Xem mẫu
- An toμn th«ng tin trªn m¹ng
1.1 T¹i sao cÇn cã Internet Firewall
HiÖn nay, kh¸i niÖm m¹ng toμn cÇu - Internet kh«ng cßn
míi mÎ. Nã ®· trë nªn phæ biÕn tíi møc kh«ng cÇn ph¶i chó
gi¶i g× thªm trong nh÷ng t¹p chÝ kü thuËt, cßn trªn nh÷ng
t¹p chÝ kh¸c th× trμn ngËp nh÷ng bμi viÕt dμi, ng¾n vÒ
Internet. Khi nh÷ng t¹p chÝ th«ng th−êng chó träng vμo
Internet th× giê ®©y, nh÷ng t¹p chÝ kü thuËt l¹i tËp trung vμo
khÝa c¹nh kh¸c: an toμn th«ng tin. §ã cïng lμ mét qu¸ tr×nh
tiÕn triÓn hîp logic: khi nh÷ng vui thÝch ban ®Çu vÒ mét siªu
xa lé th«ng tin, b¹n nhÊt ®Þnh nhËn thÊy r»ng kh«ng chØ cho
phÐp b¹n truy nhËp vμo nhiÒu n¬i trªn thÕ giíi, Internet cßn
cho phÐp nhiÒu ng−êi kh«ng mêi mμ tù ý ghÐ th¨m m¸y
tÝnh cña b¹n.
Thùc vËy, Internet cã nh÷ng kü thuËt tuyÖt vêi cho phÐp
mäi ng−êi truy nhËp, khai th¸c, chia sÎ th«ng tin. Nh÷ng nã
còng lμ nguy c¬ chÝnh dÉn ®Õn th«ng tin cña b¹n bÞ h− háng
hoÆc ph¸ huû hoμn toμn.
Theo sè liÖu cña CERT(Computer Emegency Response
Team - “§éi cÊp cøu m¸y tÝnh”), sè l−îng c¸c vô tÊn c«ng
trªn Internet ®−îc th«ng b¸o cho tæ chøc nμy lμ Ýt h¬n 200
vμo n¨m 1989, kho¶ng 400 vμo n¨m 1991, 1400 vμo n¨m
1993, vμ 2241 vμo n¨m 1994. Nh÷ng vô tÊn c«ng nμy nh»m
vμo tÊt c¶ c¸c m¸y tÝnh cã mÆt trªn Internet, c¸c m¸y tÝnh
cña tÊt c¶ c¸c c«ng ty lín nh− AT&T, IBM, c¸c tr−êng ®¹i
häc, c¸c c¬ quan nhμ n−íc, c¸c tæ chøc qu©n sù, nhμ b¨ng...
Mét sè vô tÊn c«ng cã quy m« khæng lå (cã tíi 100.000
m¸y tÝnh bÞ tÊn c«ng). H¬n n÷a, nh÷ng con sè nμy chØ lμ
- phÇn næi cña t¶ng b¨ng. Mét phÇn rÊt lín c¸c vô tÊn c«ng
kh«ng ®−îc th«ng b¸o, v× nhiÒu lý do, trong ®ã cã thÓ kÓ
®Õn nçi lo bÞ mÊt uy tÝn, hoÆc ®¬n gi¶n nh÷ng ng−êi qu¶n trÞ
hÖ thèng kh«ng hÒ hay biÕt nh÷ng cuéc tÊn c«ng nh»m vμo
hÖ thèng cña hä.
Kh«ng chØ sè l−îng c¸c cuéc tÊn c«ng t¨ng lªn nhanh
chãng, mμ c¸c ph−¬ng ph¸p tÊn c«ng còng liªn tôc ®−îc
hoμn thiÖn. §iÒu ®ã mét phÇn do c¸c nh©n viªn qu¶n trÞ hÖ
thèng ®−îc kÕt nèi víi Internet ngμy cμng ®Ò cao c¶nh
gi¸c. Còng theo CERT, nh÷ng cuéc tÊn c«ng thêi kú 1988-
1989 chñ yÕu ®o¸n tªn ng−êi sö dông-mËt khÈu (UserID-
password) hoÆc sö dông mét sè lçi cña c¸c ch−¬ng tr×nh vμ
hÖ ®iÒu hμnh (security hole) lμm v« hiÖu hÖ thèng b¶o vÖ,
tuy nhiªn c¸c cuéc tÊn c«ng vμo thêi gian gÇn ®©y bao
gåm c¶ c¸c thao t¸c nh− gi¶ m¹o ®Þa chØ IP, theo dâi th«ng
tin truyÒn qua m¹ng, chiÕm c¸c phiªn lμm viÖc tõ xa (telnet
hoÆc rlogin).
- 1.2 B¹n muèn b¶o vÖ c¸i g×?
NhiÖm vô c¬ b¶n cña Firewall lμ b¶o vÖ. NÕu b¹n muèn x©y
dùng firewall, viÖc ®Çu tiªn b¹n cÇn xem xÐt chÝnh lμ b¹n
cÇn b¶o vÖ c¸i g×.
1.2.1 D÷ liÖu cña b¹n
Nh÷ng th«ng tin l−u tr÷ trªn hÖ thèng m¸y tÝnh cÇn ®−îc
b¶o vÖ do c¸c yªu cÇu sau:
B¶o mËt: Nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, qu©n sù,
chÝnh s¸ch vv... cÇn ®−îc gi÷ kÝn.
TÝnh toμn vÑn: Th«ng tin kh«ng bÞ mÊt m¸t hoÆc söa
®æi, ®¸nh tr¸o.
TÝnh kÞp thêi: Yªu cÇu truy nhËp th«ng tin vμo ®óng thêi
®iÓm cÇn thiÕt.
Trong c¸c yªu cÇu nμy, th«ng th−êng yªu cÇu vÒ b¶o mËt
®−îc coi lμ yªu cÇu sè 1 ®èi víi th«ng tin l−u tr÷ trªn m¹ng.
