Tải bản đầy đủ (.pdf) (88 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Cấu hình Iptables và Squid

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.65 MB, 88 trang )

- 1 -

LỜI NÓI ĐẦU

Hiện nay, vấn đề về công nghệ thông tin rất quan trọng trong các doanh nghiệp vừa và
nhỏ chẳng hạn như: Làm sao bảo mật thông tin, tối ưu đường truyền, hạn chế sự tấn
công của virus và những email điện tử (phishing), hạn chế những rủi ro như mất mát
dữ liệu, bảo lưu dữ liệu trong một khoảng thời gian dài.
Vậy giải pháp ra sao thì phù hợp với những doanh nghiệp vừa và nhỏ ? Để đáp ứng
những yêu cầu từ phía doanh nghiệp và nhằm hạn chế tối đa những chi phí phần mềm,
phần cứng thì hệ điều hành Linux luôn một trong những giải pháp và lựa chọn hàng
đầu: Linux có tính tương đối và mức độ ổn định cao, không cần yêu cầu phần cứng quá
cao, tính cộng đồng cao, Linux là hệ điều hành đa nhiệm, ít bị hackers khai thác và tấn
công so với hệ điều hành Windows, đa phần những phiên bảng của Linux miễn phí.
Tuy nhiên, Linux cũng có những phiên bản mang tính chất thương mại và mức độ chạy
ổn định cao chẳng hạn như Red Hat Enterprise, SuSe Enterprise (Novell) và AIX
(IBM)…












- 2 -


MỤC LỤC
CHƯƠNG 1 : GIỚI THIỆU ĐỀ TÀI 4
1.1 ĐẶT VẤN ĐỀ 8
1.2 HƯỚNG GIẢI QUYẾT 9
1.3 CẤU TRÚC BÁO CÁO 10
CHƯƠNG 2 : CƠ SỞ LÝ THUYẾT 11
2.1 IPTABLES 11
2.1.1 Định nghĩa: 11
2.1.2: Xử lý gói trong iptables: 11
2.1.3 Targets: 13
2.1.4 Các tham số dòng lệnh thường gặp trên iptales: 15
2.1.5. Những điều kiện về TCP và UDP thông dụng 17
2.1.6. Điều kiện ICMP 18
2.1.7. Một số điều kiện mở rộng 18
2.1.8: Logs trên Iptables 20
2.1.9. Gói phần mềm cần cài đặt : 21
2.2 NESSUS 22
2.2.1 Định nghĩa Nessus 22
2.2.2 Chức Năng của Nessus 22
2.2.3 Vì Sao Dùng Nessus 23
2.3 : SQUID 23
2.3.1 Định Nghĩa 23
2.3.2 Yêu cầu phần cứng 24
2.4 SARG 25
2.4.1 Định nghĩa 25
2.4.2 Một vài lựa chọn thường gặp trên Sarg 25
- 3 -

2.5 CACTI 26
2.5.1 Định nghĩa 26

2.5.2 Ưu điểm và khuyết điểm 26
CHƯƠNG 3 :THỰC NGHIỆM 28
3.1 GIỚI THIỆU MÔ HÌNH MẠNG 28
3.2 TRIỂN KHAI 28
3.2.1 IPTABLES 28
3.2.1.1 Cài đặt 29
3.2.1.2 Hướng dẫn chặn port và dịch vụ trên iptables 32
3.2.1.3 Một số dịch vụ 35
3.2.2 NESSUS 37
3.2.2.1 Hướng dẫn cài đặt 38
3.2.2.2 Dò tìm lỗ hỗng trong hệ thống 40
3.2.3 SQUID PROXY 46
3.2.3.1 Hướng dẫn cài đặt 47
3.2.3.2 Một số tính năng trên Squid 52
3.2.4 SARG 58
3.2.4.1 Hướng dẫn cài đặt 58
3.2.4.2 Khởi động Sarg 59
3.2.5 CACTI 61
3.2.5.1 Hướng dẫn 61
3.2.5.2 Đăng nhập vô cacti 67
CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM 85




