Tài liệu An toàn và bảo mật trên hệ điều hành linux

Luận văn: An toàn và bảo mật trên hệ điều hành Linux Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 1 Gi ớit hi ệu Ngày nay,t r ên mạng I nt er netkỳ di ệu,ngườit a đang t hực hi ện hàngt ỷđôl agi aodị ch mỗingày(t r ên dưới2 ngàn t ỷUSD mỗinăm) . Mộtkhốil ượnghànghoávàt i ềnbạckhổngl ồđangđượct ỷt ỷcácđi ện t ửt íhon chuyển đivànót hựcsự l àmi ếng mồibéobởchonhững t ay ăn t r ộm hay khủng bố có có “t r it hức” . Sự phátt r i ển nhanh chóng củamạngmáyt í nhl àđi ềut ấtyếu.Hàngngàycókhôngbi ếtbaonhi êu ngườit ham gi a vào hệ t hống t hông t i nt oàn cầu mà chúng t a gọil à I nt er net .Những công t yl ớn,các doanh nghi ệp,các t r ường đạihọc cùng như cáct r ường phổ t hông ngày càng t ăng và hơn cả t hế có r ất r ấtnhi ều ngườiđang nốimạng t r ựct uyến suốt24/ 24 gi ờ mỗingày, bảyngàyt r ongt uần.Tr ongbốicảnhmộtl i ênmạngt oàncầuvớihàng chụct r i ệungườisử dụngnhư I nt er nett hìvấnđềant oànt hôngt i nt r ở nên phứct ạp vàcấp t hi ếthơn.Dođómộtcâu hỏikhông mấydễchị u đặtr al à:l i ệumạngmáyt í nhcủachúngt asẽphảibịt ấncôngbấtcứ lúc nào? Sự bảovệcủabấtkỳmạngmáyt í nhnàođầut i êncũngl àf i rewall và phần mền nguồn mở như Li nux.Và câu chuyện về an t oàn mạng không cóhồikếtt húc.Vi ệcgi ữ an t oàn mộthệt hống kéot heochúng t aphảicónhưngki ếnt hứct ốtvềhệđi ềuhành,mạngTCP/ I Pcơsởvà quản t r ịdị ch vụ.Cùng vớisự gợiý của gi á vi ên hướng dẫn và t ầm quan t r ọng của vi ệcan t oàn t hông t i nl i ên mạng,ở đây chúng t ôichỉ t r ì nhbàymộtcácht ổngquannhữngvùngnơiLi nuxcót hểvàcầnphải đượcgi ữ an t oàn,những t hêm vào đó l àcácl ệnh cơ bản,những ki nh ngi ệm t r ongnguyênt ắcant oànvàbảovệhệt hốngmạng. Nhóm si nhvi ênt hựchi ện: - NguyễnHuyChương - LêThịHuyềnTr ang GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 2 I. An t oàn chocácgi aodị ch t rên mạng Có r ấtnhi ều dị ch vụ mạng t r uyền t hống gi ao t i ếp t hông qua gi ao t hứcvăn bản không mã hoá,như TELNET,FTP,RLOGI N,HTTP,POP3.Tr ong các gi ao dị ch gi ữa ngườidùng vớimáy chủ,t ấtcả cáct hông t i n dạng góiđượct r uyền qua mạng dưới hì nht hứcvănbảnkhôngđượcmãhoá.Cácgóit i nnàycót hểdễdàngbịchặnvàsao chépởmộtđi ểm nàođót r ênđườngđi .Vi ệcgi ảimãcácgóit i nnàyr ấtdễdàng,cho phép l ấy đượccáct hông t i n như t ên ngườidùng,mậtkhẩu và cáct hông t i n quan t r ọng khác.Vi ệcsử dụng cácgi ao dị ch mạng đượcmã hoá khi ến cho vi ệcgi ảimã t hông t i nt r ởnên khóhơn vàgi úp bạn gi ữ an t oàn cáct hông t i n quan t r ọng.Cáckỹ t huậtt hôngdụnghi ệnnayl àI PSec,SSL,TLS,SASLvàPKI . Quản t r ịt ừ xa l à mộtt í nh năng hấp dẫn của cáchệ t hống UNI X.Ngườiquản t r ị mạngcót hểdễdàngt r uynhậpvàohệt hốngt ừ bấtkỳnơinàot r ênmạngt hôngqua cácgi ao t hứct hông dụng như t el net ,r l ogi n.Mộtsố công cụ quản t r ịt ừ xa đượcsử dụng r ộng r ãinhư l i nuxconf ,webmi n cũng dùng gi ao t hứckhông mãhoá.Vi ệct hay t hết ấtcảcácdị chvụmạngdùnggi aot hứckhôngmãhoábằnggi aot hứccómãhoá l àr ấtkhó.Tuynhi ên,bạn nên cung cấp vi ệct r uycập cácdị ch vụ t r uyền t hống như HTTP/ POP3t hôngquaSSL,cũngnhưt hayt hếcácdị chvụt el net ,r l ogi nbằngSSH. Nguyên t ắcbảovệhệt hống mạng 1. Hoạchđị nhhệt hốngbảovệmạng Tr ong môit r ường mạng,phảicó sự đảm bảo r ằng những dữ l i ệu có t í nh bí mậtphảiđượccấtgi ữr i êng,saochochỉcóngườicót hẫm quyềnmớiđượcphépt r uy cậpchúng.Bảomậtt hôngt i nl àvi ệcl àm quant r ọng,vàvi ệcbảovệhoạtđộngmạng cũngcót ầm quant r ongkhôngkém. Mạng máy t í nh cần đượcbảo vệ an t oàn,t r ánh khỏinhững hi ểm hoạ do vô t ì nh hay cố ý. Tuy nhi ên mộtnhà quản t r ịmạng cần phảibi ếtbấtcứ cáigìcũng có mức độ,không nên t háiquá.Mạng không nhaat st hi ếtphảiđược bảo vệ quá cẩn mật ,đếnmứcngườidùngl uôngặpkhókhănkhit r uynhậpmạngđểt hựchi ệnnhi ệm vụ của mì nh.Không nên để họ t hấtvọng khicố gắng t r uy cập cá t ập t i n của chí nh mì nh. Bốnhi ểm hoạchí nhđốivớisựanni nhcủamạngl à: o Tr uynhậpmạngbấthợppháp o Sựcant hi ệpbằngphươngt i ệnđi ệnt ử o Kẻt r ộm o Taihoạvôt ì nhhoặccóchủý x Mức độ bảo mật: Tuỳ t huộc vào dạng môit r ường t r ong đó mạngđanghoạtđộng x Chí nh sách bảo mật: Hệ t hống mạng đòihỏimộtt ập hợp nguyên t ắc,đi ều l uậtvà chí nh sách nhằm l oạit r ừ mọir ủir o.Gi úp hướng dẫn vược qua các t hay đổivà những t ì nh huống không dự ki ến t r ong quá t r ì nh phátt r i ển mạng. Sựđềphòng:đềphòngnhữngt r uycậpbấthợppháp Sự chứng t hực:t r ước khit r uy nhập mạng,bạn gõ đúng t ên đăng nhập và passwor dhợpl ệ. x Đàot ạo:Ngườidùngmạngđượcđàot ạochu đáosẽcóí tkhả năngvôýpháhuỷmộtt àinguyên x Ant oànchot hi ếtbị :Tuỳt huộcở:quymôcôngt y,độbímật dữ l i ệu,cáct àinguyênkhảdụng.Tr ongmôit r ườngmạngnganghàng,cót hểkhông GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 3 có chí nh sách bảo vệ phàn cứng có t ổ chứcnào.Ngườidùng chị ut r ách nhi ệm đảm bảoant oànchomáyt í nhvàdữl i ệucủar i êngmì nh. 2. Môhì nhbảomật Haimôhì nhbảomậtkhácnhauđãphátt r i ển,gi úpbảovệant oàndữ l i ệuvà t àinguyênphầncứng: x Bảo vệt àinguyên dùng chung bằng mậtmã:gắn mậtmã cho t ừngt àinguyêndùngchung x Tr uycập khiđượcsự chophép :l àchỉđị nh mộtsốquyền nhất đị nh t r ên cơ sở ngườidùng,ki ểm t r at r uy nhập t àinguyên dùng chung căn cứ vào CSDL user-access trên máy server 3. Nângcaomứcđộbảomật x Ki ểm t oán:Theodõihoạtđộngt r ênmạnht hôngquat àikhoản ngườidùng,ghil ạinhi ều dạng bi ến cố chọn l ọcvào sổ nhậtký bảo mậtcủa máy ser ver .Gi úp nhận bi ếtcáchoạtđộng bấthợp l ệhoặckhông chủ đị nh.Cung cấp các t hôngt i nvềcáchdùngt r ongt ì nhhuốngcóphòngbannàođót hunphísử dụngmột sốt àinguyên nhấtđị nh,vàcần quyếtđị nh phícủanhững t àinguyên nàyt heocách t hứcnàođó. x Máyt í nh không đĩ a: Không có ổ đĩ a cứng và ổ mềm.Có t hểt hi hànhmọivi ệnhư máyt í nht hôngt hường,ngoạit r ừ vi ệcl ưut r ữ dữl i ệut r ênđĩ acứng hayđĩ amềm cụcbộ.Không cần đĩ akhởiđộng.Cókhả năng gi aot i ếp vớiser vervà đăng nhập nhờ vào mộtcon chi p ROM khởiđộng đặcbi ệtđượccàit r ên car d mạng. Khibậtmáy t í nh không đĩ a,chi p ROM khởiđộng phátt í n hi ệu cho ser verbi ếtr ằng nó muốn khởiđộng.Ser vert r ảl ờibằng cácn t ảiphần mềm khởiđộng vào RAM của máyt í nh không đĩ avàt ự đọng hi ển t hịmàn hì nh đăngnhập .Khiđómáyt í nh được kếtnốivớimạng. x Mãhoádữ l i ệu: Ngườit amãhoát hôngt i nsangdạngmậtmã bằng mộtphương pháp nào đó sao cho đảm bảo t hông t i n đó không t hể nhận bi ết đượcnếu nơinhận không bi ếtcách gi ảimã.Mộtngườisử