Xem mẫu
- LỜI NÓI ĐẦU
Trong công cuộc đổi mới không ngừng của khoa học
kỹ thuật công nghệ, nhiều lĩnh vực đã và đang phát tri ển
vượt bậc đặc biệt là lĩnh vực Công nghệ thông tin. Thành
công lớn nhất có thể kể đến là sự ra đời của chiếc máy tính.
Máy tính được coi là một phương tiện trợ giúp đắc lực cho
con người trong nhiều công việc đặc biệt là công tác qu ản lý.
Mạng máy tính được hình thành từ nhu cầu muốn chia sẻ tài
nguyên và dùng chung nguồn dữ liệu. Máy tính cá nhân là
công cụ tuyệt vời giúp tạo dữ liệu, bảng tính, hình ảnh, và
nhiều dạng thông tin khác nhau, nhưng không cho phép chia
sẻ dữ liệu bạn đã tạo nên. Nếu không có hệ thống mạng, dữ
liệu phải được in ra giấy thì người khác mới có thể hi ệu
chỉnh và sử dụng được hoặc chỉ có thể sao chép lên đĩa mềm
do đó tốn nhiều thời gian và công sức.
Khi người làm việc ở môi trường độc lập mà nối máy
tính của mình với máy tính của nhiều người khác, thì ta có
thể sử dụng trên các máy tính khác và cả máy in. Mạng máy
tính được các tổ chức sử dụng chủ yếu để chia sẻ, dùng
chung tài nguyên và cho phép giao tiếp trực tuyến bao gồm
gửi và nhận thông điệp hay thư điện tử, giao dịch, buôn bán
trên mạng, tìm kiếm thông tin trên mạng. Nhưng khi chia sẽ
tài nguyên trên mạng thì phải đề cập đến độ bảo mật của các
tài nguyên cần chia sẽ tránh những kẻ xâm nhập bât hợp pháp
truy cập vào hệ thống của chúng ta, điều này nảy sinh ra
những chương trình, phần cứng hay phần mềm hỗ trợ để
quản lý và kiểm soát các tài nguyên ra, vào hệ thống, các
phần mềm hỗ trợ thông thường như ISA 2004, ISA 2006,
COMODO Firewall, iptables, TCP Wrappers… chúng có cùng
chung một xu hướng đó là bảo về và quản lý hệ th ống mạng
bên trong của chúng ta trước những tin tặc truy cập bất hợp
pháp. Điều nảy thúc đẩy em tìm hiểu đề tài này.
- Lý do chọn đề tài : Trước khi triển khai một hệ thống mạng thì
điều quan trọng nhất là khâu thiết kế hệ thống mạng, làm thế nào
để hệ thống của chúng ta vận hanh một các trơn tru và hiệu qu ả,
̀
nhưng bên cạnh đó ta không thể không tự đặt câu hỏi cho chính
mình là hệ thống mạng của chúng ta đã vận hành trơn tru rồi
nhưng có đủ độ an toàn và bảo mật hay chưa? điều này không quan
trọng lắm đối với những doanh nghiệp nhỏ những rất quan trọng
đối với các doanh nghiệp lớn, các tổ chức mang t ầm c ở qu ốc gia
bởi những thông tin của họ rất nhạy cảm nên để đảm bảo độ an
toàn cho hệ thống mạng chúng ta cần phải thiết lập những chính
sách quản trị phù hợp, điều này đã thôi thúc em nghiên cứu và tìm
tòi các ứng dụng phần cứng, phần mềm FIREWALL tương thích
trên các hệ điều hành phổ biến hiện nay như Windows, Linux...
Trong phần này em nghiên cứu chủ yếu các ứng dụng
trên Iptables của Linux, tạo ra các chính sách để quản trị hệ
thống mạng dựa trên iptables và quản lý các dữ liệu ra vào hệ
thống, đảm bảo hệ thống được bảo vệ ở mức tối đa có thể.
