Mục lụcChương 1: Mở đầu
1.1 Lý do chọn đề tài
1.2 Mục tiêu đề tài
1.3 Mục đích
1.4 Nội dung đề tài
Chương 2: Tìm hiểu về Firewall
2.1 Khái niệm tường lửa (Firewall)
2.1.1 Khái niệm Firewall
2.1.2 Đặc điểm của Firewall
2.1.3 Ưu điểm và hạn chế
2.2 Các loại Firewall và cơ chế hoạt động
2.2.1 Bộ lọc gói (Packet Filtering)
2.2.2 Cổng ứng dụng (Application-Level Gateway )
2.2.3 Cổng vòng (Circuit-Level Gateway)
2.3 Những mô hình cơ bản của Firewall
2.3.1 Dual-Homed Host
2.3.2 Kiến trúc Screened Host
2.3.3 Kiến trúc Screened Subnet Host
2.3.4 Sử dụng nhiều Bastion Host
2.3.5 Kiến trúc ghép chung Router trong và Router ngoài
2.4 Hệ thống Proxy
2.4.1 Tác dụng và chức năng
2.4.2 Sự kết nối thông qua Proxy (Proxying)
2.4.3 Các dạng Proxy
Chương 3: Tìm hiểu Smoothwall Express
3.1 Giới thiệu
3.2 Cài đặt SmoothWall Express
3.2.1 Cấu hình yêu cầu
3.2.2 Các bước cài đặt
3.2.3 Truy câp SmoothWall Express
3.3 Quản trị SmoothWall Express
3.3.1 Tổng quan SmoothWall Express
3.3.2 Kiểm soát Network Traffic
3.3.3 Làm việc với VPN
3.3.4 Sử dụng SmoothWall Express Tools
3.3.5 Sử dụng SmoothWall Express Services
3.3.6 Quản lý Sử dụng SmoothWall Express
3.3.7 Thông tin và bản ghi
Chương 4: Thực nghiệm
4.1 Mô tả, yêu cầu
4.2 Các bước cấu hình
4.3 Cấu hình các luật
4.4 Kiểm tra
Chương 5: Kết luận
5.1 Kết quả đạt được
5.2 Ưu điểm, khuyết điểm
5.3 Hướng phát triển
5.4 Khó khăn
Lời nói đầu
Trong vai trò là người quản trị hệ thống hay một chuyên gia thiết kế mạng thì vấn đề an ninh cho mạng máy tính luôn đặt lên hàng đầu. Tường lửa chính là phương thức giúp chúng ta thực hiện việc này một cách tối ưu nhất. Nó ngăn chặn các truy nhập bất hợp pháp từ bên ngoài, và lọc các gói tin ra vào mạng nội bộ.
Ngày nay có rất nhiều công cụ tường lửa thương mại cũng như miễn phí và Smoothwall là một trong những tường lửa miễn phí được đánh giá rất cao từ cộng đồng người sử dụng. Tuy miễn phí nhưng Smoothwall mang đầy đủ tính năng của một tường lửa thương mại.
Mục tiêu của đề tài là tìm hiểu về hệ thống tường lửa và phát triển ứng dụng sử dụng phấn mềm mã nguồn mở Smoothwall. Cho đến nay phần mềm này chưa được ứng dụng rộng rãi tại Việt Nam. Chính vì thế nhóm muốn tìm hiểu về phân mềm để góp phần phát triển phần mềm mã nguồn mở tại Việt Nam.
73 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 4693 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Tìm hiểu và xây dựng hệ thống Firewall mã nguồn mở sử dụng Smoothwall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ểu biết về hệ thống Firewall và có khả năng triển khai một hệ thống Firewall sử dụng phần mềm Smoothwall
Nội dung đề tài
Để hoàn thành mục tiêu, nhóm tập trung nghiên cứu các nội dung chính sau đây:
Tìm hiểu về hệ thống Firewall: đặc điểm, các thành phần, nguyên lý hoạt động và các mô hình firewall cơ bản
Tìm hiểu phần mềm Smoothwall: các chức năng và cách cấu hình
Triển khai Smoothwall trên máy ảo để thực nghiệm
CHƯƠNG 2: TÌM HIỂU VỀ FIREWALL
Khái niệm tường lửa (Firewall)
Để bảo vệ một máy tính hay cho cả một mạng nội bộ (Intranet), người ta sử dụng tường lửa (Firewall). Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin không muốn gửi đi hoặc nhận vào vì một lý do nào đó. Phương thức bảo vệ này được dùng nhiều trong môi trường liên mạng Internet
Khái niệm Firewall
Firewall là một cơ chế bảo vệ mạng tin tưởng intranet với các mạng không tin tưởng thường là internet. Firewall bao gồm các cơ cấu nhằm:
Ngăn chặn truy nhập bất hợp pháp.
Kiểm soát thông tin trao đổi từ trong ra và từ Internet vào hệ thống cục bộ.
Ghi nhận và theo dõi thông tin mạng
Trên thực tế, Firewall được thể hiện rất khác nhau: bằng phần mềm hoặc phần cứng chuyên dùng, sử dụng một máy tính hoặc một mạng các máy tính.
Đặc điểm
Thông tin giao lưu được theo hai chiều
Chỉ có những thông tin thỏa mãn nhu cầu bảo vể mới được đi qua
Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chích sách:
Những dịch vụ nào cần ngăn chặn
Những host nào cần phục vụ
Mỗi nhóm cần truy nhập những dịch vụ nào
Mỗi dịch vụ sẽ được bảo vệ như thế nào
Ưu điểm và hạn chế
Ưu điểm:
Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi cho phép người sử dụng hợp pháp truy nhập tự do mạng bên ngoài
Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập. Nó là “cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọi cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, … Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra.
Hạn chế:
Firewall không thể đọc hiểu từng loại thông tin và phân tích nội dung của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin đã xác định trước
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó, như là sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data–drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall (một Ví Dụ là các virus máy tính)
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
Các thành loại Firewall và cơ chế hoạt động
Một Firewall chuẩn bao gồm một hay nhiều các loại sau đây:
Bộ lọc gói (Packet–Filter)
Cổng ứng dụng (Application–level Gateway hay Proxy Server)
Cổng vòng (Circuite level Gateway)
Bộ lọc gói (Packet Filtering)
Nguyên lý hoạt động
Hình 1: Sơ đồ làm việc của Packet Filtering
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng lien quan rất nhiều đến các Packet và những con số địa chỉ của chúng.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng .Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP (ICMP message type)
Giao diện Packet đến (Incomming interface of Packet)
Giao diện Packet đi (Outcomming interface of Packet)
Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall nếu không Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
Ưu điểm
Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router.
Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
Hạn chế
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp; nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
Do làm việc dựa trên Header của các Packet, rõ ràng là bộ lọc gói không kiểm soát được nội dung thông tin của Packet. Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Cổng ứng dụng (Application-Level Gateway )
Nguyên lý hoạt động
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service (dịch vụ đại diện). Proxy Service là các bộ code đặc biệt cài đặt trên cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, Proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là một pháo đài (Bastion Host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một Bastion Host là:
Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo sự tích hợp Firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion Host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastion Host.
Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user password hay smart card.
Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi Proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host. Điều này cho phép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ môt Proxy đang có vấn để.
Ưu điểm
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các Proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống
Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói
Hạn chế
Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặt trên máy Client cho truy nhập vào các dịch vụ Proxy. Ví Dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm Client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.
Cổng vòng (Circuit-Level Gateway)
Hình 2: Kết nối qua cổng vòng(Circuit–Level Gateway)
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào
Hình 2 minh hoạ một hành động sử dụng nối Telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào. Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một Bastion Host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài
Những mô hình Firewall
Dưới đây sẽ đưa ra một số mô hìnhFirewall cơ bản, các kiến trúc khác có thể mở rộng từ kiến trúc này tùy theo cấu trúc kết nối của mạng.
Dual-Homed Host
Hình 3: Sơ đồ kiến trúc Dual–homed Host
Dual–homed Host là hình thức xuất hiện đầu tiên để bảo vệ mạng nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet).
Hệ điều hành của Dual–homed Host được cấu hình để chức năng chuyển các gói tin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual–homed Host, và từ đó bắt đầu phiên làm việc.
Ưu điểm của Dual–homed Host:
Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành là đủ.
Nhược điểm của Dual–homed Host:
Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường.
Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ.
Đánh giá về kiến trúc Dual–homed Host:
Để cung cấp dịch vụ cho những người sử dụng internal network có một số giải pháp như sau:
Kết hợp với các Proxy Server cung cấp những Proxy Service
Đăng nhập vào máy dual-homed host bằng account được cấp
Nếu dùng phương pháp cấp account thì rất phiền phức cho người sử dụng vì phải login vào máy khác.
Nếu dùng Proxy Server thì khó cung cấp được nhiều dịch vụ vì khả năng đáp ứng của hệ thống.
Một khuyết điểm cơ bản của hai mô hình trên nữa là khi mà máy dual –homed host bị đột nhập vào. Người tấn công sẽ thấy hết các lưu thông bên trong mạng nội bộ.
Kiến trúc Screened Host
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một số kết nối với internal/external host.
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server.
Hình 4: Sơ đồ kiến trúc Screened Host
Ưu, khuyết điểm của kiến trúc Screened Host
Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể sau:
Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng.
Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt. Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng như khó xảy ra lỗi (tuân thủ qui tắc ít chức năng). Proxy Servers được đặt ở máy khác nên khả năng phục vụ (tốc độ đáp ứng) cũng cao.
Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering system cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công đột nhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn công thấy.
Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phục được phần nào khuyết điểm trên.
Kiến trúc Screened Subnet Host
Hình 5: Sơ đồ kiến trúc Screened Subnet Host
Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một Bastion Host (hình 5). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và Application trong khi định nghĩa một mạng perimeter network. Mạng trung gian(DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được.
Với những thông tin đến, Router ngoài(Exterior Router) chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó chỉ cho phép hệ thống bên ngoài truy nhập Bastion Host. Router trong (Interior Router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ Bastion Host.
Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion. Quy luật Filtering trên Router ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ Bastion Host.
Ưu điểm:
Có ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong.
Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server).
Router trong chỉ quảng bá DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy.
Đánh giá kiến trúc Screened Subnet Host:
Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp.
Để tăng độ an toàn trong internal network, kiến trúc screen subnet ở trên sử dụng thêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bên trong internal network. Tách biệt internal network với Internet.
Sử dụng 2 Screening Router : Exterior Router và Interior Router.
Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ hay perimeter network) càng tăng khả năng bảo vệ càng cao.
Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host, ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Router ngoài.
Sử dụng nhiều Bastion Host
Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng như tách biệt các Servers khác nhau.
Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong (internal user), như dịch vụ SNMP Server, Proxy Servers …
Sử dụng một Bastion Host khác dịch vụ cho Internet hoặc những người sử dụng bên ngoài cung cấp (external user) sẽ sử dụng. Như là Anonymous FTP Server mà Server này những người sử dụng bên trong( local users) không truy xuất đến.
Hình 6: Sơ đồ kiến trúc sử dụng 2 Bastion Host
Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người sử dụng bên ngoài (external users).
Cũng có thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nào đó để tăng tốc độ đáp ứng (performance), nhưng việc này cũng khó cân bằng tải giữa các Server trừ khi đoán trước được mức độ sử dụng.
Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi mà một Bastion Host hỏng thì có cái khác thay thế. Nhưng chỉ có một số loại dịch vụ trợ giúp dạng này: DNS Server, SMTP Server, ... có thể dùng nhiều Bastion Host làm DNS Server , SMTP Server. Khi một Bastion Host hỏng hoặc quá tải, những yêu cầu về DNS Server và SNMP sẽ được dùng qua Bastion Host khác như là một fallback system.
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau.
Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt.
Ví Dụ : Tách HTTP Server và FTP Server trên 2 máy riêng biệt.
Kiến trúc ghép chung Router trong và Router ngoài
Sử dụng kiến trúc này thì cần tăng tốc độ của máy làm Router.