Tuy nhiªn, ngay c¶ khi nh÷ng th«ng tin nμy kh«ng ®−îc gi÷
bÝ mËt, th× nh÷ng yªu cÇu vÒ tÝnh toμn vÑn còng rÊt quan
träng. Kh«ng mét c¸ nh©n, mét tæ chøc nμo l·ng phÝ tμi
nguyªn vËt chÊt vμ thêi gian ®Ó l−u tr÷ nh÷ng th«ng tin mμ
kh«ng biÕt vÒ tÝnh ®óng ®¾n cña nh÷ng th«ng tin ®ã.
1.2.2 Tμi nguyªn cña b¹n
Trªn thùc tÕ, trong c¸c cuéc tÊn c«ng trªn Internet, kÎ tÊn
c«ng, sau khi ®· lμm chñ ®−îc hÖ thèng bªn trong, cã thÓ sö
dông c¸c m¸y nμy ®Ó phôc vô cho môc ®Ých cña m×nh nh−
ch¹y c¸c ch−¬ng tr×nh dß mËt khÈu ng−êi sö dông, sö dông
c¸c liªn kÕt m¹ng s½n cã ®Ó tiÕp tôc tÊn c«ng c¸c hÖ thèng
kh¸c vv...
- 1.2.3 Danh tiÕng cña b¹n
Nh− trªn ®· nªu, mét phÇn lín c¸c cuéc tÊn c«ng kh«ng
®−îc th«ng b¸o réng r·i, vμ mét trong nh÷ng nguyªn nh©n
lμ nçi lo bÞ mÊt uy tÝn cña c¬ quan, ®Æc biÖt lμ c¸c c«ng ty
lín vμ c¸c c¬ quan quan träng trong bé m¸y nhμ n−íc.
Trong tr−êng hîp ng−êi qu¶n trÞ hÖ thèng chØ ®−îc biÕt
®Õn sau khi chÝnh hÖ thèng cña m×nh ®−îc dïng lμm bμn
®¹p ®Ó tÊn c«ng c¸c hÖ thèng kh¸c, th× tæn thÊt vÒ uy tÝn lμ
rÊt lín vμ cã thÓ ®Ó l¹i hËu qu¶ l©u dμi.
- 1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×?
Cßn nh÷ng g× b¹n cÇn ph¶i lo l¾ng. B¹n sÏ ph¶i ®−¬ng ®Çu
víi nh÷ng kiÓu tÊn c«ng nμo trªn Internet vμ nh÷ng kÎ nμo
sÏ thùc hiÖn chóng?
1.3.1 C¸c kiÓu tÊn c«ng
Cã rÊt nhiÒu kiÓu tÊn c«ng vμo hÖ thèng, vμ cã nhiÒu c¸ch
®Ó ph©n lo¹i nh÷ng kiÓu tÊn c«ng nμy. ë ®©y, chóng ta chia
thμnh 3 kiÓu chÝnh nh− sau:
1.3.1.1 TÊn c«ng trùc tiÕp
Nh÷ng cuéc tÊn c«ng trùc tiÕp th«ng th−êng ®−îc sö dông
trong giai ®o¹n ®Çu ®Ó chiÕm ®−îc quyÒn truy nhËp bªn
trong. Mét ph−¬ng ph¸p tÊn c«ng cæ ®iÓn lμ dß cÆp tªn
ng−êi sö dông-mËt khÈu. §©y lμ ph−¬ng ph¸p ®¬n gi¶n, dÔ
thùc hiÖn vμ kh«ng ®ßi hái mét ®iÒu kiÖn ®Æc biÖt nμo ®Ó
b¾t ®Çu. KÎ tÊn c«ng cã thÓ sö dông nh÷ng th«ng tin nh− tªn
ng−êi dïng, ngμy sinh, ®Þa chØ, sè nhμ vv.. ®Ó ®o¸n mËt
khÈu. Trong tr−êng hîp cã ®−îc danh s¸ch ng−êi sö dông
vμ nh÷ng th«ng tin vÒ m«i tr−êng lμm viÖc, cã mét tr−¬ng
tr×nh tù ®éng ho¸ vÒ viÖc dß t×m mËt khÈu nμy. mét tr−¬ng
tr×nh cã thÓ dÔ dμng lÊy ®−îc tõ Internet ®Ó gi¶i c¸c mËt
khÈu ®· m· ho¸ cña c¸c hÖ thèng unix cã tªn lμ crack, cã
kh¶ n¨ng thö c¸c tæ hîp c¸c tõ trong mét tõ ®iÓn lín, theo
nh÷ng quy t¾c do ng−êi dïng tù ®Þnh nghÜa. Trong mét sè
tr−êng hîp, kh¶ n¨ng thμnh c«ng cña ph−¬ng ph¸p nμy cã
thÓ lªn tíi 30%.
Ph−¬ng ph¸p sö dông c¸c lçi cña ch−¬ng tr×nh øng dông vμ
b¶n th©n hÖ ®iÒu hμnh ®· ®−îc sö dông tõ nh÷ng vô tÊn
c«ng ®Çu tiªn vμ vÉn ®−îc tiÕp tôc ®Ó chiÕm quyÒn truy
nhËp. Trong mét sè tr−êng hîp ph−¬ng ph¸p nμy cho phÐp
- kÎ tÊn c«ng cã ®−îc quyÒn cña ng−êi qu¶n trÞ hÖ thèng
(root hay administrator).
Hai vÝ dô th−êng xuyªn ®−îc ®−a ra ®Ó minh ho¹ cho
ph−¬ng ph¸p nμy lμ vÝ dô víi ch−¬ng tr×nh sendmail vμ
ch−¬ng tr×nh rlogin cña hÖ ®iÒu hμnh UNIX.
Sendmail lμ mét ch−¬ng tr×nh phøc t¹p, víi m· nguån bao
gåm hμng ngμn dßng lÖnh cña ng«n ng÷ C. Sendmail ®−îc
ch¹y víi quyÒn −u tiªn cña ng−êi qu¶n trÞ hÖ thèng, do
ch−¬ng tr×nh ph¶i cã quyÒn ghi vμo hép th− cña nh÷ng
ng−êi sö dông m¸y. Vμ Sendmail trùc tiÕp nhËn c¸c yªu
cÇu vÒ th− tÝn trªn m¹ng bªn ngoμi. §©y chÝnh lμ nh÷ng
yÕu tè lμm cho sendmail trë thμnh mét nguån cung cÊp
nh÷ng lç hæng vÒ b¶o mËt ®Ó truy nhËp hÖ thèng.