Em sử dụng iptables trên hệ điều hành Linux Centos version
5.8
Bố cục đề tài : Đề tài gồm có 3 chương
Chương I : Tổng quan về mạng máy tính và b ảo m ật
mạng
Tông quan về hệ thông mang và phân tích các nguy c ơ
̉ ́ ̣
đe doạ hệ thống mạng và hướng giải quyết, các phương
pháp để phong thủ hệ thống mạng.
̀
Chương II : Tổng quan về Firewall và Iptables
Giới thiệu về các vấn đề cơ bản của Firewall, phân
loại Firewall, các kiến trúc cơ bản của Firewall và cơ chế làm
việc của chúng.
Chương III : Triển khai hệ thống Firewall trên Iptables
cho mạng của công ty TNHH Vươn Cao
Triển khai và cấu hình hệ thống Firewall
- CHƯƠNG I
TỔNG QUAN VỀ MẠNG MÁY TÍNH VÀ BẢO MẬT
MẠNG
I.1 GIỚI THIỆU MẠNG MÁY TÍNH VÀ MÔ HÌNH MẠNG
I.1.1 Giới thiệu về mạng máy tính
I.1.1.1 Mạng máy tính là gì?
Mạng máy tính là tập hợp các máy tính kết nối v ới nhau b ởi
đường truyền vật lý theo một cấu trúc nào đó để đáp ứng các yêu
cầu của người dùng.
I.1.1.2 Vai trò của mạng máy tính ?
- Khả năng sử dụng chung tài nguyên
- Tăng độ tin cậy của hệ thống
- Nâng cao chất lượng và hiệu quả khai thác thông tin trong
mạng
• Đáp ứng những nhu cầu của hệ thống ứng dụng kinh
doanh hiện đại
• Cung cấp sự thống nhất giữa các dữ liệu
I.1.2 Mô hình mạng máy tính
I.1.2.1 Mô hình khach- chủ (Client- Server)
́
- Các máy trạm được nối với các máy chủ, nhận quyền
truy nhập mạng và tài nguyên mạng từ các máy chủ. Đối với
Windows NT các máy được tổ chức thành các miền (domain).
An ninh trên các domain được quản lý bởi một số máy chủ
đặc biệt gọi là domain controller.
Hình 1.1 Mô hình Client – Server
I.1.2.2 Mô hình mạng ngang hàng (Peer- to- Peer)
I.2 CAC PHƯƠNG PHAP TÂN CÔNG MANG
́ ́ ́ ̣
I.2.1 Main in the middle attack
Đây là môt kỹ thuât tân công cổ điên nhưng vân được sử
̣ ̣ ́ ̉ ̃
dung cho đên ngay hôm nay, kiêu tân công nay thường dung
̣ ́ ̀ ̉ ́ ̀ ̀
cho mang không dây như giả mao ARP, DNS, chiêm quyên
̣ ̣ ́ ̀
điêu khiên Sestion, đánh cắp Cookies bằng Hamster và
̀ ̉
Ferret…..
- Hình 1.3 Mô hình ARP- spoofing
Kiêu tân công nay thường được sử dung nhât là kiêu giả
̉ ́ ̀ ̣ ́ ̉
mao ARP, hiêu được cach tân công giả mao nay thì cung phân
̣ ̉ ́ ́ ̣ ̀ ̃ ̀
nao hinh dung được hinh thức phương thức tân công nay.Việc
̀ ̀ ̀ ́ ̀
sử dụng kỹ thuật encryption và authentication để nâng câp
́
việc bảo mật dữ liệu nhưng hackers vẫn còn có thễ thâm
nhập vào hệ thống của bạn dựa vào sự hoat động c ủa các
̣
giao thức. Hackers sử dụng một thiết bị không có thật gi ữa
người dùng cuối và mạng không dây. Hackers sử dụng những
tools để có thể tìm ra những gói tin arp và có thê ̉ điều khi ển
mạng của bạn.
I.2.2 Tấn công DoS
Tấn công DoS là kiểu tấn công mà người mà người tấn công
làm cho hệ thống nạn nhân không thể sử dụng hoặc làm cho hệ
thống đó bị chậm đi một cách đáng kể so với người sử dụng bình
thường bằng cách làm quá tải tài nguyên của hệ thống. Nếu kẻ tấn
- công không có khả năng xâm nhập vào hệ thống thì chúng cố gắng
làm cho hệ thống bị sụp đổ và không có khả năng phục vụ người
dùng bình thường thì đó gọi là tấn công Denial of Service.