Hình 7: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài
Kiến trúc này gần giống với Screened Host trong trường hợp khi mà exterior/interior Router bị đột nhập vào thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài nhưng tốt hơn Screened Host đó là nó cũng sử dụng thêm một mạng bên ngoài. Mạng bên ngoài sẽ chứa các Server có thể nối ra Internet mà nếu các Server này bị đột nhập thì lưu thông của mạng bên trong cũng không bị lộ ra bên ngoài. Kiến trúc này cũng gần giống với Screened Subnet nhưng mà exterior Router và interior Router được ghép chung nên nó giảm đi số lớp bảo vệ. Nói chung, kiến trúc ghép chung interior Router và exterior Router ở trung gian giữa hai kiến trúc này.
Hệ thống Proxy
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những Proxy Server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên dual–homed host hoặc Bastion Host. Những chương trình Client của người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần giao tiếp.
Proxy Server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, Proxy Server sẽ kết nối đến Server thật thay cho Client và tiếp tục chuyển tiếp những yêu cầu từ Client đến Server, cũng như chuyển tiếp những đáp ứng của Server trở lại Client. Vì vậy Proxy Server giống như cầu nối trung gian giữa Server thật và Client
Tác dụng và chức năng
Để đáp ứng được những nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng được cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơn truy xuất đến Internet cho tất cả người sử dụng. Tuy nhiên, phương pháp này không phải là phương pháp giải quyết thỏa mãn nhất bởi vì như vậy nó sẽ tạo cho người sử dụng cảm thấy không thoải mái. Khi truy xuất đến Internet thì họ không thể thực hiện những công việc đó một cách trực tiếp, phải log in vào dual–homed host, thực hiện tất cả những công việc ở đây, và sau đó bằng phương pháp nào đó chuyển đổi những kết quả đạt được của công việc trở lại workstation sở hữu.
Điều này trở nên rất tồi tệ ở những hệ thống với nhiều hệ điều hành khác nhau (Ví dụ trong trường hợp nếu hệ thống là Macintosh nhưng riêng dual–homed host là hệ thống Unix).
Khi dual homed host được thiết kế trên mô hình không có Proxy, điều đó sẽ khiến cho người sử dụng thêm bực bội và đáng chú ý hơn là làm giảm đi những tiện ích mà Internet cung cấp, tồi tệ hơn là chúng thường không cung cấp an toàn một cách đầy đủ, khi một máy gồm nhiều người sử dụng tất nhiên độ an toàn của nó sẽ giảm, đặc biệt khi họ cố gắng nắm bắt với vạn vật bên ngoài.
Proxy System giúp người sử dụng thoải mái hơn và an toàn cho dual–homed host, thay thế những yêu cầu của người sử dụng bằng cách gián tiếp thông qua dual–homed host. Hệ thống Proxy cho phép tất cả những tương tác nằm dưới một hình thức nào đó. Người sử dụng có cảm giác trực tiếp làm việc với Server trên Internet mà họ thật sự muốn truy xuất.
Hình 8 : Kết nối sử dụng Application–Level Gateway
Proxy Application chính là chương trình trên application–level gateway Firewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua Firewall, tiến trình này được thực hiện trình tự như sau:
Thành lập một kết nối đến Proxy application trên Firewall.
Proxy Application thu nhập thông tin về việc kết nối và yêu cầu của người sử dụng.
Sử dụng thông tin để xác định yêu cầu có được chấp nhận không, nếu chấp nhận, Proxy sẽ tạo sự kết nối khác từ Firewall đến máy đích.
Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa Client và Server.
Proxy System giải quyết được rủi ro trên hệ thống bởi tránh người sử dụng log in vào hệ thống và ép buộc thông qua phần mềm điều khiển.
Kết nối thông qua Proxy (Proxying)
Proxying được thực hiện khác nhau với từng dịch vụ, có một vài dịch vụ dễ dàng cài đặt hoặc tự động, nhưng vài dịch vụ lại rất khó khăn. Tuy nhiên hầu hết các dịch vụ đều yêu cầu những phần mềm Proxy Server và Client tương ứng.
Hình 9: Kết nối giữa người dùng (Client) với Server qua Proxy
Các dạng Proxy
Dạng kết nối trực tiếp
Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa chỉ của Firewall và số cổng của Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của host hướng đến, đó là một phương pháp brute force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một vài nguyên nhân tại sao nó là phương pháp ít thích hợp.
Trước tiên, yêu cầu người sử dụng biết địa chỉ của Firewall, kế tiếp nó yêu cầu người sử dụng nhập vào hai địa chỉ cho mỗi sự kết nối: Địa chỉ của Firewall và địa chỉ của đích hướng đến. Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy tính của người sử dụng điều đó tạo ra sự kết nối cho người sử dụng, bởi vì chúng sẽ không biết như thế nào điều khiển những yêu cầu đặc biệt cho sự truyền thông với Proxy.
Dạng thay đổi Client
Phương Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy tính của người sử dụng. Người sử dụng thực thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông qua Firewall. Người sử dụng với ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi. Người sử dụng cho địa chỉ của host đích hướng tới. Những ứng dụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, set up sự kết nối đến ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng. Phương pháp này rất có hiệu quả và có khả năng che dấu người sử dụng, tuy nhiên, cần có một ứng dụng Client thêm vào cho mỗi dịch vụ mạng là một đặc tính trở ngại.
Proxy vô hình
Một số phương pháp phát triển gần đây cho phép truy xuất đến Proxy, trong vài hệ thống Firewall được biết như Proxy vô hình. Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại. Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall. Như những Packet nhập vào Firewall, tự động chúng được đổi hướng đến ứng dụng Proxy đang chờ. Theo hướng này, Firewall thực hiện rất tốt trong việc giả như host đích. Khi kết nối được tạo ra Firewall Proxy, Client nghĩ rằng nó được kết nối với Server thật. Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật.