dụng haymộthostcót hể sửdụngt hôngt i nmàkhôngsợảnhhưởngđếnngườisửdụnghaymộthostkhác. x Chốngvi r us: - Ngănkhôngchovi r ushoạtđộng - Sữachữahưhạiởmộtmứcđộnàođó - Chặnđứngvi r ussaukhinóbộcphát Ngăn chặn t ì nh t r ạng t r uy cập bấthợp pháp l à mộtt r ong những gi ảipháp hi ệu nhi ệm nhấtđểt r ánh vi r us.Dobi ện phápchủ yếu l àphòngngừa,nên nhàquản t r ịmạngphảibảođảm saochomọiyếut ốcầnt hi ếtđềuđãsẵnsàng: - Mậtmãđểgi ảm khảnăngt r uycậpbấthợppháp - Chỉđị nhcácđặcquyềnt hí chhợpchomọingườidùng - Cácpr of i l e để t ổ chứcmôit r ường mạng cho ngườidùng có t hểl ậpcấu hì nh vàduyt r ìmôit r ường đăngnhập,baogồm các kếtnốimạng và những khoản mục chương t r ì nh khi ngườidùngđăngnhập. - Mộtchí nhsáchquyếtđị nhcót hểt ảiphầnmềm nào. GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 4 Ki ến t rúcbảo mậtcủahệt hống mạng 1) Cácmứcant oànt hôngt i nt r ênmạng Không có đi ều gìgọil à hoàn hảo t r ong vi ệc an t oàn hệ t hống mạng như Li nux.Nóđượct hi ếtkếđểl àmộthệđi ều hành nốimạng vàsự phátt r i ển mạnh mẽ củanóchỉđểt ậpt r ungvàosự ant oàn.Hệđi ềuhànhmãnguồnmởl àcáigìmàcho phép ngườiquản t r ịmạng và những ngườiphátt r i ển,những ngườidùng t r i ền mi ên t heo dõivà ki ểm t oán những gìdễ bịt ấn công.Ở đấy không có gìhuyền bìvề an t oàn t hông t i n.Thậtl àt ốtnếu như cáct àinguyên đượcbảomậtvàđượcbảovệt ốt t r ướcbấtkỳsựxâm phạm vôt ì nhhaycốý. Ant oànhaybảomậtkhôngphảil àmộtsảnphẩm,nócũngkhôngphảil àmột phầnmền.Nól àmộtcáchnghĩ .Sự ant oàncót hểđượckhởiđộngvàdừngnhư một dị ch vụ.Bảo mậtl à cách an t oàn.Tàil i ệu bảo mậtl àt ưl i ệu mà những t hành vi ên củat ổchứcmuốnbảovệ.Tr áchnhi ệm củavi ệcbảomậtl àngườiquảnt r ịmạng. Sự ant oànmạngcóvait r òquant r ọngt ốicao.Ant oànphảiđượcđảm bảot ừ những nhân t ố bên ngoàiker nel ,t ạiphần cốtl õicủa Li nux ser ver .Cơ chế bảo mật cần phảibaogồm cấu hì nh mạngcủaSer ver ,chu viứng dụng củat ổchứcmạng và t hậm chícủa những cl i entt r uy nhập mạng t ừ xa.Có vàicách mà t a cần phảixem xét: o Sựant oànvậtl ý o Ant oànhệt hống o Ant oànmạng o Ant oàncácứngdụng o Sựt r uynhậpt ừxavàvi ệcchầpnhận 1. Sựant oànvậtl ý Đi ều nàyl àcơbản vàgi ám sátđượct ốtkhí acạnh an t oàn củahệđi ều hành Li nux.Sự an t oàn vậtl ý bắtđầu vớimôit r ường xung quanh vídụ như đốivớicác nhà cung cầp dị ch vụ hãm hại ?Có nên khoá cáckhốidữ l i ệu l ại ?Những ngườinào đượcchấp nhận đượcvàot r ung t âm dữ l i ệu.Vi ệcbảovệt hí ch hợpl àphảit hựchi ện l ạikhimuốnxâydựngmộtcàiđặtmớihaydichuyểndữl i ệuđếnmộtvịt r ímới . GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 5 2. Ant oànhệt hống Sự an t oàn hệt hống baoquanh vi ệcchọn phân phốihệđi ều hành Li nux,xây dưngker nel , t ớisự ant oànt àikhoảnngườidùng,chophépt r uycậpt hư mụct ậpt i n, mãhoásysl og vàf i l esyst em.Cáct ácvụ nàyđượchoàn t hành t r ướckhidị ch vụ nối vào I nt er net .Vi ệc chọn mộtphân phốinào t hìt uỳ t huộc vào những nhu cầunhư chí nh sách đượcpháct hảo t r ong cơ chế an t oàn.Có mộtt i êu chuẩn để chọn một phân phốinhưngnókhôngt huộcphạm vicủabàinày. Vi ệcxâydựngmộtker nelsẵn cócóhail ợit hế: o Nhữngopt i onant oàncủanhânđượcxácđị nhbởingườiquảnt r ịmạng và ngườiquản t r ịmạng bi ếtcáigìđượcxácđị nh vào t r ong ker nelvà t ừ đây có t hể đồng t hờinhận r a nếu đi ều đó nếu có.Phần nềm nguồn mở nóichung và hệ đi ều hànhLi nuxnóir i êng,đặcbi ệtcónhữngcảit i ếnđểdễdàngchongườisử dụngvàcó nhữngt i ệní chdễứngdụng.Chỉcầnupdat et r ongRedHat . o Sựant oàncáct àikhoảngngườidùngcóvait r òt ol ớn.Cónhữngvùng đượcvôhi ệuhoá,nhữngt àikhoảngkhônghoạtđộng,vôhi ệuhoávi ệct r uycậpđến NFS l ên gốc,hạn chếnhữngđăngnhậpvàot r ongmôit r ườngđi ều ki ển hệt hống. Mã hoá f i l e hệ t hông sử dụng kỹ t huậtmã hoá mà t hường l à phòng t hủ cuốicùng cho mạng. Có haicách t i ếp cận chung:Hệ t hống f i l e mã hoá ( CFS) và Practical Privacy Di skDr i ver ( PPDD) .Hệ t hống có t hểđượct heo dõivà t r ong Li nux,hệ t hống l oggi ng đượcl ogged t r ong t i ện í ch sysl og.Công cụ t heo dõibao gồm swat ch và l ogcheck. Swat ch có công cụ t hông báo t hờigi an t hực,t r ong khil ogcheckcung cấp mộtcông cụ mà phátsi nh những báo cáo đị nh kỳ.Ki ểm t oán Passwor d cũng có vait r ò sống còn t r ong vi ệcan t oàn,bảomậthệt hống t r ong khimốil i ên kếtyếu nhấtt r ong vi ệc ant oànmạngl àngườisửdụngvàvi ệcl ựachọncácmậtkhẩupasswor d. 3. An toàn mạng Ở đây l i ên quan đến vi ệ kếtnốit ừ Li nux ser vervào mạng.Cấu hì nh dị ch vụ mạngvớisự ant oàn ngàycàngkhókhăn chonhữngnhàquảnt r ịmạng. The xinetd daemon cầnphảiđượcđị nhhì nht ổchứcbảomật .Lệnhnetstat Làmộtt i ệní chmạnh cho phép ngườiquản t r ịki ểm t r at ì nh t r ạng cấu hì nh mạng.Ki ểm t r a mạng l à đi ều cần t hi ết củavi ệcan t oàn.Đi ều nàyđảm bảor ằng cơchếan t oàn đãđượct hựchi ện có hi êu quả t r ong vi ệc hoàn t hành những yêu cầu bảo mật .Đi ều đó đạtđượcbởi quyền t hựchi ện đến mạng của bạn.Cách t i ếp cận vi ệc ki ểm đị nh mạng hi ệu quả nhấtsẽt r ongvait r òcủangườil àm phi ền.Cónhữngcôngcụki ểm đị nhcơsởvàhost cơsở. SATAN(Security Administrator's Tool for Analysing Networks), SAINT( Security Administrator's Integrated Network Tool), SARA (Security Auditor's Research Assi st ant )l à những công cụ t ốtđể ki ểm đị nh cơ bản.SATAN được đầu t i ên công nhậnnăm 1995,nóđượccôngnhậnđôngđảobởimãnguồnmở. SAI NT mạnh hơn SANAN,t r ong khiSARA l à mộtmodulackage,t ương t ácvới Nmap và Samba.Những cảit i ến gần đây nhấtl à công cụ Nessus.Nessusl à mi ễn phí ,nguồn mở, đầy đủ nổibật ,công cụ ki ểm t oàn vẫn đượchỗ t r ợ cảit i ến cảit i ến t í ch cực. Nessusđivào2 t hành phần :- Cl i ent ( nessus)vàser ver (nesssus) .Công cụ Nmap cho ngườiquản t r ịgi àu ki nh nghi ệm.MặtkhácNmap có sứcmạnh,công cụ quétchongườicóki nhnghi ệm.Nóđượcsửdụngt ốtt r ongmạngLAN. TARA( Ti gerAudi t or sResear ch Assi st ant ) l àmộtvídụ chocông cụ ki ểm t oán cơ sởhost .Theodõimạng dướimộtsự t ấn công.Công cụ đểt heodõiđól àPor t Sent r y và Et her eal .Por tSent r y quétt r ong chế độ ngầm đị nh.Bảo mậtmạng như mộtt r ò chơigi ữamèovàchuột ,củat r ít uệvàmáyđếm t r ít uệ.Tr ongkhimạngki ểm t oánl à mộtphầncủamạngbì nht hường,mạngt heodõicầnphảiđượcưut i êncaohơn.Vi ệc GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 6 bảomậtbaogồm vi ệcki ểm t oánchí nhxácvàcảvi ệccónênđểnhư t hếhaykhông. Por t Sent r yl à mộtvídụ của công cụ t heo dõit hờigi an t hựcđượct hi ếtkế để quét pháthi ệnr ahệt hống,vàcókhảchobạnnhữnghồiđáp. 