Xem mẫu
- LỜI NÓI ĐẦU
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia các tổ
chức, các công ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn. Khoảng
cách về địa lý ngày càng trở nên mờ dần và khái niệm một thế giới “phẳng” đang trở
nên rõ nét. Thật khó mà kể hết những lợi ích mà Internet mang lại cho con người và
cũng không thể tưởng tượng được một ngày thiếu Internet thì con người sẽ phải xoay
sở như thế nào. Đó không chỉ là một công cụ trao đổi thông tin nhanh chóng tin cậy
mà còn là kho thông tin vô tận, cập nhật, đa dạng và đầy đủ nhất. Có thể nói rằng
Internet là nguồn tài nguyên vô giá trong kỉ nguyên số hiện nay. Chính vì vậy việc khai
thác và tận dụng được tài nguyên mạng là mối quan tâm hàng đầu của các doanh
nghiệp. Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãn nhu cầu đó.
Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy
cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức
dẫn đến những hậu quả nghiêm trọng. Chính vì vậy công việc và trọng trách đặt lên
vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam
nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính
trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet
mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng
chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng,
nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh…
Với mục đích đó trong thời gian thực tập nhóm đã tự tìm hiểu các khái niệm
cơ bản về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học
viện mạng của Cisco, mong muốn xây dựng được một hệ thống bảo mật sử dụng
công nghệ firewall có nhiều tính ứng dụng trong thực tiễn.
Đề tài này sẽ giới thiệu các kiến thức chung về bảo mật mạng máy tính, các
công nghệ thường được sử dụng để bảo mật trên nền bộ giao thức TCP/IP, giao thức
chính trên Intenet và cụ thể đi sâu vào công nghệ Firewall một công nghệ bảo mật
phổ biến nhất hiện nay.
- Chũng tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Cao
Văn Lợi đã giúp chúng tôi thực hiện đồ án này.
Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu
cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh
khỏi những thiếu sót, rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía thầy
cô và các bạn.
Trân trọng cảm ơn .
- LỜI MỞ ĐẦU
Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên
nền bộ giao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật
firewall, bản đồ án này được chúng tôi chia thành 6 phần với những nội dung như sau:
Chương I: Tổng quan về Firewall
Trình bày khái niệm firewall và phần loại Firewall
Chương II : Chức năng ,nhiệm vụ của Firewall phần cứng
Tìm hiểu các chức năng và nhiệm vụ của Firewall cứng
Chương III : Cấu trúc & nguyên tắc hoạt động cửa Firewall cứng
Tìm hiểu cấu trúc và cơ chế hoạt động cửa Firewall cứng và một sô hạn chế của
Firewall cứng
Chương IV : Mô hình và ứng dụng cảu Firewall
Trình bày 1 số mô hình và ứng dụng cửa Firewall cứng
Chuương V : Tường lửa CISCO PIX FIREWALL
Tìm hiểu về CISCO PIX FIREWALL và giới thiệu một số Fire cứng, Cách cài
đặt và câu lệnh
- CHƯƠNG I : TỔNG QUAN VỀ FIREWALL
1.Firewall là gì?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống.
Một Firewall có thể được định nghĩa là một tập hợp các thành phần được đặt
giữa hai mạng và có chung ba đặc điểm sau đây:
+ Tất cả các lưu lượng từ trong ra ngoài và ngược lại đều phải đi qua Firewall.
+ Chỉ các lưu lượng được cho phép như được ấn định bởi chính sách bảo mật
cục bộ mới được phép đi qua.
+ Chính Firewall không bị ảnh hưởng bởi sự thâm nhập
2.Nguyên lý hoạt động của Firewall
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc
theo thuật tón chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói
chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS
…) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có
thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan
rất nhiều đến các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra
toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số
các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông
tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng.
Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
- • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến
• Giao diện packet đi
3.Chức năng của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet.
• Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.
• Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
• Kiểm soát người sử dụng và việc truy cập của người sử dụng.
• Kiểm soát nội dung thông tin lưu chuyển trên mạng.