- 4 -

BẢNG BIỂU



Bảng 2.1 Các dạng route trên iptables 13
Bảng 2.2 Các tùy chọn trên iptables 15
Bảng 2.3 Các thông sồ dòng lệnh trên iptables 16
Bảng 2.4 Những điều kiện về TCP và UDP 17
Bảng 2.5 Điều kiện ICMP 18
Bảng 2.6 Điều kiện mở rộng khi dùng TCP và UDP 19
Bảng 2.7 Kiểm tra logs trên iptables 20
Bảng 2.8 Một số thông số sử dung trong Sarg 26
Bảng 3.1 Hiển thị thông tin IP 31
Bảng 3.2 Cấu hình NAT trên Iptables 31
Bảng 3.3 Trình tự cài đặt Nessus 38
Bảng 3.4 Cài đặt từ dòng lệnh apt-get 39
Bảng 3.5 Đường dẫn để cập nhật những gói phần mềm mới trên ubuntu 49
Bảng 3.6 Danh sách chặn website khi truy cập thông qua proxy 53
Bảng 3.7 Chặn những file mở rộng thông qua proxy 55

















- 5 -

MÔ HÌNH

Hình 1.1 Mô hình mạng hiện tại 9
Hình 2.1 Câu lệnh được lưu trong Iptables 21
Hình 3.1 Mô Hình Mạng 28
Hình 3.2 Mô hình mạng Iptables 29
Hình 3.3 Kiểm tra lại cách chặn gói icmp 32
Hình 3.4 Truy cập từ ngoài vô máy chủ web khi chưa đưa ra ngoài 31
Hình 3.5 Truy cập được tới máy chủ web sau khi đưa ra ngoài 34
Hình 3.6 Thư truy cập google.com.vn khi chưa chặn internet 35
Hình 3.7 Sau khi chặn internet. Client không thể truy cập 36
Hình 3.8 Cấm truy cập internet từ 11:00 tới 11:30 từ thứ 2-thứ 6 và chủ nhật 36
Hình 3.9 Truy cập lại website sau khoản thời gian bị giới hạn 37
Hình 3.10 Mô hình mạng dùng Nessus 37
Hình 3.11 Tạo user trên nessus 40
Hình 3.12 Màn hình đăng nhập 41
Hình 3.13 Chọn dịch vụ muốn quét 42
Hình 3.14 Chọn dãy IP muốn quét 43
Hình 3.15 Dò tìm IP tồn tại trong mạng 44
Hình 3.16 Quét địa chỉ IP tồn tại trong mạng 45
Hình 3.17 Hiển thị thông tin sau khi quét 46
Hình 3.18 Mô hình hệ thống tích hợp với Squid 47
Hình 3.19 Địa chỉ IP của máy con 50
Hình 3.20 Cấu hình IE thông qua Proxy 51
Hình 3.21 Kiểm tra truy cập internet qua Proxy 51
Hình 3.22 Xem lại sự kiện truy cập web của các máy con 52
Hình 3.23 Thử truy cập trang web sau khi đã chặn 53

Hình 3.24 Truy cập internet thông qua sự ủy quyền 55
- 6 -

Hình 3.25 Kiểm tra lại sau khi khóa download những tập tin hình ảnh 56
Hình 3.26 Thử download tập tin với đuôi mở rộng exe 56
Hình 3.27 Mô hình mạng với Sarg 58
Hình 3.28 Màn hình hiễn thị thông tin báo cáo của Sarg 59
Hình 3.29 Hiển thị thông tin truy cập của các máy trong mạng 60
Hình 3.30 Hiển thị chi tiết truy cập vào website của 1 máy trong hệ thống mạng60
Hình 3.32 Kiểm tra PHP sau khi cài đặt 61
Hình 3.33 Yêu cầu nhập mật khẩu cho tài khoản Root trong MySQL 62
Hình 3.34 Yêu cầu nhập lại mật khẩu 63
Hình 3.35 Tạo cơ sở dữ liệu trên Cacti 64
Hình 3.36 Cài đặt thư viện libphp-adodb 65
Hình 3.37 Chọn phiên bản máy chủ web đang dùng 65
Hình 3.38 Cấu hình cơ sở dữ liệu 66
Hình 3.39 Nhập password cho cơ sở dữ liệu 66
Hình 3.40 Nhập mật khẩu truy cập cơ sở dữ liệu 67
Hình 3.41 Nhập lại mật khẩu truy cập cơ sở dữ liệu 67
Hình 3.42 Màn hình giao diện cài đặt Cacti 68
Hình 3.43 Lựa chọn cài đặt Cacti 69
Hình 3.44 Hiển thị thông tin đã cài đặt trên Cacti 70
Hình 3.45 Màn hình đăng nhập 71
Hình 3.46 Màn hình yêu cầu đổi mật khẩu 71
Hình 3.47 Màn hình giao diện của Cacti 72
Hình 3.48 đặt giao thức SNMP trên modem ADSL D-LINK 73
Hình 3.49 Màn hình sau khi đăng nhập 75
Hình 3.50 Thêm thiết bị để quan sát 76
Hình 3.51 Điền vào thông tin của thiết bị cần quan sát 76
Hình 3.52 Tạo biểu đồ cho thiết bị 77