4. Cácứngdụngant oàn Mộtvàideamonschuẩnt r ongvi ệcphânphốiLi nuxhi ệnt hờil ànhữngứngdụng đầy đủ mà nó có cấu t r úcf i l e phứct ạp.Web,f i l e,mai lser versử dụng những gi ao t hứcphứct ạp.An t oàn cót hểđượct hựchi ện bởicácđặct í nh bảomậtcủavi ệccác đạil ýchophép( MTA‟ s)nhưSendmai l ,Qmai lvàPost f i x. WebSer vercót hểcũngđượcgi ữ ant oànbởicácmodulchophép:mod_aut h, mod_aut h_dbm,mod_aut h_db, …. Vi ệcchophép Open SS hỗt r ợchoApachesẽcũng công t ácvớiweb ser ver .Samba có t hểl àm an t oàn bởivi ệcđọccáct hông số đang chạy.Bướcđầu t i ên sẽ đượcbảo vệbởicông cụ quản t r ịweb Samba ( SAT)vớiSLL nêncácl ệnhquảnl ýSambađượcbảovệ. 5. Chu vi an toàn Cấpsốt ự nhi êncủacácht i ếpcậnđượcsắpt ừngl ớpđếnsự ant oànmáyt í nh r akhỏil ớpt ừl ớpmạngđếnl ớpứngdụng,vàt ừđóđềnl ớpchuvi .Đâyl àvùngđược quan t âm.Fi r ewal l sl àt hành phần chí nh của mi ền chu vian t oàn,l à phần mền mà chứcnăngbắtbuộct ổchứcbảomậtant oànbởibộl ọc,bảomật ,đẩymạnh,hayyêu cầu nằm t r ong Li nux ser verđể kếtnốiđến cả mạng chí nh và I nt er net .Fi r ewar e có t hểđượct hựchi ệnnhi ềucáchdựat r êncácl ớpcủamôhì nhOSI :l ớpmạng,l ớpgi ao vận vàứng dụng.Cóđi ểm t í ch cựcvàt i êu cựct r ong vi ệct r i ển khaif i r ewar et ạicác l ớp của mạng. Fi r ewal lmạng được bi ếtnhư các packet-f i l t er i ng gat eway,nơimà chúngki ểm t r anhữggóit i nI Pvàogi aodi ệnf i r ewar evàhoạtđộngphùhợpđượcgi ữ l ại .hoạtđộng bao gồm dr op,cho phép/hoặc l og.Sự bấtl ợil à ki ểu Fi r ewal lnày khôngkhôn khéo.Fi r wal lgi aovận l àm vi ệcbởikhảosátTCPhoặcUDP.Fi r ewal lyêu cầu sự can t hi ệp ngườidùng sửađổinhững t hủ t ục.Fi r ewal lứng dụng l àm chocác quyếtđị nh t r uynhập ở t ầng ứng dụng. Nó cho phép ngườiquản t r ịmayf i r ewal lcho yêucầucủamỗil oạiứngdụng.Cacibấtt i ệnt r ongf i r ewal ll àngườiquảnt r ịcầnđị nh hì nh t r i ển khait heodõi ,vàbảot r ìquát r ì nh f i r ewal lchomỗiứng dụng màcần t r uy nhậpđi ềukhi ển. Nól uônl àt ôtđẻt hựchi ệnbảomậtbởivi ệcsử dụngkếthợpmột f i r ewal lt ại t ấtcả ba t ầng để t r ánh sự t ổn t hương.Fi r ewal lkhông chỉcản t r ở những ngườil àm phi ền khônghợpphápvàomạngnhưngphảichophépngườisử dụngt r uynhậpbên ngoàivàonguồnt àinguyên,t r ongkhiđóchấpnhậnphêchuẩnnhấtđị nhnhữngkết nốisau cho ngườidùng.Đây l à nhận t hức dễ nhưng đó l à mộtt hách t hức khi thi hành. o Fi r ewal lmạng Có vàil ợit hế t r ong vi ệc sử dụng Li nux như nền t ảng f i r ewar e.Sự quản l ý đồng bộ,phần cứng,số ngườidùng,ki ểm t r anền t ảng,vi ệct hựchi ện,gi ági ữacác l ýdo t ạisao.Sự l ocgóil àl ợií ch hi ệu quả và cách bảo vẩpt ong phậm vi tránh xâm nhập.Ngườisử dụng không cần xácnhận để sử dụng t i n cậy những dị ch vụ vùng bên ngoài. Những gi ảipháp cho vi ệcl ọcgóit r ong Li nux bao gồm i pchai nsvà i pf wadm. t i ệní chcủavi ệcl ọcgóit i nđượcsửdụngt r ongnhânt ừphi ênbản1. 2. 1vềt r ước. Phi ênbảncuốicùngcủai pf wadm vàot háng7/ 1996,sauđói pchai nst hayt hế nó.Những đị a chỉI pchai nsl ànhững gi ớihạn t hi ếu sótcủai pf wadrnhư đếm 32 bi t , không có khả năng gi ảiquyếtcấu t hành đị a chỉI P, . . v. v.I pchai nschi ến t hắng các gi ớihạn đó bởivi ệct ận dụng l ợií ch của ba kênh r i êng bi ệthay những quy t ắcnối t i ếpđểl ọc.Bakênhđól à:I NPUT,OUTPUT,vàFORWARD. GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 7 Ti ệní chI pchai nst heocúpháp: ipchains command chain rule-specification [options] -j action Tạiđây có t hể mộtt r ong số kênh I NPUT,OUTPUT hoặcFORWARD.Như nhân 2. 4 về t r ước,t í nh hoạtđộng mộtl ần của I pchai ns được t hay t hế bởiNet f i l t ervà khoảng quyt ắcI pt abl es.Net f i l t erđượchỗ t r ợ bởicông nghệ Wat chguar d.I pct abl es đượcphátt r i ển t ừt i ện í ch củaI pchai nsvànóchỉchạyt r ên những phi ên bản 2. 3 về t r ước. Mộtvídụvềl ệnhI pt abl es: iptables -A INPUT -p tcp –-dport smtp -j ACCEPT. Hi ện nay có những t hi ếtkế f i r ewal lbắtđượchầu hếtcáccấu t r úcmạng phổ bi ến,báohi ệuđơngi ảnt heoyêucầukếtnốit ớinhữngnơir ấtphứct ạpkéot heokhu vựcđượcphiquânsựhoá( DMZ) . II. BảomậtLi nuxServer Những ki nh nghi ệm bảo mật Hi ện nay Li nux đang dần t r ởt hành mộthệ đi ều hành khá phổ bi ến bởit í nh ki nh t ế,khảnăng bảo mậtvà sự uyển chuyển cao.Thếnhưng,mọihệt hống dù an toàn đến đâu cũng dễdàng bịxâm nhập nếu ngườidùng( vànhấtl àngườiquản t r ị r oot )không đặtsự bảo mậtl ên hàng đầu.Sâu đây l à mộtsó ki nh nghi ệm về bảo mậtt r ênhệđi ềuhànhRedHatLi nuxmàchúngt ôimuốnchi asẽcùngcácbạn: 1. Không cho phép sử dụng t àikhoảng r oott ừ consol e:Sau khicàiđặt , t àikhoảng r ootsẽ không có quyền kếtnốit el netvào dị ch vụ t el nett r ên hệ t hống, t r ong khi đó t ài khoản bì nh t hường l ại có t hể kết nối , do nội dung t ập t i n / et c/ secur i t y chỉquyđị nh những consol eđượcphép t r uycập bởir ootvà chỉl i ệtkê những consol et r uyxuấtkhingồit r ựct i ếp t ạimáychủ.Đểt ăng cường bảomậthơn nữa,hãy soạn t hảo t ập t i n / et c/ secur i t y và bỏ đinhững consol e bạn không muốn r oott r uycập. 2. Xoábớtt àikhoảngvànhóm đặcbi ệt : Ngườiquản t r ịnên xoábỏt ấtcả cáct àikhoảng và nhóm đượct ạo sẵn t r ong hệ t hống nhưng không có nhu cầu sử dụng. (vídụ:l p,syne,shut down,hal t ,news,uucp,oper at or ,game,gophẻ…) .Thực hi ệnvi ệcxoábỏt àikhoảngbằngl ệnhusedelvàxoábỏnhóm vớil ệnhgr oupdel 3. Tắtcácdị ch vụ khôngsử dụng:Mộtđi ều khánguyhi ểm l àsau khicài đặt ,hệt hống t ự động chạykhá nhi ều dị ch vụ,t r ong đó đa số l à cácdị ch vụ không mong muốn,dẫn đến t i êu t ốn t àinguyên và si nh r a nhi ều nguy cơ về bảo mật .Vì vậy ngườiquản t r ịnên t ắtcácdị ch vụ không dùng t ới ( nt sysv)hoặcxoá bỏ cácgói dị chvụkhôngsửdụngbằngl ệnhr pm 4. Không cho “ SU”( Subst i t ut e)l ên r oot :Lệnh su cho phép ngườidùng chuyểnsangt àikhoảngkhác.Nếukhôngmuốnngườidùng“ su”t hànhr oott hìt hêm hai dòng sau vàot ậpt i n/ et c/ pam. d/ su: Auth sufficient/lib/security/pam_root ok so debug Auth required/lib/security/pam_wheel.so group= tên_nhóm_root 5. Chedấut ậpt i nmậtkhẩu:Gi aiđoạnđầu,mậtkhẩut oànbột àikhoảng đượcl ưu t r ongt ậpt i n / et c/ passwor d,t ậpt i nmàmọingườidùngđềucóquyền đọc. Đâyl àkẻhởl ớnt r ongbảomậtdùmậtkhẩuđượcmãhoánhưngvi ệcgi ảimãkhông phảil à không t hể t hựchi ện được.Do đó,hi ện nay cácnhà phátt r i ển Li nux đã đặt GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 8 r i êng mậtkhẩu mã hoá vào t ập t i n / ect / shadow chỉcó r ootmớiđọcđược,nhưng yêucầuphảichọnEnabl et heshadow passwor dkhicàiRedHat . 