• Thứ Tư, 21/12/2005 14:16 (GMT+7)

    IPCop trong bảo mật và tối ưu băng thông

    Một trong những vấn đề được quan tâm nhiều nhất khi các doanh nghiệp và tổ chức ứng dụng giải pháp công nghệ thông tin là làm sao "tối ưu hóa băng thông và tăng cường bảo mật". Để thực hiện điều này, chúng ta có thể sử dụng phần cứng chuyên dụng của các hãng như Juniper, Cisco hay CheckPoint hoặc các phần mềm như ISA Server 2004 của Microsoft. Mỗi sản phẩm có những mặt mạnh, yếu riêng tuy nhiên tất cả đều là những sản phẩm thương mại, chi phí đầu tư cao. IPCop Firewall là một sản phẩm mã nguồn mở thay thế, có thể giúp tiết kiệm chi phí.

    IPCop là một bản phân phối Linux thuần túy có chức năng "tường lửa" (firewall) chuyên nghiệp bảo vệ hệ thống mạng trước các nguy cơ như virus và xâm nhập bất hợp pháp. IPCop Firewall không đòi hỏi cấu hình phần cứng cao nên cho phép tận dụng máy tính cũ. Trước khi cài đặt và triển khai IPCop, bạn nên tham khảo danh sách các phần cứng tương thích với IPCop tại trang web: http://ipcop.sourceforge.net/cgi-bim/twiki/view/IPCopHCLv01.

    IPCop Firewall/Router có nhiều tính năng mạnh mà ngay cả những sản phẩm tường lửa thương mại hàng đầu cũng không có được. Để tăng cường bảo mật cho các ứng dụng và tối ưu hóa băng thông, IPCop đã tích hợp những chương trình bảo mật hàng đầu với những tính năng hữu ích như:

    1. Linux Netfilter - Stateful Packet Inspection: một ứng dụng firewall nổi tiếng và mạnh.

    2. Snort -Network IDS: hệ thống dò tìm và phát hiện sự xâm nhập trái phép.

    3. Squid – Web Proxy: chương trình kiểm soát và tăng tốc truy cập Internet được nhiều người yêu thích.

    4. Hỗ trợ FreeS/WAN IPSec cho phép xây dựng máy chủ VPN cung cấp truy cập tài nguyên nội bộ cho người dùng từ xa thông qua các phiên truyền được mã hóa và chứng thực chặt chẽ.

    5. Ngoài ra còn có các dịch vụ mạng phổ biến và quan trọng như DHCP server cung cấp địa chỉ IP động, hỗ trợ chức năng đăng kí tên miền tự động thông qua cơ chế Dynamic DNS...

    6. Giao diện quản lý, cấu hình thân thiện và dễ sử dụng thông qua môi trường web.

    7. Cơ chế tự vá lỗi và cập nhật các chính sách bảo mật tự động.

    8. Cho phép sao lưu và khôi phục nhanh chóng các thông tin cấu hình của IPCop khi có sự cố xảy ra.
    Cấu hình phần cứng tối thiểu để cài đặt IPCop:

    • PC 386 với 16MB RAM (nên có nhiều hơn nếu sử dụng chức năng IDS của Snort và tăng tốc độ truy cập Internet của Squid)

    • Đĩa cứng ATA dung lượng tối thiểu 125MB + 2x (dung lượng bộ nhớ RAM)

    • Ngoài ra, IPCop là một hệ thống firewall cho nên cần có ít nhất 2 card mạnb (NIC): một cho môi trường bên ngoài (RED) và một cho hệ thống nội bộ (GREEN).

    Lưu ý: khi cài đặt IPCop đĩa cứng sẽ được format và phân vùng lại, vì vậy toàn bộ dữ liệu đang dùng trên đĩa cứng sẽ bị xóa.

    TRIỂN KHAI IPCOP FIREWALL/ROUTER

    Chúng ta dùng mô hình mạng công ty Secure Solution có 1 đường truyền ADSL với địa chỉ modem ADSL (IP: 192.168.8.1) để minh họa. Hệ thống của công ty được chia làm 4 phần:

    - Red: lớp mạng giao tiếp với hệ thống bên ngoài như Internet, kết nối với IPCop qua NIC 192.168.8.2.

    - Orange: đây là vùng dành cho các server quan trọng của công ty như web server, mail server kết nối với IPCop qua NIC 192.168.3.1.