- 7 -

Hình 3.53 Chọn thông tin muốn hiển thị cho thiết bị 78
Hình 3.54 Hiển thị những thông tin đã chọn của tất cả thiết bị 79
Hình 3.55 Cấu trúc cây thư mục của thiết bị 80
Hình 3.56 Đặt tên cho thiết bị cần quan sát 81
Hình 3.57 Hiển thị thông tin sau khi thêm vào quan sát “Internet ADSL” 82
Hình 3.58 Chọn thiết bị để quan sát 83
Hình 3.59 Chọn thiết bị để đặt vào mục “Internet ADSL” 84
Hình 3.60 Hiển thị thiết bị sau khi thêm 85
Hình 3.61 Cấu trúc cây sau khi hoàn thành thêm vào các thiết bị 86
Hình 3.62 Hiển thị thông tin bằng đồ họa của thiết bị 87
Hình 3.63 Thêm vào những mẩu mà trên Cacti không hổ trợ 88


























- 8 -

Chương 1 : GIỚI THIỆU ĐỀ TÀI
1.1 Đặt vấn đề
Hiện nay, nhiều công ty đang có nhu cầu nâng cấp toàn bộ hệ thống hiện có và chuyền
sang dùng hệ điều hành Linux để nhằm giảm chi phí cho phần bảng quyền về hệ điều
hành và các ứng dụng đang dùng trong hệ thống.
Mục đích:
* Chia sẽ hệ thống tập tin và thư mục rõ ràng theo từng phòng ban
* Xây dựng hệ thống bảo mật nhằm hạn chế về virus và những tấn công từ bên
ngoài hoặc bên trong vào máy chủ.
* Giám sát đường truyền internet như băng thông ra vô hệ thống để biết được
nhu cầu dùng đường truyền.
Hệ thống hiện tại:
Gồm có: 1 file server, 1 tường lửa, 40 máy tính để bàn và 10 máy tính xách tay
* File Server
-Dùng hệ điều hành Windows Server 2003 Enterprise
-Dùng mô hình quản lý tập trung.
-Phân quyền và chia sẽ tập tin và thư mục.
* Tường lửa
-Dùng hệ điều hành Windows Server 2003 Enterprise
-ISA Server Standard 2006

-Quản lý băng thông ra, vô trong hệ thống.
* Máy tính để bàn và xách tay
-Tất cả dùng hệ điều hành Windows XP Professional SP2




- 9 -

Mô hình hiện tại:

Hình 1.1 Mô hình mạng hiện tại

1.2 Hướng giải quyết
Xây dựng hệ thống dựa trên nền tảng hiện có của thiết bị máy móc hiện có của
công ty
 File Server: Vẫn giữ nguyên mô hình quản lý dữ liệu tập trung và dùng
hệ điều hành của Windows Server 2003 Enterprise.
 Tường lửa
Dùng hệ điều hành Linux với phiên bản của Ubuntu 8.10
Ứng dụng: iptables, nesssus, squid proxy, sarg
Quản lý băng thông
Vẫn dùng chung máy chủ của tường lửa nhưng trên đó sẽ dùng thêm phần mềm Cacti
để quan sát băng thông trên đường truyền, cũng như hiệu năng sử dụng của máy chủ.
ISA 2006
- 10 -

