Khóa luận tốt nghiệp CHƯƠNG I CƠ SỞ LÝ THUYẾT 1.1 GIỚI THIỆU VỀ FIREWALL 1.1.1 Đặt vấn đề Song song với việc xây dựng tảng công nghệ thông tin, phát triển ứng dụng máy tính sản xuất, kinh doanh, khoa học, giáo dục, xã hội , việc bảo thành điều khơng thể thiếu Sử dụng tường lửa (Firewall) để bảo vệ mạng nội (Intranet), tránh cơng từ bên ngồi giải pháp hữu hiệu, đảm bảo yếu tố: • An tồn cho hoạt động tồn hệ thống mạng • Bảo mật cao nhiều phương diện • Khả kiểm sốt cao • Đảm bảo tốc độ nhanh • Mềm dẻo dễ sử dụng • Trong suốt với người sử dụng • Đảm bảo kiến trúc mở 1.1.2 Nhu cầu bảo vệ thông tin 1.1.2.1 Nguyên nhân Ngày nay, Internet, kho tàng thông tin khổng lồ, phục vụ hữu hiệu sản xuất kinh doanh, trở thành đối tượng cho nhiều người cơng với mục đích khác Đơi khi, đơn giản để thử tài đùa bỡn với người khác Cùng với phát triển không ngừng Internet dịch vụ Internet, số lượng vụ công Internet tăng theo cấp số nhân Trong phương tiện thông tin đại chúng ngày nhắc nhiều đến Internet với khả truy nhập thông tin dường đến vơ tận nó, tài liệu chun mơn bắt đầu đề cập nhiều đến vấn đề bảo đảm an tồn liệu cho máy tính kết nối vào mạng Internet Theo số liệu CERT (Computer Emegency Response Team),số lượng SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp vụ cơng Internet thơng báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, 2241 vào năm 1994 Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính tất công ty lớn AT&T, IBM, trường đại học, quan nhà nước, tổ chức quân sự, nhà băng Một số vụ công có quy mơ khổng lồ (có tới 100.000 máy tính bị công) Hơn nữa, số phần tảng băng Một phần lớn vụ cơng khơng thơng báo, nhiều lý do, kể lo bị uy tín, đơn giản người quản trị hệ thống không hay biết công nhằm vào hệ thống họ Không số lượng cơng tăng lên nhanh chóng, mà phương pháp cơng liên tục hồn thiện Điều phần nhân viên quản trị hệ thống kết nối với Internet ngày đề cao cảnh giác Cũng theo CERT, cơng thời kỳ 1988-1989 chủ yếu đốn tên người sử dụng- mật (UserID-password) sử dụng số lỗi chương trình hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, nhiên công vào thời gian gần bao gồm thao tác giả mạo địa IP, theo dõi thông tin truyền qua mạng, chiếm phiên làm việc từ xa (telnet rlogin) Nhu cầu bảo vệ thơng tin Internet chia thành ba loại gồm: Bảo vệ liệu; Bảo vệ tài nguyên sử dụng mạng Bảo vệ danh tiếng quan 1.1.2.2 Bảo vệ liệu Những thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu sau: • Bảo mật: Những thơng tin có giá trị kinh tế, qn sự, sách vv cần giữ kín • Tính tồn vẹn: Thơng tin khơng bị mát sửa đổi, đánh tráo • Tính kịp thời: u cầu truy nhập thông tin vào thời điểm cần thiết Trong yêu cầu này, thông thường yêu cầu bảo mật coi yêu cầu số thông tin lưu trữ mạng Tuy nhiên, thông tin SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp khơng giữ bí mật, u cầu tính tồn vẹn quan trọng Không cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lưu trữ thơng tin mà khơng biết tính đắn thơng tin 1.1.2.3 Bảo vệ tài nguyên sử dụng mạng Trên thực tế, công Internet, kẻ công, sau làm chủ hệ thống bên trong, sử dụng máy để phục vụ cho mục đích nhằm chạy chương trình dò mật người sử dụng, sử dụng liên kết mạng sẵn có để tiếp tục cơng hệ thống khác vv 1.1.2.4 Bảo vệ danh tiếng quan Một phần lớn công không thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt công ty lớn quan quan trọng máy nhà nước Trong trường hợp người quản trị hệ thống biết đến sau hệ thống dùng làm bàn đạp để công hệ thống khác, tổn thất uy tín lớn để lại hậu lâu dài 1.1.3 Các kiểu công 1.1.3.1 Tấn công trực tiếp Những công trực tiếp thông thường sử dụng giai đoạn đầu để chiếm quyền truy nhập bên Một phương pháp cơng cổ điển dị tìm tên ngời sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu Kẻ cơng sử dụng thơng tin tên người dùng, ngày sinh, địa chỉ, số nhà vv để đốn mật Trong trường hợp có danh sách người sử dụng thông tin mơi trường làm việc, có trương trình tự động hố việc dị tìm mật Một chương trình dễ dàng lấy từ Internet để giải mật mã hoá hệ thống unix có tên crack, có khả thử tổ hợp từ từ điển lớn, theo quy tắc người dùng tự định nghĩa Trong số trường hợp, khả thành công phương pháp lên tới 30% SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp Phương pháp sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công tiếp tục để chiếm quyền truy nhập Trong số trường hợp phương pháp cho phép kẻ cơng có quyền người quản trị hệ thống (root hay administrator) Hai ví dụ thường xuyên đưa để minh hoạ cho phương pháp ví dụ với chương trình sendmail chương trình rlogin hệ điều hành UNIX Sendmail chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dịng lệnh ngơn ngữ C Sendmail chạy với quyền ưu tiên người quản trị hệ thống, chương trình phải có quyền ghi vào hộp thư người sử dụng máy Và Sendmail trực tiếp nhận yêu cầu thư tín mạng bên ngồi Đây yếu tố làm cho sendmail trở thành nguồn cung cấp