Luận văn: An toàn và bảo mật
trên hệ điều hành Linux
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 1
Gi
ớit
hi
ệu
Ngày nay,t
r
ên mạng I
nt
er
netkỳ di
ệu,ngườit
a đang t
hực hi
ện
hàngt
ỷđôl
agi
aodị
ch mỗingày(t
r
ên dưới2 ngàn t
ỷUSD mỗinăm)
.
Mộtkhốil
ượnghànghoávàt
i
ềnbạckhổngl
ồđangđượct
ỷt
ỷcácđi
ện
t
ửt
íhon chuyển đivànót
hựcsự l
àmi
ếng mồibéobởchonhững t
ay
ăn t
r
ộm hay khủng bố có có “t
r
it
hức”
. Sự phátt
r
i
ển nhanh chóng
củamạngmáyt
í
nhl
àđi
ềut
ấtyếu.Hàngngàycókhôngbi
ếtbaonhi
êu
ngườit
ham gi
a vào hệ t
hống t
hông t
i
nt
oàn cầu mà chúng t
a gọil
à
I
nt
er
net
.Những công t
yl
ớn,các doanh nghi
ệp,các t
r
ường đạihọc
cùng như cáct
r
ường phổ t
hông ngày càng t
ăng và hơn cả t
hế có r
ất
r
ấtnhi
ều ngườiđang nốimạng t
r
ựct
uyến suốt24/
24 gi
ờ mỗingày,
bảyngàyt
r
ongt
uần.Tr
ongbốicảnhmộtl
i
ênmạngt
oàncầuvớihàng
chụct
r
i
ệungườisử dụngnhư I
nt
er
nett
hìvấnđềant
oànt
hôngt
i
nt
r
ở
nên phứct
ạp vàcấp t
hi
ếthơn.Dođómộtcâu hỏikhông mấydễchị
u
đặtr
al
à:l
i
ệumạngmáyt
í
nhcủachúngt
asẽphảibịt
ấncôngbấtcứ
lúc nào?
Sự bảovệcủabấtkỳmạngmáyt
í
nhnàođầut
i
êncũngl
àf
i
rewall
và phần mền nguồn mở như Li
nux.Và câu chuyện về an t
oàn mạng
không cóhồikếtt
húc.Vi
ệcgi
ữ an t
oàn mộthệt
hống kéot
heochúng
t
aphảicónhưngki
ếnt
hứct
ốtvềhệđi
ềuhành,mạngTCP/
I
Pcơsởvà
quản t
r
ịdị
ch vụ.Cùng vớisự gợiý của gi
á vi
ên hướng dẫn và t
ầm
quan t
r
ọng của vi
ệcan t
oàn t
hông t
i
nl
i
ên mạng,ở đây chúng t
ôichỉ
t
r
ì
nhbàymộtcácht
ổngquannhữngvùngnơiLi
nuxcót
hểvàcầnphải
đượcgi
ữ an t
oàn,những t
hêm vào đó l
àcácl
ệnh cơ bản,những ki
nh
ngi
ệm t
r
ongnguyênt
ắcant
oànvàbảovệhệt
hốngmạng.
Nhóm si
nhvi
ênt
hựchi
ện:
- NguyễnHuyChương
- LêThịHuyềnTr
ang
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 2
I.
An t
oàn chocácgi
aodị
ch t
rên mạng
Có r
ấtnhi
ều dị
ch vụ mạng t
r
uyền t
hống gi
ao t
i
ếp t
hông qua gi
ao t
hứcvăn bản
không mã hoá,như TELNET,FTP,RLOGI
N,HTTP,POP3.Tr
ong các gi
ao dị
ch gi
ữa
ngườidùng vớimáy chủ,t
ấtcả cáct
hông t
i
n dạng góiđượct
r
uyền qua mạng dưới
hì
nht
hứcvănbảnkhôngđượcmãhoá.Cácgóit
i
nnàycót
hểdễdàngbịchặnvàsao
chépởmộtđi
ểm nàođót
r
ênđườngđi
.Vi
ệcgi
ảimãcácgóit
i
nnàyr
ấtdễdàng,cho
phép l
ấy đượccáct
hông t
i
n như t
ên ngườidùng,mậtkhẩu và cáct
hông t
i
n quan
t
r
ọng khác.Vi
ệcsử dụng cácgi
ao dị
ch mạng đượcmã hoá khi
ến cho vi
ệcgi
ảimã
t
hông t
i
nt
r
ởnên khóhơn vàgi
úp bạn gi
ữ an t
oàn cáct
hông t
i
n quan t
r
ọng.Cáckỹ
t
huậtt
hôngdụnghi
ệnnayl
àI
PSec,SSL,TLS,SASLvàPKI
.
Quản t
r
ịt
ừ xa l
à mộtt
í
nh năng hấp dẫn của cáchệ t
hống UNI
X.Ngườiquản t
r
ị
mạngcót
hểdễdàngt
r
uynhậpvàohệt
hốngt
ừ bấtkỳnơinàot
r
ênmạngt
hôngqua
cácgi
ao t
hứct
hông dụng như t
el
net
,r
l
ogi
n.Mộtsố công cụ quản t
r
ịt
ừ xa đượcsử
dụng r
ộng r
ãinhư l
i
nuxconf
,webmi
n cũng dùng gi
ao t
hứckhông mãhoá.Vi
ệct
hay
t
hết
ấtcảcácdị
chvụmạngdùnggi
aot
hứckhôngmãhoábằnggi
aot
hứccómãhoá
l
àr
ấtkhó.Tuynhi
ên,bạn nên cung cấp vi
ệct
r
uycập cácdị
ch vụ t
r
uyền t
hống như
HTTP/
POP3t
hôngquaSSL,cũngnhưt
hayt
hếcácdị
chvụt
el
net
,r
l
ogi
nbằngSSH.
Nguyên t
ắcbảovệhệt
hống mạng
1. Hoạchđị
nhhệt
hốngbảovệmạng
Tr
ong môit
r
ường mạng,phảicó sự đảm bảo r
ằng những dữ l
i
ệu có t
í
nh bí
mậtphảiđượccấtgi
ữr
i
êng,saochochỉcóngườicót
hẫm quyềnmớiđượcphépt
r
uy
cậpchúng.Bảomậtt
hôngt
i
nl
àvi
ệcl
àm quant
r
ọng,vàvi
ệcbảovệhoạtđộngmạng
cũngcót
ầm quant
r
ongkhôngkém.
Mạng máy t
í
nh cần đượcbảo vệ an t
oàn,t
r
ánh khỏinhững hi
ểm hoạ do vô
t
ì
nh hay cố ý.
Tuy nhi
ên mộtnhà quản t
r
ịmạng cần phảibi
ếtbấtcứ cáigìcũng có
mức độ,không nên t
háiquá.Mạng không nhaat
st
hi
ếtphảiđược bảo vệ quá cẩn
mật
,đếnmứcngườidùngl
uôngặpkhókhănkhit
r
uynhậpmạngđểt
hựchi
ệnnhi
ệm
vụ của mì
nh.Không nên để họ t
hấtvọng khicố gắng t
r
uy cập cá t
ập t
i
n của chí
nh
mì
nh.
Bốnhi
ểm hoạchí
nhđốivớisựanni
nhcủamạngl
à:
o Tr
uynhậpmạngbấthợppháp
o Sựcant
hi
ệpbằngphươngt
i
ệnđi
ệnt
ử
o Kẻt
r
ộm
o Taihoạvôt
ì
nhhoặccóchủý
x
Mức độ bảo mật:
Tuỳ t
huộc vào dạng môit
r
ường t
r
ong đó
mạngđanghoạtđộng
x
Chí
nh sách bảo mật: Hệ t
hống mạng đòihỏimộtt
ập hợp
nguyên t
ắc,đi
ều l
uậtvà chí
nh sách nhằm l
oạit
r
ừ mọir
ủir
o.Gi
úp hướng dẫn vược
qua các t
hay đổivà những t
ì
nh huống không dự ki
ến t
r
ong quá t
r
ì
nh phátt
r
i
ển
mạng.
Sựđềphòng:đềphòngnhữngt
r
uycậpbấthợppháp
Sự chứng t
hực:t
r
ước khit
r
uy nhập mạng,bạn gõ đúng t
ên đăng nhập và
passwor
dhợpl
ệ.
x
Đàot
ạo:Ngườidùngmạngđượcđàot
ạochu đáosẽcóí
tkhả
năngvôýpháhuỷmộtt
àinguyên
x
Ant
oànchot
hi
ếtbị
:Tuỳt
huộcở:quymôcôngt
y,độbímật
dữ l
i
ệu,cáct
àinguyênkhảdụng.Tr
ongmôit
r
ườngmạngnganghàng,cót
hểkhông
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 3
có chí
nh sách bảo vệ phàn cứng có t
ổ chứcnào.Ngườidùng chị
ut
r
ách nhi
ệm đảm
bảoant
oànchomáyt
í
nhvàdữl
i
ệucủar
i
êngmì
nh.
2. Môhì
nhbảomật
Haimôhì
nhbảomậtkhácnhauđãphátt
r
i
ển,gi
úpbảovệant
oàndữ l
i
ệuvà
t
àinguyênphầncứng:
x
Bảo vệt
àinguyên dùng chung bằng mậtmã:gắn mậtmã cho
t
ừngt
àinguyêndùngchung
x
Tr
uycập khiđượcsự chophép :l
àchỉđị
nh mộtsốquyền nhất
đị
nh t
r
ên cơ sở ngườidùng,ki
ểm t
r
at
r
uy nhập t
àinguyên dùng chung căn cứ vào
CSDL user-access trên máy server
3. Nângcaomứcđộbảomật
x
Ki
ểm t
oán:Theodõihoạtđộngt
r
ênmạnht
hôngquat
àikhoản
ngườidùng,ghil
ạinhi
ều dạng bi
ến cố chọn l
ọcvào sổ nhậtký bảo mậtcủa máy
ser
ver
.Gi
úp nhận bi
ếtcáchoạtđộng bấthợp l
ệhoặckhông chủ đị
nh.Cung cấp các
t
hôngt
i
nvềcáchdùngt
r
ongt
ì
nhhuốngcóphòngbannàođót
hunphísử dụngmột
sốt
àinguyên nhấtđị
nh,vàcần quyếtđị
nh phícủanhững t
àinguyên nàyt
heocách
t
hứcnàođó.
x
Máyt
í
nh không đĩ
a:
Không có ổ đĩ
a cứng và ổ mềm.Có t
hểt
hi
hànhmọivi
ệnhư máyt
í
nht
hôngt
hường,ngoạit
r
ừ vi
ệcl
ưut
r
ữ dữl
i
ệut
r
ênđĩ
acứng
hayđĩ
amềm cụcbộ.Không cần đĩ
akhởiđộng.Cókhả năng gi
aot
i
ếp vớiser
vervà
đăng nhập nhờ vào mộtcon chi
p ROM khởiđộng đặcbi
ệtđượccàit
r
ên car
d mạng.
