Nguyễn Trần Tường Vinh
MCSA/MCSE Security, Comptia SECURITY+, SCNP
Leader@Security365.Org
Giám đốc công ty SECURE SOLUTION
Một trong những vấn đề
được quan tâm nhiều nhất khi các doanh nghiệp và tổ chức ứng dụng giải
pháp công nghệ thông tin là làm sao "tối ưu hóa băng thông và tăng
cường bảo mật". Để thực hiện điều này, chúng ta có thể sử dụng phần
cứng chuyên dụng của các hãng như Juniper, Cisco hay CheckPoint hoặc
các phần mềm như ISA Server 2004 của Microsoft. Mỗi sản phẩm có những
mặt mạnh, yếu riêng tuy nhiên tất cả đều là những sản phẩm thương mại,
chi phí đầu tư cao. IPCop Firewall là một sản phẩm mã nguồn mở thay
thế, có thể giúp tiết kiệm chi phí.
IPCop là một bản phân phối
Linux thuần túy có chức năng "tường lửa" (firewall) chuyên nghiệp bảo
vệ hệ thống mạng trước các nguy cơ như virus và xâm nhập bất hợp pháp.
IPCop Firewall không đòi hỏi cấu hình phần cứng cao nên cho phép tận
dụng máy tính cũ. Trước khi cài đặt và triển khai IPCop, bạn nên tham
khảo danh sách các phần cứng tương thích với IPCop tại trang web: http://ipcop.sourceforge.net/cgi-bim/twiki/view/IPCopHCLv01.
IPCop
Firewall/Router có nhiều tính năng mạnh mà ngay cả những sản phẩm tường
lửa thương mại hàng đầu cũng không có được. Để tăng cường bảo mật cho
các ứng dụng và tối ưu hóa băng thông, IPCop đã tích hợp những chương
trình bảo mật hàng đầu với những tính năng hữu ích như:
1. Linux Netfilter - Stateful Packet Inspection: một ứng dụng firewall nổi tiếng và mạnh.
2. Snort -Network IDS: hệ thống dò tìm và phát hiện sự xâm nhập trái phép.
3. Squid – Web Proxy: chương trình kiểm soát và tăng tốc truy cập Internet được nhiều người yêu thích.
4.
Hỗ trợ FreeS/WAN IPSec cho phép xây dựng máy chủ VPN cung cấp truy cập
tài nguyên nội bộ cho người dùng từ xa thông qua các phiên truyền được
mã hóa và chứng thực chặt chẽ.
5. Ngoài ra còn có các dịch vụ
mạng phổ biến và quan trọng như DHCP server cung cấp địa chỉ IP động,
hỗ trợ chức năng đăng kí tên miền tự động thông qua cơ chế Dynamic
DNS...
6. Giao diện quản lý, cấu hình thân thiện và dễ sử dụng thông qua môi trường web.
7. Cơ chế tự vá lỗi và cập nhật các chính sách bảo mật tự động.
8. Cho phép sao lưu và khôi phục nhanh chóng các thông tin cấu hình của IPCop khi có sự cố xảy ra.
Cấu hình phần cứng tối thiểu để cài đặt IPCop:
• PC 386 với 16MB RAM (nên có nhiều hơn nếu sử dụng chức năng IDS của Snort và tăng tốc độ truy cập Internet của Squid)
• Đĩa cứng ATA dung lượng tối thiểu 125MB + 2x (dung lượng bộ nhớ RAM)
•
Ngoài ra, IPCop là một hệ thống firewall cho nên cần có ít nhất 2 card
mạnb (NIC): một cho môi trường bên ngoài (RED) và một cho hệ thống nội
bộ (GREEN).
Lưu ý: khi cài đặt IPCop đĩa cứng sẽ được format và phân vùng lại, vì vậy toàn bộ dữ liệu đang dùng trên đĩa cứng sẽ bị xóa.
TRIỂN KHAI IPCOP FIREWALL/ROUTER
Chúng
ta dùng mô hình mạng công ty Secure Solution có 1 đường truyền ADSL với
địa chỉ modem ADSL (IP: 192.168.8.1) để minh họa. Hệ thống của công ty
được chia làm 4 phần:
- Red: lớp mạng giao tiếp với hệ thống bên ngoài như Internet, kết nối với IPCop qua NIC 192.168.8.2.
- Orange: đây là vùng dành cho các server quan trọng của công ty như web server, mail server kết nối với IPCop qua NIC 192.168.3.1.