I.2.2.1 Các mục đích của tấn công DoS
Cố gắng chiếm băng thông mạng và làm hệ thống mạng bị ngập
lụt
Cố gắng ngắt kết nổi giữa 2 máy và ngăn chặn truy cập vào dịch
vụ
Ngăn chặn người dùng truy cập một dịch vụ cụ thể và dấu hiệu
tấn công DoS thường nhận thấy là tắt mạng, tổ chức không ho ạt
động, tài chính bị mất…
I.2.2.2 Mục tiêu mà kẻ tấn công thường sử dụng tấn công DoS
́
I.2.3 Tân công DDoS
I.2.3.1 Các đặc tính của tấn công DDoS.
I.2.3.2 Tấn công DDoS không thể ngăn chặn hoàn toàn.
I.3 CAC KỸ THUÂT TÂN CÔNG MANG PHỔ BIÊN
́ ̣ ́ ̣ ́
́
I.3.1 Nghe len (sniffing)
Theo đúng như tên gọi, kỹ thuật này không tấn công trực
diện vào các máy người dùng (client) hay máy chủ (server),
mà nó nhằm vào không gian truyền dữ liệu giữa các máy.
Sniffing là kỹ thuật được các quản trị viên dùng theo dõi,
chuẩn đoán, phát hiện các sự cố nhằm giúp cải thiện hoạt
động hệ thống mạng. Tuy nhiên, kỹ thuật này về sau bị biến
- tướng, trở thành công cụ đắc lực phục vụ mục đích thu thập
trái phép các thông tin nhạy cảm, tên tài kho ản, mật khẩu,
credit card,… của người dùng khi luân chuyển trên mạng .
I.3.2 Quét thăm dò ( Scanning)
Phần lớn thông tin quan trọng từ server có được từ bước
này. Xác định hệ điều hành, xác định hệ thống có đang ch ạy
không, tìm hiểu các dịch vụ đang chạy hay đang lắng nghe,
tìm hiểu các lỗ hổng, kiểm tra các cổng, xác định các dịch v ụ
sử dụng giao thức TCP và UDP... Những thông tin này sẽ giúp
cho hacker có kế hoạch tấn công hợp lý, cũng như việc chọn
kỹ thuật tấn công nào. Quét giúp định vị hệ thống còn ho ạt
động trên mạng hay không. Một hacker chân chính sử d ụng
cách này đề tìm kiếm thông tin của hệ thống đích.
I.3.3 Social Engineering
I.3.4 Reverse engineering
I.3.5 Tấn công tràn bộ đệm (Buffer Overflow)
I.3.6 Tấn công bằng cách cài worm,virus và trojan.
I.3.6.1 Virus máy tính
I.3.6.2 Worm
I.3.6.3 Trojan Horse
I.4 PHONG THỦ MANG
̀ ̣
- Hầu hết trên thế giới hiện nay đều nghiên cứu kỹ lưỡng t ừng k ỹ
thuật tấn công và tìm kiếm nhược điểm nhằm mục đích vô hiệu
hóa phương thức tấn công đó. Công cụ để triển khai phòng thủ
không khác gì ngoài những hệ thống được dựng lên với nh ững
chính sách và luật riêng như tường lửa, hệ thống xác thực, mã hóa,
phân quyền, những bản vá lỗi lổ hổng bảo mật,
IDS,honeynet,honeysport…..
Người quản trị phải luôn cập nhật mới kiến thức và thường xuyên
thử đóng vai trò người tấn công vào chính hệ thống của mình t ừ đó
xây dựng các phương án phòng thủ phù hợp.
