Thông qua bài tập lớn, sinh viên hiểu được tổng quan về tường lửa, nắm đượccác loại tường lửa chính, cơ chế hoạt động chung của tường lửa cũng như biết cáchtriển khai tường lửa ở mức đơn
TỔNG QUAN VỀ TƯỜNG LỬA
Tường lửa là gì
Tường lửa là thiết bị bảo mật quan trọng giúp phân tách mạng nội bộ an toàn khỏi mạng bên ngoài không đáng tin cậy như internet Nó điều chỉnh lưu lượng mạng dựa trên các quy tắc bảo mật đã được thiết lập, bảo vệ mạng khỏi truy cập trái phép, hoạt động độc hại và các mối đe dọa tiềm ẩn Tường lửa có thể tồn tại dưới nhiều hình thức, bao gồm phần cứng, phần mềm, phần mềm dưới dạng dịch vụ (SaaS) hoặc đám mây công cộng và riêng tư.
Tường lửa là một công cụ bảo mật quan trọng, kiểm tra kỹ lưỡng các gói tin mạng và thực hiện các chính sách bảo mật nhằm ngăn chặn người dùng trái phép cũng như dữ liệu có khả năng gây hại Nó hoạt động như một người gác cổng, quyết định cho phép hay chặn gói tin dựa trên các quy tắc đã được thiết lập, đảm bảo chỉ lưu lượng an toàn và hợp pháp được phép đi qua.
Tường lửa thế hệ tiếp theo (NGFW) không chỉ đảm bảo các chức năng cốt lõi mà còn tích hợp nhiều tính năng nâng cao nhằm tăng cường bảo mật mạng Các tính năng này bao gồm kiểm tra gói tin sâu, khả năng hiển thị và kiểm soát ứng dụng, phát hiện và ngăn chặn xâm nhập, phòng thủ chống lại phần mềm độc hại, và lọc URL, giúp bảo vệ hệ thống một cách toàn diện hơn.
Quá trình phát triển của tường lửa
Tường lửa đầu tiên, được gọi là tường lửa lọc gói tin, được phát triển bởi công ty Digital Equipment Corporation (DEC) vào năm 1988 Tường lửa này không nhằm phát hiện virus hay các mối đe dọa mạng, mà chủ yếu để bảo vệ mạng khỏi các gói tin không mong muốn từ những địa chỉ IP nguồn nhất định.
Năm 1990, tường lửa trạng thái (Stateful Firewall) được phát triển bởi AT&T Bell Labs, giúp quá trình lọc gói tin trở nên hiệu quả hơn
Vào năm 1991, DEC phát triển tường lửa cổng ứng dụng (Application-GatewayFirewall) nhằm phát hiện các cuộc tấn công mạng ở cấp độ ứng dụng
Năm 2004, khái niệm Quản lý mối đe dọa hợp nhất (Unified Threat Management- UTM) ra đời với mục tiêu kết hợp nhiều loại tường lửa vào một hệ thống.
Vào năm 2009, UTM đã tiến hóa thành Tường lửa thế hệ mới (Next-Generation Firewall - NGFW), kết hợp các kỹ thuật phát hiện xâm nhập tiên tiến Sau gần một thập kỷ, NGFW đã trở thành lựa chọn phổ biến nhất cho giải pháp phòng thủ mạng của các công ty và doanh nghiệp, đặc biệt khi được tích hợp với công nghệ học máy và các kỹ thuật phát hiện xâm nhập hiện đại khác.
Hình 1 Quá trình phát triển của tường lửa
CÁC LOẠI TƯỜNG LỬA
Tường lửa lọc gói (Packet-Filtering Firewall)
Tường lửa hoạt động bằng cách lọc các gói tin và kiểm soát lưu lượng mạng, cho phép hoặc từ chối các gói tin vào và ra dựa trên một tập hợp quy tắc đã được định sẵn Những quy tắc này thường dựa vào các thuộc tính trong phần Header của gói tin, chẳng hạn như địa chỉ IP nguồn và địa chỉ đích.
