tường lửa ip cop

BÁO CÁO THỰC TẬP CHUYÊN NGÀNH

2

Sinh viên thực hiện: Trần Văn Quyết

LỜI MỞ ĐẦU

Thuật ngữ “Internet” xuất hiện lần đầu vào khoảng năm 1974. Cho tới hiện tại sự phát

triển của Internet đã phát triển rất mạnh, tới những vùng xa xôi, hẻo lánh. Hầu hết tất cả

dân số thế giới đều đã được tiếp xúc với Internet. Cùng với sự phát triển mạnh của nó cũng

kéo theo những vấn đề về an ninh mạng, bảo mật thông tin trên Internet ngày càng được

quan tâm nhiều hơn. Để có thể bảo vệ mình trước những nguy cơ tiềm ẩn, không phải ai

cũng có thể làm được.

Có nhiều cách giúp chúng ta có thể bảo vệ chính các cá nhân, cơ quan, tập thể, các công

ty khỏi sự nguy hiểm trên Internet. Mà thường được sử dụng đó là “Tường lửa” – một lớp

bảo vệ vững chắc ngăn cách chúng ta khỏi nguy cơ trên mạng Internet, giúp chúng ta an

toàn hơn, bảo mật thông tin hơn trong thể giới mạng đầy nguy hiểm.

Việc nghiên cứu và lập trình các chương trình tường lửa là điều hướng tới của nhiều

sinh viên theo học Công nghệ thông tin. Bản báo cáo này trình bày các khái niệm về liên

quan tới tường lửa, cũng như các đặc thù của tường lửa. Ngoài ra, còn tìm hiểu sâu hơn về

mô hình tường lửa IPCop – mô hình tường lửa nhỏ nhẹ, thường được áp dụng trong các

doanh nghiệp vừa và nhỏ, các hộ gia đình hay những quán Net, ...

Được sự giúp đỡ nhiệt tình của các giảng viên khoa Công nghệ thông tin, cũng như các

giảng viên của trung tâm Truyền dữ liệu số - VDC đã giúp em trong quá trình thực hiện đề

tài, tạo cơ hội cho em được tham gia học hỏi, rèn luyện các kĩ năng cho đợt thực tập cuối

khóa.

Đặc biệt, em xin gửi lời cảm ơn tới TS.Nguyễn Ngọc Hiếu – là người đã trực tiếp hướng

dẫn, giải đáp thắc mắc cũng như góp ý cho bài báo cáo này, thầy sẵn sàng trả lời những

thắc mắc khi cần thiết để giúp em có thể hoàn thành bài báo cáo của mình.

Mặc dù đã có nhiều cố gắng nhưng do kiến thức còn hạn chế cùng với kinh nghiệm chưa

có nhiều nên không thể tránh khỏi những thiếu sót trong quá trình thực hiển và triển khai

đề tài. Vì vậy em rất mong nhận được sự thông cảm, cũng như những bổ sung, đóng góp ý

kiển của các thầy, cô giáo và các bạn để bài báo cáo này của em được hoàn thiện hơn.