CHƯƠNG 3: TÌM HIỂU SMOOTHWALL
Giới thiệu
SmoothWall Express là một tường lửa mã nguồn mở hoạt động trên các bản phân phối của hệ điều hành GNU/Linux. SmoothWall được cấu hình thông qua Web và không đòi hỏi người sử dụng phải biết về Linux để cài đặt và sử dụng
SmoothWall Express cho phép bạn dễ dàng xây dựng một bức tường lửa kết nối bảo mật một mạng máy tính đến Internet
Hình 1: Mô hình mạng sử dụng Smoothwall
Cài đặt SmoothWall Express
Cấu hình yêu cầu
Cấu hình tối thiểu đề nghị để cài đặt SmoothWall Express:
Phần cứng
Thông tin
Vi xử lý
Intel Pentium 200
Ram
128 Mb
Đĩa cứng
2Gb còn trống, hỗ trợ IDE và SCSI
Card mạng
Hỗ trợ card mạng NIC
Keyboard, CD-ROM, Monitor
Chỉ cần khi cài đặt
Các bước cài đặt
Lưu ý trước khi cài đặt
Không cài đặt SmoothWall trên máy chính hay là máy trạm duy nhất vì tất cả dữ liệu trên máy trạm sẽ bị mất. Trước khi cài đặt cần bảo chắc rằng tất cả dữ liệu đã được sao lưu
Các bước cài đặt
Tải bản cài đặt về từ website và gi ra đĩa CD để cài đặt
Bỏ đĩa CD vào máy cần cài đặt tường lửa và reboot máy tính. Vào chế độ boot CD để tiến hành cài đặt.
Các màn hình thông báo xuất hiện, Nhấn Enter để tiếp tục.
Một hộp thoại vế chính sách bảo mật xuất hiện
Hình 2: Hộp thoại về chích sách bảo mật
Chọn chích sách phù hợp với yêu cầu của mạng rồi OK
Một menu cấu hình mạng xuất hiện
Hình 3: Menu cấu hình mạng
Chọn Network configuration type rồi OK
Hình 4: Hộp thoại cấu hình mạng
GREEN: tương ứng với mạng LAN
RED: tương ứng với mạng Internet
ORANGE: tương ứng với vùng DMZ
PURPLE: tương ứng với mạng Wireless
Chọn mạng phù hợp với yêu cầu rồi OK
Sau khi cấu hình thông tin cho các card mạng, các hợp thoại về password xuất hiện
Đặt password cho root và admin. Kết thúc quá trình cài đặt
Truy cập SmoothWall
Sử dụng một trình duyệt Internet bất kỳ từ máy trạm truy cập vào địa chỉ của Smoothwall, ví dụ: https://10.0.0.1:441 nhập vào username và password mà bạn đã cài đặt. Trang chủ mặt định xuất hiện
Hình 5: Trang chủ mặc định của Smoothwall
Quản trị SmoothWall Express
Tổng quan
Một thanh điều hướng được hiển thị ở đầu mỗi trang nó chứa liên kết đến các trang SmoothWall Express
Hình 6: Thanh điều hướng
Control
Pages
Descriptions
home
Trang chủ
About
Pages
Descriptions
Status
Thông tin trạng thái
advanced
Hiển thị thông tin bộ nhớ, đĩa cứng sử dụng, phần cứng
traffic graphs
Hiển thị trạng thái lưu thông mạng
bandwidth bars
Hiển thị thời gian sử dụng băng thông
traffic monitor
Hiển thị thời gian sử dụng băng thông gần đầy
my smoothwall
Hiển thị thông tin phát triển của SmoothWall, cho phép tùy chọn và đăng ký SmoothWall
Services
Cho phép cấu hình và kích hoạt các dịch vụ: web proxy, im proxy, pop3 proxy, dhcp, sip proxy…
Networking
Pages
Descriptions
incoming
Đặt các luật để kiểm soát truy cập của các máy từ Internet vào mạng nội bộ
outgoing
Tại đây có thể đặt các quy tắc để kiểm soát truy cập của các máy client ra Internet
internal
Tạo các luật để mạng Orange và Purple có thể giao tiếp với mạng Green
external access
Thiết lập các kết nối từ máy bên ngoài đến SmoothWall
ip block
Khóa một địa chỉ IP hay một mạng
timed access
Cấu hình thời gian cho phép máy Client truy cập mạng bên ngoài
qos
Tại đây có thể ưu tiên các loại lưu thông đặc biệt
advanced
Tại đây có thể năng cao tính năng mạng
ppp settings
Cấu hình các kết nối đến modem, ADSL and ISDN
nterfaces
Ở đây cấu hình IP, DNS, gateway cho các card NIC
VPN
Pages
Descriptions
control
Quản lý các kết nối VPN
connections
Cho phép tạo, chỉnh sửa và quản lý các kết nối VPN
Logs
Hiện thị các nhật ký thông tin về: system, web proxy, firewall, ids, email…
Tools
Pages
Descriptions
ip information
Cho phép tra cứu trên địa chỉ IP hay tên miền
ip tools
Cho phép chạy ping và tracerouter để chuẩn đoán mạng
shell
Cho phép kết nối đến Smoothwall sử dụng một Java SSH applet
Maintenance
Pages
Descriptions
modem
Áp dụng các cài đặt cụ thể cho modem PSTN hay ISDNTA
Speedtouch usb firmware
Tại đây có thể upload firmware để kích hoạt SmoothWall sử dụng the Alcatel/Thomson Speedtouch Home USB ADSL modem
passwords
Đây là nơi quản lý các mật khẩu
backup
Tại đây có thể sao lưu cài đặt của bạn
preferences
Cấu hình Smoothwall sử dụng giao diện
shutdown
Bạn có thể shutdown hay reboot máy Firewall
Kiểm soát lưu lượng mạng
Port Forwarding Incoming Traffic
SmoothWall Express, mặc định khóa tất cả các traffic đến từ red interface. Các traffic muốn được chấp nhận thì phải cấu hình các luật
Để tạo một luật trong Smoothwall ta vào Networking > incoming
Hình 7: Trang cấu hình incoming
Các cấu hình cài đặt
Setting
Descriptions
Protocol
Chọn UDP hay TCP
External source IP (or network)
Xác định IP hoặc mạng bên ngoài có thể truy cập đến IP đích
Hoặc để trống cho phép tất cả các truy cập
Source port or
range
Chọn port của IP nguồn trong menu, hoặc hoặc chọn User defined
Port
Nếu chọn User defined, thì nhập vào một port nguồn
Destination IP
Xác định địa chỉ IP đích nơi các traffic được chuyển đến
Destination port
Chọn port của IP đích trong menu, hoặc chọn User defined
Port