Khibậtmáy t
í
nh không đĩ
a,chi
p ROM khởiđộng phátt
í
n hi
ệu cho ser
verbi
ếtr
ằng
nó muốn khởiđộng.Ser
vert
r
ảl
ờibằng cácn t
ảiphần mềm khởiđộng vào RAM của
máyt
í
nh không đĩ
avàt
ự đọng hi
ển t
hịmàn hì
nh đăngnhập .Khiđómáyt
í
nh được
kếtnốivớimạng.
x
Mãhoádữ l
i
ệu: Ngườit
amãhoát
hôngt
i
nsangdạngmậtmã
bằng mộtphương pháp nào đó sao cho đảm bảo t
hông t
i
n đó không t
hể nhận bi
ết
đượcnếu nơinhận không bi
ếtcách gi
ảimã.Mộtngườisử dụng haymộthostcót
hể
sửdụngt
hôngt
i
nmàkhôngsợảnhhưởngđếnngườisửdụnghaymộthostkhác.
x
Chốngvi
r
us:
- Ngănkhôngchovi
r
ushoạtđộng
- Sữachữahưhạiởmộtmứcđộnàođó
- Chặnđứngvi
r
ussaukhinóbộcphát
Ngăn chặn t
ì
nh t
r
ạng t
r
uy cập bấthợp pháp l
à mộtt
r
ong những gi
ảipháp
hi
ệu nhi
ệm nhấtđểt
r
ánh vi
r
us.Dobi
ện phápchủ yếu l
àphòngngừa,nên nhàquản
t
r
ịmạngphảibảođảm saochomọiyếut
ốcầnt
hi
ếtđềuđãsẵnsàng:
- Mậtmãđểgi
ảm khảnăngt
r
uycậpbấthợppháp
- Chỉđị
nhcácđặcquyềnt
hí
chhợpchomọingườidùng
- Cácpr
of
i
l
e để t
ổ chứcmôit
r
ường mạng cho ngườidùng có
t
hểl
ậpcấu hì
nh vàduyt
r
ìmôit
r
ường đăngnhập,baogồm
các kếtnốimạng và những khoản mục chương t
r
ì
nh khi
ngườidùngđăngnhập.
- Mộtchí
nhsáchquyếtđị
nhcót
hểt
ảiphầnmềm nào.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 4
Ki
ến t
rúcbảo mậtcủahệt
hống mạng
1) Cácmứcant
oànt
hôngt
i
nt
r
ênmạng
Không có đi
ều gìgọil
à hoàn hảo t
r
ong vi
ệc an t
oàn hệ t
hống mạng như
Li
nux.Nóđượct
hi
ếtkếđểl
àmộthệđi
ều hành nốimạng vàsự phátt
r
i
ển mạnh mẽ
củanóchỉđểt
ậpt
r
ungvàosự ant
oàn.Hệđi
ềuhànhmãnguồnmởl
àcáigìmàcho
phép ngườiquản t
r
ịmạng và những ngườiphátt
r
i
ển,những ngườidùng t
r
i
ền mi
ên
t
heo dõivà ki
ểm t
oán những gìdễ bịt
ấn công.Ở đấy không có gìhuyền bìvề an
t
oàn t
hông t
i
n.Thậtl
àt
ốtnếu như cáct
àinguyên đượcbảomậtvàđượcbảovệt
ốt
t
r
ướcbấtkỳsựxâm phạm vôt
ì
nhhaycốý.
Ant
oànhaybảomậtkhôngphảil
àmộtsảnphẩm,nócũngkhôngphảil
àmột
phầnmền.Nól
àmộtcáchnghĩ
.Sự ant
oàncót
hểđượckhởiđộngvàdừngnhư một
dị
ch vụ.Bảo mậtl
à cách an t
oàn.Tàil
i
ệu bảo mậtl
àt
ưl
i
ệu mà những t
hành vi
ên
củat
ổchứcmuốnbảovệ.Tr
áchnhi
ệm củavi
ệcbảomậtl
àngườiquảnt
r
ịmạng.
Sự ant
oànmạngcóvait
r
òquant
r
ọngt
ốicao.Ant
oànphảiđượcđảm bảot
ừ
những nhân t
ố bên ngoàiker
nel
,t
ạiphần cốtl
õicủa Li
nux ser
ver
.Cơ chế bảo mật
cần phảibaogồm cấu hì
nh mạngcủaSer
ver
,chu viứng dụng củat
ổchứcmạng và
t
hậm chícủa những cl
i
entt
r
uy nhập mạng t
ừ xa.Có vàicách mà t
a cần phảixem
xét:
o Sựant
oànvậtl
ý
o Ant
oànhệt
hống
o Ant
oànmạng
o Ant
oàncácứngdụng
o Sựt
r
uynhậpt
ừxavàvi
ệcchầpnhận
1. Sựant
oànvậtl
ý
Đi
ều nàyl
àcơbản vàgi
ám sátđượct
ốtkhí
acạnh an t
oàn củahệđi
ều hành
Li
nux.Sự an t
oàn vậtl
ý bắtđầu vớimôit
r
ường xung quanh vídụ như đốivớicác
nhà cung cầp dị
ch vụ hãm hại
?Có nên khoá cáckhốidữ l
i
ệu l
ại
?Những ngườinào
đượcchấp nhận đượcvàot
r
ung t
âm dữ l
i
ệu.Vi
ệcbảovệt
hí
ch hợpl
àphảit
hựchi
ện
l
ạikhimuốnxâydựngmộtcàiđặtmớihaydichuyểndữl
i
ệuđếnmộtvịt
r
ímới
.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 5
2. Ant
oànhệt
hống
Sự an t
oàn hệt
hống baoquanh vi
ệcchọn phân phốihệđi
ều hành Li
nux,xây
dưngker
nel
,
t
ớisự ant
oànt
àikhoảnngườidùng,chophépt
r
uycậpt
hư mụct
ậpt
i
n,
mãhoásysl
og vàf
i
l
esyst
em.Cáct
ácvụ nàyđượchoàn t
hành t
r
ướckhidị
ch vụ nối
vào I
nt
er
net
.Vi
ệc chọn mộtphân phốinào t
hìt
uỳ t
huộc vào những nhu cầunhư
chí
nh sách đượcpháct
hảo t
r
ong cơ chế an t
oàn.Có mộtt
i
êu chuẩn để chọn một
phân phốinhưngnókhôngt
huộcphạm vicủabàinày.
Vi
ệcxâydựngmộtker
nelsẵn
cócóhail
ợit
hế:
o Nhữngopt
i
onant
oàncủanhânđượcxácđị
nhbởingườiquảnt
r
ịmạng
và ngườiquản t
r
ịmạng bi
ếtcáigìđượcxácđị
nh vào t
r
ong ker
nelvà t
ừ đây có t
hể
đồng t
hờinhận r
a nếu đi
ều đó nếu có.Phần nềm nguồn mở nóichung và hệ đi
ều
hànhLi
nuxnóir
i
êng,đặcbi
ệtcónhữngcảit
i
ếnđểdễdàngchongườisử dụngvàcó
nhữngt
i
ệní
chdễứngdụng.Chỉcầnupdat
et
r
ongRedHat
.
o Sựant
oàncáct
àikhoảngngườidùngcóvait
r
òt
ol
ớn.Cónhữngvùng
đượcvôhi
ệuhoá,nhữngt
àikhoảngkhônghoạtđộng,vôhi
ệuhoávi
ệct
r
uycậpđến
NFS l
ên gốc,hạn chếnhữngđăngnhậpvàot
r
ongmôit
r
ườngđi
ều ki
ển hệt
hống.
Mã
hoá f
i
l
e hệ t
hông sử dụng kỹ t
huậtmã hoá mà t
hường l
à phòng t
hủ cuốicùng cho
mạng.
Có haicách t
i
ếp cận chung:Hệ t
hống f
i
l
e mã hoá (
CFS) và Practical Privacy
Di
skDr
i
ver
(
PPDD)
.Hệ t
hống có t
hểđượct
heo dõivà t
r
ong Li
nux,hệ t
hống l
oggi
ng
đượcl
ogged t
r
ong t
i
ện í
ch sysl
og.Công cụ t
heo dõibao gồm swat
ch và l
ogcheck.
Swat
ch có công cụ t
hông báo t
hờigi
an t
hực,t
r
ong khil
ogcheckcung cấp mộtcông
cụ mà phátsi
nh những báo cáo đị
nh kỳ.Ki
ểm t
oán Passwor
d cũng có vait
r
ò sống
còn t
r
ong vi
ệcan t
oàn,bảomậthệt
hống t
r
ong khimốil
i
ên kếtyếu nhấtt
r
ong vi
ệc
ant
oànmạngl
àngườisửdụngvàvi
ệcl
ựachọncácmậtkhẩupasswor
d.
3. An toàn mạng
Ở đây l
i
ên quan đến vi
ệ kếtnốit
ừ Li
nux ser
vervào mạng.Cấu hì
nh dị
ch vụ
mạngvớisự ant
oàn ngàycàngkhókhăn chonhữngnhàquảnt
r
ịmạng. The xinetd
daemon cầnphảiđượcđị
nhhì
nht
ổchứcbảomật
.Lệnhnetstat Làmộtt
i
ệní
chmạnh
cho phép ngườiquản t
r
ịki
ểm t
r
at
ì
nh t
r
ạng cấu hì
nh mạng.Ki
ểm t
r
a mạng l
à đi
ều
cần t
hi
ết
củavi
ệcan t
oàn.Đi
ều nàyđảm bảor
ằng cơchếan t
oàn đãđượct
hựchi
ện
có hi
êu quả t
r
ong vi
ệc hoàn t
hành những yêu cầu bảo mật
.Đi
ều đó đạtđượcbởi
quyền t
hựchi
ện đến mạng của bạn.Cách t
i
ếp cận vi
ệc ki
ểm đị
nh mạng hi
ệu quả
nhấtsẽt
r
ongvait
r
òcủangườil
àm phi
ền.Cónhữngcôngcụki
ểm đị
nhcơsởvàhost
cơsở.
SATAN(Security Administrator's Tool for Analysing Networks), SAINT( Security
Administrator's Integrated Network Tool), SARA (Security Auditor's Research
Assi
st
ant
)l
à những công cụ t
ốtđể ki
ểm đị
nh cơ bản.SATAN được đầu t
i
ên công
nhậnnăm 1995,nóđượccôngnhậnđôngđảobởimãnguồnmở.
SAI
NT mạnh hơn SANAN,t
r
ong khiSARA l
à mộtmodulackage,t
ương t
ácvới
Nmap và Samba.Những cảit
i
ến gần đây nhấtl
à công cụ Nessus.Nessusl
à mi
ễn
phí
,nguồn mở,
đầy đủ nổibật
,công cụ ki
ểm t
oàn vẫn đượchỗ t
r
ợ cảit
i
ến cảit
i
ến
t
í
ch cực.
Nessusđivào2 t
hành phần :- Cl
i
ent
(
nessus)vàser
ver
(nesssus)
.Công cụ
Nmap cho ngườiquản t
r
ịgi
àu ki
nh nghi
ệm.MặtkhácNmap có sứcmạnh,công cụ
quétchongườicóki
nhnghi
ệm.Nóđượcsửdụngt
ốtt
r
ongmạngLAN.
TARA(
Ti
gerAudi
t
or
sResear
ch Assi
st
ant
)
l
àmộtvídụ chocông cụ ki
ểm t
oán cơ
sởhost
.Theodõimạng dướimộtsự t
ấn công.Công cụ đểt
heodõiđól
àPor
t
Sent
r
y
và Et
her
eal
.Por
tSent
r
y quétt
r
ong chế độ ngầm đị
nh.Bảo mậtmạng như mộtt
r
ò
chơigi
ữamèovàchuột
,củat
r
ít
uệvàmáyđếm t
r
ít
uệ.Tr
ongkhimạngki
ểm t
oánl
à
mộtphầncủamạngbì
nht
hường,mạngt
heodõicầnphảiđượcưut
i
êncaohơn.Vi
ệc
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 6
bảomậtbaogồm vi
ệcki
ểm t
oánchí
nhxácvàcảvi
ệccónênđểnhư t
hếhaykhông.
