Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux
tải về 0.55 Mb.
|
- Điều hướng trang này:
- 1.5 Dự kiến kết quả đạt được
- II. Mô hình và đặc tả chức năng hệ thống BKWall
- 2.3 Mô hình triển khai BKWall
- 3.2 Biểu đồ luồng dữ liệu
- 3.3.1 Module chương trình chính
- 3.3.2 Module chuyển tiếp yêu cầu
- 3.3.3 Module quản lý cấu hình
- 3.3.4 Module quản lý luật cho Packet Filtering, Web Proxy
- 3.3.5 Module theo dõi thông tin về hệ thống
1.4 Công cụ phát triểnBKWall tích hợp một số thành phần mã nguồn mở. Các thành phần này đều được xây dựng bằng ngôn ngữ C – ngôn ngữ dùng để xây dựng hệ điều hành Linux. Công cụ được sử dụng để thay đổi, biên dịch, cấu hình cũng như cài đặt các thành phần này gồm có gcc và make. 1.5 Dự kiến kết quả đạt đượcTừ các mục tiêu đề ra và giải pháp kỹ thuật được lựa chọn, hệ thống BKWall dự kiến đạt được các kết quả cụ thể như sau :
II. Mô hình và đặc tả chức năng hệ thống BKWall2.1 Mô hìnhBKWall gồm các thành phần :
Mô hình tổng thể hệ thống BKWall với các thành phần của nó như sau : 
Hình 4-1: Mô hình tổng thể hệ thống BKWall 2.2 Đặc tả chức năngĐặc tả chức năng của hệ thống BKWall. Dưới đây là biểu đồ usecase mô tả các chức năng của hệ thống: 
Hình 4-2: Đặc tả chức năng hệ thống BKWall Chi tiết các Use case : UC1 : Khởi động, Tắt BKWall Người quản trị hệ thống khởi động, tắt hoặc khởi động lại BKWall UC2 : Cấu hình BKWall Người quản trị hệ thống thiết lập, thay đổi các tham số cấu hình để chạy BKWall UC3 : Quản lý cấu hình mạng Quản lý các kết nối mạng của hê thống như thiết lập địa chỉ các giao diện mạng… UC4 : Quản lý các luật Người quản trị có thể theo dõi, thêm, sửa, xóa các luật liên quan đến hoạt động của các module Packet Filtering và Web proxy UC5 : Theo dõi lưu thông mạng Hiển thị tình trạng lưu thông qua mạng bằng các biểu đồ. 2.3 Mô hình triển khai BKWall
Hình 4-3: Mô hình triển khai BKWall III. Phân tích thiết kế hệ thống BKWall3.1 Biểu đồ phân cấp chức năngBiểu đồ phân cấp chức năng của hệ thống BKWall – Management Console 
Hình 4-4: Biểu đồ phân cấp chức năng 3.2 Biểu đồ luồng dữ liệu3.2.1 Biểu đồ mức bối cảnh
Hình 4-5: Biểu đồ luồng dữ liệu mức bối cảnh 3.2.2 Biểu đồ mức đỉnh
Chức năng này cho phép người quản trị điều khiển hoạt động tắt, mở hệ thống BKWall. 
Hình 4-6: Biểu đồ chức năng điều khiển
Chức năng này cho phép thay đổi và theo dõi các thông số cấu hình được thiết lập cho hệ thống BKWall. 
Hình 4-7: Biểu đồ chức năng Quản lý cấu hình
Chức năng này cho phép thiết lập các luật cho module lọc gói bao gồm các mục như: Lọc gói IP, chặn cổng, cổng dịch vụ, các chức năng mở rộng…Quá trình thiết lập có thể là bổ sung, sửa chữa, xóa bỏ. 
