1. Trang Chủ
  2. Công nghệ thông tin
  3. Đề án tốt nghiệp: Công nghệ bảo mật trên đà phát triển của công nghệ thông tin phần 4

Đề án tốt nghiệp: Công nghệ bảo mật trên đà phát triển của công nghệ thông tin phần 4

Các công cụ có thể được kết hợp để tạo một hệ thống phát hiện xâm nhập qua mạng. Chẳng hạn dùng tcpwrapper để điều khiển, ghi nhận các dịch vụ đã được đăng ký. Các chương trình phân tích nhật ký hệ thống, như swatch, có thể dùng để xác định các tác vụ dò tìm trên hệ thống. Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 16 C ct a s d n ln t ư n g pc aI tbe á h m ố ò g ệ h h ờ g ặ ủ pa ls 1 Gọ tợ g ú . i r ip Đ g ir gú v I tbe , ạ g ln $ man iptables h ặ $ iptables --help.

Thể loại Tài liệu miễn phí Công nghệ thông tin

Số trang 5

Ngày tạo 8/29/2018 8:57:28 PM +00:00

Loại tệp PDF

Kích thước

Tên tệp

Tải Đề án tốt nghiệp: Công nghệ bảo mật trên đà phát t... (.pdf)

Xem mẫu

  1. Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 16 C ct a s d n ln t ư n g pc aI tbe á h m ố ò g ệ h h ờ g ặ ủ pa ls 1 Gọ tợ g ú . i r ip Đ g ir gú v I tbe , ạ g ln $ man iptables h ặ $ iptables --help. h n h n ể ọ tợ ip ề pa ls b n õ ệ h oc C ẳg ạ n ub nc nbế v c ct yc ọ c a match limit, ạ g ln $ iptables -m limit --help. ế ạ ầ it ề á ù h n ủ bn õệh 2 C ct yc ọ đ c ỉ ị h t ô g s . á ù h n ể h đn h n ố - c ỉ ịhtntbe -t ê _a l>, í ụ-t filter, -t nat, . ế k ô gc ỉ ịhtbe gá h đn ê a l: , ư n t n ư--sport h đn ổ g í h p r
  2. Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 17 # iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP tảc cp c e đ nc n 2 d n h á ak t ế ổ g 3 ù g ga tứ T Ptê c r mạ geh io h c C rn ad n t0 # iptables -A INPUT -i eth1 -s ! 10.0.0.1-10.0.0.5 --dport 22 -j REJECT --reject-with tcp- reset g i ó T Pv i ờR T c oc ck t ố k ô gđ nt d yđac ỉ P1 .... ở g i C ớ c S =1 h á ế n i h n ế ừ ã ị h I 0001. 5 tê c n 2 , admạ geh rn ổ g 2 c r n t1 # iptables -A INPUT -p udp --dport 139 -j REJECT --reject-with icmp-port-unreachable g i ó I MP` o tu ra h be c oc ck t ố đ nc n 1 9 d n ga t ứ U P ở g iC p r- n e c a l` h á ế n i ế ổ g 3 , ù g io h c D P â b ệ g ữ NE , S A L S D v R L T D h n it i a W E T B I HE à EA E - N W:mởk t ố mớ E ế ni i - E T B I H D đ t itậ k t ố S A LS E : ã hế lp ế n i - R L T D mởmộ k t ố mớ to gk t ố hệ ti EA E : t ế n i ir n ế n i in ạ Vd: íụ # iptables -P INPUT DROP đ t hn s c c oc anI P Tl D O ặ c íh á h h h i N U à R P # iptables -A INPUT -p tcp --syn -m state --state NEW -j ACCEPT c ỉ h pn ậ c cg i h cấ h n á ó T Pmởk t ố đ s t ờS N C ế n i ã e c Y =1 # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT k ô gđ n c c hn óg á k t ố đ n đ ợ t itậ ,ồ gtờ c n c op é mởc ck t ố mớ to gk t ố ế n i a g ư c hế lpđ n h i ũ g h h p á ế n i ir n ế n i đ ợ t itậ ư c hế lp # iptables -A INPUT -p tcp -j DROP c cg i C c nli ề b D O á óT P ò ạđu ị R P T yc ọ --limit, --limit-burst ù hn --limit-b rt mứ đn , íhb n s p c e u s: c ỉh t n ằ g ố ak t --l t tcđ k i h m mứ đn , íhb n s p c e/( iy , p ú) d gờ h ặ i :ố ộ h cạ mi c ỉh t n ằ g ố a k tsgâ ) m( h t, ( i) o c h(ngày) Mìhlyv d c tểđ b nd hể : n ấ í ụ ụ h ể ạ ễ iu # iptables -N test # iptables -A test -m limit --limit-burst 5 --limit 2/m -j RETURN # iptables -A test -j DROP # iptables -A INPUT -i lo -p icmp --icmp-type echo-request -j test Đ u t n ln iptables -N test đ to mộ c an mớ tn l ts (a l mặ đn l ầ i ệh ê ểạ t hi i ê à e t tbe c ịh à ftr.T y c ọ -A test ( p e d đ tê lậ mớ v o c an ts.