Tìm hiểu và xây dựng hệ thống Firewall mã nguồn mở sử dụng Smoothwall

ểu biết về hệ thống Firewall và có khả năng triển khai một hệ thống Firewall sử dụng phần mềm Smoothwall Nội dung đề tài Để hoàn thành mục tiêu, nhóm tập trung nghiên cứu các nội dung chính sau đây: Tìm hiểu về hệ thống Firewall: đặc điểm, các thành phần, nguyên lý hoạt động và các mô hình firewall cơ bản Tìm hiểu phần mềm Smoothwall: các chức năng và cách cấu hình Triển khai Smoothwall trên máy ảo để thực nghiệm CHƯƠNG 2: TÌM HIỂU VỀ FIREWALL Khái niệm tường lửa (Firewall) Để bảo vệ một máy tính hay cho cả một mạng nội bộ (Intranet), người ta sử dụng tường lửa (Firewall). Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin không muốn gửi đi hoặc nhận vào vì một lý do nào đó. Phương thức bảo vệ này được dùng nhiều trong môi trường liên mạng Internet Khái niệm Firewall Firewall là một cơ chế bảo vệ mạng tin tưởng intranet với các mạng không tin tưởng thường là internet. Firewall bao gồm các cơ cấu nhằm: Ngăn chặn truy nhập bất hợp pháp. Kiểm soát thông tin trao đổi từ trong ra và từ Internet vào hệ thống cục bộ. Ghi nhận và theo dõi thông tin mạng Trên thực tế, Firewall được thể hiện rất khác nhau: bằng phần mềm hoặc phần cứng chuyên dùng, sử dụng một máy tính hoặc một mạng các máy tính. Đặc điểm Thông tin giao lưu được theo hai chiều Chỉ có những thông tin thỏa mãn nhu cầu bảo vể mới được đi qua Bước đầu tiên trong việc cấu hình Firewall là thiết lập các chích sách: Những dịch vụ nào cần ngăn chặn Những host nào cần phục vụ Mỗi nhóm cần truy nhập những dịch vụ nào Mỗi dịch vụ sẽ được bảo vệ như thế nào Ưu điểm và hạn chế Ưu điểm: Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi cho phép người sử dụng hợp pháp truy nhập tự do mạng bên ngoài Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập. Nó là “cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọi cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, … Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra. Hạn chế: Firewall không thể đọc hiểu từng loại thông tin và phân tích nội dung của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin đã xác định trước Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó, như là sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data–drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall (một Ví Dụ là các virus máy tính) Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. Các thành loại Firewall và cơ chế hoạt động Một Firewall chuẩn bao gồm một hay nhiều các loại sau đây: Bộ lọc gói (Packet–Filter) Cổng ứng dụng (Application–level Gateway hay Proxy Server) Cổng vòng (Circuite level Gateway) Bộ lọc gói (Packet Filtering) Nguyên lý hoạt động Hình 1: Sơ đồ làm việc của Packet Filtering Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng lien quan rất nhiều đến các Packet và những con số địa chỉ của chúng. Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng .Đó là: Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP (ICMP message type) Giao diện Packet đến (Incomming interface of Packet) Giao diện Packet đi (Outcomming interface of Packet) Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall nếu không Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. Ưu điểm Đa số các hệ thống Firewall đều sử dụng bộ lọc gói. Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router. Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Hạn chế Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp; nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên Header của các Packet, rõ ràng là bộ lọc gói không kiểm soát được nội dung thông tin của Packet. Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Cổng ứng dụng (Application-Level Gateway ) Nguyên lý hoạt động Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service (dịch vụ đại diện). Proxy Service là các bộ code đặc biệt cài đặt trên cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, Proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài (Bastion Host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một Bastion Host là: Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành (Operating System), cũng như là đảm bảo sự tích hợp Firewall. Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion Host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastion Host. Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user password hay smart card. Mỗi Proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi Proxy chỉ đúng với một số máy chủ trên toàn hệ thống. Mỗi Proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host. Điều này cho phép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ môt Proxy đang có vấn để. Ưu điểm Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các Proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói Hạn chế Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặt trên máy Client cho truy nhập vào các dịch vụ Proxy. Ví Dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm Client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. Cổng vòng (Circuit-Level Gateway) Hình 2: Kết nối qua cổng vòng(Circuit–Level Gateway) Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc gói nào Hình 2 minh hoạ một hành động sử dụng nối Telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào. Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một Bastion Host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài Những mô hình Firewall Dưới đây sẽ đưa ra một số mô hìnhFirewall cơ bản, các kiến trúc khác có thể mở rộng từ kiến trúc này tùy theo cấu trúc kết nối của mạng. Dual-Homed Host Hình 3: Sơ đồ kiến trúc Dual–homed Host Dual–homed Host là hình thức xuất hiện đầu tiên để bảo vệ mạng nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet). Hệ điều hành của Dual–homed Host được cấu hình để chức năng chuyển các gói tin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual–homed Host, và từ đó bắt đầu phiên làm việc. Ưu điểm của Dual–homed Host: Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành là đủ. Nhược điểm của Dual–homed Host: Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ. Đánh giá về kiến trúc Dual–homed Host: Để cung cấp dịch vụ cho những người sử dụng internal network có một số giải pháp như sau: Kết hợp với các Proxy Server cung cấp những Proxy Service Đăng nhập vào máy dual-homed host bằng account được cấp Nếu dùng phương pháp cấp account thì rất phiền phức cho người sử dụng vì phải login vào máy khác. Nếu dùng Proxy Server thì khó cung cấp được nhiều dịch vụ vì khả năng đáp ứng của hệ thống. Một khuyết điểm cơ bản của hai mô hình trên nữa là khi mà máy dual –homed host bị đột nhập vào. Người tấn công sẽ thấy hết các lưu thông bên trong mạng nội bộ. Kiến trúc Screened Host Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services. Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên ngoài (internal/external network), đồng thời có thể cho phép Bastion Host mở một số kết nối với internal/external host. Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server. Hình 4: Sơ đồ kiến trúc Screened Host Ưu, khuyết điểm của kiến trúc Screened Host Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể sau: Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó có thể cao vì cùng lúc đảm nhận nhiều chức năng. Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt. Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng như khó xảy ra lỗi (tuân thủ qui tắc ít chức năng). Proxy Servers được đặt ở máy khác nên khả năng phục vụ (tốc độ đáp ứng) cũng cao. Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering system cũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công đột nhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn công thấy. Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phục được phần nào khuyết điểm trên. Kiến trúc Screened Subnet Host Hình 5: Sơ đồ kiến trúc Screened Subnet Host Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một Bastion Host (hình 5). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và Application trong khi định nghĩa một mạng perimeter network. Mạng trung gian(DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến, Router ngoài(Exterior Router) chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó chỉ cho phép hệ thống bên ngoài truy nhập Bastion Host. Router trong (Interior Router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ Bastion Host. Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion. Quy luật Filtering trên Router ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ Bastion Host. Ưu điểm: Có ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong. Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server). Router trong chỉ quảng bá DMZ Network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy. Đánh giá kiến trúc Screened Subnet Host: Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên phù hợp. Để tăng độ an toàn trong internal network, kiến trúc screen subnet ở trên sử dụng thêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bên trong internal network. Tách biệt internal network với Internet. Sử dụng 2 Screening Router : Exterior Router và Interior Router. Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ hay perimeter network) càng tăng khả năng bảo vệ càng cao. Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host, ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Router ngoài. Sử dụng nhiều Bastion Host Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng như tách biệt các Servers khác nhau. Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong (internal user), như dịch vụ SNMP Server, Proxy Servers … Sử dụng một Bastion Host khác dịch vụ cho Internet hoặc những người sử dụng bên ngoài cung cấp (external user) sẽ sử dụng. Như là Anonymous FTP Server mà Server này những người sử dụng bên trong( local users) không truy xuất đến. Hình 6: Sơ đồ kiến trúc sử dụng 2 Bastion Host Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người sử dụng bên ngoài (external users). Cũng có thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nào đó để tăng tốc độ đáp ứng (performance), nhưng việc này cũng khó cân bằng tải giữa các Server trừ khi đoán trước được mức độ sử dụng. Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi mà một Bastion Host hỏng thì có cái khác thay thế. Nhưng chỉ có một số loại dịch vụ trợ giúp dạng này: DNS Server, SMTP Server, ... có thể dùng nhiều Bastion Host làm DNS Server , SMTP Server. Khi một Bastion Host hỏng hoặc quá tải, những yêu cầu về DNS Server và SNMP sẽ được dùng qua Bastion Host khác như là một fallback system. Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau. Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt. Ví Dụ : Tách HTTP Server và FTP Server trên 2 máy riêng biệt. Kiến trúc ghép chung Router trong và Router ngoài Sử dụng kiến trúc này thì cần tăng tốc độ của máy làm Router. Hình 7: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài Kiến trúc này gần giống với Screened Host trong trường hợp khi mà exterior/interior Router bị đột nhập vào thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài nhưng tốt hơn Screened Host đó là nó cũng sử dụng thêm một mạng bên ngoài. Mạng bên ngoài sẽ chứa các Server có thể nối ra Internet mà nếu các Server này bị đột nhập thì lưu thông của mạng bên trong cũng không bị lộ ra bên ngoài. Kiến trúc này cũng gần giống với Screened Subnet nhưng mà exterior Router và interior Router được ghép chung nên nó giảm đi số lớp bảo vệ. Nói chung, kiến trúc ghép chung interior Router và exterior Router ở trung gian giữa hai kiến trúc này. Hệ thống Proxy Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những Proxy Server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên dual–homed host hoặc Bastion Host. Những chương trình Client của người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần giao tiếp. Proxy Server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, Proxy Server sẽ kết nối đến Server thật thay cho Client và tiếp tục chuyển tiếp những yêu cầu từ Client đến Server, cũng như chuyển tiếp những đáp ứng của Server trở lại Client. Vì vậy Proxy Server giống như cầu nối trung gian giữa Server thật và Client Tác dụng và chức năng Để đáp ứng được những nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng được cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ, trong hầu hết những phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơn truy xuất đến Internet cho tất cả người sử dụng. Tuy nhiên, phương pháp này không phải là phương pháp giải quyết thỏa mãn nhất bởi vì như vậy nó sẽ tạo cho người sử dụng cảm thấy không thoải mái. Khi truy xuất đến Internet thì họ không thể thực hiện những công việc đó một cách trực tiếp, phải log in vào dual–homed host, thực hiện tất cả những công việc ở đây, và sau đó bằng phương pháp nào đó chuyển đổi những kết quả đạt được của công việc trở lại workstation sở hữu. Điều này trở nên rất tồi tệ ở những hệ thống với nhiều hệ điều hành khác nhau (Ví dụ trong trường hợp nếu hệ thống là Macintosh nhưng riêng dual–homed host là hệ thống Unix). Khi dual homed host được thiết kế trên mô hình không có Proxy, điều đó sẽ khiến cho người sử dụng thêm bực bội và đáng chú ý hơn là làm giảm đi những tiện ích mà Internet cung cấp, tồi tệ hơn là chúng thường không cung cấp an toàn một cách đầy đủ, khi một máy gồm nhiều người sử dụng tất nhiên độ an toàn của nó sẽ giảm, đặc biệt khi họ cố gắng nắm bắt với vạn vật bên ngoài. Proxy System giúp người sử dụng thoải mái hơn và an toàn cho dual–homed host, thay thế những yêu cầu của người sử dụng bằng cách gián tiếp thông qua dual–homed host. Hệ thống Proxy cho phép tất cả những tương tác nằm dưới một hình thức nào đó. Người sử dụng có cảm giác trực tiếp làm việc với Server trên Internet mà họ thật sự muốn truy xuất. Hình 8 : Kết nối sử dụng Application–Level Gateway Proxy Application chính là chương trình trên application–level gateway Firewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua Firewall, tiến trình này được thực hiện trình tự như sau: Thành lập một kết nối đến Proxy application trên Firewall. Proxy Application thu nhập thông tin về việc kết nối và yêu cầu của người sử dụng. Sử dụng thông tin để xác định yêu cầu có được chấp nhận không, nếu chấp nhận, Proxy sẽ tạo sự kết nối khác từ Firewall đến máy đích. Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa Client và Server. Proxy System giải quyết được rủi ro trên hệ thống bởi tránh người sử dụng log in vào hệ thống và ép buộc thông qua phần mềm điều khiển. Kết nối thông qua Proxy (Proxying) Proxying được thực hiện khác nhau với từng dịch vụ, có một vài dịch vụ dễ dàng cài đặt hoặc tự động, nhưng vài dịch vụ lại rất khó khăn. Tuy nhiên hầu hết các dịch vụ đều yêu cầu những phần mềm Proxy Server và Client tương ứng. Hình 9: Kết nối giữa người dùng (Client) với Server qua Proxy Các dạng Proxy Dạng kết nối trực tiếp Phương pháp đầu tiên được sử dụng trong kỹ thuật Proxy là cho người sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa chỉ của Firewall và số cổng của Proxy, sau đó Proxy hỏi người sử dụng cho địa chỉ của host hướng đến, đó là một phương pháp brute force sử dụng bởi Firewall một cách dễ dàng, và đó cũng là một vài nguyên nhân tại sao nó là phương pháp ít thích hợp. Trước tiên, yêu cầu người sử dụng biết địa chỉ của Firewall, kế tiếp nó yêu cầu người sử dụng nhập vào hai địa chỉ cho mỗi sự kết nối: Địa chỉ của Firewall và địa chỉ của đích hướng đến. Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy tính của người sử dụng điều đó tạo ra sự kết nối cho người sử dụng, bởi vì chúng sẽ không biết như thế nào điều khiển những yêu cầu đặc biệt cho sự truyền thông với Proxy. Dạng thay đổi Client Phương Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy tính của người sử dụng. Người sử dụng thực thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông qua Firewall. Người sử dụng với ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi. Người sử dụng cho địa chỉ của host đích hướng tới. Những ứng dụng thêm vào biết được địa chỉ Firewall từ file config cục bộ, set up sự kết nối đến ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng. Phương pháp này rất có hiệu quả và có khả năng che dấu người sử dụng, tuy nhiên, cần có một ứng dụng Client thêm vào cho mỗi dịch vụ mạng là một đặc tính trở ngại. Proxy vô hình Một số phương pháp phát triển gần đây cho phép truy xuất đến Proxy, trong vài hệ thống Firewall được biết như Proxy vô hình. Trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại. Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua Firewall. Như những Packet nhập vào Firewall, tự động chúng được đổi hướng đến ứng dụng Proxy đang chờ. Theo hướng này, Firewall thực hiện rất tốt trong việc giả như host đích. Khi kết nối được tạo ra Firewall Proxy, Client nghĩ rằng nó được kết nối với Server thật. Nếu được phép Proxy sau đó tạo kết nối thứ hai đến Server thật. CHƯƠNG 3: TÌM HIỂU SMOOTHWALL Giới thiệu SmoothWall Express là một tường lửa mã nguồn mở hoạt động trên các bản phân phối của hệ điều hành GNU/Linux. SmoothWall được cấu hình thông qua Web và không đòi hỏi người sử dụng phải biết về Linux để cài đặt và sử dụng SmoothWall Express cho phép bạn dễ dàng xây dựng một bức tường lửa kết nối bảo mật một mạng máy tính đến Internet Hình 1: Mô hình mạng sử dụng Smoothwall Cài đặt SmoothWall Express Cấu hình yêu cầu Cấu hình tối thiểu đề nghị để cài đặt SmoothWall Express: Phần cứng Thông tin Vi xử lý Intel Pentium 200 Ram 128 Mb Đĩa cứng 2Gb còn trống, hỗ trợ IDE và SCSI Card mạng Hỗ trợ card mạng NIC Keyboard, CD-ROM, Monitor Chỉ cần khi cài đặt Các bước cài đặt Lưu ý trước khi cài đặt Không cài đặt SmoothWall trên máy chính hay là máy trạm duy nhất vì tất cả dữ liệu trên máy trạm sẽ bị mất. Trước khi cài đặt cần bảo chắc rằng tất cả dữ liệu đã được sao lưu Các bước cài đặt Tải bản cài đặt về từ website và gi ra đĩa CD để cài đặt Bỏ đĩa CD vào máy cần cài đặt tường lửa và reboot máy tính. Vào chế độ boot CD để tiến hành cài đặt. Các màn hình thông báo xuất hiện, Nhấn Enter để tiếp tục. Một hộp thoại vế chính sách bảo mật xuất hiện Hình 2: Hộp thoại về chích sách bảo mật Chọn chích sách phù hợp với yêu cầu của mạng rồi OK Một menu cấu hình mạng xuất hiện Hình 3: Menu cấu hình mạng Chọn Network configuration type rồi OK Hình 4: Hộp thoại cấu hình mạng GREEN: tương ứng với mạng LAN RED: tương ứng với mạng Internet ORANGE: tương ứng với vùng DMZ PURPLE: tương ứng với mạng Wireless Chọn mạng phù hợp với yêu cầu rồi OK Sau khi cấu hình thông tin cho các card mạng, các hợp thoại về password xuất hiện Đặt password cho root và admin. Kết thúc quá trình cài đặt Truy cập SmoothWall Sử dụng một trình duyệt Internet bất kỳ từ máy trạm truy cập vào địa chỉ của Smoothwall, ví dụ: https://10.0.0.1:441 nhập vào username và password mà bạn đã cài đặt. Trang chủ mặt định xuất hiện Hình 5: Trang chủ mặc định của Smoothwall Quản trị SmoothWall Express Tổng quan Một thanh điều hướng được hiển thị ở đầu mỗi trang nó chứa liên kết đến các trang SmoothWall Express Hình 6: Thanh điều hướng Control Pages Descriptions home Trang chủ About Pages Descriptions Status Thông tin trạng thái advanced Hiển thị thông tin bộ nhớ, đĩa cứng sử dụng, phần cứng traffic graphs Hiển thị trạng thái lưu thông mạng bandwidth bars Hiển thị thời gian sử dụng băng thông traffic monitor Hiển thị thời gian sử dụng băng thông gần đầy my smoothwall Hiển thị thông tin phát triển của SmoothWall, cho phép tùy chọn và đăng ký SmoothWall Services Cho phép cấu hình và kích hoạt các dịch vụ: web proxy, im proxy, pop3 proxy, dhcp, sip proxy… Networking Pages Descriptions incoming Đặt các luật để kiểm soát truy cập của các máy từ Internet vào mạng nội bộ outgoing Tại đây có thể đặt các quy tắc để kiểm soát truy cập của các máy client ra Internet internal Tạo các luật để mạng Orange và Purple có thể giao tiếp với mạng Green external access Thiết lập các kết nối từ máy bên ngoài đến SmoothWall ip block Khóa một địa chỉ IP hay một mạng timed access Cấu hình thời gian cho phép máy Client truy cập mạng bên ngoài qos Tại đây có thể ưu tiên các loại lưu thông đặc biệt advanced Tại đây có thể năng cao tính năng mạng ppp settings Cấu hình các kết nối đến modem, ADSL and ISDN nterfaces Ở đây cấu hình IP, DNS, gateway cho các card NIC VPN Pages Descriptions control Quản lý các kết nối