Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh

doc 118 trang phuongnguyen 5580
Bạn đang xem 20 trang mẫu của tài liệu "Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • doctai_lieu_huong_dan_su_dung_phan_mem_quan_tri_an_ninh.doc

Nội dung text: Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh

  1. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Mục lục Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh___1 Bảng các từ viết tắt ___5 1.1 Giám sát___6 1.1.1 Báo cáo___6 1.1.1.1 Danh sách yêu cầu ___6 1.1.1.1.1 Thêm yêu cầu___7 1.1.1.1.2 Thêm yêu cầu định kỳ ___7 1.1.1.1.3 Xoá yêu cầu ___7 1.1.1.2 Danh sách báo cáo ___9 1.1.1.2.1 Xem báo cáo ___9 1.1.1.2.2 Xoá báo cáo ___10 1.1.2 Giám sát ___11 1.1.2.1 Sự kiện an ninh ___11 1.1.2.1.1 Sự kiện IDS ___11 1.1.2.1.1.1 Loại sự kiện IDS___12 1.1.2.1.1.2 Xem sự kiện IDS ___13 1.1.2.1.1.3 Tìm kiếm sự kiện IDS ___14 1.1.2.1.2 Sự kiện Firewall___14 1.1.2.1.2.1 Loại sự kiện Firewall ___15 1.1.2.1.2.2 Xem sự kiên Firewall ___15 1.1.2.1.2.3 Tìm kiếm sự kiện Firewall ___16 1.1.2.1.3 Sự kiện hệ thống ___16 1.1.2.1.3.1 Giám sát agent ___16 1.1.2.1.3.2 Phần tử an ninh___17 1.1.2.1.3.3 Tìm kiếm các sự kiện hệ thống ___18 1.2 Bảo vệ ___19 1.2.1 Quản lý sensor ___19 1.2.1.1 Cấu hình sensor ___20 1.2.1.1.1 Bảng cấu hình sensor ___20 1.2.1.1.2 Các thông số cấu hình sensor___21 1.2.1.2 Thêm sensor___22 1.2.2 Quản lý chính sách___22 1.2.2.1 Bảng chính sách của sensor ___22 Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 1/118
  2. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.2.2.2 Các mẫu chính sách ___23 1.2.2.2.1 Kho chính sách mẫu___24 1.2.2.2.2 Sửa chính sách ___25 1.2.2.2.3 Tạo chính sách mới ___26 1.2.2.3 Các mẫu tập luật ___26 1.2.2.3.1 Kho tập luật mẫu ___26 1.2.2.3.2 Tạo tập luật mới ___27 1.3 Cấu hình___29 1.3.1 Quản trị người dùng ___29 1.3.1.1 Sửa thông tin về người dùng ___30 1.3.1.2 Xóa người dùng ___31 1.3.1.3 Tạo mới một người dùng ___32 1.3.2 Dọn dẹp sự kiện ___34 1.3.2.1 Xóa sự kiện ___34 1.3.2.2 Xóa sự kiện hệ thống ___35 2 Phần mềm FWBuilder___36 2.1 Chỉ dẫn___36 2.1.1 Chỉ dẫn Firewall Builder ___36 2.1.2 Tổng quan về các đặc điểm của Firewall Builder.___36 2.2 Các gói cài đặt ___37 2.3 Giao diện đồ họa của Firewall Builder - GUI ___39 2.3.1 Cửa sổ chính___39 2.3.2 Các tuỳ chọn GUI___40 2.3.2.1 Phần chung/Các đường dẫn (General/Paths) ___40 2.3.2.2 Phần mạng (Network) ___40 2.3.2.3 Giao diện người dùng (GUI) ___41 2.3.2.4 GUI/Opject Tooltips ___41 2.3.2.5 GUI/Behavior ___41 2.3.2.6 GUI/Tree View ___42 2.4 Cây đối tượng. ___43 2.4.1 Cấu trúc cây chuẩn. ___43 2.4.2 Tạo các đối tượng. ___45 2.4.3 Chỉ dẫn và sắp xếp đối tượng. ___46 2.5 Làm việc với các đối tượng. ___49 2.5.1 Các thuộc tính chung.___49 2.5.2 Đối tượng Host. ___49 2.5.2.1 Tạo các đối tượng Host.___51 2.5.2.2 Sắp xếp một đối tượng mới ___53 Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 2/118
  3. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.3 Interface của Host. ___55 2.5.3.1 Các loại Interface. ___56 2.5.4 Đối tượng Address. ___57 2.5.5 Đối tượng Physical Address. ___59 2.5.5.1 Sử dụng đối tượng Physical Address Object trong các chính sách. ___60 2.5.6 Đối tượng Network. ___63 2.5.7 Đối tượng Address Range.___64 2.5.8 Nhóm (Group) của các đối tượng. ___65 2.5.9 Đối tượng Firewall. ___66 2.5.9.1 Sắp xếp cây đối tượng ___68 2.6 Khám phá mạng: Cách để tạo một đối tượng nhanh ___73 2.6.1 Đọc file /etc/hosts___74 2.6.2 Nhập DNS zone ___76 2.6.3 Khám phá mạng ___80 2.7 Làm việc với các dịch vụ___83 2.7.1 Dịch vụ IP ___83 2.7.2 Dịch vụ ICMP ___86 2.7.3 Dịch vụ TCP___88 2.7.4 Dịch vụ UDP ___92 2.7.5 Dịch vụ Tùy biến ___93 2.8 Chính sách Firewall___95 2.8.1 Chính sách và luật ___95 2.8.1.1 Hành động ___97 2.8.1.2 Định hướng ___98 2.8.1.3 Chính sách toàn cục (Global Firewall Policy)___99 2.8.1.4 Chính sách cho các giao diện (Interface Policy) ___100 2.8.2 Network Address Translation Rules ___100 2.8.2.1 Luật NAT cơ bản ___100 2.8.2.2 Chuyển đổi địa chỉ nguồn ___101 2.8.3 Sửa chính sách firewall và luật NAT ___105 2.8.3.1 Thêm và gỡ bỏ luật firewall___105 2.8.3.2 Thêm, bớt và sửa các đối tượng trong chính sách và luật NAT ___105 2.8.3.3 Thay đổi hành động của luật ___106 2.8.3.4 Thay đổi hướng của luật ___106 2.8.3.5 Thay đổi tùy chọn và ghi nhật ký ___107 2.8.4 Hỗ trợ cho các thành phần luật và đặc tính của các loại Firewall ___107 2.8.5 Sử dụng đối tượng với đa địa chỉ trong chính sách và luật NAT___108 2.9 Các ví dụ về luật chính sách ___109 Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 3/118
  4. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.9.1 Mở một dịch vụ trong khi khóa hết mọi thứ còn lại. ___109 2.9.2 Những đối tượng có thể đổi lẫn nhau và những đối tượng không thể đổi lẫn. ___109 2.9.3 Sử dụng các nhóm.___109 2.9.4 Những dịch vụ chạy trong firewall. ___110 2.9.5 Khóa các kiểu gói không mong muốn.___110 2.9.6 Luật antispoofing. ___112 2.9.7 Bảo vệ local host ___112 2.9.8 Sử dụng hành động ‘Reject’ để khóa một giao thức nào đó. ___112 2.9.9 Sử dụng phủ định trong các luật chính sách ___113 2.10 Các ví dụ về luật NAT___114 2.10.1 Cung cấp kết nối Internet cho các máy trạm ẩn đằng sau firewall ___114 2.10.2 Server ẩn sau firewall sử dụng địa chỉ private. ___115 2.10.3 Server ẩn sau firewall sử dụng địa chỉ ảo để truy cập___116 2.10.4 Server ẩn sau firewall với port mapping ___116 2.10.5 DNAT trên cùng mạng ___116 2.10.6 Các luật không NAT ___117 2.10.7 Lái traffic___118 Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 4/118
  5. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Bảng các từ viết tắt TT Tên tắt Tên đầy đủ Giải nghĩa 1. NAT Network Address Dịch địa chỉ Translation 2. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 5/118
  6. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1 Phần mềm quản trị an ninh tích hợp ATK 1.1 Giám sát 1.1.1 Báo cáo Bảng thông tin báo cáo bao gồm chia làm hai mục là: Danh sách yêu cầu và Danh sách báo cáo. 1.1.1.1 Danh sách yêu cầu Các báo cáo theo yêu cầu cho phép tạo các báo cáo tại một thời điểm hoặc tạo các báo cáo theo định kỳ. Phần này sẽ liệt kê danh sách các yêu cầu theo số thứ tự các yêu cầu, tên yêu cầu, loại báo cáo, số hiệu báo cáo, địa chỉ e-mail. Số hiệu các yêu cầu Các yêu cầu Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 6/118
  7. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.1.1.1 Thêm yêu cầu Khi cần thêm một yêu cầu, bấm vào nút “Thêm yêu cầu” và điền các thông số liên quan như tên yêu cầu, loại báo cáo, số hiệu báo cáo, địa chỉ e-mail 1.1.1.1.2 Thêm yêu cầu định kỳ Khi có nhu cầu thêm yêu cầu định kỳ, bấm vào nút “Thêm yêu cầu định kỳ” và điền các thông số vào các ô yêu cầu, lựa chọn thời gian định kỳ, các thông số này tương tự bước thêm yêu cầu. 1.1.1.1.3 Xoá yêu cầu Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 7/118
  8. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Lựa chọn các yêu cầu cần xoá và bấm nút “Xoá”, bạn sẽ xoá các yêu cầu vừa lựa chọn. Lựa chọn yêu muốn Phần lựaxoá chọn các yêu cầu Nút xoá yêu cầu Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 8/118
  9. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.1.2 Danh sách báo cáo Danh sách các báo cáo nhận được. Phần này liệt kê danh sách các báo cáo theo số thứ tự các báo cáo, tên báo cáo, ngày tạo báo cáo, địa chỉ e-mail. Các báo cáo Bảng danh sách các báo cáo 1.1.1.2.1 Xem báo cáo Khi cần xem một báo cáo trong danh sách các báo cáo, bấm vào một đề mục để xem chi tiết báo cáo đó. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 9/118
  10. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.1.2.2 Xoá báo cáo Lựa chọn các báo cáo bạn muốn xoá trong danh sách các báo cáo, bấm nút “Xoá” đề thực hiện xoá các báo cáo vừa lựa chọn. Phần lựa chọn các báo cáo Nút xoá báo cáo Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 10/118
  11. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.2 Giám sát Phần giám sát có hai phần thông tin là: Sự kiện an ninh và Sự kiện hệ thống. 1.1.2.1 Sự kiện an ninh Giám sát các sự kiện an ninh Sự kiện an ninh là phần giám sát an ninh bao gồm hai phần chính là: Sự kiện IDS và Sự kiện Firewall. Sự kiện IDS và Firewall phát hiện, ghi lại và phân loại các xâm nhập, tấn công theo dạng sự kiện. Điều này giúp người quản trị dễ dàng theo dõi và tìm kiếm các sự kiện. Các thông tin hiển thị ra bao gồm: số lần, loại sự kiện, sensor, thời điểm đầu và thời điểm cuối. 1.1.2.1.1 Sự kiện IDS Trong menu sự kiện IDS có 3 menu con là loại sự kiện, xem sự kiện và tìm kiếm. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 11/118
  12. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Trong sự kiện IDS có thể xem những loại sự kiện nào đã xảy ra, xem theo dạng liệt kê danh sách các sự kiện đã xảy ra, hoặc tìm kiếm các sự kiện theo các điều kiện. 1.1.2.1.1.1 Loại sự kiện IDS Mục này là một bảng tổng hợp các loại sự kiện đã xảy ra bao gồm số lần xảy ra, sensor, thời gian bắt đầu và kết thúc các sự kiện IDS. Lựa chọn Lựa chọn đơn vị khoảng thời thời gian gian để xem các sự kiện Màn hình hiển thị kết quả như sau: Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 12/118
  13. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Trong cột Loại sự kiện được hiển thị ra có thể kích vào một loại sự kiện muốn xem để xem chi tiết thời gian đầu, cuối, nguồn, đích, Sensor những lần xảy ra sự kiện đó. Giả sử muốn xem sự kiện SCAN UPnP kích vào loại sự kiến đó. Thông tin chi tiết về những lần xảy ra sự kiện đó như sau: 1.1.2.1.1.2 Xem sự kiện IDS Bảng này đã liệt kê danh sách các loại sự kiện đã xảy ra. Thông tin bao gồm các các trường sự kiện, địa chỉ nguồn, địa chỉ đích, sensor bắt sự kiện, thời gian. Lựa chọn Lựa chọn số các sự khoảng thời kiện được hiển thị gian để xem trong một trang các sự kiện Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 13/118
  14. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.2.1.1.3 Tìm kiếm sự kiện IDS Mục này cho phép tìm kiếm các sự kiên IDS theo các yêu cầu đặt ra. 1.1.2.1.2 Sự kiện Firewall Trong menu sự kiện Firewall có 3 menu con là loại sự kiện, xem sự kiện và tìm kiếm. Trong sự kiện Firewall có thể xem những loại sự kiện nào đã xảy ra, xem theo dạng liệt kê danh sách các sự kiện đã xảy ra, hoặc tìm kiếm các sự kiện theo các điều kiện. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 14/118
  15. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.2.1.2.1 Loại sự kiện Firewall Mục này là một bảng tổng hợp các loại sự kiện đã xảy ra bao gồm số lần xảy ra, sensor, thời gian bắt đầu và kết thúc các sự kiện Firewall. 1.1.2.1.2.2 Xem sự kiên Firewall Bảng này đã liệt kê danh sách các loại sự kiện đã xảy ra. Thông tin bao gồm các các trường sự kiện, địa chỉ nguồn, địa chỉ đích, sensor bắt sự kiện, thời gian. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 15/118
  16. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.2.1.2.3 Tìm kiếm sự kiện Firewall Mục này cho phép tìm kiếm các sự kiện Firewall theo các yêu cầu đặt ra. 1.1.2.1.3 Sự kiện hệ thống 1.1.2.1.3.1 Giám sát agent Thông tin giám sát các agent bao gồm các sự kiện, máy nguồn, máy đích, trạng thái vận hành và kết quả, thời gian. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 16/118
  17. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.2.1.3.2 Phần tử an ninh Bảng thông tin giám sát các phần tử an ninh bao gồm các trường tên đối tượng, địa chỉ, tác động, kết quả, trạng thái, thời gian. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 17/118
