MỘT SỐ CÔNG CỤ AN NINH MẠNG MÃ NGUỒN MỞ
III.1 Giới thiệu
Hệ thống mạng đang trở thành những thành phần quan trọng trong thành công của doanh
nghiệp - cho dù lớn hay nhỏ. Khi mạng bị lỗi, khách hàng và các nhân viên không thể trao đổi
được với nhau, các nhân viên không thể truy cập được những thông tin cần thiết hoặc không thể sử
dụng được các tính năng in ấn hoặc email, kết quả là sản lượng và doanh thu bị giảm sút. Các công
cụ phần mềm an ninh mạng làm giảm thời gian ngừng hoạt động của mạng và làm cho các doanh
nghiệp hoạt động suôn sẻ hơn, giảm chi phí và ngăn ngừa được việc giảm doanh thu. Và đối với
các doanh nghiệp nhỏ, những người chưa bao giờ nghĩ đến một khoản ngân sách chi cho phần
mềm an ninh mạng. Một lựa chọn tối ưu để khởi đầu với phần mềm giám sát mạng miễn phí với
mã nguồn mở, giảm thời gian và chi phí cho quản trị mạng. Chương này giới thiệu một số phần
mềm an ninh, giám sát hệ thống mạng mã nguồn mở miễn phí có sẵn hiện nay.
Khi xây dựng một hệ thống an ninh mạng, các doanh nghiệp thường có những mục tiêu
chung như sau:
1. Chi phí thấp : Phần mềm giám sát hệ thống mạng có chi phí phù hợp với mô hình của doanh
nghiệp
2. Dễ dàng cài đặt và sử dụng : Phần mềm giám sát hệ thống mạng mang tính trực quan, bắt đầu
mà không phải đọc những tài liệu khô cứng và buồn tẻ.
3. Nhiều tính năng : Phần mềm giám sát hệ thống mạng có thể giám sát toàn bộ các nguồn lực, cả
những nguồn lực của hiện tại cũng như những nguồn lực có thể có trong tương lai.
Dưới đây chúng ta sẽ đi tìm hiểu một số công cụ an ninh mạng mã nguồn mở được sử dụng
phổ biến hiện nay.
III.2 Netfilter và Iptables
III.2.1 Giới thiệu
Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn trên Linux.
Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. Iptables
chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho
Netfiler xử lí. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc trực tiếp trong
nhân, nhanh và không làm giảm tốc độ của hệ thống.
Hình 3.1: Vị trí của iptables trong một Firewall Linux
III.2.2 Cấu trúc của iptables

chuỗi POSTROUTING (sau khi định tuyến).
Tại chuỗi POSTROUTING, gói có thể được đổi địa chỉ IP nguồn (SNAT) hoặc đóng giả địa
chỉ (MASQUERADE). Gói sau khi ra giao diện mạng sẽ được chuyển để đi đến máy tính khác
trên mạng ngoài.
Hình 3.2: Quá trình chuyển gói dữ liệu qua Netfilter
Trong chuỗi, mỗi luật sẽ được áp dụng theo thứ tự, mỗi luật có một tập các điều kiện xác
định luật có phù hợp hay không và tác động chỉ xảy ra khi điều kiện phù hợp. Kết thúc một chuỗi
thì tác động mặc định sẽ được sử dụng, nghĩa là gói tin sẽ được phép đi qua.
Các trạng thái kết nối :
- NEW: mở kết nối mới
- ESTABLISHED: đã thiết lập kết nối
- RELATED: mở một kết nối mới trong kết nối hiện tại
- CONNMARK
- MARK
- INVALID
- UNTRACKED
III.2.4 Targets và jump
Jump (Nhảy) là cơ chế chuyển một packet đến một target (đích) nào đó để xử lý thêm một số
thao tác khác.
Targets (Đích) là hành động sẽ diễn ra khi một gói dữ liệu được kiểm tra và phù hợp với một
yêu cầu nào đó. Khi một target đã được các định, gói dữ liệu cần nhảy để thực hiện các xử lý tiếp
theo. Target dùng để nhận diện và kiểm tra packet. Các target được xây dựng sẵn trong iptables
như:
1. ACCEPT: iptables chấp nhận chuyển gói tin đến đích.
2. DROP: iptables khóa những packet.
3. LOG: thông tin của packet sẽ gửi vào syslog daemon iptables tiếp tục xử lý luật tiếp theo
trong bảng mô tả luật. Nếu luật cuối cùng không thỏa mãn thì sẽ hủy gói tin. Với tùy chọn
thông dụng là --log-prefix=”string”, tức iptables sẽ ghi nhận lại những message bắt đầu
bằng chuỗi “string”.
4. REJECT: ngăn chặn packet và gửi thông báo cho sender. Với tùy chọn thông dụng là --