Hình 4-8: Biểu đồ chức năng Quản lý luật lọc gói
Chức năng này cho phép thiết lập các luật cho module Web Proxy bao gồm các mục như: host_name, http_port, dung lượng cache, … 
Hình 4-9: Biểu đồ chức năng Quản lý luật Web Proxy
Chức năng này hiển thị các thông tin về quá trình hoạt động của hệ thống BKWall cũng như toàn bộ các lưu thông mạng đi qua nó. 
Hình 4-10: Biểu đồ chức năng theo dõi hoạt động 3.3 Thiết kế moduleSau quá trình phân tích, dựng lên các biểu đồ phân cấp chức năng, biểu đồ luồng dữ liệu thì công việc tiếp theo là thiết kế các module hiện thực hoá chúng. Hệ thống BKWall-Management Console được chia thành 5 module, bao gồm :
Thiết kế chi tiết của các module như sau : 3.3.1 Module chương trình chínhModule chương trình chính là module chịu trách nhiệm khởi tạo, kết thúc hoạt động của hệ thống cũng như các phiên làm việc. Đồng thời nó cũng chịu trách nhiệm xây dựng giao diện Web của toàn bộ hệ thống phục vụ cho việc quản trị hệ thống của Admin. Ta có sơ đồ khối của nó như sau: 
Hình 4-11: Sơ đồ khối module chương trình chính Quá trình khởi tạo hệ thống được thực hiện khi hệ thống BKWall thực hiện boot. Khi đó hệ thống sẽ thực hiện các khởi tạo cần thiết như : kích hoạt kết nối mạng dial up nếu nó được cấu hình kết nối tự động mỗi khi reboot hệ thống, khởi động web server, web proxy ( squid ), httpd, và quan trọng nhất là khởi tạo thành phần lọc gói ( Packet Filtering ). Quá trình khởi tạo này được thực hiện thông qua các files scripts được đặt trong thư mục /etc/rc.d. Bao gồm các scripts thực hiện công việc khởi tạo cấu hình mạng, các kết nối mạng, khởi tạo các chains, cập nhật các luật cho Firewall : rc.sysinit, rc.network, rc.netaddress.up, rc.netaddress.down, rc.firewall.up, rc.firewall.down, rc.adsl, rc.isdn, rc.updatered, rc.machineregister. Ta có thể mô tả thứ tự thực hiện các files scripts này khi hệ thống boot như mô hình sau : Trong đó quan trọng nhất là các file thực hiện khởi tạo một Firewall dựa trên công cụ IPtables là rc.firewall.up, rc.firewall.down Ta có thể xem xét ở đây một số thiết lập cơ bản cho hệ thống BKWall khi khởi tạo. + Trước hết hệ thống sẽ xoá hết các rules và toàn bộ các chains và thiết đặt các Policy cho các gói tin trong các chains : INPUT, FORWARD, OUTPUT #Xoa cac rules va chains /sbin/iptables -F /sbin/iptables -X
/sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT + Tạo các chains mới dùng để thực hiện các chức năng của toàn bộ hệ thống như chặn IP, lọc cổng, cổng dịch vụ, quản trị từ xa, các chức năng mở rộng như chặn gói tin Ping, tấn công từ chối dịch vụ, chặn các gói tin IGMP( Internet Group Management Protocol ) trong thành phần Packet Filtering, các chain cho Web Proxy, các dịch vụ như kết nối qua dial – up, forward cổng , DMZhole,… Sau đó sẽ dẫn các gói tin đi vào hệ thống qua chain INPUT, FORWARD, OUTPUT đến các chain tưong ứng.