  18. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.1.2.1.3.3 Tìm kiếm các sự kiện hệ thống Mục này cho phép tìm kiếm các sự kiện hệ thống theo các yêu cầu đặt ra. Thông tin tìm kiếm có thể là khoảng thời gian, máy nguồn, máy đích, số sự kiện trong một trang. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 18/118
  19. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.2 Bảo vệ Nội dung chính của phần bảo vệ là phát hiện đột nhập. Phát hiện đột nhập bao gồm: Quản lý sensor và Quản lý chính sách. Và Quản lý chính sách bao gồm quản lý các chính sách và các mẫu tập luật. 1.2.1 Quản lý sensor Các sensor và các tiến trình mà nó Các hành động đang chạy thực hiện với sensor - Bảng trạng thái các sensor thể hiện: tên, địa chỉ và trạng thái các sensor hiện có - Thông qua bảng này, người quản trị có thể bật, tắt, khởi động lại, xóa các sensor đang có Nơi chọn sensor Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 19/118
  20. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.2.1.1 Cấu hình sensor Khi muốn cấu hình một sensor nào đó, chỉ cần trỏ vào sensor đó để cấu hình. Ngoài ra có thể thực hiện các hành động: bật, dừng chạy lại, xóa sensor bằng cách bấm vào các nút tương ứng 1.2.1.1.1 Bảng cấu hình sensor Các hành động Chi tiết về cấu hình của sensor Chi tiết về cấu hình của sensor Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 20/118
  21. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT - Bảng cấu hình các sensor gồm có 3 phần chi tiết: các biến môi trường, bộ tiền xử lý, các cấu hình khác của sensor - Người quản trị có thể cấu hình các sensor theo các biến: tên sensor, chính sách hiện tại, địa chỉ IP và giao diện của sensor 1.2.1.1.2 Các thông số cấu hình sensor Các chính sách của sensor Địa chỉ IP của sensor Vị trí theo dõi Loại sensor Chi tiết về cấu hình của sensor Để cấu hình sensor, dựa vào các thông số có sẵn của sensor đó, người quản trị sẽ xác định giá trị các biến của sensor. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 21/118
  22. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.2.1.2 Thêm sensor Đây là mục để đưa thêm sensor vào hệ thống. Để đưa thêm sensor cần kích vào mục thêm sensor. Khai báo tên sensor, địa chỉ IP, giao diện, chính sách ban đầu, mô tả. 1.2.2 Quản lý chính sách 1.2.2.1 Bảng chính sách của sensor - Để thực hiện đặt chính sách cho một sensor, cần có các bước sau cần làm + Chọn loại sensor + Chọn bảng chính sách ban đầu + Chọn các tập luật đã có - Các hành động kèm theo: + Thêm/bớt một chính sách + Thêm/bớt một tập luật Các hành động này dùng để thêm bớt chỉnh sửa các tập luật chính sách đã có sẵn. Dựa vào các thành phần: tập luật và chính sách có sẵn người quản trị sẽ thêm bớt thay đổi theo nhu cầu sử dụng. Các hành Các chính động sách có sẵn Kho chính sách mẫu Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 22/118
  23. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Đây là bảng chính sách mẫu dùng để tạo và áp dụng các chính sách cho các sensor. Trong bảng sẽ có các chính sách mẫu, có thể thực hiện việc tạo mới sửa xóa các chính sách đã có Các hành Các tập luật động có sẵn Kho tập luật mẫu - Kho các tập luật mẫu: gồm các tập luật có sẵn, người quản trị có thể tạo mới, sửa xóa các tập luật sẵn có 1.2.2.2 Các mẫu chính sách Các hành động Chi tiết về các chính sách Các hành động Bảng chính sách của sensor - Để thực hiện đặt chính sách cho một sensor, cần có các bước sau cần làm + Chọn loại sensor Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 23/118
  24. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT + Chọn bảng chính sách ban đầu + Chọn các tập luật đã có - Các hành động kèm theo: + Thêm/bớt một chính sách + Thêm/bớt một tập luật Các hành động này dùng để thêm bớt chỉnh sửa các tập luật chính sách đã có sẵn. Dựa vào các thành phần: tập luật và chính sách có sẵn người quản trị sẽ thêm bớt thay đổi theo nhu cầu sử dụng. 1.2.2.2.1 Kho chính sách mẫu Các hành Các chính động sách có sẵn Đây là bảng chính sách mẫu dùng để tạo và áp dụng các chính sách cho các sensor. Trong bảng sẽ có các chính sách mẫu, có thể thực hiện việc tạo mới sửa xóa các chính sách đã có Chọn các chính sách đã có ở bên trái và bấm vào nút sửa. Bảng dưới đây sẽ hiện ra Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 24/118
  25. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.2.2.2.2 Sửa chính sách Tập luật Khi sửa chính sách, cần chọn các tập luật có sẵn. Tập luật Tập luật để thêm đích Các hành động Khi chọn phần thêm bớt tập luật, bảng trên sẽ hiện ra. Việc thêm bớt tập luật được thực hiện trực tiếp. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 25/118
  26. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.2.2.2.3 Tạo chính sách mới Tên Nội dung Khi tạo chính sách mới: - Điền tên chính sách - Chọn tập luật - Điền luật 1.2.2.3 Các mẫu tập luật 1.2.2.3.1 Kho tập luật mẫu Các hành Các tập luật động có sẵn - Kho các tập luật mẫu: gồm các tập luật có sẵn, người quản trị có thể tạo mới, sửa xóa các tập luật sẵn có Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 26/118
  27. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.2.2.3.2 Tạo tập luật mới Tạo thêm Tên luật các luật (phải có) Nội dung mặc định ban đầu Các hành động khác Khi tạo một tập luật mới, bắt buộc phải điền tên tập luật. Điền vào khung nội dung mặc định các luật ban đầu của tập luật (nếu đã biết trước) Bấm vào tạo luật để thêm. Các hành động Thực hiện điền các tham số vào bảng trên để tạo luật cho tập luật. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 27/118
  28. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Các hành động Chi tiết về các chính sách Các hành động Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 28/118
  29. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.3 Cấu hình 1.3.1 Quản trị người dùng Cho phép người quản trị sửa và xóa thành viên Quản trị người dùng cho phép người quản trị kiểm tra các account đang tồn tại trong hệ thống. Các thông tin được hiển thị bao gồm “User ID” là tên truy nhập của thành viên, “Tên” và “Email” là các thông tin thêm về thành viên. Trong phần “Vai trò” là cấp phân quyền mà thành viên có trong hệ thống. Đối với mỗi thành viên người quản trị có quyền sửa và xóa thành viên Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 29/118
  30. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.3.1.1 Sửa thông tin về người dùng Kiểm tra xác thực trước khi thay đổi Trong phần sửa thông tin của người dùng chúng ta có thể thay đổi các thông tin đã khai báo khi khởi tạo. Để đảm bảo tính an toàn của hệ thống thì khi chỉnh sửa hệ thống sẽ yêu cầu người chỉnh sửa phải nhập mật khẩu của mình vào. Nếu người chỉnh sửa chỉ có quyền thành viên thì họ chỉ có thể chỉnh sửa thông tin của bản thân mình. Nếu người chỉnh sửa có quyền quản trị họ có thể chỉnh sửa thông tin của tất cả các thành viên khác trong hệ thống. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 30/118
  31. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.3.1.2 Xóa người dùng Ấn vào phím xóa để xóa thành viên khỏi danh sách người sử dụng. Trước khi xóa hệ thống sẽ hiển thị thông tin của người sử dụng. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 31/118
  32. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.3.1.3 Tạo mới một người dùng Ấn vào đây đẻ thêm người dùng Khai báo thông tin về người sử dụng Để tạo mới một thành viên người quản trị chọn “Thêm người dùng”. Trong phần thêm người dùng người quản trị phải khai báo các thông tin sau User ID: là tên mà người sử dụng dùng để đăng nhập vào hệ thống Tên: là tên của người sử dụng Email: địa chỉ thư của người sử dụng Mật khẩu: mật khẩu cung cấp cho người sử dụng. Vai trò: cấp phân quyền mà người sử dụng có trong hệ thống Sau khi điền đầy đủ thông tin người quản trị ấn vào phím “Chấp nhận” để hoàn tất việc khởi tạo một thành viên mới. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 32/118
  33. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 33/118
  34. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.3.2 Dọn dẹp sự kiện 1.3.2.1 Xóa sự kiện Để xóa sự kiện trong hệ thống ta chọn phần xóa sự kiện. Tại đây người quản trị có thể sử dụng các bộ lọc để xóa sự kiện ví dụ như lọc theo ngày tháng, lọc trong một khoảng thời gian, lọc theo sự kiện, giao thức, địa chỉ, tên sensor Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 34/118
  35. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 1.3.2.2 Xóa sự kiện hệ thống Xóa sự kiện hệ thống cho phép người quản trị xóa các sự kiện liên quan đến hoạt động của hệ thống như việc khởi tạo và chạy các dịch vụ, các sensor, các cổng Ở đây phân lớp ra làm 3 hệ thống sự kiện bao gồm: - Các yêu cầu - Họat động của agent - Họat động của các phần tử an ninh. Đối với mỗi hệ thống ta có thể sử dụng các bộ lọc theo ngày tháng và sự kiện để xóa. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 35/118
  36. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2 Phần mềm FWBuilder 2.1 Chỉ dẫn 2.1.1 Chỉ dẫn Firewall Builder Một trong những việc quan trọng nhất khi cài đặt và cấu hình một firewall là phải xây dựng được chính sách rõ ràng và chuẩn xác cho firewall đó. Firewall Builder là một công cụ có thể giúp bạn quản lý chính sách an ninh của firewall chính xác và hiệu quả mà không cần phải học về giao diện dòng lệnh để điều khiển mà một vài Firewall thương mại vẫn phải làm. Bạn không phải nghĩ về những số cổng khó hiểu, giao diện firewall và các lựa chọn các luật thuộc về interface nào. Thay vì đó bạn tạo ra một tập hợp các đối tượng mô tả firewall của bạn, máy chủ, phân mạng con, và bạnchỉ cần kéo và thả các đối tượng là thành các luật. Bạn có thể sử dụng một sô lượng lớn các đối tượng chuẩn được định nghĩa sẵn, mô tả nhiều giao thức và dịch vụ chuẩn. Ngay sau khi chính sách được tạo trên giao diện đồ hoạ quản lý (GUI), bạn có thể biên dịch nó và cài nó lên firewall cửa bạn. 2.1.2 Tổng quan về các đặc điểm của Firewall Builder. Hơn một trăm đối tượng được định nghĩa trước cho các giao thức và dịch vụ phổ dụng Khả năng tự tạo các đối tượng theo giao thức IP, ICMP, TCP, UDP hoặc các dịch vụ ứng dụng khác. Khả năng tự tạo các đối tượng theo các hosts, networks và dải địa chỉ IP. Có đầy đủ tính năng và công cụ giúp bạn thực hiện các chính sách firewall và thi hành các chính sách chuẩn cho các mạng chuẩn mà sau đó vẫn có thể mở rộng cũng như chỉnh sửa lại băng tay. Công cụ khám phá mạng tự động tạo nhiều đối tượng. Từ định hướng đối tượng đến quản lý chính sach: bất cứ thay đổi tạo một đối tượng ngay lập tức nhận được phản hồi trong tất cả các luật chính sách của các firewall sử dụng đối tượng đó. Khả năng chuyển chính sách thành một file cấu hình hoặc một script rồi cài nó lên một firewall chỉ với vài cái kích chuột. Giao diện đồ hoạ thuận tiện hỗ trợ vận hành cắt dán cho các chuỗi text và các đối tượng mạng và cho phép soạn thảo chính sách bằng cách kéo và thả. Hỗ trợ một vài nền tảng firewall bao gồm Cisco PIX và Open Source như firewall iptables, ipfilter và pf. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 36/118
  37. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Khả năng in ra một đối tượng riêng lẻ, một chính sách firewall hoặc xuất nó ra một file text hay file html. Hình 1-1. Ví dụ về chính sách của firewall 2.2 Các gói cài đặt Firewall Builder là một dự án mã nguồn mở. Mã nguồn cho thư viện API, GUI và các chính sách chính sách cho iptables, ipfilter và pf (packet filter) có thể download được từ trang web Firewall Builder cho PIX là sản phẩm thương mại có licensed được cung cấp dưới dạng một gói nhị phân. Có thể xem hướng dẫn cài đặt Firewall Builder trực tuyến tại trang web: cũng như các tài liệu hướng dẫn xây dựng Firewall Builder từ mã nguồn. Firewall Builder có thể được dịch và làm việc với những hệ điều hành sau: Debian Linux Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 37/118