    - Blue: đây là vùng dành riêng cho các thiết bị không dây nhằm tăng cường tính bảo mật cho các máy tính và dữ liệu được truyền trong môi trường này, giao tiếp với IPCop qua NIC 192.168.2.1.

    - Green: hệ thống mạng nội bộ của công ty, gồm máy tính của các nhân viên, phòng ban... Kết nối với IPCop qua NIC 192.168.1.1.

    Bạn tải về tập tin ảnh đĩa (iso) cài đặt IPCop từ website www.ipcop.org, sau đó dùng chương trình ghi đĩa như Nero Burn ghi tập tin này lên đĩa CD. Khởi động máy tính dùng làm IPCop Firewall/Router (có ít nhất 2 card mạng) từ ổ CD ROM, màn hình cài đặt với thông báo sẽ xóa sạch toàn bộ dữ liệu được hiển thị như hình.

    Nhấn Enter để tiếp tục quá trình cài đặt, các thông số khởi động sẽ xuất hiện, sau đó chúng ta cần xác định ngôn ngữ hiển thị cho IPCop - chọn English và nhấn OK. Chương trình cài đặt sẽ xác nhận lại một lần nữa, nhấn OK để tiếp tục, và sau đó chọn cài đặt từ CD ROM trên khung Select installation media.

    Sau khi hệ thống tập tin được khởi tạo, một màn hình nhắc nhở có cần phục hồi IPCop Firewall từ đĩa mềm lưu giữ thông tin cấu hình hay không, ở đây ta chọn Skip.

    Tiếp theo chúng ta cần xác định các trình điều khiển (driver) và tham số cho các card mạng, chọn Probe để hệ thống tự động dò tìm hoặc chọn Select nếu như muốn tự mình xác định.

    Sau khi trình điều khiển cho GREEN interface được nạp, chúng ta sẽ cấu hình các tham số TCP/IP cho card mạng này, theo mô hình ở trên chúng ta sẽ nhập vào:

    - IP address: 192.168.1.1

    - Network mask: 255.255.255.0

    Lúc này tất cả các thành phần cần thiết của IPCop đã được cài đặt, thông báo Remove CDROM sẽ xuất hiện, hãy nhấn OK để bắt đầu khởi tạo các thông tin cấu hình cơ bản.

    Hãy chọn kiểu bàn phím (keyboard) là US và chọn Time zone thích hợp, có thể tham khảo về Time zone ở trang web http://www.ipcop.org để xác định theo ý mình.

    Đặt tên và domain cho IPCop Firewall, ví dụ ipcop và loca domain rồi chọn OK, chúng ta có thể thay đổi các thông tin này trong phần quản trị IPCop.

    Trong trường hợp này sử dụng đường truyền ADSL nên chọn disable ISDN


    Sau đó chúng ta xác định thêm về các thông tin như TCP/IP của RED interface, dãy địa chỉ động cấp cho các client, địa chỉ DNS, gateway, mật mã đăng nhập hệ thống và website quản trị và khởi động lại hệ thống.

    QUẢN TRỊ IPCOP FIREWALL/ROUTER

     

    Lúc này hệ thống đã kết nối với Internet nên thấy xuất hiện dòng chữ Connected, nếu không bạn phải nhấn vào Connect để kết nối thiết bị ADSL của mình với nhà cung cấp dịch vụ.

     

    Giao diện web quản trị IPCop Firewall

    Chúng ta có thể quản trị IPCop bằng giao diện web từ bất cứ máy tính nào trong hệ thống của mình, ngoại trừ chính nó. Vì là một firewall nên bạn có thể tháo bỏ các thiết bị ngoại vi như chuột, bàn phím và cả màn hình khỏi IPCop Firewall để tiết kiệm chi phí và nâng cao tính bảo mật. Từ máy tính dùng để quản trị, hãy nhập vào địa chỉ sau http://ipcop:81 hoặc http://192.168.1.1:81 tùy theo địa chỉ mạng trong của firewall để đăng nhập vào màn hình quản trị.

