Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux

tải về 0.55 Mb.

trang	18/18
Chuyển đổi dữ liệu	19.08.2016
Kích	0.55 Mb.
	#23118

1 ... 10 11 12 13 14 15 16 17 18

3.4 Tính bảo mật của hệ thống

Là một hệ thống Firewall nhằm đảm bảo an ninh mạng nên việc đảm báo tính an ninh cho chính hệ thống BKWall là một việc cần thiết. Từ các vấn đề được đưa ra trong quá trình thiết kế các module thì các phương án bảo mật cho BKWall được đề xuất gồm có :

Sử dụng kênh ssl và giao thức https cho việc truy cập vào BKWall Management console. Việc truy cập vào cần xác thực qua chứng chỉ số do Apache server cấp.
Tránh những lỗ hổng bảo mật của công nghệ CGI bằng cách cấp quyền hạn chế cho user chạy máy chủ Apache trên hệ thống Linux.
Hạn chế tối đa các gói phần mềm và thư viện cài đặt trong Linux khi đóng gói BKWall tích hợp thành một bản phát hành (distro) Linux riêng .

IV. Tích hợp, cài đặt, kiểm thử, đánh giá kết quả hệ thống BKWall

4.1 Tích hợp hệ thống

BKWall là hệ thống được xây dựng trên cơ sở một số thành phần mã nguồn mở kết hợp với việc xây dựng thêm một số thành phần nên việc tích hợp các thành phần đó lại với nhau trong một hệ thống thống nhất là rất quan trọng. Các phần mềm mã nguồn mở cũng như các gói thư viện của Linux thuờng được phát hành theo rất nhiều phiên bản và do nhiều nhà cung cấp khác nhau. Về mặt nguyên tắc, BKWall có thể hoạt động với tất cả các phiên bản của các thành phần tương thích
với các phiên bản được lựa chọn như sau :

Hệ điều hành

Hệ điều hành Linux, phiên bản RedHat 7.2 do hãng Redhat phát hành.

Linux kernel phiên bản 2.4.

Smoothwall

Smoothwall phiên bản 2.0 (http://smoothwall.org)

Thư viện libpcap

Thư viện libpcap (http://tcpdump.org) phiên bản 0.8.0.

iptables

iptables phiên bản 1.2.8 (http://iptables.org), bản đi kèm với thư viện libipq.

Apache web server

Apache web server phiên bản 1.3.39, cài đặt mod_perl và mod_ssl để hỗ trợ https và perl – cgi.

Perl

Perl 5 phiên bản 5.8.0 (http://perl.org), và công cụ sinh biểu đồ rrdtool.

4.2 Cài đặt hệ thống

Hệ thống BKWall được triển khai cài đặt và thử nghiệm tại phòng giải pháp phần mềm hệ thống và bảo mật, công ty Misoft. Cấu trúc và thiết bị mạng của phòng như sau :

Một đường kết nối ADSL tốc độ 2Mbps.
Một máy chủ Linux có cấu hình : CPU Pentium II 400Mhz, 128 MB RAM, 3 NIC 100Mbps, dùng làm máy gateway. Được dùng để cài đặt hệ thống BKWall trên đó
Một máy chủ Windows Server 2003 có cấu hình : CPU Pentium IV 1,8GHz, 1GB RAM, NIC 100Mbps, dùng làm máy chủ mail, http, ftp, vpn, …
8 máy PC có cấu hình : CPU Pentium III 1GHz, 256 MB RAM, NIC 100Mbps hoặc tương đương. Hệ điều hành Windows XP SP2.