Por
t
Sent
r
yl
à mộtvídụ của công cụ t
heo dõit
hờigi
an t
hựcđượct
hi
ếtkế để quét
pháthi
ệnr
ahệt
hống,vàcókhảchobạnnhữnghồiđáp.
4. Cácứngdụngant
oàn
Mộtvàideamonschuẩnt
r
ongvi
ệcphânphốiLi
nuxhi
ệnt
hờil
ànhữngứngdụng
đầy đủ mà nó có cấu t
r
úcf
i
l
e phứct
ạp.Web,f
i
l
e,mai
lser
versử dụng những gi
ao
t
hứcphứct
ạp.An t
oàn cót
hểđượct
hựchi
ện bởicácđặct
í
nh bảomậtcủavi
ệccác
đạil
ýchophép(
MTA‟
s)nhưSendmai
l
,Qmai
lvàPost
f
i
x.
WebSer
vercót
hểcũngđượcgi
ữ ant
oànbởicácmodulchophép:mod_aut
h,
mod_aut
h_dbm,mod_aut
h_db,
….
Vi
ệcchophép Open SS hỗt
r
ợchoApachesẽcũng
công t
ácvớiweb ser
ver
.Samba có t
hểl
àm an t
oàn bởivi
ệcđọccáct
hông số đang
chạy.Bướcđầu t
i
ên sẽ đượcbảo vệbởicông cụ quản t
r
ịweb Samba (
SAT)vớiSLL
nêncácl
ệnhquảnl
ýSambađượcbảovệ.
5. Chu vi an toàn
Cấpsốt
ự nhi
êncủacácht
i
ếpcậnđượcsắpt
ừngl
ớpđếnsự ant
oànmáyt
í
nh
r
akhỏil
ớpt
ừl
ớpmạngđếnl
ớpứngdụng,vàt
ừđóđềnl
ớpchuvi
.Đâyl
àvùngđược
quan t
âm.Fi
r
ewal
l
sl
àt
hành phần chí
nh của mi
ền chu vian t
oàn,l
à phần mền mà
chứcnăngbắtbuộct
ổchứcbảomậtant
oànbởibộl
ọc,bảomật
,đẩymạnh,hayyêu
cầu nằm t
r
ong Li
nux ser
verđể kếtnốiđến cả mạng chí
nh và I
nt
er
net
.Fi
r
ewar
e có
t
hểđượct
hựchi
ệnnhi
ềucáchdựat
r
êncácl
ớpcủamôhì
nhOSI
:l
ớpmạng,l
ớpgi
ao
vận vàứng dụng.Cóđi
ểm t
í
ch cựcvàt
i
êu cựct
r
ong vi
ệct
r
i
ển khaif
i
r
ewar
et
ạicác
l
ớp của mạng.
Fi
r
ewal
lmạng được bi
ếtnhư các packet-f
i
l
t
er
i
ng gat
eway,nơimà
chúngki
ểm t
r
anhữggóit
i
nI
Pvàogi
aodi
ệnf
i
r
ewar
evàhoạtđộngphùhợpđượcgi
ữ
l
ại
.hoạtđộng bao gồm dr
op,cho phép/hoặc l
og.Sự bấtl
ợil
à ki
ểu Fi
r
ewal
lnày
khôngkhôn khéo.Fi
r
wal
lgi
aovận l
àm vi
ệcbởikhảosátTCPhoặcUDP.Fi
r
ewal
lyêu
cầu sự can t
hi
ệp ngườidùng sửađổinhững t
hủ t
ục.Fi
r
ewal
lứng dụng l
àm chocác
quyếtđị
nh t
r
uynhập ở t
ầng ứng dụng.
Nó cho phép ngườiquản t
r
ịmayf
i
r
ewal
lcho
yêucầucủamỗil
oạiứngdụng.Cacibấtt
i
ệnt
r
ongf
i
r
ewal
ll
àngườiquảnt
r
ịcầnđị
nh
hì
nh t
r
i
ển khait
heodõi
,vàbảot
r
ìquát
r
ì
nh f
i
r
ewal
lchomỗiứng dụng màcần t
r
uy
nhậpđi
ềukhi
ển.
Nól
uônl
àt
ôtđẻt
hựchi
ệnbảomậtbởivi
ệcsử dụngkếthợpmột f
i
r
ewal
lt
ại
t
ấtcả ba t
ầng để t
r
ánh sự t
ổn t
hương.Fi
r
ewal
lkhông chỉcản t
r
ở những ngườil
àm
phi
ền khônghợpphápvàomạngnhưngphảichophépngườisử dụngt
r
uynhậpbên
ngoàivàonguồnt
àinguyên,t
r
ongkhiđóchấpnhậnphêchuẩnnhấtđị
nhnhữngkết
nốisau cho ngườidùng.Đây l
à nhận t
hức dễ nhưng đó l
à mộtt
hách t
hức khi thi
hành.
o Fi
r
ewal
lmạng
Có vàil
ợit
hế t
r
ong vi
ệc sử dụng Li
nux như nền t
ảng f
i
r
ewar
e.Sự quản l
ý
đồng bộ,phần cứng,số ngườidùng,ki
ểm t
r
anền t
ảng,vi
ệct
hựchi
ện,gi
ági
ữacác
l
ýdo t
ạisao.Sự l
ocgóil
àl
ợií
ch hi
ệu quả và cách bảo vẩpt
ong phậm vi tránh xâm
nhập.Ngườisử dụng không cần xácnhận để sử dụng t
i
n cậy những dị
ch vụ vùng
bên ngoài.
Những gi
ảipháp cho vi
ệcl
ọcgóit
r
ong Li
nux bao gồm i
pchai
nsvà i
pf
wadm.
t
i
ệní
chcủavi
ệcl
ọcgóit
i
nđượcsửdụngt
r
ongnhânt
ừphi
ênbản1.
2.
1vềt
r
ước.
Phi
ênbảncuốicùngcủai
pf
wadm vàot
háng7/
1996,sauđói
pchai
nst
hayt
hế
nó.Những đị
a chỉI
pchai
nsl
ànhững gi
ớihạn t
hi
ếu sótcủai
pf
wadrnhư đếm 32 bi
t
,
không có khả năng gi
ảiquyếtcấu t
hành đị
a chỉI
P,
.
.
v.
v.I
pchai
nschi
ến t
hắng các
gi
ớihạn đó bởivi
ệct
ận dụng l
ợií
ch của ba kênh r
i
êng bi
ệthay những quy t
ắcnối
t
i
ếpđểl
ọc.Bakênhđól
à:I
NPUT,OUTPUT,vàFORWARD.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 7
Ti
ệní
chI
pchai
nst
heocúpháp:
ipchains command chain rule-specification [options] -j action
Tạiđây có t
hể mộtt
r
ong số kênh I
NPUT,OUTPUT hoặcFORWARD.Như nhân
2.
4 về t
r
ước,t
í
nh hoạtđộng mộtl
ần của I
pchai
ns được t
hay t
hế bởiNet
f
i
l
t
ervà
khoảng quyt
ắcI
pt
abl
es.Net
f
i
l
t
erđượchỗ t
r
ợ bởicông nghệ Wat
chguar
d.I
pct
abl
es
đượcphátt
r
i
ển t
ừt
i
ện í
ch củaI
pchai
nsvànóchỉchạyt
r
ên những phi
ên bản 2.
3 về
t
r
ước.
Mộtvídụvềl
ệnhI
pt
abl
es:
iptables -A INPUT -p tcp –-dport smtp -j ACCEPT.
Hi
ện nay có những t
hi
ếtkế f
i
r
ewal
lbắtđượchầu hếtcáccấu t
r
úcmạng phổ
bi
ến,báohi
ệuđơngi
ảnt
heoyêucầukếtnốit
ớinhữngnơir
ấtphứct
ạpkéot
heokhu
vựcđượcphiquânsựhoá(
DMZ)
.
II.
BảomậtLi
nuxServer
Những ki
nh nghi
ệm bảo mật
Hi
ện nay Li
nux đang dần t
r
ởt
hành mộthệ đi
ều hành khá phổ bi
ến bởit
í
nh
ki
nh t
ế,khảnăng bảo mậtvà sự uyển chuyển cao.Thếnhưng,mọihệt
hống dù an
toàn đến đâu cũng dễdàng bịxâm nhập nếu ngườidùng(
vànhấtl
àngườiquản t
r
ị
r
oot
)không đặtsự bảo mậtl
ên hàng đầu.Sâu đây l
à mộtsó ki
nh nghi
ệm về bảo
mậtt
r
ênhệđi
ềuhànhRedHatLi
nuxmàchúngt
ôimuốnchi
asẽcùngcácbạn:
1. Không cho phép sử dụng t
àikhoảng r
oott
ừ consol
e:Sau khicàiđặt
,
t
àikhoảng r
ootsẽ không có quyền kếtnốit
el
netvào dị
ch vụ t
el
nett
r
ên hệ t
hống,
t
r
ong khi đó t
ài khoản bì
nh t
hường l
ại có t
hể kết nối
, do nội dung t
ập t
i
n
/
et
c/
secur
i
t
y chỉquyđị
nh những consol
eđượcphép t
r
uycập bởir
ootvà chỉl
i
ệtkê
những consol
et
r
uyxuấtkhingồit
r
ựct
i
ếp t
ạimáychủ.Đểt
ăng cường bảomậthơn
nữa,hãy soạn t
hảo t
ập t
i
n /
et
c/
secur
i
t
y và bỏ đinhững consol
e bạn không muốn
r
oott
r
uycập.
2. Xoábớtt
àikhoảngvànhóm đặcbi
ệt
:
Ngườiquản t
r
ịnên xoábỏt
ấtcả
cáct
àikhoảng và nhóm đượct
ạo sẵn t
r
ong hệ t
hống nhưng không có nhu cầu sử
dụng.
(vídụ:l
p,syne,shut
down,hal
t
,news,uucp,oper
at
or
,game,gophẻ…)
.Thực
hi
ệnvi
ệcxoábỏt
àikhoảngbằngl
ệnhusedelvàxoábỏnhóm vớil
ệnhgr
oupdel
3. Tắtcácdị
ch vụ khôngsử dụng:Mộtđi
ều khánguyhi
ểm l
àsau khicài
đặt
,hệt
hống t
ự động chạykhá nhi
ều dị
ch vụ,t
r
ong đó đa số l
à cácdị
ch vụ không
mong muốn,dẫn đến t
i
êu t
ốn t
àinguyên và si
nh r
a nhi
ều nguy cơ về bảo mật
.Vì
vậy ngườiquản t
r
ịnên t
ắtcácdị
ch vụ không dùng t
ới
(
nt
sysv)hoặcxoá bỏ cácgói
dị
chvụkhôngsửdụngbằngl
ệnhr
pm
4. Không cho “
SU”(
Subst
i
t
ut
e)l
ên r
oot
:Lệnh su cho phép ngườidùng
chuyểnsangt
àikhoảngkhác.Nếukhôngmuốnngườidùng“
su”t
hànhr
oott
hìt
hêm
hai dòng sau vàot
ậpt
i
n/
et
c/
pam.
d/
su:
Auth sufficient/lib/security/pam_root ok so debug
Auth required/lib/security/pam_wheel.so group= tên_nhóm_root
5. Chedấut
ậpt
i
nmậtkhẩu:Gi
aiđoạnđầu,mậtkhẩut
oànbột
àikhoảng
đượcl
ưu t
r
ongt
ậpt
i
n /
et
c/
passwor
d,t
ậpt
i
nmàmọingườidùngđềucóquyền đọc.