    Trong giao diện web quản trị hệ thống IPCop Firewall, trên thanh công cụ có các menu điều khiển như: System, Status, Network, Services, Firewall... Dưới đây sẽ điểm qua một số menu quan trọng:

    1. System

    Trong trình đơn này có các công cụ: Home dùng để quay về trang quản trị chính, Updates để cập nhật những bản vá mới cho firewall, Password để thay đổi thông tin tài khoản quản trị, SSH Access để bật/tắt SecureShell để có thể kết nối đến IPCop bằng các tiện ích SSH Client như Putty và tiến hành các thay đổi trực tiếp trên những tập tin cấu hình của firewall. Ngoài ra còn có các nút điều khiển khác như Shutdown để tắt firewall hay Backup để sao lưu toàn bộ thông tin cấu hình IPCop phòng khi có sự cố xảy ra. Và bạn có thể chọn GUI Settings để thay đổi giao diện trang web quản trị của IPCop thành tiếng Việt.

    1.1 Updates

    Ở phần Available Updates chúng ta thấy có những bản cập nhật mới, hãy truy cập vào website www.ipcop.org và tải về tập tin cập nhật này và lưu chúng trên máy dùng để quản trị. Sau đó chọn nút Browse trong phần Install new update để chọn tập tin này và Upload chúng lên firewall, tiến trình cài đặt sẽ tự động thực thi. Tùy theo bản cập nhật mà chúng ta có cần phải khởi động lại hệ thống firewall hay không.


    1.2 SSH Access

    Để cho phép quản trị IPCop firewall/router ở mức sâu, cần phải thiết lập SSH Server thông qua menu SSH Access và chọn enable (mặc định disable).

    Lưu ý: SSH server trên IPCop sử dụng port 222 cho nên chúng ta cần phải kết nối SSH Client đến port 222 thay vì port 22 như thông thường, ví dụ:

    $ ssh –p 222 root@192.168.1.192 với 192.168.1.192 là địa chỉ mạng trong của firewall.

    1.3 GUI Settings

    Để chuyển sang giao diện tiếng Việt, chọn GUI Settings và chọn Vietnamese trong phần Select the language you wish IPCop to display in và chọn Save.

    1.4 Backup

    Hãy chọn Create và chọn Backup to floopy rồi đưa đĩa mềm được định dạng bằng Linux vào. Dòng lệnh định dạng đĩa mềm trên hệ thống Linux: #fdfomat /dev/fd0 (có thể chạy thông qua SSH Client).

    2. Status

    Khi hệ thống đã hoạt động, chúng ta cần xem xét trạng thái hiện tại của firewall, những dịch vụ nào đang chạy, quá trình sử dụng bộ nhớ, đĩa...

    Giám sát các dịch vụ
     

    Giám sát bộ nhớ

    Giám sát các máy tính kết nối

    3. Services

    Đây là menu dùng để quản lý các dịch vụ như Web Proxy, Instruction Detect, DHCP...

    IPCop hỗ trợ dịch vụ Network Instruction Detect System dựa trên phần mềm phát hiện và dò tìm xâm nhập nổi tiếng Snort để phòng ngừa và phát hiện các trường hợp tấn công. Mặc định hệ thống IDS chỉ hoạt động trên Red Interface, bạn nên kích hoạt cho cả GREEN và BLUE interface vì theo thống kê có đến 80% các trường hợp tấn công và đặc biệt là nghe lén với những phần mềm như dsniff có nguồn gốc từ nội bộ.

    Ngoài ra chúng ta còn có thể cấu hình DNS động, tạo các host record... trên IPCop Firewall/Router, cấu hình VPN Server để hỗ trợ các truy cập từ xa... Các bạn có thể tham khảo tài liệu Admin của IPCop trên website www.ipcop.org và trang web http://www.security365.org.

    Trong quá trình sử dụng IPCop cho hệ thống của mình tôi nhận thấy đây là một hệ thống Firewall/VPN rất hiệu quả, có thể đáp ứng đầy đủ các nhu cầu bảo mật và chia sẻ Internet cho các doanh nghiệp vừa và nhỏ ở Việt Nam. Đặc biệt, việc hỗ trợ cho DHCP Client đơn giản và hiệu quả hơn so với phần mềm Firewall/Proxy thương mại như ISA Server vì không cần phải thực hiện thêm bất kỳ thao tác nào như cấu hình WPAD hay thay đổi port của proxy server... Khi hệ thống nội bộ có những hoạt động trái phép như Spoofing ARP hay nghe lén password, bắt giữ tập tin... IPCop đều có thể phát hiện và đưa ra cảnh báo rất hiệu quả.

    Nguyễn Trần Tường Vinh
    MCSA/MCSE Security, Comptia SECURITY+, SCNP
    Leader@Security365.Org
    Giám đốc công ty SECURE SOLUTION

    ID: A0512_127