1.3 Cấu trúc báo cáo
- Chương 1: Giới thiệu đề tài; Chương 2 : Cơ sở lý thuyết giới thiệu các khái niệm về
Iptables, Nessus, Sarg, Quid và Cacti ; Chương 3: Thực nghiệm triển khai mô hình sử

dụng bức tường lửa trên ubuntu. ( thêm vô một tí nữa); Chương 4: Kết quả thực
nghiệm và đánh giá kết quả thực hiện






















- 11 -

CHƯƠNG 2 : CƠ SỞ LÝ THUYẾT
2.1 IPTABLES
2.1.1 Định nghĩa: Iptables do Netfilter Organiztion viết ra để tăng tính năng
bảo mật trên hệ thống Linux.

Iptables cung cấp các tính năng sau:
 Tích hợp tốt với kernel của Linux.
 Có khả năng phân tích package hiệu quả.
 Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header
 Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống
 Cung cấp kỹ thuật NAT
 Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS
Iptables là bộ lọc packet mới và nặng, dành cho Linux 2.4.x. Tiền thân của nó là
ipchains dành cho kernel 2.2.x. Một trong những điểm cải tiến quan trọng là iptables có
thể thực hiện stateful packet filtering. Với khả năng này, nó có thể theo dấu các kết nối
TCP đã hình thành.
2.1.2: Xử lý gói trong iptables:
Tất cả mọi gói dữ liệu đều được kiểm tra bởi iptables bằng cách dung các bảng tuần
tự xây dựng sẵn (queues). Có ba loại bảng này gồm:
1. Mangle: Chịu trách nhiệm thay đổi các bits chất lượng dịch vụ trong TCP
header như TOS (type of service), TTL (time to live) và MARK.
2. Filter: Chịu trách nhiệm lọc gói dữ liệu. Nó gồm có 3 quy tắc nhỏ (chain) để
giúp bạn thiết lập các nguyên tắc lọc gói:
 Forward chain: lọc gói khi đi đến các server khác.
 Input chain: lóc gói khi đi vào trong server.
 Output chain: lọc gói khi ra khỏi server
3. NAT: gồm có 2 loại:Pre-routing chain: thay đổi địa chỉ đến của gói dữ liệu khi
cần thiết. Post-routing chain: thay đổi địa chỉ nguồn của gói dữ liệu khi cần thiết
- 12 -

Loại queues Chức năng
queues
Quy tắc xử lý gói
(chain)
Chức năng của

chain
Filter Lọc gói FORWARD Lọc gói dữ liệu đi
đến các server
khác kết nối trên
các NIC khác của
firewall
INPUT Lọc gói đi đến
firewall
OUTPUT Lọc gói đi ra khỏi
firewall
NAT Network Address
Translation (Biên
dịch địa chỉ
mạng)
PREROUTING Việc thay đổi địa
chỉ diễn ra trước
khi dẫn đường.
Thay đổi địa chỉ
đích sẽ giúp gói
dữ liệu phù hợp
với bảng chỉ
đường của
firewall. Sử dụng
destination NAT
or DNAT
POSTROUTING Việc thay đổi địa
chỉ diễn ra sau khi
dẫn đường.
Sử dụng source
- 13 -


NAT or SNAT
OUTPUT NAT sử dụng cho
các gói dữ liệu
xuất phát từ
firewall. Hiếm khi
dung trong môi
truong SOHO
(small office-
home office).
Mangle Chỉnh sửa TCP
header
PREROUTING
POSTROUTING
OUTPUT
INPUT
FORWARD
Điều chỉnh các bit
quy địch chất
lượng dịch vụ
trước khi dẫn
đường.
Hiếm khi dùng
trong môi trường
SOHO (small
office – home
office).