Sinh viên thực hiện

Trần Văn Quyết


3


MỤC LỤC

Chương I. Tổng quan đề tài

I. Đề tài

1. Tên đề tài ………………………………………………………………… 4

2. Mục đích và ý nghĩa …………………………………………………….. 4

Chương II. Giới thiệu chung về tường lửa

I. Khái niệm và chức năng của firewall

1. Khái niệm ………………………………………………………………... 4

2. Chức năng ………………………………………………………………. 5

II. Cấu trúc, thành phần và cơ chế hoạt động

1. Cấu trúc …………………………………………………………………. 6

2. Thành phần và cơ chế hoạt động ………………………………………. 6

a. Thành phần ………………………………………………………….. 6

b. Cơ chế hoạt động ……………………………………………………. 6

III. Phân loại, kỹ thuật và hạn chế của tường lửa

1. Các loại tường lửa ………………………………………………………. 9

2. Kỹ thuật và hạn chế của tường lửa ………………………………….. 10

a. Lọc khung (Frame Fitering) ……………………………………... 10

b. Lọc gói (Packet Fitering) ………………………………………… 10

3. Những hạn chế của tường lửa …………………………………………. 11

IV. Một số mô hình tường lửa

1. Packet-Fitering Router ………………………………………………… 11

2. Sreened Host …………………………………………………………… 12

3. Demilitarzed Zone …………………………………………………….... 14

4. Proxy Server ……………………………………………………………. 15

Chương III. Giới thiệu chung về IPCop

I. Giới thiệu chung và mục đích IPCop Firewall

1. Giới thiệu về IPCop …………………………………………………….. 16

2. Mục đích ………………………………………………………………... 16

II. Những thành phần và tính năng của IPCop Firewall

1. Các thành phần ………………………………………………………… 17

a. Giao diện web ………………………………………………………. 17

b. Giao diện mạng …………………………………………………….. 17

c. Ưu điểm của IPCop Firewall ……………………………………… 17

2. Các tính năng quan trọng của IPCop Firewall ………………………. 18


4


a. Web proxy …………………………………………………………... 18

b. DHCP và Dynamic DNS …………………………………………… 19

c. Time Server và Port Forwarding …………………………………… 20

d. Traffic Shaping và VNP …………………………………………….. 22

Chương IV. Cài đặt và Demo ứng dụng

I. Cài đặt

1. Mô hình …………………………………………………………………. 23

2. Cài đặt …………………………………………………………………... 23

II. Demo ứng dụng

1. Cài đặt và cấu hình Urlfilter …………………………………………… 28

2. Cài đặt và cấu hình Blockouttraffic …………………………………… 29

3. Port forwarding ………………………………………………………… 32

4. Advance proxy ………………………………………………………….. 33


5


CHƯƠNG I: TỔNG QUAN ĐỀ TÀI

I. Đề tài

1. Tên đề tài

Tìm hiểu về Firewall, cài đặt và cấu hình Firewall IPCop.

2. Mục đích và ý nghĩa

- Hiểu được và nắm vững cấu trúc, các thành phần và nguyên lý hoạt động và chức năng

của Tường lửa.

- Giới thiệu các mô hình tường lửa.

- Giới thiệu về IPCop Firewall và các tính năng của nó.

- Xây dựng được mô hình demo về IPCop.

- Triển khai cài đặt và cấu hình dịch vụ IPCop Firewall.

CHƯƠNG II: GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA

I. Khái niệm và chức năng của firewall

1. Khái niệm

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn

chặn, chạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích

hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các nguồn thông tin

nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall

là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng.

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ

chức, ngành hay một quốc gia và Internet. Vài trò chính là bảo mật thông tin, ngăn chặn sự

truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một số địa chỉ

nhất định trên Internet.


6


Một cách vắn tắt, Firewall là hệ thông ngăn chặn vệc truy nhập trái phép từ bên ngoài

vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện lọc bỏ

những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.

Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.

Firewall cứng: Là những firewall được tích hợp sẵn trên Router hoặc trên các thiết bị

chuyên dụng.

+ Hoạt tính cao hơn so với firewall mềm.

+ Tốc độ xử lý nhanh hơn.

+ Bảo mật cao hơn.

+ Chi phí đắt hơn so với firewall mềm.

Firewall mềm: Là những firewall được cài sẵn trên Server.

+ Hoạt tính không cao bằng firewall cứng.

+ Tốc độ xử lý chậm, phụ thuộc hệ điều hành.

+ Tiện lợi, có thể cài đặt dễ dàng trên các máy server.

+ Đa dạng, chi phí thấp hơn so với firewall cứng.

2. Chức năng

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và Internet.

Thiết lập cớ chế điều khiển dòng thông tin giữa Intranet và mạng Internet.

Cụ thể:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài.

Cho phép hoặc cấm những dịch vụ từ ngoài truy nhập vào trong.

Theo dõi luồng dữ liệu giữa mạng Internet và LAN.

Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung

thông tin lưu chuyển trên mạng.

Một Firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt

chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy. Một

bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập

từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử dụng để ghi lại tất

cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không

được phân quyền đột nhập.

Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng.

Điều này còn được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu

lượng mạng. Điều này được gói là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp


7


hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng. Ví dụ: http, ftp, hoặc telnet.

Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.

II. Cấu trúc, thành phần và cơ chế hoạt động của tường lửa

1. Cấu trúc

Firewall bao gồm:

Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc là có chức

năng router.

Các phần mềm quản lý an ninh chạy trên hệ thông máy chủ. Thông thường là các hệ

quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting).

2. Thành phần và cơ chế hoạt động

a. Thành phần

Firewall chuẩn gồm một hay nhiều các thành phần sau đây:

Bộ lọc packet (packet - filtering router).