4.Phân loại Firewall
Firewall chia làm 2 loại:
*Firewall cứng
Firewall cứng là loại Firewall được tích hợp trực tiếp lên phần cứng
- Không được linh hoạt như firewall mềm vì hầu như các firewall cứng đều hướng
theo xu hướng tích hợp tất cả trong một( ví dụ : không thể thêm quy tắc hay chức
năng ngoài những chức năng đã được tích hợp sẵn…) đối với những firewall cứng
trước kia.Hiện tại xuất hiện xu hướng mới của firewall cứng mà đi đầu là dòng sản
phẩm PIX ASA 5500 của Cisco. Tuy là firewall cứng nhưng có khả năng tích hợp
những module khác ngoài module có sẵn. Cấu trúc chính của loại firewall này bao
gồm :
- Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 firewall như DHCP,
- HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT…và các interface trên nó. Một Adaptive có thể
hoạt động độc lập mà không cần bất kỳ module nào khác. Adaptive hỗ trợ nhiều cách
cấu hình : Cấu hình thông qua giao diện web hoặc cấu hình qua cổng consol.
- Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối
trực tiếp với Adaptive thông qua cable. Nếu thiết bị đầu cuối nào muốn sử dụng thêm
chức năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có nhiều loại
module thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến các thiết bị
có giao tiếp đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS,…
- Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao.
*Firewall mềm
Firewall mềm là những phần mềm được cài đặt trên máy tính đóng vai trò làm
firewall. Có 2 loại là Stateful Firewall (Tường lửa có trạng thái) và Stateless Firewall
(Tường lửa không trạng thái).
Đặc điểm :
- Có tính linh hoạt cao :có thể thêm bớt các luật hoặc các chức năng vì bản chất nó
chỉ là 1 phần mềm.
- Hoạt động ở tầng ứng dụng.
- Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa được quy định
trong chương trình.
5.Ưu-Nhược điểm Firewall
* Ưu Điểm:
Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ
liệu và nội dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như :
muốn đánh cắp thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để
gây thiệt hại về kinh tế.
- Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các
doanh nghiệp .
- Ngoài ra firewall còn có khả năng quét virus, chống spam … khi được tích hợp
những công cụ cần thiết.
- *Nhược Điểm:
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ
các thông số địa chỉ.
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi
qua” nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một line
dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.
- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven
attack).
- Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào
trong trust network và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính.
Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó.
Nhưng do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều
cách để mã hóa dữ liệu… Virus vẫn thoát khỏi khả năng rà quét của firewall.
Chương II: CHỨC NĂNG , NHIỆM VỤ CỦA FIWALL CỨNG
1. Chức năng của Firewall.
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet.
- Cho phép hoặc cấm các dịch vụ truy cập ra ngoài.
- Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- - Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập.
- Kiểm soát người dùng và việc truy cập của người dùng.
- Kiểm soát nội dung thông tin lưu chuyển trên mạng.
- Ngăn ngừa khả năng tấn công từ các mạng ngoài.
Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lưu lượng giữa hai
mạng để xem luồng lưu lượng này có đạt chuẩn hay không. Nếu đạt, nó được định
tuyến giữa các mạng, ngược lại, lưu lượng sẽ bị hủy.
Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào. Nó
cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng.
Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào
mạng riêng và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép.
Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng
của chúng, đây được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại lưu lượng
đặc biệt của mạng và điều này được gọi là lọc giao thức bởi vì việc ra quyết định
cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví
dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc
tính và trạng thái của gói.
Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho
Hacker nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ bản, nó phát
hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất định
nhằm để Hacker tin rằng họ đã vào được một phần của hệ thống và có thể truy cập
xa hơn, các họat động của kẻ tấn công có thể được ghi lại và theo dõi. Nếu có thể
giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theo dấu vết của họ.
Ví dụ, có thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi”
để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi của
kẻ tấn công qua kết nối Internet
2. Nhiệm vụ của Firewall.
2.1 . Bảo vệ thông tin.
- Bảo vệ các dữ liệu quan trọng trong hệ thống mạng nội bộ.
- Bảo vệ tài nguyên hệ thống.