- Blue: đây
là vùng dành riêng cho các thiết bị không dây nhằm tăng cường tính bảo
mật cho các máy tính và dữ liệu được truyền trong môi trường này, giao
tiếp với IPCop qua NIC 192.168.2.1.
- Green: hệ thống mạng nội bộ của công ty, gồm máy tính của các nhân viên, phòng ban... Kết nối với IPCop qua NIC 192.168.1.1.
Bạn tải về tập tin ảnh
đĩa (iso) cài đặt IPCop từ website www.ipcop.org, sau đó dùng chương
trình ghi đĩa như Nero Burn ghi tập tin này lên đĩa CD. Khởi động máy
tính dùng làm IPCop Firewall/Router (có ít nhất 2 card mạng) từ ổ CD
ROM, màn hình cài đặt với thông báo sẽ xóa sạch toàn bộ dữ liệu được
hiển thị như hình.
Nhấn Enter để tiếp tục
quá trình cài đặt, các thông số khởi động sẽ xuất hiện, sau đó chúng ta
cần xác định ngôn ngữ hiển thị cho IPCop - chọn English và nhấn OK.
Chương trình cài đặt sẽ xác nhận lại một lần nữa, nhấn OK để tiếp tục,
và sau đó chọn cài đặt từ CD ROM trên khung Select installation media.
Sau khi hệ thống tập tin
được khởi tạo, một màn hình nhắc nhở có cần phục hồi IPCop Firewall từ
đĩa mềm lưu giữ thông tin cấu hình hay không, ở đây ta chọn Skip.
Tiếp theo chúng ta cần
xác định các trình điều khiển (driver) và tham số cho các card mạng,
chọn Probe để hệ thống tự động dò tìm hoặc chọn Select nếu như muốn tự
mình xác định.
Sau khi trình điều khiển
cho GREEN interface được nạp, chúng ta sẽ cấu hình các tham số TCP/IP
cho card mạng này, theo mô hình ở trên chúng ta sẽ nhập vào:
- IP address: 192.168.1.1
- Network mask: 255.255.255.0
Lúc này tất cả các thành
phần cần thiết của IPCop đã được cài đặt, thông báo Remove CDROM sẽ
xuất hiện, hãy nhấn OK để bắt đầu khởi tạo các thông tin cấu hình cơ
bản.
Hãy chọn kiểu bàn phím
(keyboard) là US và chọn Time zone thích hợp, có thể tham khảo về Time
zone ở trang web http://www.ipcop.org để xác định theo ý mình.
Đặt tên và domain cho
IPCop Firewall, ví dụ ipcop và loca domain rồi chọn OK, chúng ta có thể
thay đổi các thông tin này trong phần quản trị IPCop.
Trong trường hợp này sử dụng đường truyền ADSL nên chọn disable ISDN
Sau đó chúng ta xác
định thêm về các thông tin như TCP/IP của RED interface, dãy địa chỉ
động cấp cho các client, địa chỉ DNS, gateway, mật mã đăng nhập hệ
thống và website quản trị và khởi động lại hệ thống.
QUẢN TRỊ IPCOP FIREWALL/ROUTER
| |
Lúc
này hệ thống đã kết nối với Internet nên thấy xuất hiện dòng chữ
Connected, nếu không bạn phải nhấn vào Connect để kết nối thiết bị ADSL
của mình với nhà cung cấp dịch vụ. |
| |
Giao diện web quản trị IPCop Firewall |
Chúng ta có thể quản trị
IPCop bằng giao diện web từ bất cứ máy tính nào trong hệ thống của
mình, ngoại trừ chính nó. Vì là một firewall nên bạn có thể tháo bỏ các
thiết bị ngoại vi như chuột, bàn phím và cả màn hình khỏi IPCop
Firewall để tiết kiệm chi phí và nâng cao tính bảo mật. Từ máy tính
dùng để quản trị, hãy nhập vào địa chỉ sau http://ipcop:81 hoặc
http://192.168.1.1:81 tùy theo địa chỉ mạng trong của firewall để đăng
nhập vào màn hình quản trị.