lỗ hổng bảo mật để truy nhập hệ thống Rlogin cho phép người sử dụng từ máy mạng truy nhập từ xa vào máy khác sử dụng tài nguyên máy Trong trình nhận tên mật người sử dụng, rlogin khơng kiểm tra độ dài dịng nhập, kẻ cơng đưa vào xâu tính tốn trước để ghi đè lên mã chương trình rlogin, qua chiếm quyền truy nhập 1.1.3.2 Nghe trộm Việc nghe trộm thông tin mạng đưa lại thơng tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thông qua chương trình cho phép bắt gói tin vào chế độ nhận tồn thơng tin lưu truyền mạng Những thơng tin dễ dàng lấy Internet 1.1.3.3 Giả mạo địa Việc giả mạo địa IP thực thơng qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách công này, kẻ công gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp thời rõ đường dẫn mà gói tin IP phải gửi 1.1.3.4 Vô hiệu chức hệ thống (DoS, DDoS) Đây kểu công nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện tổ chức công phương tiện để làm việc truy nhập thơng tin mạng Ví dụ sử dụng lệnh ping với tốc độ cao có thể, buộc hệ thống tiêu hao tồn tốc độ tính toán khả mạng để trả lời lệnh này, khơng cịn tài ngun để thực cơng việc có ích khác • Client attacker xếp cơng • Handler host thỏa hiệp để chạy chương trình đặc biệt dùng đê cơng • Mỗi handler có khả điều khiển nhiều agent • Mỗi agent có trách nhiệm gửi stream data tới victim Hình 1.1 Mơ hình cơng DDoS SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp 1.1.3.5 Lỗi người quản trị hệ thống Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thờng tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội 1.1.3.6 Tấn công vào yếu tố người Kẻ cơng liên lạc với ngời quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung yếu tố ngời điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an toàn hệ thống bảo vệ 1.1.4 Firewall Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thơng tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trị bảo mật thơng tin, ngăn chặn truy nhập khơng mong muốn từ bên ngồi (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Một cách vắn tắt, firewall hệ thống ngăn chặn việc truy nhập trái phép từ bên vào mạng kết nối không hợp lệ từ bên Firewall thực việc lọc bỏ địa không hợp lệ dựa theo quy tắc hay tiêu định trước SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp Hình 1.2 Mơ hình firewall Firewall hệ thống phần cứng, phần mềm kết hợp hai Nếu phần cứng, bao gồm lọc gói tin thiết bị định tuyến (router tích hợp sẵn chức lọc gói tin) Bộ định tuyến có tính bảo mật cao cấp, có khả kiểm sốt địa IP Quy trình kiểm sốt cho phép bạn định địa IP kết nối với mạng bạn ngược lại Tính chất chung Firewall phân biệt địa IP dựa gói tin hay từ chối việc truy nhập bất hợp pháp địa nguồn Hình 1.3 Lọc gói tin firewall SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp 1.1.5 Các chức 1.1.5.1 Chức Chức Firewall kiểm sốt luồng thơng tin từ Intranet Internet Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet Cụ thể là: • Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) • Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) • Theo dõi luồng liệu mạng Internet Intranet • Kiểm soát địa truy nhập, cấm địa truy nhập • Kiểm soát người sử dụng việc truy nhập người sử dụng Kiểm sốt nội dung thơng tin lưu chuyển mạng Hình 1.4 Một số chức Firewall SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp 1.1.5.2 Thành phần Firewall chuẩn bao gồm hay nhiều thành phần sau đây: • Bộ lọc packet (packet-filtering router) • Cổng ứng dụng (application-level gateway hay proxy server) • Cổng mạch (circuite level gateway) • Bộ lọc paket (Paket filtering router) 1.1.6 Nguyên lý Khi nói đến việc lưu thơng liệu mạng với qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức làm việc theo thuật tốn chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data pakets) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Hình 1.5 Lọc gói tin Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc packet hay không.Các luật lệ lọc packet dựa thông tin đầu packet , dùng phép truyền packet mạng SVTH: Bùi Phụ Dung Trang: Khóa luận tốt nghiệp Đó là: • Địa IP nơi xuất phát ( IP Source address) • Địa IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thông báo ICMP ( ICMP message type) • Giao diện packet đến ( incomming interface of packet) • Giao diện packet ( outcomming interface of packet) Nếu luật lệ lọc packet thoả mãn packet chuyển qua Firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục 1.1.6.1 Ưu điểm: • Đa số hệ thống Firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router • Ngoài ra, lọc packet suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt 1.1.6.2 Hạn chế: • Việc định nghĩa chế độ lọc package việc phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể nhận trường • Do làm việc dựa header packet,rõ ràng lọc packet khơng kiểm sốt nôi dung thông tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu SVTH: Bùi Phụ Dung Trang: 10