Đ i ớ c an ts, ie) ù h n l a p n ) ể h m u t i à h i et ố v i h i et mìh gớ h n l tb rtở mứ 5 g i l t l 2 g i h t n u tỏ lậ s tở v n ii ạ i - u s mi c ó, i mi à ó/ ú, ế h a u t ẽ r ề p ( E U N c n k ô g s b D O .S u đ mìh n i h m c an ts v o c an I P T v i R T R ) ò h n ẽ ị R P a ó n ố tê h i et à h i N U ớ tyc ọ c r mạ gv ol l, iotứ i ,o ic ù h n ad n à à o ga h c c mp lạ i mpl echo-rq e t L ậ n ys gớ à e u s. u t à ẽ ii h n c cg i I G tio l 2 g i h ts u k i ãđ tti g i ạ t ử pn đ n lc lo t ạ á ó PN ớ l à ó/ ú a h đ ạ ớ 5 ó. n h ig ế o ah s p B xem sao? $ ping -c 10 localhost C ỉ g i ầ to g p ú đ u t n đ ợ c ấ n ậ , h alậ R T R đ . â gờđ đ t h 5 ó đ u rn h t ầ i ê ư c h p h n tỏ u t E U N ó B y i ã ạ đ n mứ đn l 5 gói, ậ t cI tbe s gớ h n P N tiol 2 g i r n mỗ p ú b t ế c ỉh à lp ứ pa ls ẽ ii ạ I G ớ l à ó tê iht ấ c ấ c b on iug i ư cP N tiođ n a N uto gp ú ti h n c g i à P N h p ó a hê ó đ ợ I G ớ l i ữ . ế r n h t ớ k ô g ó ó n o I G tiI tbe s gả l t i g i ứ l tcđ đ n l 2g i h t ẽtn ln4g i h t ớ, pa ls ẽ im i đ 2 ó t c à ố ộ a g à mi ó/ ú s ă g ê p ó/ ú . p N u to g p ú n a k ô g c g i ế ,l ts gả đ 2 n a l tở v li rn t á c ế rn h t ữ h n ó ó đ n i mi ẽ im i ữ à r ề ạ tạ g h i ũ c ư đ t ế mứ đn 5 g iQ átìhc t pt cn ư v y B nc ỉ ầ n ớđ ngả l h a ạ đn c ỉh ó. u r n ứ i ụ h ậ . ạ h c n h ơ in à ế k i ã đ tti cđn ,tcđ s b gớ h n b i h m s --l t N u to g mộ đ n v h đ ạ ớ mứ ỉh ố ộ ẽ ị ii ạ ở t a ố i . ế rn mi tơ ị tờ ga ti h n c g i ế , ố đ s tn ln đ n b n --l t ế k i r li rn h i in ớ k ô g ó ó đ n tc ộ ẽ ă g ê ú g ằ g i đ n h tở ạ tạ g mi tá c ư đ t c--limit-burst thì thôi. h i h a ạ mứ Đ x m c clậ to gI tbe b n g ln $ itbe -L -nv (-Ltt ảc clậ to gtt ể e á u t r n pa ls ạ õ ệ h pa ls ấ c á u t rn ấ c c cc an tbemặ đn là filter, -nl t êởd n s , đ x m c iit ả á h i, a l c ịh ik ệ ạg ố v ể e ht ) ế # iptables -L -nv Chain INPUT (policy ACCEPT 10 packets, 840 bytes) pkts bytes target prot opt in out source destination 10 840 test icmp -- lo * 0.0.0.0/0 0.0.0.0/0 icmp type 8 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
  3. Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 18 pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 15 packets, 1260 bytes) pkts bytes target prot opt in out source destination Chain test (1 references) pkts bytes target prot opt in out source destination 5 420 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5 5 420 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 # iptables -Z reset counter # iptables -F f s lậ l hut u # iptables -X x ac anđ to ó hi ã ạ R dr c c n e ie t ổ g I tbe h tợtyc ọ -j REDIRECT ch p é b nđ i ư n c n mộ c c d d n . í pa ls ổ r ù h n o hp ạ ổhớg ổg t áh ễ à g V d n ư S U D đ n l tn tê c n 3 2 /c .