/sbin/iptables -N ipblock /sbin/iptables -A INPUT -i ppp0 -j ipblock /sbin/iptables -A INPUT -i ippp0 -j ipblock if [ "$RED_DEV" != "" ]; then /sbin/iptables -A INPUT -i $RED_DEV -j ipblock fi /sbin/iptables -A FORWARD -i ppp0 -j ipblock /sbin/iptables -A FORWARD -i ippp0 -j ipblock if [ "$RED_DEV" != "" ]; then /sbin/iptables -A FORWARD -i $RED_DEV -j ipblock fi /sbin/iptables -A FORWARD -i $GREEN_DEV -j ipblock #Portfilter /sbin/iptables -N portfilter /sbin/iptables -A INPUT -i ppp0 -j portfilter /sbin/iptables -A INPUT -i ippp0 -j portfilter if [ "$RED_DEV" != "" ]; then /sbin/iptables -A INPUT -i $RED_DEV -j portfilter fi /sbin/iptables -A FORWARD -i ppp0 -j portfilter /sbin/iptables -A FORWARD -i ippp0 -j portfilter if [ "$RED_DEV" != "" ]; then /sbin/iptables -A FORWARD -i $RED_DEV -j portfilter fi /sbin/iptables -A FORWARD -i $GREEN_DEV -j portfilter # External access. Rule set with setxtaccess setuid /sbin/iptables -N xtaccess /sbin/iptables -A block -j xtaccess
/sbin/iptables -N portfwf /sbin/iptables -A FORWARD -j portfwf /sbin/iptables -N dmzholes /sbin/iptables -t nat -N portfw /sbin/iptables -t nat -A PREROUTING -j portfw # All ICMP on ppp too. /sbin/iptables -A block -p icmp -i ppp0 -j ACCEPT /sbin/iptables -A block -p icmp -i ippp0 -j ACCEPT if [ "$RED_DEV" != "" ]; then /sbin/iptables -A block -p icmp -i $RED_DEV -d $RED_NETADDRESS/$RED_NETMASK -j ACCEPT fi
# last rule in INPUT chain is for logging. /sbin/iptables -A INPUT -j LOG /sbin/iptables -A INPUT -j REJECT
if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -A FORWARD -i $ORANGE_DEV -o $GREEN_DEV -m state \ --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -i $GREEN_DEV -o $ORANGE_DEV -m state \ --state NEW,ESTABLISHED,RELATED -j ACCEPT # dmz pinhole chain. setdmzholes setuid prog adds rules here to allow # ORANGE to talk to GREEN. /sbin/iptables -A FORWARD -i $ORANGE_DEV -o $GREEN_DEV -j dmzholes fi
/sbin/iptables -N advnet /sbin/iptables -A INPUT -i ppp0 -j advnet /sbin/iptables -A INPUT -i ippp0 -j advnet if [ "$RED_DEV" != "" ]; then /sbin/iptables -A INPUT -i $RED_DEV -j advnet fi
/sbin/iptables -N spoof /sbin/iptables -A spoof -s $GREEN_NETADDRESS/$GREEN_NETMASK -j DROP if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -A spoof -s $ORANGE_NETADDRESS/$ORANGE_NETMASK -j DROP fi
/sbin/iptables -A INPUT -i ippp0 -j spoof if [ "$RED_DEV" != "" ]; then /sbin/iptables -A INPUT -i $RED_DEV -j spoof Fi
/sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -j ACCEPT
if [ "$RED_DEV" != "" -a "$RED_TYPE" = "DHCP" ]; then /sbin/iptables -A block -p tcp --source-port 67 --destination-port 68 \ -i $RED_DEV -j ACCEPT /sbin/iptables -A block -p tcp --source-port 68 --destination-port 67 \ -i $RED_DEV -j ACCEPT /sbin/iptables -A block -p udp --source-port 67 --destination-port 68 \ -i $RED_DEV -j ACCEPT /sbin/iptables -A block -p udp --source-port 68 --destination-port 67 \ -i $RED_DEV -j ACCEPT fi
/sbin/iptables -t nat -F /sbin/iptables -t nat –X