Đâyl
àkẻhởl
ớnt
r
ongbảomậtdùmậtkhẩuđượcmãhoánhưngvi
ệcgi
ảimãkhông
phảil
à không t
hể t
hựchi
ện được.Do đó,hi
ện nay cácnhà phátt
r
i
ển Li
nux đã đặt
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 8
r
i
êng mậtkhẩu mã hoá vào t
ập t
i
n /
ect
/
shadow chỉcó r
ootmớiđọcđược,nhưng
yêucầuphảichọnEnabl
et
heshadow passwor
dkhicàiRedHat
.
6. Luôn nângcấpchonhân (
ker
nel
)Li
nux:
Li
nuxkhônghẵn đượct
hi
ếtkế
vớit
í
nh năng bảo mậtchặtchẽ,khá nhi
ều l
ỗ hỏng có t
hể bịl
ợidụng bởit
i
nt
ặc.Vì
vậyvi
ệcsử dụngmộthệđi
ềuhànhvớinhânđượcnângcấpl
àr
ấtquant
r
ọngvìmột
khinhân,phầncốtl
õinhấtcủahệđi
ềuhànhđượct
hi
ếtkết
ốtt
hìnguycơbịpháhoại
sẽgi
ảm đir
ấtnhi
ều.
7. Tự động t
hoátkhỏiShel
l
:Ngườiquản t
r
ịhệ t
hống và kể cả ngườisử
dụng bì
nh t
hường r
ấthayquên t
hoátr
adấu nhắcshel
lkhikếtt
húccông vi
ệc.Thât
nguy hi
ểm nếu có mộtkẻ nào sẽ có t
oàn quyền t
r
uy suấthệ t
hống mà chăng t
ốn
chútcôngsứcnàocả.Dovậyngườiquảnt
r
ịnêncàiđặtt
í
nhnăngt
ựđộngt
hoátkhỏi
shel
lkhikhôngcósự t
r
uyxuấtt
r
ongkhoảngt
hờigi
anđị
nht
r
ướcbằngcáchsử dụng
bi
ếnmôit
r
ường
vàgánmộtgi
át
r
ịquyđị
nhSốgi
âyhệt
hốngduyt
r
ìdấunhắc,
bạnnênvàot
âpt
i
n /
ect
/pr
of
i
l
eđểl
uônt
ácdụngt
r
ongmọiphi
ênl
àm vi
ệc.
8. Khôngchophépt
r
uynhậpt
ậpt
i
nkị
chbảnkhởiđộngcủaLi
nux:Khihệ
đi
ều hành Li
nux khởiđộng,các t
ập t
i
n kị
ch bản (
scr
i
pt
) được đặt t
ạit
hư mục
/
et
c/
r
c.
d/
i
ni
t
.
dsẽđượcgọit
hựct
hi
.Vìt
hế,đểt
r
ánhnhữngsự t
òmòkhôngcầnt
hi
ết
t
ừ phí
angườidùng,vớit
ư cách ngườiquản t
r
ị
,bạn nên hạn chếquyền t
r
uyxuấtt
ới
cáct
ậpt
i
nnàyvàchỉchophépt
àikhoảngr
ootxửl
ýbằngl
ệnhsau:
#chmod –R 700/etc/rc.d/init.d*
9. Gi
ớihạn vi
ệct
ự ý ghinhận t
hông t
i
nt
ừ shel
l
:Theo mặcđị
nh,t
ấtcả
l
ệnh được t
hực t
hit
ạidấu nhắc shel
lcủa t
àikhoảng đều được ghivào t
ập t
i
n
.
bash_hi
st
or
y(nếu sd bashshel
l
)t
r
ong t
hư mụccá nhân của t
ừng t
àikhoảng.Đi
ều
nàygâynênvôsốnguyhi
ểm t
i
ềm ẩn,đặcbi
ệtđốivớinhữngứngdụngđòihỏingười
dùng phảigõ t
hông t
i
n mậtkhẩu.Do đó ngườiquản t
r
ịnên gi
ớihạn vi
ệct
ự ý ghi
nhậnt
hôngt
i
nt
ừshel
ldựavàohaibi
ếnmôit
r
ườngHI
STFI
LESI
ZEvàHI
STSI
ZE:
- Bi
ến môit
r
ường HI
STFI
LESI
ZE quy đị
nh số l
ệnh gõ t
ạidấu nhắc shel
lsẽ
đượcl
ưul
ạichol
ầnt
r
uycậpsau.
- Bi
ến môit
r
ường HI
STSI
ZE quy đị
nh số l
ệnh sẽ đượcghinhớ t
r
ong phi
ên
l
àm vi
ệchi
ệnhành.
Vìvậy,t
asẽphảigi
ảm gi
át
r
ịcủaHI
STSI
ZEvàchogi
át
r
ịHI
STFI
LESI
ZEbằng
0 đểgi
ảm t
hi
ểu t
ốiđanhữngnguyhi
ểm.Bạn t
hựchi
ện vi
ệcnàybằngcách t
hayđổi
gi
át
r
ịhaibi
ếnnêut
r
ênt
r
ongt
ậpt
i
n/
et
c/
pr
of
i
l
enhưsau:
HISTFILESIZE = 0
HISTSIZE = xx
Tr
ongđóxxl
àsốl
ệnhmàshel
lsẽghinhớ,đồngt
hờikhôngghil
ạibấtkỳmột
l
ệnhnàodongườidùngđãgõkhingườidùngt
hoátkhỏishel
l
.
10. Tắccáct
i
ến t
r
ì
nh SUI
D/
SGI
D :Bì
nh t
hường,cáct
i
ến t
r
ì
nh đượct
hực
hi
ện dướiquyền củat
àikhoản gọit
hựct
hiứngdụngđó.Đól
àdướiwi
ndows,nhưng
Uni
x/
Li
nux l
ạisử dụng mộtkỹ t
huậtđặc bi
ệtcho phép mộtsố chương t
r
ì
nh được
t
hựchi
ện dướiquyền củangườiquản l
ýchương t
r
ì
nh chứ không phảingườigọit
hực
t
hichương t
r
ì
nh.Vàđâychí
nh l
àl
ýdot
ạisaot
ấtcảmọingườidùngt
r
ong hệt
hống
đềucót
hểđổimậtkhẩucủamì
nht
r
ongkhikhônghềcóquyênt
r
uyxuấtl
ênt
ậpt
i
n
/
et
c/
shadow,đól
àvìl
ệnh passwd đãđượcgán t
huộct
í
nh SUI
D vàđượcquản l
ýbởi
r
oot
,màr
ootl
ạil
àngườidùngduynhấtcóquyềnt
r
uyxuất/
et
c/
shadow.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 9
Tuyt
hế,khảnăngt
i
ênt
i
ếnnàycót
hểgâynên nhữngnguycơkháphứct
ạpvì
nếumộtchươngt
r
ì
nhcókhảnăngt
hựct
hiđượcquảnl
ýbởir
oot
,dot
hi
ếtkết
ồihoặc
do đượccàiđặtcố t
ì
nh bởinhững kẻ phá hoạimà l
ạiđượcđặtt
huộct
í
nh SUI
Dt
hì
mọiđi
ều “khủng khi
ếp”đều có t
hểxảyr
a.Thựct
ếcho t
hấycó khá nhi
ều kỹt
huật
xâm phạm hệt
hốngmàkhôngcóquyềnr
ootđượct
hựchi
ệnbằngcáckỹt
huậtnày:
kẻ phá hoạibằng cách nào đó t
ạo mộtshel
lđược quản l
ý bởir
oot
,có t
huộc t
í
nh
SUI
D,kếđếnmọit
r
uyxuấtpháhoạisẽđượct
hựchi
ệnquashel
lvừat
ạovìmọil
ệnh
t
hựchi
ệnt
r
ongshel
lsẽđượct
hựchi
ệngi
ốngnhưdướiquyềnr
oot
.
Thuộct
í
nhSGI
D cũngt
ươngt
ự như SUI
D:cácchươngt
r
ì
nhđượct
hựchi
ệnvới
quyền nhóm quản l
ý chương t
r
ì
nh chứ không phảinhóm của ngườichạy chương
t
r
ì
nh.Như vậy ngườiquản t
r
ịsẽ phảit
hường xuyên ki
ểm t
r
at
r
ong hệ t
hống có
những ứng dụng nào có t
huộct
í
nh SUI
D hoặcSGI
D mà không đượcsự quản l
ýcủa
r
ootkhông,nếu pháthi
ện đượct
ậpt
i
n cót
huộct
í
nhSUI
D/
SGI
D “ngoàil
uồng”
,bạn
cót
hểl
oạibỏcáct
huộct
ì
nhnàybằngl
ệnh:
#chmod a-s
III.
Linux Firewall
An t
oàn hệt
hống l
uôn l
uôn l
àmộtvấn đềsốngcòn củamạngmáyt
í
nh vàf
i
r
ewal
ll
à
mộtt
hànhphầncốtyếuchovi
ệcđảm bảoanni
nh.
Mộtf
i
r
ewal
ll
à mộtt
ập hợp cácquit
ắc,ứng dụng và chí
nh sách đảm bảo cho người
dùngt
r
uycậpcácdị
chvụmạngt
r
ongkhimạngbênt
r
ongvẫnant
oànđốivớicáckẻt
ấn
công t
ừI
nt
er
net hay t
ừ các mạng khác. Có hail
oạiki
ến t
r
úc f
i
r
ewal
lcơ bản l
à:
Proxy/
Appl
i
cat
i
onf
i
r
ewal
lvàf
i
l
t
er
i
nggat
ewayf
i
r
ewal
l
.Hầuhếtcáchệt
hốngf
i
r
ewal
lhi
ện
đạil
àl
oạil
ai(
hybr
i
d)củacảhail
oạit
r
ên.
Nhi
ều công t
y và nhà cung cấp dị
ch vụ I
nt
er
netsử dụng máy chủ Li
nux như một
I
nt
er
netgat
eway.Những máychủ nàyt
hường phụcvụ như máychủ mai
l
,web,f
t
p,hay
di
al
up.Hơn nữa,chúng cũngt
hường hoạtđộngnhư cácf
i
r
ewal
l
,t
hihành cácchí
nh sách
ki
ểm soátgi
ữaI
nt
er
netvàmạngcủacôngt
y.Khảnănguyểnchuyểnkhi
ếnchoLi
nuxt
hu
hútnhưl
àmộtt
hayt
hếchonhữnghệđi
ềuhànht
hươngmại
.
Tí
nhnăngf
i
r
ewal
lchuẩn đượccungcấpsẵnt
r
ongker
nelcủaLi
nuxđượcxâydựngt
ừ
hait
hànhphần:i
pchai
nsvàI
PMasquer
adi
ng.
Li
nux I
P Fi
r
ewal
l
i
ng Chai
ns l
à mộtcơ chế l
ọc góit
i
nI
P.Những t
í
nh năng của I
P
Chai
nschophépcấuhì
nhmáychủLi
nuxnhư mộtf
i
l
t
er
i
nggat
eway/
f
i
r
ewal
ldễdàng.Một
t
hành phần quan t
r
ọng khác của nó t
r
ong ker
nell
àI
P Masquer
adi
ng,mộtt
í
nh năng
chuyển đổiđị
a chỉmạng (
net
wor
kaddr
esst
r
ansl
at
i
on- NAT)mà có t
hểchegi
ấu cácđị
a
chỉI
Pt
hựccủamạngbên t
r
ong.Đểsử dụng i
pchai
ns,bạn cần t
hi
ếtl
ậpmộtt
ập cácl
uật
màquiđị
nhcáckếtnốiđượcchophéphaybịcấm.