6. Luôn nângcấpchonhân ( ker nel )Li nux: Li nuxkhônghẵn đượct hi ếtkế vớit í nh năng bảo mậtchặtchẽ,khá nhi ều l ỗ hỏng có t hể bịl ợidụng bởit i nt ặc.Vì vậyvi ệcsử dụngmộthệđi ềuhànhvớinhânđượcnângcấpl àr ấtquant r ọngvìmột khinhân,phầncốtl õinhấtcủahệđi ềuhànhđượct hi ếtkết ốtt hìnguycơbịpháhoại sẽgi ảm đir ấtnhi ều. 7. Tự động t hoátkhỏiShel l :Ngườiquản t r ịhệ t hống và kể cả ngườisử dụng bì nh t hường r ấthayquên t hoátr adấu nhắcshel lkhikếtt húccông vi ệc.Thât nguy hi ểm nếu có mộtkẻ nào sẽ có t oàn quyền t r uy suấthệ t hống mà chăng t ốn chútcôngsứcnàocả.Dovậyngườiquảnt r ịnêncàiđặtt í nhnăngt ựđộngt hoátkhỏi shel lkhikhôngcósự t r uyxuấtt r ongkhoảngt hờigi anđị nht r ướcbằngcáchsử dụng bi ếnmôit r ường vàgánmộtgi át r ịquyđị nhSốgi âyhệt hốngduyt r ìdấunhắc, bạnnênvàot âpt i n / ect /pr of i l eđểl uônt ácdụngt r ongmọiphi ênl àm vi ệc. 8. Khôngchophépt r uynhậpt ậpt i nkị chbảnkhởiđộngcủaLi nux:Khihệ đi ều hành Li nux khởiđộng,các t ập t i n kị ch bản ( scr i pt ) được đặt t ạit hư mục / et c/ r c. d/ i ni t . dsẽđượcgọit hựct hi .Vìt hế,đểt r ánhnhữngsự t òmòkhôngcầnt hi ết t ừ phí angườidùng,vớit ư cách ngườiquản t r ị ,bạn nên hạn chếquyền t r uyxuấtt ới cáct ậpt i nnàyvàchỉchophépt àikhoảngr ootxửl ýbằngl ệnhsau: #chmod –R 700/etc/rc.d/init.d* 9. Gi ớihạn vi ệct ự ý ghinhận t hông t i nt ừ shel l :Theo mặcđị nh,t ấtcả l ệnh được t hực t hit ạidấu nhắc shel lcủa t àikhoảng đều được ghivào t ập t i n . bash_hi st or y(nếu sd bashshel l )t r ong t hư mụccá nhân của t ừng t àikhoảng.Đi ều nàygâynênvôsốnguyhi ểm t i ềm ẩn,đặcbi ệtđốivớinhữngứngdụngđòihỏingười dùng phảigõ t hông t i n mậtkhẩu.Do đó ngườiquản t r ịnên gi ớihạn vi ệct ự ý ghi nhậnt hôngt i nt ừshel ldựavàohaibi ếnmôit r ườngHI STFI LESI ZEvàHI STSI ZE: - Bi ến môit r ường HI STFI LESI ZE quy đị nh số l ệnh gõ t ạidấu nhắc shel lsẽ đượcl ưul ạichol ầnt r uycậpsau. - Bi ến môit r ường HI STSI ZE quy đị nh số l ệnh sẽ đượcghinhớ t r ong phi ên l àm vi ệchi ệnhành. Vìvậy,t asẽphảigi ảm gi át r ịcủaHI STSI ZEvàchogi át r ịHI STFI LESI ZEbằng 0 đểgi ảm t hi ểu t ốiđanhữngnguyhi ểm.Bạn t hựchi ện vi ệcnàybằngcách t hayđổi gi át r ịhaibi ếnnêut r ênt r ongt ậpt i n/ et c/ pr of i l enhưsau: HISTFILESIZE = 0 HISTSIZE = xx Tr ongđóxxl àsốl ệnhmàshel lsẽghinhớ,đồngt hờikhôngghil ạibấtkỳmột l ệnhnàodongườidùngđãgõkhingườidùngt hoátkhỏishel l . 10. Tắccáct i ến t r ì nh SUI D/ SGI D :Bì nh t hường,cáct i ến t r ì nh đượct hực hi ện dướiquyền củat àikhoản gọit hựct hiứngdụngđó.Đól àdướiwi ndows,nhưng Uni x/ Li nux l ạisử dụng mộtkỹ t huậtđặc bi ệtcho phép mộtsố chương t r ì nh được t hựchi ện dướiquyền củangườiquản l ýchương t r ì nh chứ không phảingườigọit hực t hichương t r ì nh.Vàđâychí nh l àl ýdot ạisaot ấtcảmọingườidùngt r ong hệt hống đềucót hểđổimậtkhẩucủamì nht r ongkhikhônghềcóquyênt r uyxuấtl ênt ậpt i n / et c/ shadow,đól àvìl ệnh passwd đãđượcgán t huộct í nh SUI D vàđượcquản l ýbởi r oot ,màr ootl ạil àngườidùngduynhấtcóquyềnt r uyxuất/ et c/ shadow. GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 9 Tuyt hế,khảnăngt i ênt i ếnnàycót hểgâynên nhữngnguycơkháphứct ạpvì nếumộtchươngt r ì nhcókhảnăngt hựct hiđượcquảnl ýbởir oot ,dot hi ếtkết ồihoặc do đượccàiđặtcố t ì nh bởinhững kẻ phá hoạimà l ạiđượcđặtt huộct í nh SUI Dt hì mọiđi ều “khủng khi ếp”đều có t hểxảyr a.Thựct ếcho t hấycó khá nhi ều kỹt huật xâm phạm hệt hốngmàkhôngcóquyềnr ootđượct hựchi ệnbằngcáckỹt huậtnày: kẻ phá hoạibằng cách nào đó t ạo mộtshel lđược quản l ý bởir oot ,có t huộc t í nh SUI D,kếđếnmọit r uyxuấtpháhoạisẽđượct hựchi ệnquashel lvừat ạovìmọil ệnh t hựchi ệnt r ongshel lsẽđượct hựchi ệngi ốngnhưdướiquyềnr oot . Thuộct í nhSGI D cũngt ươngt ự như SUI D:cácchươngt r ì nhđượct hựchi ệnvới quyền nhóm quản l ý chương t r ì nh chứ không phảinhóm của ngườichạy chương t r ì nh.Như vậy ngườiquản t r ịsẽ phảit hường xuyên ki ểm t r at r ong hệ t hống có những ứng dụng nào có t huộct í nh SUI D hoặcSGI D mà không đượcsự quản l ýcủa r ootkhông,nếu pháthi ện đượct ậpt i n cót huộct í nhSUI D/ SGI D “ngoàil uồng” ,bạn cót hểl oạibỏcáct huộct ì nhnàybằngl ệnh: #chmod a-s III. Linux Firewall An t oàn hệt hống l uôn l uôn l àmộtvấn đềsốngcòn củamạngmáyt í nh vàf i r ewal ll à mộtt hànhphầncốtyếuchovi ệcđảm bảoanni nh. Mộtf i r ewal ll à mộtt ập hợp cácquit ắc,ứng dụng và chí nh sách đảm bảo cho người dùngt r uycậpcácdị chvụmạngt r ongkhimạngbênt r ongvẫnant oànđốivớicáckẻt ấn công t ừI nt er net hay t ừ các mạng khác. Có hail oạiki ến t r úc f i r ewal lcơ bản l à: Proxy/ Appl i cat i onf i r ewal lvàf i l t er i nggat ewayf i r ewal l .Hầuhếtcáchệt hốngf i r ewal lhi ện đạil àl oạil ai( hybr i d)củacảhail oạit r ên. Nhi ều công t y và nhà cung cấp dị ch vụ I nt er netsử dụng máy chủ Li nux như một I nt er netgat eway.Những máychủ nàyt hường phụcvụ như máychủ mai l ,web,f t p,hay di al up.Hơn nữa,chúng cũngt hường hoạtđộngnhư cácf i r ewal l ,t hihành cácchí nh sách ki ểm soátgi ữaI nt er netvàmạngcủacôngt y.Khảnănguyểnchuyểnkhi ếnchoLi nuxt hu hútnhưl àmộtt hayt hếchonhữnghệđi ềuhànht hươngmại . Tí nhnăngf i r ewal lchuẩn đượccungcấpsẵnt r ongker nelcủaLi nuxđượcxâydựngt ừ hait hànhphần:i pchai nsvàI PMasquer adi ng. Li nux I P Fi r ewal l i ng Chai ns l à mộtcơ chế l ọc góit i nI P.Những t í nh năng của I P Chai nschophépcấuhì nhmáychủLi nuxnhư mộtf i l t er i nggat eway/ f i r ewal ldễdàng.Một t hành phần quan t r ọng khác của nó t r ong ker nell àI P Masquer adi ng,mộtt í nh năng chuyển đổiđị a chỉmạng ( net wor kaddr esst r ansl at i on- NAT)mà có t hểchegi ấu cácđị a chỉI Pt hựccủamạngbên t r ong.