1 Khoa Mạng máy tính và truyền thông Trường Đại học Công Nghệ Thông Tin Ứng Dụng Truyền Thông Và An Ninh Thông Tin Designing Firewalls Designing Firewalls 2 Giảng Viên Hướng Dẫn : ThS. NCS. Tô Nguyễn Nhật Quang Nhóm 2 : • 08520435 Nguyễn Thành Trung • 08520530 Trương Thị Thùy Duyên • 08520292 Phạm Phú Phúc • 08520548 Lê Kim Hùng Contents 3 1. Các thành phần của Firewall Những quan niệm về bảo mật mạng ngày nay rất đa dạng và những đề tài thách thức được thảo luận. Có nhiều khu vực khác nhau của các loại kiến trúc mạng được quan tâm, nó bắt đầu từ những thông báo hệ thống để cơ sở dữ liệu, từ tập tin đến in ra các giải pháp để truy nhập mạng từ xa. Nó không bắt đầu chưa lâu mà bảo mật và bảo vệ mạng là tài sản căn bản được làm làm rõ lĩnh vực của kỹ sư mạng, đó là người có sự hiểu biết về công nghệ, kỹ năng cao và thường chăm chỉ để nói và hiểu các vấn đề nếu bạn không phải là một kỹ sư mạng. Những thử thách mà người kỹ sư mạng phải đối mặt đó là khả năng truy nhập, bảo vệ tài sản và giảm thiểu nguy cơ không an toàn, không có sự thay đổi cho tất cả và tại cùng một thời điểm, công nghệ được sử dụng địa chỉ cấp phát trải qua sự biến đổi trong cả một khu vực phức tạp. Chie cần nhìn vào duy nhất một khu vực mở rộng trong khu vực tường lửa để thấy cụ thể làm thế nào để biến đổi một cách trực tiếp, và tác động sâu để hệ thống bảo mật mạng và trên khả năng nhận biết của người dùng về bảo mật và cả người cung cấp nó. Sau đây là một ví dụ đơn giản về Firewall Tường lửa nằm ở một vị trí hợp lý đó là nằm giữa mạng nội bộ và mạng Wan. Tưởng lửa ở đó để thực hiện mục đích của nó chính là cấm và cho phép các kết nối trên các luật mà được người quả trị tạo ra và đăng ký trên thiết bị. Ở những năm trước, những tùy chọn được cung cấp để dễ dàng cho phép hay cấm các truy nhập một các đặc trưng đủ để cung cấp bảo mật và bảo vệ ở mức độ cơ bản là hầu hết nếu không phải là tất cả mạng của chúng ta. Thách thức được đặt ra là làm sao xây dựng được một hệ thống vững chắc dựa trên các mối quan hệ để cung cấp những yếu tố bảo mật cơ bản, hacker và kẻ phá hoại đã ngồi lại và bàn cách làm sao có thể phá vỡ được 4 hệ thống tường lữa. và kết qua là nhiều chi tiết mới được thêm vào để tường lữa trở thành một phần không thể thiếu của bảo mật mạng để bảo vệ mạng từ những truy nhập trái phép và không mong muốn từ mạng trong các trường hợp cụ thể. Ngoài việc cấm và cho phép các truy nhập, ngày nay trong một tường lữa còn cũng cấp các dịch vụ sau: - NAT: được dùng bởi router để có thể dich một địa chỉ nội bộ thành một địa chỉ bên ngoài - Bắt dữ liệu: tùy chọn này cho phép router lưu trử dữ liệu được cho phép bởi các người dùng mạng. - Hạn chế trên nội dung: Tùy chọn này có giá trị trên những hệ thống mới. Cho phép người quản trị hạn chế truy nhập nội dung internet bằng cách sử dụng từ khóa. 2. Các phương thức của tường lửa: Tường lửa có 2 phương thức chính dùng để thực hiện bảo mật bên trong một mạng. Mặc dù có nhiều biến thể xong chúng vẫn xoay quanh 2 loại chính đó là : • Lọc gói tin • Máy chủ proxy hay các cổng chương trình. Lọc gói tin là loại đầu tiên của tường lữa được sử dụng trong nhiều hệ thống để bảo vệ mạng. Nó có nhiều phương thức phổ biến được thực thi để bắt một gói tin sử dụng router. Nhiều router có khả năng cho phép hay cấm các gói tin dựa trên các luật mà người quản trị đặt ra. Mặc dù có nhiều loại tường lửa thực hiện chức năng lọc, chúng bị giới hạn bởi chúng chỉ được thiết kế để phân tích tiêu đề của gói tin. Ví dụ chúng ta có thể cấm FTP nhưng chúng ta chỉ cấm lệnh PUT trong FTP. Thêm vào máy chủ proxy giúm cho tường lửa có khả năng tạo ra nhiều cơ sở bảo mật hơn là sử dụng lọc gói tin chính thống. Phần mềm proxy được sử dụng để tạo ra để có thể phân tích nhiều hơn các tiêu đề của gói tin. Proxy servers sử dụng phần mềm để chặn đứng các truyền thông trên mạng mà được định trù từ trước. Chương trình có thể nhận ra các yêu cầu và đại diện cho người dùng tạo ra các yêu cầu để gửi cho máy chủ. Trong trường hợp này một người dùng bên trong không thể có một kết nối trực tiếp đến môt máy chủ ở bên ngoài, thay vì một kết nối trực tiếp, một cấu trúc proxy giống như man-in-middle giúp tạo ra một kết nối giữa người dùng mà máy chủ này. Thuận lợi chính trong việc sử dụng phần mềm proxy là có thể thực hiện cho phép hay cấm sự giao tiếp dựa trên dữ liệu thật sự của gói tin, chứ không chỉ header. Trong những công việc khác thì proxy giúp nhận ra những phương thức giao tiếp, và sẻ phản ứng lại, không chỉ là đóng mở các cổng theo sự chỉ đạo. 3. Tường lửa có thể làm gì 5 Vì thế nếu một tường lữa có thể dùng để lọc gói tin, máy chủ proxy, một sự kết hợp cả hai hay tùy chọn lọc được tạo ra môi trường an toàn cho dữ liệu của bạn. Một cách không may, giống như những trường hợp thông thường, đây là phạm vi của việc hợp nhất, không có những cuộc trao đổi khác tại nơi mà sẽ có sự cho phép của người quản lý mạng để thu được những hiểu biết tốt hơn về những nguyên nhân phía sau cần cho một tường lửa. Và những tiêu chí cho nơi đặt tường lửa bên trong một mô hình mạng để có được sự phục vụ tốt nhất. Trong những mối quan hệ của người quản trị mạng chúng ta và những băn khoăn về việc mua một thiết bị mà sẻ làm một lượng lớn công việc, tất cả hay hầu hết những thức đó, có hoặc không có sự bảo mật mạng được thiết lập trong câu hỏi. Nó sẽ giúp cho chúng ta tóm tắc được việc tường lửa không thế làm gì, vì thế chúng ta có thể bắt đầu hiểu những gì chúng có thể làm. Một vài khu vực nơi mà tường lửa sẽ khó khan trong việc bảo mật mạng theo các dạng sau: - Virus: Một vài tường lửa có thể có khả năng phát hiện virus, tuy nhiên kể tấn công có thể đóng gói virus vào trong nhiều dạng và tường lửa không được thể kế giống như hệ thông diệt vurus, Vì thế tường lửa có thể phát hiện ra virus nhưng chúng ta vẫn cần một hệ thống diệt vurus. - Sự lạm dụng của người làm công: Đây là một điểm khó, nhưng là điểm có giá trị. Những người làm công thường làm những việc vô thức. Họ có thể quên địa chỉ mail hay chạy các chương trình không an toàn từ bạn bè. - Kết nối phụ: Nếu người dùng có một modems trong máy của họ thì họ có thể sử dụng các kết nối không dây, họ có thể tạo ra một kết nối internet cho riêng minh. Những kết nối này không được bảo vệ bởi tường lửa. Nếu bật chế độ chia sẻ tập tin và máy in, nó sẽ đem lại những kết quả nguy hiểm. Trong khi tường lửa được cấu hình một cách đúng đắng. - Lừa đảo trong xã hội: Hình thức này thì không thể tránh khỏi nếu người quản lý làm lộ thông tin về tường lửa. - Kiến trúc thấp: Nếu không có một thiết kế kỹ cho tường lửa, nó sẽ trở nên rất khó khăn có thể là không thể cấu hình tường lửa theo đúng để bảo đảm sự an toàn cần thiết phòng ngừa bên trong mạng trong một thời gian dài. 4. Thi hành các chính sách cho tường lửa: Không có một loại tường lửa nào được coi là tiêu chuẩn bên trong một mạng. Những nội dung đề cập ở dưới đây trình bày nhiều loại tường lửa được phát triển khác nhau: a. Một thiết bị lọc gói tin: Hình mô tả dưới đây là một mạng được bảo vệ bởi 1 thiết bị được cấu hình như 6 một bộ lọc gói tin, cho phép hay cấm các truy cập dựa trên tiêu đề của gói tin. b. Thiết bị “Multi-home”: Mạng được bảo vệ bởi một thiết bị có kết cấu gồm nhiều card mạng, trên đó sẽ cài phần mềm proxy, phần mềm này sẽ điều chỉnh các gói tin đi theo các hướng xác định: c. Một Screened Host: Giống như hình ở dưới đây, một mạng được bảo vệ bởi sự kết hợp của các cấu trúc của máy chủ proxy và cấu trúc lọc gói tin. Bộ lọc gói tin cho phép vào bên trong nếu nó lưu thông qua máy chủ proxy. Nếu một người dùng giao tiếp trực tiếp với bộ lọc proxy thì dữ liệu sẽ bị từ chối. 7 d. Miền phi quân sự: Trong hình mô phỏng dưới đây, một mạng được chỉ định là một “zone” hay một miền, nó được tạo ra để cho đặt máy chủ, cần được cho phép để vào internet và cả các người dùng bên trong. Đây là một vùng đặc biệt, nó yêu cầu 2 thiết bị lọc, và có thể có nhiều máy tồn tại bên trong đường biên giới. 5. Xây dựng một chính sách tường lửa Trước khi tiến hành cấu hình ta cần phải có một Firewall Policy (Chính sách về tường lửa). Để tránh trường hợp lựa chọn và cài đặt Firewall không chính xác, hiệu quả. 8 Một tường được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách cụ thể. Đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng firewall đó. Thường firewall policy thực hiện theo hai hướng sau : - Từ chối tất cả, chỉ cho phép những lưu thông hợp lệ. - Cho phép tất cả, cấm những lưu thông không hợp lệ. Công việc này là một phần của việc quản trị và bảo mật mạng, ví dụ : tạo một danh sách các cổng mà trojan, các ứng dụng mà người dùng không đươc phép sử dụng … sau đó tạo ra các chính sách để chặn chúng. Ngược lại sẽ cho phép những lưu thông hợp lệ. Có nhiều thành phần khác nhau trong chính sách bảo mật, phổ biến như : - Acceptable Usage Statement - Network Connection Statement - Contracted Worker Statement - Firewall Administrator Statement. Sau khi xây dựng chính sách bảo mật tổng thể, nó sẽ bao gồm nhiều vấn đề khác nhau nên khối lượng thông tin sẽ rất lớn.Từ những thông tin đó, ta sẽ trích dẫn những thông tin riêng biệt để xây dựng chính sách cho tường lửa. a. The Acceptable Use Statement Thực hiện cần có sự thống nhất của tổ chức để miêu tả chi tiết cách thực một máy tính hoạt động trong mạng, việc này tương đối khó khăn đối với một số tổ chức.Cần phải đạt được sự cân bằng để duy trì an ninh một cách chặt chẽ và đảm bảo cho nhân viên có đủ khả năng thực hiện tốt công việc của họ. Máy tính là thiết bị thường bị sử dụng sai mục đích nhất trong hệ thống. Người sử dụ thường cố gắng thoát khỏi sự kiểm soát của các chính sách bảo mật. Một số điểm cần lưu ý trong thành phần này là : - Các ứng dụng không được phép cài đặt.(Từ những nguồn như internet, CD, USB, đĩa mềm ). - Việc sao lưu ứng dụng được cài đặt tại một máy tính của tổ chức. (cho phép / không do tổ chức đó quyết định ) - Việc sử dụng tài khoản tại các máy tính, khi không có người sử dụng, máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu - Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến hoạt động của tổ chức đó. Không được phép sử dụng để đe dọa hay quấy rối bất cứ cá nhân nào. - Các dịch vụ email được phép sự dụng. 9 Chúng ta xem xét những vấn đề trên để xem có hoặc không thể áp đặt chúng trên tường lửa. Một số như việc cài đặt ứng dụng, đe dọa đến cá nhân không thể thực thi trên tường lửa nhưng chúng sẽ có ích trong chính sách bảo mật tổng thể. b. The Network Connection Statement Phần này của chính sách liên quan đến các loại thiết bị được cấp kết nối vào mạng. Đây là nơi bạn có thể xác định các vấn đề liên quan đến việc vận hành hệ thống mạng, các thiết bị sử dụng mạng, và việc các thiết bị được cấu hình cho phép sử dụng mạng một cách an toàn như thế nào. Phần này được thi hành trên tường lửa nhiều nhất, xác định lưu lượng thực tế của mạng. Một số thành phần cần chú ý : - Chỉ quản trị viên mới có quyền thực hiện quét mạng. - Người dùng có thể truy cập vào các trang site FTP để upload và download các tập tin cần thiết, nhưng máy tính nội bộ có thể sẽ không cài đặt FTP server. - Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng 25. Nhưng không thể truy cập NNTP trên mọi cổng. - Người sử dụng subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ xa và ngược lại. - Người dùng có thể không được chạy bất kỳ phần mềm chat Internet nào. - Không được download file lớn hơn 5Mb - Phần mềm Anti-virus phải được cài đặt, hoạt động tốt, cập nhật thường xuyên hàng tuần trên máy trạm và cập nhật hằng ngày trên server. - Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên máy tính (Bao gồm cả NIC và modem) - Không cho phép những kết nối trái phép ra internet dưới bất kỳ hình thức nào. Trong phần này nhựng kỹ thuật cho phép các cổng, subnet hay các máy tính trong mạng. Những vấn đề này có thể được thực thi trên tường lửa c. The Contracted Worker Statement Phần này thường bị bỏ qua. Đó là các chính sách phải giải quyết các vấn đề của người lao động theo hợp đồng, hoặc chỉ là tạm thời. Những cá nhân có thể chỉ yêu cầu truy cập thường xuyên đển các tài nguyên trên mạng. Một số vấn đề cần chú ý là : 10 [...]... Một trong những cách để tăng cường an ninh là để thêm các dịch vụ của một proxy server Proxy server ban đầu thường được sử dụng để cache truy cập các trang web, tăng tốc mạng và sử dụng Internet Chúng được phát triển không chỉ để cache các trang web, mà còn trở thành một phần an ninh của hệ thống mạng Packet filter hoạt động bằng cách kiểm tra các thông tin header và căn cứ quyết định trên các quy tắc... việc đáng kể Khi dịch vụ được thêm vào, điều quan trọng là các proxy server vẫn còn cấu hình an toàn 7.6 Cấu hình mặc định 26 Đa số các phần mềm proxy server được thiết kế cho các chức năng về an ninh Các ứng dụng được tạo ra để có được người dùng và chạy một cách nhanh chóng, và cung cấp cho họ truy cập vào các nguồn tài nguyên mà họ cần Điều này đối diện với an ninh Vì vậy, khi thực hiện một proxy,... • Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng • Tường lửa có theo dõi trạng thái của truyền thông hay không Phân loại theo phạm vi của các truyền trông được lọc, có các loại sau: • Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức năng • thông thường là lọc dữ liệu ra vào một máy tính đơn Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng. .. sử dụng để bảo vệ mạng nội bộ Thông thường (và cho đến tận bây giờ), Packet Filterđược cài đặt sẵn trên các router và thực thi dưới dạng access control list Packet Filter sử dụng một tập các quy tắc để quyết định xem gói tin nào được phép cho qua, gói tin nào bị cấm Quy tắc này được xây dựng dựa trên các thông tin trong phần header của gói tin Packet Filterkhông kiểm tra phần payload sinh ra từ lớp ứng. .. filter và proxy sever là proxy hiểu các ứng dụng hoặc dịch vụ được sử dụng, và packet filter không làm được Proxy server sau đó có thể cho phép hoặc từ chối truy cập, dựa trên thực tế chức năng mà người dùng đang cố gắng để thực hiện 7.1 Tiến trình Proxy Trong ví dụ này, client đã yêu cầu một trang web, và xác định server có trang web Các yêu cầu cho trang web thông qua proxy server Tại thời điểm này,... nhiên nó không thực thi trên từng gói tin một cách độc lập với nhau, mà còn dựa vào trạng thái kết nối tại tầng Session để lọc các gói tin Thông tin này được lưu lại và sử dụng cho những lần kế tiếp Trong mô hình TCP/IP và mô hình OSI thì stateful firewall hoạt động từ lớp Transport trở lên cho đến lớp Application Tất cả các stateful firewall đều hoạt động dựa vào một bộ luật đã được các nhà quản trị... tiên thì gói tin gốc ban đầu sẽ không thể sử dụng được Tuy nhiên, không phải lúc nào cũng vậy Các attacker đã dựa vào lỗ hổng này để “qua mặt” Packet Filtermột cách dễ dàng Thực tế một số kiểu tấn công đã được sử dụng thành công như: • Tiny fragment attack: đây là dạng tấn công bằng cách chia thật nhỏ và (thật khéo) IP packet ban đầu ra thành từng fragment rất nhỏ, sao cho một phần thông tin của TCP... cấu hình từ trước Stateless Packet Filterxử lý các gói tin một cách độc lập với nhau dựa vào thông tin trên header của các giao thức Tùy vào mỗi chương trình sẽ có các thông tin khác nhau được sử dụng, tuy nhiên có thể tóm gọn lại thành một số trường thường dùng như sau:  Ip address filtering: Là hình thức lâu đời nhất của packet filtering, chỉ sử dụng địa chỉ ip để đưa ra quyết định cấm/ cho phép một... như một bộ định tuyến và chuyển tiếp gói tin Những gì nó làm lấy từ các điều luật liên quan đến dịch vụ này và quyết định nếu yêu cầu được cấp hay không Một khi các proxy đã quyết định cho phép các yêu cầu, một gói tin mới là tạo với một địa chỉ IP nguồn của proxy server Gói tin mới này là yêu cầu cho các trang web từ các sever đích Các web server nhận được yêu cầu, và trả về trang web cho các máy chủ... gói tin request với cờ SYN được bật Nếu gói tin này hợp lệ, một entry lưu thông tin về kết nối này sẽ được ghi lại trong state table Khi bộ lọc nhận được gói tin trả về, nó sẽ kiểm tra trong state table để chắc chắn rằng đây là gói tin trả lời yêu cầu request kia Giả sử gói tin là SYN/ACK, như vậy kết nối được mở, các gói tin trao đổi về sau của kết nối đó sẽ chỉ cần được kiểm tra trong state table và . tính và truyền thông Trường Đại học Công Nghệ Thông Tin Ứng Dụng Truyền Thông Và An Ninh Thông Tin Designing Firewalls Designing Firewalls 2 Giảng Viên Hướng Dẫn : ThS. NCS. Tô Nguyễn Nhật Quang. Việc sử dụng tài khoản tại các máy tính, khi không có người sử dụng, máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu - Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến. gói tin nào được phép cho qua, gói tin nào bị cấm. Quy tắc này được xây dựng dựa trên các thông tin trong phần header của gói tin. Packet Filterkhông kiểm tra phần payload sinh ra từ lớp ứng dụng. 11 Router