Cácnguyênt
ắcI
pchai
nsThựchi
ệncácchứcnăngsau:
±
Accept: The packet is okay; allow it to pass to the appropriate chain
Chophépchuyểngóit
i
nquachai
nt
hí
chhợp
±
Deny: The packet is not okay; silently drop it in the bit bucket. Không
đồngý,bịr
ớt
.
±
Reject: The packet is not okay; but inform the sender of this fact via
anI
CMPpacket
.Khôngđồngý,nhưngsựvi
ệccủangườigởi
quagóiI
CMP
±
Masq: Used f
or I
P masquer
adi
ng (
net
wor
k addr
ess t
r
ansl
at
i
on)
.Sử
dụngchoI
Pmasquer
adi
ng(vi
ệcdị
chđị
achỉmạng)
±
Redirect: Send t
hi
spackett
osomeoneel
sef
orpr
ocessi
ng.Gởigóit
i
n
nàyđếnmộtngườikhácđểsửl
ý
±
Return: Terminate the rule list. Hoàn thành danhsáchcácquyt
ắc.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 10
Chú ý:Các góiI
pf
w(
i
pf
i
l
t
er
s/
i
pt
abl
e)dướihệ đi
ều hành BSD cung cấp hoạtđộng
t
ươngt
ựI
pchai
ns.
Vídụ:
# Chophépcáckếtnốiwebt
ớiWebSer
vercủabạn
/sbin/ipchains -A your_chains_rules -s 0.0.0.0/0 www -d 192.16.0.100 1024: -j ACCEPT
# Chophépcáckếtnốit
ừbênt
r
ongt
ớicácWebSer
verbênngoài
/sbin/ipchains -A your_chains_rules -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -j
ACCEPT
# Từchốit
r
uycậpt
ấtcảcácdị
chvukhác
/sbin/ipchains -P your_chains_rules input DENY
Ngoàir
a,bạn cót
hểdùngcácsản phẩm f
i
r
ewal
lt
hươngmạinhư CheckPoi
ntFi
r
eWal
l
1,Phoeni
x Adapt
i
ve Fi
r
ewal
l
,Gat
eway Guar
di
an,XSent
r
y Fi
r
ewal
l
,Rapt
or
,.
.
.hay r
ất
nhi
ềucácphi
ênbảnmi
ễnphí
,mãnguồnmởchoLi
nuxnhưT.
RexFi
r
ewal
l
,Dant
e,SI
NUS,
TIS Firewall Toolkit, ...
1.DÙNG CÔNG CỤ DÕ TÌM ĐỂKHẢO SÁTHỆ THỐNG
Thâm nhập vào mộthệ t
hống bấtkỳ nào cũng cần có sự chuẩn bị
.Hackerphảixác
đị
nh r
amáyđí
ch vàt
ì
m xem những por
tnàođang mởt
r
ướckhihệt
hống cót
hểbịxâm
phạm.Quá t
r
ì
nh này t
hường đượct
hựchi
ện bởicáccông cụ dò t
ì
m (
scanni
ng t
ool
)
,kỹ
t
huậtchí
nh để t
ì
m r
a máy đí
ch và cácpor
tđang mở t
r
ên đó.Dò t
ì
m l
à bướcđầu t
i
ên
hackersẽ sử dụng t
r
ướckhit
hựchi
ện t
ấn công.Bằng cách sử dụng cáccông cụ dò t
ì
m
như Nmap,hackercó t
hể r
à khắp cácmạng để t
ì
m r
a cácmáy đí
ch có t
hể bịt
ấn công.
Mộtkhixácđị
nhđượccácmáynày,kẻxâm nhậpcót
hểdòt
ì
m cácpor
tđangl
ắngnghe.
Nmap cũng sử dụng mộtsố kỹ t
huậtcho phép xác đị
nh khá chí
nh xác l
oạimáy đang
ki
ểm t
r
a.
Bằng cách sử dụngnhữngcông cụ củachí
nh cáchackert
hườngdùng,ngườiquản t
r
ị
hệt
hốngcót
hểnhì
nvàohệt
hốngcủamì
nht
ừgócđộcủacáchackervàgi
úpt
ăngcường
t
í
nh an t
oàn của hệ t
hống.Có r
ấtnhi
ều công cụ dò t
ì
m có t
hể sử dụng như:Nmap,
strobe, sscan, SATAN, ...
Nmap
Làchữ vi
ếtt
ắtcủa"
Net
wor
kexpl
or
at
i
on t
oolandsecur
i
t
yscanner
".Đâyl
àchươngt
r
ì
nh
quéthàngđầuvớit
ốcđộcựcnhanhvàcựcmạnh.Nócót
hểquétt
r
ênmạngdi
ệnr
ộngvà
đặcbi
ệtt
ốtđốivớimạng đơn l
ẻ.NMAPgi
úp bạn xem những dị
ch vụ nàođang chạyt
r
ên
ser
ver(
ser
vi
ces/
por
t
s:
webser
ver
,
f
t
pser
ver
,
pop3,
.
.
.
)
,ser
verđang dùng hệ đi
ều hành gì
,
l
oạit
ườngl
ửamàser
versửdụng,.
.
.vàr
ấtnhi
ềut
í
nhnăngkhác.NóichungNMAPhỗt
r
ợ
hầuhếtcáckỹt
huậtquétnhư :I
CMP(
pi
ngaweep)
,I
Ppr
ot
ocol
,Null scan, TCP SYN (half
open)
,.
.
.NMAP đượcđánh gi
ál
à công cụ hàng đầu của cácHackercũng như cácnhà
quảnt
r
ịmạngt
r
ênt
hếgi
ới
.
Quétan t
oàn Nmap l
àmộtt
r
ong sốcông cụ quétan t
oàn đượcsử dụng r
ộng
r
ãinhấtsẵncó.Nmapl
àmộtcổngquétmàchốngl
ạicácnhânt
ố,cáccáchkháct
àn
pháđến mạng củabạn.Nócót
hểphátsi
nh r
anhi
ều ki
ểu góimàt
hăm dòcácngăn
xếpTCP/
I
Pt
r
ênnhữnghệt
hốngcủabạn.
Nmapcót
hểphátsi
nh r
amộtdanh sách củanhữngcổngmởdị
ch vụ t
r
ên hệ
t
hống của bạn,
t
hâm nhập f
i
r
ewal
l
s,và cung cấp những t
i
n quấy r
ầy,không t
i
n cậy
đangchạyt
r
ênhostcủabạn.Nmapsecur
i
t
ycósẵnt
ại:http://www.insecure.org
.
Dướiđâyl
àmộtvídụsửdụngNmap:
# nmap -sS -O 192.168.1.200
Starting nmap V. 2.54 by Fyodor (
[email protected], www.insecure.org/nmap/)
Interesting ports on comet (192.168.1.200):
Port State Protocol Service
7 open tcp echo
19 open tcp chargen
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 11
21 open tcp ftp
...
TCP Sequence Prediction: Class=random positive increments
Difficulty=17818 (Worthy challenge)
Remote operating system guess: Linux 2.2.13
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
Tuy nhi
ên,sử dụng cáccông cụ này không t
hể t
hay t
hế cho mộtngườiquản t
r
ịcó ki
ến
t
hức.Bởivìvi
ệcdò t
ì
m t
hường dự báo mộtcuộct
ấn công,cácsi
t
enên ưu t
i
ên cho vi
ệc
t
heodõichúng.Vớicáccôngcụdòt
ì
m,cácnhàquảnt
r
ịhệt
hốngmạngcót
hểpháthi
ện
r
anhữnggìmàcáchackercót
hểt
hấykhidòt
r
ênhệt
hốngcủamì
nh.
2.PHÁTHIỆN SỰ XÂM NHẬP QUA MẠNG
Nếuhệt
hốngcủabạn cókếtnốivàoi
nt
er
net
,bạncót
hểt
r
ởt
hànhmộtmụct
i
êubịdò
t
ì
m cácl
ỗhổngvềbảomật
.Mặcdùhệt
hốngcủabạncóghinhậnđi
ềunàyhaykhôngt
hì
vẫnkhôngđủđểxácđị
nhvàpháthi
ệnvi
ệcdòt
ì
m này.Mộtvấnđềcầnquant
âm khácl
à
cáccuộct
ấn công gây ngừng dị
ch vụ (
Deni
alofSer
vi
ces- DoS)
,l
àm t
hế nào để ngăn
ngừa,pháthi
ệnvàđốiphóvớichúngnếubạnkhôngmuốnhệt
hốngcủabạnngưngt
r
ệ.
Hệt
hốngpháthi
ện xâm nhập quamạng(
Net
wor
kI
nt
r
usi
on Det
ect
i
on Syst
em - NIDS)
t
heo dõicáct
hông t
i
nt
r
uyền t
r
ên mạng và pháthi
ện nếu có hackerđang cố xâm nhập
vào hệ t
hống (
hoặcgây gây r
a mộtvụ t
ấn công DoS)
.Mộtvídụ đi
ển hì
nh l
à hệ t
hống
t
heo dõisố l
ượng l
ớn cácyêu cầu kếtnốiTCP đến nhi
ều por
tt
r
ên mộtmáy nào đó,do
vậycót
hểpháthi
ện r
anếu cóaiđó đang t
hử mộtt
ácvụ dòt
ì
m TCPpor
t
.MộtNI
DS có
t
hể chạy t
r
ên máy cần t
heo dõihoặct
r
ên mộtmáy độcl
ập t
heo dõit
oàn bộ t
hông t
i
n
t
r
ênmạng.
Cáccông cụ có t
hểđượckếthợp đểt
ạomộthệt
hống pháthi
ện xâm nhập quamạng.
Chẳng hạn dùng t
cpwr
apperđể đi
ều khi
ển,ghinhận cácdị
ch vụ đã đượcđăng ký.Các
chươngt
r
ì
nhphânt
í
chnhậtkýhệt
hống,như swat
ch,cót
hểdùngđểxácđị
nhcáct
ácvụ
dòt
ì
mt
r
ên hệt
hống.Vàđi
ều quan t
r
ọngnhấtl
àcáccôngcụ cót
hểphân t
í
ch cáct
hông
t
i
nt
r
ên mạng để pháthi
ện các t
ấn công DoS hoặc đánh cắp t
hông t
i
n như t
cpdump,
ethereal, ngrep, NFR (Network Flight Recorder), PortSentry, Sentinel, Snort, ...
Khihi
ện t
hựcmộthệ t
hống pháthi
ện xâm nhập qua mạng bạn cần phảil
ưu t
âm đến
hi
ệusuấtcủahệt
hốngcũngnhưcácchí
nhsáchbảođảm sựr
i
êngt
ư.
3.KIỂM TRA KHẢ NĂNG BỊXÂM NHẬP
Ki
ểm t
r
akhảnăng bịxâm nhập l
i
ên quan đến vi
ệcxácđị
nh vàsắpxếp cácl
ỗhổngan
ni
nh t
r
ong hệ t
hống bằng cách dùng mộtsố công cụ ki
ểm t
r
a.Nhi
ều công cụ ki
ểm t
r
a
cũng cókhảnăng khait
hácmộtsốl
ỗ hổng t
ì
mt
hấyđểl
àm r
õ quát
r
ì
nh t
hâm nhập t
r
ái
phépsẽđượct
hựchi
ệnnhưt
hếnào.Vídụ,mộtl
ỗit
r
ànbộđệm củachươngt
r
ì
nhphụcvụ
dị
ch vụ FTP có t
hể dẫn đến vi
ệc t
hâm nhập vào hệ t
hống vớiquyền „
r
oot
‟
.Nếu người
quảnt
r
ịmạngcóki
ếnt
hứcvềki
ểm t
r
akhảnăngbịxâm nhậpt
r
ướckhinóxảyr
a,họcó
t
hểt
i
ếnhànhcáct
ácvụđểnângcaomứcđộanni
nhcủahệt
hốngmạng.
