Đồ Án Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux

MỤC LỤC

LỜI CẢM ƠN 1

Chương 1 : TỔNG QUAN AN TOÀN AN NINH MẠNG 9
I. Tình hình thực tế. 9
II. Mô hình mạng. 11
2.1 Mô hình OSI và TCP/IP. 11
2.2 Các tầng của mô hình TCP/IP. 12
2.2.1 Tầng truy nhập mạng - Network Acces Layer 13
2.2.2 Tầng Internet – Internet Layer 13
2.2.3 Tầng giao vận - Transport Layer 13
2.2.4 Tầng ứng dụng – Application Layer 13
2.3 Các giao thức,dịch vụ trong mạng TCP/IP. 14
2.3.1 Các giao thức tầng mạng – Network Layer Protocols. 14
b. Giao thức ánh xạ địa chỉ - Address Resolution Protocol (ARP. 14
2.3.2 Các giao thức tầng giao vận – Transport Layer Protocols. 15
2.3.3 Các dịch vụ tầng ứng dụng. 17
e. Các dịch vụ tìm kiếm : 18
2.4 Các lỗ hổng trên mạng. 18
III. Các mục tiêu cần bảo vệ. 19
3.1 Dữ liệu. 19
3.2 Tài nguyên. 20
3.3 Danh tiếng. 20
IV. Tấn công trên mạng và các chiến lược bảo vệ. 20
4.1 Các dạng tấn công. 20
4.1.1 Xâm nhập. 20
4.1.2 Từ chối dịch vụ. 22
4.1.3 Ăn trộm thông tin. 24
4.2 Một số kỹ thuật tấn công. 25
4.2.1 Giả mạo địa chỉ IP ( IP Spoofing ) 25
4.2.2. SYN flooding – Tấn công tràn ngập gói tin SYN 26
4.2.3 ICMP flooding – Tấn công tràn ngập gói tin ICMP. 27
4.3 Các chiến lược bảo vệ mạng. 28
4.3.1 Quyền hạn tối thiểu ( Least Privilege ) 28
4.3.2 Bảo vệ theo chiều sâu ( Defence in Depth ) 28
4.3.3 Nút thắt ( Choke Point ) 28
4.3.4 Liên kết yếu nhất ( Weakest Link ) 29
4.3.5 Hỏng an toàn ( Fail – Safe Stance ) 29
4.3.6 Tính toàn cục ( Universal Participation ) 29
4.3.7 Đa dạng trong bảo vệ ( Diversity of Defence ) 29
4.3.8 Đơn giản ( Simplicity ) 30
Chương 2 : INTERNET FIREWALL 31
I. Khái niệm 32
1.1 Khái niệm 32
1.2 Ưu, nhược điểm của Firewall 32
1.2.1 Ưu điểm : 32
1.2.2 Nhược điểm 33
II. Các chức năng cơ bản của Firewall 34