Cổng ứng dụng (application - level gateway hay proxy server).

Cổng mạch (Circuite level gateway).

b. Cơ chế hoạt động

Bộ lọc packet

Firewall hoạt động chặt chẽ với giao thức TCP/IP vì giao thức này làm việc theo thuật

toán chia nhỏ các dữ liệu nhân được từ các ứng dụng trên mạng, hay nói chính xác hơn là

các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, …) thành các gói dữ liệu (data

packet) rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại ở đich cần gửi

đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa

chỉ của chúng.


8


Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ

đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của

lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet

(header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:

Địa chỉ IP nguồn (Source).

Địa chỉ IP nơi nhận (Destination).

Những thủ tục truyền tin (TCP, UDP, ICMP, …).

Cổng TCP/UDP nơi xuất phát.

Công TCP/UDP nơi nhận.

Dạng thông báo ICMP.

Giao diện packet đến.

Giao diện packet đi.

Nếu packet thỏa các luật lệ đã được thiết lập trước cảu Firewall thì packet đó được

chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các công làm cho Firewall có

khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống

mạng cục bộ.

Ưu điểm

Đa số các hệ thông Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của

phương pháp này là đảm bảo thông qua lưu lượng mạng.

Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu

cầu sự huẩn luyện đặc biệt nào cả.

Hạn chế

Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản

trị mạng cần phải có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header và

các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các

luật lệ lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.

Cổng ứng dụng

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại

dịch vụ, giao thức được cho phép truy nhập vào hệ thông mạng. Cơ chế hoạt động của nó

dựa trên các thức gọi là Proxy server (Dịch vụ ủy quyền). Proxy service là các bộ code đặc

biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy

code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không

thể chuyển thông tin qua firewall. Ngoài ra, proxy code (Mã ủy nhiệm) có thể được định

cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp

nhận được trong khi từ chối những đặc điểm khác.

Một cổng ứng dụng thường được coi như là môt pháo đài chủ (bastion host), bởi vì nó

được thiết kế đặc biết để chống lại sư tấn công từ bên ngoài. Những biện pháp an ninh của

một bastiton host là:


9


Bastion host luôn chạy các version (phiên bản) an toàn cảu các phần mền hệ thống

(Operating system). Các version an toàn này được thiết kế chuyển cho mục đích chống lại

sự tấn công vào OS, cũng như là đảm bảo sự tích hợp firewall.

Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên

bastition host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể dẽ bị tấn công.

Thông thường chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP,

SMTP và xác thực user là được cài đặt trên Bastiton host.

Bastiton host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password

hay smart card.

Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất

định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một

số máy chủ trên toàn hệ thống.

Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua

nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật kí này rất có ích trong việc tìm theo dấu

vết hay ngăn chặn kẻ phá hoại.

Mỗi proxy đều độc lập với các proxy khác trên bastion host. Điều này cho phép dễ dàng

trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề.

Ưu điểm

Cho phép người quản trị mạng hoàn toàn điều khiển được từn dịch vụ trên mạng, bởi vì

ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được

các dịch vụ.

Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào đó cho

phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ

ấy bị khóa.

Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có ghi nhật ký thông tin về

truy nhập hệ thống.

Luật lệ lọc cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.

Hạn chế

Yêu cầu các user thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên máy client

cho truy nhập các dịch vụ proxy. Tuy nhiên, cũng đã có một số phần mềm client cho phép

ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ

không phải cổng ứng dụng trên lệnh Telnet.

Cổng mạch

Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng.

Cổng mạch đơn giản chi chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ hành động

xử lý hay lọc packet nào.


10


Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị

mạng thật sự tin tưởng những người sử dụng bên trong. Ưu điểm lớn nhất là một Bastion

host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những kết nối

đến và cổng mạch cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử

dụng cho những người trong mạch nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet,

trong khi vẫn cung cấp chức năng tường lửa để bảo vệ mạng nội bộ từ những sự tấn công

bên ngoài.

III. Phân loại, kỹ thuật và hạn chế của tường lửa

1. Các loại tường lửa

Có 3 loại tường lửa cơ bản tùy theo:

Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng.

Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng.

Tường lửa có theo dõi trạng thái của truyền thông hay không.

Phân loại theo phạm vi của các truyền thông được lọc, có các loại sau:

Tường lửa cá nhân, một ứng dụng phân mềm với chức năng thông thường là lọc dữ liệu

ra vào một máy tính đơn.

Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại

ranh giới của hai hay nhiều mạng hoặc các khu vực phi quân sự (mạng con trung gian giữa

các mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả giao thông dữ

liệu vào hoặc ra các mạng được kết nối qua nó.


11


Loại tường lửa mạng tương ứng với nghĩa truyền thông của thuật ngữ “tường lửa”

trong ngành mạng máy tính.

Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có 3 loại

tường lửa chính:

Tường lửa tầng mạng. Ví dụ iptables.

Tường lửa tầng ứng dụng. Ví dụ: TCP Wrappers.

Tường lửa ứng dụng. Ví dụ: Hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp

/etc/ftpaccess.

Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc

dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả

hai.

Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết

nối mạng, hay chỉ quan tâm đến từng gói tin một các riêng rẽ, có hai loại tường lửa:

Tường lửa có trạng thái (Stateful firewall).

Tường lửa phi trạng thái (Stacteless firewall).

2. Kỹ thuật và hạn chế của tường lửa

a. Lọc khung (Frame Filering)

Hoạt động trong hai tầng của mô hình OSI, có thể lọc, kiểm tra được mức bit và nội

dung của khung tin. Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ chối ngay

trước khi vào mạng.

b. Lọc gói (Packet Fitering)

Kiểu firewall chung nhất là dựa trên tầng mạng của mô hình OSI. Lọc gói cho phép

hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem

đoạn dữ liệu đó có thỏa mãn một trong số các quy định của lọc packet hay không. Các quy

tắc lọc packet dựa vào các thông tin trong Packet header.

Nếu quy tắc lọc packet được thỏa mãn thì gói tin được chuyển qua Firewall. Nếu

không sẽ bị bỏ đi. Như vậy, firewall có thể ngăn cản các kết nối vào hệ thống hoặc khóa

việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.

Một số firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vì chỉ

kiểm tra địa chi IP nguồn mà không thực hiện lệnh trên router, không xác định địa chỉ sai

hay bị cấm. Nó sử dụng địa chi IP nguồn làm chỉ thị, nếu một gói tin mạng địa chỉ nguồn

là địa chỉ giá thì nó sẽ chiếm được quyền truy nhập hệ thống. Tuy nhiên có nhiều biện pháp

kỹ thuật có thể áp dụng cho việc lọc gói tin nhắm khắc phục nhược điểm trên, ngoài trường


12


địa chỉ IP được kiểm tra còn có các thông tin khác được kiểm tra với các quy tắc được tạo

ra trên firewall, các thông tin này có thể là thời gian truy nhập, giao thức sử dụng, cổng.

Firewall kiểu Packet Filtering có hai loại:

Packet filtering firewall: Hoạt động tại tầng mạng của mô hình OSI hay tầng IP trong

mô hình TCP/IP. Kiểu firewall này không quản lý được các giao dịch trên mạng.

Circuit level gateway: Hoạt động tại tầng phiên của mô hình OSI hay tầng TCP/IP. Là

loại firewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối.

3. Những hạn chế của tường lửa

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và

phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những

nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi qua

nó. Một cách cụ thể: Firewall không thể chống lại một cuộc tấn công từ một đường dial-up,

hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa các thiết bị lưu trữ.

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu. Khi có một số chương

trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt

đầu hoạt động ở đây.

Ví dụ với các virus máy tính, firewall không thể làm nhiệm vụ rà quét virus trên các

dữ liệu được chuyển qua nó, do tốc độ làm việc và sự xuất hiện liên tục của các virus mới

và do có rất nhiều các để mã hóa dữ liệu thoát khỏi khả năng kiểm soát của firewall.

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.

IV. Một số mô hình tường lửa

1. Packet-Filtering Router (Bộ trung chuyên có lọc gói tin)

Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt

giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng: chuyển tiếp

truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối

truyền thông.


13


Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nội bộ được

quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn

các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô hình cấu trúc firewall

này là tất cả những gì không được chỉ ra rõ ràng thì có nghĩa là bị từ chối.

Ưu điểm

Giá thành thấp, cấu hình đơn giản.

Trong suốt đối với user.

Hạn chế

Dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo hoặc bị tấn công

ngầm dưới những dịch vụ đã được phép.

Do các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn

công quyết định với số lượng các host và dịch vụ được phép. Điều đó dẫn đến mỗi một host

được phép truy nhập vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp

và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu sự tấn công nào không.

Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống

trên mạng nội bộ có thể bị tấn công.

2. Screened Host

Hệ thống bao gồm một packet-filtering router và một bastion host (pháo đài chủ). Hệ

thống này cung cấp độ bảo mật cao hơn hệ thông trên, vì nó thực hiện cả bảo mật ở tầng

Network và tầng ứng dụng. Đồng thời kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn

công vào mạng nội bộ.

Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Quy luật filtering

router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion


14


host. Việc truyền thông tới tất cả các hệ thống bên trong đều bị khóa, bởi vì các hệ thống

nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết

định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là

chúng phải được sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ

thực hiện bằng cách đặt cấu hình lọc của router sao cho chỉ chấp nhận những truyền thông

nội bộ xuất phát từ bastion host.

Ưu điểm

Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên

Packet-filtering router và bastion. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion

host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài truy nhập qua

bastion host trước khi kết nối với máy chủ. Trường hợp không yêu cầu độ an toàn cao thì

các máy nội bộ có thể nối thẳng tới máy tính.

Nếu cần độ bảo mật cao hơn nữa thì có dùng hệ thống firewall dual-home (hai chiều)

bastion host. Một hệ thống bastion host như vậy có 2 giao diện mạng (Network Interface),

nhưng khi đó khả năng truyền thông trực tiếp giữa hai giao diện đó qua dịch vụ proxy là bị

cấm.

Hạn chế

Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet,

sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như người dùng

truy nhập được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì

vậy cần phải cấm không cho người dùng truy nhập vào Bastion host.


15


3. Demilitarzed Zone (Khu vực phi quân sự hóa - DMZ)

Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ thống có độ an

toàn cao nhất vì nó cung cấp cả mức bảo mật Network và Application, trong khi định nghĩa

một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nội bộ. Cơ bản, một DMZ

được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được

một số giới hạn các hệ thống trên mạng DMZ và sự truyền trực tiếp qua mạng DMZ là

không thể được.

Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả

mạo địa chỉ IP) và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy

nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ

truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host.

Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó

chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả Information server.

Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép

thông tin ra bắt nguồn từ bastion host.


16


Ưu điểm

Kể tấn công cần phải phá vỡ 3 tầng bảo vệ: Router ngoài, Bastion host và Router trong.

Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là

không thể nhìn thấy, chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến

bởi Internet qua routing table và DMZ Information Exchange (DNS).

Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong

mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều này đảm bảo rằng những user

trong bắt buộc phải truy nhập Internet qua dịch vụ proxy.

Hạn chế

4. Proxy Server

Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway (cổng vào

mức ứng dụng), theo đó một chương trình proxy (ủy quyền) được đặt ở gateway cách một

mạng bên trong tới Internet.

Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng Internet Firewall

TIS (Trusted Information System – Hệ thống thông tin tin cậy), bao gồm một bộ các chương

trình và đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một Firewall. Bộ chương

trình được thiết kế để chạy trên Unix sử dụng TCP/IP với giao diện socket Berkeley.


17


Bộ chương trình proxy được thiết kế cho một số cấu hình firewall, theo các dạng cơ

bản: dual-home gateway, screened host gateway và screened subnet gateway.

Thành phần bastion host trong firewall đóng vai trò như một người chuyển tiếp thông

tin, ghi nhật ký truyền thông và cung cấp các dịch vụ, đòi hỏi độ an toàn cao.

Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rồi trên Internet. Một proxy

server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm chức năng

tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp trực tiếp với

Internet. Người dùng sẽ không thể truy cập được những trang web cho không cho phép (bị

công ty cấm).

Mọi yêu cầu của khách máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy,

nghĩa là Website này được lưu trữ cục bộ, thì trang này sẽ được truy cập mà không cần phải

kết nối Internet, nếu không có trên proxy server và trang này không bị cấm yêu cầu sẽ được

chuyển đến server thật và ra Internet. Proxy server lưu trữ cục bộ các trang Web thường

truy cập nhất trong bộ đệm dẫn đến giảm chi phí mà tốc độ hiển thị trang Web nhanh.

Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại

cho mạng hai định danh: một cho nội bộ, một cho bên ngoài. Điều này tạo ra một bí danh

đối với thế giới bên ngoài gây khó khăn đối với người dùng hay những người muốn xâm

nhập mày nào đó.

Proxy server làm cho việc sử dụng băng thông hiệu quả.