Cấu hình yêu cầu khi cài đặt hệ thống BKWall:

CPU : Tốc độ tối thiểu là 300 Mhz ( tương ứng với một CPU Pentium II )

Bộ nhớ trong ( RAM ): > 64MB
Bộ nhớ ngoài ( HDD ) : > 1GB
Card mạng: Tuỳ theo cấu hình cho hệ thống BKWall mà số card mạng có thể là 1( nếu chỉ có giao diện mạng cho mạng nội bộ - giao diện mạng này gọi là Green ), nếu có nối ra mạng ngoài ( ví dụ như Internet ) thì cần một card mạng nữa ( giao diện mạng này được goi là Red ). Nếu muốn có vùng phi quân sự ( DMZ – DeMilitary Zone ) dành cho các máy chủ - như máy chủ Web- HTTP, FTP, Mail thì cần thêm một card mạng nữa ( giao diện mạng này gọi là Orange ).
Ngoài ra là các thiết bị ngoại vi khác. Trong đó màn hình và chuột, ổ CD chỉ cần thiết trong quá trình cài đặt, sau đó ta có thể bỏ các thiết bị này mà không cần sử dụng chúng.

Sơ đồ bố trí mạng với mô hình ( Green – Orange – Red ) như sau:

Hình 4-15: Mô hình triển khai BKWall trong mạng
Hệ thống BKWall được cài đặt thử nghiệm trên máy gateway Linux, do đó có thể theo dõi toàn bộ các lưu thông trong mạng và áp dụng các luật được thiết lập cho module Packet Filtering , module Web Proxy..

Việc triển khai hệ thống là khá mềm dẻo : Hệ thống có thể triển khai với mô hình mà BK Wall có một card mạng khi đó đường kết nối ra mạng Internet thông qua một đường kết nối qua cổng nối tiếp hay quay số. Với mô hình hai card mạng khi đó không có miền phi quân sự ( DMZ ).

Tổng quát nhất là trường hợp hệ thống có ba card mạng lần lượt áp dụng cho các giao diện GREEN, ORANGE, RED.

4.3 Kiểm thử hệ thống

Hệ thống BKWall được kiểm tra thử nghiệm trên máy gateway chạy phiên bản Linux kernel 2.4. Bảng sau đây mô tả kết quả thử nghiệm tích hợp các thành phần trong hệ thống BKWall như đã mô tả trong phần tích hợp hệ thống.

BKWall	Kết quả
Kernel 2.4	Tốt
Iptables 1.2.8	Tốt
Perl 5.8.0	Tốt
Apache Server 1.3.39	Tốt

Kiểm thử khả năng chịu đựng của Firewall

+ Hệ thống được kiểm tra bằng cách áp dụng luật cho tất cả các chức năng trong thành phần thực hiện Packet Filtering của hệ thống BKWall

+ Thực hiện quản trị từ xa hệ thống thông qua hai máy tính trong mạng LAN dùng trình duyệt IE của Microsoft.

+ Thực hiện remote hệ thống bằng Putty và WinScp từ ba máy trạm trong mạng LAN

Kết quả hệ thống vẫn đáp ứng tốt các yêu cầu đặt ra và hoạt động tốt.

Sự ảnh hưởng của hệ thống BKWall đến tốc độ mạng

Packet Filtering trong hệ thống BKWall kiểm tả tất cả các gói tin mà nó theo dõi được nên ảnh hưởng của nó đến tốc độ truy cập internet của các máy trong mạng là rất rõ. Việc kiểm thử sức căng của hệ thống BKWall được tiền hành dựa trên trường hợp kiểm thử được thiết kế như sau :

Khởi động BKWall trên máy gateway.

Lần lượt khởi động chương trình Flashget trên các máy con và download đồng thời 1 file từ site vietnamnet.vn. Đo tốc độ download trung bình tại các máy con.Thực hiện kiểm thử với lần lượt 2,4,6,8 và 10 máy con.

Kết quả kiểm thử được ghi lại trong bảng sau :

Số máy	Tốc độ download trung bình (Kb/s)
2
4
6
8
10

Hệ thống điều khiển BKWall Management System là một hệ thống điều khiển qua giao diện Web. Do vậy việc kiểm thử được tiến hành cả ở hai phía server và client.

Phía server

BKWall Management System được cài đặt thử nghiêm trên máy chủ.