- Bảo vệ danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
2.2. Phòng thủ các cuộc tấn công
-Ngoài việc bảo vệ các thông tin từ bên trong hệ thống, Firewall còn có thể chống
lại các cuộc tấn công từ bên ngoài vào như:
-Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông tin về
hệ thống của bạn như tài khoản và password đăng nhập. Firewall có khả năng
phát hiện và ngăn chặn kịp thời các tấn công theo kiểu tấn công này.
- -Firewall cũng có khả năng phát hiện và ngăn chặn các chương trình Sniff
(Chương trình có khả năng chụp lại các gói tin khi nó được truyền đi trên mạng)
mà Hacker thường sử dụng để lấy các thông tin đang được truyền đi trên mạng.
-Hacker hay sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành
đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền
truy cập (có được quyền của người quản trị hệ thống).
+ Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua
mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế
độ nhận toàn bộ các thông tin lưu truyền qua mạng.
+ Giả mạo địa chỉ IP.
+ Vô hiệu hoá các chức năng của hệ thống (deny service). Đây là kiểu tấn
công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà
nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những
phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy
nhập thông tin trên mạng.
+ Lỗi người quản trị hệ thống.
+ Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm
quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng
cho hacker.
Ngoài ra, Firewall còn có nhiều chức năng kiểm tra, lọc các lưu lượng vào/ra hệ
thống, bảo vệ an toàn các thông tin từ bên trong và ngăn chặn các cố gắng thâm nhập
từ bên ngoài vào hệ thống.
- CHƯƠNG III
CẤU TRÚC & NGUYÊN TẮC HOẠT ĐỘNG CÙA FIREWALL CỨNG
I. Cấu trúc của Firewall cứng
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall
thì điều đó có nghĩa rằng firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP.
Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng
dụng trên mạng, hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet,
SMTP, DSN, SMNP, NFS,...) thành các gói dữ liệu (data packets) rồi gán cho các
packet này những địa chỉ để có thể được định tuyến, nhận dạng và tái lập lại ở đích
cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những
con số địa chỉ của chúng. Ngày nay Firewall được xây dựng dựa trên cơ sở bộ lọc gói
(packet filter), trên cổng ứng dụng (Application gateway), kĩ thuật giám sát trạng thái
(Stateful inspecting) và một số firewall khác Bastion Host Firewall (pháo Đài Phòng
Ngự). Trong chương này tôi sẽ trình bày 3 kiến trúc firewall cơ bản dựa theo sư phân
loại đó.
1. Firewall bộ lọc gói tin (PACKET FILTERING FIREWALL)
Loại firewall này thực hiện việc kiểm các thông số điều khiển trong trường
header của các gói tin IP để cho phép chúng có thể lưu thông qua lại hay không. Các
thông số có thể lọc được của một gói tin như sau:
– Địa chỉ IP nguồn (source IP address)
– Địa chỉ IP đích (destination IP address)
– Cổng TCP nguồn (TCP source port)
– Cổng TCP đích (TCP destination port)
Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào những máy chủ
hoặc mạng nào đó đã được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ từ
những địa chỉ nguồn không cho phép. Hơn nữa việc kiểm soát các cổng làm cho
- firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó,
hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP,...) được phép mới chạy được
trên hệ thống mạng nội bộ.
Hình 2.5 Tưởng lửa lọc gói tin.
2. Firewall các dịch vụ uỷ thác (PROXY SERVER)
Firewall dịch vụ ủy thác là một thiết bị bình phong bảo mật dùng để phân tích
các gói dữ liệu được chuyển vào. Khi các gói dữ liệu từ bên ngoài đến proxy server,
chúng được kiểm tra và đánh giá để xác định xem chính sách bảo mật có cho phép
chúng vào mạng hay không. Proxy server không chỉ định giá trị các địa chỉ IP mà còn
xem xét dữ liệu trong các gói để tìm lỗi và sửa sai
- .
Hình 2.6. Tường lửa dịch vụ ủy thác
Có 2 loại proxy server cơ bản đó là: cổng mức mạng và cổng mức ứng dụng như mô
tả dưới đây.