2.1 Packet Filtering. 34
2.1.1 Khái niệm 34
2.1.2 Các hoạt động của Packet Filtering. 36
2.1.3 Ưu, nhược điểm của Packet Filtering. 36
2.2 Proxy. 36
2.2.1 Khái niệm 36
2.2.2 Ưu nhược điểm của Proxy. 37
2.2.3 Các hoạt động của Proxy. 37
2.2.4 Phân loại Proxy. 37
2.2.5 Sử dụng Proxy với các dịch vụ Internet 38
2.3 Network Address Translation. 39
2.4 Theo dõi và ghi chép ( Monitoring and Logging ) 39
III. Kiến trúc Firewall 40
3.1 Bastion host 40
3.1.1 Những nguyên tắc chính của một Bastion host 41
3.1.2 Các dạng Bastion host 41
2.3.4 Vị trí của Bastion host trên mạng. 41
3.2 Dual –home host 42
3.3 Screened host 43
3.4 Screened Subnet 44
3.5 Một số kiến trúc biến thể khác. 46
IV. Bảo dưỡng Firewall 46
4.1 Quản lý Firewall 46
4.1.1 Sao lưu Firewall 46
4.1.2 Quản lý các tài khoản. 46
4.1.3 Quản lý dung lượng đĩa. 46
4.2 Kiểm tra hệ thống. 47
4.3 Luôn cập nhật cho Firewall 47
Chương 3 : HỆ ĐIỀU HÀNH LINUX 48
I. Tổng quan hệ điều hành Linux. 49
1.1 Sơ lược về Linux. 49
1.2 Môi trường Linux. 49
1.2.1. Kernel: 49
1.2.2. Bộ điều khiển thiết bị: 50
1.2.3. Lệnh và tiện ích: 50
1.2.4. Shell: 50
1.2.5. Windows và Graphic User Interface: 51
1.3 Lập trình Shell script 51
1.3.1. Shell là gì : 51
1.3.2. Các loại Shell : 51
1.3.3. Viết và chạy các chương trình shell : 51
1.3.4. Các cấu trúc lệnh cơ bản của shell : 52
II. Kết nối mạng trong Linux. 53
2.1 Giới thiệu. 53
2.2 Thiết bị, trình điều khiển và giao diện mạng. 53
2.3 Thiết lập cấu hình mạng TCP/IP. 54
2.4 Truyền các packet 54
III. IPTables. 56
3.1. Giới thiệu iptables. 56
3.2. Quá trình di chuyển của gói tin qua lõi của hệ thống. 56
3.3. Sử dụng IPtables Commands. 59
3.4. Sử dụng Masquerading và NAT. 61
Chương 4 : XÂY DỰNG HỆ THỐNG BKWALL 62
I. Tổng quan về hệ thống BKWall 63
1.1 Mục tiêu xây dựng hệ thống BKWall 63
1.2 Giải pháp kỹ thuật được lựa chọn. 63
1.3 Qui trình phát triển. 64
1.4 Công cụ phát triển. 65
1.5 Dự kiến kết quả đạt được. 65
II. Mô hình và đặc tả chức năng hệ thống BKWall 65
2.1 Mô hình. 65
2.2 Đặc tả chức năng. 66
2.3 Mô hình triển khai BKWall 67
III. Phân tích thiết kế hệ thống BKWall 67
3.1 Biểu đồ phân cấp chức năng. 67
3.2 Biểu đồ luồng dữ liệu. 68
3.2.1 Biểu đồ mức bối cảnh. 68
3.2.2 Biểu đồ mức đỉnh. 68
3.3 Thiết kế module. 70
3.3.1 Module chương trình chính. 71
3.3.2 Module chuyển tiếp yêu cầu. 76
3.3.3 Module quản lý cấu hình. 77
3.3.4 Module quản lý luật cho Packet Filtering, Web Proxy. 77
3.3.5 Module theo dõi thông tin về hệ thống. 81
3.4 Tính bảo mật của hệ thống. 81
IV. Tích hợp, cài đặt, kiểm thử, đánh giá kết quả hệ thống BKWall 82
4.1 Tích hợp hệ thống. 82
4.2 Cài đặt hệ thống. 82
4.3 Kiểm thử hệ thống. 84
4.4 Đánh giá kết quả. 88




















MỤC LỤC HÌNH VẼ
Hình 1-1 : Kiến trúc OSI và TCP/IP. 12
Hình 1-2 : Đường đi của dữ liệu qua các phần tử trên mạng. 12
Hình 1-3 : Cấu trúc gói tin IP ( IP datagram ). 14
Hình 1-5 : Khuôn dạng UDP datagram 17
Hình 1-6: Tấn công kiểu DOS và DDoS. 23
Hình 1-7: Tấn công kiểu DRDoS. 23
Hình 1-8: Mô hình ứng dụng mail trên mạng Internet 24
Hình 1-9: Kết nối Internet từ LAN 24
Hình 1-10 : Thiết lập kết nối TCP giữa client và server. 25
Hình 1-11 : Tấn công tràn ngập SYN (1 ). 26
Hình 1-12 : Tấn công tràn ngập SYN ( 2 ). 27
Hình 1-13 : Tấn công tràn ngập gói tin ICMP. 27
Hình 1-14 : Bảo vệ theo chiều sâu. 28
Hình 2-1 : Vị trí Firewall trên mạng. 32
Hình 2-2 : Screening Router sử dụng bộ lọc gói 34
Hình 2-3 : Proxy Server. 37
Hình 2-4: Chuyển đổi địa chỉ mạng. 39
Hình 2-5: Kiến trúc Dual –home host 43
Hình 2-6: Kiến trúc Screen host 44
Hình 2-7: Kiến trúc Screen subnet 44
Hình 3-1: Mô hình chức năng Shell 51
Hình 3-2: Giao diện, trình điều khiển và thiết bị 53
Hình 3‑3: Sơ đồ Netfilter hook. 55
Hình 3-4 : Quá trình gói tin trong lõi hệ thống Linux. 58
Hình 4-1: Mô hình tổng thể hệ thống BKWall 66
Hình 4-2: Đặc tả chức năng hệ thống BKWall 66
Hình 4-3: Mô hình triển khai BKWall 67
Hình 4-4: Biểu đồ phân cấp chức năng. 67
Hình 4-5: Biểu đồ luồng dữ liệu mức bối cảnh. 68
Hình 4-6: Biểu đồ chức năng điều khiển. 68
Hình 4-7: Biểu đồ chức năng Quản lý cấu hình. 69
Hình 4-8: Biểu đồ chức năng Quản lý luật lọc gói 69
Hình 4-9: Biểu đồ chức năng Quản lý luật Web Proxy. 70
Hình 4-10: Biểu đồ chức năng theo dõi hoạt động. 70
Hình 4-11: Sơ đồ khối module chương trình chính. 71
Hình 4-12: Sơ đồ khối module chuyển tiếp yêu cầu. 76
Hình 4-13:Sơ đồ khối module quản lý cấu hình. 77
Hình 4-14: Sơ đồ khối module quản lý luật 78
Hình 4-15: Mô hình triển khai BKWall trong mạng. 83
Hình 4-16: Trang chủ - Home page. 86
Hình 4-17: Cấu hình Packet Filtering. 86
Hình 4-18: Các dịch vụ: truy cập từ xa, thay đổi password. 87
Hình 4-19: Trang cấu hình Web Proxy. 87
Hình 4-20: Trang thông tin trạng thái hệ thống. 88