I.4.1 Các nguyên tắc cơ bản của công tác phòng thủ mạng
I.4.1.1 Nguyên tắc chỉnh thể
I.4.1.2 Nguyên tắc quy phạm
I.4.1.3 Nguyên tắc độ thích ứng
I.4.1.4 Nguyên tắc đồng bộ
I.4.2 Đánh giá nguy cơ hệ thống mạng
I.4.3 Môt số kỹ thuât phong thủ
̣ ̀
I.4.3.1 Anti DDoS
I.4.3.2 Anti ARP- snoofing
I.4.3.3 Anti SSL (man- in- the- middle)
- CHƯƠNG II
TỔNG QUAN VỀ FIREWALL VÀ IPTABLES
II.1 TỔNG QUAN VỀ FIREWALL
II.1.1 Firewall là gi?
̀
́ ̣
II.1.1.1 khai niêm Firewall
Trong công nghệ mạng thông tin, Firewall là m ột kỹ
thuật được tích hợp vào hệ thống mạng để chống sự truy
cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và
hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng
có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ
mạng tin tưởng (Trusted network) khỏi các mạng không tin
tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong
(Intranet) của một công ty, tổ chức, ngành hay m ột quốc gia,
và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự
truy nhập không mong muốn từ bên ngoài (Internet) và c ấm
truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định
trên Internet.
Hình 2.1 Mô hình mang sử dung tường lửa
̣ ̣
- II.1.1. Firewall làm được những gì?
II.1.1.3 Firewall không làm được những gì?
II.1.1.4 Nguyên lý hoạt động của Firewall
Khi nói đến việc lưu thông dữ liệu giữa các mạng với
nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall
hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này
làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ
các ứng dụng trên mạng, hay nói chính xác hơn là các d ịch v ụ
chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ...)
thành các gói dữ liệu (data pakets) rồi gán cho các paket này
những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần g ửi
đến, do đó các loại Firewall cũng liên quan rất nhiều đến các
Packet và những con số địa chỉ của chúng.
Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó
nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định
xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ
của lọc gói hay không. Các luật lệ lọc gói này là dựa trên các
thông tin ở đầu mỗi Packet (Packet Header ), dùng để cho
phép truyền các Packet đó ở trên mạng. Đó là :
• Địa chỉ IP nơi xuất phát ( IP Source address)
• Địa chỉ IP nơi nhận (IP Destination address)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP
tunnel)
• Cổng TCP/UDP nơi xuất phát (TCP/UDP source
port)
• Cổng TCP/UDP nơi nhận (TCP/UDP destination
port)
• Dạng thông báo ICMP (ICMP message type)
• Giao diện Packet đến (Incomming interface of
Packet)
• Giao diện Packet đi (Outcomming interface of
Packet)
Nếu luật lệ lọc gói được thoả mãn thì Packet được
- chuyển qua Firewall. Nếu không Packet sẽ bị bỏ đi. Nhờ vậy
mà Firewall có thể ngăn cản được các kết nối vào các máy
chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy
cập vào hệ thống mạng nội bộ từ những địa chỉ không cho
phép.
II.1.1.5 Phân tích cấu trúc của gói ip
II.1.1.6 Chức năng cua Firewall
̉
- Tường lửa quyêt đinh những người nao, những dich
́ ̣ ̀ ̣
vụ nao từ bên trong được phep truy câp ra bên ngoai và cả
̀ ́ ̣ ̀
những dich vụ từ bên ngoai nao được phep truy câp vao bên
̣ ̀ ̀ ́ ̣ ̀
trong.
- Triên khai giam sat cac sự kiên an ninh mang : hệ thông
̉ ́ ́ ́ ̣ ̣ ́
canh bao, IDS và IPS có thể triên khai hệ thông tường lửa.
̉ ́ ̉ ́
- Triên khai môt vai chức năng trên nên tường lửa :
̉ ̣ ̀ ̀
́
NAT, thông kê, logs…
- Để tường lửa lam viêc hiêu qua, tât cả trao đôi thông
̀ ̣ ̣ ̉ ́ ̉
tin từ trong ra ngoai và ngược lai đêu phai thực hiên thông qua
̀ ̣ ̀ ̉ ̣
tường lửa.