Đ rdrc c n 8 đ n c n 3 2 n y ụ h Q I a g i e rn ổ g 1 8 tp ể e i t ổ g 0 ế ổ g 1 8 à s e b nlm n ưs u ạà h a: # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 L uý tyc ọ -j REDIRECT cho có trong chain PREROUTING ư :ù hn SNAT & MASQUERADE Đ to k tn i ta s a e t gữ mạ g L N 1 21 801 v i nen tb n lp c u hn ể ạ ế ố `r n p r n` ia nA 9 .6 .. ớ I tr e ạ ậ ấ ìh c ot ờ glaI tbe n ưs u h ư n ử pa ls h a : # echo 1 > /proc/sys/net/ipv4/ip_forward c op é fr r c cp c e q amá c ủ đ t h h p o wad á a k t u yh ặ Iptables # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 210.40.2.71 đ i Pn u n ổI gồ c oc cp c e r c r mạ geh l 2 04 ..1 K i h nđ ợ p c e v ot I tr e, h á a k t a ad n t 0 à 1 . 027 . h n ậ ư c a k t à ừ n e n t I tbe s t đ n đ i Pđc 2 04 ..1 t à h I đc t ơ g ứ g c amá t h to g pa ls ẽ ự ộ g ổ I í 1 .027 h n P í ư n n ủ h h y í rn n mạ gL N 1 21 80 2 . n A 9 . 6 ./ 4 H ặ b nc t ểd n MA Q E A Eta c oS A n ưs u oc ạ ó h ù g S U R D hy h N T h a: # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ( S U R D tư n đ ợ d n k i ế n i ế I tr e l p 0v d n đac ỉ P MA Q E A E h ờ g ư c ù g h k t ố đ n nen tà p à ù g ị h I đn) ộg G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
  4. Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 19 DNAT G ảs b nđ t á má c ủP o y Mal àD S to gmạ gD . ểtok t ố trong i ử ạ ặ c c y h r x , iv N r n n MZ Đ ạ ế n i s ố t I tr e v oc cmá c ủn yb nl n ưs u u t ừ nen t à á y h à ạ à h a: # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination 192.168.1.3 # iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to-destination 192.168.1.4 L p c u h n I t b e c o má c ủ p ụ v W e ậ ấ ì h p a ls h y h hc ụ b P ầ n ymì s tn b yq av d c tểv cỉ ư n d nccb nl p ce vào. Các packet hn à n ẽ r h à u í ụ ụ h à h h ớ g ẫ á ạ ọ akt h ì c `ow r`v ' tu' ạ t l n a Gảs n ưmá củp ụ v We kt ố mạ gt ct pvo fr ad à o p tb n ự à h . i ử h u m y h hc ụ b ế ni n r i à ựế Itre q acr mạ geh , ị cỉPl 1234 B ncnl cuh htờ glacoItb sđ p nen t u ad n t0 đa h I à .... ạ ầ ậ ấ ì ư n ử h pa l á p n e ứ gcc ê cusu n á yu ầ a : - cn T P8 (h ya ah ) comọ n ư irycpw b ổ g C 0 cạ p ce mở h ig ờt uậ e - cn 2 (h ypotd cỉ cow b s r d n đ u l df l p bchml ổ g 1 cạ rf ) h mở h e mat (ù g ể p a i ê u l_ t ) p e o ln e i - cn 2 (h yo e sh cỉ coa mi (u gcpse `o t coa mi đ n n cp&p t l ổ g 2 cạ p ns) h mở h d n cn ấ h l ro` h d n ể â g ấ l ac ỗ hi cosre k iầ ) h ev r h cn - cn U P5 (h yt y n) ểp ụ v tnmi (â cỉ v d ) ổ g D 3 cạ i d s đ h c ụ ê ề đ y h l í ụ n n à - cỉh pn ậ IM PN ti ớ cd = x 8 cco i akt ò l đ ub t cố h cấ h n C P I G ớ v io e 0 0 , á l p ce cn ạ ề ịừ h i ạ i . B ớ 1 t itậ c ct a s c on â ư c : hế lp á h m ố h h n echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time echo 0 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_source_route tc _ y c o is b t h cn n c ố gD S S N q as n o kec aLn x p s n o ke =1 ậ c ứ ă g h n o Y u y c o i ủ iu tp f _ i o t 0đ t h i int o t h q átìhđ n k t ố T Pl 1 gâ c _i tn me u =1 ặ t ờ ga i u c o u r me n ó g ế n i C à 0 iy tp k e aie t =1 0 đ t h i ingữk t ố T Pl 1 0 gâ c _ e p l _i v me 8 0 ặ tờ ga i ế n i C à 8 0 iy ... C ct a s k á b nc tểx m c iit r n tiiuđ k m c an â Ln x á h m ố h c ạ ó h e h t to g à l ế ệ i è ủ h n iu . B ớ 2 n pc cmô u c nt it h I tbe ưc : ạ á đ n ầ hế c o pa ls Đ s d n I tbe , ạ c np ả n ptư cc cmô u c nt it V d n ub nmu n ể ử ụ g pa ls b n ầ h i ạ r ớ á đ n ầ hế. í ụ ế ạ ố d n c ứ n n L G to gI tbe , ạ p ả n pmô u itL G v otư cb n ln # ù g h c ă g O r n pa ls b n h i ạ đ n p_ O à rớ ằ g ệ h modprobe ipt_LOG. G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