Đểsử dụng i pchai ns,bạn cần t hi ếtl ậpmộtt ập cácl uật màquiđị nhcáckếtnốiđượcchophéphaybịcấm. Cácnguyênt ắcI pchai nsThựchi ệncácchứcnăngsau: ± Accept: The packet is okay; allow it to pass to the appropriate chain Chophépchuyểngóit i nquachai nt hí chhợp ± Deny: The packet is not okay; silently drop it in the bit bucket. Không đồngý,bịr ớt . ± Reject: The packet is not okay; but inform the sender of this fact via anI CMPpacket .Khôngđồngý,nhưngsựvi ệccủangườigởi quagóiI CMP ± Masq: Used f or I P masquer adi ng ( net wor k addr ess t r ansl at i on) .Sử dụngchoI Pmasquer adi ng(vi ệcdị chđị achỉmạng) ± Redirect: Send t hi spackett osomeoneel sef orpr ocessi ng.Gởigóit i n nàyđếnmộtngườikhácđểsửl ý ± Return: Terminate the rule list. Hoàn thành danhsáchcácquyt ắc. GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 10 Chú ý:Các góiI pf w( i pf i l t er s/ i pt abl e)dướihệ đi ều hành BSD cung cấp hoạtđộng t ươngt ựI pchai ns. Vídụ: # Chophépcáckếtnốiwebt ớiWebSer vercủabạn /sbin/ipchains -A your_chains_rules -s 0.0.0.0/0 www -d 192.16.0.100 1024: -j ACCEPT # Chophépcáckếtnốit ừbênt r ongt ớicácWebSer verbênngoài /sbin/ipchains -A your_chains_rules -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -j ACCEPT # Từchốit r uycậpt ấtcảcácdị chvukhác /sbin/ipchains -P your_chains_rules input DENY Ngoàir a,bạn cót hểdùngcácsản phẩm f i r ewal lt hươngmạinhư CheckPoi ntFi r eWal l 1,Phoeni x Adapt i ve Fi r ewal l ,Gat eway Guar di an,XSent r y Fi r ewal l ,Rapt or ,. . .hay r ất nhi ềucácphi ênbảnmi ễnphí ,mãnguồnmởchoLi nuxnhưT. RexFi r ewal l ,Dant e,SI NUS, TIS Firewall Toolkit, ... 1.DÙNG CÔNG CỤ DÕ TÌM ĐỂKHẢO SÁTHỆ THỐNG Thâm nhập vào mộthệ t hống bấtkỳ nào cũng cần có sự chuẩn bị .Hackerphảixác đị nh r amáyđí ch vàt ì m xem những por tnàođang mởt r ướckhihệt hống cót hểbịxâm phạm.Quá t r ì nh này t hường đượct hựchi ện bởicáccông cụ dò t ì m ( scanni ng t ool ) ,kỹ t huậtchí nh để t ì m r a máy đí ch và cácpor tđang mở t r ên đó.Dò t ì m l à bướcđầu t i ên hackersẽ sử dụng t r ướckhit hựchi ện t ấn công.Bằng cách sử dụng cáccông cụ dò t ì m như Nmap,hackercó t hể r à khắp cácmạng để t ì m r a cácmáy đí ch có t hể bịt ấn công. Mộtkhixácđị nhđượccácmáynày,kẻxâm nhậpcót hểdòt ì m cácpor tđangl ắngnghe. Nmap cũng sử dụng mộtsố kỹ t huậtcho phép xác đị nh khá chí nh xác l oạimáy đang ki ểm t r a. Bằng cách sử dụngnhữngcông cụ củachí nh cáchackert hườngdùng,ngườiquản t r ị hệt hốngcót hểnhì nvàohệt hốngcủamì nht ừgócđộcủacáchackervàgi úpt ăngcường t í nh an t oàn của hệ t hống.Có r ấtnhi ều công cụ dò t ì m có t hể sử dụng như:Nmap, strobe, sscan, SATAN, ... Nmap Làchữ vi ếtt ắtcủa" Net wor kexpl or at i on t oolandsecur i t yscanner ".Đâyl àchươngt r ì nh quéthàngđầuvớit ốcđộcựcnhanhvàcựcmạnh.Nócót hểquétt r ênmạngdi ệnr ộngvà đặcbi ệtt ốtđốivớimạng đơn l ẻ.NMAPgi úp bạn xem những dị ch vụ nàođang chạyt r ên ser ver( ser vi ces/ por t s: webser ver , f t pser ver , pop3, . . . ) ,ser verđang dùng hệ đi ều hành gì , l oạit ườngl ửamàser versửdụng,. . .vàr ấtnhi ềut í nhnăngkhác.NóichungNMAPhỗt r ợ hầuhếtcáckỹt huậtquétnhư :I CMP( pi ngaweep) ,I Ppr ot ocol ,Null scan, TCP SYN (half open) ,. . .NMAP đượcđánh gi ál à công cụ hàng đầu của cácHackercũng như cácnhà quảnt r ịmạngt r ênt hếgi ới . Quétan t oàn Nmap l àmộtt r ong sốcông cụ quétan t oàn đượcsử dụng r ộng r ãinhấtsẵncó.Nmapl àmộtcổngquétmàchốngl ạicácnhânt ố,cáccáchkháct àn pháđến mạng củabạn.Nócót hểphátsi nh r anhi ều ki ểu góimàt hăm dòcácngăn xếpTCP/ I Pt r ênnhữnghệt hốngcủabạn. Nmapcót hểphátsi nh r amộtdanh sách củanhữngcổngmởdị ch vụ t r ên hệ t hống của bạn, t hâm nhập f i r ewal l s,và cung cấp những t i n quấy r ầy,không t i n cậy đangchạyt r ênhostcủabạn.Nmapsecur i t ycósẵnt ại:http://www.insecure.org . Dướiđâyl àmộtvídụsửdụngNmap: # nmap -sS -O 192.168.1.200 Starting nmap V. 2.54 by Fyodor ([email protected], www.insecure.org/nmap/) Interesting ports on comet (192.168.1.200): Port State Protocol Service 7 open tcp echo 19 open tcp chargen GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 11 21 open tcp ftp ... TCP Sequence Prediction: Class=random positive increments Difficulty=17818 (Worthy challenge) Remote operating system guess: Linux 2.2.13 Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds Tuy nhi ên,sử dụng cáccông cụ này không t hể t hay t hế cho mộtngườiquản t r ịcó ki ến t hức.Bởivìvi ệcdò t ì m t hường dự báo mộtcuộct ấn công,cácsi t enên ưu t i ên cho vi ệc t heodõichúng.Vớicáccôngcụdòt ì m,cácnhàquảnt r ịhệt hốngmạngcót hểpháthi ện r anhữnggìmàcáchackercót hểt hấykhidòt r ênhệt hốngcủamì nh. 2.PHÁTHIỆN SỰ XÂM NHẬP QUA MẠNG Nếuhệt hốngcủabạn cókếtnốivàoi nt er net ,bạncót hểt r ởt hànhmộtmụct i êubịdò t ì m cácl ỗhổngvềbảomật .Mặcdùhệt hốngcủabạncóghinhậnđi ềunàyhaykhôngt hì vẫnkhôngđủđểxácđị nhvàpháthi ệnvi ệcdòt ì m này.Mộtvấnđềcầnquant âm khácl à cáccuộct ấn công gây ngừng dị ch vụ ( Deni alofSer vi ces- DoS) ,l àm t hế nào để ngăn ngừa,pháthi ệnvàđốiphóvớichúngnếubạnkhôngmuốnhệt hốngcủabạnngưngt r ệ. Hệt hốngpháthi ện xâm nhập quamạng( Net wor kI nt r usi on Det ect i on Syst em - NIDS) t heo dõicáct hông t i nt r uyền t r ên mạng và pháthi ện nếu có hackerđang cố xâm nhập vào hệ t hống ( hoặcgây gây r a mộtvụ t ấn công DoS) .Mộtvídụ đi ển hì nh l à hệ t hống t heo dõisố l ượng l ớn cácyêu cầu kếtnốiTCP đến nhi ều por tt r ên mộtmáy nào đó,do vậycót hểpháthi ện r anếu cóaiđó đang t hử mộtt ácvụ dòt ì m TCPpor t .MộtNI DS có t hể chạy t r ên máy cần t heo dõihoặct r ên mộtmáy độcl ập t heo dõit oàn bộ t hông t i n t r ênmạng. Cáccông cụ có t hểđượckếthợp đểt ạomộthệt hống pháthi ện xâm nhập quamạng. Chẳng hạn dùng t cpwr apperđể đi ều khi ển,ghinhận cácdị ch vụ đã đượcđăng ký.Các chươngt r ì nhphânt í chnhậtkýhệt hống,như swat ch,cót hểdùngđểxácđị nhcáct ácvụ dòt ì mt r ên hệt hống.Vàđi ều quan t r ọngnhấtl àcáccôngcụ cót hểphân t í ch cáct hông t i nt r ên mạng để pháthi ện các t ấn công DoS hoặc đánh cắp t hông t i n như t cpdump, ethereal, ngrep, NFR (Network Flight Recorder), PortSentry, Sentinel, Snort, ... Khihi ện t hựcmộthệ t hống pháthi ện xâm nhập qua mạng bạn cần phảil ưu t âm đến hi ệusuấtcủahệt hốngcũngnhưcácchí nhsáchbảođảm sựr i êngt ư. 3.KIỂM TRA KHẢ NĂNG BỊXÂM NHẬP Ki ểm t r akhảnăng bịxâm nhập l i ên quan đến vi ệcxácđị nh vàsắpxếp cácl ỗhổngan ni nh t r ong hệ t hống bằng cách dùng mộtsố công cụ ki ểm t r a.Nhi ều công cụ ki ểm t r a cũng cókhảnăng khait hácmộtsốl ỗ hổng t ì mt hấyđểl àm r õ quát r ì nh t hâm nhập t r ái phépsẽđượct hựchi ệnnhưt hếnào.Vídụ,mộtl ỗit r ànbộđệm củachươngt r ì nhphụcvụ dị ch vụ FTP có t hể dẫn đến vi ệc t hâm nhập vào hệ t hống vớiquyền „ r oot ‟ .Nếu người quảnt r ịmạngcóki ếnt hứcvềki ểm t r akhảnăngbịxâm nhậpt r ướckhinóxảyr a,họcó t hểt i ếnhànhcáct ácvụđểnângcaomứcđộanni nhcủahệt hốngmạng. Cór ấtnhi ềucáccôngcụ mạngmàbạncót hểsử dụngt r ongvi ệcki ểm t r akhảnăngbị xâm nhập.Hầu hếtcácquá t r ì nh ki ểm t r a đều dùng í tnhấtmộtcông cụ t ự động phân t í chcácl ỗhổnganni nh.Cáccôngcụnàyt hăm dòhệt hốngđểxácđị nhcácdị chvụhi ện có.Thôngt i nl ấyt ừcácdị chvụnàysẽđượcsosánhvớicơsởdữ l i ệucácl ỗhổnganni nh đãđượct ì mt hấyt r ướcđó. Cáccông cụ t hường đượcsử dụng để t hựchi ện cácki ểm t r al oạinày l àI SS Scanner , Cybercop, Retina, Nessus, cgiscan, CIS, ... Ki ểm t r a khả năng bịxâm nhập cần đượct hựchi ện bởinhững ngườicó t r ách nhi ệm mộtcách cẩn t hận.Sự t hi ếu ki ến t hứcvà sử dụng saicách có t hể sẽ dẫn đến hậu quả nghi êm t r ọngkhôngt hểl ườngt r ướcđược. GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 12 4.