  38. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Mandrake Linux RedHat Linux SuSE Linux FreeBSD Mac OS X Solaris Tài liệu tại luôn được cập nhật thông tin về những phiên bản mới và những hệ điều hành đi kèm. Firewall Builder có một vài gói cài như sau: Thư viện API của Firewall Builder: gói libfwbuilder Giao diện đồ họa của Firewall Builder: gói fwbuilder Các phần của giao diện đồ họa và các trình biện dịch chính sách cho iptables: fwbuilder-ipt Các phần của giao diện đồ họa và các trình biện dịch chính sách cho ipfilter: fwbuilder-ipf Các phần của giao diện đồ họa và các trình biện dịch chính sách cho pf: fwbuilder-pf Các phần của giao diện đồ họa và các trình biện dịch chính sách cho Cisco PIX: fwbuilder-pix Bạn cần cài các file thư viện API libfwbuilder, giao diện đồ họa fwbuilder và ít nhất một modul hỗ trợ firewall của bạn. Những vấn đề thường gặp về cài đặt được tại địa chỉ Firewall Builder Frequently Asked Questions (FAQ) có thể tìm thấy ở địa chỉ sau: Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 38/118
  39. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.3 Giao diện đồ họa của Firewall Builder - GUI 2.3.1 Cửa sổ chính Cửa sổ chính được phân chia thành hai phần: cây các đối tượng và vùng hội thoại. Đối tượng mà hiện thời đang highlight trong hội thoại nằm trong nửa bên phải của cửa sổ chính. Bạn có thể tạo nhiều hơn một cửa sổ chính sử dụng Fire/New Window. Tất cả các cửa sổ đồng bộ và làm việc với cây đối tượng như nhau.Những thay đổi làm đối tượng trong một cửa sổ ảnh hưởng đến tất cả các của sổ mà có thể nhìn thẩy trong cây đối tượng và hội thoại. Nên sử dụng chế độ nhiều cửa sổ nếu bạn làm việc với một firewall có chính sách lớn. Trong trường hợp mở chính sách có thể mất chút thời gian và chuyển đổi xem các chính sách và các đối tượng cá nhân. Mở các chính sách trong một cửa sổ và làm việc với các đối tượng cá nhân để tránh vấn đề này. Kéo thả và copy, dán thông qua lại giữa các cửa sổ Hình 3-1. Cửa sổ chính Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 39/118
  40. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.3.2 Các tuỳ chọn GUI Giao diện bề ngoài của GUI có thể thay đổi bởi người dùng. Những đặc điểm này trong hội thoại gọi là các thuộc tính có thể truy cập trong menu chính Edit/Options. Hội thoại các đặc điểm của GUI biểu diễn trong hình 3-2. Hình 3-2. Hội thoại các tùy chọn GUI 2.3.2.1 Phần chung/Các đường dẫn (General/Paths) + Thư mục làm việc (Working directory) Những tuỳ chọn này chỉ cho chương trình nơi mà dữ liệu sẽ được lưu. Các bộ biên dịch chính sách cũng lưu các tệp cấu hình firewall hoặc các script chúng tạo ra trong cùng một thư mục. Nếu những thông số này để trống, thì trình biên dịch sẽ lưu cấu hình firewall mà nó tạo ra trong cùng thư mục với tệp dữ liệu nó tải về. 2.3.2.2 Phần mạng (Network) + SNMP Timeout and Retries Tại đây bạn có thể cấu hình giá trị timeout và nhận bộ đếm cho các yêu cầu SNMP queries. Những giá trị này được sử dụng khi chương trình chạy SNMP query để thu thập thông tin hệ thống và các giao tiếp của nó. Chú ý rằng Network discovery Druid có những thiết lập giá trị riêng của nó cho SNMP timeout và retry counter Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 40/118
  41. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT + DNS Timeout và Retries Tại đây bạn có thể cấu hình giá trih timeout và retry counters cho DNS queries. Những giá trị này được sử dụng khi chương trình sử dụng DNS để xác định địa chỉ của các host. 2.3.2.3 Giao diện người dùng (GUI) + Nhớ kích cỡ cửa sổ ở lối ra. Nếu tuùy chọn này được chọn, giao diện người dùng đồ họa nhớ kích cỡ cửa sổ chính khi chương trình kết thúc lần gần nhất. Thông tin này được lưu trọng tệp tham khảo cả người dùng, vì vậy khi chương trình khởi động ở lần kế, nó sẽ mở cửa sổ giống hệ cửa sổ lần trước. + Ẩn thanh bar của trình duyệt trong hội thoại của đối tượng Giao diện người dùng đồ hoạ GUIcó thể hiển thị thanh bar trên hội thoại của đối tượng. Thanh bar của trình duyệt hiển thị vị trí hiện thời trong cây và các nút quen thuộc "up" "down" và "left" trong cây đối tượng. Nếu tuỳ chọn được chọn, thanh bar này sẽ biến mất. 2.3.2.4 GUI/Opject Tooltips Firewall Builder có thể chỉ ra các thuộc tính của đối tượng trong một cửa sổ pop-up nhanh chóng (đặc điểm này thường được gọi là "tooltip"). Khi người dùng đặt con trỏ chuột trên một đối tượng trong group hoặc chính sách firewall, nơi mà đối tượng được biểu diễn lại bởi các icon cửa nó. Đây là một cách thuận tiện để nhanh chóng kiểm tra các thuộc tính của đối tượng không cần dời khỏi các hội thoại hiện thời hoặc mở một hội thoại mới. Có ba lựa chọn cho đặc điểm của tooltip. + Tắt (Off) + Hiển thị các thuộc tính trong một cửa sổ pop-up. + Hiển thị các thuộc tính trong của sổ chính. 2.3.2.5 GUI/Behavior + Tự động lưu dữ liệu trong hội thoại trong khi chuyển đổi giữa các đối tượng. GUI hiển thịmột hoọi thoại cho các đối tượng trong một nơi giống nhau (nửa bên phải của cửa sổ chính). Bình thường nếu người dùng vừa thay đổi dữ liệu của đối tượng và muốn chuyển đổi đến đối tượng khác không cần kích nút Apply hay Undo, GUI hiển thị hội thoại pop- up hỏi liệu bạn có muốn lưu lại những thay đổi hay không. Nếu tuỳ chọn được bật, Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 41/118
  42. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT chương trình tự động lưu lại những thay đổi khi người dùng chuyển sang đối tượng khác mà không cần hỏi lại. 2.3.2.6 GUI/Tree View Như đã đề cập từ trước, các đối tượng có thể được tổ chức trong các thư viện khác nhau. Thường có ít nhất hai thư viện: "Của người dùng " và "Chuẩn có sẵn". GUi có thể biểu diễn các đối tượng hoặc trong một cây lớn hoặc trong các cây riêng rẽ của mỗi một thư viện. + Hiển thị các thư viện đối tượng trong các cây riêng rẽ. Nếu được chọn thì GUI sẽ hiển thị các đôi tượng thuộc về các thư viện khác nhau trong các cây riêng rẽ. + Kết hợp các thư viện trong một cây duy nhất. Nếu được chọn thì GUI kết hợp các đối tượng trong một cây lớn. + Hiển thị các thuộc tính của đối tượng trong một cây. Nếu được chọn thì GUI sẽ hiển thị vắn tắt thuộc tính của các đối tưọng hoặc phần lớn các thuộc tính thường sử dụng trong một cột của cây. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 42/118
  43. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.4 Cây đối tượng. 2.4.1 Cấu trúc cây chuẩn. Hình 4.1, Cấu trúc cây chuẩn. Cây đối tượng cung cấp vị trí chuẩn cho tất cả các kiểu đối tượng xuất hiện trong hệ thống phân cấp. Các kiểu này tương tự như các đối tượng mạng (các máy, dải địa chỉ, mạng và nhóm của chúng.) được đặt trong nhánh “Objects”, tương tự, tất cả các dịch vụ được đặt trong nhánh “Services”, các khoảng thời gian được đặt trong nhánh “Time” và tất cả firewall được đặt trong nhánh “Firewall”. Các đối tượng được tạo gần nhất sẽ được đặt vào các vị trí tương ứng trong cây. Mỗi nhánh trong cây được lưu lại một cách tự động trong tên của đối tượng. Chú ý: Các phiên bản tới sẽ hỗ trợ việc tạo các nhánh theo yêu cầu trong cây, đặt chúng vào các đối tượng và các nhóm của đối tượng trong bất kỳ nhánh nào. Chương trình có thể giữ tất cả các đối tượng trong một cây đơn hoặc chia nhỏ vào các “libraries”. Trường hợp sau được minh hoạ trong hình 4.2, trong đó mỗi thư viện thể hiện một cây riêng, mỗi một cây luôn được gọi là “User” và chứa các đối tượng user-defined. Các cây khác được gọi là “Standard”, nó chứa một danh mục các đối tượng chuẩn với các chương trình. Một số các đối tượng chuẩn được hiển thị rõ trong một cửa số ngắn (hình 4.2). Các đối tượng chuẩn biểu diễn các giao thức và dịch vụ đã sử dụng trên 100 lần. Trong tương lai có thể có nhiều thư viện hơn. Việc chia nhỏ các đối tượng của cây vào các “liblaries” là một cách thích hợp để sắp xếp các đối tượng trong cây, bạn có thể nghĩ đây là một kiểu “view”. Nó chỉ biểu diễn tượng trưng cho dữ liệu trong GUI, các đối tượng có vai trò ngang nhau trong tất cả các phần và bạn có thể sử dụng một đối tượng từ các đường dẫn khác của cây trong chính sách của mình. Bạn không cần (và không thể) chèn firewall vào trong cây “Standard”. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 43/118
  44. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 4.2 Các đối tượng chuẩn. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 44/118
  45. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.4.2 Tạo các đối tượng. Có thể tạo các đối tượng mới bằng cách sử dụng menu chính “Insert”. Một số đối tượng cũng có thể tạo ra thông qua menu pop-up, menu này có thể mở bằng cách kích phải chuột vào đối tượng trong cây. Hình 4.3. Tạo đối tượng sử dụng menu “Insert”. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 45/118
  46. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Bạn có thể tạo tất cả các đối tượng thông qua menu “Insert” (Hình 4.3). Một số đối tượng trong cây bạn phải đặt đúng kiểu, tương ứng với các menu chỉ cho phép khi các đối tượng hiển thị trong hộp hội thoại của cửa sổ chính. Ví dụ: đối tượng interface chỉ có thể đặt trong host hoặc firewall, do đó mục menu “Insert”/”Interface” chỉ cho phép nếu đối tượng host hoặc firewall đã mở trong cửa sổ chính. Tương tự menu “Address” và “Physical Address” chỉ cho phép khi đối tượng interface mở. Cách khác để tạo các đối tượng là sử dung menu pop-up, chúng xuất hiện khi bạn kích phải chuột trên nhãn đối tượng trong cây (Hình 4.4). Hình 4.4. Thêm đối tượng sử dụng menu Pop-up. Các mục của menu này xuất hiên giống như các mục của menu chính “Insert”. Đặc biệt, các mục được thêm vào đối tượng interface chỉ xuất hiện khi đối tượng được mở trong cửa sổ chính là host và firewall (Hình 4.4). Bạn có thể thêm các đối tượng bằng tay (sử dụng mục menu “Add Interface”) hoặc nhập vào thông qua truy vấn SNMP (Sử dụng mục menu “Add Interface via SNMP”). 2.4.3 Chỉ dẫn và sắp xếp đối tượng. Các đối tượng được lựa chọn trong cây sẽ hiển thị một cách tự động trong vùng hội thoại, trong đó có thể quan sát và sửa chữa được. Mở các đối tượng bằng cách kích chuột vào cây. Trỏ chuột vào các nhãn và chọn bằng cách kích chuột trái một lần để mở các đối tượng khi munu pop-up xổ xuống. Các menu này xuất hiện và cung cấp các mục với các chức năng sau: Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 46/118
  47. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT • Duplicate: Chức năng này tạo một bản copy của đối tượng cũ, đặt vào trong cây và có thể mở ra trong cửa sổ chính. Đối tượng mới có một tên chung là “New Object”, nhưng bạn có thể đổi tên bằng cách kích chuột vào “Apply”, tên của đối tượng trong cây sẽ thay đổi ngay lập tức. • Copy: Copy một đối tượng vào clipboard. • Cut: Cut một đối tượng vào clipboard và xoá khỏi cây. • Paste: Tạo một đối tượng mới từ một bản copy trong clipboard. • Delete: Xoá một đối tượng mà không tạo một bản copy trong clipboard. Điều này không làm thay đổi hoạt động và chương trình hiển thị trong hội thoại pop- up, yêu cầu người dùng xác thực. • Where used: Chức năng này quét cả cây, bao gồm tất cả các nhóm, các chính sách của firewall, tìm kiếm các chuẩn của đối tượng cũ. Phần cuối của chương trình hiển thị hội thoại pop-up với các biểu tượng tương ứng với các nhóm và firewall sử dụng đối tượng đã có. Kích đúp chuột vào biểu tượng cần mở, tương ứng với đối tượng trong cửa sổ chính. Menu Pop-up có thể có các mục để thêm vào các đối tượng interface và address, tuỳ thuộc vào kiểu của đối tượng được gọi (Hình 4.4). Tóm lại, GUI được thiết kế để nhìn và chọn “Look and Feel” giống như kiểu trình duyệt file (ví dụ Windows Explorer). Nó sẽ hiển thị các nhóm đối tượng như một bộ sưu tập các biểu tượng, trong đó mỗi biểu tượng biểu diễn một đối tượng riêng (Hình 4.5). Người dùng có thể chỉ dẫn giữa các đối tượng khác nhau bằng cách sử dụng chuột hoặc các phím “mũi tên” trên bàn phím. Các đối tượng đã active được hiển thị với màu khác nhau. Kích đúp vào biểu tượng trong nhóm quan sát tương ứng với các đối tượng được mở. Kích phải chuột hoặc spacebar trên bàn phím để mở menu pop-up, nó như một đường dẫn trỏ tới các chức năng như “Open Object”, “Copy”, “Cut” và “Paste”. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 47/118