Nếu chọn User defined, thì nhập vào một port đích
Comment
Viết ghi chú cho luật
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Controlling Outgoing Traffic
Cấu hình cho phép hay cấm hoặc giới hạn việc truy cập Internet trên mỗi vùng mạng nội bộ
Để tạo một luật truy cập Internet vào Networking > outgoing
Hình 8: Trang cấu hình outgoing
Các cấu hình cài đặt
Setting
Descriptions
Traffic originating …
Chọn một trong hai
Blocked with exceptions
Allowed with exceptions
Chọn Save để lưu
Interface
Chọn vùng mạng muốn cấu hình: GREEN, PURPLE
Application or service(s)
Chọn một chương trình hay dịch vụ hay User defined
Port
Enter port nếu chọn User defined
Comment
Viết ghi chú cho luật
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Controlling Internal Traffic
Cấu hình cho phép các host trong mạng orange, mạng purple và mạng green có thể liên lạc với nhau
Để cấu hình lưu thông nội bộ vào Networking > internal
Hình 9: Cấu hình luu thông mạng nội bộ
Các cấu hình cài đặt
Setting
Descriptions
Source IP
Địa chỉ IP của máy chủ trong DMZ(mạng cam) có nhu cầu giao tiếp với mạng LAN(mạng xanh)
Protocol
Chọn UDP hay TCP
Destination IP
Địa chỉ IP đích cúa mạng LAN(mạng xanh)
Application or
service(s)
Chọn trong menu thả xuống một chương trình hay một dịch vụ
Destination port
Xác định port của mạng đích
Comment
Viết ghi chú
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Managing Access to Services
Cấu hình để thiết lập một danh sách cho phép quản trị SmoothWall từ các máy tính bên ngoài thông qua địa chỉ IP hay potr trên mạng đỏ
Để quản lý truy cập dịch vụ Networking > external access
Hình 10: Trang cấu hình external access
Các cấu hình cài đặt
Setting
Descriptions
Protocol
Chọn UDP hay TCP
External source IP
(or network)
Nhập địa chỉ IP hay network của mạng bên ngoài được phép truy cập dịch vụ admin chạy trên SmoothWall Express
Destination port
Nhập port được chấp nhận, tất cả các port khác sẽ bị khóa(HTTPS: 441, SSH: 222)
Comment
Nhập mô tả
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Selectively Blocking IPs Addresses
Cấu hình để chặn bất kỳ một IP truy cập vào SmoothWall
Để chặn địa chỉ IP vào Networking > ip block
Hình 11: Trang cấu hình khóa địa chỉ IP
Các cấu hình cài đặt
Setting
Descriptions
Source IP or
network
Nhập một địa chỉ IP hoặc mạng muốn chặn
Drop packet
Chọn để hủy gói tin
Reject packet
Trong chế độ này một một thông báo ICMP từ chối kết nối sẽ được gửi đến các IP nguồn
Log
Chọn để ghi vào nhật ký
Comment
Nhập mô tả
Enabled
Chọn để kích hoạt luật
Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới
Configuring Timed Access to the Internet
SmoothWall Express có thể cho phép hoặc không cho phép truy cập Internet tại những thời điểm nhất định trong ngày, cho một nhóm máy Client
Để cấu hình thời gian truy cập Internet vào Networking > timed access
Hình 12: Trang cấu hình thời gian truy cập Internet
Các cấu hình cài đặt
Setting
Descriptions
Enabled
Chọn để kích hoạt cài đặt
Mode
Chọn từ drop menu
Allow at specified times -- chấp nhận
Reject at specified times -- khóa
From – To
Chọn khoảng thời gian việc truy cập được chấp nhận hay khóa
Machines
Nhập vào địa chỉ IP hay network với netmask trên một dòng, ví dụ 10.0.0.253/24
Chọn Save để lưu
Managing Quality of Service for Traffic
Cấu hình để đảm bảo chất lượng lưu thông của các dịch vụ bằng cách ưu tiên
Để quản lý qos Networking > qos
Hình 13: Trang cấu hình qos
Các cấu hình cài đặt
Setting
Descriptions
Enable traffic shaping
Chọn để kích hoạt qos
Internal upload or
download
Chọn tốc độ upload và dowload cho mạng nội bộ
External upload speed
Chọn tốc upload cho mạng bên ngoài
Download speed
Chọn tốc độ dowload
Headroom
Chọn từ menu thả xuống
Traffic that does not match below gets treated as
Chọn xử lý các luồng dữ liệu không được liệt kê trong vùng lựa chọn luật
Rule selection
Chấp nhận những ưu tiên mặc định cho các dịch vụ và giao thức được liệt kê, hoặc điều chỉnh phù hợp với yêu cầu
Chon Save để lưu
Configuring Advanced Network Options
Cấu hình để quản lý các gói tin ICMP và các tùy chọn mạng khác
Để cấu hình vào Networking > advanced
Hình 14: Trang cấu hình advanced
Các cấu hình cài đặt
Setting
Descriptions
Block ICMP ping
Khóa ping đến Smoothwall từ Internet hoặc mạng LAN
Enable SYN cookies
Chọn kích hoạt SYS cookies là một cơ chế bảo vệ chống lại tấn công SYN Flood và tránh tấn công kiểu từ chối dịch vụ(DOS)
Block and ignore IGMP packets
Chọn để chặn các tin nhắn multi-cast
Enable UPnP (Universal Plug and Play) support
Chọn để hỗ trơ UpnP Clients
Action to perform on bad external traffic
Chọn để xử lý các lượng truy cập không cho phép
Chon Save để lưu
Configuring Dial-up Connections
Cấu hình các cách kết nối từ SmoothWall đến IPS
Liên hệ nhà cung cấp dịch vụ
Working with Interfaces
Cấu hình và chỉnh sử các card mạng, DNS và gateway
Để cấu hình vào Networking > interfaces
Hình 14 Trang cấu hình card mạng
Làm việc với VPN
Tại đây có thể tạo và quản lý một kết nối VPN
Tạo một kết nối VPN
Để tạo một VPN vào VPN > connections