VPN connections Cho phép tạo, chỉnh sửa và quản lý các kết nối VPN Logs Hiện thị các nhật ký thông tin về: system, web proxy, firewall, ids, email… Tools Pages Descriptions ip information Cho phép tra cứu trên địa chỉ IP hay tên miền ip tools Cho phép chạy ping và tracerouter để chuẩn đoán mạng shell Cho phép kết nối đến Smoothwall sử dụng một Java SSH applet Maintenance Pages Descriptions modem Áp dụng các cài đặt cụ thể cho modem PSTN hay ISDNTA Speedtouch usb firmware Tại đây có thể upload firmware để kích hoạt SmoothWall sử dụng the Alcatel/Thomson Speedtouch Home USB ADSL modem passwords Đây là nơi quản lý các mật khẩu backup Tại đây có thể sao lưu cài đặt của bạn preferences Cấu hình Smoothwall sử dụng giao diện shutdown Bạn có thể shutdown hay reboot máy Firewall Kiểm soát lưu lượng mạng Port Forwarding Incoming Traffic SmoothWall Express, mặc định khóa tất cả các traffic đến từ red interface. Các traffic muốn được chấp nhận thì phải cấu hình các luật Để tạo một luật trong Smoothwall ta vào Networking > incoming Hình 7: Trang cấu hình incoming Các cấu hình cài đặt Setting Descriptions Protocol Chọn UDP hay TCP External source IP (or network) Xác định IP hoặc mạng bên ngoài có thể truy cập đến IP đích Hoặc để trống cho phép tất cả các truy cập Source port or range Chọn port của IP nguồn trong menu, hoặc hoặc chọn User defined Port Nếu chọn User defined, thì nhập vào một port nguồn Destination IP Xác định địa chỉ IP đích nơi các traffic được chuyển đến Destination port Chọn port của IP đích trong menu, hoặc chọn User defined Port Nếu chọn User defined, thì nhập vào một port đích Comment Viết ghi chú cho luật Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Controlling Outgoing Traffic Cấu hình cho phép hay cấm hoặc giới hạn việc truy cập Internet trên mỗi vùng mạng nội bộ Để tạo một luật truy cập Internet vào Networking > outgoing Hình 8: Trang cấu hình outgoing Các cấu hình cài đặt Setting Descriptions Traffic originating … Chọn một trong hai Blocked with exceptions Allowed with exceptions Chọn Save để lưu Interface Chọn vùng mạng muốn cấu hình: GREEN, PURPLE Application or service(s) Chọn một chương trình hay dịch vụ hay User defined Port Enter port nếu chọn User defined Comment Viết ghi chú cho luật Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Controlling Internal Traffic Cấu hình cho phép các host trong mạng orange, mạng purple và mạng green có thể liên lạc với nhau Để cấu hình lưu thông nội bộ vào Networking > internal Hình 9: Cấu hình luu thông mạng nội bộ Các cấu hình cài đặt Setting Descriptions Source IP Địa chỉ IP của máy chủ trong DMZ(mạng cam) có nhu cầu giao tiếp với mạng LAN(mạng xanh) Protocol Chọn UDP hay TCP Destination IP Địa chỉ IP đích cúa mạng LAN(mạng xanh) Application or service(s) Chọn trong menu thả xuống một chương trình hay một dịch vụ Destination port Xác định port của mạng đích Comment Viết ghi chú Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Managing Access to Services Cấu hình để thiết lập một danh sách cho phép quản trị SmoothWall từ các máy tính bên ngoài thông qua địa chỉ IP hay potr trên mạng đỏ Để quản lý truy cập dịch vụ Networking > external access Hình 10: Trang cấu hình external access Các cấu hình cài đặt Setting Descriptions Protocol Chọn UDP hay TCP External source IP (or network) Nhập địa chỉ IP hay network của mạng bên ngoài được phép truy cập dịch vụ admin chạy trên SmoothWall Express Destination port Nhập port được chấp nhận, tất cả các port khác sẽ bị khóa(HTTPS: 441, SSH: 222) Comment Nhập mô tả Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Selectively Blocking IPs Addresses Cấu hình để chặn bất kỳ một IP truy cập vào SmoothWall Để chặn địa chỉ IP vào Networking > ip block Hình 11: Trang cấu hình khóa địa chỉ IP Các cấu hình cài đặt Setting Descriptions Source IP or network Nhập một địa chỉ IP hoặc mạng muốn chặn Drop packet Chọn để hủy gói tin Reject packet Trong chế độ này một một thông báo ICMP từ chối kết nối sẽ được gửi đến các IP nguồn Log Chọn để ghi vào nhật ký Comment Nhập mô tả Enabled Chọn để kích hoạt luật Chọn Add để luật có hiệu lực ngay lập tức, Luật sẽ được thêm vào bên dưới Configuring Timed Access to the Internet SmoothWall Express có thể cho phép hoặc không cho phép truy cập Internet tại những thời điểm nhất định trong ngày, cho một nhóm máy Client Để cấu hình thời gian truy cập Internet vào Networking > timed access Hình 12: Trang cấu hình thời gian truy cập Internet Các cấu hình cài đặt Setting Descriptions Enabled Chọn để kích hoạt cài đặt Mode Chọn từ drop menu Allow at specified times -- chấp nhận Reject at specified times -- khóa From – To Chọn khoảng thời gian việc truy cập được chấp nhận hay khóa Machines Nhập vào địa chỉ IP hay network với netmask trên một dòng, ví dụ 10.0.0.253/24 Chọn Save để lưu Managing Quality of Service for Traffic Cấu hình để đảm bảo chất lượng lưu thông của các dịch vụ bằng cách ưu tiên Để quản lý qos Networking > qos Hình 13: Trang cấu hình qos Các cấu hình cài đặt Setting Descriptions Enable traffic shaping Chọn để kích hoạt qos Internal