Rlogin cho phÐp ng−êi sö dông tõ mét m¸y trªn m¹ng truy
nhËp tõ xa vμo mét m¸y kh¸c sö dông tμi nguyªn cña m¸y
nμy. Trong qu¸ tr×nh nhËn tªn vμ mËt khÈu cña ng−êi sö
dông, rlogin kh«ng kiÓm tra ®é dμi cña dßng nhËp, do ®ã
kÎ tÊn c«ng cã thÓ ®−a vμo mét x©u ®· ®−îc tÝnh to¸n tr−íc
®Ó ghi ®Ì lªn m· ch−¬ng tr×nh cña rlogin, qua ®ã chiÕm
®−îc quyÒn truy nhËp.
1.3.1.2 Nghe trém
ViÖc nghe trém th«ng tin trªn m¹ng cã thÓ ®−a l¹i nh÷ng
th«ng tin cã Ých nh− tªn-mËt khÈu cña ng−êi sö dông, c¸c
th«ng tin mËt chuyÓn qua m¹ng. ViÖc nghe trém th−êng
®−îc tiÕn hμnh ngay sau khi kÎ tÊn c«ng ®· chiÕm ®−îc
quyÒn truy nhËp hÖ thèng, th«ng qua c¸c ch−¬ng tr×nh cho
phÐp ®−a vØ giao tiÕp m¹ng (Network Interface Card-NIC)
vμo chÕ ®é nhËn toμn bé c¸c th«ng tin l−u truyÒn trªn m¹ng.
Nh÷ng th«ng tin nμy còng cã thÓ dÔ dμng lÊy ®−îc trªn
Internet.
- 1.3.1.3 Gi¶ m¹o ®Þa chØ
ViÖc gi¶ m¹o ®Þa chØ IP cã thÓ ®−îc thùc hiÖn th«ng qua
viÖc sö dông kh¶ n¨ng dÉn ®−êng trùc tiÕp (source-routing).
Víi c¸ch tÊn c«ng nμy, kÎ tÊn c«ng göi c¸c gãi tin IP tíi
m¹ng bªn trong víi mét ®Þa chØ IP gi¶ m¹o (th«ng th−êng
lμ ®Þa chØ cña mét m¹ng hoÆc mét m¸y ®−îc coi lμ an toμn
®èi víi m¹ng bªn trong), ®ång thêi chØ râ ®−êng dÉn mμ c¸c
gãi tin IP ph¶i göi ®i.
1.3.1.4 V« hiÖu ho¸ c¸c chøc n¨ng cña hÖ thèng (denial
of service)
§©y lμ kÓu tÊn c«ng nh»m tª liÖt hÖ thèng, kh«ng cho nã
thùc hiÖn chøc n¨ng mμ nã thiÕt kÕ. KiÓu tÊn c«ng nμy
kh«ng thÓ ng¨n chÆn ®−îc, do nh÷ng ph−¬ng tiÖn ®−îc tæ
chøc tÊn c«ng còng chÝnh lμ c¸c ph−¬ng tiÖn ®Ó lμm viÖc vμ
truy nhËp th«ng tin trªn m¹ng. VÝ dô sö dông lÖnh ping víi
tèc ®é cao nhÊt cã thÓ, buéc mét hÖ thèng tiªu hao toμn bé
tèc ®é tÝnh to¸n vμ kh¶ n¨ng cña m¹ng ®Ó tr¶ lêi c¸c lÖnh
nμy, kh«ng cßn c¸c tμi nguyªn ®Ó thùc hiÖn nh÷ng c«ng
viÖc cã Ých kh¸c.
1.3.1.5 Lçi cña ng−êi qu¶n trÞ hÖ thèng
§©y kh«ng ph¶i lμ mét kiÓu tÊn c«ng cña nh÷ng kÎ ®ét
nhËp, tuy nhiªn lçi cña ng−êi qu¶n trÞ hÖ thèng th−êng t¹o
ra nh÷ng lç hæng cho phÐp kÎ tÊn c«ng sö dông ®Ó truy
nhËp vμo m¹ng néi bé.
1.3.1.6 TÊn c«ng vμo yÕu tè con ng−êi
KÎ tÊn c«ng cã thÓ liªn l¹c víi mét ng−êi qu¶n trÞ hÖ thèng,
gi¶ lμm mét ng−êi sö dông ®Ó yªu cÇu thay ®æi mËt khÈu,
thay ®æi quyÒn truy nhËp cña m×nh ®èi víi hÖ thèng, hoÆc
thËm chÝ thay ®æi mét sè cÊu h×nh cña hÖ thèng ®Ó thùc hiÖn
c¸c ph−¬ng ph¸p tÊn c«ng kh¸c. Víi kiÓu tÊn c«ng nμy
- kh«ng mét thiÕt bÞ nμo cã thÓ ng¨n chÆn mét c¸ch h÷u hiÖu,
vμ chØ cã mét c¸ch gi¸o dôc ng−êi sö dông m¹ng néi bé vÒ
nh÷ng yªu cÇu b¶o mËt ®Ó ®Ò cao c¶nh gi¸c víi nh÷ng hiÖn
t−îng ®¸ng nghi. Nãi chung yÕu tè con ng−êi lμ mét ®iÓm
yÕu trong bÊt kú mét hÖ thèng b¶o vÖ nμo, vμ chØ cã sù gi¸o
dôc céng víi tinh thÇn hîp t¸c tõ phÝa ng−êi sö dông cã thÓ
n©ng cao ®−îc ®é an toμn cña hÖ thèng b¶o vÖ.
1.3.2 Ph©n lo¹i kÎ tÊn c«ng
Cã rÊt nhiÒu kÎ tÊn c«ng trªn m¹ng toμn cÇu – Internet vμ
chóng ta còng kh«ng thÓ ph©n lo¹i chóng mét c¸ch chÝnh
x¸c, bÊt cø mét b¶n ph©n lo¹i kiÓu nμy còng chØ nªn ®−îc
xem nh− lμ mét sù giíi thiÖu h¬n lμ mét c¸ch nh×n rËp
khu«n.