/sbin/iptables -t nat -N squid /sbin/iptables -t nat -N jmpsquid /sbin/iptables -t nat -A jmpsquid -d 10.0.0.0/8 -j RETURN /sbin/iptables -t nat -A jmpsquid -d 172.16.0.0/12 -j RETURN /sbin/iptables -t nat -A jmpsquid -d 192.168.0.0/16 -j RETURN /sbin/iptables -t nat -A jmpsquid -d 169.254.0.0/16 -j RETURN /sbin/iptables -t nat -A jmpsquid -j squid /sbin/iptables -t nat -A PREROUTING -i $GREEN_DEV -j jmpsquid
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE /sbin/iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE if [ "$RED_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -o $RED_DEV -j MASQUERADE fi
echo "Setting up firewall" . /etc/rc.d/rc.firewall.up echo "Starting dhcpd (if enabled)" /usr/local/bin/restartdhcp echo "Setting DMZ pinholes" /usr/local/bin/setdmzholes echo "Setting up advanced networking features" /usr/local/bin/setadvnet echo "Setting up IP block"
echo "Setting up portfilter" /usr/local/bin/setportfilter if [ "$RED_DEV" != "" ]; then echo "Updating RED..." /etc/rc.d/rc.updatered if [ "$RED_TYPE" != "PPPOE" ]; then echo "Starting VPN (if enabled)" /etc/rc.d/rc.vpn.up echo "Refreshing update list (background)" /usr/local/bin/updatelists.pl & echo "Registering this BKWall (background)" /etc/rc.d/rc.machineregister & fi fi echo "Setting external access rules" /usr/local/bin/setxtaccess echo "Setting up IP accounting" /etc/rc.d/helper/writeipac.pl /usr/local/sbin/fetchipac -S -c yes /usr/local/sbin/fetchipac Đối với quá trình tắt hệ thống thì trước hết hệ thống sẽ thực hiện các files scripts để xoá taòn bộ các chains, các rules hiện đang áp dụng cho hệ thống Firewall, nhưng các rules này thực chất vẫn được lưu trữ trong các files luật.
Thực chất thì module này là tập hợp các trang HTML được sinh ra do các files scripts Perl. Chúng tạo giao diện cho người quản trị thực hiện các yêu cầu đối với hệ thống. 
Hình 4-12: Sơ đồ khối module chuyển tiếp yêu cầu 3.3.3 Module quản lý cấu hìnhModule này có cài đặt các chức năng giúp cho công việc cấu hình hệ thống như thay đổi password cho admin, setup, root, đặt địa chỉ cho các giao diện mạng… Để thực hiện chức năng quản lý cấu hình thì module này sẽ hiển thị các thông tin cấu hình cho người quản trị. Trên cơ sở đó người quản trị hệ thống sẽ thay đổi các thông số cấu hình. Các thông số cấu hình đựoc lưu trữ trong các files cấu hình. Chúng bao gồm cấu hình cho các giao diện mạng, tên của hệ thống, password cho các người dùng trong hệ thống ( trong hệ thống BKWall có ba loại người dùng là root- được toàn quyền tác động vào hệ thống, setup – người có quyền cài đặt hay gỡ bỏ các gói ứng dụng hay dịch vụ trong hệ thống, Admin – là người điều khiển hệ thống thông qua giao diện Web. Các file cấu hình trong hệ thống bao gồm : Trong hệ thống thì số lượng giao diện mạng Ethernet có thể là 3 : bao gồm giao diện mạng cho các host trong mạng LAN gọi là GREEN, giao diện mạng nối với miền phi quân sự - DMZ gọi là ORANGE, còn giao diện mạng nối với mạng bên ngoài gọi là RED ( lưu ý giao diện mạng RED có thể là một đường kết nối qua cổng nối tiếp ).Các files đó thường có tên là settings và được đặt trong các thư mục tương ứng với ứng dụng hay dịch vụ: adsl , advent, auth, backup, ddns, dhcp, dmzholes, Ethernet, isdn, langs, main, modem, ppp, proxy, red, remote, time.