Linux kernel 2.4, Apache 1.3.39

Phía client

Truy cập vào BKWall Management System từ các máy con chạy các hệ điều hành khác nhau và dùng các trình duyệt khác nhau. Kết quả như sau :

Kết quả trên cả hai phía Server và Client là rất khả quan. Chỉ có điều một số lỗi về hiển thị phông Tiếng Việt trên trình duyệt Mozilla trong môi truờng hệ điều hành Linux.

Sau đây là một số hình ảnh phía Client trên trình duyêt IE ( Internet Explosrer ) trong môi truờng Windows của Microsoft:

Hệ điều hành

Trình duyệt

Kết quả

Windows

IE 6.0

Tốt

Windows

Firefox 1.0.3

Hệ thống menu hiển thị sai vị trí

Linux

Mozilla

Không hiển thị được tiếng Việt

Linux

Konqueror

Không hiển thị được tiếng Việt

Bao gồm các giao diện : Home Page, trang thiết lập luật cho Packet Filter, cấu hình Web Proxy, các dịch vụ, thông tin về hệ thống.

Hình 4-16: Trang chủ - Home page

Hình 4-17: Cấu hình Packet Filtering

Hình 4-18: Các dịch vụ: truy cập từ xa, thay đổi password

Hình 4-19: Trang cấu hình Web Proxy

Hình 4-20: Trang thông tin trạng thái hệ thống

4.4 Đánh giá kết quả

Trong khuôn khổ của một đồ án tốt nghiệp đại học, hệ thống firewall BKWall đã đạt được một số yêu cầu đề ra đối với một sản phẩm Firewall nhưng bên cạnh đó còn những điểm hạn chế không tránh khỏi. Phần dưới đây em xin được đưa ra một số kết quả đạt được và những mặt hạn chế cần khắc phục trong thời gian tới..

Những kết quả đạt được

Tích hợp thành công các thành phần Kernel Linux, Smoothwall, Apache Server Iptables để xây dựng một hệ thống firewall thống nhất.
Đã xây dựng được một hệ thống điều khiển từ xa thông qua giao diện Web tập trung cho toàn bộ hệ thống.
Hệ thống hoạt động tương đối ổn định trong quá trình triển khai thử nghiệm.

Những hạn chế cần khắc phục trong thời gian tới

Bên cạnh các kết quả đạt được, hệ thống BKWall vẫn còn tồn tại nhiều điểm hạn chế cần phải khắc phục như :

Hệ thống hoạt động chưa hiệu quả, đặc biệt là module Web Proxy
Chính sách ngăn chặn vẫn phái do người quản trị thiết lập. Chưa xây dựng được một khả năng tổ chức các luật do người quản trị đưa vào nhằm tối ưu hoá các luật này.
Hệ thống điều khiển chưa khai thác được hết khả năng tùy biến Iptables.
Hệ thống chưa có khả năng tích hợp với các công cụ khác như : VPN ( Virtual Private Network ), IDS ( Intrustion Detechtion System ) vào hệ thống BKWall

Trong thời gian tới các hạn chế này sẽ được khắc phục nếu như điều kiện cho phép em tiếp tục được phát triển đề tài này.

KẾT LUẬN
Để hoàn thành đồ án này tối xin bày tỏ lòng biết ơn sâu sắc đến thầy giáo hướng dẫn Đỗ Văn Uy, sự giúp đỡ lớn lao của TS Vũ Quốc Khánh, các anh Vương Văn Tuyên, Ngô Quang Huy cùng các bạn đồng nghiệp tại phòng phát triển hệ thống và bảo mật công ty Misoft và toàn thể bạn bè đã bên em trong suốt thời gian qua. Đồ án đã đề cập đến những vấn đề chung của an ninh thông tin, an ninh mạng nói chung và đi sâu nghiên cứu lý thuyết về Firewall cũng như các công cụ để xây dựng một Firewall hoàn chỉnh. Cụ thể đồ án này đã đạt được một số thành quả như sau :

Tìm hiểu về các vấn đề của an ninh thông tin và an ninh mạng.
Đi sâu nghiên cứu về lý thuyết về Firewall và các công cụ liên quan nhằm mục đích xây dựng một sản phẩm tường lửa.
Phân tích kiến trúc và làm chủ được phần mềm mã nguồn mở Smoothwall.
Tích hợp các thành phần mã nguồn mở, xây dựng thành công hệ thống BKWall
Triển khai thử nghiệm đạt một số kết quả.