Bảng 2.1 Các dạng route trên iptables
2.1.3 Targets:

Targets là hành động sẽ diễn ra khi một gói dữ liệu được kiễm tra và phù hợp với
một yêu cầu nào đó. Khi một target đã được nhận dạng, gói dữ liệu cần nhảy (jump) để
thực hiện các xử lý tiếp theo. Bảng sau liệt kê các targets mà iptables sử dụng
Targets Ý nghĩa Tùy chọn
- 14 -

ACCEPT Iptables ngừng xử lý gói
dữ liệu đó và chuyển
tiếp nó vào một ứng
dụng cuối hoặc hệ điều
hành để xử lý

DROP Iptables ngừng xử lý gói
dữ liệu đó và gói dữ liệu
bị chặn và loại bỏ

LOG Thông tin của gói sẽ
được đưa vào syslog để
kiểm tra. Iptables tiếp
tục xử lý gói với quy
luật kế tiếp.
log-prefix “string”
Iptables sẽ them vào log
message một chuổi do
người dùng định sẵn.
Thông thường là để
thong báo lý do vì sao
gói bị bỏ
REJECT Tương tự như DROP
nhưng nó sẽ gởi trả lại

cho phía người gởi một
thông báo lỗi rằng gói đã
bị chặn và loại bỏ.
reject-with qualifier
Tham số qualifier sẽ cho
biết loại thông báo gởi
trả lại phía gởi. Qualifier
gồm các loại sau:
Icmp-port-unreachable
(default)
Icmp-net-unreachable
Icmp-host-unreachable
Icmp-proto-unreachable
Icmp-net-prohibited
- 15 -

Icmp-host-prohibited
Icmp-reset
Icmp-reply
DNAT Dùng để thực hiện
Destination network
address translation, địa
chỉ đích của gói dữ liệu
sẽ được viết lại
to-destination
ipaddress
Iptables sẽ viết lại địa
chỉ ipaddress vào địa chỉ
đích của gói dữ liệu.
SNAT Dùng để thực hiện

Source network address
translation, viết lại địa
chỉ nguồn của gói dữ
liệu
to-source <address> [-
<address>][:<port>-
<port>]
Miêu tả IP và port sẽ
được viết lại bởi iptables
MASQUERADE Dùng để thực hiện
source network address
transation. Mặc định thì
địa chỉ ip nguồn sẽ giống
như IP nguồn của
firewall
[ to-ports <port> [-
<port>]]
Ghi rõ tầm các port
nguồn mà port nguồn
gốc có thể ánh xạ được

Bảng 2.2 Các tùy chọn trên iptables



2.1.4 Các tham số dòng lệnh thường gặp trên iptales:

- 16 -

Tham số Ý nghĩa

-t <table> Nếu bạn không chỉ định rõ là tables nào,
thì filter tables sẽ được áp dụng. Có ba
loại table là filter, nat, mangle
-j <target> Nhảy đến một chuỗi target nào đó khi
gói dữ liệu phù hợp quy luật hiện tại.
-A Nối them một quy luật nào đó vào cuối
chuỗi (chain).
-F Xóa hết tất cả mọi quy luật trong bảng
đã chọn
-p <protocol-type> -Giao thức, thông thường là: icmp,
tcp,udp và all.
-s <ip-address> -Phù hợp IP nguồn
-d <ip-address> -Phù hợp IP đích
-i<interface-name> -Phù hợp điều kiện INPUT kh gói dữ
liệu đi vào firewall
-o <interface-name> -Phù hợp điều kiện OUTPUT khi gói dữ
liệu khi ra khỏi firewall

Bảng 2.3 Các thông sồ dòng lệnh trên iptables
Ví du:
#iptables –A INPUT –s 0/0 –i eth0 –d 192.168.1.1 –p TCP \ -j ACCEPT
Cho phép bất cứ địa chỉ IP và giao thức TCP từ card mạng eth0 đi tới địa chỉ IP:
192.168.1.1.



- 17 -

2.1.5. Những điều kiện về TCP và UDP thông dụng
Lệnh Mục đích

-p tcp –sport <port> Điều kiện TCP port nguồn (source
port).
Có thể là một giá trị hoặc một chuỗi
có dạng: start-port-number:end-
port-number
-p tcp –dport <port> Điều kiện TCP port đích (destination
port). Có thể là một giá trị hoặc một
chuỗi có dạng: starting-port:ending-
port
-p tcp –syn Dùng để nhận dạng một yêu cầu kết
nối TCP mới.
!—syn, nghĩa là không có yêu cầu kết
nối mới
-p udp –sport <port> Điều kiện UDP port nguồn (source
port). Có thể là một giá tri hoặc một
chuỗi có dạng: start-port-number:end-
port-number
-p udp –dport <port> Điều kiện TCP port đích (destination
port). Có thể là một giá trị hoặc một
chuỗi có dạng: starting-port:ending-
port

