NHẬN XÉT
(Của giảng viên hướng dẫn)
NHẬN XÉT
(Của giảng viên phản biện)


Chương I: TỔNG QUAN VỀ FIREWALL 12

1.1

Firewall là gì? 12

1.2

Chức năng của Firewall 13

1.3

Cấu trúc của Firewall 13

1.4

Các thành phần của Firewall 13

1.4.1

Bộ lọc packet (Packet – filtering router) 14

1.4.2

Cổng ứng dụng
(application-level ge
t
w
a

2.2.1 Bảng filter 20

2.2.2 Bảng NAT 22

2.2.3 Bảng mangle 24

2.3 Cú pháp cơ bản của iptables 26

2.3.1 Các lệnh (command) của iptables 27

2.3.2 Các điều kiện trong luật 30

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC SVTH: LA HOÀI BÃO – 49THMA
2.3.2.1 Nhóm các điều kiện chung 31

2.3.2.2 Nhóm các điều kiện ẩn 32

2.3.2.3 Nhóm các điều kiện hiện 34

2.4 Các hành động trong luật 36

2.4.1 User-defined-chain 36

2.4.2 DROP 37

2.4.3 REJECT 37



SVTH: LA HOÀI BÃO – 49THMA
2.6.9 Cấu hình cho phép một số dịch vụ TCP thông dụng 47

2.6.9.1 Email 47

2.6.9.2 Telnet 48

2.6.9.3 SSH 49

2.6.9.4 FTP 50

2.6.9.5 Dịch vụ Web 51

Chương 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP 53

3.1 Tổng quan về hệ thống phát hiện xâm nhập – IDS 53

3.1.1 Sự cần thiết của tìm kiếm và phát hiện xâm nhập 53

3.1.1.1 Xâm nhập mạng là gì? 53

3.1.1.2 Phát hiện xâm nhập mạng là gì? 54

3.1.2 Một số khái niệm cơ bản trong hệ thống phát hiện xâm nhập 54

3.1.2.1 Hệ thống phát hiện xâm nhập (IDS) 54

3.1.2.2 Network IDS – NIDS 54


3.1.6 Cách thức làm việc của IDS 63

3.1.6.1 Nework-Based IDS (NIDS) 63

3.1.6.2 Host Based IDS (HIDS) 66

3.1.6.3 Hệ thống phát hiện xâm nhập phân tán (DIDS) 69

3.1.6.4 Stack-based IDS 69

3.1.7 Một số phương pháp phát hiện xâm nhập của IDS 70

3.1.7.1 Phương pháp bắt gói tin (Packet Sniffing) 70

3.1.7.2 Phân tích nhật ký (Log Parsing) 70

3.1.7.3 Giám sát các cuộc gọi hệ thống (System Call Monitoring) 70

3.1.7.4 Giám sát hệ thống file (Filesystem Watching) 71

3.1.8 IDS làm gì khi phát hiện ra một xâm nhập? 71

3.1.8.1 Phản ứng thụ động (Passive Response) 71

3.1.8.2 Phản ứng chủ động (Active Response) 71

3.2 Cấu hình và cài đặt hệ thống phát hiện xâm nhập với Snort IDS
Software 72

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC

3.2.2.4 Cài đặt Barnyard2 91

3.2.3 Snort rule 92

3.2.3.1 Các thành phần chính 93

3.2.3.1.1 Rule Header 93

3.2.3.1.2 Rules Option 94

3.2.3.2 Ví dụ về Snort rule 94

Chương 4: MÔ HÌNH THỬ NGHIỆM 96

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC SVTH: LA HOÀI BÃO – 49THMA
4.1.

Môi trường thử nghiệm 96

4.2.