Hình 4-13:Sơ đồ khối module quản lý cấu hình 3.3.4 Module quản lý luật cho Packet Filtering, Web ProxyModule này cài đặt các chức năng cho phép người quản trị thực hiện thiết lập các luật cho hai thành phần cơ bản của hệ thống là BKWall là Packet Filtering và Web Proxy. Các thao tác chủ yếu là : thêm luật mới, sửa luật, xoá luật, kích hoạt luật và cho phép khả năn log hay không. Trước hết ta xét các luật cho thành phần Web Proxy: Vì Web Proxy trong hệ thống BKWall được phát triển trên sản phẩm mã nguồn mở Squid – một Cache Proxy tức là thuộc dạng Proxy “thông minh” nó sẽ thu thập các yêu cầu từ người sử dụng và lưu trữ các yêu cầu này cũng như các trả lời của server trong bộ nhớ Cache. Do vậy khi một yêu cầu khác từ một client khác mà yêu cầu này đã tồn tại trong bộ nhớ Cache thì Web Proxy sẽ đọc thông tin trong bộ nhớ Cache và trả về cho trình duyệt client mà không phải thực hiện kết nối đến Web server mạng bên ngoài. Các luật áp dụng cho Web Proxy thực chất là các thông số cấu hình cho Web Proxy, chúng bao gồm : + Dung lượng bộ nhớ Cache + Địa chỉ và cổng phục vụ của Web Proxy + Tên, mật khẩu của Proxy từ xa : Nó đựoc thiết lập trong trường hợp nhà cung cấp ISPs cho chúng ta biết các thông tin về Proxy của họ. + Kích thước đối tượng lớn nhất + Kích thước đối tượng nhỏ nhất + Kích thước dữ liệu lớn nhất tải về + Kích thước dữ liệu nhỏ nhất tải về + Tính trong suốt của Web Proxy đối với client. 
Hình 4-14: Sơ đồ khối module quản lý luật Trong phần tiếp theo sẽ trình bày về cách tổ chức các file luật trong hệ thống và cấu trúc các luật áp dụng trong thành phần Packet Filtering.
Được sử dụng để lọc gói tin theo địa chỉ IP và cổng. File luật được lưu trữ trong /var/DFF/portfilter/config Mỗi luật của người quản trị đưa vào sẽ được lưu trữ trên một dòng File luật được lưu trữ dưới dạng file plain text
Mỗi luật bao gồm các trường sau : + Địa chỉ IP nguồn + Cổng nguồn + Địa chỉ đích + Cổng đích + Giao thức + Hành động : DROP, ACCEPT, REJECT + Kích hoạt chức năng log + Có kích hoạt hay không Ví dụ về một luật tcp,230.10.1.1,80,192.168.1.1,80,on,DROP,on Có chặn tất cả các gói tin có địa chỉ nguồn, cổng nguồn, địa chỉ đích, cổng đích lần lượt là 203.10.1.1, 80, 192.168.1.1, 80 theo giao thức TCP. Luật này có được kích hoạt và log.
Cho phép chặn các gói tin có địa chỉ IP nguồn được người quản trị chỉ ra. File luật được lưu trữ trong /var/DFF/ipblock/config Mỗi luật người quản trị đưa vào được lưu trữ trên một dòng File luật cũng được lưu trữ dưới dạng plain text
Mỗi luật bao gồm các trường sau : + Địa chỉ IP cần chặn + Hành động : DROP, REJECT + Kích hoạt chức năng log + Có kích hoạt hay không Ví dụ về một luật 230.10.1.1,on,DROP,on Có ý nghĩa : Chặn tất cả các gói tin có địa chỉ nguồn là 230.10.1.1. Luật này có được kích hoạt và có log.