ĐỐIPHÓ KHIHỆTHỐNG CỦA BẠN BỊTẤN CÔNG Gần đây,mộtl oạtcác vụ t ấn công nhắm vào các si t e của những công t yl ớn như Yahoo!, Buy.com, E-Bay,Amazon và CNN I nt er act i ve gây r a những t hi ệthạivô cùng nghi êm t r ọng.Những t ấn công này l à dạng t ấn công gây ngừng dị ch vụ " Deni al -OfSer vi ce"mà được t hi ếtkế để l àm ngưng hoạtđộng của mộtmạng máy t í nh hay một websi t e bằng cách gửil i ên t ụcvớisố l ượng l ớn cácdữ l i ệu t ớimụct i êu t ấn công khi ến cho hệ t hống bịt ấn công bịngừng hoạtđộng,đi ều này t ương t ự như hàng t r ăm người cùnggọikhôngngừngt ới1sốđi ệnt hoạikhi ếnnól i ênt ụcbịbận. Tr ong khikhông t hể nào t r ánh đượcmọinguy hi ểm t ừ cáccuộct ấn công,chúng t ôi khuyênbạnmộtsốbướcmàbạnnênt heokhibạnpháthi ệnr ar ằnghệt hốngcủabạnbị t ấn công.Chúngt ôicũng đưar amộtsốcách đểgi úp bạn bảođảm t í nh hi ệu qủacủahệ t hống an ni nh và những bướcbạn nên l àm để gi ảm r ủir o và có t hể đốiphó vớinhững cuộct ấncông. Nếu pháthi ện r ar ằng hệ t hống của bạn đang bịt ấn công,hãy bì nh t ĩ nh.Sau đâyl ànhững bướcbạn nên l àm: x Tậphợp1nhóm đểđốiphóvớisựt ấncông: o Nhóm này phảibao gồm những nhân vi ên ki nh nghi ệm,những ngườimà cót hểgi úphì nht hànhmộtkếhoạchhànhđộngđốiphóvớisựt ấncông. x Dựa t heo chí nh sách và cácquyt r ì nh t hựchi ện vềan ni nh củacông t y,sử dụng cácbướct hí chhợpkhit hôngbáochomọingườihayt ổchứcvềcuộct ấncông. x Tì m sự gi úpđỡt ừ nhàcungcấpdị chvụI nt er netvàcơquanphụt r áchvềanni nh máy tính: o Li ên hệ nhà cung cấp dị ch vụ I nt er netcủa bạn để t hông báo về cuộct ấn công.Cót hểnhàcungcấpdị chvụI nt er netcủabạnsẽchặnđứngđượccuộct ấncông. o Li ên hệcơ quan phụ t r ách vềan ni nh máyt í nh đểt hông báo vềcuộct ấn công x Tạm t hờidùng phương t hứct r uyền t hông khác( chẳng hạn như qua đi ện t hoại ) khit r aođổit hôngt i nđểđảm bor ằngkẻxâm nhậpkhôngt hểchặnvàl ấyđượct hôngt i n. x Ghil ạit ấtcảcáchoạtđộng củabạn ( chẳng hạn như gọiđi ện t hoại ,t hayđổif i l e, ...) x Theodõicáchệt hốngquant r ọngt r ongqúat r ì nhbịt ấncôngbằngcácphầnmềm hay dị ch vụ pháthi ện sự xâm nhập ( i nt r usi on det ect i on sof t war e/ ser vi ces) .Đi ều này có t hểgi úp l àm gi ảm nhẹsự t ấn công cũng như pháthi ện những dấu hi ệu củasự t ấn công t hựcsựhaychỉl àsự quấyr ốinhằm đánhl ạchướngsự chúýcủabạn( chẳnghạnmộtt ấn côngDoS vớidụngýl àm saol ãngsựchúýcủabạnt r ongkhit hựcsựđâyl àmộtcuộct ấn công nhằm xâm nhập vào hệ t hống của bạn) .Sao chép l ạit ấtcả cácf i l esmà kẻ xâm nhậpđểl ạihayt hayđổi( nhưnhữngđoạnmãchươngt r ì nh,l ogf i l e,. . . ) x Li ênhệnhàchứct r áchđểbáocáovềvụt ấncông. Những bướcbạn nên l àm để gi ảm r ủir o và đốiphó vớisự t ấn công t r ong t ương lai : o Xâydựngvàt r aoquyềnchonhóm đốiphóvớisựt ấncông o Thihànhki ểm t r aanni nhvàđánhgi ámứcđộr ủir ocủahệt hống o Càiđặtcácphầnmềm ant oànhệt hốngphùhợpđểgi ảm bớtr ủir o o Nângcaokhảnăngcủamì nhvềant oànmáyt í nh GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 13 Cácbướcki ểm t r ađểgi úp bạn bảo đảm t í nh hi ệu quảcủahệt hống an ni nh o Ki ểm t r ahệt hống an ni nh mớicàiđặt:chắcchắn t í nh đúng đắn củachí nh sách anni nhhi ệncóvàcấuhì nhchuẩncủahệt hống. o Ki ểm t r at ự độngt hườngxuyên:đểkhám phásự “ vi ếngt hăm”củanhữnghacker haynhữnghànhđộngsait r áicủanhânvi ênt r ongcôngt y. o Ki ểm t r a ngẫu nhi ên:để ki ểm t r a chí nh sách an ni nh và những t i êu chuẩn,hoặc ki ểm t r a sự hi ện hữu của những l ỗ hổng đã đượcpháthi ện ( chẳng hạn những l ỗiđược t hôngbáot ừnhàcungcấpphầnmềm) o Ki ểm t r ahằngđêm nhữngf i l equant r ọng:đểđánhgi ásự t oànvẹncủanhữngf i l e vàcơsởdữl i ệuquant r ọng o Ki ểm t r a cáct àikhoản ngườidùng:để pháthi ện cáct àikhoản không sử dụng, khôngt ồnt ại ,. . . o Ki ểm t r ađị nhkỳđểxácđị nht r ạngt háihi ệnt ạicủahệt hốnganni nhcủabạn Thi ếtl ập t ường l ửaIpt abl eschoLi nux Cấu hì nh Tabl es Vi ệccàiđặtI pt abl esl àmộtphần t r ongvi ệccàiđặtRedHatban đầu.Nguyên bản khởit ạo t ì m ki ếm sự t ồn t ạicủa f i l eI pt abl es,r ul es/etc/sysconfig/iptables, Và nếu chúng đã t ồn t ạii pt abl eskhởiđộng vớicầu hì nh đã đượcchỉr õ.Mộtkhiser ver nàyl à gởimai lvà nhận mai l ,cấu hì nh I pt abl esnên cho phép những kếtnốit ừ đầu vào sendmai lđếnbấtkỳnơiđâu.Ngườiquảnt r ịhệt hốngsẽchỉsử dụngshht ừ bên t r ongcácmáy,đặcbi ệtl àMI S.I pt abl esr ul essẽcàiđặtđểchophépcáckếtnốishh t ừ 2 MI S.Pi ng I CMPsẽchophép bấtkỳđâu.Không cócông nàokhácchophép kết nốiđếnngườiphụcvụnày.Đâyl àmứcbổsungchovi ệcphòngt hủcủaser vert r ong t r ường hợp Fi r ewal lđược t hoã hi ệp.Thêm vào đó l à vi ệc bảo vệ cho ssh sẽ được cungcấpbởicấuhì nhcácgóit cpbêndưới . Nhữngquyt ắcđểt hựchi ệncấuhì nhI pt abl esnhưsau: /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(1) /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT(2) /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT(3) /sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.200.0/24 -j ACCEPT(4) /sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.201.0/24 -j ACCEPT(5) /sbin/iptables -A INPUT -p udp --sport 53 -s 10.100.50.50 -j ACCEPT(6) /sbin/iptables -A INPUT -p udp -sport 53 -s 10.100.42.42 -j ACCEPT(7) /sbin/iptables -A INPUT -j LOG(8) /sbin/iptables -P INPUT DROP(9) ( 1)Chophépnhữngkếtnốil i ênquanvàđãt hi ếtl ậpđếnser ver ( 2)Chophépcáchostkhácpi ngđếnser versendmai d ( 3)ChophépkếtnốiSMTPđếnser ver ( 4) ,( 5)Chophépkếtnốissht ừ2MÍ( subnet s) ( 6) ,( 7)Cho phép ngườiphụcvụ t ên DNS cho box sendmai d để cung cấp gi ảipháp DNS.Nếubạncóhơnmộtdomai n–DNS,t hìt hêm mộtdòngchomỗiDNS. ( 8)l ogbấtkỳkếtnốinàocốgắngmànókhôngđặcbi ệtchophép ( 9)Càidặtchí nhsáchmặcđị nhchobảngI NPUTt oDROP Tấtcả cáckếtnốiđặcbi ệtkhông chophép sẽbịr ớt .Chương t r ì nh l osent r ysẽđược cấu hì nh đểđị nh r ằng bấtkỳdòng nào l og cũng như sự xâm phạm an t oàn.