1.3.2.1 Ng−êi qua ®−êng
Ng−êi qua ®−êng lμ nh÷ng kÎ buån ch¸n víi nh÷ng c«ng
viÖc th−êng ngμy, hä muèn t×m nh÷ng trß gi¶i trÝ míi. Hä
®ét nhËp vμo m¸y tÝnh cña b¹n v× hä nghÜ b¹n cã thÓ cã
nh÷ng d÷ liÖu hay, hoÆc bëi v× hä c¶m thÊy thÝch thó khi sö
dông m¸y tÝnh cña ng−êi kh¸c, hoÆc chØ ®¬n gi¶n lμ hä
kh«ng t×m ®−îc mét viÖc g× hay h¬n ®Ó lμm. Hä cã thÓ lμ
ng−êi tß mß nh−ng kh«ng chñ ®Þnh lμm h¹i b¹n. Tuy nhiªn,
hä th−êng g©y h− háng hÖ thèng khi ®ét nhËp hay khi xo¸
bá dÊu vÕt cña hä.
1.3.2.2 KÎ ph¸ ho¹i
KÎ ph¸ ho¹i chñ ®Þnh ph¸ ho¹i hÖ thèng cña b¹n, hä cã thÓ
kh«ng thÝch b¹n, hä còng cã thÓ kh«ng biÕt b¹n nh−ng hä
t×m thÊy niÒm vui khi ®i ph¸ ho¹i.
Th«ng th−êng, trªn Internet kÎ ph¸ ho¹i kh¸ hiÕm. Mäi
ng−êi kh«ng thÝch hä. NhiÒu ng−êi cßn thÝch t×m vμ chÆn
®øng nh÷ng kÎ ph¸ ho¹i. Tuy Ýt nh−ng kÎ ph¸ ho¹i th−êng
- g©y háng trÇm träng cho hÖ thèng cña b¹n nh− xo¸ toμn bé
d÷ liÖu, ph¸ háng c¸c thiÕt bÞ trªn m¸y tÝnh cña b¹n...
1.3.2.3 KÎ ghi ®iÓm
RÊt nhiÒu kÎ qua ®−êng bÞ cuèn hót vμo viÖc ®ét nhËp, ph¸
ho¹i. Hä muèn ®−îc kh¼ng ®Þnh m×nh th«ng qua sè l−îng
vμ c¸c kiÓu hÖ thèng mμ hä ®· ®ét nhËp qua. §ét nhËp ®−îc
vμo nh÷ng n¬i næi tiÕng, nh÷ng n¬i phßng bÞ chÆt chÏ,
nh÷ng n¬i thiÕt kÕ tinh x¶o cã gi¸ trÞ nhiÒu ®iÓm ®èi víi hä.
Tuy nhiªn hä còng sÏ tÊn c«ng tÊt c¶ nh÷ng n¬i hä cã thÓ,
víi môc ®Ých sè l−îng còng nh− môc ®Ých chÊt l−îng.
Nh÷ng ng−êi nμy kh«ng quan t©m ®Õn nh÷ng th«ng tin b¹n
cã hay nh÷ng ®Æc tÝnh kh¸c vÒ tμi nguyªn cña b¹n. Tuy
nhiªn ®Ó ®¹t ®−îc môc ®Ých lμ ®ét nhËp, v« t×nh hay h÷u ý
hä sÏ lμm h− háng hÖ thèng cña b¹n.
1.3.2.4 Gi¸n ®iÖp
HiÖn nay cã rÊt nhiÒu th«ng tin quan träng ®−îc l−u tr÷ trªn
m¸y tÝnh nh− c¸c th«ng tin vÒ qu©n sù, kinh tÕ... Gi¸n ®iÖp
m¸y tÝnh lμ mét vÊn ®Ò phøc t¹p vμ khã ph¸t hiÖn. Thùc tÕ,
phÇn lín c¸c tæ chøc kh«ng thÓ phßng thñ kiÓu tÊn c«ng nμy
mét c¸ch hiÖu qu¶ vμ b¹n cã thÓ ch¾c r»ng ®−êng liªn kÕt
víi Internet kh«ng ph¶i lμ con ®−êng dÔ nhÊt ®Ó gi¸n ®iÖp
thu l−îm th«ng tin.
- 1.4 VËy Internet Firewall lμ g×?
1.4.1 §Þnh nghÜa
ThuËt ng÷ Firewall cã nguån gèc tõ mét kü thuËt thiÕt kÕ
trong x©y dùng ®Ó ng¨n chÆn, h¹n chÕ ho¶ ho¹n. Trong
c«ng nghÖ m¹ng th«ng tin, Firewall lμ mét kü thuËt ®−îc
tÝch hîp vμo hÖ thèng m¹ng ®Ó chèng sù truy cËp tr¸i phÐp
nh»m b¶o vÖ c¸c nguån th«ng tin néi bé còng nh− h¹n chÕ
sù x©m nhËp vμo hÖ thèng cña mét sè th«ng tin kh¸c kh«ng
mong muèn. Còng cã thÓ hiÓu r»ng Firewall lμ mét c¬ chÕ
®Ó b¶o vÖ m¹ng tin t−ëng (trusted network) khái c¸c m¹ng
kh«ng tin t−ëng (untrusted network).
Internet Firewall lμ mét thiÕt bÞ (phÇn cøng+phÇn mÒm)
gi÷a m¹ng cña mét tæ chøc, mét c«ng ty, hay mét quèc gia
(Intranet) vμ Internet. Nã thùc hiÖn vai trß b¶o mËt c¸c
th«ng tin Intranet tõ thÕ giíi Internet bªn ngoμi.