IP đích, cổng mạng, và giao thức
Hình 3 Sơ đồ về tường lửa lọc gói Ưu điểm:
• Hoạt động đơn giản và nhanh chóng vì chỉ kiểm tra các gói tin dựa trên tiêu đề của chúng
Không tiêu tốn nhiều tài nguyên như bộ nhớ và thời gian tính toán vì không kiểm tra dữ liệu bên trong (payload) và không lưu trữ thông tin về các kết nối.
• Không kiểm tra nội dung gói tin, dễ bị vượt qua bởi các cuộc tấn công chứa mã độc trong dữ liệu
• Không xác thực người dùng, khiến tường lửa dễ bị tấn công giả mạo địa chỉ IP (IP spoofing)
• Do không theo dõi trạng thái của các kết nối, tường lửa này có thể bị vượt qua bởi các gói tin được chế tạo tinh vi.
Tường lửa có trạng thái (Stateful Firewall)
Tường lửa trạng thái là phiên bản nâng cấp của tường lửa lọc gói, có khả năng theo dõi trạng thái của các kết nối TCP thông qua quá trình bắt tay ba bước Nó lưu trữ thông tin về các kết nối đã được thiết lập và sử dụng bộ nhớ đệm để quyết định cho phép hoặc chặn các gói tin dựa trên trạng thái của kết nối.
Khi một kết nối mới được thiết lập qua tường lửa dựa trên gói tin SYN, thông tin từ phần Header của gói tin, bao gồm địa chỉ IP và cổng kết nối, sẽ được sử dụng để xác định và quản lý kết nối đó.
"hồ sơ" mới sẽ được thành lập trong bảng trạng thái, bảng trạng thái này được lưu trữ tại bộ nhớ đệm của tường lửa
Các kết nối sau này sẽ được kiểm tra dựa trên bảng trạng thái của tường lửa Nếu kết nối đã có trong bảng trạng thái, gói tin sẽ được cho phép qua tường lửa Ngược lại, nếu kết nối chưa tồn tại, tường lửa sẽ đánh giá xem kết nối đó có đủ điều kiện để được lưu trữ hay không, dựa trên các quy tắc lọc gói đã được thiết lập trước đó.
Tường lửa trạng thái sẽ xóa kết nối khỏi bộ nhớ đệm khi nhận gói FIN của TCP hoặc khi kết nối không hoạt động trong thời gian dài Điều này dẫn đến việc luồng lưu lượng sau đó bị chặn do kết nối không còn được ghi nhận trong bộ nhớ đệm.
Hình 4 Sơ đồ về tường lửa trạng thái Ưu điểm (So sánh với tường lửa lọc gói):
• Bảo mật cao hơn do khả năng theo dõi trạng thái của các kết nối
• Hiệu quả hơn trong việc lọc lưu lượng mạng cũng như trong khâu cài đặt tường lửa:
Lọc lưu lượng mạng là quá trình phân tích và xử lý các gói tin dựa trên thông tin trong Header cũng như thông tin về kết nối như SYN và FIN Phương pháp này giúp ngăn chặn các gói tin từ nguồn không đáng tin cậy, tránh nguy cơ bị tấn công cướp phiên và tấn công phát lại thông qua các cổng mở.
Cài đặt tường lửa giúp bảo vệ mạng hiệu quả hơn nhờ vào việc sử dụng thông tin từ kết nối, giảm thiểu số lượng luật cụ thể cần thiết so với tường lửa lọc gói Điều này đặc biệt hữu ích cho các phương thức mạng sử dụng cổng động, chẳng hạn như FTP.
Hạn chế (So sánh với tường lửa lọc gói):
• Cần nhiều bộ nhớ hơn để lưu trữ thông tin về các kết nối.
• Dễ bị tấn công từ chối dịch vụ (DoS) nếu bộ nhớ đệm bị tràn bởi lưu lượng lớn
Tường lửa lọc gói không kiểm tra nội dung gói tin và không xác thực người dùng, dẫn đến việc vẫn tồn tại các lỗ hổng tương tự như tường lửa lọc gói.