Bảng 2.4 Những điều kiện về TCP và UDP


- 18 -



Ví dụ:

#iptables –A FORWARD -s 0/0 –I eth0 –d 192.168.1.58 –o eth1 –p TCP \ sport
1024:65535 –dport 80 –j ACCEPT
Cho phép tất cả địa chỉ ip và port từ: 1024 đến 65535 từ card mạng eth0 tới địa chỉ
IP: 192.168.1.58 thông qua cổng eth1 với port: 80.
2.1.6. Điều kiện ICMP
Lệnh Miêu tả
icmp-type <type> Thường dùng nhất là echo-reply và
echo-request

Bảng 2.5 Điều kiện ICMP
Ví dụ:
#iptables –A OUTPUT -p icmp –icmp-type echo-request –j ACCEPT
#iptables –A INPUT -p icmp –icmp-type echo-reply –j ACCEPT
Cho phép gửi các gói tin gởi ICMP echo-requests (pings) và gởi trả các ICMP echo-
replies
2.1.7. Một số điều kiện mở rộng
Lệnh Ý nghĩa
-m multiport –sport <port, port> Nhiều port nguồn khác nhau của
TCP/UDP được phân cách bởi dấu phẩy
(,). Đây là liệt kê của các port chứ
không phải là một chuỗi các port.
-m multiport dport <port, port> Nhiều port đích khác nhau của
TCP/UDP được phân cách bởi dấu phẩy
- 19 -

(,). Đấy là liệt kê của các port chứ
không phải là một chuỗi các port
-m multiport ports <port, port> Nhiều port khác nhau của TCP/UDP
được phân cách bởi dấu phẩy (,). Đây là
liệt kê của các port chứ không phải là

một chuỗi các port. Không phân biệt
port đích hay port nguồn
-m state <state> Các trạng thái thông dụng nhất được
dùng là:
ESTABLISHED: Gói dữ liệu là một
phần của kết nối đã được thiết lập bởi
cả 2 hướng.
NEW: Gới dữ liệu là bắt đầu của một
kết nối mới
RELATED: Gói dữ liệu bắt đầu một
kết nối phụ. Thông thường đây là đặt
điểm của các giao thức như FTP hoặc
lỗi ICMP
INVALID: Gói dữ liệu không thể
nhận dạng được. Điều này có thể do
việc thiếu tài nguyên hệ thống hoặc lỗi
ICMP không trùng với một luồng dữ
liệu đã có sẵn.

Bảng 2.6 x Điều kiện mở rộng khi dùng TCP và UDP
Ví dụ:
- 20 -

#iptables –A FORWARD –s 0/0 –i eth0 –d 192.168.1.58 –o eth1 –p TCP \ sport
1024:65535 –m multiport –dport 80, 443 –j ACCEPT
#iptables –A FORWARD –d 0/0 –o eth0 –s 192.168.1.58 –I eth1 –p TCP\ -m state –
state ESTABLISHED –j ACCEPT
Cho phép các gói dữ liệu có dùng giao thức TCP, đến từ cổng eth0, có bất
kỳ địa chỉ IP nguồn là bất kỳ, đi đến địa chỉ 192.168.1.58 qua card mạng eth1. Số port
nguồn là từ 1024 đến 65535 và port đích là 80 và 443. Đến khi các gói dữ liệu nhận trở

lại từ 192.168.1.58, thay vì mở các port nguồn và đích, bạn chỉ việc cho phép dùng kết
nối cũ đã thiết lập bằng cách dùng tham số -m state và –state ESTABLISHED.
2.1.8: Logs trên Iptables
-j LOG
Miêu tả
log-level <syslog level> Mức độ ưu tiên khi được ghi vào trong
tập tin syslog.h:
/usr/include/sys/syslog.h. Cũng có 1 vài
logs có tương tự được dùng trong:
/etc/syslog.conf chẳng hạn như (0), alert
(1), crit (2), err(3), warn (4), notice (5),
info (6), memerg (0), alert (1), crit (2),
err (3), warn (4), notice (5), info (6),
and debut (7).
log-prefix <"descriptive string"> Miêu tả logs.
log-ip-options Chì xuất ra những địa chỉ ip khi yêu cấu
log-tcp-sequence Bao gồm những gói tin TCP được xuất
theo tuần tự.
log-tcp-option Chỉ xuất ra những dạng giao thức của IP
khi yêu cầu.