1.4.2 Chøc n¨ng
Internet Firewall (tõ nay vÒ sau gäi t¾t lμ firewall) lμ mét
thμnh phÇn ®Æt gi÷a Intranet vμ Internet ®Ó kiÓm so¸t tÊt c¶
c¸c viÖc l−u th«ng vμ truy cËp gi÷a chóng víi nhau bao
gåm:
• Firewall quyÕt ®Þnh nh÷ng dÞch vô nμo tõ bªn trong
®−îc phÐp truy cËp tõ bªn ngoμi, nh÷ng ng−êi nμo tõ
bªn ngoμi ®−îc phÐp truy cËp ®Õn c¸c dÞch vô bªn trong,
vμ c¶ nh÷ng dÞch vô nμo bªn ngoμi ®−îc phÐp truy cËp
bëi nh÷ng ng−êi bªn trong.
• §Ó firewall lμm viÖc hiÖu qu¶, tÊt c¶ trao ®æi th«ng tin
tõ trong ra ngoμi vμ ng−îc l¹i ®Òu ph¶i thùc hiÖn th«ng
qua Firewall.
- • ChØ cã nh÷ng trao ®æi nμo ®−îc phÐp bëi chÕ ®é an ninh
cña hÖ thèng m¹ng néi bé míi ®−îc quyÒn l−u th«ng
qua Firewall.
S¬ ®å chøc n¨ng hÖ thèng cña firewall ®−îc m« t¶ nh− trong
h×nh 2.1
Intranet firewall Internet
H×nh 2.1 S¬ ®å chøc n¨ng hÖ thèng cña firewall
1.4.3 CÊu tróc
Firewall bao gåm:
• Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi c¸c bé
®Þnh tuyÕn (router) hoÆc cã chøc n¨ng router.
• C¸c phÇn mÒm qu¶n lý an ninh ch¹y trªn hÖ thèng m¸y
chñ. Th«ng th−êng lμ c¸c hÖ qu¶n trÞ x¸c thùc
(Authentication), cÊp quyÒn (Authorization) vμ kÕ to¸n
(Accounting).
Chóng ta sÏ ®Ò cËp kü h¬n c¸c ho¹t ®éng cña nh÷ng hÖ nμy
ë phÇn sau.
1.4.4 C¸c thμnh phÇn cña Firewall vμ c¬ chÕ ho¹t
®éng
Mét Firewall chuÈn bao gåm mét hay nhiÒu c¸c thμnh phÇn
sau ®©y:
• Bé läc packet ( packet-filtering router )
- • Cæng øng dông (application-level gateway hay proxy
server )
• Cæng m¹ch (circuite level gateway)
1.4.4.1 Bé läc gãi tin (Packet filtering router)
1.4.4.1.1 Nguyªn lý:
Khi nãi ®Õn viÖc l−u th«ng d÷ liÖu gi÷a c¸c m¹ng víi nhau
th«ng qua Firewall th× ®iÒu ®ã cã nghÜa r»ng Firewall ho¹t
®éng chÆt chÏ víi giao thøc liªn m¹ng TCP/IP. V× giao thøc
nμy lμm viÖc theo thuËt to¸n chia nhá c¸c d÷ liÖu nhËn ®−îc
tõ c¸c øng dông trªn m¹ng, hay nãi chÝnh x¸c h¬n lμ c¸c
dÞch vô ch¹y trªn c¸c giao thøc (Telnet, SMTP, DNS,
SMNP, NFS...) thμnh c¸c gãi d÷ liÖu (data packets) råi g¸n
cho c¸c packet nμy nh÷ng ®Þa chØ ®Ó cã thÓ nhËn d¹ng, t¸i
lËp l¹i ë ®Ých cÇn göi ®Õn, do ®ã c¸c lo¹i Firewall còng liªn
quan rÊt nhiÒu ®Õn c¸c packet vμ nh÷ng con sè ®Þa chØ cña
chóng.
Bé läc packet cho phÐp hay tõ chèi mçi packet mμ nã nhËn
®−îc. Nã kiÓm tra toμn bé ®o¹n d÷ liÖu ®Ó quyÕt ®Þnh xem
®o¹n d÷ liÖu ®ã cã tho¶ m·n mét trong sè c¸c luËt lÖ cña läc
packet hay kh«ng. C¸c luËt lÖ läc packet nμy lμ dùa trªn c¸c
th«ng tin ë ®Çu mçi packet (packet header), dïng ®Ó cho
phÐp truyÒn c¸c packet ®ã ë trªn m¹ng. §ã lμ:
• §Þa chØ IP n¬i xuÊt ph¸t ( IP Source address)
• §Þa chØ IP n¬i nhËn (IP Destination address)
• Nh÷ng thñ tôc truyÒn tin (TCP, UDP, ICMP, IP tunnel)
• Cæng TCP/UDP n¬i xuÊt ph¸t (TCP/UDP source port)
• Cæng TCP/UDP n¬i nhËn (TCP/UDP destination port)
• D¹ng th«ng b¸o ICMP ( ICMP message type)
- • giao diÖn packet ®Õn ( incomming interface of packet)
• giao diÖn packet ®i ( outcomming interface of packet)
NÕu luËt lÖ läc packet ®−îc tho¶ m·n th× packet ®−îc
chuyÓn qua firewall. NÕu kh«ng packet sÏ bÞ bá ®i. Nhê vËy
mμ Firewall cã thÓ ng¨n c¶n ®−îc c¸c kÕt nèi vμo c¸c m¸y
chñ hoÆc m¹ng nμo ®ã ®−îc x¸c ®Þnh, hoÆc kho¸ viÖc truy
cËp vμo hÖ thèng m¹ng néi bé tõ nh÷ng ®Þa chØ kh«ng cho
phÐp. H¬n n÷a, viÖc kiÓm so¸t c¸c cæng lμm cho Firewall cã
kh¶ n¨ng chØ cho phÐp mét sè lo¹i kÕt nèi nhÊt ®Þnh vμo
c¸c lo¹i m¸y chñ nμo ®ã, hoÆc chØ cã nh÷ng dÞch vô nμo ®ã
(Telnet, SMTP, FTP...) ®−îc phÐp míi ch¹y ®−îc trªn hÖ
thèng m¹ng côc bé.
1.4.4.1.2 ¦u ®iÓm
§a sè c¸c hÖ thèng firewall ®Òu sö dông bé läc packet.