upload or download Chọn tốc độ upload và dowload cho mạng nội bộ External upload speed Chọn tốc upload cho mạng bên ngoài Download speed Chọn tốc độ dowload Headroom Chọn từ menu thả xuống Traffic that does not match below gets treated as Chọn xử lý các luồng dữ liệu không được liệt kê trong vùng lựa chọn luật Rule selection Chấp nhận những ưu tiên mặc định cho các dịch vụ và giao thức được liệt kê, hoặc điều chỉnh phù hợp với yêu cầu Chon Save để lưu Configuring Advanced Network Options Cấu hình để quản lý các gói tin ICMP và các tùy chọn mạng khác Để cấu hình vào Networking > advanced Hình 14: Trang cấu hình advanced Các cấu hình cài đặt Setting Descriptions Block ICMP ping Khóa ping đến Smoothwall từ Internet hoặc mạng LAN Enable SYN cookies Chọn kích hoạt SYS cookies là một cơ chế bảo vệ chống lại tấn công SYN Flood và tránh tấn công kiểu từ chối dịch vụ(DOS) Block and ignore IGMP packets Chọn để chặn các tin nhắn multi-cast Enable UPnP (Universal Plug and Play) support Chọn để hỗ trơ UpnP Clients Action to perform on bad external traffic Chọn để xử lý các lượng truy cập không cho phép Chon Save để lưu Configuring Dial-up Connections Cấu hình các cách kết nối từ SmoothWall đến IPS Liên hệ nhà cung cấp dịch vụ Working with Interfaces Cấu hình và chỉnh sử các card mạng, DNS và gateway Để cấu hình vào Networking > interfaces Hình 14 Trang cấu hình card mạng Làm việc với VPN Tại đây có thể tạo và quản lý một kết nối VPN Tạo một kết nối VPN Để tạo một VPN vào VPN > connections Hình 15: Trang tạo một kết nối VPN Các cấu hình cài đặt Setting Descriptions Name Đặt tên cho kết nối Compression Kích hoạt tính năng nén dữ liệu trong kết nối Left Nhập địa chỉ IP công cộng của máy kết nối từ xa Left subnet Nhập vào địa chỉ mạng và netmask của máy kết nối từ xa Right Nhập địa chỉ IP công cộng của Smoothwall (máy firewall của bạn) Right subnet Địa chỉ mạng và subnet của máy firewall Secret Nhập chuỗi bảo mật để xác thực kết nối Again Nhập lại chuỗi xác thực Comment Nhập mô tả Enabled Chọn để kích hoạt kết nối Add Click add để lưu kết nối vào danh sách phía dưới Export Chọn để lưu thông tin ra file dat Quản lý kết nối VPN Chọn restart và stop để chạy và dừng kết nối VPN Hình 16: Trang quản lý kết nối VPN Sử dụng SmoothWall Express Tools IP Information Hiển thị thông tin của địa chỉ IP hoặc tên miền. Một ứng dụng của việc này là xác định nguồn gốc của các yêu cầu trong bản ghi Để sử dụng vào Tools > ip information Hình 17: Trang ip information Nhập vào địa chỉ IP hoặc tên miền muốn xem vào ô In the IP addresses or domain name field Chọn Run, SmoothWall sẽ hiển thị mọi thông tin IP Tools SmoothWall cung cấp các dịch vụ ping và traceroute Để sử dụng vào Tools > ip tools Hình 18: Trang IP tools Từ menu thả xuống chọn ping hay traceroute Nhập vào địa chỉ IP hoặc hostname vào ô IP addresses or hostnames field Chọn run các kết quả sẽ được hiển thị Running the SSH Client Cho phép quản trị bằng dòng lệnh thông qua trình duyệt web sử dụng SSH. Trình duyệt phải cài đặt máy ảo Java Để sử dụng vào Tools > shell Hình 19: Trang shell Nhập usernamed root và password để login Sử dụng SmoothWall Express Services Sử dụng Web Proxy SmoothWall cung cấp một Proxy Web để yêu cầu các đối tượng Internet. Để triển khai dịch vụ vào Services > web proxy Hình 20: Trang cấu hình webproxy Các cấu hình cài đặt Setting Descriptions Cache size (MB) Không gian bộ nhớ cache để truy cập nhanh hơn vào các trang web Remote proxy Nhập địa chỉ IP của proxy server từ xa Remote proxy username Nếu sử dụng proxy từ xa, cần phải có thông tin chứng thực, nhập username chứng thưc Remote proxy password Nhập password cho việc chứng thực Max object size (KB) Kích thước lớn nhất của đối tượng lưu trong bộ nhớ cache. Mặc định 4Mb Min object size (KB) Kích thước nhỏ nhất của đối tượng được lưu trong bộ nhớ cache Max outgoing size (KB) Kích thước tối đa của dữ cho việc upload Max incoming size (KB) Kích thước tối đa dowload dữ liệu đi qua firewall Transparent Tất cả các yêu cầu điều được chuyển hướng qua firewall Enabled Chọn để kích hoạt web proxy Chọn save để lưu lại Cấu hình Im Proxy Dịch vụ IM Proxy cụa SmoothWall cho phép bạn đăng nhập cuộc hoại thội IM, và chuyển file trên mạng màu xanh và màu tím nếu nó được bật Để cấu hình IM Proxy vào Services > im proxy Hình 21: Trang cấu hình im poxy Các cấu hình cài đặt Setting Descriptions Enabled Chọn để kích hoạt dịch vụ IM proxy Swear-word filtering Chọn để lọc từ MSN Chọn để có thể hội thoại với MSN ICQ and AIM Chọn để có thể hội thoại với ICQ and AIM Yahoo Chọn để có thể hội thoại với Yahoo IRC Chọn để có thể hội thoại với IRC Chọn save để lưu lại Pop3 Proxy SmoothWall có thể quét virut email POP3 khi chúng được tải xuống từ các server mail bên ngoài đền các máy trong mạng xanh và tím Để kích hoạt dịch vụ quét virut POP3 AV vào Services > pop3 proxy Hình 22: Trang cấu hình POP3 proxy Chọn Enable để kích hoạt các dịch vụ. Tất cả các Client sử dụng mail POP3 đi qua firewall đều được quét Chọn Save để lưu lại Sip proxy Dịch vụ sip proxy của SmoothWall quản lý các cuộc gọi VoIP hệ thống Để cấu hình dịch vụ vào Services > sip proxy Hình 23: Trang cấu hình sip proxy Các cấu hình cài đặt Setting Descriptions Enabled Chọn để kích hoạt dịch vụ Logging level Chọn mức yêu cầu đăng nhập Log calls Chọn để gi các cuộc gọi cá nhân Maximum number of clients Số Client tối đa có thể sử dụng dịch vụ Transparent Chọn để dịch vụ chạy ở chế độ minh bạch Chọn save để lưu lại Dịch vụ dhcp Smoothwall cung cấp dịch vụ dhcp. Để cấu hình vào Services > dhcp Hình 24: Trang cấu hình dịch vu dhcp Các cấu hình cài đặt Setting Descriptions Network Boot enabled Chọn để kích hoạt cho máy trạm khởi không đĩa Boot server Địa chỉ IP của server chạy TFTP Boot filename Tên của file máy trạm hoặc thiết bị để boot Root path Đường dẫn của file máy trạm hoặc thiết bị Interface Chọn vùng mạng mà bạn muốn cấu hình dịch vụ dhcp Start address Địa chỉ bắt đầu cấp phát End address Địa chỉ kết thúc Primary DNS Nhập địa chỉ máy DNS chính Secondary DNS Nhập địa chỉ của máy DNS hai Primary NTP Nhập IP của server NTP chính Secondary NTP Nhập IP của server NTP phụ Primary WINS Nhập IP của server WINS chính Secondary WINS Nhập IP của server WINS phụ Default lease time(mins) Nhập thời gian mà địa chỉ IP được cấp phát Max lease time (mins) Nhập thời gian tối đa mà địa chỉ IP được cấp phát Domain name suffix Tên miền của máy cấp phát IP NIS domain Tên miền của NIS Primary NIS Nhập IP chính của NIS Secondary NIS Nhập IP phụ của NIS Enabled Chọn để kích hoạt dịch vụ dhcp Chọn Save để lưu lại Assigning Static IP Addresses Setting Descriptions Hostname Tên máy client được cấp phát IP tĩnh Description Nhập vào thông tin mô tả MAC address Địa chỉ MAC của máy Client P address Địa chỉ IP tỉnh được cấp phát Enabled Chọn để kích hoạt dịch vụ Chọn để thêm vào danh sách bên dưới Dynamic DNS SmoothWall cung cấp dịch vụ Dynamic DNS. Để cấu hình dịch vụ vào Services > dynamic dns Hình 25: Trang cấu hình dịch vụ DNS Các cấu hình cài đặt Setting Descriptions Service Chọn dịch vụ dynamic dns mà bạn đã đăng ký Behind a proxy Chọn tùy chọn này nếu bạn sử dụng no-ip.com hoặc máy firewall nằm phía sau máy chủ proxy Enable wildcards Chọn để kích hoạt wildcards Hostname Nhập hostname mà bạn đã đang ký Domain Nhập vào tên miền của nhà cung cấp mà bạn chọn Username Nhập username mà bạn đã đăng ký Password Nhập password mà bạn đã đăng ký Comment Viết ghi chú Enabled Kích hoạt dịch vụ Chọn add để thêm dịch vụ vào danh sách bên dưới Static DNS Dùng để cấu hình dịch vụ DNS cho mạng LAN của bạn. Để cấu hình vào Services > static dns Hình 26: Trang cấu hình dịch vụ DNS Các cấu hình cài đặt Setting Description IP address Nhập vào địa chỉ IP của host Hostname Nhập vào tên của host Comment Viết ghi chú Enabled Chọn để kích hoạt Chọn add để thêm vào danh sách bên dưới Managing the Intrusion Detection System SmoothWall hỗ trợ dịch vụ phát hiện xâm nhập Snort IDS. Để cấu hình vào Services > ids Hình 27: Trang cấu hình Sort IDS Truy cập vào website để đăng ký Oink code. Sau đó kích hoạt dịch vụ. Chọn Save and updates rules để cập nhật các luật từ website Cấu hình Remote Access Khi được kích hoạt có thể sử dụng dịch vụ SSH để truy cập Smoothwall. Để kích hoạt dịch vụ vào Services > remote access Hình 28: Trang cấu hình remote access Chọn SSH và Allow admin access only from valid referral URLs để kích hoạt dịch vụ và đảm bảo các truy cập hợp lệ Configuring Time Settings Cấu hình ngày và thời gian cho Smoothwall để đồng bộ với máy server ngoài. Để cấu hình vào Services > time Hình 29: Trang cấu hình thời gian Các cấu hình cài đặt Setting Description Timezone Chọn múi giờ Time and date Đặt ngày vá giờ cho máy Network time retrieval Cấu hình để Smoothwall đồng bộ với thời gian trên Internet Network time Server Chọn để cấu hình một máy chủ thời gian khác Quản lý Sử dụng SmoothWall Express Để update SmoothWall một cách tự động vào Maintenance > updates Hình 30: Trang update Smoothwall Chọn Check for Updates để kiểm tra trước khi update Chọn Update để update tự động Chọn Advanced để update từ file Cấu hình modem vào Maintenance > modem Hình 31: Trang cấu hình modem Chọn Resrore defaults để lấy các thông số mặc định và Save để lưu Sử dụng Speedtouch USB ADSL Modems vào Maintenance > speedtouch usb firmware Hình 32: Trang cấu hình speedtouch usb firmware Chọn Browse để tìm file driver và chọn Upload để cài đặt Cấu hình mật khẩu vào Maintenance > password Hình 33: Trang thay đổi mật khẩu Thay đổi mật khẩu cho user admin và dial Cấu hình backups vào Maintenance > backup Hình 34: Trang backup Chọn Create backup floppy disk để tạo một đĩa backup Chọn Create backup floppy image để tạo một file backup Thiết lập giao diện người dùng vào Maintenance > preferences Hình 35: Trang cấu hình giao diện Chọn Drop down menus để ẩn hoặc hiện menu Tắt và khởi động SmoothWall vào Maintenance >shutdown Hình 36: Trang shutdown Thông tin và bản ghi Thanh About Status Thông tin trạng thái các dịch vụ Hình 37: Trang trạng thái Advanced Hiển thị các cấu hình hiện tại và các nguồn tài nguyên được sử dụng Hình 38: Trang advanced Traffic Graphs Hiển thị thống kê số liệu dựa