- 21 -

Bảng 2.7 Kiểm tra logs trên iptables

Ví dụ: #sudo iptables –I INPUT –p tcp –d 192.168.1.1 –dport 8000 –j logaccept
Ghi lại tất cả thông tin từ bên ngoài tới IP: 192.168.1.1 với cổng 8000
#sudo iptables –I INPUT 5 –m limit limit 5/min –j LOG –log-prefix “iptables denied:
“ –log-level 7
Cứ 5 phút sẽ ghi lại tất cả những thông tin mà bị từ chối bởi iptables

Hiển thị những câu lệnh đã cấu hình trên iptables
#sudo iptables –L


Hình 2.1 Câu lệnh được lưu trong Iptables
2.1.9. Gói phần mềm cần cài đặt :
- 22 -

1 : libipg.3.gz 
2 :iptables-dev_1.3.8.0debian1-1ubuntu2.i386


2.2 NESSUS
2.2.1 Định nghĩa Nessus
Một trong những mối quan tâm hàng đầu của các nhà quản trị hệ thống là làm sao biết
được hệ thống của mình bị hổng ở chổ nào để có thể vá lại hoặc để tấn công hay đột
nhập vào nếu người quan tâm đến chúng là các hacker.

Có rất nhiều công cụ trợ giúp trong việc xác định các lỗi bảo mất và những điểm nhạy
cảm của hệ thống như Retina của Eeye, hay GFI N.S.S của GFI… Nhưng công cụ
được các hacker và những nhà quản trị hệ thống yêu thích hơn cả vẫn là nessus, công
cụ được xếp hạng thứ nhất trong 75 công cụ bảo mật được đánh giá bởi tổ chức
Insecure
Nessus là một trình quét lỗ hổng phổ biến nhất hiện nay trên thế giới, ước lượng có
đến 75.000 tổ chức trên toàn thế giới sử dụng. Nó xuất hiện lần đầu tiên trong bảng
thống kê các công cụ bảo mật 2000, 2003 và 2006 cúa SecTools.Org.
2.2.2 Chức Năng của Nessus
- Các lỗ hổng cho phép cracker từ xa có thể kiểm soát hoặc truy cập các dữ liệu nhạy
cảm trên hệ thống.
- Lỗi cấu hình (ví dụ như mở mail relay, mất các bản vá,…)

- Các mật khẩu mặc định, một số mật khẩu chung, các một khẩu blank/absent (trắng
hay thiếu) trên một số tài khoản hệ thống. Nessus cũng có thể gọi Hydra (một công cụ
bên ngoài) để khởi chạy một tấn công dictionary.
- 23 -

- Từ chối dịch vụ đối với ngăn xếp TCP/IP bằng sử dụng các gói dữ liệu đã bị đọc sai.
2.2.3 Vì Sao Dùng Nessus
Lý do mà Nessus được yêu thích bởi vì chúng có một cơ sở dử liệu rất lớn, lổ
hỏng hệ thống được cập nhận thường xuyên. Giao diện dể sử dụng và kết quả được lưu
lại dưới nhiều dạng khác nhau như: Biểu Đồ, XML hay PDF dể dàng tham khảo.Ngoài
ra khi sử dụng Nessus chúng ta không lo lắng về bảng quyền. ít tốn tài nguyên mặc dầu
vậy để quản lí Nessus đòi hỏi phải có hiểu biết tốt về Nessus cũng như Linux.

