Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux
tải về 0.55 Mb.
|
- Điều hướng trang này:
- BẢNG CÁC TỪ VIẾT TẮT ARP
- “ Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux”
Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux 
LỜI CẢM ƠN Để có được đồ án này, em xin bày tỏ lòng biết ơn sâu sắc đến các thầy cô giáo trong trường Đại học Bách Khoa Hà Nội nói chung, khoa Công nghệ thông tin, chương trình đào tạo kỹ sư chất lượng cao tại Việt Nam ( P.F.I.E.V ) nói riêng, những người đã tận tình giảng dạy, truyền đạt cho em những kiến thức quý báu trong 5 năm học vừa qua. Em xin chân thành cảm ơn thầy giáo hướng dẫn, Thạc sỹ - Giảng viên chính Đỗ Văn Uy, bộ môn Công nghệ phần mềm, khoa Công nghệ thông tin, trường Đại học Bách Khoa Hà Nội đã nhiệt tình hướng dẫn, chỉ bảo và cung cấp cho em nhiều kiến thức cũng như tài liệu quý trong suốt quá trình làm đồ án. Nhờ sự giúp đỡ của thầy em mới có thể hoàn thành được đồ án này. Em xin chân thành cảm ơn các cô chú, các anh, cùng các bạn đồng nghiệp tại phòng giải pháp phần mềm hệ thống và bảo mật, công ty phát triển phần mềm và hỗ trợ công nghệ bộ quốc phòng – Misoft, những người đã tạo điều kiện về cơ sở vật chất, phương tiện làm việc cũng như truyền đạt những kinh nghiệm qúy báu cho em trong thời gian thực tập tốt nghiệp và làm đồ án tốt nghiệp tại đây. Cuối cùng, xin cảm ơn gia đình, bạn bè, những người luôn ở bên tôi và cho tôi những sự động viên lớn lao trong thời gian thực hiện đồ án này. MỤC LỤC LỜI CẢM ƠN 1 Chương 1 : TỔNG QUAN AN TOÀN AN NINH MẠNG 7 I. Tình hình thực tế 8 II. Mô hình mạng 9 III. Các mục tiêu cần bảo vệ 17 IV. Tấn công trên mạng và các chiến lược bảo vệ 19 Chương 2 : INTERNET FIREWALL 30 I. Khái niệm 30 II. Các chức năng cơ bản của Firewall 33 III. Kiến trúc Firewall 39 IV. Bảo dưỡng Firewall 45 Chương 3 : HỆ ĐIỀU HÀNH LINUX 47 I. Tổng quan hệ điều hành Linux 48 II. Kết nối mạng trong Linux 52 III. IPTables 55 Chương 4 : XÂY DỰNG HỆ THỐNG BKWALL 61 I. Tổng quan về hệ thống BKWall 62 II. Mô hình và đặc tả chức năng hệ thống BKWall 65 III. Phân tích thiết kế hệ thống BKWall 67 IV. Tích hợp, cài đặt, kiểm thử, đánh giá kết quả hệ thống BKWall 81 MỤC LỤC HÌNH VẼ Hình 1-1 : Kiến trúc OSI và TCP/IP 10 Hình 1-2 : Đường đi của dữ liệu qua các phần tử trên mạng 10 Hình 1-3 : Cấu trúc gói tin IP ( IP datagram ) 12 Hình 1-5 : Khuôn dạng UDP datagram 15 Hình 1-6: Tấn công kiểu DOS và DDoS 21 Hình 1-7: Tấn công kiểu DRDoS 22 Hình 1-8: Mô hình ứng dụng mail trên mạng Internet 22 Hình 1-9: Kết nối Internet từ LAN 23 Hình 1-10 : Thiết lập kết nối TCP giữa client và server 24 Hình 1-11 : Tấn công tràn ngập SYN (1 ) 25 Hình 1-12 : Tấn công tràn ngập SYN ( 2 ) 25 Hình 1-13 : Tấn công tràn ngập gói tin ICMP 26 Hình 1-14 : Bảo vệ theo chiều sâu 27 Hình 2-1 : Vị trí Firewall trên mạng 31 Hình 2-2 : Screening Router sử dụng bộ lọc gói 33 Hình 2-3 : Proxy Server 36 Hình 2-4: Chuyển đổi địa chỉ mạng 38 Hình 2-5: Kiến trúc Dual –home host 42 Hình 2-6: Kiến trúc Screen host 43 Hình 2-7: Kiến trúc Screen subnet 43 Hình 3-1: Mô hình chức năng Shell 50 Hình 3-2: Giao diện, trình điều khiển và thiết bị 53 Hình 3 3: Sơ đồ Netfilter hook 54 Hình 3-4 : Quá trình gói tin trong lõi hệ thống Linux 58 Hình 4-1: Mô hình tổng thể hệ thống BKWall 65 Hình 4-2: Đặc tả chức năng hệ thống BKWall 66 Hình 4-3: Mô hình triển khai BKWall 66 Hình 4-4: Biểu đồ phân cấp chức năng 67 Hình 4-5: Biểu đồ luồng dữ liệu mức bối cảnh 68 Hình 4-6: Biểu đồ chức năng điều khiển 68 Hình 4-7: Biểu đồ chức năng Quản lý cấu hình 68 Hình 4-8: Biểu đồ chức năng Quản lý luật lọc gói 69 Hình 4-9: Biểu đồ chức năng Quản lý luật Web Proxy 69 Hình 4-10: Biểu đồ chức năng theo dõi hoạt động 69 Hình 4-11: Sơ đồ khối module chương trình chính 70 71