  5. Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 20 MODULES="ip_tables iptable_filter ipt_LOG ipt_limit ipt_REJECT ipt_state for i in $MODULES; do /sbin/modprobe $MODULES done B ớ 3 n u ê tcđ t u tà" r ptư c a c p s u ư c : g y n ắ ặ lậ l d o r ớ , c e t a " Đ yl n u ê tcmàb nn ntâ te . ầ t nh yđ n h t á c n , a đ mở â à g yn ắ ạ ê u n h o Đ u i ã ó g ế cc ổ g su ó ê d nc c c n c nt it C c n ytá hc ob ng ps i ó to gk i ặ lậ c o ầ á h ổ g ầ hế. á h à rn h ạ ặ a s t r n h đ tu t h Iptables. iptables -P INPUT DROP t ảp c e tư c h a k t rớ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT gữc ck t ố hệ i á ế n i in ti àc ấ n ậ c ck t ố c l nq a ạ v h p h n á ế n ió i u n ê iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT c ấ n ậ c cg i à lo a kt I hp hn á óvoobc ừ P 127.0.0.1 iptables -A INPUT -i lo -s 1.2.3.4 -j ACCEPT và 1.2.3.4 BANNED_IP="10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 224.0.0.0/4 240.0.0.0/5" for i in $BANNED_IP; do iptables -A INPUT -i eth0 -s $i -j DROP t ảc cg i ữl uđ nt c cI n m to g h á ó d i ế ừ á P ằ rn ệ d n s c c m B N E _P a h áh ấ ANRI done B ớ 4 lcI MPv ov c ặ n ậ lt I G ư c :ọ C à à h n g p ụ PN L G c aI tbe s đ ợ g i à fe/ a/ g f e llg B np ả s ali ấ hn c o O ủ pa ls ẽ ư c h v o i v rl /i walo . ạ h i ử ạ c u ìh h l or . S S O n ưs u Y L G h a: # vi /etc/syslog.conf kern.=debug /var/log/firewall.log # /etc/rc.d/init.d/syslogd restart Đ i ớ c cg i C ố v i á ó I MPđ n c ú gt s đ yq ac anC E K P N F O D đ kể ta ế, h n a ẽ ẩ u h i H C _ IG L O ể im r x m hệ ti a gb n ậ lt I G h yk ô g s uđ mớ c op é g i à . ế đ n b e in ạ đ n ị g p ụ P N a hn,a ó ih h p ó v o N u a g ị n ậ lt I G mô u L G s t nh n g i h t í mứ gớ h n--limit $LOG_LIMIT và g p ụ PN , đ n O ẽ i à h h n ậ k ở ế c ii ạ --limit-b rt L G LMI _ U S , á g i I G n ậ lt ẽb t ảh t u s $ O _ I T B R T c c ó PN g p ụ s ịh ế. LOG_LEVEL="debug" LOG_LIMIT=3/m LOG_LIMIT_BURST=1 PING_LIMIT=500/s PING_LIMIT_BURST=100 iptables -A CHECK_PINGFLOOD -m limit --limit $PING_LIMIT --limit-burst $PING_LIMIT_BURST -j RETURN iptables -A CHECK_PINGFLOOD -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PINGFLOOD:warning a=DROP " iptables -A CHECK_PINGFLOOD -j DROP iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j CHECK_PINGFLOOD iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT B ớ 5 rjc q é c n T Pv UDP ư c : ee t u t ổ g C à Ở đ yb n tos n c an rjc q é c n , h n t s đ yv oc an I P Ts u Đ i â ạ ạ ẵ h i ee t u t ổ g c ú g a ẽ ẩ à h i N U a . ố v i ó T P c ú gt rjc b n g i C v i ờS N ớ g i C , h n a ee t ằ g ó T P ớ c Y =1c nđ i ớ g i D , h n t s ò ố v i ó U P cú g a ẽ rjc b n g i C ee t ằ g ó I MP` o tunreachable` p r- G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
nguon tai.lieu . vn
Thạc sĩ - Tiến sĩ - Cao học Công nghệ thông tin Kinh tế - Thương mại Tài chính - Ngân hàng Kiến trúc - Xây dựng Điện-Điện tử-Viễn thông Cơ khí - Chế tạo máy Công nghệ - Môi trường Báo cáo khoa học Quản trị kinh doanh Khoa học xã hội Khoa học tự nhiên Nông - Lâm - Ngư Y khoa - Dược