Cór
ấtnhi
ềucáccôngcụ mạngmàbạncót
hểsử dụngt
r
ongvi
ệcki
ểm t
r
akhảnăngbị
xâm nhập.Hầu hếtcácquá t
r
ì
nh ki
ểm t
r
a đều dùng í
tnhấtmộtcông cụ t
ự động phân
t
í
chcácl
ỗhổnganni
nh.Cáccôngcụnàyt
hăm dòhệt
hốngđểxácđị
nhcácdị
chvụhi
ện
có.Thôngt
i
nl
ấyt
ừcácdị
chvụnàysẽđượcsosánhvớicơsởdữ l
i
ệucácl
ỗhổnganni
nh
đãđượct
ì
mt
hấyt
r
ướcđó.
Cáccông cụ t
hường đượcsử dụng để t
hựchi
ện cácki
ểm t
r
al
oạinày l
àI
SS Scanner
,
Cybercop, Retina, Nessus, cgiscan, CIS, ...
Ki
ểm t
r
a khả năng bịxâm nhập cần đượct
hựchi
ện bởinhững ngườicó t
r
ách nhi
ệm
mộtcách cẩn t
hận.Sự t
hi
ếu ki
ến t
hứcvà sử dụng saicách có t
hể sẽ dẫn đến hậu quả
nghi
êm t
r
ọngkhôngt
hểl
ườngt
r
ướcđược.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 12
4.ĐỐIPHÓ KHIHỆTHỐNG CỦA BẠN BỊTẤN CÔNG
Gần đây,mộtl
oạtcác vụ t
ấn công nhắm vào các si
t
e của những công t
yl
ớn như
Yahoo!, Buy.com, E-Bay,Amazon và CNN I
nt
er
act
i
ve gây r
a những t
hi
ệthạivô cùng
nghi
êm t
r
ọng.Những t
ấn công này l
à dạng t
ấn công gây ngừng dị
ch vụ "
Deni
al
-OfSer
vi
ce"mà được t
hi
ếtkế để l
àm ngưng hoạtđộng của mộtmạng máy t
í
nh hay một
websi
t
e bằng cách gửil
i
ên t
ụcvớisố l
ượng l
ớn cácdữ l
i
ệu t
ớimụct
i
êu t
ấn công khi
ến
cho hệ t
hống bịt
ấn công bịngừng hoạtđộng,đi
ều này t
ương t
ự như hàng t
r
ăm người
cùnggọikhôngngừngt
ới1sốđi
ệnt
hoạikhi
ếnnól
i
ênt
ụcbịbận.
Tr
ong khikhông t
hể nào t
r
ánh đượcmọinguy hi
ểm t
ừ cáccuộct
ấn công,chúng t
ôi
khuyênbạnmộtsốbướcmàbạnnênt
heokhibạnpháthi
ệnr
ar
ằnghệt
hốngcủabạnbị
t
ấn công.Chúngt
ôicũng đưar
amộtsốcách đểgi
úp bạn bảođảm t
í
nh hi
ệu qủacủahệ
t
hống an ni
nh và những bướcbạn nên l
àm để gi
ảm r
ủir
o và có t
hể đốiphó vớinhững
cuộct
ấncông.
Nếu pháthi
ện r
ar
ằng hệ t
hống của bạn đang bịt
ấn công,hãy bì
nh t
ĩ
nh.Sau
đâyl
ànhững bướcbạn nên l
àm:
x Tậphợp1nhóm đểđốiphóvớisựt
ấncông:
o
Nhóm này phảibao gồm những nhân vi
ên ki
nh nghi
ệm,những ngườimà
cót
hểgi
úphì
nht
hànhmộtkếhoạchhànhđộngđốiphóvớisựt
ấncông.
x Dựa t
heo chí
nh sách và cácquyt
r
ì
nh t
hựchi
ện vềan ni
nh củacông t
y,sử dụng
cácbướct
hí
chhợpkhit
hôngbáochomọingườihayt
ổchứcvềcuộct
ấncông.
x Tì
m sự gi
úpđỡt
ừ nhàcungcấpdị
chvụI
nt
er
netvàcơquanphụt
r
áchvềanni
nh
máy tính:
o
Li
ên hệ nhà cung cấp dị
ch vụ I
nt
er
netcủa bạn để t
hông báo về cuộct
ấn
công.Cót
hểnhàcungcấpdị
chvụI
nt
er
netcủabạnsẽchặnđứngđượccuộct
ấncông.
o
Li
ên hệcơ quan phụ t
r
ách vềan ni
nh máyt
í
nh đểt
hông báo vềcuộct
ấn
công
x Tạm t
hờidùng phương t
hứct
r
uyền t
hông khác(
chẳng hạn như qua đi
ện t
hoại
)
khit
r
aođổit
hôngt
i
nđểđảm bor
ằngkẻxâm nhậpkhôngt
hểchặnvàl
ấyđượct
hôngt
i
n.
x Ghil
ạit
ấtcảcáchoạtđộng củabạn (
chẳng hạn như gọiđi
ện t
hoại
,t
hayđổif
i
l
e,
...)
x Theodõicáchệt
hốngquant
r
ọngt
r
ongqúat
r
ì
nhbịt
ấncôngbằngcácphầnmềm
hay dị
ch vụ pháthi
ện sự xâm nhập (
i
nt
r
usi
on det
ect
i
on sof
t
war
e/
ser
vi
ces)
.Đi
ều này có
t
hểgi
úp l
àm gi
ảm nhẹsự t
ấn công cũng như pháthi
ện những dấu hi
ệu củasự t
ấn công
t
hựcsựhaychỉl
àsự quấyr
ốinhằm đánhl
ạchướngsự chúýcủabạn(
chẳnghạnmộtt
ấn
côngDoS vớidụngýl
àm saol
ãngsựchúýcủabạnt
r
ongkhit
hựcsựđâyl
àmộtcuộct
ấn
công nhằm xâm nhập vào hệ t
hống của bạn)
.Sao chép l
ạit
ấtcả cácf
i
l
esmà kẻ xâm
nhậpđểl
ạihayt
hayđổi(
nhưnhữngđoạnmãchươngt
r
ì
nh,l
ogf
i
l
e,.
.
.
)
x Li
ênhệnhàchứct
r
áchđểbáocáovềvụt
ấncông.
Những bướcbạn nên l
àm để gi
ảm r
ủir
o và đốiphó vớisự t
ấn công t
r
ong t
ương
lai :
o Xâydựngvàt
r
aoquyềnchonhóm đốiphóvớisựt
ấncông
o Thihànhki
ểm t
r
aanni
nhvàđánhgi
ámứcđộr
ủir
ocủahệt
hống
o Càiđặtcácphầnmềm ant
oànhệt
hốngphùhợpđểgi
ảm bớtr
ủir
o
o Nângcaokhảnăngcủamì
nhvềant
oànmáyt
í
nh
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 13
Cácbướcki
ểm t
r
ađểgi
úp bạn bảo đảm t
í
nh hi
ệu quảcủahệt
hống an ni
nh
o Ki
ểm t
r
ahệt
hống an ni
nh mớicàiđặt:chắcchắn t
í
nh đúng đắn củachí
nh sách
anni
nhhi
ệncóvàcấuhì
nhchuẩncủahệt
hống.
o Ki
ểm t
r
at
ự độngt
hườngxuyên:đểkhám phásự “
vi
ếngt
hăm”củanhữnghacker
haynhữnghànhđộngsait
r
áicủanhânvi
ênt
r
ongcôngt
y.
o Ki
ểm t
r
a ngẫu nhi
ên:để ki
ểm t
r
a chí
nh sách an ni
nh và những t
i
êu chuẩn,hoặc
ki
ểm t
r
a sự hi
ện hữu của những l
ỗ hổng đã đượcpháthi
ện (
chẳng hạn những l
ỗiđược
t
hôngbáot
ừnhàcungcấpphầnmềm)
o Ki
ểm t
r
ahằngđêm nhữngf
i
l
equant
r
ọng:đểđánhgi
ásự t
oànvẹncủanhữngf
i
l
e
vàcơsởdữl
i
ệuquant
r
ọng
o Ki
ểm t
r
a cáct
àikhoản ngườidùng:để pháthi
ện cáct
àikhoản không sử dụng,
khôngt
ồnt
ại
,.
.
.
o Ki
ểm t
r
ađị
nhkỳđểxácđị
nht
r
ạngt
háihi
ệnt
ạicủahệt
hốnganni
nhcủabạn
Thi
ếtl
ập t
ường l
ửaIpt
abl
eschoLi
nux
Cấu hì
nh Tabl
es
Vi
ệccàiđặtI
pt
abl
esl
àmộtphần t
r
ongvi
ệccàiđặtRedHatban đầu.Nguyên
bản khởit
ạo t
ì
m ki
ếm sự t
ồn t
ạicủa f
i
l
eI
pt
abl
es,r
ul
es/etc/sysconfig/iptables, Và
nếu chúng đã t
ồn t
ạii
pt
abl
eskhởiđộng vớicầu hì
nh đã đượcchỉr
õ.Mộtkhiser
ver
nàyl
à gởimai
lvà nhận mai
l
,cấu hì
nh I
pt
abl
esnên cho phép những kếtnốit
ừ đầu
vào sendmai
lđếnbấtkỳnơiđâu.Ngườiquảnt
r
ịhệt
hốngsẽchỉsử dụngshht
ừ bên
t
r
ongcácmáy,đặcbi
ệtl
àMI
S.I
pt
abl
esr
ul
essẽcàiđặtđểchophépcáckếtnốishh
t
ừ 2 MI
S.Pi
ng I
CMPsẽchophép bấtkỳđâu.Không cócông nàokhácchophép kết
nốiđếnngườiphụcvụnày.Đâyl
àmứcbổsungchovi
ệcphòngt
hủcủaser
vert
r
ong
t
r
ường hợp Fi
r
ewal
lđược t
hoã hi
ệp.Thêm vào đó l
à vi
ệc bảo vệ cho ssh sẽ được
cungcấpbởicấuhì
nhcácgóit
cpbêndưới
.
Nhữngquyt
ắcđểt
hựchi
ệncấuhì
nhI
pt
abl
esnhưsau:
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(1)
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT(2)
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT(3)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.200.0/24 -j ACCEPT(4)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.201.0/24 -j ACCEPT(5)
/sbin/iptables -A INPUT -p udp --sport 53 -s 10.100.50.50 -j ACCEPT(6)
/sbin/iptables -A INPUT -p udp -sport 53 -s 10.100.42.42 -j ACCEPT(7)
/sbin/iptables -A INPUT -j LOG(8)
/sbin/iptables -P INPUT DROP(9)
(
1)Chophépnhữngkếtnốil
i
ênquanvàđãt
hi
ếtl
ậpđếnser
ver
(
2)Chophépcáchostkhácpi
ngđếnser
versendmai
d
(
3)ChophépkếtnốiSMTPđếnser
ver
(
4)
,(
5)Chophépkếtnốissht
ừ2MÍ(
subnet
s)
(
6)
,(
7)Cho phép ngườiphụcvụ t
ên DNS cho box sendmai
d để cung cấp gi
ảipháp
DNS.Nếubạncóhơnmộtdomai
n–DNS,t
hìt
hêm mộtdòngchomỗiDNS.