Đối với quá trình tắt hệ thống thì trước hết hệ thống sẽ thực hiện các files scripts để xoá taòn bộ các chains, các rules hiện đang áp dụng cho hệ thống Firewall, nhưng các rules này thực chất vẫn được lưu trữ trong các files luật. 75 Hình 4-12: Sơ đồ khối module chuyển tiếp yêu cầu 76 Hình 4-13:Sơ đồ khối module quản lý cấu hình 77 Hình 4-14: Sơ đồ khối module quản lý luật 78 Hình 4-15: Mô hình triển khai BKWall trong mạng 83 Hình 4-16: Trang chủ - Home page 86 Hình 4-17: Cấu hình Packet Filtering 86 Hình 4-18: Các dịch vụ: truy cập từ xa, thay đổi password 87 Hình 4-19: Trang cấu hình Web Proxy 87 Hình 4-20: Trang thông tin trạng thái hệ thống 88 BẢNG CÁC TỪ VIẾT TẮT ARP( Address Resolution Protocol ) : Giao thức chuyển đổi từ địa chỉ IP sang địa chỉ vật lý BKWall( Bach Khoa Firewall System ) CGI (Common Gateway Interface) : Giao tiếp gateway chung DDoS(Distributed Denied of Service) : Tấn công từ chối dịch vụ phân tán DMA(Direct Memory Access) : Truy nhập bộ nhớ trực tiếp DMZ(DeMilitarized Zone) : Vùng phi quân sự DNS(Domain Name Service) : Dịch vụ tên miền DoS(Denied of Service) : Tấn công từ chối dịch vụ DRDoS(Distributed Reflection Denied of Service) : DoS phản xạ, phân tán FDDI(Fiber Distributed Data Interface ) FIB(Forwarding Information Table) : Bảng thông tin chuyển đổi định tuyến FTP(File Transfer Protocol) : Giao thức truyền file HTTP(Hyper Text Transfer Protocol) : Giao thức truyền siêu văn bản ICMP(Internet Control Message Protocol): Giao thức điều khiển thông điệp Internet IGMP(Internet Group Management Protocol) : Giao thức Internet để các host kết nối, huỷ kết nối từ các nhóm multicast. IP(Internet Protocol) : Giao thức Internet IPS(Intrusion Preventation System) : Hệ thống phòng chống xâm nhập ISP(Internet Services Provider) : Nhà cung cấp dịch vụ Internet ISDN( Integrated Services Digital Network) : Mạng số học các dịch vụ tích hợp LAN(Local Area Network) : Mạng nội bộ MAC(Media Access Control) : Địa chỉ thiết bị MTU(Maximum Transmission Unit) : Đơn vị truyền lớn nhất NIC(Network Interface Card) : Card giao tiếp mạng PSTN(Public Switched Telephone Network ) : Mạng điện thoại chuyển mạch công cộng RARP(Reverse Address Resolution Protocol ) : Giao thức chuyển đổi từ địa chỉ vật lý sang địa chỉ IP RIP( Routing Information Protocol ) : Một kiểu giao thức dẫn đường SSL(Secure Socket Layer) : Tầng socket an toàn SSH( Secure Shell ) : Dịch vụ truy cập từ xa STMP( Simple Mail Transfer Protocol ) : Giao thức truyền thư đơn giản TCP(Transmission Control Protocol) : Giao thức điều khiển truyền tin TELNET : dịch vụ đăng nhập hệ thống từ xa UDP(User Datagram Protocol) : Giao thức điều khiển truyền tin không tin cậy URI(Uniform Resouce Indentifier ) Địa chỉ định vị tài nguyên URL(Uniform Resouce Locator) : Địa chỉ tài nguyên thống nhất LỜI NÓI ĐẦU Trong những năm gần đây, việc tổ chức và khai thác mạng Internet rất phát triển. Mạng Internet cho phép các máy tính trao đổi thông tin một cách nhanh chóng, thuận tiện. Mọi đối tượng đều có thể sử dụng các dịch vụ và tiện ích của Internet