Hình 15: Trang tạo một kết nối VPN
Các cấu hình cài đặt
Setting
Descriptions
Name
Đặt tên cho kết nối
Compression
Kích hoạt tính năng nén dữ liệu trong kết nối
Left
Nhập địa chỉ IP công cộng của máy kết nối từ xa
Left subnet
Nhập vào địa chỉ mạng và netmask của máy kết nối từ xa
Right
Nhập địa chỉ IP công cộng của Smoothwall (máy firewall của bạn)
Right subnet
Địa chỉ mạng và subnet của máy firewall
Secret
Nhập chuỗi bảo mật để xác thực kết nối
Again
Nhập lại chuỗi xác thực
Comment
Nhập mô tả
Enabled
Chọn để kích hoạt kết nối
Add
Click add để lưu kết nối vào danh sách phía dưới
Export
Chọn để lưu thông tin ra file dat
Quản lý kết nối VPN
Chọn restart và stop để chạy và dừng kết nối VPN
Hình 16: Trang quản lý kết nối VPN
Sử dụng SmoothWall Express Tools
IP Information
Hiển thị thông tin của địa chỉ IP hoặc tên miền. Một ứng dụng của việc này là xác định nguồn gốc của các yêu cầu trong bản ghi
Để sử dụng vào Tools > ip information
Hình 17: Trang ip information
Nhập vào địa chỉ IP hoặc tên miền muốn xem vào ô In the IP addresses or domain name field
Chọn Run, SmoothWall sẽ hiển thị mọi thông tin
IP Tools
SmoothWall cung cấp các dịch vụ ping và traceroute
Để sử dụng vào Tools > ip tools
Hình 18: Trang IP tools
Từ menu thả xuống chọn ping hay traceroute
Nhập vào địa chỉ IP hoặc hostname vào ô IP addresses or hostnames field
Chọn run các kết quả sẽ được hiển thị
Running the SSH Client
Cho phép quản trị bằng dòng lệnh thông qua trình duyệt web sử dụng SSH. Trình duyệt phải cài đặt máy ảo Java
Để sử dụng vào Tools > shell
Hình 19: Trang shell
Nhập usernamed root và password để login
Sử dụng SmoothWall Express Services
Sử dụng Web Proxy
SmoothWall cung cấp một Proxy Web để yêu cầu các đối tượng Internet. Để triển khai dịch vụ vào Services > web proxy
Hình 20: Trang cấu hình webproxy
Các cấu hình cài đặt
Setting
Descriptions
Cache size (MB)
Không gian bộ nhớ cache để truy cập nhanh hơn vào các trang web
Remote proxy
Nhập địa chỉ IP của proxy server từ xa
Remote proxy
username
Nếu sử dụng proxy từ xa, cần phải có thông tin chứng thực, nhập username chứng thưc
Remote proxy
password
Nhập password cho việc chứng thực
Max object size (KB)
Kích thước lớn nhất của đối tượng lưu trong bộ nhớ cache. Mặc định 4Mb
Min object size (KB)
Kích thước nhỏ nhất của đối tượng được lưu trong bộ nhớ cache
Max outgoing
size (KB)
Kích thước tối đa của dữ cho việc upload
Max incoming
size (KB)
Kích thước tối đa dowload dữ liệu đi qua firewall
Transparent
Tất cả các yêu cầu điều được chuyển hướng qua firewall
Enabled
Chọn để kích hoạt web proxy
Chọn save để lưu lại
Cấu hình Im Proxy
Dịch vụ IM Proxy cụa SmoothWall cho phép bạn đăng nhập cuộc hoại thội IM, và chuyển file trên mạng màu xanh và màu tím nếu nó được bật
Để cấu hình IM Proxy vào Services > im proxy
Hình 21: Trang cấu hình im poxy
Các cấu hình cài đặt
Setting
Descriptions
Enabled
Chọn để kích hoạt dịch vụ IM proxy
Swear-word filtering
Chọn để lọc từ
MSN
Chọn để có thể hội thoại với MSN
ICQ and AIM
Chọn để có thể hội thoại với ICQ and AIM
Yahoo
Chọn để có thể hội thoại với Yahoo
IRC
Chọn để có thể hội thoại với IRC
Chọn save để lưu lại
Pop3 Proxy
SmoothWall có thể quét virut email POP3 khi chúng được tải xuống từ các server mail bên ngoài đền các máy trong mạng xanh và tím
Để kích hoạt dịch vụ quét virut POP3 AV vào Services > pop3 proxy
Hình 22: Trang cấu hình POP3 proxy
Chọn Enable để kích hoạt các dịch vụ. Tất cả các Client sử dụng mail POP3 đi qua firewall đều được quét
Chọn Save để lưu lại
Sip proxy
Dịch vụ sip proxy của SmoothWall quản lý các cuộc gọi VoIP hệ thống
Để cấu hình dịch vụ vào Services > sip proxy
Hình 23: Trang cấu hình sip proxy
Các cấu hình cài đặt
Setting
Descriptions
Enabled
Chọn để kích hoạt dịch vụ
Logging level
Chọn mức yêu cầu đăng nhập
Log calls
Chọn để gi các cuộc gọi cá nhân
Maximum number of
clients
Số Client tối đa có thể sử dụng dịch vụ
Transparent
Chọn để dịch vụ chạy ở chế độ minh bạch
Chọn save để lưu lại
Dịch vụ dhcp
Smoothwall cung cấp dịch vụ dhcp. Để cấu hình vào Services > dhcp
Hình 24: Trang cấu hình dịch vu dhcp
Các cấu hình cài đặt
Setting
Descriptions
Network Boot enabled
Chọn để kích hoạt cho máy trạm khởi không đĩa
Boot server
Địa chỉ IP của server chạy TFTP
Boot filename
Tên của file máy trạm hoặc thiết bị để boot
Root path
Đường dẫn của file máy trạm hoặc thiết bị
Interface
Chọn vùng mạng mà bạn muốn cấu hình dịch vụ dhcp
Start address
Địa chỉ bắt đầu cấp phát
End address
Địa chỉ kết thúc
Primary DNS
Nhập địa chỉ máy DNS chính
Secondary DNS
Nhập địa chỉ của máy DNS hai
Primary NTP
Nhập IP của server NTP chính
Secondary NTP
Nhập IP của server NTP phụ
Primary WINS
Nhập IP của server WINS chính
Secondary WINS
Nhập IP của server WINS phụ
Default lease time(mins)
Nhập thời gian mà địa chỉ IP được cấp phát
Max lease time
(mins)
Nhập thời gian tối đa mà địa chỉ IP được cấp phát
Domain name
suffix
Tên miền của máy cấp phát IP
NIS domain
Tên miền của NIS
Primary NIS
Nhập IP chính của NIS
Secondary NIS
Nhập IP phụ của NIS