Trong giao diện web quản
trị hệ thống IPCop Firewall, trên thanh công cụ có các menu điều khiển
như: System, Status, Network, Services, Firewall... Dưới đây sẽ điểm
qua một số menu quan trọng:
1. System
Trong trình
đơn này có các công cụ: Home dùng để quay về trang quản trị chính,
Updates để cập nhật những bản vá mới cho firewall, Password để thay đổi
thông tin tài khoản quản trị, SSH Access để bật/tắt SecureShell để có
thể kết nối đến IPCop bằng các tiện ích SSH Client như Putty và tiến
hành các thay đổi trực tiếp trên những tập tin cấu hình của firewall.
Ngoài ra còn có các nút điều khiển khác như Shutdown để tắt firewall
hay Backup để sao lưu toàn bộ thông tin cấu hình IPCop phòng khi có sự
cố xảy ra. Và bạn có thể chọn GUI Settings để thay đổi giao diện trang
web quản trị của IPCop thành tiếng Việt.
1.1 Updates
Ở phần Available Updates
chúng ta thấy có những bản cập nhật mới, hãy truy cập vào website
www.ipcop.org và tải về tập tin cập nhật này và lưu chúng trên máy dùng
để quản trị. Sau đó chọn nút Browse trong phần Install new update để
chọn tập tin này và Upload chúng lên firewall, tiến trình cài đặt sẽ tự
động thực thi. Tùy theo bản cập nhật mà chúng ta có cần phải khởi động
lại hệ thống firewall hay không.
1.2 SSH Access
Để
cho phép quản trị IPCop firewall/router ở mức sâu, cần phải thiết lập
SSH Server thông qua menu SSH Access và chọn enable (mặc định disable).
Lưu
ý: SSH server trên IPCop sử dụng port 222 cho nên chúng ta cần phải kết
nối SSH Client đến port 222 thay vì port 22 như thông thường, ví dụ:
$ ssh –p 222 root@192.168.1.192 với 192.168.1.192 là địa chỉ mạng trong của firewall.
1.3 GUI Settings
Để
chuyển sang giao diện tiếng Việt, chọn GUI Settings và chọn Vietnamese
trong phần Select the language you wish IPCop to display in và chọn
Save.
1.4 Backup
Hãy
chọn Create và chọn Backup to floopy rồi đưa đĩa mềm được định dạng
bằng Linux vào. Dòng lệnh định dạng đĩa mềm trên hệ thống Linux:
#fdfomat /dev/fd0 (có thể chạy thông qua SSH Client).
2. Status
Khi
hệ thống đã hoạt động, chúng ta cần xem xét trạng thái hiện tại của
firewall, những dịch vụ nào đang chạy, quá trình sử dụng bộ nhớ, đĩa...
Giám sát các dịch vụ
Giám sát bộ nhớ
Giám sát các máy tính kết nối
3. Services
Đây là menu dùng để quản lý các dịch vụ như Web Proxy, Instruction Detect, DHCP...
IPCop
hỗ trợ dịch vụ Network Instruction Detect System dựa trên phần mềm phát
hiện và dò tìm xâm nhập nổi tiếng Snort để phòng ngừa và phát hiện các
trường hợp tấn công. Mặc định hệ thống IDS chỉ hoạt động trên Red
Interface, bạn nên kích hoạt cho cả GREEN và BLUE interface vì theo
thống kê có đến 80% các trường hợp tấn công và đặc biệt là nghe lén với
những phần mềm như dsniff có nguồn gốc từ nội bộ.
Ngoài ra chúng ta còn có
thể cấu hình DNS động, tạo các host record... trên IPCop
Firewall/Router, cấu hình VPN Server để hỗ trợ các truy cập từ xa...
Các bạn có thể tham khảo tài liệu Admin của IPCop trên website
www.ipcop.org và trang web http://www.security365.org.
Trong
quá trình sử dụng IPCop cho hệ thống của mình tôi nhận thấy đây là một
hệ thống Firewall/VPN rất hiệu quả, có thể đáp ứng đầy đủ các nhu cầu
bảo mật và chia sẻ Internet cho các doanh nghiệp vừa và nhỏ ở Việt Nam.
Đặc biệt, việc hỗ trợ cho DHCP Client đơn giản và hiệu quả hơn so với
phần mềm Firewall/Proxy thương mại như ISA Server vì không cần phải
thực hiện thêm bất kỳ thao tác nào như cấu hình WPAD hay thay đổi port
của proxy server... Khi hệ thống nội bộ có những hoạt động trái phép
như Spoofing ARP hay nghe lén password, bắt giữ tập tin... IPCop đều có
thể phát hiện và đưa ra cảnh báo rất hiệu quả.