2.1. Gateway mức mạng (Network Level Gateway)
Loai proxy server này cung câp kêt nôi (có điêu khiên) giữa cac hệ thông nôi và
̣ ́ ́ ́ ̀ ̉ ́ ́ ̣
ngoai. Có môt mach ao giữa người dung nôi và proxy server. Cac yêu câu Internet đi
̣ ̣ ̣ ̉ ̀ ̣ ́ ̀
qua mach này đên proxy server, và proxy server chuyên giao yêu câu này đên Internet
̣ ́ ̉ ̀ ́
sau khi thay đôi đia chỉ IP. Người dung ngoai chỉ thây đia chỉ IP cua proxy server. Cac
̉ ̣ ̀ ̣ ́ ̣ ̉ ́
phan hôi được proxy server nhân và gởi đên người dung thông qua mach ao. Măc dù
̉ ̀ ̣ ́ ̀ ̣ ̉ ̣
luông lưu thông được phep đi qua, cac hệ thông ngoai không bao giờ thây được hệ
̀ ́ ́ ́ ̣ ́
thông nôi. Loai kêt nôi này thường được dung để kêt nôi người dung nôi “được uy
́ ̣ ̣ ́ ́ ̀ ́ ́ ̀ ̣ ̉
thac” với Internet.
́
2.2. Gateway mức ứng dụng (Application level Gateway)
Proxy server mức ứng dung cung câp tât cả cac chức năng cơ ban cua proxy
̣ ́ ́ ́ ̉ ̉
server và con phân tich cac goi dữ liêu. Khi cac goi từ bên ngoai đên công này, chung
̀ ́ ́ ́ ̣ ́ ́ ̀ ́ ̉ ́
được kiêm tra và đanh giá để xac đinh chinh sach an toan có cho phep goi này đi vao
̉ ́ ́ ̣ ́ ́ ̀ ́ ́ ̀
mang nôi bộ hay không. Proxy server không chỉ đanh giá đia chỉ IP, nó con nhin vao dữ
̣ ̣ ́ ̣ ̀ ̀ ̀
liêu trong goi để ngăn những kẻ đôt nhâp cât dâu thông tin trong đo.
̣ ́ ̣ ̣ ́ ́ ́
- Với cac proxy server, cac chinh sach an toan manh hơn và mêm deo hơn nhiêu vì tât cả
́ ́ ́ ́ ̀ ̣ ̀ ̉ ̀ ́
thông tin trong cac goi được người điêu hanh sử dung để ghi cac luât xac đinh cach xử
́ ́ ̀ ̀ ̣ ́ ̣ ́ ̣ ́
lý cac goi. Có thể giam sat dễ dang moi viêc xay ra trên proxy server. Ban cung có thể bỏ
́ ́ ́ ́ ̀ ̣ ̣ ̉ ̣ ̃
cac tên may tinh để che dâu hệ thông bên trong, và có thể đanh giá nôi dung cua cac goi
́ ́ ́ ́ ́ ́ ̣ ̉ ́ ́
dữ liêu vì muc đich hợp lý và an toan. Tinh “hợp ly” là môt tuy chon thú vi. Ban có thể
̣ ̣ ́ ̀ ́ ́ ̣ ̀ ̣ ̣ ̣
thiêt lâp bộ loc để loai bỏ moi ban tin điên tử chứa cac nội dung không được phép.
́ ̣ ̣ ̣ ̣ ̉ ̣ ́
Hình 2.7. Giao tiếp trên mạng thông qua proxy server
Một proxy server điển hình có thể cung cấp các dịch vụ ủy quyền cho các ứng
dụng và giao thức như Telnet, FTP ( File Transfer Protool), HTTP ( Hypertext Transfer
Protocol), và SMTP ( Simple Mail Transfer Protocol). Proxy server này không cho phép
bất kỳ một gói tin nào đi thẳng trực tiếp giữa hai mạng, mà loại Firewall này được
thiết kế để tăng cường khả năng kiểm soát thông qua dịch vụ người đại diện (Proxy
Service). Khi một trạm bên ngoài muốn kết nối với các trạm bên trong tường lửa
thông qua một dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Server. Nếu
dịch vụ và các trạm bên ngoài không thuộc diện cấm thông qua đối với Proxy thì
Proxy
Server sẽ đi tìm trạm đích bên trong tường lửa để tạo kết nối với trạm bên ngoài và
ngược lại các trạm bên trong muốn kết nối ra ngoài cũng vậy. Với cách thức này thì
sẽ đánh bại được một số loại tấn công cơ bản như gây tràn bộ đệm của tường lửa.
Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây là
loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như
- Telnet, Mail, FPT…. Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của
mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ
đó. Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản
trị tường lửa phải xây dựng chính sách đại diện thích hợp với dịch vụ đó. Có hai
nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó là hoăc từ chối tất cả
những thứ không được đại diện, hoặc là chấp nhận tất cả những dịch vụ không có
dịch vụ đại diện trên tường lửa. Nhưng cả hai cách này dều gây ra những nguy cơ an
ninh và bất tiện mới cho hệ thống mạng bên trong tường lửa.
3. Kĩ thuật kiểm tra trạng thái (Stateful packet filtering)
Môt trong những vân đề với proxy server là nó phai đanh giá môt lượng lớn
̣ ́ ̉ ́ ̣
thông tin trong môt lượng lớn cac goi dữ liêu. Ngoai ra, phai cai đăt từng proxy cho
̣ ́ ́ ̣ ̀ ̉ ̀ ̣
môi ứng dung. Điêu này anh hưởng đên hiêu suât và lam tăng chi phi. Với kỹ thuât
̃ ̣ ̀ ̉ ́ ̣ ́ ̀ ́ ̣
kiêm tra trang thai, cac mâu bit cua goi dữ liêu được so sanh với cac goi “tin cây” đã
̉ ̣ ́ ́ ̃ ̉ ́ ̣ ́ ́ ́ ̣
́
biêt.
Ví du, nêu ban truy câp môt dich vụ bên ngoai, proxy server sẽ nhớ moi thứ về
̣ ́ ̣ ̣ ̣ ̣ ̀ ̣
yêu câu ban đâu, như số hiêu công, đia chỉ nguôn và đich. Cach “nhớ” này được goi là
̀ ̀ ̣ ̉ ̣ ̀ ́ ́ ̣
lưu trang thai. Khi hệ thông bên ngoai phan hôi yêu câu cua ban, firewall server so sanh
̣ ́ ́ ̀ ̉ ̀ ̀ ̉ ̣ ́
cac goi nhân được với trang thai đã lưu để xac đinh chung được phep vao hay không.
́ ́ ̣ ̣ ́ ́ ̣ ́ ́ ̀
Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đi vào
hay đi ra khỏi mạng thì thông tin được đưa vào 1 bảng gọi là bảng “stateful session
flow table”.
Bảng này còn được gọi là bảng trạng thái, nó bao gồm những thông tin về địa chỉ
nguồn, địa chỉ đích, địa chỉ cổng, thông tin về số hiệu gói tin TCP và cờ dấu thêm vào
mỗi kết nối TCP hay UDP, các kết nối này đều liên kết với 1 phiên nào đó. Thông tin
này tạo ra các đối tượng kết nối và do đó các gói tin đi vào hoặc đi ra được so sánh
với các phiên trong “bảng phiên có trạng thái”. Dữ liệu chỉ được phép đi qua firewall
nếu đã tồn tại một kết nối tương ứng xác nhận sự luân chuyển đó.
4. Firewall pháo đài phòng ngự (BASTION HOST FIREWALL )
- Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên
ngoài vào. Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ
bị tấn công nhất. Có hai dạng của máy phòng thủ
Pháo đài phòng ngự
4.1. Dạng thứ nhất là máy phòng thủ có hai card mạng
Trong đó có một nối với hệ thống bên trong ( mạng nội bộ ) và card còn lại
nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu
người sử dụng bên trong phải kết nối với tường lửa trước khi làm việc với mạng bên
ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên
ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên
trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài.
4.2. Dạng thứ hai là máy phòng thủ có một card mạng
Nó được nối trực tiếp đến một hệ riêng biệt trên mạng – proxy server hay
gateway mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến
(rounter) có nhiều chức năng trong cấu hình này. Nó không chỉ định hướng các gói đến
hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho
phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng
- nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công
nếu như bastion host bị đánh sập.