(
8)l
ogbấtkỳkếtnốinàocốgắngmànókhôngđặcbi
ệtchophép
(
9)Càidặtchí
nhsáchmặcđị
nhchobảngI
NPUTt
oDROP
Tấtcả cáckếtnốiđặcbi
ệtkhông chophép sẽbịr
ớt
.Chương t
r
ì
nh l
osent
r
ysẽđược
cấu hì
nh đểđị
nh r
ằng bấtkỳdòng nào l
og cũng như sự xâm phạm an t
oàn.Đểgi
ữ
đượccấuhì
nhquar
eboot
,t
aphảichạyI
pt
abl
es- Save.Chạyl
ệnhnhưsau:
/sbin/iptables-save > /etc/sysconfig/iptables
Khihệt
hốngkhởiđộngl
ên,f
i
l
eI
pt
abl
essẽđượcđọcvàcấuhì
nhhi
ệudụng.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 14
I
pt
abl
esl
à mộtt
ường l
ửa ứng dụng l
ọcgóidữ l
i
ệu r
ấtmạnh,mi
ễn phívà có sẵn t
r
ên
Li
nux.
.Net
f
i
l
t
er
/
I
pt
abl
es gồm 2 phần l
à Net
f
i
l
t
erở t
r
ong nhân Li
nux và I
pt
abl
es nằm
ngoài nhân.I
pt
abl
eschị
ut
r
ách nhi
ệm gi
ao t
i
ếp gi
ữa ngườidùng và Net
f
i
l
t
erđể đẩy các
l
uậtcủa ngườidùng vào cho Net
f
i
l
erxử l
í
.Net
f
i
l
t
ert
i
ến hành l
ọccácgóidữ l
i
ệu ở mức
I
P.Net
f
i
l
t
erl
àm vi
ệct
r
ựct
i
ếpt
r
ongnhân,nhanhvàkhôngl
àm gi
ảm t
ốcđộcủahệt
hống.
Cáchđổiđị
achỉI
Pđộng(
dynami
cNAT)
Tr
ướckhiđivàophầnchí
nh,mì
nhcầngi
ớit
hi
ệuvớicácbạnvềcôngnghệđổiđị
achỉNAT
độngvàđónggi
ảI
PMasquer
ade.Hait
ừ nàyđượcdùngr
ấtnhi
ều t
r
ongI
pt
abl
esnênbạn
phảibi
ết
.Nếubạnđãbi
ếtNATđộngvàMasquer
ade,bạncót
hểbỏquaphầnnày.
NAT động l
à mộtt
r
ong những kĩt
huậtchuyển đổiđị
a chỉI
P NAT (
Net
wor
k Addr
ess
Tr
ansl
at
i
on)
.Cácđị
achỉI
PnộibộđượcchuyểnsangI
PNATnhưsau:
NAT Rout
er đảm nhận vi
ệc chuyển dãy I
P nộibộ 169.
168.
0.
x sang dãy I
P mới
203.
162.
2.
x.Khicó góil
i
ệu vớiI
P nguồn l
à 192.
168.
0.
200 đến r
out
er
,r
out
ersẽ đổiI
P
nguồnt
hành203.
162.
2.
200sauđómớigởir
angoài
.Quát
r
ì
nhnàygọil
àSNAT(
Sour
ceNAT,NATnguồn)
.Rout
erl
ưudữl
i
ệut
r
ongmộtbảnggọil
àbảngNATđộng.Ngượcl
ại
,khi
cómộtgóit
ừl
i
ệu t
ừ gởit
ừ ngoàivàovớiI
Pđí
ch l
à203.
162.
2.
200,r
out
ersẽcăn cứ vào
bảng NAT động hi
ện t
ạiđể đổiđị
a chỉđí
ch 203.
162.
2.
200 t
hành đị
a chỉđí
ch mớil
à
192.
168.
0.
200.Quá t
r
ì
nh này gọil
à DNAT (
Dest
i
nat
i
on-NAT,NAT đí
ch)
.Li
ên l
ạc gi
ữa
192.168.0.200 và 203.162.2.200 là hoàn t
oàn t
r
ong suốt(
t
r
anspar
ent
)qua NAT r
out
er
.
NAT r
out
er t
i
ến hành chuyển t
i
ếp (
f
or
war
d) gói dữ l
i
ệu t
ừ 192.
168.
0.
200 đến
203.
162.
2.
200vàngượcl
ại
.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 15
Cách đóng gi
ảđị
achỉIP (masquer
ade)
Đâyl
àmộtkĩt
huậtkháct
r
ongNAT.
NAT Rout
erchuyển dãy I
P nộibộ 192.
168.
0.
x sang mộtI
P duy nhấtl
à 203.
162.
2.
4
bằngcáchdùngcácsốhi
ệucổng(
por
t
-number
)khácnhau.Chẳnghạnkhicógóidữ l
i
ệu
I
P vớinguồn 192.
168.
0.
168:
1204, đí
ch 211.
200.
51.
15:
80 đến r
out
er
,r
out
er sẽ đổi
nguồn t
hành 203.
162.
2.
4:
26314 và l
ưu dữ l
i
ệu này vào một bảng gọi l
à bảng
masquer
ade động.Khicó mộtgóidữ l
i
ệu t
ừ ngoàivào vớinguồn l
à 221.
200.
51.
15:
80,
đí
ch203.
162.
2.
4:
26314đếnr
out
er
,r
out
ersẽcăncứvàobảngmasquer
adeđộnghi
ệnt
ại
để đổiđí
ch t
ừ 203.
162.
2.
4:
26314 t
hành 192.
168.
0.
164:
1204.Li
ên l
ạc gi
ữa các máy
t
r
ongmạngLAN vớimáykhácbênngoàihoànt
oànt
r
ongsuốtquar
out
er
Cấu t
r
úccủaIpt
abl
es
I
pt
abl
es được chi
al
àm 4 bảng (
t
abl
e)
:bảng f
i
l
t
erdùng để l
ọc góidữ l
i
ệu,bảng nat
dùngđểt
haot
ácvớicácgóidữ l
i
ệuđượcNATnguồnhayNATđí
ch,bảngmangl
edùngđể
t
hay đổicáct
hông số t
r
ong góiI
P và bảng connt
r
ack dùng để t
heo dõicáckếtnối
.Mỗi
t
abl
egồm nhi
ềumắcxí
ch(
chai
n)
.Chai
ngồm nhi
ềul
uật(
r
ul
e)đểt
haot
ácvớicácgóidữ
l
i
ệu.Rul
ecót
hểl
àACCEPT(
chấpnhậngóidữ l
i
ệu)
,DROP(
t
hảgói
)
,REJ
ECT(
l
oạibỏgói
)
hoặct
ham chi
ếu(
r
ef
er
ence)đếnmộtchai
nkhác.
Quát
r
ì
nh chuyển góidữ l
i
ệu quaNet
f
i
l
t
er
Góidữ l
i
ệu (
packet
)chạy t
r
ên chạy t
r
ên cáp,sau đó đivào car
d mạng (
chẳng hạn như
et
h0)
.Đầut
i
ênpacketsẽquachai
nPREROUTI
NG (
t
r
ướckhiđị
nht
uyến)
.Tạiđây,packet
cót
hểbịt
hayđổit
hôngsố(
mangl
e)hoặcbịđổiđị
achỉI
Pđí
ch(
DNAT)
.Đốivớipacketđi
vàomáy,nósẽquachai
nI
NPUT.Tạichai
nI
NPUT,packetcót
hểđượcchấpnhậnhoặcbị
hủy bỏ.Ti
ếp t
heo packetsẽ đượcchuyển l
ên cho cácứng dụng (
cl
i
ent
/
ser
ver
)xử l
ívà
t
i
ếp t
heo l
à đượcchuyển r
a chai
n OUTPUT.Tạichai
n OUTPUT,packetcó t
hể bịt
hay đổi
các t
hông số và bịl
ọc chấp nhận r
a hay bịhủy bỏ.Đốivớipacketf
or
war
d qua máy,
packetsau khir
ờichai
n PREROUTI
NG sẽ qua chai
n FORWARD.Tạichai
n FORWARD,nó
cũng bịl
ọcACCEPT hoặcDENY.Packetsau khiquachai
n FORWARD hoặcchai
n OUTPUT
sẽđếnchai
nPOSTROUTI
NG (
saukhiđị
nht
uyến)
.Tạichai
nPOSTROUTI
NG,packetcót
hể
đượcđổiđị
a chỉI
P nguồn (
SNAT)hoặcMASQUERADE.Packetsau khir
a car
d mạng sẽ
đượcchuyểnl
êncápđểđiđếnmáyt
í
nhkháct
r
ênmạng.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 16
Cáct
ham sốdòngl
ệnht
hườnggặpcủaI
pt
abl
es
1.Gọit
r
ợ gi
úp
Đểgọit
r
ợgi
úpvềI
pt
abl
es,bạngõl
ệnh$ man iptables hoặc$ iptables --help.Chẳnghạn
nếubạncầnbi
ếtvềcáct
ùychọncủa match limit,bạngõl
ệnh$ iptables -m limit --help.
2.Cáct
ùychọn đểchỉđị
nh t
hông số
- chỉđị
nht
ênt
abl
e:-t
,vídụ-t filter, -t nat,.
.nếukhôngchỉđị
nht
abl
e,gi
á
t
r
ịmặcđị
nhl
àf
i
l
t
er
- chỉđi
nhl
oạigi
aot
hức:-p,vídụ-p tcp, -p udp hoặc-p ! udp đểchỉ
đị
nhcácgi
aot
hứckhôngphảil
àudp
- chỉđị
nhcar
dmạngvào:-i,vídụ:-i eth0, -i lo
- chỉđị
nhcar
dmạngr
a:-o,vídụ:-o eth0, -o pp0
- chỉđị
nhđị
achỉI
Pnguồn:-s<đị
a_chỉ
_i
p_nguồn>,vídụ:-s 192.168.0.0/24 (
mạng
192.
168.
0với24bí
tmạng)
,-s 192.168.0.1-192.168.0.3 (các IP 192.168.0.1,
192.168.0.2, 192.168.0.3).
- chỉđị
nhđị
achỉI
Pđí
ch:-d<đị
a_chỉ
_i
p_đí
ch>,t
ươngt
ựnhư-s
- chỉđị
nhcổngnguồn:--spor
t,vídụ:--sport 21 (
cổng21)
,--sport 22:88
(
cáccổng22.
.88)
,--sport :80 (
cáccổng<=80)
,--sport 22: (
cáccổng>=22)
- chỉđị
nhcổngđí
ch:--dpor
t,t
ươngt
ựnhư--sport
3.Cáct
ùychọn đểt
haot
ácvớichai
n
-t
ạochai
nmới
:i
pt
abl
es-N
- xóahếtcácl
uậtđãt
ạot
r
ongchai
n:i
pt
abl
es-X
- đặtchí
nhsáchchocácchai
n`bui
l
t
-in` (INPUT, OUTPUT & FORWARD): iptables -P
,vídụ:iptables -P INPUT
ACCEPT đểchấpnhậncácpacket vào chain INPUT
-l
i
ệtkêcácl
uậtcót
r
ongchai
n:i
pt
abl
es-L
- xóacácl
uậtcót
r
ongchai
n(
f
l
ushchai
n)
:i
pt
abl
es-F
-r
esetbộđếm packetvề0:i
pt
abl
es-Z
4.Cáct
ùychọn đểt
haot
ácvớil
uật
-t
hêm l
uật
:-A (append)
- xóal
uật
:-D (delete)
-t
hayt
hếl
uật
:-R (replace)
- chènt
hêm l
uật
:-I (insert)
Mì
nhsẽchovídụmi
nhhọavềcáct
ùychọnnàyởphầnsau.