một cách dễ dàng như trao đổi thông tin, tham khảo các thư viện tri thức đồ sộ của nhân loại…Tai thời điểm hiện nay thì lơi ích của Internet là quá rõ ràng và không thể phủ nhận. Nhưng một điều không may là đi kèm với nó là các nguy cơ mất an toàn thông tin trên Internet đang là một vấn đề hang đầu cản trở sự phát triển của Internet. Bảo đảm an toàn an ninh không chỉ là nhu cầu riêng của các nhà cung cấp dịch vụ mà nó còn là nhu cầu của chính đáng của mỗi người sử dụng. Các thông tin nhạy cảm về quốc phòng, thương mại là vô giá và không thể để lọt vào tay đối thủ cạnh tranh Trên thế giới đã có nhiều công trình nghiên cứu về lĩnh vực bảo mật, bảo vệ an toàn thông tin trên mạng và kết quả chúng đã trở thành các sản phẩm thương mại như : Vista Firewall, ZoneAlarm Firewall, VPN-1/Firewall-1, SmoothWall, Astaro… Tuy nhiên mỗi loại có những ưu nhược điểm riêng,phát triển theo những hướng khác nhau. Các sản phẩm này được xây dựng trên những nền hệ điều hành khác nhau nhưng chủ yếu là Windows của Microsoft và hệ điều hành mã nguồn mở Linux. Linux là hệ điều hành họ UNIX miễn phí dùng cho máy tính cá nhân đang được sử dụng rộng rãi hiện nay. Hệ điều hành Linux đã thu những thành công nhất định. Hiện nay Linux ngày càng phát triển, được đánh giá cao và thu hút nhiều sự quan tâm của các nhà tin học. Tại Việt Nam, mặc dù Internet mới chỉ trở lên phổ biến mấy năm gần đây nhưng những vấn đề an toàn an ninh mạng cũng không là ngoại lệ. Mặc dù thực sự chưa có tổn thất lớn về kinh tế nhưng vẫn tiềm ẩn trong đó rất nhiều nguy cơ mất an toàn. Các cuộc tấn công vào hệ thống của nhà cung cấp dịch vụ, xoá bỏ dữ liệu… ngày một tăng. Ở Việt Nam hiện nay chưa có sản phẩm Firewall thương mại nào của người Việt tạo ra. Đặc biệt là sản phẩm Firewall được xây dựng trên nền hệ điều hành mã nguồn mở Linux. Do đó, muốn khai thác và sử dụng Internet thì vấn đề an toàn an ninh phải được đặt lên hang đầu. Có rất nhiều biện pháp khác nhau để bảo vệ hệ thống chống lại các cuộc tấn công từ bên ngoài. Một trong những biện pháp được áp dụng rộng rãi là sử dụng tường lửa – Firewall. Thực tế đã cho thấy đây là một biện pháp đơn giản nhưng hiệu quả đạt được lại rất khả quan. Trên cơ sở đó, em đã chọn đề tài : “ Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux” Mục tiêu của đề tài bao gồm :
Bố cục của đồ án gồm 4 chương được bố trí như sau :
Trình bày các khái niệm chung về an toàn an ninh mạng, tính cấp thiết của đề tài. Các mô hình mạng và các giao thức được sử dụng để truyền thông trên mạng. Các dạng tấn công, một số kỹ thuật tấn công đang được sử dụng phổ biến hiện nay, từ đó đưa ra các chiến lược bảo vệ hệ thống khỏi các nguy cơ này.
Trình bày khái niệm tổng quát về Firewall. Các chức năng cơ bản của Firewall. Các mô hình hay kiến trúc triển khai của một Firewall trong hệ thống.
Chương này trình bày khái quát về hệ điều hành Linux. Cấu hình mạng trong môi trường Linux. Đặc biệt là chúng ta quan tâm đến một gói tiện ích được tích hợp hầu hết trong các bản phân phối Linux. Đó là IPtables – Nó thực hiện chức năng lọc gói ở mức lõi ( kernel ) của hệ thống. Từ đó đưa ra một vài mô hình Firewall đơn giản dựa trên IPtables.
Thực hiện xây dựng hệ thống BKWall dựa trên sản phẩm mã nguồn mở SmoothWall. Ngoài ra, đồ án còn có phần phụ lục trình bày các bảng từ viết tắt sử dụng trong bài, danh mục các tài liệu tham khảo. tải về 0.55 Mb. Chia sẻ với bạn bè của bạn:
|