  48. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 4.5. Cây. Cửa sổ hội thoại cho các đối tượng có thể được chọn bằng các nút “Apply” và “Undo” ở dưới đáy màn hình. Đầu tiên các nút này không thể hoạt động, nhưng mỗi khi các thông số của đối tượng được sửa trong cửa sổ hội thoại hoặc các thành viên của nhóm, thì nó có thể bổ sung hoặc xoá, cả hai nút đều cho phép người dùng có thể kích “Apply” để lưu dữ liệu mới hoặc “Undo” để tải lại dữ liệu ban đầu vào cửa sổ hội thoại. Nếu người dùng cố gắng chuyển giữa các đối tượng khác mà không cần lưu lại hoặc tải lại dữ liệu đã có trong cửa sổ hội thoại, chương trình sẽ hiển thị hội thoại pop-up để yêu cầu người dùng chọn một trong số các chức năng đã có. Nó cũng có một thuộc tính để tạo ra các chương trình tự động lưu các dữ liệu đã được sửa khi người dùng chuyển đổi giữa các đối tượng ( xem hình dưới đây). Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 48/118
  49. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5 Làm việc với các đối tượng. 2.5.1 Các thuộc tính chung. Tất cả các đối tượng được hiển thị rõ ràng với người dùng All objects visible to the user have some common editable fields, such as their name and comment. The object name can contain white spaces and can be arbitrarily long. The comment can contain any text of any length. Dialogs for those objects that can have an address use the standard GUI widget that visually separates the four octets of IP address and provides "on the fly" control for the validity of an address. 2.5.2 Đối tượng Host. Đối tượng Host trong Firewall Builder được thiết kế để biểu diễn các hosts thực trong mạng: các máy trạm, máy chủ và bất kỳ một nút mạng nào khác có địa chỉ. Giống như một host thật, các đối tượng host đều có interface, biểu diễn các kết nối vật lý khác nhau trong mạng. Đa số các host trên internet sẽ có một interface đơn với một địa chỉ IP, trong trường hợp này các interface thực và tên của nó sẽ không có vấn đề gì. Tất cả các interface ngoài, fwbuider sẽ gán cho một tên bất kỳ như “interface 1” cho interface của các host. Bằng cách sử dụng kiến trúc hình cây từ hosts -> interfaces -> address nó có thể chỉ rõ một địa chỉ chính xác hoặc interface của host trong trường hợp nó có vấn đề. Cả interface và địa chỉ được biểu diễn dưới dạng các đối tượng, chúng được tổ chức dưới dạng cây. Các đối tượng interface nằm trực tiếp trên cây dưới dạng host và các đối tượng address được đặt dưới đối tượng interface của chúng. Đối tượng interface có thể có một hoặc nhiều địa chỉ . Ví dụ các host có một interface với nhiều địa chỉ được chỉ trong hình 5.1. Host “test server” được đặt trong LAN và có ba địa chỉ IP ảo trên một interface “eth0”. Host www.netcitadel.com được điều khiển từ xa và cũng có ba địa chỉ IP. Đối tượng host này trong thực tế biểu diễn Web cho các kết nối trên ba địa chỉ IP tốt hơn trên một địa máy đơn. Đối tượng host trong Firewall Builder là một sự trừu tượng hoá sử dụng cho host và address. Sau đây chúng ta sẽ xem xét các thuộc tính của đối tượng interface và address. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 49/118
  50. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 5.1. Đối tượng Host với một Interface và nhiều địa chỉ ảo. Chú ý: Đối tượng host có thể không có bất kỳ sự bảo mật hoặc chính sách NAT nào kết hợp với nó, chỉ có các đối tượng firewall là có thể. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 50/118
  51. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.2.1 Tạo các đối tượng Host. Hình 5.2. Trang đầu tiên của Druid. Để tăng tốc độ xử lý và thiết lập nó một cách đơn giản, việc tạo các đối tượng host được thêm bởi Druid, nó liệt kê tất cả các dữ liệu cần thiết cho cả host và interface, sau đó là việc tạo các đối tượng. Hình 5.2, là trang đầu tiên của Druid. Đầu tiên, bạn nhập tất cả tên host, tên này không nhất thiết phải trùng với tên thực của host. Nếu đối tượng host mới có một interface đơn ( trong đa số các trường hợp), bạn cần điền các thuộc tính cho địa chỉ của nó và có thể có cả địa chỉ MAC và chọn “Next”. Nếu tên của đối tượng trùng với tên thực của host, bạn có thể sử dụng nút “DNS Lookup” để lấy địa chỉ từ DNS. Trong trường hợp đối tượng host mới nên có nhiều interface, bạn cần kiểm tra các thuộc tính tại đáy của cửa sổ hội thoại và sau đó chuyển tới trang tiếp theo của Druid, bằng cách sử dụng nút “Next”. Trang tiếp theo, xem hình 5.3. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 51/118
  52. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 5.3. Têm Interface cho đối tượng host mới. Tại đây bạn có thể thêm interface cho đối tượng của host mới. Nhập tên interface, địa chỉ và netmask cho phù hợp, và chọn “Add” để thêm vào danh sách. Nút “Update” để cập nhật thông tin cho interface đã được chọn trong danh sách và nút “Delete” xoá tất cả các interface đã lựa chọn sẵn. Chú ý: Bạn có thể luôn luôn thêm, xửa chữa và xoá interface của đối tượng mới, sau đó sử dụng để điều khiển, nó được cung cấp bởi cửa sổ chính và hình cây đối tượng. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 52/118
  53. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.2.2 Sắp xếp một đối tượng mới Cửa sổ hội thoại của đối tượng Host được chia làm hai thẻ: “General” (Hình 5.4) và “Sysinfo” (Hình 5.5). Hình 5.4. Sắp xếp các đối tượng Host. Thẻ “General” cung cấp GUI điểu kiển cho các thông số sau: Name: Tên đối tượng Host. MAC address filtering. Nếu thuộc tính này được chọn, trình biên dịch chính sách sẽ sử dụng địa chỉ MAC của tất cả các interface của host cho các luật firewall. Không phải tất cả nền tảng firewall đều hỗ trợ lọc địa chỉ MAC, do đó thuộc tính này có thể không có hiệu quả với các kịch bản firwall đã được tạo. • SNMP communities: SNMP communities “read” được dùng nếu host chạy SNMP và lấy “sysinfo” của host thay đổi thông qua truy vấn SNMP. SNMP communities “write” không được dùng, nhưng chúng ta có thể thêm các tính năng trong tương lai. SNMP communities không thể luôn để trống. Nếu host không chạy SNMP, hoặc nếu bạn không cần lấy thông tin về host sử dụng SNMP, chuỗi SNMP communities có thể được để trắng. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 53/118
  54. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT • Comment: Đây là trường được định dạng chữ, bạn có thể sử dụng để thêm lời chú thích. Hình 5.5. Hệ thống thông tin Host. Thẻ “Sysinfo” lưu trữ dữ liệu được phục hồi từ các host thông qua truy vấn SNMP. Bạn có thể nhìn thấy các chuỗi mà các host gửi trả lại cho các chuẩn SNMP MIB "Description", "Location" and "Contact" thay đổi. Các trường này chỉ có thể đọc được trong GUI. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 54/118
  55. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.3 Interface của Host. Hình 5.6. Interface của Host. Cửa sổ hội thoại cho đối tượng interface của host chỉ có một thẻ “General”, chúng cung cấp việc điều khiển với các thông số sau: • Name. Đây là tên của đối tượng. Nên đặt các tên của interface thực. Ví dụ, trong Linux nó có thể là “eth0” “eth1”, trong FreeBSD nó có thể là “Inc0” hoặc “fxp0”, trong Solaris nó có thể là “hme0” trong Cisco PIX có thể là “ethernet0” vvv. • Label. Trong đa số các hệ điều hành, thuộc tính này không được sử dụng và phục vụ cho những mục đích miêu tả nhãn. Firewall Builder GUI sử dụng một nhãn, nếu nó không ở dưới dạng trắng để chỉ interface trong trong cây. Một trong những kiến nghị sử dụng cho thuộc tính này là đánh dấu interface để phản hồi sơ đồ mạng (’outside’, ’inside’) hoặc các mục đích (’web frontend’ hoặc ’backup subnet’). Trong Cisco PIX bắt buộc phải có nhãn, trong đó nó phải phản hồi lại sơ đồ mạng. Xem chương miêu tả interface của firewall. • Thuộc tính "Regular Interface". Sử dụng thuộc tính này nếu interface có một địac chỉ IP được gán bằng tay. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 55/118
  56. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT • Thuộc tính "Address is assigned dynamically". Thuộc tính này được sử dụng nếu interface có một địa chỉ động ( được cung cấp bởi DHCP, PPP hoặc các giao thức khác), trong trương hợp này địa chỉ sẽ không được biết khi Firewall Buider tạo các chính sách firewall. • Thuộc tính "Unnumbered interface". Thuộc tính này được dùng nếu interface không thể có một địa chỉ IP, giống như ethernet interface được dùng để chạy PPPoE trong kết nối ADSL, điểm cuối của interface hoặc một interface trong cầu nồi firewall. Xem mục 5.3.1 để có thông tin rõ hơn về các interface khác nhau. • Hộp kiểm "This is management interface". Một số host có nhiều interface mạng, một trong số interface này có thể được đánh dấu như “man-agement inteface”. Việc quản lý interface được dùng cho tất cả việc thông giữa Firewall Buider và host. Trong trường hợp việc truyền thông của đối tượng host này cấm truy vấn SNMP để lấy các thông tin về host ( Các chuẩn thay đổi SNMP MIB, “Description”, “Location”, “Contact”), do đó trong tương lai, chúng ta sẽ thêm nhiều hơn. • Địa chỉ vật lý (MAC). Đây là thuộc tính lưu địa chỉ MAC của interface. • Comment Đây là trường chữ, bạn có thể thêm các thông tin cần thiết. 2.5.3.1 Các loại Interface. Firewall Builder chấp nhận ba loại interface, phụ thuộc vào địa chỉ IP của chính nó: chuẩn, động và không đánh địa chỉ. Interface chuẩn có một địa chỉ IP được gán tĩnh, Firewall Builder có thể sửdụng trong các chính sách luật firewall. Có thể sử dụng địa chỉ này nếu luật chính sách điều khiển việc truy cập tới hoặc từ firewall của chính nó. Interface động có một địa chỉ IP được gán đông bởi giao thức DHCP hoặc PPP. Trong trường hợp này, địa chỉ có thể là bất kỳ và nó có thể không được sử dụng trong các luật chính sách. Một vài hệ thông firewall cho phép sử dụng tên interface trong chính sách thay vì phải sử dụng địa chỉ IP, sau đó các công cụ firewall sẽ chọn lọc địa chỉ IP khác khi các chính sách hoạt đông hoặc ngay trong lần khởi động. Một số công cụ firewall hỗ trợ các cú pháp đặc biệt cho các luật mà được liên kết với mào đầu của các gói tin tới hoặc từ nhóm kiểm soát firewall. Ví dụ, hai trong số các trường hợp này là OpenBSD PF và Netfilter. Luật PF có thể được Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 56/118