II.1.1.7 Ưu nhược điêm khi dung Firewall
̉ ̀
II.1. Phân loại Firewall
- Packet Flitering: là hệ thống Firewall cho phép chuyển
thông tin giữa hệ thống trong và ngoài mạng có kiểm soát.
- Application- proxy Firewall: là hệ thống Firewall thực
hiện các kết nối trực tiếp từ máy khách yêu cầu.
II.1.2.1 Packet flitering
- Kiểu Firewall chung nhất là kiểu dựa trên m ức m ạng
của mô hình OSI. Firewall mức mạng thường hoạt động theo
nguyên tắc của Firewall hay còn được gọi là Router/Firewall,
có nghĩa là tạo ra các luật cho phép quyền truy cập mạng d ựa
trên mức mạng. Mô hình này hoạt động theo nguyên tắc l ọc
gói tin (Packet Flitering).
II.1.2.2 Application- proxy Firewall
- - Kiểu Firewall này hoạt động dựa trên phần mềm. khi
một kết nối từ một người dùng nào đó đến mạng sử dụng
Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó
Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu
cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các
trường thông tin đáp ứng được các luật đã đặt ra trên Firewall
thì Firewall tạo ra một cái cầu kết nối giữa 2 node với nhau.
II.1.3 Các thế hệ Firewall thường dùng
II.1.3.1 Firewall lọc gói tin
Tường lửa lọc gói tin : công nghệ tường lửa thế hệ đầu
tiên phân tích lưu lượng mạng ở tầng vận chuyển (transport
protocol layer).
II.1.3.2 Firewall mức giao vân (Circuit Level Firewall)
̣
II.1.3.3 Firewall mức ứng dụng
II.1.3.4 Firewall lọc gói tin động
II.1.4 Một số phần mềm Firewall thông dụng
II.1.4.1 Packet filtering
Kiểu lọc gói tin này có thể được thực hiện mà không cần
tạo một Firewall hoàn chỉnh, có rất nhiều các công c ụ trợ
giúp cho việc lọc gói tin trên Internet (kể cả phải mua hay
được miễn phí ). Sau đây ta có thể liệt kê một số tiện ích như
vậy:
II.1.4.2 TCP_wrappers
II.1.4.3 Netgate
II.1.4.4 Internet packet filter
II.1.4.5 Application- proxy Firewall
- ́ ́ ́ ̉
II.1.5 Cac kiên truc cua Firewall
II.1.5.1 Dual homed host
̀
II.1.5.1.a Mô hinh
Hình 2.3 Sơ đồ kiến trúc Dual – Homed Host
II.1.5.1.b đánh giá về kiến trúc Dual homed host
II.1.5.2 Screened host
̀
II.1.5.2.a Mô hinh
Hình 2.4 Sơ đồ kiến trúc Screened Host
II.1.5.2.b Đanh giá
́
- II.1.5.3 Screened subnet host
̀
II.1.5.3.a Mô hinh
Hình 2.5 Sơ đồ kiến trúc Screened Subnet Host
II.1.5.3.b Đanh giá
́
II.2 TỔNG QUAN VỀ LINUX VÀ IPTABLES
II.2.1 Tổng quan về Linux
II.2.1.1 Quá trinh hinh thanh linux
̀ ̀ ̀
II.2.1.2 Các phiên bản hiện nay
Linux là một trong những hệ điều hành m ạnh nhất và
nhanh nhất hiện nay, với số lượng người dùng không ngừng
tăng cao. Linux được đánh giá là nhỉnh hơn hệ đi ều hành
window về tốc độ lẫn giá thành. Linux cung c ấp cho người
dùng tính năng và hiệu quả cao, tốc độ xử lý nhanh, chi phí
bỏ ra dường như không có tức là nó hoàn toàn mi ễn phí. Hệ
điều hành Linux thật sự đáng tin cậy, bảo mật an ninh khá
tốt, giao diện tùy biến, thích hợp cho các doanh nghiệp.
Có hàng chục các phiên bản Linux được cung cấp miến phí
như :
+ Fredora
- + Ubuntu
+ Arch Linux Distros
+ Open SUSE
+ CentOS
+ Debyan GNU……
II.2.2 Tổng quan về IPTables
II.2.2.1 Iptables là gì ?