Enabled
Chọn để kích hoạt dịch vụ dhcp
Chọn Save để lưu lại
Assigning Static IP Addresses
Setting
Descriptions
Hostname
Tên máy client được cấp phát IP tĩnh
Description
Nhập vào thông tin mô tả
MAC address
Địa chỉ MAC của máy Client
P address
Địa chỉ IP tỉnh được cấp phát
Enabled
Chọn để kích hoạt dịch vụ
Chọn để thêm vào danh sách bên dưới
Dynamic DNS
SmoothWall cung cấp dịch vụ Dynamic DNS. Để cấu hình dịch vụ vào Services > dynamic dns
Hình 25: Trang cấu hình dịch vụ DNS
Các cấu hình cài đặt
Setting
Descriptions
Service
Chọn dịch vụ dynamic dns mà bạn đã đăng ký
Behind a proxy
Chọn tùy chọn này nếu bạn sử dụng no-ip.com hoặc máy firewall nằm phía sau máy chủ proxy
Enable wildcards
Chọn để kích hoạt wildcards
Hostname
Nhập hostname mà bạn đã đang ký
Domain
Nhập vào tên miền của nhà cung cấp mà bạn chọn
Username
Nhập username mà bạn đã đăng ký
Password
Nhập password mà bạn đã đăng ký
Comment
Viết ghi chú
Enabled
Kích hoạt dịch vụ
Chọn add để thêm dịch vụ vào danh sách bên dưới
Static DNS
Dùng để cấu hình dịch vụ DNS cho mạng LAN của bạn. Để cấu hình vào Services > static dns
Hình 26: Trang cấu hình dịch vụ DNS
Các cấu hình cài đặt
Setting
Description
IP address
Nhập vào địa chỉ IP của host
Hostname
Nhập vào tên của host
Comment
Viết ghi chú
Enabled
Chọn để kích hoạt
Chọn add để thêm vào danh sách bên dưới
Managing the Intrusion Detection System
SmoothWall hỗ trợ dịch vụ phát hiện xâm nhập Snort IDS. Để cấu hình vào Services > ids
Hình 27: Trang cấu hình Sort IDS
Truy cập vào website để đăng ký Oink code. Sau đó kích hoạt dịch vụ. Chọn Save and updates rules để cập nhật các luật từ website
Cấu hình Remote Access
Khi được kích hoạt có thể sử dụng dịch vụ SSH để truy cập Smoothwall. Để kích hoạt dịch vụ vào Services > remote access
Hình 28: Trang cấu hình remote access
Chọn SSH và Allow admin access only from valid referral URLs để kích hoạt dịch vụ và đảm bảo các truy cập hợp lệ
Configuring Time Settings
Cấu hình ngày và thời gian cho Smoothwall để đồng bộ với máy server ngoài. Để cấu hình vào Services > time
Hình 29: Trang cấu hình thời gian
Các cấu hình cài đặt
Setting
Description
Timezone
Chọn múi giờ
Time and date
Đặt ngày vá giờ cho máy
Network time retrieval
Cấu hình để Smoothwall đồng bộ với thời gian trên Internet
Network time Server
Chọn để cấu hình một máy chủ thời gian khác
Quản lý Sử dụng SmoothWall Express
Để update SmoothWall một cách tự động vào Maintenance > updates
Hình 30: Trang update Smoothwall
Chọn Check for Updates để kiểm tra trước khi update
Chọn Update để update tự động
Chọn Advanced để update từ file
Cấu hình modem vào Maintenance > modem
Hình 31: Trang cấu hình modem
Chọn Resrore defaults để lấy các thông số mặc định và Save để lưu
Sử dụng Speedtouch USB ADSL Modems vào Maintenance > speedtouch usb firmware
Hình 32: Trang cấu hình speedtouch usb firmware
Chọn Browse để tìm file driver và chọn Upload để cài đặt
Cấu hình mật khẩu vào Maintenance > password
Hình 33: Trang thay đổi mật khẩu
Thay đổi mật khẩu cho user admin và dial
Cấu hình backups vào Maintenance > backup
Hình 34: Trang backup
Chọn Create backup floppy disk để tạo một đĩa backup
Chọn Create backup floppy image để tạo một file backup
Thiết lập giao diện người dùng vào Maintenance > preferences
Hình 35: Trang cấu hình giao diện
Chọn Drop down menus để ẩn hoặc hiện menu
Tắt và khởi động SmoothWall vào Maintenance >shutdown
Hình 36: Trang shutdown
Thông tin và bản ghi
Thanh About
Status
Thông tin trạng thái các dịch vụ
Hình 37: Trang trạng thái
Advanced
Hiển thị các cấu hình hiện tại và các nguồn tài nguyên được sử dụng
Hình 38: Trang advanced
Traffic Graphs
Hiển thị thống kê số liệu dựa trên lưu lượng truy cập
Hình 39: Trang thống kê số lượng truy cập
Bandwidth Bars
Hiển thị băng thông được sử dụng
Hình 40: Trang hiển thị băng thông sử dụng
Traffic Monitor
Hiển thị băng thông sử dụng ở dạng biểu đồ
Hình 41: Trang hiển thị băng thông
SmoothWall Express
Hiển thị thông tin bản quyền và cho phép đăng ký
Hình 42: Trang hiển thị thông tin bản quyền
Làm việc với Logs
Hình 43: trang hiển thị thông tin hệ thống
Hình 44: Trang hiển thị log firewall
Setting
Descriptions
System
Chứa bản ghi của tất cả hệ thống
Web Proxy Logs
Chứa bản ghi Web Proxy
Firewall Logs
Bản ghi của các gói tin bị chặn
IDS Logs
Hiển thị các kết nối độc hại cố gắng truy cập vào mạng lưới của bạn
Instant Messages Logs
Hiển thị thông tin về tin nhắn nhanh
Email Logs
Hiển thị các email đã đi qua POP3 proxy
CHƯƠNG 4: THỰC NGHIỆM
Mô tả, yêu cầu
Ngày nay mạng nội bộ là một yếu tố không thể thiếu ở các công ty. Ngoài việc triển khai đầy đủ các dịch vụ mạng thì vấn đề bảo mật cũng được đặt lên hàng đầu. Do đó một tường lửa là không thể thiếu trong mô hình mạng. Các phần mềm tưởng lửa thương mại là lựa chọn hàng đầu của các công ty lớn. Nhưng với các công ty vừa và nhỏ thì các phần mềm miễn phí cũng đã đáp ứng đầy đủ các nhu cầu của họ. Sau đây là một mô hình mạng tiêu biểu có thể được triển khai ở các công ty vừa và nhỏ mà nhóm em tìm hiểu.