Phânbi
ệtgi
ữaACCEPT,DROPvàREJECTpacket
- ACCEPT:chấpnhậnpacket
- DROP:t
hảpacket(
khônghồiâm choclient)
- REJ
ECT:l
oạibỏpacket(
hồiâm chocl
i
entbằngmộtpacketkhác)
Vídụ:
# iptables -A INPUT -i eth0 --dport 80 -j ACCEPT chấpnhậncácpacketvàocổng80t
r
ên
car
dmạnget
h0
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 17
# iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP t
hảcácpacketđếncổng23dùng
gi
aot
hứcTCPt
r
êncar
dmạnget
h0
# iptables -A INPUT -i eth1 -s ! 10.0.0.1-10.0.0.5 --dport 22 -j REJECT --reject-with tcpreset gởigóiTCPvớicờRST=1chocáckếtnốikhôngđếnt
ừdãyđị
achỉI
P10.
0.
0.
1.
.
5
t
r
êncổng22,car
dmạnget
h1
# iptables -A INPUT -p udp --dport 139 -j REJECT --reject-with icmp-port-unreachable
gởigóiI
CMP`por
t
-unr
eachabl
e`chocáckếtnốiđếncổng139,dùnggi
aot
hứcUDP
Phân bi
ệtgi
ữaNEW ,ESTABLISHED vàRELATED
- NEW:mởkếtnốimới
- ESTABLI
SHED:đãt
hi
ếtl
ậpkếtnối
- RELATED:mởmộtkếtnốimớit
r
ongkếtnốihi
ệnt
ại
Vídụ:
# iptables -P INPUT DROP đặtchí
nhsáchchochai
nI
NPUTl
àDROP
# iptables -A INPUT -p tcp --syn -m state --state NEW -j ACCEPT chỉchấpnhậncácgói
TCPmởkếtnốiđãsetcờSYN=1
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT khôngđóngcác
kếtnốiđangđượct
hi
ếtl
ập,
đồngt
hờicũngchophépmởcáckếtnốimớit
r
ongkếtnối
đượct
hi
ếtl
ập
# iptables -A INPUT -p tcp -j DROP cácgóiTCPcònl
ạiđềubịDROP
Tùychọn --limit, --limit-burst
--limit-bur
st
:mứcđỉ
nh,t
í
nhbằngsốpacket
--l
i
mi
t
:t
ốcđộkhichạm mứcđỉ
nh,t
í
nhbằngsốpacket
/
s(
gi
ây)
,m(
phút
)
,d(
gi
ờ)hoặc
h(ngày)
Mì
nhl
ấyvídụcụt
hểđểbạndễhi
ểu:
# iptables -N test
# iptables -A test -m limit --limit-burst 5 --limit 2/m -j RETURN
# iptables -A test -j DROP
# iptables -A INPUT -i lo -p icmp --icmp-type echo-request -j test
Đầu t
i
ên l
ệnh iptables -N test để t
ạo mộtchai
n mớit
ên l
àt
est(
t
abl
e mặc đị
nh l
à
f
i
l
t
er
)
.Tùy chọn -A test (
append)để t
hêm l
uậtmớivào chai
nt
est
.Đốivớichai
nt
est
,
mì
nh gi
ớihạn l
i
mi
t
-bur
stở mức 5 gói
,l
i
mi
tl
à 2 gói
/
phút
,nếu t
hỏa l
uậtsẽ t
r
ở về
(
RETURN)còn không sẽbịDROP.Sau đó mì
nh nốit
hêm chai
nt
estvào chai
nI
NPUT với
t
ùychọncar
dmạngvàol
àl
o,gi
aot
hứci
cmp,l
oạii
cmpl
à echo-r
equest
.Luậtnàysẽgi
ới
hạn cácgóiPI
NG t
ớil
ol
à2 gói
/
phútsau khiđãđạtt
ới5 gói
.
Bạn t
hử pi
ng đến l
ocal
host
xem sao?
$ ping -c 10 localhost
Chỉ5 góiđầu t
r
ong phútđầu t
i
ên đượcchấp nhận,t
hỏal
uậtRETURN đó.Bâygi
ờđãđạt
đến mứcđỉ
nh l
à5 gói,l
ậpt
ứcI
pt
abl
essẽgi
ớihạn PI
NG t
ớil
ol
à2 góit
r
ên mỗiphútbất
chấpcóbaonhi
êugóiđượcPI
NG t
ớil
ođinữa.Nếut
r
ongphútt
ớikhôngcógóinàoPI
NG
t
ới
,I
pt
abl
essẽgi
ảm l
i
mi
tđi2góit
ứcl
àt
ốcđộđangl
à2gói
/
phútsẽt
ăngl
ên4gói
/
phút
.
Nếu t
r
ong phútnữa không có góiđến,l
i
mi
tsẽ gi
ảm đi2 nữa l
àt
r
ở về l
ạit
r
ạng t
háicũ
chưađạtđếnmứcđỉ
nh5 gói
.Quát
r
ì
nhcứ t
i
ếpt
ụcnhư vậy.Bạnchỉcầnnhớđơngi
ảnl
à
khiđã đạtt
ớimứcđỉ
nh,t
ốcđộ sẽ bịgi
ớihạn bởit
ham số--l
i
mi
t
.Nếu t
r
ong mộtđơn vị
t
hờigi
an t
ớikhôngcógóiđến,t
ốcđộsẽt
ăngl
ên đúngbằng --l
i
mi
tđến khit
r
ởl
ạit
r
ạng
t
háichưađạtmức--limit-burst thì thôi.
Đểxem cácl
uậtt
r
ongI
pt
abl
esbạn gõl
ệnh $ i
pt
abl
es-L -nv (-Lt
ấtcảcácl
uậtt
r
ongt
ất
cảcácchai
n,t
abl
emặcđị
nh là filter, -nl
i
ệtkêởdạngsố,vđểxem chit
i
ết
)
# iptables -L -nv
Chain INPUT (policy ACCEPT 10 packets, 840 bytes)
pkts bytes target prot opt in out source destination
10 840 test icmp -- lo * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 18
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 15 packets, 1260 bytes)
pkts bytes target prot opt in out source destination
Chain test (1 references)
pkts bytes target prot opt in out source destination
5 420 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5
5 420 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
# iptables -Z reset counter
# iptables -F f
l
ushl
uật
# iptables -X xóachai
nđãt
ạo
Redi
rectcổng
I
pt
abl
eshổt
r
ợt
ùychọn-j REDIRECT chophépbạnđổihướngcổngmộtcáchdễdàng.Ví
dụ như SQUI
D đang l
i
st
en t
r
ên cổng 3128/
t
cp.Để r
edi
r
ectcổng 80 đến cổng 3128 này
bạnl
àm nhưsau:
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
Lưuý:t
ùychọn-j REDIRECT cho có trong chain PREROUTING
SNAT & MASQUERADE
Để t
ạo kếtnối`t
r
anspar
ent
` gi
ữa mạng LAN 192.
168.
0.
1 vớiI
nt
er
netbạn l
ập cấu hì
nh
chot
ườngl
ửaI
pt
abl
esnhưsau:
# echo 1 > /proc/sys/net/ipv4/ip_forward chophépf
or
war
dcácpacketquamáychủ đặt
Iptables
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 210.40.2.71 đổiI
Pnguồn
chocácpacketr
acar
dmạnget
h0 l
à210.
40.
2.
71.Khinhậnđượcpacketvàot
ừI
nt
er
net
,
I
pt
abl
essẽt
ự động đổiI
Pđí
ch 210.
40.
2.
71 t
hành I
Pđí
ch t
ương ứng củamáyt
í
nh t
r
ong
mạngLAN 192.
168.
0/
24.
Hoặcbạncót
hểdùngMASQUERADEt
haychoSNATnhưsau:
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
(
MASQUERADEt
hườngđượcdùngkhikếtnốiđếnI
nt
er
netl
àpp0vàdùngđị
achỉI
P
động)
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài
:Ant
oànvàbảomậtt
r
ênhệđi
ềuhànhLi
nux
Page 19
DNAT
Gi
ảsửbạnđặtcácmáychủPr
oxy,Mai
lvàDNS t
r
ongmạngDMZ.Đểt
ạokếtnốitrong
suốtt
ừI
nt
er
netvàocácmáychủnàybạnl
ànhưsau:
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination
192.168.1.2
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination
192.168.1.3
# iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to-destination
192.168.1.4
Lập cấu hì
nh Ipt
abl
escho máychủ phụcvụ W eb
Phầnnàymì
nhs
ẽt
r
ì
nhbàyquav
ídục
ụt
hểvàc
hỉhướngdẫnc
ácbạnl
ọcpac
k
etvào. Các packet
`f
or
war
d`và'
out
put
'bạnt
ựl
àm nha.Gi
ảs
ửnhưmáyc
hủphụcv
ụWebk
ếtnốimạngt
r
ựct
i
ếpvào
I
nt
er
netquac
ar
dmạnget
h0,đị
ac
hỉI
Pl
à1.
2.
3.
4.Bạnc
ầnl
ậpc
ấuhì
nht
ườngl
ửac
hoI
pt
abl
esđáp
ứngc
ácy
êuc
ầus
au:
-c
ổngTCP80(
c
hạyapac
he)mởc
homọingườit
r
uyc
ậpweb
-c
ổng21(
c
hạypr
of
t
pd)c
hỉmởc
howebmas
t
er(
dùngđểupl
oadf
i
l
el
ênpubl
i
c
_ht
ml
)
-c
ổng22(
c
hạyopens
s
h)c
hỉmởc
hoadmi
n(
c
ungc
ấps
hel
l`r
oot
`c
hoadmi
nđểnângc
ấp&pat
c
hl
ỗi
c
hos
er
v
erk
hic
ần)
-c
ổngUDP53(
c
hạyt
i
ny
dns
)đểphụcv
ụt
ênmi
ền(
đâyc
hỉl
àv
ídụ)
-c
hỉc
hấpnhậnI
CMPPI
NGt
ớiv
ớic
ode=0x
08,c
ácl
oạipac
k
etc
ònl
ạiđềubịt
ừc
hối
.
Bước1:t
hi
ếtl
ậpcáct
ham sốchonhân
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_source_route
tcp_syncooki
es=1bậtchứcnăngchốngDoS SYN quasyncooki
ecủaLi
nux
t
cp_f
i
n_t
i
meout
=10đặtt
hờigi
ant
i
meoutchoquát
r
ì
nhđóngkếtnốiTCPl
à10gi
ây
t
cp_keepal
i
ve_t
i
me=1800đặtt
hờigi
angi
ữkếtnốiTCPl
à1800gi
ây
...
Cáct
ham sốkhácbạncót
hểxem chit
i
ếtt
r
ongt
àil
i
ệuđikèm củanhânLi
nux.
Bước2: nạpcácmôđuncầnt
hi
ếtchoI
pt
abl
es
ĐểsửdụngI
pt
abl
es,bạncầnphảinạpt
r
ướccácmôđuncầnt
hi
ết
.Vídụnếubạnmuốn
dùngchứcnăngLOG t
r
ongI
pt
abl
es,bạnphảinạpmôđuni
pt
_LOG vàot
r
ướcbằngl
ệnh#
modprobe ipt_LOG.
GVHD:
NguyễnTấnKhôi
Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương