Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall MỤC LỤC LỜI MỞ ĐẦU 3 Phần 1: AN TOÀN THÔNG TIN TRÊN MẠNG (NETWORKSECURITY) 5 1. Tổng quan về an ninh, an toàn trên mạng Internet (Internet Security). 5 2. Tại sao cần có an ninh mạng ? 6 2.1. Thực tế về sự phát triển Internet 6 2.2. Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua 7 3. Các hình thức tấn công trên mạng Internet 8 3.1. Tấn công trực tiếp 8 3.2. Nghe trộm trên mạng 8 3.3. Giả mạo địa chỉ IP 9 3.4. Vô hiệu hoá các chức năng của hệ thống 9 3.5. Lỗi của người quản trị hệ thống 10 3.6. Tấn công vào các yếu tố con người 10 3.7. Một số kiểu tấn công khác 11 4. Phân loại kẻ tấn công 11 5. Phương pháp chung ngăn chặn các kiểu tấn công 12 6. Phương thức mã hóa - bảo mật thông tin 14 6.1. Đặc điểm chung của các phương thức mã hóa 14 6.2. Các phương thức mã hóa 17 Phần 2: KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL 21 1. Lịch sử 21 2. Định nghĩa FireWall 23 3. Phân loại FireWall 24 4. Sự cần thiết của FireWall 26 Lớp Công Nghệ Thông Tin K47 1 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall 5. Chức năng chính của FireWall 27 6. Cấu trúc của FireWall 27 7. Các thành phần của FireWall và cơ chế hoạt động 28 8. Vai trò của FireWall 34 9. Phải chăng tường lửa rất dễ bị phá 34 10. Những hạn chế của FireWall 35 Phần 3: MÔ HÌNH VÀ ỨNG DỤNG CỦA FIREWALL 37 1. Một số mô hình Firewall thông dụng 37 1.1. Packet filtering: 37 1.2. Dual-homed host: 39 1.3. Demilitarized Zone (Screened-subnet Firewall) 40 1.4. Proxy service: 42 2. Ứng dụng 43 2.1. Quản lý xác thực (Authenti-cation) 43 2.2. Quản lý cấp quyền (Autho-rization) 44 2.3. Quản lý kế toán (Accounting management). 45 KẾT LUẬN 46 TÀI LIỆU THAM KHẢO 47 Lớp Công Nghệ Thông Tin K47 2 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall LỜI MỞ ĐẦU INTERNET ngày nay không còn xa lạ gì với chúng ta nữa, nó đã trở thành mạng dữ liệu công cộng làm cho việc liên lạc cá nhân, công việc trở nên thuận tiện hơn nhiều. Với lợi ích to lớn của nó, mạng Internet cùng với các công nghệ liên quan đã mở ra một cánh cửa làm tăng số lượng các vụ tấn công vào những công ty, cơ quan và cả những cá nhân, nơi lưu giữ những dữ liệu nhạy cảm như bí mật quốc gia, số liệu tài chính, số liệu cá nhân Hậu quả của các cuộc tấn công này có thể chỉ là phiền phức nhỏ, nhưng cũng có thể làm các dữ liệu quan trọng bị xóa, sự riêng tư bị xâm phạm và chỉ sau vài ngày, thậm chí vài giờ sau, toàn bộ hệ thống có thể bị tê liệt hoàn toàn… Do đó, song song với việc phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng. Như vậy, có thể nói việc tìm hiểu và nghiên cứu về công nghệ Firewall đã và đang trở thành một vấn đề cấp thiết, đặc biệt là đối với những người chuyên sâu về lĩnh vực bảo mật. Trong khuôn khổ của đề án này, em xin trình bày khái quát về vấn đề "Internet Security". Các hình thức tấn công qua mạng Internet cũng như biện pháp chung để bảo vệ, ngăn chặn những cuộc tấn công đó. Và đi sâu vào nghiên cứu một loại thiết bị bảo vệ mạng khỏi thế giới bên ngoài đó là bức tường lửa (Firewall). Lớp Công Nghệ Thông Tin K47 3 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall Nội dung của đề án bao gồm 3 phần: Phần1: An toàn thông tin trên mạng. Phần2: Khái niệm và chức năng của Firewall. Phần3: Mô hình và ứng dụng của Firewall. Trong quá trình thực hiện đề án do còn hạn chế về nhiều mặt nên không thể tránh khỏi có những sai sót, em rất mong nhận được những ý kiến đóng góp, chỉ bảo của các thày cô và những người quan tâm đến vấn đề này. Em xin chân thành cảm ơn cô giáo Nguyễn Quỳnh Mai đã nhiệt tình giúp đỡ và hướng dẫn em trong suốt thời gian thực hiện đề án này. Em xin chân thành cảm ơn! Hà nội, tháng 10/2008 Lớp Công Nghệ Thông Tin K47 4 