Cho phép các máy ở mạng ngoài truy cập vào dịch vụ được cung cấp bởi máy ở mạng bên trong. File luật được lưu trữ trong /var/DFF/portfw/config Mỗi luật người quản trị đưa vào được lưu trữ trên một dòng File luật cũng được lưu trữ dưới dạng plain text
Mỗi luật bao gồm các trường sau : + Địa chỉ IP truy cập dịch vụ + Cổng truy cập dịch vụ + Địa chỉ cung cấp dịch vụ + Cổng cung cấp dịch vụ + Có kích hoạt hay không + Giao thức sử dụng Ví dụ về một luật tcp,203.10.1.1,2203,192.168.1.1,2203,on Có nghĩa là : Máy cung cấp dịch vụ có địa chỉ IP và số hiệu cổng lần lượt là 192.168.1.1, 2203. Máy truy cập dịch vụ có địa chỉ IP và số hiệu cổng lần lượt là 203.10.1.1, 2203. Giao thức sử dụng là TCP, có kích hoạt.
Quản trị hệ thống dùng chức năng này để mở một cổng cho phép các máy mạng ngoài điều khiển BKWall thông qua giao thức https hay SSH. File luật được lưu trữ trong /var/DFF/xtaccess Mỗi luật người quản trị đưa vào được lưu trữ trên một dòng File luật cũng được lưu trữ dưới dạng plain text
Mỗi luật bao gồm các trường sau : + Địa chỉ IP máy mạng ngoài + Cổng truy cập + Có kích hoạt hay không + Giao thức sử dụng Ví dụ một luật tcp,0.0.0.0/0,113,on
Cho phép một máy chủ ở vùng DMZ truy cập vào mạng cục bộ LAN với một số hiệu cổng nào đó được cung cấp bởi một máy trong mạng LAN. File luật được lưu trữ trong /var/DFF/dmzholes Mỗi luật người quản trị đưa vào được lưu trữ trên một dòng File luật cũng được lưu trữ dưới dạng plain text
Mỗi luật bao gồm các trường sau : + Địa chỉ IP máy chủ trong vùng DMZ + Địa chỉ máy cung cấp dịch vụ trong mạng LAN + Cổng truy cập + Có kích hoạt hay không + Giao thức sử dụng Ví dụ một luật
Bao gồm kích hoạt dịch vụ cấp phát địa chỉ IP động cho các máy trong mạng riêng LAN. Ngoài ra còn cho phép cấp phát địa chỉ tĩnh cho các máy trong mạng nội bộ dựa theo địa chỉ vật lý MAC và chỉ những máy được chỉ ra trong phần này mới cơ khả năng kết nối ra Internet. File lưu trữ các đại chỉ này được lưu trong /var/DFF/dhcp/staticconfid. Ví dụ như nvc,AA:BB:CC:DD:DE:FF,192.168.1.2
Cho phép kích hoạt các chức năng mở rộng như : Chặn các gói Ping theo giao thức ICMP, các gói tin IGMP, chặn tấn công DoS, chặn các luồng thông tin multicast. Được lưu trữ trong /var/DFF/advent/settings Tất cả các luật này sẽ được cập nhật cho hệ thống thông qua các chương trình tưong ứng. Các chương trình này đựoc lưu trữ trong /usr/local/bin. Ví dụ như : setipblock.o, setportfilter.o, restartdhcp.o, dmzholes.o…. + Các chương trình này được viết bằng ngôn ngữ C nên tốc độ thực hiện rất nhanh
+ Vì việc lưu trữ cơ sở dữ liệu về các file luật dưới dạng các files text nên tốc độ xử lý tưong đối nhanh. Đặc biệt là chúng ta tận dụng được khả năng xử lý văn bản tuyệt vời của Perl. Mặt khác theo yêu cầu của một hệ thống Firewall mà chúng ta không thể cài đặt và sử dụng một hệ thống quản trị cơ sở dữ liệu như My SQL chẳng hạn. 3.3.5 Module theo dõi thông tin về hệ thốngModule này đưa ra các thông tin về hệ thống như :
Module này sử dụng công cụ sinh biểu đồ là rrdtool để thực hiện sinh các biểu đồ biểu diễn các lưu lượng mạng đi qua các giao diện mạng là : RED, ORANGE, GREEN. tải về 0.55 Mb. Chia sẻ với bạn bè của bạn:
|