Iptables là một chương trình chạy ở không gian người dùng,
cho phép người quản trị hệ thống có thể cấu hình các bảng
của tường lửa trong nhân Linux (được cài đặt trong các mô
đun Netfilter khác nhau) và lưu trữ các chuỗi, luật.
Iptables yêu cầu quyền cao cấp trong hệ thống để hoạt động
và phải được người dùng root thực thi, nếu không một số chức
năng của chương trình sẽ không hoạt động.
II.2.2.2 Nguyên tắc triển khai Firewall iptables
II.2.2.3 Cơ chế xử lý trong iptables
Tất cả mọi gói dữ liệu đề được kiểm tra bởi Iptables
bằng cách dùng tuần tự xâu dựng sẵn (queues). Có 3 lo ại
bảng là:
- Mangle: Chịu trách nhiệm thay đổi các bits chất lượng
dịch vụ trong TCP header như TOS (type of service), TTL
(time to live) và MARK
- Filter: Chịu trách nhiệm lọc các gói dữ liệu. Nó gồm
có 3 quy tắc nhỏ (chain)
+ Forwoard chain: Lọc gói khi đi đến server khác.
+ Input chain: Lọc gói ki đi vào trong server.
+ Output chain: Lọc gói khi đi ra khỏi server.
- Nat: Gồm có 2 loại Nat ta thường gọi là Nat Outbound
và Nat Inbound
- Hinh 2.6 Quá trình lọc gói tin qua Firewall
̀
- Jumps: Là cơ chế chuyển một packet đến một target
nào đó để xử lý thêm một số thao tác khác.
- Target: Là cơ chế hoạt động trong iptables, dùng đ ể
nhận diện và kiểm tra packet. Các target được xây dựng sẵn
trong iptables như : MASQUERADE, SNAT, DNAT, REJECT,
LOG, DROP, ACCEPT.
II.2.2.5 Các tham số chuyển mạch quan trọng của iptables
Lệnh switching
Ý Nghĩa
quan trọng
Nếu bạn không chỉ rõ là tables nào,
- t thì filter tables sẽ được áp dụng. Có
3 loại table là filter, nat, mangle.
Nhảy thêm một chuỗi targer nào đó
- j khi gói dữ liệu phù hợp quy luật
hiện tại.
Insert thêm rule vào đầu chain.
- I
Nối thêm một quy luật nào đó vào
- A
cuối chain.
- Xóa hết tất cả mọi quy luật trong
-F
bảng đã chọn.
Phù hợp với giao thức (protocols),
- p thông thường là các giao thức như
icmp, tcp, udp và all.
Source để chỉ ip nguồn.
- s
Destination để chỉ ip đích.
- d
- i liệu đi vào Firewall
- o dữ liệu đi ra khỏi Firewall
Bảng 2.3 Các tham số chuyển mạch quan trọng của iptables
II.2.2.6 Những module kernel cần thiết
II.2.2.7 lưu cấu hình script cho iptables
II.2.2.8 Khắc phục sự cố trên iptables
CHƯƠNG III
TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES
CHO MẠNG CỦA CÔNG TY TNHH VƯƠN CAO
III.1 GIỚI THIỆU HỆ THỐNG MẠNG CÔNG TY TNHH
VƯƠN CAO
III.1.1 Sơ đồ logic hệ thống mạng hiện tại công ty đang áp dụng
- Hinh 3.1 - Sơ đồ logic hệ thông mang đang ap dung
̀ ́ ̣ ́ ̣
III.1.2 Phân tích sơ đồ hệ thống
- Mô hình mạng mà công ty đang áp dụng là mạng
ngang hàng.
- Vùng DMZ nằm chung lớp mạng với vùng Inside.