Mô hình thử nghiệm 96

4.3 Mô hình 1: Bảo vệ hệ thống có dịch vụ và chia sẻ internet 98

4.3.1 Yêu cầu và cấu hình Firewal 99


Mạng Internet ra đời đã mang lại rất nhiều lợi ích cho con người. Tuy
nhiên, bên cạnh những ưu điểm nó còn tồn tại rất nhiều nhược điểm, điểm yếu mà
khó có thể khắc phục được. Một trong những yếu điểm của nó chính là bài toán về
an ninh, an toàn và bảo mật trên mạng Internet. Sự mở rộng về mặt địa lý cũng
như các ứng dụng trên mạng Internet chính là sự mở rộng cửa hơn đối với kẻ tấn
công mạng. Nguy cơ mạng bị tấn công nằm ở tất cả các quốc gia có kết nối
Internet, hơn nữa các thủ đoạn tấn công mạng ngày càng tinh vi. Bài toán an ninh,
an toàn mạng và tấn công mạng luôn đi song hành. Khi có kiểu tấn công mới thì
giải pháp an ninh, an toàn cần phải nâng cấp, cải tiến ngay tức thời để chống lại
tấn công này. Khi công cụ tấn công không còn hiệu quả, kẻ tấn công lại nghĩ ra
phương kế khác để vượt qua hệ thống bảo vệ. Có thể nói rằng cuộc đua giữa an
ninh, an toàn mạng và kẻ tấn công là cuộc chiến đầy phức tạp và không có hồi kết.
Ở Việt Nam, chưa có lúc nào mà các cuộc tấn công mạng và các Website bị
tấn công lại rầm rộ như những năm gần đây, đặc biệt vào những ngày đầu tháng 6
năm 2011, theo thống kê có khoảng hơn 1.500 website Việt Nam bị tấn công.
Chúng ta có thể nhìn thấy các Website của Việt Nam bị tấn công được liệt kê trên
các trang web của nước ngoài. Website bị tấn công rất đa dạng, từ ngành giáo dục
đào tạo, các trang thông tin của các tỉnh, cho tới các doanh nghiệp kinh doanh trên
mạng.
Giải pháp an ninh, an toàn được biết đến nhiều là các hệ thống bức tưởng
lửa (firewall). Firewall thường hoạt động như bộ lọc gói tin mạng (lọc địa chỉ,
cổng, dịch vụ ), nó giải quyết một số vấn đề cơ bản cho bài toán an ninh, an toàn
mạng. Tuy nhiên, thực tiễn hiện nay đòi hỏi một giải pháp phức tạp và thông minh
để kết hợp với firewall để bảo vệ hệ thống mạng của chúng ta một cách hiệu quả
hơn. Một giải pháp như vậy hiện đang được triển khai ở thực tế là các hệ phát hiện
xâm nhập (IDS – Intrusion Detection System).
Trong một vài năm trở lại đây, vấn đề an ninh mạng mới được quan tâm
nhiều ở Việt Nam. Chúng ta đã tổ chức một số hội nghị về an toàn thông tin mang
tầm cỡ quốc gia như VN Security Trước đây, do điều kiện chủ quan cũng như
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI MỞ ĐẦU

CẢM ƠN


Để hoàn thành bài luận tốt nghiệp “Kết hợp Firewall và hệ thống phát hiện
xâm nhập (IDS) để bảo vệ hệ thống mạng của doanh nghiệp trên nền tảng hệ
điều hành Linux”, lời đầu tiên tôi xin bày tỏ sự cám ơn tới ThS. Ngô Văn Công,
người đã giúp tôi lựa chọn đề tài, truyền đạt kinh nghiệm, đưa ra những nhận xét
quý giá và trực tiếp hướng dẫn tôi trong suốt quá trình hoàn thành luận văn tốt
nghiệp.
Tôi xin chân thành cám ơn các thầy cô trong khoa Công nghệ thông tin -
trường Đại học Nha Trang đã truyền đạt kiến thức cho tôi trong suốt khoảng thời
gian 4 năm học tập tại trường.
Trong quá trình hoàn thành luận văn tốt nghiệp, tôi đã nhận được rất nhiều sự
giúp đỡ, động viên từ bạn bè. Tôi xin gửi lời cám ơn tới những người bạn luôn bên
cạnh tôi để chia sẻ những kinh nghiệm trong học tập cũng như cuộc sống.
Cuối cùng tôi kính chúc quý thầy, cô dồi dào sức khỏe và thành công trong sự
nghiệp cao quý của mình.
Nha Trang, tháng 6 năm 2011
Sinh viên thực hiện
La Hoài Bão
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TỔNG QUAN VỀ FIREWALL SVTH: LA HOÀI BÃO – 49THMA 12
Chương I: TỔNG QUAN VỀ FIREWALL
1.1 Firewall là gì?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ
các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ

qua Firewall.
 Chỉ có những trao đổi nào thõa mãn chính sách an ninh của Firewall mới
được phép lưu thông qua Firewall.
1.3 Cấu trúc của Firewall
Firewall bao gồm:
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có
chức năng router.
Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các
hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán
(Accounting).
1.4 Các thành phần của Firewall
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
 Bộ lọc packet (Packet – filtering router).
 Cổng ứng dụng (Application – level gateway hay proxy server).
 Cổng mạch (Circuite level gateway).