  57. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT xây dựng bằng cách sử dụng tên interface, PF tự động sử dụng các địa chỉ interface đã có khi nó tải các luật vào bộ nhớ. Netfilter hỗ trợ các “chains” đặc biệt gọi là “INPUT” và “OUTPUT”, đảm bảo việc kiểm tra mào đầu của gói tin đi vào cho mục đích firewall (“INPUT”) hoặc đi ra “OUTPUT”. Cả hai phương thức này cho phép Firewall Builder xây dựng các chính sách luật firewall một cách chính xác, nó tác động đến các interface với địa chỉ IP động, mặc dù vậy interface phải đánh dấu như trình dịch chính sách để sử dụng kỹ thuật một cách thích hợp phụ thuộc vào mục đích lập firewall. Interface không đánh địa chỉ có thể không bao giờ có một địa chỉ IP. Ví dụ như interface bao gồm các điểm cuối của đường hầm (GRE, PPPoE, và một số IPSEC), các interface của firewall cầu nối và có thể là một vài trường hợp khách. Firewall Builder loại bỏ các interface được đánh dấu như không đánh đại chỉ và không bao gồm chúng trong các chính sách luật. Các interface của cả ba loại trên có thể có các luật chính sách liên kết nhau. Trong GUI, bất kỳ đối tượng interface nào có thể có đối tượng “Interface Policy” đặt vào cây. Sự khác biệt chính là interface chuẩn có thể luôn được sử dụng trong các thành phần luật nguồn và đích, Interface động có thể được sử dụng cho một số luật firewall và interface không đánh địa chỉ có thể không được sử dụng trong các thành phần firewall. Ví dụ trong iptable và PF interface động có thể được sử dụng trong các luật. PF có thể tự động sử dụng địa chỉ mà nó có tại thời điểm đó mà các luật firewall được tải, iptables có thể không thực hiện điều này nhưng Firewall Builder cung cấp các hành động làm việc xung quanh sự giới hạn này. 2.5.4 Đối tượng Address. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 57/118
  58. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 5.7. Đối tượng địa chỉ. Đối tượng address miêu tả địa chỉ IP của interface, cửa sổ hội thoại của nó cung cấp các trường thuộc tính sau: • Name Đây là tên của đối tượng. Nó chỉ dẫn cho bạn sử dụng một số cấu trúc tên khi đối tượng address được sử dụng trong chính sách firewall, nó được đặt với các tên này. Nó có thể được đặt cứng để thông báo cho các address khác nếu các tên bị trùng nhau. • Address. Đây là một địa chỉ IP. GUI widget cung cấp các cú pháp điều khiển cho các giá trị nhập vào trong trường octet. Chú ý: Các kiểu lỗi sẽ giải thích rõ các đối tượng là một địa chỉ của mạng con, interface của host hoặc theo firewall. Đối tượng này miêu tả một địa chỉ của interface, không phải một địa chỉ mạng. • Netmask. Đây là mặt lạ mạng được gán cho interface. This is a netmask assigned to the interface. • Comment. Đây là trường được định dạng chữ, bạn có thể sử dụng để thêm lời chú thích. Chú ý: Firewall Builder không hỗ trợ địa chỉ Ipv6, nếu được hỗ trợ Ipv6 sẽ được thêm vào trong tương lại. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 58/118
  59. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.5 Đối tượng Physical Address. Hình 5.8. Đối tượng Physical Address. Đối tượng Physical Address miêu tả địa chỉ phần cứng hoặc media. Ví dụ, cho Ethernet với địa chỉ MAC của interface. • Name Đây là tên của đối tượng. Nó nhắc nhở bạn sử dụng một số tên miêu tả khi đối tượng address được sử dụng trong chính sách firewall, đối tượng sẽ được gán với tên này. Nó có thể được đặt cứng để thông báo cho các địa chỉ khách nếu có sự trùng tên nhau. • Address. Address là một chuỗi miêu tả địa chỉ vật lý hoặc media. Có nhiều kiểu media, nó được đặt trong thư viện. Ví dụ, một địa chỉ ethernet có thể biểu diễn dưới dạng chuỗi 6 octet. • Comment Đây là trường được định dạng chữ, bạn có thể sử dụng để thêm lời chú thích. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 59/118
  60. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.5.1 Sử dụng đối tượng Physical Address Object trong các chính sách. Chỉ một số nền tảng firewall thực sự hỗ trợ lọc địa chỉ vật lý. Netfilter chỉ là một cơ sở firewall có thể thực hiện điều này và nó được Firewall Builder hỗ trợ. Nó được miêu tả trong mục 8.5, nếu đối tượng interface có nihiều địa chỉ và các đối tượng con của Physical Address được sử dụng trong chính sách hoặc là một thành phần NAT (nguồn hoặc đích), sau đó trình biên dịch chính sách sẽ cố gắng tạo ra các luật sử dụng địa chỉ. Điều này tương ứng với việc sử dụng bộ logic “OR” trên các địa chỉ này, nếu interface cuả chúng hai địa chỉ Address1 và Address2, sau đó các luật được tạo ra và có thể kết nối nếu địa chỉ trong gói tin khác với Address1 OR Address2. Trường hợp của Physical Address thì khác. Nếu Interface có một địa chỉ vật lý, trình biên dịch sẽ xây dựng một bộ luật để kết nối một địa chỉ IP với địa chỉ MAC của chúng. Sự thay đổi như sau: Giả sử chúng ta có một host rất quan trọng trên mạng, chúng ta tạo một đối tượng Host, và tạo cho nó một interface. Interface nên có cả hai đối tượng Address và Physical Address như được chỉ trong hình 5.9. Hình 5.9. Đối tượng Host với Address và Physical Address. Vì đây là một host rất quan trọng, các gói tin có địa chỉ IP nguồn của host này thực sự vào từ nó và không phải là địa chỉ giả. Cách tốt nhất để kết hợp các mục đích này là sử dụng chế độ xác thực, ví dụ, với giao thức IPSEC. Cách sử dụng IPSEC không nằm trong phạm vi tài liệu này, mục đích chính của chúng ta là chỉ rõ địa chỉ MAC của gói tin có thể được bảo vệ. Cả gói tin thực bắt đầu từ host và một gói tin giả mạo có một địa chỉ IP nguồn của interface của host, nhưng địa chỉ MAC nguuồn đi ra thì khác nhau nếu địa chỉ giả vẫn tiếp tục. Chúng ta có thẻ sử ụng để tóm và thả các gói tin giả mạo. Dưới đây là ba cáh có thể xây dựng các chính sách bảo mật trong phần này. • Chỉ sử dụng đơi tượng Address trong thành phần luật. Chỉ kiểm tra firewall cho địa chỉ IP và bỏ qua địa chỉ MAC của gói tin. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 60/118
  61. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 5.10. Chính sách luật chỉ sử dụng với đối tượng Address. • Chỉ sử dụng đối tượng Physical Address. Mỗi luật được xây dựng theo cách này cho phép tất cả lưu lượng vào từ các host được kiểm tra ngay cả khi địa chỉ IP của nó thay đổi. Hình 5.11. Chính sách luật chỉ sử dụng với đối tượng Physical Address. • Sử dụng đối tượng Host hoặc Interface. Đây là cách cuối cùng chúng ta kết hợp cả địa chỉ IP và địa chỉ MAC. Có thể sử dụng các luật chống giả mạo. Hình 5.12. Chính sách luật sử dụng với đối tượng Host. Hình 5.13. Chính sách luật sử dụng với đối tượng Interface. Việc sử dụng các đối tượng Address và Physical Addresss thì không giống như sử dụng một đối tượng Host hoặc Interface. Như được miêu tả trong phần 8.5, sử dụng một đối tượng với nhiều địa chỉ hoặc nhiều đối tượng trong chính sách luật giống như xây dựng chúng cùng với việc sử dụng bộ logic OR. Nếu chúng ta đặt Address và Physical Address trong chính sách luật như hình 5.14, chúng ta sẽ có một điểm liên kết firewall với gói tin có địa chỉ nguồn 10.1.1.1 hoặc địa chỉ MAC: 00:08:C7:29:D1:AC, nhưng không cần thiết tại cùng một thời điểm. Bất kỳ Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 61/118
  62. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT host nào có thẻ tạo ra một địa chỉ giả 10.1.1.1 và gửi gói tín thông qua firewall mà co địa chỉ MAC khác. Để đạt được mục đích tổng thể, hãy chắc chắn rằng các gói tin có địa chỉ nguồn 10.1.1.1 thực sự thuộc về các host quan trọng của chúng ta, chúng ta nên kiểm tra địa chỉ IP nguồn và địa chỉ MAC tại cùng một thời điểm và chỉ đặt một gói tin đi qua, nếu địa chỉ IP của nó và địa chỉ MAC hoàn toàn bình thường. Điều này giải thích tại sao, Firewall Builder yêu cầu địa chỉ vật lý khác nhau và tạo mã firewall cho cả hai địa chỉ IP và vật lý. Hình 5.14. Chính sách luật sử dụng đối tượng Address và Physical Address. Firewall Builder tạo mã firewall để kiểm tra địa chỉ MAC cho đối tượng Host với thuộc tính “MAC address filtering". Nếu tắt thuộc tính này, đối tượng Physical Address sẽ bỏ qua ngay cả khi nó được trình bày trong interface của đối tượng host. Vì đối tượng host được tạo ra bằng cách sử dụng Network Discovery Druid (chương 6) và luôn lưu cả hai thông tin là địa chỉ MAC và IP thông qua truy vấn SNMP, việc kiểm tra địa chỉ MAC thì thực sự cần thiết. Người quản trị có thể sử dụng thuộc tính "MAC address filtering" trong đối tượng host để chỉ rõ host nào mà anh ta cần kiểm tra địa chỉ MAC. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 62/118
  63. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.6 Đối tượng Network. Hình 5.15. Đối tượng Network. Đối tượng Network miêu tả địa chỉ IP hoặc mạng con. Cửa sổ hội thoại cung cấp các thuộc tính sau. • Name: Tên của đối tượng Network. • Nút ’DNS Lookup’. Chọn nút này khi chạy truy vấn DNS cho một “A” RR sử dụng tên được nhập vào trong trường “Name”. • Address: Đây là địa chỉ của mạng. • Netmask: Mặt lạ mạng, • Comment: Đây là trường chữ, bạn có thể thêm các lời chú thích. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 63/118
  64. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.7 Đối tượng Address Range. Hình 5.16. Đối tượng Address Range. Đối tượng này miêu tả một giải địa chỉ IP. cửa sổ hội thoại cung cấp các thuộc tính sau. • Name: Tên của đối tượng Address Range. • Range start: Địa chỉ bắt đầu của dải. • Range end: Địa chỉ kết thúc của dải. • Comment: Đây là trường chữ, bạn có thể thêm các lời chú thích. Dải địa chỉ này bao gồm cả địa chỉ đầu và địa chỉ cuối. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 64/118
  65. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.8 Nhóm (Group) của các đối tượng. Hình 5.17. Group của các đối tượng giữ đối tượng Hosts, Networks, Address Ranges, Firewalls và các nhóm đối tượng khác. Các đối tượng có thể thêm vào các group sử dụng các phương thức sau. • Kéo và thả. Các đối tượng có thể kéo từ cây vào cửa sổ hội thoại của group. Cây sẽ chuyển đối tượng bằng một lần kích chuột, trỏ chuột vào đối tượng và nhấp chuột để không chuyển. • Sử dụng menu popup. Bạn có thể Copy/Paste giữa cây và cửa sổ hội thoại của group. Kích phải chuột vào đối tượng trong cây để sổ menu popup. Chọn “Copy” hoặc “Cut” trong menu này, sau đó chuyển sang cửa sổ hội thoại group và kích phải chuột vào các biểu tượng. Bạn cũng có thể chọn “Paste”. Nó cho phép chèn đối tượng vào group. • Sử dụng menu chính "Edit". Giống như trường hợp menu pop-up, chọn đối tượng trong cây, sử dụng menu chính “Edit"/"Copy Object", sau đó chuyển sang cửa sổ hội thoại group và sử dụng menu chính "Edit"/"Paste Object". Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 65/118
  66. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.9 Đối tượng Firewall. 5.9.1. Cách tạo một đối tượng Firewall Tương tự như tạo một đối tượng Host, tạo một đối tượng Firewall đượcdùng bởi Druid. Trang đầu tiên của Druid minh hoạ trong một màn hình nhỏ (Hình 5.18). Đầu tiên cần thêm tất cả tên của firew mới và chọn “Next”. Ta đến màn hình tiếp theo của Druid (Hình 5.19) Hình 5.18. Trang đầu tiên của Druid. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 66/118
  67. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 5.19. Thêm một Interface cho một đối tượng Firewall mới. Màn hình này tương tự như mànhình tạo đối tượng Host mới của druid, trong đó bạn thêm vào các interface. Nhập tên, địa chỉ, mặt lạ mạng cho interface trong các trường thích hợp, chọn “Add”. Nút “Update” sẽ cập nhật các thông số đã được chọn cho interface và “Delete” để xoá nó. Một trong tất cả interface đã được cấu hình, chọn “Next” để tạo đối tượng firewall mới. Chú ý: Bạn có thể thêm, sửa chữa và xoá các interface bằng cách sử dụng các điều khiển được cung cấp bở cửa sô chính và quang cảnh cây đối tượng. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 67/118
  68. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.5.9.1 Sắp xếp cây đối tượng Hình 5.2. Đối tượng Firewall, Thẻ “General”. Đối tượng Firewall minh hoạ cho một công cụ firewallvà đây là đối tượng phức tạp nhất trong Firewall Builder. Cửa sổ hội thoại củanó có các thẻ sau: “General”, “Sysinfo”, ’Compile/Install’, ’Firewall’ và ’Network’. Thẻ General cung cấp các chức năng sau: • Name: Đây là tên của đối tượng. • Host OS: Module này cung cấp sự hỗ trợ cần thiết cho OS đích và cơ sở firewall được phân tán riêng rẽ từ GUI và có thể được cài đặt kết hợp với nhau. Menu xổ xuống cung cấp sự lựa chọn cho OS của host và được cập nhật động thông qua sự kết hợp của các mô đun được cài đặt. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 68/118