II. Nguyên tắc hoạt động của Firewall
2.1. Cơ chế lọc gói tin (packet filtering)
Cơ chế lọc gói tin của firewall cứng như dòng ASA, PIX của CISCO dựa trên
hoạt động của Access Control List (ACL) hay còn gọi là danh sách điều khiển truy
nhập. Vậy nguyên tắc hoạt động của ACL như thế nào.
ACL định nghĩa ra các luật được sử dụng để ngăn chặn các gói tin lưu thông trên
mạng. Một ACL là tập hợp của nhiều câu lệnh (statements) liên tiếp dùng để so sánh
với các thông tin điều khiển trong trường header của gói tin IP, thông qua đó mà thiết
bi firewall thực hiện một trong 2 hành vi là chặn gói tin lại hoặc cho phép đi qua.
Danh sách điều khiển truy nhập IP (IP access control lists) khiến bộ định tuyến hủy
bỏ những gói tin dựa trên những tiêu chí đặt ra của người quản trị mạng. Mục đích là
để ngăn chặn những lưu lượng không được phép lưu thông trên mạng đó có thể là
ngăn chặn kẻ phá hoại tấn công vào mạng nội bộ của công ty hay chỉ đơn giản là
người sử dụng truy nhập vào tài nguyên hệ thống mà họ không nên và không được
phép vào. ACL luôn đóng vai trò quan trọng trong chiến lược kiểm soát an ninh của
công ty.
2.2. Một số đặc điểm ACL:
- Gói tin có thể bị lọc khi chúng đi vào hoặc đi vào một cổng, trước khi được
định tuyến.
- Gói tin có thể bị lọc khi chúng đi ra khỏi một cổng, sau khi được định tuyến.
- Từ chối (Deny) là một thuật ngữ dùng để nói rằng gói tin bị chặn lại hay bị
lọc (filtered), còn cho phép (Permit) thì có nghĩa là gói tin không bị lọc mà được
phép đi qua.
- - Các logic lọc hay thứ tự của các luật lọc được cấu hình trong các danh sách
điều khiển truy nhập (ACLs).
- Kết thúc mỗi ACL nếu các lưu lượng đi qua không thỏa mãn một điều kiện
nào trong các logic của ACL thì tất cả sẽ bị từ chối tức là sẽ không được
phép đi qua cổng đó.
2.3. Phân loại ACL
- Có 2 loại ACL cơ bản: danh sách điều khiển truy nhập cơ bản và danh sách
điều khiển truy nhập mở rộng (Standard ACL và Extended ACL). Standard
ACL có cấu trúc đơn giản dễ thực hiện trong khi đó Extended ACL có cấu trúc
phức tạp và khó thực hiện hơn.
2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control
Lists)
- Chỉ có ngăn chặn gói tin dựa trên thông tin về địa chỉ IP đích (IP source
address) trong trường header của gói tin IP.
- Hoạt động của standard ACL như sau, giả sử là ACL được đặt trên Router 1
với cổng vào của lưu lượng là cổng S1 còn cổng ra là cổng E0.
- Hoạt động của Standard ACL
1. Khi gói tin IP vào cổng S1, địa chỉ IP nguồn của gói tin đó sẽ được so sánh với các
luật đặt ra trong câu lệnh ACL, liệu rằng ứng với địa chỉ nguồn đó thì gói tin sẽ được
phép đi qua hay chặn lại.
2. Nếu có một gói tin nào đó thỏa mãn (phù hợp) điều kiện của một cây lệnh được
định nghĩa trong ACL, thì gói tin sẽ được cho phép đi qua hoặc bị chặn lại.
3. Nếu không có một sự phù hợp nào xảy ra ở bước 2 thì, lại quay trở lại bước 1 và 2
cho đến khi tìm được một điều kiện thỏa mãn.
4. Nếu kiểm tra xong với tất cả các câu lệnh mà vẫn không thỏa mãn với một điều
kiện nào thì gói tin đó sẽ bị từ chối (deny).
2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control
Lists)
- Extended ACL vừa có những điểm tương tự vừa khác so với Standard ACL.