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall Phần 1: AN TOÀN THÔNG TIN TRÊN MẠNG (NETWORKSECURITY) 1. Tổng quan về an ninh, an toàn trên mạng Internet (Internet Security). Mạng máy tính toàn cầu (Internet) là mạng của các mạng máy tính được kết nối với nhau qua giao thức TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ. Các mạng được điều hành hoạt động bởi một hoặc nhiều loại hệ điều hành mạng. Như vậy, hệ điều hành mạng có thể điều phối một phần của mạng và là phần mềm điều hành đơn vị quản lý nhỏ nhất trên toàn bộ mạng. Điều khác nhau giữa mạng máy tính và xã hội loài người là đối với mạng máy tính chúng ta phải quản lý tài sản khi mà các ngôi nhà đều luôn mở cửa. Các biện pháp vật lý là khó thực hiện vì thông tin và thiết bị luôn cần được sử dụng. Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là ở mức cao nhất song không phải bao giờ cũng thuận lợi và không tốn kém. Thường thì các hệ điều hành mạng, các thiết bị mạng sẽ lãnh trách nhiệm lá chắn cuối cùng cho thông tin. Vượt qua lá chắn này thông tin hầu như không còn được bảo vệ nữa. Gối trên nền các hệ điều hành là các dịch vụ mạng như: Thư điện tử (Email), WWW, FTP, News, làm cho mạng có nhiều khả năng cung cấp thông tin. Các dịch vụ này cũng có các cơ chế bảo vệ riêng hoặc tích hợp với cơ chế an toàn của hệ điều hành mạng. Lớp Công Nghệ Thông Tin K47 5 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả vô tình và hữu ý. Các nội dung thông tin lưu trữ và lưu truyền trên mạng luôn là đối tượng tấn công. Nguy cơ mạng luôn bị tấn công là do người sử dụng luôn truy nhập từ xa. Do đó thông tin xác thực người sử dụng như mật khẩu, bí danh luôn phải truyền đi trên mạng. Những kẻ xâm nhập tìm mọi cách giành được những thông tin này và từ xa truy nhập vào hệ thống. Càng truy nhập với tư cách người dùng có quyền điều hành cao thì khả năng phá hoại càng lớn. Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán định trước. Nhưng tập trung lại gồm ba hướng chính sau:  Bảo đảm an toàn cho phía server.  Bảo đảm an toàn cho phía client.  Bảo mật thông tin trên đường truyền. 2. Tại sao cần có an ninh mạng ? 2.1. Thực tế về sự phát triển Internet. Bật máy tính lên, kết nối vào mạng Internet là người sử dụng đã đến với một thế giới của thông tin, tri thức và các giao dịch điện tử. Như vậy cũng có nghĩa là người sử dụng đã bắt đầu phải đương đầu với các vụ tấn công trên đó: virus, mất cắp dữ liệu, các giao dịch tài chính Càng giao thiệp rộng thì càng dễ bị tấn công. Theo CERT (Computer Emegency Response Team), năm 1989 có 200 vụ tấn công, truy nhập trái phép trên mạng được báo cáo; năm 1991 có 400 vụ; năm 1993 có 1400 vụ; năm 1994 có 2241 vụ… Riêng năm 2000 có 22.000 vụ tấn công trên mạng, hết năm 2001 là 46.000 vụ, nhiều hơn hai lần so với năm trước. Như vậy số vụ tấn công ngày càng tăng, một phần cũng do kỹ thuật ngày càng mới. Lớp Công Nghệ Thông Tin K47 6 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall 2.2. Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua. Trong những năm vừa qua cùng với các Website nối tiếng trên thế giới bị tấn công như (Yahoo, Amazon.com, eBay, Buy.com) các Website của Việt nam cũng không nằm ngoài mục tiêu đột kích của các hacker. Gần đây nhất là vụ tấn công của các hacker vào Website của Vitranet. Thay vì hiện nội dung trang Web của mạng thông tin thương mại thị trường Việt nam lại là nội dung của trang Web có nội dung không lành mạnh khi người sử dụng gõ vào dòng địa chỉ: http://www.vinaone.com. Tuy nhiên, do số lượng các trang Web của Việt Nam còn ít, số lượng người sử dụng Internet chưa nhiều (cả nước có khoảng 40.000 thuê bao Internet) nên nếu có bị tấn công cũng gây thiệt hại không đáng kể. Trong thời gian qua, các đường truyền Internet của Việt Nam