  69. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT • Firewall platform: Giống như menu “Host OS”, đây là menu xổ xuống cung cấp sự lựa chọn cơ sở cho firewall được chọn và nó cũng được cập nhật động thông qua sự kết hợp của các môdun được cài đặt. • SNMP Communities: Được sử dụng để kéo “sysinfo” MB thay đổi từ công cụ firewall. Nó cũng được sử dụng nếu bạn muốn tự động tạo các interface cho firewall sử dụng truy vấn SNMP. SNMP “write” community không được sử dụng tại thời điểm này. • Comment: This is a free-form text field used for comments Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 69/118
  70. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 5.21. Đối tượg Firewall, Thẻ ’Sysinfo’. Thẻ này lưu các trường sau: • Description: • Location: • Contact: Các trường này miêu tả giá trị tương ứng với sự thay đổi của MIB Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 70/118
  71. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 5.22. Đối tượng Firewall, Thẻ ’Compile/Install’ . Thẻ này lưu các thuộc tính sau: • Compiler: Có đường dẫn thư mục và tên file đầy đủ cho các chính sách kết hợp yêu cầu GUI khi bạn sử dụng mục menu chính: “Rules”/”Complie”. Nếu thuộc tính này để trống, GUI gọi các chính sách mặc định, chúng đã được config từ trước cho cơ sở firewall và đặt trong thẻ “General”. Sử dụng thuộc tính này nếu bạn sử dụng các chính sách không chuẩn hoặc sử dụng kịch bản bao bọc, gọi là bộ kết hợp chính sách. • Command line parameters for the compiler: Điều này chỉ rõ cho bạn các thông số về dòng lệnh cho bộ kết hợp chính sách. Đây là một danh sách các dòng lệnh của các thuộc tính dòng lệnh hỗ trợ bởi bộ kết hợp chính sách. • "-f": Chỉ rõ tên file dữ liệu, sử dụng bởi bộ kết hợp. • "-d": Chỉ rõ thư mục đang làm việc, trong đó file dữ liệu được đặt và nơi đặt kịch bản firewall. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 71/118
  72. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT • "-v":Bật chức năng kiểm tra trong khi kết hợp. Bình thường GUI tự động thêm thuộc tính “-f” và “-d”, khi nó gọi bộ kết hợp chính sách. Xem các trang tương ứng với bộ kết hợp chính sách để hoàn thành việc thiết lập hỗ trợ thuộc tính dòng lệnh. • Installer:Kịch bản cài đặt. Trong tương lai, chúng ta có hai cách để cài đặt và bật các chính sách trên công cụ firewall: sửdụng kịch bạn cài đặt hoặc fwbd daemon. Deamon không được hỗ trợ bây giờ, vì thế kịch bản cài đặt chỉ là một phương thức có thể trong thời gian này. GUI gọi khỉ bản cài đặt khi bạn sử dụng menu chính "Rules"/"Install". • Istaller: fwbd daemon: Không hỗ trợ. • Policy install script: Đường dẫn thư mục đầy đủ và tên file cho kịch bản cài đặt. • Command line parameters for the script: Chỉ rõ cho bạn các thông số của dòng lệnh cho kịch bản cài đặt. GUI đòi hỏi kịch bản cài đặt cho các thông số dòng lệnh giống nhe bộ kết hợp chính sách (xem ở trên) và tư động cung cấp thuộc tính “-f” “-d:”. Bạn có thể thêm nhiều thông số hơn trong trường thuộc tính nếu kịch bản của bạn cung cấp. • Options for fwbd: Với các phiên bản đã có của Firewall Builder, không có và không hỗ trợ, các thuộc tính này sẽ được dùng trong tương lai. Thẻ ’Firewall’ và ’Network’ cung cấp các thuộc tính chỉ rõ cho bạn chọn cơ sở firewall và cấu hình OS của host. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 72/118
  73. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.6 Khám phá mạng: Cách để tạo một đối tượng nhanh Hình 6-1. Gọi đối tượng Discovery Druid Một trong những đặc tính riêng mà Firewall Builder cung cấp là: hỗ trợ tự động tạo đối tượng. Nó giúp tăng các đối tượng của cây đối tượng trong mạng lớn với nhiều máy chủ và lớp mạng con. Người sử dụng sẽ phải tốn hàng giờ nếu phải làm bằng tay, trong khi đối tượng Discovery Druid có thể thực hiện trong vài phút. Bạn có thể đưa Druid này lên sử dụng "Tools”/”Discover Objects" trong menu chính. Druid hỗ trợ 3 phương thức chính để tạo đối tượng tự động: - Đọc file /etc/hosts - Nhập vào DNS zone - Khám phá mạng dùng truy vấn SNMP Bạn chọn phương thức trong trang đầu của Druid (Hình 6-2). Đánh dấu để chọn vào ô cạnh phương thức bạn muốn sử dụng và bấm tiếp vào nút ’Next’. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 73/118
  74. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 6-1. Gọi đối tượng Discovery Druid 2.6.1 Đọc file /etc/hosts Phương thức này nhập vào các bản ghi máy chủ hiện trại trong file /etc/hosts hay bất kỳ file nào khác chứa các bản ghi theo dịnh dạng sau (định dạng này đã được mô tả trong hướng dẫn về máy chủ (5)). Địa chỉ IP Tên host Địa chỉ IP phải phân biệt với tên máy chủ bằng một số ký tự trống hay dấu tab. Dòng bắt đầu với ’#’ là các chú thích và sẽ được bỏ qua. Firewall Builder hiệ tại chưa hỗ trợ địa chỉ dạng ipv6 và sẽ bỏ qua chúng. Khi bạn chọn nhập từ file /etc/hosts trong trang đầu tiên, Druid sẽ hỏi bạn đường dẫn và tên file ở trang tiếp theo. Sau khi điền các thông tin này, nó sẽ đọc nội dung của file và hiện một bảng của đối tượng mới (hình 6-3): Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 74/118
  75. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 6-3. Tạo đối tượng sử dụng các thông tin đã thu thập Đối tượng khám phá được hiện trong bảng. Từ khi nguồn thông tin được sử dụng để khám phá có thể có một số tên máy chủ khác nhau cho cùng một địa chỉ IP, tên đối tượng được hiện trong một menu thả xuống. Nếu chỉ có một tên cho một địa chỉ thì menu thả chỉ có một tên. Các cột bên phải của bảng chỉ ra các lựa chọn kiểu của đối tượng để tạo: nó có thể trở thành máy chủ, mạng hay Firewall. Đôi khi Druid có thể đoán kiểu của dối tượng hay sử dụng kiểu phù hợp dựa trên phương thức khám phá đã sử dụng. Druid tạo các đối tượng chỉ dùng cho các bản ghi đã chọn trong bảng. Sửa dụng hộp đánh dấu trong cột đầu tiên của bảng để chọn đối tượng. Một ô bình luận sẽ được dùng để ghi tổng số các đối tượng đã chọn. Trong hình trên có 6 đối tượng đã được chọng (Hình 6-3) Trong trang này của Druid có các nút sau: "Select All" Chọn tất cả các bản ghi trong bảng "Unselect All" bỏ chọn tất cả các bản ghi trong bảng "Filter" thực hiện một luật lọc. Lọc giúp quản lý một danh sách dài các đối tượng. "Remove Filter" loại bỏ các luật lọc hiện tại và hiện ra toàn bộ bảng. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 75/118
  76. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 6-4. Bảng lọc đối tượng Druid có thể lọc các bản ghi trong bảng theo tên hay địa chỉ IP hoặc cả hai. Để lọc theo địa chỉ IP nhập một phần của nó vào ô "Address". Chương trình so sánh văn bản đã nhập vào bảng lọc vào với một địa chỉ và hiện ra các bản ghi có địa chỉ bắt đầu giống với phần đã nhập. Ví dụ: chỉ lọc các máy chủ có địa chỉ lớp mạng là 10.3.14.0 chúng ta nên sử nhập vào "10.3.14". Một cách khác để bỏ qua các máy chủ "bear" và "beaver" (địa chỉ 10.3.14.50 và 10.3.14.74) chúng ta nhập "10.3.14.6". Chú ý là các chuỗi nhập vào không gồm các ký tự thay thế "*". Việc lọc sẽ chỉ ra các bản ghi có một phần giống với chuỗi nhập vào. Lọc theo tên của đối tượng sử dụng cú pháp POSIX thông thường đã được miêu tả trong trang giới thiệu (7). Ví dụ: để tìm tất cả các bản ghi có tên bắt đầu với từ ’f’ phải sử dụng câu lệnh ’^f’. Ký tự ’^’ đúng với phần bắt đầu của chuỗi và câu lệnh này cũng đúng với tất cả các tên bắt đầu với ’f’. Để tìm một tên kết thúc với: ’somedomain.com’ chúng ta nên sử dụng mẫu lệnh là ’.*somedomain.com$’ 2.6.2 Nhập DNS zone Phương thức này chỉ dùng cho các hệ điều hành có một thư viện hỗ trợ truyền DNS zone. Hiện tại có thể dùng trên Linux và Solaris. Đâu tiên Druid hỏi bạn tên miền mà bạn muốn nhập vào (hinh 6-5). Khi nhập tên và bấm vào "Next", chương trình sẽ chạy truy vấn DNS để tìm server trả lời tên miền này. Nó sẽ đưa ra một danh sách các server ở trang tiếp thep để bạn chọn (Hình 6-6). Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 76/118
  77. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 6-5. Nhập tên miền Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 77/118
  78. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Figure 6-6. Danh sách tên các server Bạn có thể sử dụng một trong những tên server đã được đăng ký, hay tên của server riêng nội bộ của bạn mà đã được đăng ký (Ví dụ như các tên miền nội bộ cấp 2), bạn có thể nhập tên hay địa chỉ trong hộp ở đáy của bảng. Bấm vào "Next" để khởi động quá trình truyền (Hình 6-7). Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 78/118
  79. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 6-7. Truyền DNS zone Nếu quá trình truyền DNS zone thành công và Druid có thể kéo xuống các thong tin cần thiết để tạo các đối tượng, bạn có thể chuyển qua trang tiếp theo để chọn và tạo các đối tượng. Trang này giống trong hình 6-3. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 79/118
  80. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.6.3 Khám phá mạng Hình 6-8. Khởi động các tham số cho chương trình Khám phá mạng Chương trình Khám phá mạng (Đôi khi được biết tới như "Network Crawler") cần một máy chủ để bắt đầu. Máy chủ này được gọi là "seed host"; bạn nhập nó vào trang đầu tiên của Druid (Hình 6-8). Thành phần con rệp trong thuật toán này là (đây là một số miêu tả đơn giản): Đầu tiên nó chạy một vài truy vấn SNMP chống lại “seed host” cố gắng thu thập các dữ liệu sau: danh sách các giao diện card mạng, các ARP và bảng định tuyến của nó. Máy chủ nàu sau đó được them vào bảng đối tượng khám phá mạng, cùng với các giao diện card mạng, các địa chỉ, các lớp mạng và các tham số hệ thống- "sysinfo" của nó. Sau đó con rệp phân tích bảng định tuyến của máy chủ này, và các con rệp đang chạy cũng được thêm vào danh sách của các đối tượng khám phá. Sau đó nó phân tích bảng ARP, nơi lưu giữ địa chỉ MAC và IP của các lớp mạng lân cận. Nó sử dụng một máy chủ tìm thấy trong bảng một lần và lặp lại thuật toán đã sử dụng như ở “seed host”. Khi nó đẩy một bảng ARP từ máy chủ tiếp theo, nó loại bỏ những đối tượng đã được biết đến. Nếu nó tìm thấy đối tượng Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 80/118
  81. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT mới, nó sẽ thử tiếp do đó nó sẽ tiến sâu trong mạng. Thậm chí nó có thể đi qua mọi máy chủ trong mọi lớp mạng. Thuật toán này dựa vào sự trả lời của máy chủ trước các truy vấn SNMP. Nếu mọi máy chủ đầu tiên ("seed host”) không chạy tiến trình SNMP, con rệp chạy lần đầu tiên của thuật toán trả về kết quả là không tim thấy. Vì thế việc quan trọng là phải dùng một máy chủ có chạy tiến trình SNMP như là một "seed host”. Thậm chí hầu hết các máy chủ trong mạng không chạy tiến trình SNMP, nhưng một vài máy chạy, các con rệp thực hiện tìm thấy gần hết các máy khác. Điều này có thể thực hiện được vì nó khám phá các đối tượng khi nó đọc bảng ARP từ máy chủ trả lời; vì thế nếu máy chủ không trả lời truy vấn SNMP, con rệp vẫn tìm ra chúng. Một trong những cách giới phạm vi mạng là con rệp sẽ thăm các điểm dùng các tham số "Giới hạn quét". Bạn cần nhập cả địa chỉ mạng và lớp mạng; con rệp sau đó sẽ kiểm tra máy chủ đó nếu nó được ghi nhận là thuộc về mạng ngày và không từ chối kiểm tra. Hình 6-9. Tham số để khám phá mạng: trang 1 Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 81/118