CHƯƠNG III. GIỚI THIỆU CHUNG VỀ IPCOP FIREWALL

I. Giới thiệu và mục đích của IPCop Firewall

1. Giới thiệu về IPCop Firewall

IPCop là một phần mềm được cắt ra từ Linux và có khả năng hoạt động như một

firewall. Nó có những tính năng cao cấp của firewall, bao gồm VPN sử dụng IPSec.

Phần mềm mã nguồn mở (Open Soure Software), bản quyền của GNU Grneral Public

License (GPL) và được miễn phí khi sử dụng.

2. Mục đích của IPCop

IPCop firewall là một firewall ứng dụng cho doanh nghiệp vừa và nhỏ (Small Office/

Home Office - SOHO).

IPCop có thể được phát triển như một add-on để một hệ điều hành theo cách mà

Shorewall là một ứng dụng được cài đặt trên hệ thống linux hoặc máy chủ ISA trên hệ

thống windows.

Nếu máy chủ của bạn với mục đích chỉ là một tường lửa cho mạng của bạn, bạn cần có

một sự hiểu biết đầy đủ và cơ bản về hệ hiều hành Linux để có được những phần mêm cài

đặt và nếu muốn hoạt động tốt thì bạn phải cấu hình cả hai hệ điều hành và IPCop. Tuy


18


nhiên, bản thân IPCop là một điều hành riêng bạn không cần thiết phải biết Linux để sử

dụng hệ thống trên.

II. Những thành phần và tính năng của IPCop Firewall

1. Các thành phần

a. Giao diện web

Nhiều tưởng lửa phức tạp đối với người dùng. Nó đòi hỏi phải có kĩ năng và kinh

nghiệm để làm quen. Giao diện máy chủ ISO là một ví dụ điển hình. Giao diện để cấu hình

IPCop là giao diện Web, đây là giao diện khá dễ sử dụng và trực quan cho người quản trị.

b. Giao diện mạng

IPCop cung cấp bốn giao diện mạng bao gồm: Green, Blue, Orange, Red. Mỗi giao

diện mạng được sử dụng để kết nối đến một mạng riêng biệt.

Green Network Interface

- Giao diện mạng này kết nối với mạng cục bộ (mạng bên trong) của bạn. IPCop sẽ tự

động cho phép tất cả các kết nối từ giao diện mạng này đến tất cả các mạng khác.

Red Network Interface

- Giao diện mạng Red đại diện cho mạng ngoài Internet. Mục đích của mạng Red này

nhằm bảo vệ các nguy cơ đối với mạng Green, Blue và Orange.

- Các phân đoạn Red có thể là một mạng Ethernet giao diện tĩnh hoặc sử dụng DHCP, nó

có thể là một USB ADSL modem, một card ISDN hoặc có thể là một dial-up, anolog

modem kết nối với điện thoại chuyển mạch công cộng.

Orange Network Interface

- Giao diện mạng Orange được thiết kế như một mạng DMZ (demilitized zone). DMZ

mạng ý nghĩa như một phân đoạn mạng giữa mạng nội bộ và một mạng bên ngoài. Trong

khu vực DMZ thường đặt các máy chủ dịch vụ như Web, Mail, …

Blue Network Interface

- Mạng Blue được thêm vào IPCop phiên bản 1.4. Mạng này được kết nối với các thiết bị

không dây và bảo vệ các thiết bị này.

c. Ưu điểm của IPCop Firewall

Dễ quản lý và giám sát

Các nhà phát triển IPCop đã xây dựng một hệ thống giúp cho việc nâng cấp hệ thống

đơn giản hơn. Điều này được thực hiện hoàn toàn trên giao diện Web. Tuy nhiên, nếu người

dùng không muốn đăng nhập vào Linux Console thì việc thay đổi này có thể thực hiện đơn

giản bằng các sử dụng phím và màn hình được gắn liền với máy tính hoặc sử dụng SSH từ

một máy tính trên mạng nội bộ (Giao diện Green). Mặc định SSH bị tắt, vì vậy muốn sử

dụng phải bật nó lên.

Với những trạng thái được cung cấp trên giao diện Web, chúng ta có thể biết hệ thống

đang làm việc như thế nào. Chúng ta có thể nhìn thấy những dịch vụ đang chạy trên tường

lửa, bộ nhớ và tình trạng sử dụng ổ đĩa cũng như lưu lượng đang ra vào.