Cũng như Standard ACL, bạn có thể cho phép áp đặt Extended ACL lên cổng theo
chiều đi vào hoặc đi ra của gói tin. IOS của firewall cũng so sánh gói tin với các lệnh
theo thứ tự lần lượt của các câu lệnh đó. Nếu câu lệnh đầu tiên mà thỏa mãn thì nó
sẽ dừng việc so sánh với các lệnh còn lại ở trong list và xác định ngay hành động cần
tiến hành với gói tin đó. Tất cả các tính năng này cũng đều giống với cách xử sự của
Standard ACL.
Điểm khác nhau chủ yếu giữa 2 loại này là extended ACL có thể sử dụng
nhiều thông tin điều khiển trong trường header để so sánh hơn là standard ACL.
Standard ACL chỉ kiểm tra được địa chỉ IP nguồn thì Extended còn sử dụng được thêm
cả địa chỉ IP đích, địa chỉ cổng, loại ứng dụng, địa chỉ MAC, loại giao thức…Điều
này làm cho Extended ACL có thể kiểm tra và lọc được nhiều lưu lượng với độ chính
xác và an toàn cao hơn. Tuy nhiên nó cũng khó thực hiện hơn vì phức tạp hơn
Standard ACL rất nhiều.
2.3.3. So sánh giữa standard ACL và extended ACL
Loại ACL Các tham số có thể so sánh
Địa chỉ IP nguồn
Standard ACL và Extandard ACL Phần địa chỉ IP nguồn sử dụng wildcard
mark chỉ ra địa chỉ mạng nguồn.
Phần địa chỉ IP đích sử dụng wildcard
mark chỉ ra địa chỉ mạng đích
Loại giao thức (TCP, UDP, ICMP, IGRP,
IGMP, và các giao thức khác)
Extandard ACL Cổng nguồn
Cổng đích
All TCP flows except the first
IP TOS
IP precedence (quyền ưu tiên)
2.4. Ứng dụng ACL
Các phần mềm IOS trong các thiết bị định tuyến hay firewall cứng áp đặt các
logic lọc của ACL khi các gói tin đi vào hoặc đi ra một cổng nào đó trên thiết bị đó.
- Hay nói cách khác, IOS liên kết một IOS với một cổng và dành riêng cho những lưu
lượng vào hay ra trên cổng đó. Sau khi chọn được bộ định tuyến hay firewall mà ta
muốn đặt ACL tiếp đó phải chọn cổng, cũng như chiều các gói tin đi ra hay đi vào
cổng để áp logic lọc vào đó.
Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau
Cấu hình mặc định của các thiết bị firewall là đối với cổng có chiều đi vào thì
mức an toàn là 100 (đó là mức an toàn cao nhất), còn cổng có chiều đi ra thì mức an
toàn là 0 (mức an toàn kém nhất ). Không có gì an toàn bằng mạng nội bộ và cũng
không có gì kém an toàn hơn là mạng phía ngoài. Sau khi cấu hình cơ chế phiên dịch
địa chỉ, thì mặc định tất cả các giao tiếp theo hướng đi ra còn theo chiều từ nơi có
mức an toàn hơn ra đến nơi có mức an toàn kém hơn còn tất cả các lưu lượng từ nơi
có mức an toàn kém hơn đi đến nơi có mức an toàn cao hơn thì đều bị cấm.
Quy tắc xử sự của ACL dựa trên một cổng theo 1 chiều, tức là ứng với một cổng
theo chiều đi ra hoặc đi vào thì áp được 1 ACL.
ACL trên cổng cho phép hoặc từ chối gói tin khởi tạo theo chiều đi vào hay đi ra trên
cổng đó.
ACL chỉ cần mô tả gói tin khởi tạo của ứng dụng; không cần biết đến các gói tin
quay trở lại của ứng dụng đó, điều này dựa trên cơ sỏ của cơ chế bắt tay 3 bước.
Nếu không có một ACL nào được áp lên một cổng của firewall thì ở cổng đó sẽ áp
dụng chính sách mặc định là:
• Các gói tin đi ra được cho phép
nguon tai.lieu . vn