  82. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 6-10. Tham số của Khám phá mạng: trang 2 Đây là một vài thiết lập có tác dụng với thuật toán của con rệp (xem hình 6-9 và hình 6-10). Đây là danh sách của chúng: - Chạy quét mạng theo kiểu đệ quy Như đã mô tả ở trên, con rệp sẽ bắt đầu với "seed host” và sau đó lặp lại thuật toán của nó sử dụng mọi máy chủ đã được phát hiện như một "seed" mới. Nếu tùy chọn này đặt là OFF, con rệp chỉ chạy thuật toán một lần và dừng lại. - Theo các liên kết điểm – điểm Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 82/118
  83. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Nếu một firewall hay một router có giao diện điểm nối điểm (ví dụ giao diện PPP), con rệp có thể tự động tính toán các địa chỉ IP ở phía khác của giao diện này. Sau đó tiếp tục quá trình khám phá bằng cách truy vấn router ở phía khác.Thông thường, kết nối điểm điểm có trong mạng của tổ chức tới một ISP và bạn không thực sự phải chú ý đến việc thu thập dữ liệu về mạng của ISP. Mặc định, con rệp không vượt qua liên kết điểm – điểm, nhưng nếu lựa chọn này được kích hoạt sẽ cho phép làm điều đó. - Gồm các địa chỉ ảo Đôi khi các server hay router có gán cho nhiều hơn một địa chỉ IP cho cùng một giao diện. Nếu tùy chọn này được bật, con rệp sẽ "khám phá" các địa chỉ ảo này và cố gắng tọa các đối tượng cho chúng. - Chạy các truy vấn tìm kiếm ngược để xác định tên máy chủ Nếu một máy chủ đã được phát hiện bởi con rệp và trả lời truy vấn SNMP, nó sẽ ghi lại tên đó, con rệp sẽ sử dụng nó để tạo một đối tượng trong Firewall Builder. Nếu máy chủ không trả lời truy vấn, con rệp không thể xác định tên của nó và địa chỉ IP. Con rệp có thể sử dụng DNS để sửa lại các địa chỉ và xác định tên các máy chủ nếi lựa chọn này được đặt là ON. - Các tham số SNMP Bạn phải đặt các chuỗi SNMP là “đọc” nó sẽ được sử dụng cho các truy vấn SNMP.Bạn cũng có thể đặt số lần thử và thời gian time-out. - Các tham số DNS: Bạn có thể đặt số lần thử và thời gian a timeout cho truy vấn tra cứu DNS, giốn như số chuyỗi. Firewall Builder sử dụng một đa chuỗi để tăng tốc xử lý của quá trình. Nói một cách khác, nó có thể chạy đa tra cứu DNS. Tham số "Số lượng chuỗi" xác định bao nhiêu truy vấn có thể chạy song song. 2.7 Làm việc với các dịch vụ 2.7.1 Dịch vụ IP Dịch vụ IP được mô tả trong hình 7-1. Firewall Builder cung cấp các kiểu đối tượng chuẩn đã được biết đến và các giao thức thường dùng như ICMP (giao thức IP số 1), TCP (giao thức IP số 6), và UDP (giao thức IP số 17). Đối tượng dịch vụ IP được dùng để mô tả các giao thức khác mà không phải là ICMP, TCP hay UDP. Giao thức được xác định bởi trường 8-bit trong đầu đề của mỗi gói tin IP. Hình biểu diễn (Hình 7-1) thể hiện đối tượng ’ESP’ (Gói gọn trong SecurityPayload, một phần của họ giao thức IPSEC) dùn giao thức IP số 50. Số giao thức được đặt Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 83/118
  84. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT bởi IANA; có thể tra cứu số của giao thức theo URL sau: Bên cạnh số của giao thức, đầu đề của gói tin IP cũng có một trường là "tùy chọn", nó là danh sách độ dài có thể lựa chọn để đặt cho trường thong tin của gới. Không phải tất cả các firewall có thể kiểm tra các tùy chọn, và chúng có các giới hạn riêng, với các tùy chọn không đúng có thể bị cản lại. Firewall Builder cố gắng cung cấp các điều khiển cho những tùy chọn thong thường, được hỗ trợ bởi các firewall phức tạp. Không phải tất cả các tùy chọn được hỗ trợ bởi Firewall Builder đều được hỗ trợ các dạng firewall đích (bảng 7-1). Firewall Builder hỗ trợ các tùy chọn sau: Các lựa chọn định Kiểu định tuyến IP động với mỗi router đánh dấu chọn để gửi tuyến nguồn: gói tới trong bước nhảy tiếp theo. Có các tùy chọn để người gửi LSRR, có thể chọn tuyến để gửi tới. Về mặt Loose Source Route, người SSRR gửi (host) có thể quy định danh sách các router phải truyền qua, nhưng nó cũng có thể truyền qua các router khác giữa 2 địa chỉ trong danh sách. Strict Source Route làm việc gần giống như vậy, ngoại trừ với các gói phải truyền qua các địa chỉ cho trước. Nguồn đinh tuyến có được sử dụng để tới các máy chủ phía sau firewall thậm chí cả cá máy chủ sử dụng địa chỉ IP riêng mà bình thường không thể truy cập từ Internet. Các tùy chọn bản Các tùy chọn này giúc mọi router quản lý các gói tin trên đường ghi định tuyến: đi có thể thêm vào địa chỉ IP vào danh sách chọn lựa. Tùy chọn RR này được sử dụng bởi lệnh ping với tham số "-R"; nó có thể khai thác đẻ khám phá các mạng mang địa chỉ mạng trong và các mạng sau firewall. Mặc dù mức độ nguy hiểm thấp, một số người quản trị firewall vẫn chặn các gói có tùy chọn này. Lựa chọn về định Tùy chọn này giúp router lưu các trường định thời của gói tin và thời: đôi khi cả các địa chỉ (giống trong lựa chọn ghi bảng định tuyến). Lựa chọn này rất ít khi được dùng, nhưng cũng có thể sử dụng để khai thác các mạng đã được bảo vệ, vì thế những người quản trị firewall thường chặn các gói tin có lựa chọn này. Các gói tin IP đôi khi được chia nhỏ. Có thể thực hiện được điều này nếu dữ liệu lớn hơn lượng dữ liệu mà lớp mạng có thể truyền. Đầu đề của gói tin IP có các trường đặc biệt (gọi là "Flags" và "Fragmenta-tionOffset") nó giúp xác định các Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 84/118
  85. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT mảnh của gói tin và tập hợp chúng lại. Rất nhiều firewall có thể quét và kiểm tra các bit này. Tất nhiên là việc nối cờ và quét các phân mảng không bao giờ xảy ra trong một hoạt động bình thường nhưng vẫn được sử dụng khi tấn công. FirewallBuilder cung cấp 2 tùy chọn cho các trường hợp thông thường có liên quan tới các gói phân mảng: lựa chọn ’all fragments’ đúng với mảnh thứ 2 và các mảnh lớn hơn, trong khi lựa chọn ’short’ được sử dụng với các gói quá ngắn để chứa một sự kiện có một đầu đề IP hoàn chỉnh. Đối tượng dịch vụ IP cùng với Firewall Builder xuất hiện trong cây "Standard", trong nhánh Services/IP. Bảng 7-1. Hỗ trợ cho các lựa chọn IP options and fragmentation on various firewall platforms Firewall lsrr timestamp all ’short’ ssrr rr fragments packets iptables + + + + + - ipfilter - + + + + + pf - - - - + - Cisco PIX - - - - - - Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 85/118
  86. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Bảng dịch vụ IP cung cấp các dạng điều khiển sau: Tên: Đây là tên của đối tượng Protocol: Đây là số của goap thức. Tùy chọn: Các cờ ’Options’ trong đầu đề của IP: lsrr (loose source route) ssrr (strict source route) rr (record route) định giờ tất cả các mảnh tin gới nhỏ Comments: Đây là kiểu file văn bản tự do sử dụng để bình luận. 2.7.2 Dịch vụ ICMP Đối tượng dịch vụ ICMP một cách thể hiện của giao thức ICMP. Gói tin ICMP thường được sử dụng để liên lạc trong các gói tin lỗi được sử dụng dựa trên cả lớp giao thức IP hay cao hơn (TCP hay UDP). ICMP cũng được sử dụng như một giao thức truy vấn thông thường.Các quản trị viên firewall cần phải hiểu tự nhiên và mục đích của ICMP để cấu hình firewall chặn các bản tin ICMP không mong muốn và cho phép các bản tin ICMP có ích. Gói tin ICMP có hai trường để phân biệt các bản tin ICMP riêng là: "type" và "code". Có thể có 15 kiểu ICMP, mỗi một thứ sử dụng các giá trị khác nhau cho trường "code" dành cho các điều kiện cụ thể. Firewall Builder cung cấp một bảng với danh sách tất cả các kiểu ICMP và phụ thuộc vào mã, chúng giúp người quản trị chọn một kiểu mà không cần tìm số Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 86/118
  87. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT này trong sách (Hình 7-2). Đối tượng dịch vụ ICMP chuẩn đi cùng với Firewall Builder xuất hiện trong cây "Standard", nhánh Services/ICMP. Hình 7-3. Sửa đối tượng dịch vụ TCP Bảng dịch vụ ICMP cung cấp các khả năng điều khiển sau: - Tên: Tên của đối tượng. - Kiểu ICMP và mã: - Kiểu: kiểu của bản tin ICMP. Nó bao gồm 2 tham số: trường số và menu thả xuống hiện một danh sách các kiểu có thể sử dụng và tên của chúng. Bạn có thể sử dụng chúng cả theo tên (sử dụng trường đánh số) hoặc theo mô tả (menu thả xuống). - Mã: mã của bản tin ICMP. Giống ở trên, khả năng điều khiển này gồm tham biến: trường số và menu thả xuống thể hiện danh sách các loại mã và tên của nó. Menu này thay đổi khi bạn chọn một kiểu ICMP khác vì nó sử dụng các mã khác. Bạn có thể chọn theo cả số (sử dụng trường số) hay mô tả của nó (dùng menu thả xuống). - Hộp đánh dấu ’AnyType’: đánh dấu ở đây nếu bạn tạo một đối tượng đúng với mọi kiểu và mã ICMP. - Bình luận: trường văn bản tự do để chú thích. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 87/118
  88. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT 2.7.3 Dịch vụ TCP Đối tượng dịch vụ TCP là một hệ giao thức TCP cung cấp kết nối xác thực dòng byte. Nhiều tần số đã biết đến sử dụng bởi các ứng dụng trên nền giao thức TCP: FTP (giao thức truyền file), SMTP (Giao thức gửi mail thông thường), HTTP (Giao thức truyền siêu văn bản) Đâu đề của TCP chứa các trường đặc biệt gọi là cổng nguồn và đích được dùng để gửi và nhận các ứng dụng dùng dòng dữ liệu. Có 2 giá trị, theo địa chỉ IP nguồn và đích trong đầu đề của IP, riêng biệt đối với từng kết nối. Số hiệu cổng phân biệt các ứng dụng dùng các dòng dữ liệu cung cấp bởi giao thức TCP, mỗi ứng dụng sử dụng một cổng riêng. Để chắc chắn về thao tác giữa các phần, số này phải được đặt bởi một trung tâm chứng thực theo dõi duy trì. Internet Assigned Numbers Authority (IANA) làm nhiệm vụ này; gán cho số cổng TCP và UDP có thể tìm được theo URL: numbers . Hầu hết cá hệ thống Unix đều có một file /etc/services chứa danh sách các cổng đã địn sẵn. Firewall Builder có một tập hợp các cổng chưa định nghĩa của đối tượng dịch vụ TCP cùng với số cổng đã được cấu hình. Bạn có thể sử dụng đối tượng này một cách đơn gian trong các luật và không phải tìm số hiệu cộng mỗi khi bạn cần sử dụng chúng. Đối tượng dịch vụ TCP được thể hiện trong hình minh họa (Hình 7-3.) Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 88/118
  89. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 7-3. Sửa đối tượng dịch vụ TCP Trong Firewall Builder, đối tượng dịch vụ TCP là một sự khái quát của giao thức TCP. Đầu đề của gói tin TCP chỉ mang một giá trị cố định cho cổng nguồn và một giá trị cố định cho cổng đích. Đối tượng dịch vụ TCP cho phép đặt một khoảng giá trị để sử dụng cho cổng nguồn và đích. Nó cho phép một đối tượng dịch vụ TCP mô tả cả họ giao thức sử dụng các cổng có số hiệu liên tiếp, hay họ giao thức sử dụng số cổng thay đổi hay đa giao thức dùng số cổng từ một khoảng nào đó. Ví dụ: trong hệ thống Unix, Các phiên TCP được mở bởi một tiến trình đặc biệt luôn có cổng của chúng luôn có cổng nguồn được gán từ một khoảng dưới 1024, một tiến trình thông thường sử dụng cổng nguồn trong khoảng bắt đầu từ 1024 và cao hơn. Đối tượng dịch vụ TCP có cổng nguồn xác định được biểu diễn trên hình minh họa (Hình 7-4) mô tả một phiên làm việc đặc biệt dùng TCP. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 89/118
  90. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 7-4. Đối tượng dịch vụ TCP: cổng nguồn đặc biệt Sử dụng ’0’ làm giá trị bắt đầu và kết thúc của khoảng có nghĩa là ’mọi giá trị’ cho khoảng này. Khoảng của cổng nguồn đối tượng ’TCP đặc biệt’ bắt đầu từ cổng 0 kết thúc ở cổng 1023 (khoảng cổng được tính ở trong Firewall Builder). Một đối tượng dùng giao thức TCP với một cổng nguồn trong khoảng 0-1023 và cổng đích. Nếu bạn cần tạo một đối tượng để môt tả giao thức TCP với một cổng đích riêng, hãy dùng cùng một số riêng biệt để gán cho giá trị bắt đầu và kết thúc trong khoảng cổng đích (nó sẽ tạo ra một khoảng cổng chỉ gồm một giá trị). Ví dụ trong hình 7-3 biểu diễn dịch vụ này. Đầu đề của TCP cũng có một số trường chiếm 1 bit hay cờ mang một số thông tin khác như cờ SYN và ACK dùng để thiết lập cờ FIN dùng để kết nối đầu cuối. Có 6 loại cờ trong đầu đề của TCP. URG Con trỏ "khẩn cấp" hợp lệ ACK Số hiệu báo nhận PSH Bộ phần tiếp nhận phải chuyển dữ liệu này tới tầng ứng dụng sớm nhất RST Khởi tạo lại kết nối SYN Chuỗi số đồng bộ để khởi động kết nối Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 90/118