19


Hoàn toàn miễn phí, yêu cầu thiết bị cấu hình thấp, có thể chạy trên thẻ nhớ SD.

Cài đặt dễ dàng và nhanh chóng hỗ trợ giao diện đã ngôn ngữ.

Quản trị từ xa thông qua Web hoặc SSH.

2. Các tính năng quan trọng của IPCop Firewall

a. Web proxy

IPCop được dùng như một proxy cũng như tường lửa. Bạn có thể dễ dàng quản lý bộ

nhớ cache và cấu hình proxy trên giao diện Green. Tất cả những gì bạn làm là kích vào các

ô trong giao diện để cấu hình proxy trên IPCop.


20


Các dịch vụ proxy cho phép người dùng truy cập các dịch vụ internet, với dịch vụ này

người dùng luôn nghĩ mình đang tương tác trực tiếp với internet. Tuy nhiên, khi Client

muốn truy xuất đến các dịch vụ internet thì phải qua proxy. Proxy có nhiệm vụ xác định

các yêu cầu của người dùng rồi quyết định có đáp ứng hay không. Nếu có đáp ứng thì proxy

sẽ kết nối với Server thật thay cho Client và tiếp tục chuyển tiếp các yêu cầu đến chi client

cũng như đáp ứng những yêu cầu của Server đến client. Vì vậy, proxy giống như trung gian

giữa Server và Client.

b. DHCP và Dynamic DNS

DHCP:

IPCop được cung cấp thêm tính năng cấp phát IP động tương tự trên Windows Server

của Microsoft.

Dynamic DNS

Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao

(do không phải mọi máy đều sử dụng IP tĩnh). Dịch vụ DNS động (Dynamic DNS) cung

cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng dịch vụ Dynamic DNS

gọi là Dynamic DNS Client.


21


Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS

mỗi khi địa chỉ IP của host (vốn được cung cấp bởi ISP bằng phương pháp động) thay đổi

và sau đó update thông tin vào CSDL DNS về sự thay đổi địa chỉ đó. Bằng các này, cho dù

máy chủ có thường xuyên bị thay đổi địa chỉ thì tên miền vẫn được hệ thống máy chủ DNS

trỏ về đúng địa chỉ cấp IP mới đó.

c. Time server và Port Forwarding

Time server

IPCop cung cấp dịch vụ Network Time Protocol dùng để đồng bộ các host trên

Internet.


22


Port Forwarding

Đây là chức năng khá phổ biến trong tường lửa từ doanh nghiệp vừa và nhỏ đến những

doanh nghiệp lớn. Có hai thuận lợi trong IPCop. Thứ nhất là chúng ta không có hạn chế số

lượng chuyển tiếp. Thứ hai, nó rất dễ cài đặt. Đối với những thiết bị của doanh nghiệp vừa

và nhỏ không chỉ chúng ta bị hạn chế về số lượng cổng mà còn tìm thấy những cấu hình

phức tạp xung quanh nó.

Trong mô hình trên, IPCop kết nối với Client trên 2 cổng 25 (Mail) và 80 (Web) nhưng

kết nối đến cổng 25 và 80 đã được chuyển tiếp đến các dịch vụ tương ứng.


23


d. Traffic Shaping và Vitual Private Network – VPN

Trafic Shaping

Thiết lập mức ưu tiên về tốc đô theo port, hỗ trợ cả 2 giao thức là TCP và UDP. Giúp

quản lý hiệu quả băng thông Internet theo nhu cầu sử dụng của từng nhóm ứng dụng.

VPN (Vitual Private Network – Mạng riêng ảo)

Tính năng này cho phép bạn tham gia nhiều mạng hơn trên internet với một liên kết riêng.


24


CHƯƠNG IV: CÀI ĐẶT VÀ DEMO ỨNG DỤNG

I. Cài đặt IPCop Firewall

1. Mô hình

Mô hình IPCop Firewall được mô tả như hình.

2. Cài đặt

Cấu hình IP cho giao diện Green – Mạng LAN.


25


Menu cài đặt các thành phần chính của IPCop:

Ở lựa chọn Network configuration type tùy vào mục đích chúng ta lựa chọn các giao diện

phù hợp, ở đây tôi chọn GREEN + ORANGE + RED. GREEN tương ứng với mạng LAN,

RED là mạng WAN, ORANGE là phân vùng “Phi quân sự” thường được kết nối với hệ

thống máy chủ Web, Mail, ….