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TỔNG QUAN VỀ FIREWALL SVTH: LA HOÀI BÃO – 49THMA 14
1.4.1 Bộ lọc packet (Packet – filtering router)
Khi nói đến việc lưu thông dữ liệu giữa
các mạng
với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ
các dữ liệu nhận
được
từ
các

Các
luật lệ lọc packet này là

dựa
trên
các
thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền
các
packet đ
ó
ở trên m
ạ
ng. Đó là:
 Địa chỉ IP nguồn (IP Source address).
 Địa chỉ IP đích (IP Destination address).
 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
 Cổng TCP/UDP nguồn (TCP/UDP source port)
 Cổng TCP/UDP đích (TCP/UDP destination port)
 Dạng thông báo ICMP (ICMP message type)
 Giao diện packet đến (incomming interface of packet)
 Giao diện packet đi (outcomming interface of packet)
Nếu luật lọc packet được thỏa mãn thì packet được chuyển qua firewall. Nếu
không packet sẽ bị bỏ đi. Nhờ vậy mà firewall có thể ngăn chặn được các kết
nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập
vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TỔNG QUAN VỀ FIREWALL SVTH: LA HOÀI BÃO – 49THMA 15
kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết
SVTH: LA HOÀI BÃO – 49THMA 16
ra, proxy code có thể được cấu hình để hổ trợ chỉ một số đặc điểm trong ứng
dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những
đặc điểm khác.
Cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì
nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện
pháp đảm bảo an ninh của một bastion host là:
- Bastion host luôn chạy các version an toàn (secure version) của các phần
mềm hệ thống. Các version an toàn này được thiết kế chuyên cho mục đích
chống lại sự tấn công vào phần mềm hệ thống, cũng như là đảm bảo sự tích
hợp firewall.
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài
đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó
không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho
các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên
bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như
user password hay smart card.
- Mỗi proxy được cấu hình để cho phép truy cập chỉ một số các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi
proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
- Mội proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của
giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất
có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
- Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này
cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ một proxy
đang có vấn đề.


a
t
ew
a
y)
Cổng mạch là Firewall với một chức năng đặc biệt có thể thực hiện được bởi
một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối
TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
Cổng mạch làm việc như một sợi dây, sao chép các byte giữa các kết nối
bên trong (inside connection) và các kết nối bên ngoài (outside connection).
Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin
về mạng nội bộ.
Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC TỔNG QUAN VỀ FIREWALL SVTH: LA HOÀI BÃO – 49THMA 18
quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất
là một bastion host có thể được cấu hình như một hỗn hợp cung cấp Cổng ứng
dụng cho những kết nối đến, và cổng mạch cho những kết nối đi. Điều này làm
cho hệ thống tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ
muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức
năng bức tường lửa để bảo vệ mạng nội bộ từ những cuộc tấn công bên ngoài.
1.5 Những hạn chế của firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm
nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các
thông số địa chỉ.
Firewall không thể ngăn chặn cuộc tấn công nếu cuộc tấn công này không “đi
qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một