  91. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT FIN Người giửi hoàn tất truyền dữ liệu Firewall Builder hỗ trợ cả 6 cờ, mặc dù không phải tất cả các dạng firewall đều có thể dùng các cờ kết hợp của TCP hay mọi cờ khác (Xem trong bảng 7-2). Table 7-2. Support for Matching against TCP flags Firewall Có thể kiểm tra cờ trong đầu đề gói tin TCP iptables Yes ipfilter Yes pf Yes Cisco PIX No Đối tượng hình trong hình 7-5 đúng với gói tin TCP với các cổng, cờ TCP SYN được đặt và các cờ khác được xóa. Firewall sẽ kiểm tra tấ cả các cờ TCP. Hình 7-5. Đối tượng dịch vụ TCP: mọi gói tin TCP có đặt cờ SYN và tất cả các cờ khác bị xóa Trong luật này, chúng tôi tạo một đối tượng dịch vụ TCP "tcp null scan" khi mà tất cả các lớp mạng được đặt nhưng tất cả các cờ TCP được xóa. Có nghĩa là kiểm tra tất cả các cờ nhưng phải đồng bộ chúng nếu nó bị xóa. Đối tượng này được chỉ ra trong hình 7-6. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 91/118
  92. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 7-6. Đối tượng dịch vụ "null scan" TCP: firewall kiểm tra tất cả các cờ TCP và đồng bộ chúng khi bị xóa Bảng dịch vụ TCP cung cấp các điều khiển sau: - Tên: tên của đối tượng - Khoảng cổng nguồn: nhận các giá trị cổng từ 0 tới 65535. - Khoảng cổng đích: nhận các giá trị từ 0 tới 65535. - Các cờ TCP: cờ TCP và lớp mạng, xem ở trên. - Bình luận: một kiểu văn bản tự do dùng để bình luận 2.7.4 Dịch vụ UDP Đối tượng dịch vụ UDP là một sự tổng hợp của giao thức UDP, đây là một lớp giao thức vận chuyển không kết nối. Rất nhiều ứng dụng dùng giao thức UDP làm phương tiện vận chuyển, như là DNS (Domain Name System), DHCP (Dy-namic Host Configuration Protocol), NTP (NetworkTime Protocol), SNMP (Simple Network Management Protocol). Tương tự như TCP, UDP sử dụng số cổng để phân biệt các ứng dụng chạy trên một máy từ một máy khác. Đầu đề của gói tin UDP mang số của 2 cổng: cổng nguồn và cổng đích. Đối tượng dịch vụ UDP trong Firewall Builder cho phép định nghĩa một khoảng của cả cổng nguồn và cổng đích. Ý nghĩa chính của các giá trị này là định nghĩa điểm bắt đầu và điểm kết thúc của khoảng này giống như đối tượng dịch vụ TCP: khoảng là tất cả các giá trị trong đó gồm cả điểm bắt đầu và điểm kết thúc. Sử dụng ’0’ cho cả điểm bắt đầu và kết thúc của khoảng có nghĩa là ’bất kỳ cổng nào’. Luật này làm việc cho cả khoảng nguồn và khoảng đích. Hình minh họa (hình 7-7) cho đối tượng dịch vụ ’dns’ UDP nó thể hiện giao thức Domain Name System nó dùng cổng số 53. Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 92/118
  93. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Hình 7-7. Sửa đối tượng dịch vụ UDP Bảng dịch vụ UDP cung cấp các khả năng điều khiển sau: - Tên: tên của đối tượng - Khoảng cổng nguồn: đây là 2 khả năng điều khiển xác định điểm bắt đầu và kết thúc của khoảng cổng; chúng nhận giá trị từ 0 đến 65535. Khoảng cổng đích: : đây là 2 khả năng điều khiển xác định điểm bắt đầu và kết thúc của khoảng cổng; chúng nhận giá trị từ 0 đến 65535. - Bình luận: mẫu văn bản tự do sử dụng để bình luận 2.7.5 Dịch vụ Tùy biến Đối tượng dịch vụ Tùy biến có thể sử dụng để thêm một đoạn mã đánh giá cá nhân vào kịch bản của firewall đã sinh ra. Mọi tùy chọn kết hợp được cho phép trong dòng lệnh của firewall mà không phù hợp với sự khắt khe đối với một kiểu đối tượng dịch vụ chuẩn có thể nhấn mạnh sử dụng đối tượng dịch vụ Tùy biến. Ví dụ, iptables đi cùng với một bộ các mảnh vá có tên là "Patch-o-matic", nó thêm một khả năng đúng với các gói kết hợp phức tạpvề các tham số hay các trường đầu đề không được hỗ trợ bởi mã chuẩn. Một trong nhữn mảnh vá thêm khả năng dò ra một điều kiện quét cổng, nơi mà các máy có hại cố gắng nối vào một cổng UDP hay TCP trên firewall hay máy chủ ở sau nó, mảnh vá này giúp nhận số cổng trong khoảng cố gắng dò các cổng đang họat động hay đang tắt. Thông thường firewall sẽ kiểm tra khả năng nối vào một cổng riêng biệt từ cổng khác và ghi nhật ký mỗi dòng là một lần thử kết nối. Bình thường nó có thể thất bại trong việc nhận định một kiểu hành động của máy chủ tấn công, điều này có thể là quan trọng trong Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 93/118
  94. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT việc phát hiện các hoạt động có hại như việc quét các cổng thường xuyên là một bước chuẩn bị cho một cuộc tấn công sâu hơn. Hình minh họa (Hình 7-8) thể hiện đối tượng dịch vụ Tùy biến sử dụng khả năng của module ’PSD’ từ patch-o-matic. Module này có thể khớp khả năng cổng mà đang thực hiện trong một khoảng thời gian và có một vài tham số để bít các lỗ hổng của máy. Đối tượng Tùy biến ’psd’ xác định tùy chọn dòng lệnh trong các lựa chọn riêng dành cho module ’psd’ trong trường ’Code’. Chú ý: mã đã được quy định trong dịch vụ Tùy chọn được sử dụng đúng nguyên vẹn; không có sự thông qua của Firewall Builder GUI hay bộ biên dịch chính sách. Hình 7-8. Sửa đối tượng dịch vụ tùy chọn Bảng đối tượng dịch vụ tùy chọn cung cấp các khả năng tùy chọn sau: - Tên: tên của đối tượng - Hệ thống nền: một menu thả xuống hiện danh sách tất cả các hệ thống nền của firewall dành cho module đã cài và tải khi khởi động. - Mã: là một dòng mã trong ngôn ngữ của firewall. - Bình luận: mẫu văn bản tự do sử dụng để bình luận Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 94/118
  95. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT Đối tượng dịch vụ Tùy chọn đã tạo như trong hình 7-8 có thể được sử dụng trong luật như mọi đối tượng dịch vụ khác. Ví dụ luật trong hình 7-9 chặn quét cổng được khởi động chống lại máy chủ’server’. Bộ biên dịch chính sách dịch luật này vào trong lệnh iptables hiện trong hình 7-1: Hình 7-9. Sử dụng đối tượng dịch vụ tùy chọn trong Luật chính sách Ví dụ 7-1. Lệnh Iptables sinh ra từ chính sách trong hình 7-9 $IPTABLES -A OUTPUT -d 10.3.14.100 -m psd psd-weight-threshold 5 psd- delay-threshold 10000$IPTABLES -A FORWARD -d 10.3.14.100 -m psd psd- weight-threshold 5 psd-delay-threshold 10000 Thông thường dịch vụ Tùy chọn có thể lưu một đoạn mã cá nhân cho mỗi dạng firewall hỗ trợ. Khi đối tượng này được dùng trong chính sách firewall, bộ biên dịch chính sách lấy cá dòng mã phù hợp tùy theo dạng firewall đích để biên dịch. 2.8 Chính sách Firewall 2.8.1 Chính sách và luật Mỗi đối tượng firewall có một vài tập luật kết hợp với nó: Global Policy, Interface Policies và luật Network Address Translation(NAT). Các luật trong các chính sách chung và các luật giao diện điều khiển khả năng truy cập tới và từ máy firewall và các máy sau nó, trong khi luật NAT mô tả địa chỉ và cổng chuyển đổi mà firewall tạo ra để cho các gói tin đi qua nó. Phần mềm Firewall khác nhau có các hình thức khác nhau rất lớn trong cách tác động vào gói tin. Ví dụn một vài firewall cần có tất cả các luật phù hợp vớigiao diện, trong khi một số khác khôgn có các yêu cầu này. Một vài firewall yêu cầu có địa chỉ và cổng chuyển đổi đầu tiên và sau đó áp dụng luật, trong khi một số khác làm cách khác. Có rất nhiều thay đổi và các tính năng riêng đối với các hành động riêng. Trong Firewall Builder, người dùng làm việc với một firewall trừu tượng dưới một dạng firewall không có gì đặc biệt trong hệ thống nền để tạo ra các mã của nó. Ví dụ: Cisco PIX áp dụng luật AccessList của nó cho các gói tin trước khi yêu cầu địa chỉ và cổngchuyển đổi theo luật NAT. Việc này khiến cho dạng firewall khác về căn bản bất tiện vì một luậ mà điều khiển khả năng truy cập tới Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 95/118
  96. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT server đặt sau firewall dùng NAT phải viết các đối tượng của firewall thay vì viết cho các đối tượng trong server. Có nghĩa là luật này không rõ ràng vì nó giữ hoàn toàn các luật NAT và luật này không điều khiển việc truy cập firewall mà tới server sau nó. Firewall Builder đáp ứng các thay đổi này bằng cách dùng dạng thuật toán nhanh để chuyển đổi luật được xác định trong GUI để sinh mã của firewall để thực hiện các hiệu quả đi kèm. Hình 8-1 Thể hiện chuỗi logic mà luật đã định nghĩa trong Firewall Builder tác động lên gói tin. Sơ đô nàu mô tat một firewall ảo mà Firewall Builder thể hiện đối với người dùng. Trong một số trường hợp firewall thực hiện theo cùng một cách, một số khác thì không. Trong cả 2 trường hợp, mục đích chính là để cho người quản trị xây dựng luật cho firewall làm việc như trong hình 8-1. Một Firewall nên có nhiều giao diện và nhiều luật giao diện. Khi đó một giao diện là một tham số của chính sách, và luật trong các Interface Policies khác nhau là áp dụng cho các giao diện khác nhau, chúng trực giao với nhau. Nguyên nhân là nó không sắp xếp các Interface Policies đã được ứng dụng. Nó đảm bảo cho việc khi Interface Policies là một ngăn xếp trên đỉnh của Global Policy và kiểm tra gói tin trước khi thực hiện Global Policy. Hình 8-1. Chuỗi mà luật NAT và chính sách áp dụng cho gói tin trong Firewall Builder Xung quanh 3 kiểu chính, và các tập luật đã được hỗ trợ, luật Global Policy và Interface Policy. Các luật nà thể hiển khả năng điều khiển truy cập bởi vì chúgn xác định gói tin nào sẽ được phép và từ chối. Cả hai luật Global and Interface Policy hoạt động dựa trên địa chỉ nguồn gói tin và địa chỉ đích cùng các tham số giao thức. Sự khác biệt là luật Interface cũng đưa vào tài khoản giao diện của firewall mà gói tin vượt qua hay theo một hướng khác. Luật Global Policy làm việc không quan tâm đến giao diện. Trong trường hợp của iptables, Global Policy gần như tương đương với các luật iptables mà không quy định rõ giao diện dùng các tùy chọn "-i" hay "-o"; mặc dù vậy ở đay có thể không phù hợp trực tiếp với các dạng firewall khác. Các luật Interface Policy rules tương ứng với một giao Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 96/118
  97. Giải pháp an ninh mạng diện rộng Đảng Cộng Sản Việt Nam Trung tâm CNTT, VPTW Đảng – Công ty NetNam, Viện CNTT diện cụ thể của firewall và có một tuỳ chọn môt tả hướng mà gói tin nên đi qua, giao diện cần có phải chính xác. Chú ý: mặc dù nó có thể đếm một cách khác cho những cái mà thuộc họ iptables (net filter), Interface Policies KHÔNG trực tiếp chuyển vào chuỗi INPUT và OUTPUT. Trên thực tế các luật trong Interface Policy vẫn có thể chuyển vào chuỗi FORWARD. Chỉ có các luật mà đối tượng firewall hoặc một trong các giao diện của nó được dùng trong đích đến, sẽ sinh ra trong luật của iptables và được nạp vào chuỗi INPUT. Tương tự như vậy, các luật có firewall hay một trong số các giao diện của nó trong nguồn sẽ được điền vào luật của iptables rules trong chuỗi OUTPUT. Những luật này có thể thực hiện trong cả Global và Interface Policies. Thứ khiến cho Global và Interface Policies khác nhau là sự tra cứu tới giao diện cái mà mệnh đề của iptables dùng lựa chọn "-i" và "-o" và tra cứu tên của giao diện phù hợp. 2.8.1.1 Hành động Luật firewall có 3 hành động chính sau: Acccept, Deny hay Reject. Nếu luật có hành động là Accept, một gói tin với địa chỉ nguồn và đích và dịch vụ phù hợp với luật sẽ được cho truyền qua. Nếu hành động là Deny, gói tin sẽ bị loại bỏ. Nếu hành động là Reject, gới tin sẽ bị loại bỏ và một gói tin ICMP thích hợp sẽ được gửi lại cho người gửi. Các hành động này được biểu diễn trong hình 8-3 Tài liệu hướng dẫn sử dụng phần mềm quản trị an ninh Trang 97/118