26


Ở lựa chọn Driver and card asignments, nhấp OK để HDH tự động nhận card mạng.

Lựa chọn Address settings, chọn RED đề cài đặt card mạng RED, lựa chọn DHCP để máy

nhận IP động được cấp từ ISP.


27


Cài đặt mạng GREEN, IP này được dùng cho các máy chủ Web, Mail trong một vùng riêng,

nhằm đảo bảo an toàn.

Lựa chọn DNS and Gateway settings, chúng ta để tự động.

Lựa chọn DHCP server configuration, chúng ta sẽ cài đặt dải IP cấp động cho những máy

ở mạng LAN – Giao diện mạng GREEN.


28


Tiếp theo cấu hình trên giao diện Web ở máy Client.

Từ trình duyệt web gõ địa chỉ: https://172.16.1.1:445 (IP địa chỉ của GREEN) và nhập user

+ pass đã cài đặt trước đó.

Sau khi đăng nhập thành công, chúng ta có thể xem thông tin các dịch vụ, tình trạng bộ

nhớ, RAM, CPU, … và có thể cấu hình các dịch vụ bằng giao diện Web.

https://172.16.1.1:445/


29


II. Cài đặt và cấu hình gói URLFiter & BlockOuttraffic

1. Cài đặt URLFiter

Đầu tiên chúng ta cần download bộ cài URLFiter.

Tiếp theo sử dụng phần mềm WinSCP để copy bộ cài URLFiter sang Firewall server để cài

đặt.

Tiếp theo ta tiến hành giải nén với lệnh:

tar zxvf ipcop-urlfiter-1.9.3.tar.gz

cd ipcop-urlfiter-1.9.3 – Vào thư mục chứa ipcop-urlfiter-1.9.3

./install để tiến hành cài đặt.

Sau khi cài đặt xong, chúng ta qua máy Client và tiến hành F5 lại trình duyệt, sẽ xuất hiện

tùy chọn URL Filter trong mục Services.

Ở mục blacklist là danh sánh các trang web bị chặn.


30


Chúng ta vào Services => Proxy và Enable tính năng URLFilter.

Trang web không bị chặn.

Trang web bị chặn.

2. Cài đặt BlockOuttraffic

Chúng ta tiến hành download gói cài đặt blockouttraffic về, tiến hành giải nén và cài đặt

với lệnh ./setup.


31


Chọn dịch vụ mặc định SMTP(25).

Add thêm dịch vụ smtps(465).

Add dịch vụ pop3(110).

Add dịch vụ pop3s(995).


32


Add rules mới.

Cài đặt mạng Green ra ngoài bằng các dịch vụ.

Tiến hành bật Rules và lưu lại cấu hình rules.

Enable blocktraffic.

Khi chưa enable rules.


33


Kết quả sau khi bật rules.

3. Port Forwarding

Vào giao diện IPCop từ Client và vào Port forwading.

Thêm rules mới như hình.

Thêm rules nữa với port 110.


34


4. Advance Proxy

- Advance Proxy là dạng proxy chuẩn của IPCop, nó cung cấp đầy đủ các tính năng của

một proxy.

- Để cài Advance proxy chúng ta tải gói advanceproxy.tar.gz. Sau đó tiến hành giải nén

và cài đặt bằng các lệnh tương tự như Url Filtering.

Sau khi cài đặt thành công, ta sẽ vào từ Services -> Advance Proxy.

Cấu hình Advance Proxy.

Unrestricted IP addresses: Không hạn chế đối với IP 172.16.1.3.

Banned IP addresses: Chặn IP 172.16.1.20 truy nhập Internet.


35


Cấu hình giới hạn tốc độ download/upload file cho toàn hệ thống mạng.

Với IP 172.16.1.3 không bị cấm.

Với IP 172.16.1.20 bị cấm.


36


KẾT LUẬN

- Đề tài thực hiện xong và đúng yêu cầu, thời hạn.

- Đã tìm hiểu được tổng quan về mô hình các tường lửa.

- Tìm hiểu và xây dựng được mô hình tường lửa IPCop.

- Tuy nhiên, vẫn còn nhiều hạn chế thiểu sót cần bổ sung.

TÀI LIỆU THAM KHẢO

- Các trang web: + http://vi.wikipedia.org/wiki/

+ http://tailieu.vn/

+ https://www.youtube.com/

+ http://ipcop.org

https://www.youtube.com/

tường lửa ip cop

Education