Bên cạnh đó, do hạn chế về thời gian và trình độ nên đồ án này không tránh khỏi những thiếu xót và hạn chế cụ thể nhũng hạn chế đó là :

Hệ thống hoạt động chưa hiệu quả, đặc biệt là module Web Proxy

Chính sách ngăn chặn vẫn phái do người quản trị thiết lập. Chưa xây dựng được một khả năng tổ chức các luật do người quản trị đưa vào nhằm tối ưu hoá các luật này.

Hệ thống điều khiển chưa khai thác được hết khả năng tùy biến Iptables.

Hệ thống chưa có khả năng tích hợp với các công cụ khác như : VPN ( Virtual Private Network ), IDS ( Intrustion Detection System ) vào hệ thống BKWall
Chưa khai thác triệt để các sản phẩm mã nguồn mở và chưa thực sự phát triển được nhiều dựa trên các sản phẩm này

Trong tương lai, với mong muốn tiếp tục phát triển đề tài này thành một sản phẩm Firewall hữu ích, có thể ứng dụng rộng dãi, phục vụ cho việc đảm bảo an ninh thông tin ở Việt Nam, em xin đề xuất một số hướng phát triển của mình như sau :

Tối ưu hóa cấu hình các thành phần mã nguồn mở sử dụng để tăng hiệu quả và độ tin cậy.
Tiếp tục phát triển hệ thống điều khiển, tận dụng được hết các khả năng tùy biến của hệ thống với giao diện và khă năng tương tác thân thiện hơn.
Nghiên cứu một chức năng quản lý luật do người quản trị đưa vào hiệu quả hơn, có khả năng tối ưu hoá các luật do người quản trị đưa vào
Nghiên cứu khă năng cứng hóa hệ thống như các thiết bị chuyên dụng của các hãng sản xuất thiết bị và an ninh mạng như Cisco hay Checkpoint.

Cuối cùng, một lần nữa em xin được nói lời cảm ơn đền thầy giáo hướng dẫn, thạc sỹ Đỗ Văn Uy, các thầy cô tại khoa CNNT, Đại học Bách khoa Hà Nội, chương trình đào tạo kỹ sư chất lượng cao tại Việt Nam ( P.F.I.E.V ) các anh chị và các bạn đồng nghiệp tại công ty Misoft cùng tất cả những người thân đã giúp đỡ em rất nhiều trong suốt quá trình làm đồ án để em có thể hoàn thành được đồ án này.

Hà nội, ngày 09 tháng 06 năm 2005

Người thực hiện đồ án

Ngô Văn Chấn

TÀI LIỆU THAM KHẢO
[1] Building Internet Firewall – D.Brent Chapman & Elizabeth D.Zwicky – O’Reilly & Asscociates – 1995
[2] Firewalls Complete – Marcus Goncalves – Mc Graw Hill – 1997
[3] Hacking Expose – Sturt McClure, Joel Scambray, George Kurtz -1997
[4] Mạng máy tính và các hệ thống mở - Nguyễn Thúc Hải – NXB Giáo Dục – 2000
[5] Quản trị Hệ thống Linux – Nguyễn Thanh Thuỷ - NXB Khoa học và kỹ thuật – 2000
[6] Firewall for Dummies – 2nd Edition – Brian Komar, Ronald Beekelaar, and Joern Wettern,PhD – Wiley Publishing, Inc -2003
[7] http://iptables–tutorial.frozentux.net/iptables–tutorial.html
[8] http://www.vnsecurity.com
[9] http://www.yolinux.com/TUTORIALS/LinuxTutorialNetworking
[10] http://smoothwall.org

Ngô Văn Chấn – HTTT&TT – KSCLC – K45

tải về 0.55 Mb.

Chia sẻ với bạn bè của bạn:

1 ... 10 11 12 13 14 15 16 17 18