trên lưu lượng truy cập Hình 39: Trang thống kê số lượng truy cập Bandwidth Bars Hiển thị băng thông được sử dụng Hình 40: Trang hiển thị băng thông sử dụng Traffic Monitor Hiển thị băng thông sử dụng ở dạng biểu đồ Hình 41: Trang hiển thị băng thông SmoothWall Express Hiển thị thông tin bản quyền và cho phép đăng ký Hình 42: Trang hiển thị thông tin bản quyền Làm việc với Logs Hình 43: trang hiển thị thông tin hệ thống Hình 44: Trang hiển thị log firewall Setting Descriptions System Chứa bản ghi của tất cả hệ thống Web Proxy Logs Chứa bản ghi Web Proxy Firewall Logs Bản ghi của các gói tin bị chặn IDS Logs Hiển thị các kết nối độc hại cố gắng truy cập vào mạng lưới của bạn Instant Messages Logs Hiển thị thông tin về tin nhắn nhanh Email Logs Hiển thị các email đã đi qua POP3 proxy CHƯƠNG 4: THỰC NGHIỆM Mô tả, yêu cầu Ngày nay mạng nội bộ là một yếu tố không thể thiếu ở các công ty. Ngoài việc triển khai đầy đủ các dịch vụ mạng thì vấn đề bảo mật cũng được đặt lên hàng đầu. Do đó một tường lửa là không thể thiếu trong mô hình mạng. Các phần mềm tưởng lửa thương mại là lựa chọn hàng đầu của các công ty lớn. Nhưng với các công ty vừa và nhỏ thì các phần mềm miễn phí cũng đã đáp ứng đầy đủ các nhu cầu của họ. Sau đây là một mô hình mạng tiêu biểu có thể được triển khai ở các công ty vừa và nhỏ mà nhóm em tìm hiểu. Mô hình mạng triển khai: Hình 1: Mô hình mạng triển khai Mô hình mạng được triển khai với 3 máy Server chính: Máy Firewall cài đặt HĐH Linux và SmoothWall Express 3.0 để làm tường lửa cho mạng nội bộ Máy DMZ Server cài đặt HĐH Linux và triển khai các dịch vụ mạng như: FTP, WEB, MAIL Máy Server cài đặt HĐH Linux và triển khai các dịch vụ: DHCP, DNS Và một modem ADSL để cho các máy client có thể truy cập Internet Yêu cầu: Để bảo đảm an toàn thông tin trong mạng nội bộ thì yêu cầu phải triển khai luật trên máy Firewall: Các máy client trong mạng LAN được truy cập các dịch vụ trên máy DMZ và bên ngoài Internet thông qua Firewall Máy DMZ được phép TELNET qua các máy trong mạng LAN Cấm các máy bên ngoài Internet truy cập vào các máy Client bên trong mạng Lan Cho phép các máy bên ngoài truy cập vào các dịch vụ trên máy DMZ: FTP. Trừ các máy có địa chỉ IP nhất định được cấu hình trước được phép quản trị từ xa Triển khai hệ thống phát hiện phòng chống xâm nhập trên Firewall sử dụng Sort IDS Triển khai trên máy ảo Hình 2: Mô hình mạng triển khai máy ảo Các bước cấu hình Mô hình thực nghiệm được xây dựng gồm 3 vùng mạng giao tiếp với nhau qua máy Firewall: Mạng Lan có địa chỉ mạng là 10.0.0.0/24 Mạng Internet có địa chỉ mạng là 192.168.1.0/24 Vùng DMZ có địa chỉ mạng là 20.0.0.0/24 Máy Server Hệ điều hành: Linux Địa chỉ IP 10.0.0.2/24 Host name: server.tieuluan.com Triển khai dịch vụ DHCP-DNS để cấp IP động cho các máy trong mạng Lan Máy Client Hệ điều hành: Win XP Địa chỉ IP: nhận IP động từ máy Sever Máy DMZ Server Hệ điều hành: Linux Địa chỉ IP: 20.0.0.2/24 Host name: dmz.tieuluan.com Triển khai các dịch vụ FTP, WEB để kiểm tra cấu hình Máy Firewall Hệ điều hành: Linux Địa chỉ IP Card Lan: 10.0.0.1/24 Card DMZ: 20.0.0.1/24 Card Internet: 192.168.1.1/24 Host name: firewall.tieuluan.com Cài đặt Smoothwall Express 3.0. làm tường lửa để kiểm soát lưu thông mạng Máy External PC Hệ điều hành: Win XP Dùng để kiểm tra cấu hình Máy Linux Router Hệ điều hành: Linux Địa chỉ IP: 192.168.1.2 Đóng vai trò Internet, triển khai các dịch vụ FTP, WEB để kiểm tra cấu hình Sau cấu hình địa chỉ IP và cài đặt các dịch vụ cho các máy server. Tiếp theo ta cài đặt SmoothWall Express 3.0 và cấu hình các luật theo yêu cầu Cấu hình các luật Tiến hành cài đặt Smoothwall Express 3.0 vào máy Firewall à xem phần hướng dẫn cài đặt Dựa theo các yêu cầu được đề ra, ta đưa ra các luật để cấu hình trên máy Firewall: GREEN à External: HTTP, HTTPS, FTP, DNS External à DMZ: HTTP, HTTPS External (192.168.1.100): admin DMZ à GREEN: TELNET, DNS DMZ à External: HTTP, HTTPS, FTP, DNS Triển khai Sort IDS trên Firewall Bước 1: Cấu hình cho phép các máy trong mạng Lan và DMZ truy cập Internet GREEN à External: HTTP, HTTPS, FTP, DNS DMZ à External: HTTP, HTTPS, FTP, DNS Truy cập Smoothwall à xem phần hướng dẫn truy cập Vào Networking > outgoing Hình 3: Cấu hình outgoing Bước 2: Cấu hình cho phép các máy bên ngoài truy cập các dịch vụ trên DMZ Server như: FTP, HTTP, HTPPs. Và máy External (192.168.1.100) quyền admin External à DMZ: HTTP, HTTPS External (192.168.1.100): admin Truy cập Smoothwall à xem phần hướng dẫn truy cập Vào Networking > incoming cho phép máy External truy cập FTP và WEB trên DMZ Hình 4: cấu hình icoming Vào Networking > external access cấu hình cho phép máy External (192.168.1.100) truy cập được Smoothwall Hình 5: Cấu hình external access Bước 3: Cấu hình cho phép máy DMZ TELNET và DNS được các máy trong mạng LAN DMZ à GREEN: TELNET, DNS Truy cập Smoothwall à xem phần hướng dẫn truy cập Vào Networking > internal Hình 6: Cấu hình internal Bước 4: Triển khai Snort IDS Truy cập vào website https://www.snort.org/ đăng ký thành viên và nhận Oink code Vào Services > ids để kích hoạt Hình 7: Cấu hình IDS