lửa. Chức năng của các tường lửa là ngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định trước) và thậm chí có thể “lọc” bỏ các gói tin mà ta không muốn gửi đi hoặc nhận vì những lí do nào đó. Phương thức này được sử dụng nhiều trong môi trường mạng Internet. Nguyễn Mạnh Trung - TH1204 17 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES CHƯƠNG II:TỔNG QUAN FIREWALL II.1. Một số khái niệm -Nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn hạn chế các hỏa hoạn, trong công nghệ thông tin, Firewall là một cơ chế đảm bảo an toàn cho mạng máy tính, nó bao gồm một hoặc nhiều những thành phần tạo lên bức tường lửa với mục đích để ngăn cản điều khiển các truy xuất giữa mạng bên ngoài với mạng nội bộ. Bức tường lửa có thể là một server proxy, filter, hoặc phần cứng, phần mềm…để hiểu chi tiết hơn về bức tường lửa ta sẽ xem xét về các chức năng của bức tường lửa. - Về mặt vật lý, thường có sự khác nhau từ nơi này qua nơi khác.Thông thường Firewall là tập phần cứng sau : một router,một Host hay một tổ hợp nào đó của routers,máy tính và mạng có các phần mềm thích hợp - Về mặt logic, Firewall là bộ tách(Separator) vì nó phân định một bên là mạng ngoài không an toàn và bên kia là mạng nội bộ cần được bảo vệ, là bộ tách(Restricter) vì nó ngăn chặn sự tấn công từ bên ngoài, là bộ phân tích(Analyzer) vì nó xem xét các gói thông tin vào ra để quyết định cho vào ra hay không. - Về mặt tư tưởng nhằm giải quyết 2 công việc : Cửa khẩu(Gates) và chốt chặn(chokes). Cửa khẩu nhằm đảm bảo dữ liệu, Nguyễn Mạnh Trung - TH1204 18 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES dịch vụ thông suốt giữa các mạng. Chốt chặn nhằm kiểm soát và ngăn chặn nguồn thông tin xác định nào đó vào ra mạng nội bộ. Hình 2-1: Mô hình tường lửa đơn giản II.2. Chức năng -Bức tường lửa cho phép hoặc cấm các dịch vụ từ bên trong ra bên ngoài và từ bên ngoài vào bên trong. -Nó kiểm soát các máy thông qua các địa chỉ các ứng dụng, thông qua các cổng. -Nó kiểm soát người sử dụng truy cập giữa các mạng . -Kiểm soát theo nội dung truyền thông giữa mạng bên trong và mạng bên ngoài. -Ngăn cản, chặn những tấn công từ bên ngoài vào bên trong nội bộ. Một vài từ ngữ sử dụng trong firewall có ý nghĩa sau - Mạng nội bộ (Internal network): bao gồm các máy tính, các thiết bị mạng. Mạng máy tính thuộc các đơn vị quản lý (Trường học, Công ty, Tổ chức đoàn thể, Quốc gia,…) cùng nằm một bên với firewall. Nguyễn Mạnh Trung - TH1204 19 | P a g e Một số giải pháp an ninh mạng trên Linux với Firewall -NETFILTER/IPTABLES Host bên trong (Internal Host): máy thuộc mạng nội bộ Host bên ngoài (External Host): máy bất kỳ kết nối vào liên mạng và không thuộc mạng nội bộ nói trên. “Nội bộ ”hay “bên trong” chỉ rõ thuộc đơn vị cùng một bên đối với firewall của đơn vị đó. Về vị trí: Firewall là nơi kiểm soát chặt chẽ và hạn chế về luồng thông tin vào ra của một mạng nội bộ khi giao tiếp với các thành phần bên ngoài nó. Về mục tiêu: nó ngăn cản đe dọa từ bên ngoài với những yêu cầu cần được bảo vệ, trong khi vẫn đảm bảo các dịch vụ thông suốt qua nó. Hình 2-2: Sơ đồ tổng quát của firewall II.2.1. Khả năng của hệ thống firewall + Một Firewall là một trung tâm quyết định những vấn đề an toàn: Firewall đóng vai trò là một chốt chặn, mọi dòng thông tin đi vào hay đi ra một mạng nội bộ đều phải qua nó theo các chính sách an toàn đã được cài đặt. Tập trung kiểm soát chặt chẽ các dòng thông tin đó có lợi hơn là phân tán trên diện rộng. Nguyễn Mạnh Trung - TH1204 20 | P a g e
- Xem thêm -

Tài liệu liên quan