2.2.4 Gói phần mềm cần cài
1:nessus-libraries-2.0.9.tar.gz
2:libnasl-2.0.9.tar.gz
3:nessus-core-2.0.9.tar.gz
4:nessus-plugins-2.0.9.tar.gz
2.3 : SQUID
2.3.1 Định nghĩa : Squid là một proxy server, khả năng của squid là tiết kiệm
băng thông(bandwidth), cải tiến việc bảo mật, tăng tốc độ truy cập web cho người sử
dụng và trở thành một trong những proxy phổ biến được nhiều người biết đến. Hiện
nay, trên thị trường có rất nhiều chương trình proxy-server nhưng chúng lại có hai
nhược điểm, thứ nhất là phải trả tiền để sử dụng, thứ hai là hầu hết không hỗ trợ ICP (
ICP được sử dụng để cập nhật những thay đổi về nội dung của những URL sẵn có
trong cache – là nơi lưu trữ những trang web mà bạn đã từng đi qua ). Squid là sự lựa
chọn tốt nhất cho một proxy-cache server, squid đáp ứng hai yêu cầu của chúng ta là sử
dụng miễn phí và có thể sử dụng đặc trưng ICP.

- Squid đưa ra kỹ thuật lưu trữ ở cấp độ cao của các web client, đồng thời hỗ trợ các

dịch vụ thông thường như FTP, Gopher và HTTP. Squid lưu trữ thông tin mới nhất của
các dịch vụ trên trong RAM, quản lý một cơ sở dữ liệu lớn của các thông tin trên đĩa,
- 24 -

có một kỹ thuật điều khiển truy cập phức tạp, hỗ trợ giao thức SSL cho các kết nối bảo
mật thông qua proxy. Hơn nữa, squid có thể liên kết với các cache của các proxy server
khác trong việc sắp xếp lưu trữ các trang web một cách hợp lý.
Các thư mục mặc định của squid:
/usr/sbin
/etc/squid
/var/log/squid
2.3.2 Yêu cầu phần cứng
Đầu tiên chúng ta nên có một số khái niệm về đòi hỏi phần cứng của một proxy server:
Tốc độ truy cập đĩa cứng : rất quan trọng vì squid thường xuyên phải đọc và ghi dữ
liệu trên ổ cứng. Một ổ đĩa SCSI với tốc độ truyền dữ liệu lớn là một ứng cử viên tốt
cho nhiệm vụ này
Dung lượng đĩa dành cho cache phụ thuộc vào kích cỡ của mạng mà Squid phục vụ.
Từ 1 đến 2 Gb cho một mạng trung bình khoảng 100 máy. Tuy nhiên đây chỉ là một
con số có tính chất ví dụ vì nhu cầu truy cập Internet mới là yếu tố quyết định sự cần
thiết độ lớn của đĩa cứng.
RAM : rất quan trọng, ít RAM thì Squid sẽ chậm hơn một cách rõ ràng.
CPU : không cần mạnh lắm, khoảng 133 MHz là cũng có thể chạy tốt với tải là 7
requests/second.
* Gói phần mềm
1 : Squid: />1ubuntu2.1 _powerpc.deb
2: Squid-common : />common_2.7.STABLE3-4.1_all.deb
* Tắt / khởi động Squid
Đối với Linux : - Khởi động squid: #service squid start
- Tắt squid: #service squid stop
- 25 -


-Tái khởi động squid: #service squid restart
Trên Ubuntu: - Khởi động squid: # /etc/init.d/squid start
- Tắt squid: # /etc/init.d/squid stop
-Tái khởi động squid: # /etc/init.d/squid restart
Chú ý: Squi khởi động không được nếu anh/chị không đưa tên của máy chủ trong khi
cấu hình squid: visible_hostname server: tên của máy cài squid
Đặc tính :
Thông qua Squid người quản trị dễ dàng quản lý hệ thống mạng của mình thông qua
việc tạo những cái quy luật riêng theo ý mình :
 Nhằm tối ưu đường truyền
 Hạn chế người dùng truy cập đến những trang web hoặc những thông
tin không cần thiết trên mạng.
 Thông qua chức năng cache, nó giúp cho người dùng truy cập web
nhanh hơn.
2.4 SARG
2.4.1 Định nghĩa
Thu thập thông tin từ Squid proxy và xuất ra báo cáo về việc truy cập mạng của các
máy tính con trong mạng.

2.4.2 Một vài lựa chọn thường gặp trên Sarg
Tùy
chọn
Mục đích
-a Tên máy và IP
-d Xuất dữ liệu từ ngày nào đến ngày nào
-e Email để gửi báo cáo
-f Tập tin cấu hình (/etc/sarg/sarg.conf)

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×