Mô hình mạng triển khai:
Hình 1: Mô hình mạng triển khai
Mô hình mạng được triển khai với 3 máy Server chính:
Máy Firewall cài đặt HĐH Linux và SmoothWall Express 3.0 để làm tường lửa cho mạng nội bộ
Máy DMZ Server cài đặt HĐH Linux và triển khai các dịch vụ mạng như: FTP, WEB, MAIL
Máy Server cài đặt HĐH Linux và triển khai các dịch vụ: DHCP, DNS
Và một modem ADSL để cho các máy client có thể truy cập Internet
Yêu cầu:
Để bảo đảm an toàn thông tin trong mạng nội bộ thì yêu cầu phải triển khai luật trên máy Firewall:
Các máy client trong mạng LAN được truy cập các dịch vụ trên máy DMZ và bên ngoài Internet thông qua Firewall
Máy DMZ được phép TELNET qua các máy trong mạng LAN
Cấm các máy bên ngoài Internet truy cập vào các máy Client bên trong mạng Lan
Cho phép các máy bên ngoài truy cập vào các dịch vụ trên máy DMZ: FTP. Trừ các máy có địa chỉ IP nhất định được cấu hình trước được phép quản trị từ xa
Triển khai hệ thống phát hiện phòng chống xâm nhập trên Firewall sử dụng Sort IDS
Triển khai trên máy ảo
Hình 2: Mô hình mạng triển khai máy ảo
Các bước cấu hình
Mô hình thực nghiệm được xây dựng gồm 3 vùng mạng giao tiếp với nhau qua máy Firewall:
Mạng Lan có địa chỉ mạng là 10.0.0.0/24
Mạng Internet có địa chỉ mạng là 192.168.1.0/24
Vùng DMZ có địa chỉ mạng là 20.0.0.0/24
Máy Server
Hệ điều hành: Linux
Địa chỉ IP 10.0.0.2/24
Host name: server.tieuluan.com
Triển khai dịch vụ DHCP-DNS để cấp IP động cho các máy trong mạng Lan
Máy Client
Hệ điều hành: Win XP
Địa chỉ IP: nhận IP động từ máy Sever
Máy DMZ Server
Hệ điều hành: Linux
Địa chỉ IP: 20.0.0.2/24
Host name: dmz.tieuluan.com
Triển khai các dịch vụ FTP, WEB để kiểm tra cấu hình
Máy Firewall
Hệ điều hành: Linux
Địa chỉ IP
Card Lan: 10.0.0.1/24
Card DMZ: 20.0.0.1/24
Card Internet: 192.168.1.1/24
Host name: firewall.tieuluan.com
Cài đặt Smoothwall Express 3.0. làm tường lửa để kiểm soát lưu thông mạng
Máy External PC
Hệ điều hành: Win XP
Dùng để kiểm tra cấu hình
Máy Linux Router
Hệ điều hành: Linux
Địa chỉ IP: 192.168.1.2
Đóng vai trò Internet, triển khai các dịch vụ FTP, WEB để kiểm tra cấu hình
Sau cấu hình địa chỉ IP và cài đặt các dịch vụ cho các máy server. Tiếp theo ta cài đặt SmoothWall Express 3.0 và cấu hình các luật theo yêu cầu
Cấu hình các luật
Tiến hành cài đặt Smoothwall Express 3.0 vào máy Firewall à xem phần hướng dẫn cài đặt
Dựa theo các yêu cầu được đề ra, ta đưa ra các luật để cấu hình trên máy Firewall:
GREEN à External: HTTP, HTTPS, FTP, DNS
External à DMZ: HTTP, HTTPS
External (192.168.1.100): admin
DMZ à GREEN: TELNET, DNS
DMZ à External: HTTP, HTTPS, FTP, DNS
Triển khai Sort IDS trên Firewall
Bước 1: Cấu hình cho phép các máy trong mạng Lan và DMZ truy cập Internet
GREEN à External: HTTP, HTTPS, FTP, DNS
DMZ à External: HTTP, HTTPS, FTP, DNS
Truy cập Smoothwall à xem phần hướng dẫn truy cập
Vào Networking > outgoing
Hình 3: Cấu hình outgoing
Bước 2: Cấu hình cho phép các máy bên ngoài truy cập các dịch vụ trên DMZ Server như: FTP, HTTP, HTPPs. Và máy External (192.168.1.100) quyền admin
External à DMZ: HTTP, HTTPS
External (192.168.1.100): admin
Truy cập Smoothwall à xem phần hướng dẫn truy cập
Vào Networking > incoming cho phép máy External truy cập FTP và WEB trên DMZ
Hình 4: cấu hình icoming
Vào Networking > external access cấu hình cho phép máy External (192.168.1.100) truy cập được Smoothwall
Hình 5: Cấu hình external access
Bước 3: Cấu hình cho phép máy DMZ TELNET và DNS được các máy trong mạng LAN
DMZ à GREEN: TELNET, DNS
Truy cập Smoothwall à xem phần hướng dẫn truy cập
Vào Networking > internal
Hình 6: Cấu hình internal
Bước 4: Triển khai Snort IDS
Truy cập vào website https://www.snort.org/ đăng ký thành viên và nhận Oink code
Vào Services > ids để kích hoạt
Hình 7: Cấu hình IDS
Các file đính kèm theo tài liệu này:
- Tìm hiểu và xây dựng hệ thống Firewall mã nguồn mở sử dụng Smoothwall.docx