BẢNG CÁC TỪ VIẾT TẮT

ARP( Address Resolution Protocol ) : Giao thức chuyển đổi từ địa chỉ IP sang địa chỉ vật lý
BKWall( Bach Khoa Firewall System )
CGI (Common Gateway Interface) : Giao tiếp gateway chung
DDoS(Distributed Denied of Service) : Tấn công từ chối dịch vụ phân tán
DMA(Direct Memory Access) : Truy nhập bộ nhớ trực tiếp
DMZ(DeMilitarized Zone) : Vùng phi quân sự
DNS(Domain Name Service) : Dịch vụ tên miền
DoS(Denied of Service) : Tấn công từ chối dịch vụ
DRDoS(Distributed Reflection Denied of Service) : DoS phản xạ, phân tán
FDDI(Fiber Distributed Data Interface )
FIB(Forwarding Information Table) : Bảng thông tin chuyển đổi định tuyến
FTP(File Transfer Protocol) : Giao thức truyền file
HTTP(Hyper Text Transfer Protocol) : Giao thức truyền siêu văn bản
ICMP(Internet Control Message Protocol): Giao thức điều khiển thông điệp Internet
IGMP(Internet Group Management Protocol) : Giao thức Internet để các host kết nối, huỷ kết nối từ các nhóm multicast.
IP(Internet Protocol) : Giao thức Internet
IPS(Intrusion Preventation System) : Hệ thống phòng chống xâm nhập
ISP(Internet Services Provider) : Nhà cung cấp dịch vụ Internet
ISDN( Integrated Services Digital Network) : Mạng số học các dịch vụ tích hợp
LAN(Local Area Network) : Mạng nội bộ
MAC(Media Access Control) : Địa chỉ thiết bị
MTU(Maximum Transmission Unit) : Đơn vị truyền lớn nhất
NIC(Network Interface Card) : Card giao tiếp mạng
PSTN(Public Switched Telephone Network ) : Mạng điện thoại chuyển mạch công cộng
RARP(Reverse Address Resolution Protocol ) : Giao thức chuyển đổi từ địa chỉ vật lý sang địa chỉ IP
RIP( Routing Information Protocol ) : Một kiểu giao thức dẫn đường
SSL(Secure Socket Layer) : Tầng socket an toàn
SSH( Secure Shell ) : Dịch vụ truy cập từ xa
STMP( Simple Mail Transfer Protocol ) : Giao thức truyền thư đơn giản
TCP(Transmission Control Protocol) : Giao thức điều khiển truyền tin
TELNET : dịch vụ đăng nhập hệ thống từ xa
UDP(User Datagram Protocol) : Giao thức điều khiển truyền tin không tin cậy
URI(Uniform Resouce Indentifier ) Địa chỉ định vị tài nguyên
URL(Uniform Resouce Locator) : Địa chỉ tài nguyên thống nhất