Đểgi ữ đượccấuhì nhquar eboot ,t aphảichạyI pt abl es- Save.Chạyl ệnhnhưsau: /sbin/iptables-save > /etc/sysconfig/iptables Khihệt hốngkhởiđộngl ên,f i l eI pt abl essẽđượcđọcvàcấuhì nhhi ệudụng. GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 14 I pt abl esl à mộtt ường l ửa ứng dụng l ọcgóidữ l i ệu r ấtmạnh,mi ễn phívà có sẵn t r ên Li nux. .Net f i l t er / I pt abl es gồm 2 phần l à Net f i l t erở t r ong nhân Li nux và I pt abl es nằm ngoài nhân.I pt abl eschị ut r ách nhi ệm gi ao t i ếp gi ữa ngườidùng và Net f i l t erđể đẩy các l uậtcủa ngườidùng vào cho Net f i l erxử l í .Net f i l t ert i ến hành l ọccácgóidữ l i ệu ở mức I P.Net f i l t erl àm vi ệct r ựct i ếpt r ongnhân,nhanhvàkhôngl àm gi ảm t ốcđộcủahệt hống. Cáchđổiđị achỉI Pđộng( dynami cNAT) Tr ướckhiđivàophầnchí nh,mì nhcầngi ớit hi ệuvớicácbạnvềcôngnghệđổiđị achỉNAT độngvàđónggi ảI PMasquer ade.Hait ừ nàyđượcdùngr ấtnhi ều t r ongI pt abl esnênbạn phảibi ết .Nếubạnđãbi ếtNATđộngvàMasquer ade,bạncót hểbỏquaphầnnày. NAT động l à mộtt r ong những kĩt huậtchuyển đổiđị a chỉI P NAT ( Net wor k Addr ess Tr ansl at i on) .Cácđị achỉI PnộibộđượcchuyểnsangI PNATnhưsau: NAT Rout er đảm nhận vi ệc chuyển dãy I P nộibộ 169. 168. 0. x sang dãy I P mới 203. 162. 2. x.Khicó góil i ệu vớiI P nguồn l à 192. 168. 0. 200 đến r out er ,r out ersẽ đổiI P nguồnt hành203. 162. 2. 200sauđómớigởir angoài .Quát r ì nhnàygọil àSNAT( Sour ceNAT,NATnguồn) .Rout erl ưudữl i ệut r ongmộtbảnggọil àbảngNATđộng.Ngượcl ại ,khi cómộtgóit ừl i ệu t ừ gởit ừ ngoàivàovớiI Pđí ch l à203. 162. 2. 200,r out ersẽcăn cứ vào bảng NAT động hi ện t ạiđể đổiđị a chỉđí ch 203. 162. 2. 200 t hành đị a chỉđí ch mớil à 192. 168. 0. 200.Quá t r ì nh này gọil à DNAT ( Dest i nat i on-NAT,NAT đí ch) .Li ên l ạc gi ữa 192.168.0.200 và 203.162.2.200 là hoàn t oàn t r ong suốt( t r anspar ent )qua NAT r out er . NAT r out er t i ến hành chuyển t i ếp ( f or war d) gói dữ l i ệu t ừ 192. 168. 0. 200 đến 203. 162. 2. 200vàngượcl ại . GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 15 Cách đóng gi ảđị achỉIP (masquer ade) Đâyl àmộtkĩt huậtkháct r ongNAT. NAT Rout erchuyển dãy I P nộibộ 192. 168. 0. x sang mộtI P duy nhấtl à 203. 162. 2. 4 bằngcáchdùngcácsốhi ệucổng( por t -number )khácnhau.Chẳnghạnkhicógóidữ l i ệu I P vớinguồn 192. 168. 0. 168: 1204, đí ch 211. 200. 51. 15: 80 đến r out er ,r out er sẽ đổi nguồn t hành 203. 162. 2. 4: 26314 và l ưu dữ l i ệu này vào một bảng gọi l à bảng masquer ade động.Khicó mộtgóidữ l i ệu t ừ ngoàivào vớinguồn l à 221. 200. 51. 15: 80, đí ch203. 162. 2. 4: 26314đếnr out er ,r out ersẽcăncứvàobảngmasquer adeđộnghi ệnt ại để đổiđí ch t ừ 203. 162. 2. 4: 26314 t hành 192. 168. 0. 164: 1204.Li ên l ạc gi ữa các máy t r ongmạngLAN vớimáykhácbênngoàihoànt oànt r ongsuốtquar out er Cấu t r úccủaIpt abl es I pt abl es được chi al àm 4 bảng ( t abl e) :bảng f i l t erdùng để l ọc góidữ l i ệu,bảng nat dùngđểt haot ácvớicácgóidữ l i ệuđượcNATnguồnhayNATđí ch,bảngmangl edùngđể t hay đổicáct hông số t r ong góiI P và bảng connt r ack dùng để t heo dõicáckếtnối .Mỗi t abl egồm nhi ềumắcxí ch( chai n) .Chai ngồm nhi ềul uật( r ul e)đểt haot ácvớicácgóidữ l i ệu.Rul ecót hểl àACCEPT( chấpnhậngóidữ l i ệu) ,DROP( t hảgói ) ,REJ ECT( l oạibỏgói ) hoặct ham chi ếu( r ef er ence)đếnmộtchai nkhác. Quát r ì nh chuyển góidữ l i ệu quaNet f i l t er Góidữ l i ệu ( packet )chạy t r ên chạy t r ên cáp,sau đó đivào car d mạng ( chẳng hạn như et h0) .Đầut i ênpacketsẽquachai nPREROUTI NG ( t r ướckhiđị nht uyến) .Tạiđây,packet cót hểbịt hayđổit hôngsố( mangl e)hoặcbịđổiđị achỉI Pđí ch( DNAT) .Đốivớipacketđi vàomáy,nósẽquachai nI NPUT.Tạichai nI NPUT,packetcót hểđượcchấpnhậnhoặcbị hủy bỏ.Ti ếp t heo packetsẽ đượcchuyển l ên cho cácứng dụng ( cl i ent / ser ver )xử l ívà t i ếp t heo l à đượcchuyển r a chai n OUTPUT.Tạichai n OUTPUT,packetcó t hể bịt hay đổi các t hông số và bịl ọc chấp nhận r a hay bịhủy bỏ.Đốivớipacketf or war d qua máy, packetsau khir ờichai n PREROUTI NG sẽ qua chai n FORWARD.Tạichai n FORWARD,nó cũng bịl ọcACCEPT hoặcDENY.Packetsau khiquachai n FORWARD hoặcchai n OUTPUT sẽđếnchai nPOSTROUTI NG ( saukhiđị nht uyến) .Tạichai nPOSTROUTI NG,packetcót hể đượcđổiđị a chỉI P nguồn ( SNAT)hoặcMASQUERADE.Packetsau khir a car d mạng sẽ đượcchuyểnl êncápđểđiđếnmáyt í nhkháct r ênmạng. GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 16 Cáct ham sốdòngl ệnht hườnggặpcủaI pt abl es 1.Gọit r ợ gi úp Đểgọit r ợgi úpvềI pt abl es,bạngõl ệnh$ man iptables hoặc$ iptables --help.Chẳnghạn nếubạncầnbi ếtvềcáct ùychọncủa match limit,bạngõl ệnh$ iptables -m limit --help. 2.Cáct ùychọn đểchỉđị nh t hông số - chỉđị nht ênt abl e:-t,vídụ-t filter, -t nat,. .nếukhôngchỉđị nht abl e,gi á t r ịmặcđị nhl àf i l t er - chỉđi nhl oạigi aot hức:-p,vídụ-p tcp, -p udp hoặc-p ! udp đểchỉ đị nhcácgi aot hứckhôngphảil àudp - chỉđị nhcar dmạngvào:-i,vídụ:-i eth0, -i lo - chỉđị nhcar dmạngr a:-o,vídụ:-o eth0, -o pp0 - chỉđị nhđị achỉI Pnguồn:-s<đị a_chỉ _i p_nguồn>,vídụ:-s 192.168.0.0/24 ( mạng 192. 168. 0với24bí tmạng) ,-s 192.168.0.1-192.168.0.3 (các IP 192.168.0.1, 192.168.0.2, 192.168.0.3). - chỉđị nhđị achỉI Pđí ch:-d<đị a_chỉ _i p_đí ch>,t ươngt ựnhư-s - chỉđị nhcổngnguồn:--spor t,vídụ:--sport 21 ( cổng21) ,--sport 22:88 ( cáccổng22. .88) ,--sport :80 ( cáccổng<=80) ,--sport 22: ( cáccổng>=22) - chỉđị nhcổngđí ch:--dpor t,t ươngt ựnhư--sport 3.Cáct ùychọn đểt haot ácvớichai n -t ạochai nmới :i pt abl es-N - xóahếtcácl uậtđãt ạot r ongchai n:i pt abl es-X - đặtchí nhsáchchocácchai n`bui l t -in` (INPUT, OUTPUT & FORWARD): iptables -P ,vídụ:iptables -P INPUT ACCEPT đểchấpnhậncácpacket vào chain INPUT -l i ệtkêcácl uậtcót r ongchai n:i pt abl es-L - xóacácl uậtcót r ongchai n( f l ushchai n) :i pt abl es-F -r esetbộđếm packetvề0:i pt abl es-Z 4.Cáct ùychọn đểt haot ácvớil uật -t hêm l uật :-A (append) - xóal uật :-D (delete) -t hayt hếl uật :-R (replace) - chènt hêm l uật :-I (insert) Mì nhsẽchovídụmi nhhọavềcáct ùychọnnàyởphầnsau. Phânbi ệtgi ữaACCEPT,DROPvàREJECTpacket - ACCEPT:chấpnhậnpacket - DROP:t hảpacket( khônghồiâm choclient) - REJ ECT:l oạibỏpacket( hồiâm chocl i entbằngmộtpacketkhác) Vídụ: # iptables -A INPUT -i eth0 --dport 80 -j ACCEPT chấpnhậncácpacketvàocổng80t r ên car dmạnget h0 GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 17 # iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP t hảcácpacketđếncổng23dùng gi aot hứcTCPt r êncar dmạnget h0 # iptables -A INPUT -i eth1 -s ! 