Mét trong nh÷ng −u ®iÓm cña ph−¬ng ph¸p dïng bé läc
packet lμ chi phÝ thÊp v× c¬ chÕ läc packet ®· ®−îc bao
gåm trong mçi phÇn mÒm router.
Ngoμi ra, bé läc packet lμ trong suèt ®èi víi ng−êi sö
dông vμ c¸c øng dông, v× vËy nã kh«ng yªu cÇu sù huÊn
luyÖn ®Æc biÖt nμo c¶.
1.4.4.1.3 H¹n chÕ:
ViÖc ®Þnh nghÜa c¸c chÕ ®é läc packet lμ mét viÖc kh¸ phøc
t¹p, nã ®ßi hái ng−êi qu¶n trÞ m¹ng cÇn cã hiÓu biÕt chi tiÕt
vÓ c¸c dÞch vô Internet, c¸c d¹ng packet header, vμ c¸c gi¸
trÞ cô thÓ mμ hä cã thÓ nhËn trªn mçi tr−êng. Khi ®ßi hái vÓ
sù läc cμng lín, c¸c luËt lÖ vÓ läc cμng trë nªn dμi vμ phøc
t¹p, rÊt khã ®Ó qu¶n lý vμ ®iÒu khiÓn.
Do lμm viÖc dùa trªn header cña c¸c packet, râ rμng lμ bé
läc packet kh«ng kiÓm so¸t ®−îc néi dung th«ng tin cña
packet. C¸c packet chuyÓn qua vÉn cã thÓ mang theo nh÷ng
- hμnh ®éng víi ý ®å ¨n c¾p th«ng tin hay ph¸ ho¹i cña kÎ
xÊu.
1.4.4.2 Cæng øng dông (application-level gateway)
1.4.4.2.1 Nguyªn lý
§©y lμ mét lo¹i Firewall ®−îc thiÕt kÕ ®Ó t¨ng c−êng chøc
n¨ng kiÓm so¸t c¸c lo¹i dÞch vô, giao thøc ®−îc cho phÐp
truy cËp vμo hÖ thèng m¹ng. C¬ chÕ ho¹t ®éng cña nã dùa
trªn c¸ch thøc gäi lμ Proxy service (dÞch vô ®¹i diÖn).
Proxy service lμ c¸c bé ch−¬ng tr×nh ®Æc biÖt cμi ®Æt trªn
gateway cho tõng øng dông. NÕu ng−êi qu¶n trÞ m¹ng
kh«ng cμi ®Æt ch−¬ng tr×nh proxy cho mét øng dông nμo ®ã,
dÞch vô t−¬ng øng sÏ kh«ng ®−îc cung cÊp vμ do ®ã kh«ng
thÓ chuyÓn th«ng tin qua firewall. Ngoμi ra, proxy code cã
thÓ ®−îc ®Þnh cÊu h×nh ®Ó hç trî chØ mét sè ®Æc ®iÓm trong
øng dông mμ ng−ßi qu¶n trÞ m¹ng cho lμ chÊp nhËn ®−îc
trong khi tõ chèi nh÷ng ®Æc ®iÓm kh¸c.
Mét cæng øng dông th−êng ®−îc coi nh− lμ mét ph¸o ®μi
(bastion host), bëi v× nã ®−îc thiÕt kÕ ®Æt biÖt ®Ó chèng l¹i
sù tÊn c«ng tõ bªn ngoμi. Nh÷ng biÖn ph¸p ®¶m b¶o an ninh
cña mét bastion host lμ:
Bastion host lu«n ch¹y c¸c version an toμn (secure
version) cña c¸c phÇn mÒm hÖ thèng (Operating
system). C¸c version an toμn nμy ®−îc thiÕt kÕ chuyªn
cho môc ®Ých chèng l¹i sù tÊn c«ng vμo Operating
System, còng nh− lμ ®¶m b¶o sù tÝch hîp firewall.
ChØ nh÷ng dÞch vô mμ ng−êi qu¶n trÞ m¹ng cho lμ cÇn
thiÕt míi ®−îc cμi ®Æt trªn bastion host, ®¬n gi¶n chØ v×
nÕu mét dÞch vô kh«ng ®−îc cμi ®Æt, nã kh«ng thÓ bÞ tÊn
c«ng. Th«ng th−êng, chØ mét sè giíi h¹n c¸c øng dông
cho c¸c dÞch vô Telnet, DNS, FTP, SMTP vμ x¸c thùc
user lμ ®−îc cμi ®Æt trªn bastion host.
- Bastion host cã thÓ yªu cÇu nhiÒu møc ®é x¸c thùc kh¸c
nhau, vÝ dô nh− user password hay smart card.
Mçi proxy ®−îc ®Æt cÊu h×nh ®Ó cho phÐp truy nhËp chØ
mét så c¸c m¸y chñ nhÊt ®Þnh. §iÒu nμy cã nghÜa r»ng
bé lÖnh vμ ®Æc ®iÓm thiÕt lËp cho mçi proxy chØ ®óng
víi mét sè m¸y chñ trªn toμn hÖ thèng.
Mçi proxy duy tr× mét quyÓn nhËt ký ghi chÐp l¹i toμn
bé chi tiÕt cña giao th«ng qua nã, mçi sù kÕt nèi,
kho¶ng thêi gian kÕt nèi. NhËt ký nμy rÊt cã Ých trong
viÖc t×m theo dÊu vÕt hay ng¨n chÆn kÎ ph¸ ho¹i.
Mçi proxy ®Òu ®éc lËp víi c¸c proxies kh¸c trªn bastion
host. §iÒu nμy cho phÐp dÔ dμng qu¸ tr×nh cμi ®Æt mét
proxy míi, hay th¸o gì m«t proxy ®ang cã vÊn ®Ó.
