CHƯƠNG 8. TÌM HIỂU VÀ TRIỂN KHAI PROXY TRÊN LINUX
8.1. Tìm Hiểu Về Dịch Vụ Firewall Proxy Trong Hệ Thống Mạng
Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua các dịch vụ, ngồi trên máy tính bạn có thể biết được các thông tin được đăng tải trên các website và các phương tiện khác, nhưng cũng vì thế mà hệ thống máy tính có thể bị xâm nhập bất cứ lúc nào mà chúng ta không hề biết được. Do vậy, để bảo vệ hệ thống nên đã sinh ra khái niệm Firewall.
Firewall là một thuật ngữ có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn hạn chế hỏa hoạn. Trong công nghệ thông tin (CNTT) Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ hệ thống mạng và các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số đối tượng xấu
8.1.1. Chức Năng Của FireWall Trong Hệ Thống Mạng
Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong.
8.1.2. Hệ Thống FireWall Dùng Ipitables
Một trong những hệ thống Firewall chạy trên linux hiện nay là Iptables, với một số ưu điểm sau
• Tích hợp tốt với kernel của Linux.
• Có khả năng phân tích package hiệu quả.
• Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header
• Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống
• Cung cấp kỹ thuật NAT
• Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DOS 8.1.3. Cơ Chế Xử Lý Gói Tin Trong Iptables
Có ba loại bảng trong iptables :FILTER, MANGLE, NAT và các chain trong mỗi bảng.
Chức năng cụ thể của mỗi bảng như sau:
• Mangle: dùng để chỉnh sửa QOS (qulity of service) bit trong phần TCP Header của gói tin.
• Filter: dùng để thiết lập bộ lọc gói tin. có ba loại built-in chains được mô tả để thực hiện các chính sách về firewall (firewall policy rules).
- Forward chain: Cho phép packet nguồn chuyển qua firewall.
- Input chain: Cho phép những gói tin đi vào từ firewall.
- Output chain: Cho phép những gói tin đi ra từ firewall.
• NAT: sửa địa chỉ gói tin, cung cấp hai loại built-in chains sau:
- Pre-routing: sửa đại chỉ đích của gói tin trước khi nó được routing bởi bảng routing của hệ thống (destination NAT).
- Post-routing: Ngược lại với Pre-routing, nó sửa đại chỉ nguồn của gói tin đã được routing bởi hệ thống (SNAT).
Mỗi rule mà ta tạo ra tương ứng với một chain hoặc một table nào đó. Nếu trường hợp không xác định tables nào thì iptables coi mặc định là cho bảng FILTER.ử Lý Gói Tin Trong Iptables
8.1.4. Các Thành Phần Của Iptables
-Mô hình quản lý Iptables dựa trên các table và các tập luật (chain), bảng trong iptables gồm 3 loại bảng: Filter, NAT, Mangle. Tập luật là tập hợp các luật dung để xử lý gói tin, tập luật trong iptables gồm 2 loại là tập luật dựng sẵn và tập luật định nghĩa, tập luật dựng sẵn bao gồm các tập luật như: Forward, input, output, forward, prerouting, postrouting, masquerade. Tập luật tự định nghĩa là những tập luật được người dùng tạo ra, thông thường để firewall hoạt động hiệu quả và đạt tính bảo mật cao, người quản trị thường xây dựng nhiều tập luật khác nhau chuyên xử lý cho từng trường hợp riêng biệt và kềm theo nó là các chính sách bảo mật chi tiết đối với việc xử lý gói tin. Dưới đây là bảng các thành phần và chức năng của các thành phần trong iptables.