10.0.0.1-10.0.0.5 --dport 22 -j REJECT --reject-with tcpreset gởigóiTCPvớicờRST=1chocáckếtnốikhôngđếnt ừdãyđị achỉI P10. 0. 0. 1. . 5 t r êncổng22,car dmạnget h1 # iptables -A INPUT -p udp --dport 139 -j REJECT --reject-with icmp-port-unreachable gởigóiI CMP`por t -unr eachabl e`chocáckếtnốiđếncổng139,dùnggi aot hứcUDP Phân bi ệtgi ữaNEW ,ESTABLISHED vàRELATED - NEW:mởkếtnốimới - ESTABLI SHED:đãt hi ếtl ậpkếtnối - RELATED:mởmộtkếtnốimớit r ongkếtnốihi ệnt ại Vídụ: # iptables -P INPUT DROP đặtchí nhsáchchochai nI NPUTl àDROP # iptables -A INPUT -p tcp --syn -m state --state NEW -j ACCEPT chỉchấpnhậncácgói TCPmởkếtnốiđãsetcờSYN=1 # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT khôngđóngcác kếtnốiđangđượct hi ếtl ập, đồngt hờicũngchophépmởcáckếtnốimớit r ongkếtnối đượct hi ếtl ập # iptables -A INPUT -p tcp -j DROP cácgóiTCPcònl ạiđềubịDROP Tùychọn --limit, --limit-burst --limit-bur st :mứcđỉ nh,t í nhbằngsốpacket --l i mi t :t ốcđộkhichạm mứcđỉ nh,t í nhbằngsốpacket / s( gi ây) ,m( phút ) ,d( gi ờ)hoặc h(ngày) Mì nhl ấyvídụcụt hểđểbạndễhi ểu: # iptables -N test # iptables -A test -m limit --limit-burst 5 --limit 2/m -j RETURN # iptables -A test -j DROP # iptables -A INPUT -i lo -p icmp --icmp-type echo-request -j test Đầu t i ên l ệnh iptables -N test để t ạo mộtchai n mớit ên l àt est( t abl e mặc đị nh l à f i l t er ) .Tùy chọn -A test ( append)để t hêm l uậtmớivào chai nt est .Đốivớichai nt est , mì nh gi ớihạn l i mi t -bur stở mức 5 gói ,l i mi tl à 2 gói / phút ,nếu t hỏa l uậtsẽ t r ở về ( RETURN)còn không sẽbịDROP.Sau đó mì nh nốit hêm chai nt estvào chai nI NPUT với t ùychọncar dmạngvàol àl o,gi aot hứci cmp,l oạii cmpl à echo-r equest .Luậtnàysẽgi ới hạn cácgóiPI NG t ớil ol à2 gói / phútsau khiđãđạtt ới5 gói . Bạn t hử pi ng đến l ocal host xem sao? $ ping -c 10 localhost Chỉ5 góiđầu t r ong phútđầu t i ên đượcchấp nhận,t hỏal uậtRETURN đó.Bâygi ờđãđạt đến mứcđỉ nh l à5 gói,l ậpt ứcI pt abl essẽgi ớihạn PI NG t ớil ol à2 góit r ên mỗiphútbất chấpcóbaonhi êugóiđượcPI NG t ớil ođinữa.Nếut r ongphútt ớikhôngcógóinàoPI NG t ới ,I pt abl essẽgi ảm l i mi tđi2góit ứcl àt ốcđộđangl à2gói / phútsẽt ăngl ên4gói / phút . Nếu t r ong phútnữa không có góiđến,l i mi tsẽ gi ảm đi2 nữa l àt r ở về l ạit r ạng t háicũ chưađạtđếnmứcđỉ nh5 gói .Quát r ì nhcứ t i ếpt ụcnhư vậy.Bạnchỉcầnnhớđơngi ảnl à khiđã đạtt ớimứcđỉ nh,t ốcđộ sẽ bịgi ớihạn bởit ham số--l i mi t .Nếu t r ong mộtđơn vị t hờigi an t ớikhôngcógóiđến,t ốcđộsẽt ăngl ên đúngbằng --l i mi tđến khit r ởl ạit r ạng t háichưađạtmức--limit-burst thì thôi. Đểxem cácl uậtt r ongI pt abl esbạn gõl ệnh $ i pt abl es-L -nv (-Lt ấtcảcácl uậtt r ongt ất cảcácchai n,t abl emặcđị nh là filter, -nl i ệtkêởdạngsố,vđểxem chit i ết ) # iptables -L -nv Chain INPUT (policy ACCEPT 10 packets, 840 bytes) pkts bytes target prot opt in out source destination 10 840 test icmp -- lo * 0.0.0.0/0 0.0.0.0/0 icmp type 8 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 18 pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 15 packets, 1260 bytes) pkts bytes target prot opt in out source destination Chain test (1 references) pkts bytes target prot opt in out source destination 5 420 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5 5 420 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 # iptables -Z reset counter # iptables -F f l ushl uật # iptables -X xóachai nđãt ạo Redi rectcổng I pt abl eshổt r ợt ùychọn-j REDIRECT chophépbạnđổihướngcổngmộtcáchdễdàng.Ví dụ như SQUI D đang l i st en t r ên cổng 3128/ t cp.Để r edi r ectcổng 80 đến cổng 3128 này bạnl àm nhưsau: # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 Lưuý:t ùychọn-j REDIRECT cho có trong chain PREROUTING SNAT & MASQUERADE Để t ạo kếtnối`t r anspar ent ` gi ữa mạng LAN 192. 168. 0. 1 vớiI nt er netbạn l ập cấu hì nh chot ườngl ửaI pt abl esnhưsau: # echo 1 > /proc/sys/net/ipv4/ip_forward chophépf or war dcácpacketquamáychủ đặt Iptables # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 210.40.2.71 đổiI Pnguồn chocácpacketr acar dmạnget h0 l à210. 40. 2. 71.Khinhậnđượcpacketvàot ừI nt er net , I pt abl essẽt ự động đổiI Pđí ch 210. 40. 2. 71 t hành I Pđí ch t ương ứng củamáyt í nh t r ong mạngLAN 192. 168. 0/ 24. Hoặcbạncót hểdùngMASQUERADEt haychoSNATnhưsau: # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ( MASQUERADEt hườngđượcdùngkhikếtnốiđếnI nt er netl àpp0vàdùngđị achỉI P động) GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 19 DNAT Gi ảsửbạnđặtcácmáychủPr oxy,Mai lvàDNS t r ongmạngDMZ.Đểt ạokếtnốitrong suốtt ừI nt er netvàocácmáychủnàybạnl ànhưsau: # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination 192.168.1.3 # iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to-destination 192.168.1.4 Lập cấu hì nh Ipt abl escho máychủ phụcvụ W eb Phầnnàymì nhs ẽt r ì nhbàyquav ídục ụt hểvàc hỉhướngdẫnc ácbạnl ọcpac k etvào. Các packet `f or war d`và' out put 'bạnt ựl àm nha.Gi ảs ửnhưmáyc hủphụcv ụWebk ếtnốimạngt r ựct i ếpvào I nt er netquac ar dmạnget h0,đị ac hỉI Pl à1. 2. 3. 4.Bạnc ầnl ậpc ấuhì nht ườngl ửac hoI pt abl esđáp ứngc ácy êuc ầus au: -c ổngTCP80( c hạyapac he)mởc homọingườit r uyc ậpweb -c ổng21( c hạypr of t pd)c hỉmởc howebmas t er( dùngđểupl oadf i l el ênpubl i c _ht ml ) -c ổng22( c hạyopens s h)c hỉmởc hoadmi n( c ungc ấps hel l`r oot `c hoadmi nđểnângc ấp&pat c hl ỗi c hos er v erk hic ần) -c ổngUDP53( c hạyt i ny dns )đểphụcv ụt ênmi ền( đâyc hỉl àv ídụ) -c hỉc hấpnhậnI CMPPI NGt ớiv ớic ode=0x 08,c ácl oạipac k etc ònl ạiđềubịt ừc hối . Bước1:t hi ếtl ậpcáct ham sốchonhân echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time echo 0 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_source_route tcp_syncooki es=1bậtchứcnăngchốngDoS SYN quasyncooki ecủaLi nux t cp_f i n_t i meout =10đặtt hờigi ant i meoutchoquát r ì nhđóngkếtnốiTCPl à10gi ây t cp_keepal i ve_t i me=1800đặtt hờigi angi ữkếtnốiTCPl à1800gi ây ... Cáct ham sốkhácbạncót hểxem chit i ếtt r ongt àil i ệuđikèm củanhânLi nux. Bước2: nạpcácmôđuncầnt hi ếtchoI pt abl es ĐểsửdụngI pt abl es,bạncầnphảinạpt r ướccácmôđuncầnt hi ết .Vídụnếubạnmuốn dùngchứcnăngLOG t r ongI pt abl es,bạnphảinạpmôđuni pt _LOG vàot r ướcbằngl ệnh# modprobe ipt_LOG. GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương