BÀI HỆ THỐNG TƯỜNG LỬA(FIREWALL) Bùi Trọng Tùng, SoICT, HUST 1 Nội dung • Tổng quan tường lửa • Kiến trúc tường lửa • Các mơ hình triển khai hệ thống tường lửa 2 1 GIỚI THIỆU CHUNG VỀ TƯỜNG LỬA Bùi Trọng Tùng, SoICT, HUST 3 Giới thiệu chung • Là hệ thống có khả ngăn chặn truy cập khơng hợp lệ biết từ bên khu vực tài nguyên cần bảo vệ • Tường lửa triển khai nhiều vị trí, tùy thuộc cách thức định nghĩa, phạm vi tài nguyên cần bảo vệ: • Mạng ngoại vi • Mạng nội Network-based firewall • Nút mạng(Host-based firewall) • Ứng dụng(Application firewall) 4 Tường lửa làm gì? • Thi hành sách an tồn bảo mật: hoạt động hệ thống cảnh vệ(traffic cop) cho phép/từ chối lưu lượng mạng qua tường lửa dựa đặc điểm(giao thức, địa chỉ, nội dung…) xác định • Hạn chế hành vi cơng vào mạng • Từ mạng bên ngồi(Internet) vào mạng nội • Từ phân vùng mạng nội tới phân vùng mạng nội khác • Lưu nhật ký lưu lượng mạng 5 Tường lửa làm gì? • Khơng bảo vệ tài ngun trước mối nguy từ • • • • • bên Khơng kiểm sốt lưu lượng mạng khơng qua Khơng kiểm sốt đầy đủ lưu lượng mã hóa Khơng ngăn chặn truy cập công chưa biết Không chống lại hoàn toàn nguy từ phần mềm độc hại Do cần được: • Triển khai nhiều vị trí khác • Kết hợp với giải pháp khác: phòng chống phần mềm độc hại, IDS/IPS, điều khiển truy cập, kiểm tốn(auditing) • Cập nhật liên tục sách 6 Một số sản phẩm tường lửa • Check Point , Fortinet Fortigate, Cisco PIX, Cisco ASA, Proventia, Bkav IPS Firewall • Network-based firewall • Thiết bị phần cứng • Thường tích hợp thêm tính khác: IPS, VPN, anti-malware • Đắt tiền • Microsoft ISA Server, Microsoft Forefront TMG • Network-based firewall • Phần mềm: hiệu thấp thiết bị phần cứng • Tích hợp thêm tính năng: VPN, Single-Sign-On, quản trị, giám sát hệ thống… 7 Một số sản phẩm tường lửa(tiếp) • pfSense, SmoothWall • Network-based firewall • Phần mềm: hiệu thấp thiết bị phần cứng • Tích hợp nhân hệ điều hành Linux, Unix vào sản phẩm(distro) • Đa tính năng: định tuyến, cân tải, IPS… • Miễn phí • Host-based firewall • Thương mại: Kaspersky, Norton… • Miễn phí: Comodo, Zone alarm, iptables, FirewallD… • Application firewall • Web: ModSecurity, WAFEC 8 CÁC CÔNG NGHỆ TƯỜNG LỬA Bùi Trọng Tùng, SoICT, HUST 9 Các hệ tường lửa • Thế hệ 1(1985) – Packet filter: kiểm sốt lưu lượng dựa • • • • • thông tin phần tiêu đề Thế hệ 2(1989) – Proxy server: ngăn chặn lưu lượng công dựa hiểu biết giao thức chuẩn tầng ứng dụng Thế hệ 3(1991) – Stateful inspector firewall: kiểm soát thêm trạng thái luồng liệu Thế hệ 4(1994) – Dynamic packet filter: giao tiếp với hệ thống phát công để cung cấp chế phản ứng với công Thế hệ 5(1996) – Kiểm sốt q trình xử lý gói tin dựa toàn chồng giao thức TCP/IP Hiện nay: tích hợp với giải pháp an tồn bảo mật khác 10 10 Packet filter(stateless) • Loại tường lửa đơn giản • Dựa việc kiểm tra số giá trị phần tiêu đề để xác định gói tin chấp nhật chặn: • Địa MAC • Địa IP nguồn, đích • Số hiệu cổng nguồn, đích • Giao thức • Ví dụ: 11 11 Kiến trúc 12 12 Packet filter – Nguyên lý hoạt động • Mỗi firewall có tập luật định nghĩa cách thức xử lý gói tin(cho phép qua chặn) • Tập luật áp dụng luồng liệu vào(inbound) ra(outbound) giao tiếp mạng firewall 13 13 Packet filter – So khớp luật • Thơng tin phần tiêu đề gói tin so khớp với giá trị định nghĩa luật • Các luật so khớp theo thứ tự đặt tập luật • Nếu phù hợp với luật nào, gói tin xử lý theo cách thức luật • Khơng tiếp tục so khớp với luật cịn lại • Nếu khơng có luật so khớp: xử lý theo luật mặc định • Thơng thường: luật mặc định chặn 14 14 Packet filter(stateless) • Ưu điểm: • Đơn giản • Tốc độ xử lý nhanh • Hạn chế: • Có q lựa chọn xử lý(drop, accept, forward) • Khơng kiểm sốt nội dung gói tin • Khả hỗ trợ ghi nhật ký hạn chế • Dễ dàng vượt qua kỹ thuật giả mạo thông tin phần tiêu đề • Khơng hỗ trợ tính xác thực 15 15 Case study: Cisco ACL • Standard ACL: Lọc dựa địa nguồn #access-list ACL_num {permit | deny} {srcAddr srcWildcard | host srcAddr | any} • Extended ACL: Lọc dựa địa nguồn, đích, giao thức #access-list ACL_num {permit | deny} protocol {srcAddr srcWildcard | host srcAddr | any} [operator srcPort] {dstAddr dstWildcard | host dstAdrr | any} [operator dstPort] • Luật mặc định: deny 16 16 Case study: iptables #iptables args_list Một số tham số sử dụng - A: thêm luật, -D: xóa luật Tham số luồng áp dụng: INPUT, OUTPUT, FORWARD -i interface: định cổng áp dụng luật với liệu vào -o interface: định cổng áp dụng luật với liệu -j [ACCEPT | DROP | LOG | REJECT | RETURN] - p: giao thức - s srcAddr: địa nguồn, sport port: cổng nguồn - d dstAddr: địa đích, dport port: cổng đích 17 17 Stateful Inspector/Filter • Hạn chế Packet filter: xử lý độc lập gói tin, khơng có chế theo dõi trạng thái liên kết • Ví dụ: Cho phép gói tin từ External network vào Internal network nút mạng Internal network khởi tạo liên kết • Stateful Inspector • Sử dụng bảng lưu thông tin trạng thái liên kết thiết lập • Cho phép liệu vào(inbound) khu vực tài nguyên bảo vệ liên kết thiết lập • Vẫn hỗ trợ giao thức hướng không liên kết: cho phép liệu vào trước có liệu tương ứng 18 18 Stateful Inspector/Filter – Ví dụ TCP SYN From: 2.2.2.2:14000 To: 1.1.1.1:80 Pass the packet TCP SYN From: 2.2.2.2:14000 To: 1.1.1.1:80 Protocol Internal IP Internal port External IP External port TCP 2.2.2.2 14000 1.1.1.1 80 State outbound 19 19 Stateful Inspector/Filter – Ví dụ TCP SYN/ACK From: 1.1.1.1:80 To: 2.2.2.2:14000 Check rules Pass the packet TCP SYN/ACK From: 1.1.1.1:80 To: 2.2.2.2:14000 Protocol Internal IP Internal port External IP External port TCP 2.2.2.2 14000 1.1.1.1 80 State outbound 20 20 10 Proxy server – Kiến trúc 27 27 Proxy server – Hoạt động 28 28 14 Proxy server – Ưu điểm • Kiểm sốt nội dung liệu: URL filtering, MIME • • • • • • filtering, Content filtering Kiểm soát trạng thái phiên Che giấu địa IP riêng Tách thông tin tiêu đề cũ, thay tiêu đề  ngăn chặn kỹ thuật cơng dựa tiêu đề gói tin tới mạng bên Chống lại việc giả mạo thông tin tiêu đề Có thể định tuyến cho dịch vụ Hỗ trợ tốt chế nhật ký, kiểm toán 29 29 Proxy server – Hạn chế • Làm chậm q trình cung cấp dịch vụ • Các dịch vụ hỗ trợ bị hạn chế • Khơng suốt với người dùng cuối: • Cần cấu hình để client kết nối tới proxy server • Hiện proxy server thay sản phẩm tường lửa có tính Deep Packet Inspection 30 30 15 CÁC KIẾN TRÚC TRIỂN KHAI Bùi Trọng Tùng, SoICT, HUST 31 31 Screening router • Tích hợp lọc vói router kết nối mạng cần bảo vệ với mạng công cộng • Ưu điểm: • Đơn giản • Chi phí thấp • Nhược điểm: • Khơng có khả chịu lỗi • Mức độ an ninh thấp, dễ bị vượt qua • Sử dụng nào? • Hệ thống có lớp bảo vệ an tồn bên • Số lượng giao thức cần kiểm sốt 32 32 16 Dual-home host • Có tối thiểu giao tiếp mạng • Các nút mạng bên mạng cơng cộng khơng thể kết nối trực tiếp • Dual-home host cần hoạt động proxy mạng bên cần cung cấp dịch vụ cho mạng bên ngồi • Có khả kiểm sốt nội dung liệu • Hạn chế: khơng có khả chịu lỗi • Sử dụng nào? • Lưu lượng mạng thấp 33 33 Screened-host • Bastion Host đặt phân vùng mạng bên trong, nút mạng truy cập từ mạng cơng cộng • Bastion Host cần bảo vệ mức cao • Hạn chế: Bastion Host • Sử dụng nào? • Lưu lượng mạng thấp bị chiếm quyền quyền • Các nút phân vùng mạng bên điều khiển, mạng bên có lớp bảo vệ an tồn khơng cịn bảo vệ 34 34 17 Screen-subnet • Perimeter network: Phân vùng mạng vành đai nằm phần vùng bên (internal network) phần vùng bên ngồi (external network) • Cài đặt packet filter router • Bastion Host hoạt động proxy • An tồn Bastion Host tách biệt khỏi phân vùng bên 35 35 Các mơ hình khác Sử dụng nhiều Bastion Host tùy thuộc mục đích: • Phân tải • Dự phịng • Tách biệt dịch vụ có yêu cầu an ninh thấp 36 36 18 Các mơ hình khác • Tích hợp Bastion Host • Tích hợp Interior Router Exterior Router Dual-home Exterior Router Host 37 37 Các mô hình khác • Tích hợp Bastion Host Interior Router • Trên Bastion Host cần cài đặt Hostbased firewall • Nguy an tồn tăng Bastion Host bị chiếm quyền điều khiển 38 38 19 Triển khai tường lửa mạng phức hợp • Nhiều phân vùng mạng bên trong: sử dụng nhiều Interior Gateway kết nối với mạng vành đai • Tránh sử dụng giải pháp nguy an toàn tăng lên cấu hình Interior Router khơng cách • Dữ liệu trao đổi phân vùng mạng bên vận chuyển mạng vành đai 39 39 Triển khai tường lửa mạng phức hợp • Nhiều phân vùng mạng bên trong: sử dụng Interior Router để kết nối • Cấu hình Interior Router phức tạp • Interior Router cần có hiệu cao 40 40 20 Triển khai tường lửa mạng phức hợp • Nhiều phân vùng mạng bên trong: xây dựng phân vùng mạng backbone để vận chuyển liệu trao đổi phân vùng mạng bên • Giảm tải cho Interior Router 41 41 Triển khai tường lửa mạng phức hợp • Nhiều kết nối tới mạng công cộng: chung phân vùng mạng vành đai 42 42 21 Triển khai tường lửa mạng phức hợp • Nhiều kết nối tới mạng cơng cộng: sử dụng phân vùng mạng vành đai riêng rẽ • Tách biệt lưu lượng nhạy cảm quan trọng trao đổi với mạng công cộng 43 43 Triển khai tường lửa với DMZ • DeMilitary Zone: Phân vùng cho phép truy cập trực tiếp từ mạng công cộng • Cần tách biệt với phân vùng mạng bên • Trên thực tế phân vùng DMZ phân chia thành phân vùng cần áp đặt sách an tồn khác theo mức độ bảo vệ Bastion Host 44 44 22 Triển khai tường lửa với DMZ • External DMZ: mức độ yêu cầu an tồn khơng có thấp • Internal DMZ: cần bảo vệ kiểm soát 45 45 Triển khai tường lửa với DMZ • Khi DMZ tách biệt nhau, cần phải triển khai tường lửa để kiểm soát truy cập DMZ với mạng bên 46 46 23 Triển khai tường lửa VPN VPN Gateway đặt trước tường lửa • Ưu điểm: kiểm sốt hồn tồn lưu lượng • Nhược điểm: • VPN Gateway khơng bảo vệ • Dữ liệu bị nghe phân vùng DMZ không cấu hình firewall cách đắn 47 47 Triển khai tường lửa VPN VPN Gateway đặt phân vùng bên • Ưu điểm: • Dữ liệu bảo vệ an toàn phân vùng bên • VPN Gateway bảo vệ • Hạn chế: tường lửa khơng kiểm sốt hồn tồn lưu lượng, dẫn đến nguy mạng bên bị cơng từ kết nối VPN • Có thể đặt thêm lớp tường lửa sau VPN Gateway 48 48 24 Triển khai tường lửa VPN VPN Gateway đặt phân vùng DMZ • Ưu điểm: Lưu lượng kiểm soát trước vào bên mạng cục • Hạn chế: • Khơng kiểm sốt lưu lượng phân vùng DMZ • Nếu cấu hình thành phần khơng cách, liệu bị nghe phân vùng DMZ • Khi cần thiết, đặt thêm lớp tường lửa đặt VPN Gateway phân vùng DMZ riêng 49 49 XÂY DỰNG TẬP LUẬT CHO TƯỜNG LỬA Bùi Trọng Tùng, SoICT, HUST 50 50 25 Tập luật tường lửa • Tập luật tường lửa xây dựng dựa yếu tố sau: • Chính sách tổ chức • Phải bao gồm sách tường lửa • Đơn giản ngắn gọn • Hạn chế tối đa truy cập từ mạng công cộng tới mạng bên • Kiểm sốt dịch vụ cung cấp cho nút mạng cơng cộng • Nguyên tắc: cấm lưu lượng không đề cập đến tập luật(default-deny policy) • Biểu diễn tập luật dạng ma trận cho tường lửa • Nếu có thể, đặt luật áp dụng lên lưu lượng cao lên trước 51 51 Xây dựng tập luật – Best practice • Những nhóm người, nút mạng dùng bị hạn chế truy cập • • • • • bên ngồi Những dịch vụ phân vùng DMZ truy cập từ mạng công cộng Chỉ lưu lượng xác thực truy cập vào phân vùng bên (Ví dụ: kết nối VPN) Không cho phép nhân viên sử dụng ứng dụng trao đổi tin nhắn (message-instant) bên ngồi Có thể cho phép lưu lượng từ ISP vào mạng Chỉ cho phép quản trị viên truy cập vào phân vùng quản trị từ mạng công cộng 52 52 26 Xây dựng tập luật – Best practice • Cấm lưu lượng vào mạng bên có địa • • • • • nguồn địa bên Tường lửa nên truy cập từ phân vùng quản trị Lưu lượng SMTP nên cho phép qua cần định tuyến tới SMTP gateway để kiểm soát nội dung Tất lưu lượng ICMP không xuất phát từ phân vùng quản trị nên bị cấm Cấm lưu lượng telnet từ mạng công cộng tới phân vùng mạng bên Nếu có thể, nên sử dụng Web proxy để kiểm soát tốt lưu lượng Web 53 53 Ví dụ 54 54 27 Ví dụ • DMZ Network: 202.191.56.0 /24 • Web server: 202.191.56.65 • Email server: 202.191.56.65 • DNS server: 202.191.56.66 • Internal Network: 172.16.0.0 /16, NAT: 202.191.56.60 • Manager Network: 192.168.1.0 /24, NAT: 202.191.56.61 • Exterior firewall: • External Interface: 201.1.11.7 • Internal Interface: 202.191.56.67 • Interior firewall: • External Interface: 202.191.56.68 • Internal Interface: 192.168.1.1, 172.16.0.1 55 55 28