LỜI NÓI ĐẦU

Trong những năm gần đây, việc tổ chức và khai thác mạng Internet rất phát triển. Mạng Internet cho phép các máy tính trao đổi thông tin một cách nhanh chóng, thuận tiện. Mọi đối tượng đều có thể sử dụng các dịch vụ và tiện ích của Internet một cách dễ dàng như trao đổi thông tin, tham khảo các thư viện tri thức đồ sộ của nhân loại Tai thời điểm hiện nay thì lơi ích của Internet là quá rõ ràng và không thể phủ nhận. Nhưng một điều không may là đi kèm với nó là các nguy cơ mất an toàn thông tin trên Internet đang là một vấn đề hang đầu cản trở sự phát triển của Internet. Bảo đảm an toàn an ninh không chỉ là nhu cầu riêng của các nhà cung cấp dịch vụ mà nó còn là nhu cầu của chính đáng của mỗi người sử dụng. Các thông tin nhạy cảm về quốc phòng, thương mại là vô giá và không thể để lọt vào tay đối thủ cạnh tranh
Trên thế giới đã có nhiều công trình nghiên cứu về lĩnh vực bảo mật, bảo vệ an toàn thông tin trên mạng và kết quả chúng đã trở thành các sản phẩm thương mại như : Vista Firewall, ZoneAlarm Firewall, VPN-1/Firewall-1, SmoothWall, Astaro Tuy nhiên mỗi loại có những ưu nhược điểm riêng,phát triển theo những hướng khác nhau. Các sản phẩm này được xây dựng trên những nền hệ điều hành khác nhau nhưng chủ yếu là Windows của Microsoft và hệ điều hành mã nguồn mở Linux.
Linux là hệ điều hành họ UNIX miễn phí dùng cho máy tính cá nhân đang được sử dụng rộng rãi hiện nay. Hệ điều hành Linux đã thu những thành công nhất định. Hiện nay Linux ngày càng phát triển, được đánh giá cao và thu hút nhiều sự quan tâm của các nhà tin học.
Tại Việt Nam, mặc dù Internet mới chỉ trở lên phổ biến mấy năm gần đây nhưng những vấn đề an toàn an ninh mạng cũng không là ngoại lệ. Mặc dù thực sự chưa có tổn thất lớn về kinh tế nhưng vẫn tiềm ẩn trong đó rất nhiều nguy cơ mất an toàn. Các cuộc tấn công vào hệ thống của nhà cung cấp dịch vụ, xoá bỏ dữ liệu ngày một tăng. Ở Việt Nam hiện nay chưa có sản phẩm Firewall thương mại nào của người Việt tạo ra. Đặc biệt là sản phẩm Firewall được xây dựng trên nền hệ điều hành mã nguồn mở Linux.
Do đó, muốn khai thác và sử dụng Internet thì vấn đề an toàn an ninh phải được đặt lên hang đầu. Có rất nhiều biện pháp khác nhau để bảo vệ hệ thống chống lại các cuộc tấn công từ bên ngoài. Một trong những biện pháp được áp dụng rộng rãi là sử dụng tường lửa – Firewall. Thực tế đã cho thấy đây là một biện pháp đơn giản nhưng hiệu quả đạt được lại rất khả quan.
Trên cơ sở đó, em đã chọn đề tài : “ Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux”

Mục tiêu của đề tài bao gồm :
1. Tìm hiểu chung về an toàn an ninh mạng, các kỹ thuật tấn công trên mạng. Các chiến lược bảo vệ.
2. Tìm hiểu lý thuyết về Firewall
3. Thực hiện xây dựng một Firewall trên nền hệ điều hành Linux
Bố cục của đồ án gồm 4 chương được bố trí như sau :
· Chương 1 : Tổng quan an toàn an ninh mạng
Trình bày các khái niệm chung về an toàn an ninh mạng, tính cấp thiết của đề tài. Các mô hình mạng và các giao thức được sử dụng để truyền thông trên mạng.
Các dạng tấn công, một số kỹ thuật tấn công đang được sử dụng phổ biến hiện nay, từ đó đưa ra các chiến lược bảo vệ hệ thống khỏi các nguy cơ này.
· Chương 2 : Internet Firewall
Trình bày khái niệm tổng quát về Firewall. Các chức năng cơ bản của Firewall. Các mô hình hay kiến trúc triển khai của một Firewall trong hệ thống.
· Chương 3: Hệ điều hành Linux
Chương này trình bày khái quát về hệ điều hành Linux. Cấu hình mạng trong môi trường Linux. Đặc biệt là chúng ta quan tâm đến một gói tiện ích được tích hợp hầu hết trong các bản phân phối Linux. Đó là IPtables – Nó thực hiện chức năng lọc gói ở mức lõi ( kernel ) của hệ thống. Từ đó đưa ra một vài mô hình Firewall đơn giản dựa trên IPtables.

· Chương 4 : Xây dựng hệ thống BKWall – Bach Khoa Firewall System.
Thực hiện xây dựng hệ thống BKWall dựa trên sản phẩm mã nguồn mở SmoothWall.
Ngoài ra, đồ án còn có phần phụ lục trình bày các bảng từ viết tắt sử dụng trong bài, danh mục các tài liệu tham khảo.