VÝ dô: Telnet Proxy
VÝ dô mét ng−êi (gäi lμ outside client) muèn sö dông dÞch
vô TELNET ®Ó kÕt nèi vμo hÖ thèng m¹ng qua m«t bastion
host cã Telnet proxy. Qu¸ tr×nh x¶y ra nh− sau:
1. Outside client telnets ®Õn bastion host. Bastion host
kiÓm tra password, nÕu hîp lÖ th× outside client ®−îc
phÐp vμo giao diÖn cña Telnet proxy. Telnet proxy cho
phÐp mét tËp nhá nh÷ng lÖnh cña Telnet, vμ quyÕt ®Þnh
nh÷ng m¸y chñ néi bé nμo outside client ®−îc phÐp truy
nhËp.
2. Outside client chØ ra m¸y chñ ®Ých vμ Telnet proxy t¹o
mét kÕt nèi cña riªng nã tíi m¸y chñ bªn trong, vμ
chuyÓn c¸c lÖnh tíi m¸y chñ d−íi sù uû quyÒn cña
outside client. Outside client th× tin r»ng Telnet proxy lμ
m¸y chñ thËt ë bªn trong, trong khi m¸y chñ ë bªn trong
th× tin r»ng Telnet proxy lμ client thËt.
1.4.4.2.2 ¦u ®iÓm:
- Cho phÐp ng−êi qu¶n trÞ m¹ng hoμn toμn ®iÒu khiÓn
®−îc tõng dÞch vô trªn m¹ng, bëi v× øng dông proxy h¹n
chÕ bé lÖnh vμ quyÕt ®Þnh nh÷ng m¸y chñ nμo cã thÓ
truy nhËp ®−îc bëi c¸c dÞch vô.
Cho phÐp ng−êi qu¶n trÞ m¹ng hoμn toμn ®iÒu khiÓn
®−îc nh÷ng dÞch vô nμo cho phÐp, bëi v× sù v¾ng mÆt
cña c¸c proxy cho c¸c dÞch vô t−¬ng øng cã nghÜa lμ c¸c
dÞch vô Êy bÞ kho¸.
Cæng øng dông cho phÐp kiÓm tra ®é x¸c thùc rÊt tèt, vμ
nã cã nhËt ký ghi chÐp l¹i th«ng tin vÒ truy nhËp hÖ
thèng.
LuËt lÖ filltering (läc) cho cæng øng dông lμ dÔ dμng cÊu
h×nh vμ kiÓm tra h¬n so víi bé läc packet.
1.4.4.2.3 H¹n chÕ:
Yªu cÇu c¸c users biÕn ®æi (mod×y) thao t¸c, hoÆc mod×y
phÇn mÒm ®· cμi ®Æt trªn m¸y client cho truy nhËp vμo c¸c
dÞch vô proxy. VÝ dô, Telnet truy nhËp qua cæng øng dông
®ßi hái hai b−íc ®ª nèi víi m¸y chñ chø kh«ng ph¶i lμ mét
b−íc th«i. Tuy nhiªn, còng ®· cã mét sè phÇn mÒm client
cho phÐp øng dông trªn cæng øng dông lμ trong suèt, b»ng
c¸ch cho phÐp user chØ ra m¸y ®Ých chø kh«ng ph¶i cæng
øng dông trªn lÖnh Telnet.
1.4.4.3 Cæng vßng (circuit-Level Gateway)
Cæng vßng lμ mét chøc n¨ng ®Æc biÖt cã thÓ thùc hiÖn ®−¬c
bëi mét cæng øng dông. Cæng vßng ®¬n gi¶n chØ chuyÓn
tiÕp (relay) c¸c kÕt nèi TCP mμ kh«ng thùc hiÖn bÊt kú mét
hμnh ®éng xö lý hay läc packet nμo.
H×nh 2.2 minh ho¹ mét hμnh ®éng sö dông nèi telnet qua
cæng vßng. Cæng vßng ®¬n gi¶n chuyÓn tiÕp kÕt nèi telnet
qua firewall mμ kh«ng thùc hiÖn mét sù kiÓm tra, läc hay
- ®iÒu khiÓn c¸c thñ tôc Telnet nμo.Cæng vßng lμm viÖc nh−
mét sîi d©y,sao chÐp c¸c byte gi÷a kÕt nèi bªn trong (inside
connection) vμ c¸c kÕt nèi bªn ngoμi (outside connection).
Tuy nhiªn, v× sù kÕt nèi nμy xuÊt hiÖn tõ hÖ thèng firewall,
nã che dÊu th«ng tin vÒ m¹ng néi bé.
Cæng vßng th−êng ®−îc sö dông cho nh÷ng kÕt nèi ra
ngoμi, n¬i mμ c¸c qu¶n trÞ m¹ng thËt sù tin t−ëng nh÷ng
ng−êi dïng bªn trong. ¦u ®iÓm lín nhÊt lμ mét bastion host
cã thÓ ®−îc cÊu h×nh nh− lμ mét hçn hîp cung cÊp Cæng
øng dông cho nh÷ng kÕt nèi ®Õn, vμ cæng vßng cho c¸c kÕt
nèi ®i. §iÒu nμy lμm cho hÖ thèng bøc t−êng löa dÔ dμng sö
dông cho nh÷ng ng−êi trong m¹ng néi bé muèn trùc tiÕp
truy nhËp tíi c¸c dÞch vô Internet, trong khi vÉn cung cÊp
chøc n¨ng bøc t−êng löa ®Ó b¶o vÖ m¹ng néi bé tõ nh÷ng sù
tÊn c«ng bªn ngoμi.
out in
out in
out in
outside host Inside host
Circuit-level Gateway
H×nh 2.2 Cæng vßng
1.4.5 Nh÷ng h¹n chÕ cña firewall
Firewall kh«ng ®ñ th«ng minh nh− con ng−êi ®Ó cã thÓ
®äc hiÓu tõng lo¹i th«ng tin vμ ph©n tÝch néi dung tèt
hay xÊu cña nã. Firewall chØ cã thÓ ng¨n chÆn sù x©m
nhËp cña nh÷ng nguån th«ng tin kh«ng mong muèn
nh−ng ph¶i x¸c ®Þnh râ c¸c th«ng sè ®Þa chØ.
Firewall kh«ng thÓ ng¨n chÆn mét cuéc tÊn c«ng nÕu
cuéc tÊn c«ng nμy kh«ng "®i qua" nã. Mét c¸ch cô thÓ,
firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét
- ®−êng dial-up, hoÆc sù dß rØ th«ng tin do d÷ liÖu bÞ sao
chÐp bÊt hîp ph¸p lªn ®Üa mÒm.
Firewall còng kh«ng thÓ chèng l¹i c¸c cuéc tÊn
c«ng b»ng d÷ liÖu (data-driven attack). Khi cã mét sè
ch−¬ng tr×nh ®−îc chuyÓn theo th− ®iÖn tö, v−ît qua
firewall vμo trong m¹ng ®−îc b¶o vÖ vμ b¾t ®Çu ho¹t
®éng ë ®©y.
Mét vÝ dô lμ c¸c virus m¸y tÝnh. Firewall kh«ng thÓ lμm
nhiÖm vô rμ quÐt virus trªn c¸c d÷ liÖu ®−îc chuyÓn qua
nã, do tèc ®é lμm viÖc, sù xuÊt hiÖn liªn tôc cña c¸c
virus míi vμ do cã rÊt nhiÒu c¸ch ®Ó m· hãa d÷ liÖu,
tho¸t khái kh¶ n¨ng kiÓm so¸t cña firewall.
1.4.6 C¸c vÝ dô firewall
1.4.6.1 Packet-Filtering Router (Bé trung chuyÓn cã läc
gãi)
HÖ thèng Internet firewall phæ biÕn nhÊt chØ bao gåm mét
packet-filtering router ®Æt gi÷a m¹ng néi bé vμ Internet
(H×nh 2.3). Mét packet-filtering router cã hai chøc n¨ng:
chuyÓn tiÕp truyÒn th«ng gi÷a hai m¹ng vμ sö dông c¸c quy
luËt vÒ läc gãi ®Ó cho phÐp hay tõ chèi truyÒn th«ng. C¨n
b¶n, c¸c quy luËt läc ®ù¬c ®Þnh nghÜa sao cho c¸c host trªn
m¹ng néi bé ®−îc quyÒn truy nhËp trùc tiÕp tíi Internet,
trong khi c¸c host trªn Internet chØ cã mét sè giíi h¹n c¸c
truy nhËp vμo c¸c m¸y tÝnh trªn m¹ng néi bé. T− t−ëng cña
m« cÊu tróc firewall nμy lμ tÊt c¶ nh÷ng g× kh«ng ®−îc chØ
ra râ rμng lμ cho phÐp th× cã nghÜa lμ bÞ tõ chèi.
- Bªn ngoμi Packet filtering Bªn trong
router
M¹ng néi bé
The Internet
H×nh 2.3 Packet-filtering router
¦u ®iÓm:
gi¸ thμnh thÊp (v× cÊu h×nh ®¬n gi¶n)
trong suèt ®èi víi ng−êi sö dông
H¹n chÕ:
Cã tÊt c¶ h¹n chÕ cña mét packet-filtering router, nh− lμ
dÔ bÞ tÊn c«ng vμo c¸c bé läc mμ cÊu h×nh ®−îc ®Æt
kh«ng hoμn h¶o, hoÆc lμ bÞ tÊn c«ng ngÇm d−íi nh÷ng
dÞch vô ®· ®−îc phÐp.
Bëi v× c¸c packet ®−îc trao ®æi trùc tiÕp gi÷a hai m¹ng
th«ng qua router , nguy c¬ bÞ tÊn c«ng quyÕt ®Þnh bëi sè
l−îng c¸c host vμ dÞch vô ®−îc phÐp. §iÒu ®ã dÉn ®Õn
mçi mét host ®−îc phÐp truy nhËp trùc tiÕp vμo Internet
cÇn ph¶i ®−îc cung cÊp mét hÖ thèng x¸c thùc phøc t¹p,
vμ th−êng xuyªn kiÓm tra bëi ng−êi qu¶n trÞ m¹ng xem
cã dÊu hiÖu cña sù tÊn c«ng nμo kh«ng.
NÕu mét packet-filtering router do mét sù cè nμo ®ã
ngõng ho¹t ®éng, tÊt c¶ hÖ thèng trªn m¹ng néi bé cã
thÓ bÞ tÊn c«ng.
1.4.6.2 Screened Host Firewall
HÖ thèng nμy bao gåm mét packet-filtering router vμ mét
bastion host (h×nh 2.4). HÖ thèng nμy cung cÊp ®é b¶o mËt
- cao h¬n hÖ thèng trªn, v× nã thùc hiÖn c¶ b¶o mËt ë tÇng
network( packet-filtering ) vμ ë tÇng øng dông (application
level). §ång thêi, kÎ tÊn c«ng ph¶i ph¸ vì c¶ hai tÇng b¶o
mËt ®Ó tÊn c«ng vμo m¹ng néi bé.
Bªn trong
Bªn ngoμi Packet filtering Bastion host
router
m¸y néi bé
The Internet
Information server
H×nh 2.4 Screened host firewall (Single- Homed Bastion Host)
Trong hÖ thèng nμy, bastion host ®−îc cÊu h×nh ë trong
m¹ng néi bé. Qui luËt filtering trªn packet-filtering router
®−îc ®Þnh nghÜa sao cho tÊt c¶ c¸c hÖ thèng ë bªn ngoμi chØ
cã thÓ truy nhËp bastion host; ViÖc truyÒn th«ng tíi tÊt c¶
c¸c hÖ thèng bªn trong ®Òu bÞ kho¸. Bëi v× c¸c hÖ thèng néi
bé vμ bastion host ë trªn cïng mét m¹ng, chÝnh s¸ch b¶o
mËt cña mét tæ chøc sÏ quyÕt ®Þnh xem c¸c hÖ thèng néi bé
®−îc phÐp truy nhËp trùc tiÕp vμo bastion Internet hay lμ
chóng ph¶i sö dông dÞch vô proxy trªn bastion host. ViÖc
b¾t buéc nh÷ng user néi bé ®−îc thùc hiÖn b»ng c¸ch ®Æt
cÊu h×nh bé läc cña router sao cho chØ chÊp nhËn nh÷ng
truyÒn th«ng néi bé xuÊt ph¸t tõ bastion host.
nguon tai.lieu . vn