vốn có lưu lượng rất thấp so với thế giới đã một số lần bị tắc vào các giờ cao điểm. Tuy nhiên các trang Web của nước ta lo ngại nhất là các hacker phá hoại, sửa chữa làm sai lệch thông tin chứ không sợ "dội bom". Bản thân mạng VNN cũng đã nhiều lần bị tấn công dưới hình thức bom thư. Hàng ngàn bức thư từ nhiều địa điểm trên thế giới đã đồng loạt gửi về mạng nhưng sự tắc nghẽn không đáng kể. Việc đối phó với hình thức tấn công này không phải là quá khó nhưng để đi tới một giải pháp tối ưu, triệt để thì lại là vấn đề đáng bàn. Để đối phó với các hình thức tấn công từ bên ngoài, Ban điều phối mạng Internet Việt Nam cũng đã đưa ra những nghiên cứu, dự phòng. Cụ thể là sử dụng các thiết bị như Firewall, máy chủ uỷ quyền và tổ chức phân cấp công việc, trách nhiệm cụ thể. Các thông tin quan trọng nhất được lưu vào đĩa quang (hacker không xóa được) để nếu trang Web bị hacker vào làm sai lệch thì xóa toàn bộ rồi lại nạp từ đĩa quang sang. Thêm vào đó Nhà nước còn quy định các máy tính nối mạng không được Lớp Công Nghệ Thông Tin K47 7 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall truy cập vào các cơ sở dữ liệu quan trọng, bí mật quốc gia. Đồng thời không cho thiết lập các đường hotline (đường truy cập trực tiếp) vào các trang Web quan trọng nhất. 3. Các hình thức tấn công trên mạng Internet. 3.1. Tấn công trực tiếp. Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong. Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương pháp tấn công cổ điển là dò tìm cặp tên người sử dụng và mật khẩu thông qua việc sử dụng một số thông tin đã biết về người sử dụng để dò tìm mật khẩu, đây là một phương pháp đơn giản dễ thực hiện. Ngoài ra các hacker cũng có thể sử dụng một chương trình tự động hoá cho việc dò tìm này. Chương trình này có thể dễ dàng lấy được thông tin từ Internet để giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trong một từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này cũng khá cao, nó có thể lên tới 30%. Phương pháp sử dụng các lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator). 3.2. Nghe trộm trên mạng. Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến Lớp Công Nghệ Thông Tin K47 8 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall cho thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi các hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được nguồn thông tin cá nhân của mình trên mạng Intemet. Bạn có thể mã hoá cho nguồn thông tin của mình trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa. 3.3. Giả mạo địa chỉ IP. Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tới bạn. 3.4. Vô hiệu hoá các chức năng của hệ thống. Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ. Lớp Công Nghệ Thông Tin K47 9 Sinh viên: Đoàn Duy Thành Tìm hiểu về FireWall Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp. Điều này được thể hiện rõ qua các đợt tấn công vào các Website của Mỹ đầu tháng 2/2000 vừa qua. 3.5. Lỗi của người quản trị hệ thống. Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. 3.6. Tấn công vào các yếu tố con người. Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác. Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internet chính là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy tính, mạng Internet không cao. Chính họ đã tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua Email. Kẻ tấn công gửi những chương trình, virus và những tài liệu có nội dung không hữu ích hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Thông thường những thông tin này được che phủ bởi những cái tên hết sức ấn tượng mà không ai có thể biết được bên trong nó chứa đựng cái gì. Và điều tồi tệ nhất sẽ xảy ra khi người sử dụng mở hay chạy nó. Lúc đó có Lớp Công Nghệ Thông Tin K47 10