Bảng thành phần và chức năng trong iptables:
Hình 8-3- 4: chức năng của mỗi Filter
• Mô hình xử lý trong Iptables:
Hình 8-3-5: sơ đồ xử lý của iptables
• Một gói tin sẽ được Iptables xử lý như sau:
Gói tin lần đầu tiên từ mạng A được kiểm tra bởi các luật trong chain Prerouting của bảng Mangle, sau đó gói tin được kiểm tra bởi các luật trong tập luật
Prerouting của bảng Nat để xem gói tin có yêu cầu DNAT hay không? Sau đó gói tin được định tuyến. Nếu là gói tin ngang qua Firewall thì gói tin sẽ được chuyển đến và xử lý bởi các luật trong tập luật Forward của bảng Mangle và bảng Filter, sau đó gói tin được chuyển đến tập luật Postrouting trong bảng Mangle và cuối cùng là gói tin được chuyển đến tập luật Postrouting trong bảng NAT để tiến hành biên dịch địa chỉ để gói tin tiếp tục đi vào mạng B. Nếu là gói tin đi vào firewall thì gói tin sẽ được chuyển vào tập luật INPUT trong bảng Mangle và sau đó là bảng Filter để xử lý, nếu thỏa thì gói tin sẽ được chuyển đến các tiến trình xử lý dữ liệu của Firewall, sau đó firewall gửi gói tin trả lời này sẽ được định tuyến và đi đến các tập luật OUTPUT của bảng Mangle, NAT và Filter để xử lý, sau đó gói tin được đưa đến tập luật Postrouting trong bảng Mangle, sau đó là bảng NAT và được biên dịch lại địa chỉ để đi vào mạng A.
- Quy trình việc lọc và xử lý gói tin trong iptable.
Hình 8-3-6: quy trình việc lọc gói tin o Target và Jump:
o Jump là cơ chế chuyển một packet đến một target nào đó để xử lý thêm một số thao tác khác.
o Target là cơ chế hoạt động trong iptables, dùng để nhận diện và kiểm tra packet. Các target được xây dựng sẵn trong iptables như:
o ACCEPT : iptables chấp nhận chuyển data đến đích.
o DROP: iptables khóa những packet.
o - LOG: Thông tin của packet sẽ gởi vào syslog daemon ptables tiếp tục xử lý luật tiếp theo trong bảng mô tả luật. Nếu luật cuối cùng không match thì sẽ drop packet.Với tùy chọn thông dụng là --log-pr efix=”string”, tức iptables sẽ ghi nhận lại những message bắt đầu bằng chuỗi
“string”.
o - REJECT: Ngăn chặn packet và gởi thông báo cho sender. Với tùy chọn thông dụng là --r eject-with qualifier, tức qualifier chỉ định loại reject
message sẽ được gởi lại cho người gửi. Các loại qualifer sau: icmp-port-unr eachable (default), icmp-net-unr eachable, icmp-host-unr eachable, icmp- pr oto-unreachable, …
o DNAT: Thayđổi địa chỉ đích của packet. Tùy chọn là --to-destination ipaddress.
o SNAT: Thay đổi địa chỉ nguồn của packet. Tùy chọn là --to-source <addr ess>[-address][:<port>-<port>]
o -MASQUERADING: Được sử dụng để thực hiện kỹ thuật NAT (giả mạo địa chỉ nguồn với địa chỉ của interface của firewall). Tùy chọn là [--to-ports
<port>zzz[-<port>]], chỉ định dãy port nguồn sẽ ánh xạ với dãy port ban đầu.
8.1.5. Một Số Lệnh Khi Làm Việc Với Iptables
o Iptables –t <table> : chỉ định bảng cho iptables gồm: filter, nat, mangle tables.
o Iptables –j <target> : nhảy đến một target chain khi packet thỏa luật hiện tại.
o Iptables –A : thêm luật vào cuối iptables chain.
o Iptables –F : xóa tất cả các luật trong bảng lựa chọn.
o Iptables –p <protocol-type> : mô tả các giao thức gồm : icmp, tcp, udp và all.
o Iptables –s <ip-address> : chỉ định địa chỉ nguồn.
o Iptables –d <ip-address> : chỉ định địa chỉ đích.
o Iptables –i <interface-name> : chỉ định “input” interface nhận packet.
o Iptables –o <interface-name> : chỉ định “output “ interface chuyển packet ra ngoài.