- Hệ thống hầu như không được bảo vệ và phản ứng
yếu ớt khi bị tấn công…
III.2 HIỆN TRẠNG MẠNG CỦA CTY VƯƠN CAO ĐANG SỬ
DỤNG
III.2.1 Hiên trang bị tân công
̣ ̣ ́
Trong quá trình hoạt động của công ty mà bộ phận kỹ
thuật ghi nhận được thì có tổng cộng 4 cuộc tấn công DDoS
vào hai máy FTP server và WEB server của công ty trong 6
tháng đầu năm 2013 nhiều hơn gấp 2 lần cùng kỳ năm trước
và tình trạng chung là nhân viên không thể truy c ập vào 2
trang này
- Email của giám đốc và kế toán trưởng bị xem trộm,
một vấn đề rất nhạy cảm và cần có những phương án c ấp
bách để ngăn chặn tình trạng này xảy ra một lần nữa trước
khi tìm ra thủ phạm.
Công việc làm ăn của công ty thuận lợi và ngày càng
mở rộng, yêu cầu bây giờ là phải xây dựng một mô hình công
ty phù hợp với tình hình mới trong đó c ơ sở hạ tầng hệ th ống
mạng của công ty phải đảm bảo được tính m ở.Trong thời
gian tới đây công ty tiến hành public các server ra ngoài
internet, xây dựng website hoàn chỉnh nhằm quảng bá hình
ảnh của công ty để phù hợp với xu thế phát triển c ủa th ị
trường. Ngoài việc xây dựng một hệ thống mạng mang tính
oan toàn, bảo mật thì phải đáp ứng được tính sẵn sàng khi h ệ
thống mạng đòi hỏi cần nâng cấp cũng như triển khai các
chính sách của công ty ngay trên đó.
Những thông tin trên là hôi chuông canh bao cân có những
̀ ̉ ́ ̀
thay đôi và phai xây dựng lai môt hệ thông mang phù hợp hơn
̉ ̉ ̣ ̣ ́ ̣
khăc phuc được những điêm yêu cua hệ thông mang hiên tai
́ ̣ ̉ ́ ̉ ́ ̣ ̣ ̣
cua công ty và phai đap ứng được những yêu câu an toan đăt
̉ ̉ ́ ̀ ̀ ̣
ra cung như phù hợp với viêc quan lý sau nay.
̃ ̣ ̉ ̀
III.2.2 Đề xuât giai phap
́ ̉ ́
Xây dựng hệ thống Firewall 2 lớp theo mô hình đề
xuất đề xuất có khả năng khắc phục được hầu hết các
nhược điểm hiện có của mô hình hiện tại của công ty. Mô
hình có nhiều ưu điểm và có tính khả thi cao vì đáp ứng được
các vấn đề cấp thiết, oan toàn, bảo mật, chi phí thấp.
- III.3 TRIỂN KHAI HỆ THỐNG FIREWALL TRÊN IPTABLES
CHO MẠNG CỦA CÔNG TY TNHH VƯƠN CAO
III.3.1 Sơ đồ logic khi ap dung giai phap
́ ̣ ̉ ́
Hinh 3.2 - Sơ đồ logic hệ thông mang ứng dung firewall
̀ ́ ̣ ̣
- 192.168.1.x/24 Lớp mang nôi ra ngoai
̣ ́ ̀
internet
- 172.16.0.x/16 Lớp mang vung DMZ
̣ ̀
- 10.0.0.x/8 Lớp mang nôi bộ bên trong -
̣ ̣
internal
III.3.2 Cac chương trinh và thiêt bị cân thiêt cho giai phap
́ ̀ ́ ̀ ́ ̉ ́
Tuy là xây dựng sơ đồ hệ thông mới nhưng chung ta
́ ́
vân tân dung triêt để những thiêt bị cua hệ thông cũ mà vân đap
̃ ̣ ̣ ̣ ́ ̉ ́ ̃ ́
ứng tôt được yêu câu, với mô hinh mới thì công ty chỉ cân
́ ̀ ̀ ̀
mua thêm cac thiêt bị sau :
́ ́
- 2 may tinh, môi may có 2 card mang lân lượt đong
́ ́ ̃ ́ ̣ ̀ ́
vai trò là firewall 1 và firewall 2.
nguon tai.lieu . vn