chuyển đến trình điều khiển thiết bị tương ứng trong nhân hệ điều hành. Sau đó,
gói tin sẽ bắt đầu đi qua một loạt các bước trong nhân hệ điều hành, trước khi nó
được gởi tới ứng dụng cục bộ hoặc là được chuyển tiếp đến máy tính khác hay chịu
tác động nào đó của nhân hệ điều hành.
Một mặt mạnh của iptables là ở chỗ nhiều bảng có thể được sử dụng để quyết
định “số phận” của một gói tin nào đó, phụ thuộc vào kiểu của gói tin đang được
kiểm tra và hành động sẽ được thực hiện trên gói tin đó.
Iptables sử dụng khái niệm mỗi bảng luật riêng biệt cho mỗi loại chức năng để
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LINUX FIREWALL IPTABLES SVTH: LA HOÀI BÃO – 49THMA 20
xử lý gói tin. Những bảng luật này được cài đặt như là những module chức năng
tách rời. Có ba module chính là bảng filter, bảng nat và một bảng xử lý gói đặc biệt
là mangle. Mỗi một trong ba bảng này đều có những module mở rộng riêng biệt
gắn kết với nó.
Mỗi một bảng có chứa các chuỗi luật mặc định thực hiện các tác vụ cần thiết
dựa trên mục đích của bảng. Tuy nhiên, người dùng cũng được phép định nghĩa
những chuỗi luật mới trong các bảng.
2.2.1 Bảng filter
Bảng filter là bảng mặc định. Những bảng khác khi muốn sử dụng cần phải
chỉ rõ khi viết lệnh. Những đặc điểm cơ bản của bảng này gồm:
 Chuỗi (chain) các phép toán liên quan, từ ba chuỗi xây dựng sẵn
(INPUT, OUTPUT, và FORWARD) và những chuỗi do ta tự tạo.
 INPUT được áp dụng cho tất cả các gói tin đến firewall. Chú ý
rằng tất cả các gói tin đến máy này đều phải thông của chuỗi input,
không cần biết đến giao tiếp mạng nào hay hướng đến của chúng.
 FORWARD được áp dụng trên tất cả các gói tin sẽ đi qua firewall
(các gói tin không được phát sinh trên máy firewall và có đích đến
ngoài máy firewall).
SVTH: LA HOÀI BÃO – 49THMA 22
2.2.2 Bảng NAT
Bảng này chỉ được sử dụng cho các thao tác chuyển đổi địa chỉ mạng – NAT
(Network Address Translation) trên những gói tin. Nói cách khác, nó chỉ được
sử dụng để chuyển đổi trường địa chỉ nguồn hay trường địa chỉ đích của gói tin,
tùy theo luật được chỉ ra. Các gói trong một dòng dữ liệu (stream) chỉ đi qua
bảng này một lần. Giả sử rằng gói đầu tiên của một dòng dữ liệu được cho phép
(chỉ có gói đầu tiên trong một dòng dữ liệu sẽ vấp phải chuỗi này). Phần gói còn
lại trong dòng dữ liệu sẽ được tự động thay đổi địa chỉ và sẽ phải chịu cùng các
tác động như gói đầu tiên. Nói cách khác chúng sẽ không đi qua bảng này một
lần nữa, tuy nhiên vẫn sẽ được xử lý giống như gói đầu tiên trong dòng dữ liệu.
Đây cũng chính là lý do chính tại sao không thực hiện bất kỳ thao tác lọc nào
trong bảng này.
Những hành động thực có trong bảng này gồm:
 Hành động DNAT (Destination Network Address Translation) được sử
dụng trong trường hợp ta có một địa chỉ IP chung và muốn chuyển
hướng các truy nhập vào firewall tới một số máy khác (ví dụ trên một
DMZ). Nói cách khác, ta thay đổi địa chỉ đích của gói tin và dẫn đường
cho nó tới máy tính khác.
 Hành động SNAT (Source Network Address Translation) được sử dụng
để thay đổi địa chỉ nguồn của các gói tin. Một ví dụ của việc sử dụng
hành động này là khi ta biết địa chỉ IP ngoài, nhưng cần thay thế địa chỉ
IP của mạng cục bộ bằng địa chỉ của firewall. Với hành động này,
firewall sẽ tự động SNAT và De-SNAT các gói tin, do vậy tạo cho nó có
khả năng thực hiện kết nối từ LAN tới Internet.
 Hành động MASQUERADE được sử dụng theo đúng như cách thức
SNAT thực hiện, nhưng hành động này thực hiện tính toán ít hơn. Lý do
là mỗi khi hành động MASQUERADE bắt gặp một gói tin, nó kiểm tra

 PREROUTING được sử dụng để thay đổi gói tin khi chúng vừa vào
firewall và trước khi chúng qua bước quyết định dẫn đường.
 POSTROUTING được sử dụng để thay đổi thông tin gói tin ngay sau khi
tất cả các quyết định dẫn đường đã được thực hiện.
 INPUT được sử dụng để thay đổi thông tin gói tin sau khi chúng đã được
dẫn tới bản thân máy cục bộ, nhưng trước khi được gởi tới tiến trình ứng
dụng.
 FORWARD được sử dụng để thay đổi thông tin gói tin sau khi chúng đã
sang bước quyết định dẫn đường đầu tiên, nhưng trước khi chúng chịu
tác động của bước quyết định dẫn đường cuối cùng.
 OUTPUT được sử dụng để thay đổi thông tin của các gói tin được phát
sinh cục bộ trước khi chúng được chuyển sang bước quyết định dẫn
đường.
Chú ý là không sử dụng bảng này để thực hiện lọc gói tin và cũng không
thực hiện chuyển đổi địa chỉ NAT hay Masquerading trong bảng này.
Các hành động có thể được sử dụng trong bảng mangle gồm:
 Hành động ToS được sử dụng để thiết lập và/hoặc thay đổi trường Type
of Service trong header của gói tin. Hành động này có thể được sử dụng
để thiết lập các chính sách trên mạng về cách thức xử lý gói tin. Chú ý
rằng thực tế hành động này không được sử dụng trên Internet, và phần
lớn các router không quan tâm đến giá trị trong trường này và đôi khi
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LINUX FIREWALL IPTABLES SVTH: LA HOÀI BÃO – 49THMA 25
chúng thực hiện sai trên thông tin chúng nhận được.
 Hành động TTL được sử dụng để thay đổi trường TTL (Time To Live)
của gói tin.
 Hành động MARK được sử dụng để gán các giá trị mark đặc biệt cho gói
tin. Những mark này sau đó có thể được nhận diện bởi các chương trình