Tường lửa cổng ứng dụng (Application-Gateway Firewall)
Tường lửa cổng ứng dụng (WAF) khác với những tường lửa đã đề cập ở trên ở chỗ:
Tường lửa cổng ứng dụng hoạt động ở tầng 7 trong mô hình OSI, cho phép kiểm tra lưu lượng ở cấp độ ứng dụng và giám sát nội dung của các gói tin.
• Sử dụng proxy để tạo phiên kết nối: Tường lửa này sử dụng các proxy để thiết lập các phiên kết nối với người dùng từ xa
• Quy trình truy cập tài nguyên:
– Khi một người dùng cố gắng truy cập tài nguyên của máy chủ, tường lửa sẽ tạo ra một cổng bảo mật
– Tất cả các yêu cầu sẽ được kiểm tra trước khi gửi đến máy chủ
– Sau khi kiểm tra, tài nguyên mạng từ máy chủ sẽ đi qua tường lửa trước khi được gửi lại cho máy khách có yêu cầu.
Hình 5 Sơ đồ về tường lửa cổng ứng dụng
Hình 6 Chi tiết kết nối được thiết lập giữa máy khách và máy chủ thông qua tường lửa Ưu điểm:
• Cung cấp lớp bảo mật bổ sung bằng cách ngăn người dùng truy cập trực tiếp vào tài nguyên của máy chủ
• Cho phép kiểm tra sâu nội dung gói tin ở cấp ứng dụng.
• Giảm tốc độ kết nối giữa máy khách và máy chủ do phải đi qua cổng bảo mật trung gian.
Tường lửa chuyển mạch (Circuit-Gateway Firewall)
Tường lửa chuyển mạch hoạt động ở vị trí tương tự như tường lửa cổng ứng dụng, đóng vai trò là người đứng giữa máy khách và máy chủ
Tường lửa chuyển mạch hoạt động ở lớp phiên (Layer 5) của mô hình OSI, thay vì ở lớp ứng dụng như tường lửa cổng ứng dụng
Tường lửa này hoạt động bằng cách sử dụng proxy để thiết lập một kết nối ảo giữa máy khách và máy chủ, đóng vai trò là cầu nối bảo mật nhằm đảm bảo tính hợp pháp của các kết nối.
Nó đảm bảo rằng các gói tin phản hồi phải khớp với các gói tin yêu cầu, nghĩa là dữ liệu từ máy chủ gửi đi cần phải phù hợp với yêu cầu từ máy khách Nếu có sự không khớp giữa phản hồi và yêu cầu, điều này có thể cho thấy có ai đó đang cố gắng truy cập trái phép vào dữ liệu trong mạng.
Tường lửa mức phiên sẽ kiểm tra quá trình trao đổi các thông điệp SYN và ACK giữa các thực thể kết nối Nếu phát hiện vấn đề, như trong trường hợp tấn công SYN flood, tường lửa sẽ hủy kết nối Ngược lại, nếu quá trình bắt tay TCP diễn ra bình thường, tường lửa sẽ thiết lập một mạch nội bộ cho phép các thực thể trao đổi dữ liệu.
Hình 7 Chi tiết kết nối được thiết lập giữa máy khách và máy chủ thông qua tường lửa Ưu điểm:
• Đảm bảo rằng kết nối giữa máy khách và máy chủ là hợp pháp bằng cách xác thực các phiên kết nối
• Hiệu quả trong việc ngăn chặn các cuộc tấn công giả mạo phiên
• Do chỉ quan tâm đến phiên kết nối, nên tường lửa này không kiểm tra được những gói tin có nội dung xấu.
Web-Application Firewall
Tường lửa ứng dụng web (WAF) là một giải pháp bảo mật chuyên biệt dành cho các ứng dụng web, hoạt động như một thành phần trong thiết bị proxy ứng dụng WAF có vai trò quan trọng trong việc bảo vệ máy chủ ứng dụng web khỏi nhiều loại mối đe dọa khác nhau.
WAF (Web Application Firewall) có chức năng bảo vệ máy chủ web bằng cách kiểm tra các gói tin yêu cầu HTTP/HTTPS và mẫu lưu lượng mạng Khi phát hiện gói tin độc hại hoặc lưu lượng bất thường, WAF sẽ ngăn chặn các cuộc tấn công hiệu quả.
– Chặn các yêu cầu HTTP
– Hủy phiên kết nối giữa máy khách và máy chủ
• Hiệu quả: WAF đặc biệt hiệu quả trong việc chống lại các cuộc tấn công web đã biết, chẳng hạn như:
– Tấn công từ chối dịch vụ phân tán (DDoS)
Mặc dù WAF (Web Application Firewall) là một công cụ bảo mật hiệu quả, nhưng nó không thể phát hiện các lỗ hổng chưa được phát hiện, hay còn gọi là zero-day exploits Hệ thống phát hiện mối đe dọa của WAF chủ yếu dựa vào việc nhận diện mẫu, do đó, các cuộc tấn công mới lạ sẽ khó khăn trong việc bị WAF nhận diện do thiếu mẫu tương ứng.
Thị trường Web Application Firewall (WAF) đang phát triển ổn định do các cuộc tấn công zero-day khó phát hiện và nhiều trang web vẫn phải đối mặt với các cuộc tấn công từ các lỗ hổng đã biết hàng ngày Theo dự báo của Industry Arc, thị trường WAF được kỳ vọng sẽ đạt 8,05 tỷ USD vào năm 2025.
Hình 8 a) Lưu lượng hợp lệ; b) Lưu lượng của tin tặc Ưu điểm:
WAF được thiết kế để bảo vệ các ứng dụng web khỏi các mối đe dọa phổ biến như tấn công XSS, SQL injection và DDoS, giúp tăng cường an ninh cho hệ thống.
• Phân tích lưu lượng HTTP/HTTPS: WAF kiểm tra gói tin HTTP/HTTPS và các mẫu lưu lượng để phát hiện và chặn các yêu cầu độc hại
WAF không thể xử lý các tấn công zero-day vì nó phụ thuộc vào việc nhận diện mẫu, dẫn đến việc không phát hiện được các lỗ hổng chưa được biết đến.
• Phụ thuộc vào các mẫu tấn công đã biết: Điều này khiến WAF khó nhận diện các cuộc tấn công chưa từng xảy ra trước đó.
Unified Threat Management
Tường lửa quản lý mối đe dọa thống nhất (UTM) là giải pháp bảo mật tích hợp, sử dụng một thiết bị phần mềm hoặc phần cứng duy nhất để cung cấp nhiều chức năng bảo vệ trước các mối đe dọa mạng đa dạng UTM kết hợp nhiều cơ chế phòng thủ như lọc gói tin theo quy tắc, kiểm tra trạng thái, kiểm tra gói tin sâu, hệ thống phát hiện và ngăn chặn xâm nhập, tường lửa cổng ứng dụng, và tường lửa chuyển mạch, giúp tăng cường khả năng bảo vệ hệ thống mạng.
Hình 9 Sơ đồ tổng quan của UTM
Ngoài việc cung cấp các cơ chế phòng thủ tường lửa truyền thống, UTM còn tích hợp khả năng chống thư rác và lừa đảo thông qua việc kiểm tra toàn bộ nội dung, giúp giảm bớt sự phức tạp trong việc duy trì nhiều loại tường lửa khác nhau UTM là lựa chọn hàng đầu để bảo vệ mạng công nghiệp, nhưng do tích hợp nhiều lớp bảo vệ trong một thiết bị, nó có thể gặp phải vấn đề điểm hỏng duy nhất nếu một phần của các lớp bảo vệ gặp sự cố.
TƯỜNG LỬA THẾ HỆ MỚI
Tường lửa thế hệ mới (NGFW) là gì?
Tường lửa thế hệ mới (NGFW), được giới thiệu bởi Gartner vào năm 2009, đã phát triển từ mô hình UTM thành một giải pháp bảo mật phức tạp và hiện đại hơn NGFW tích hợp các chức năng của tường lửa truyền thống như lọc gói, kiểm tra trạng thái và dịch địa chỉ mạng (NAT), đồng thời bổ sung các tính năng tiên tiến như hệ thống ngăn chặn xâm nhập (IPS), kiểm tra gói tin sâu (DPI) và nhận diện người dùng.
NGFW (tường lửa thế hệ mới) có khả năng nhận diện và kiểm soát lưu lượng mạng ở cấp độ ứng dụng thông qua việc phân tích sâu nội dung của gói tin, thay vì chỉ kiểm tra tiêu đề như các tường lửa truyền thống.
Điểm khác biệt của NGFW
Mặc dù UTM và NGFW đều có những điểm tương đồng, nhưng NGFW nổi bật với hiệu suất cao hơn, phù hợp cho các doanh nghiệp lớn NGFW thực hiện kiểm tra toàn bộ các lớp của mô hình OSI, trong khi UTM chủ yếu phục vụ cho các môi trường nhỏ hơn với hiệu suất thấp hơn.
So với tường lửa ứng dụng web (WAF), tường lửa thế hệ tiếp theo (NGFW) không chỉ bảo vệ các ứng dụng web mà còn toàn bộ hệ thống mạng, mang lại khả năng bảo vệ toàn diện hơn cho tổ chức.
Các tính năng chính của NGFW
NGFW có khả năng nhận diện ứng dụng bằng cách kiểm tra chi tiết các gói tin, giúp vượt qua các chiến thuật né tránh như port-hopping và mã hóa SSL Tính năng này đóng vai trò quan trọng trong việc ngăn chặn các ứng dụng độc hại hoặc không rõ ràng.
Kiểm tra nội dung và phân tích hành vi là tính năng quan trọng của NGFW, cho phép phát hiện các ứng dụng phức tạp và thuật toán mã hóa riêng biệt như P2P và VoIP Bên cạnh đó, việc lọc URL và lọc tệp tin giúp nâng cao khả năng kiểm tra sâu, từ đó ngăn chặn hiệu quả các tấn công vào lớp ứng dụng.
Nhận diện người dùng là một tính năng quan trọng của NGFW, cho phép liên kết thông tin người dùng với gói tin thông qua kết nối với các thư mục LDAP như Active Directory (AD) Tính năng này giúp quản lý lưu lượng mạng theo danh tính người dùng, từ đó nâng cao khả năng quản lý và xử lý sự cố mạng một cách hiệu quả.
Lợi ích của NGFW
NGFW cung cấp hiệu suất vượt trội bằng cách cải thiện đáng kể nhiều khía cạnh của các lớp phòng thủ, đặc biệt là trong việc giám sát lưu lượng và đối chiếu các chữ ký mối đe dọa.
Giám sát lưu lượng với quét gói tin dựa trên luồng (stream-based scanning) là một phương pháp mà tường lửa thế hệ mới (NGFW) áp dụng để quét gói tin ngay khi chúng đến, thay vì chờ toàn bộ tệp tin được tải vào bộ nhớ như các tường lửa truyền thống Phương pháp này giúp giảm độ trễ và tăng thông lượng mạng, đồng thời nâng cao hiệu suất tổng thể bằng cách bắt đầu quá trình quét gói sớm hơn, từ đó giảm thiểu thời gian xử lý.
Hình 10 Stream-based scanning(NGFW) vs File-based scanning(Traditional
NGFW sử dụng định dạng chữ ký thống nhất cho tất cả các loại mối đe dọa như virus, spyware, worms, trojan và adware, giúp loại bỏ việc cần sử dụng nhiều công cụ quét riêng lẻ Điều này cho phép NGFW phát hiện mối đe dọa nhanh chóng trong một lần quét duy nhất, từ đó tăng tốc độ xử lý và giảm độ trễ so với các phương pháp truyền thống như lọc gói tin, hệ thống phòng chống xâm nhập (IPS) và chống virus.
Hình 11 Traditional multi-pass architectures
Kiến trúc quét đơn lẻ trong NGFW cho phép các thành phần phòng thủ hoạt động song song, nhờ vào việc phân phối các bản sao gói tin đến các mô-đun quét đồng thời Điều này giúp loại bỏ việc xử lý gói tin lặp lại, từ đó giảm thời gian chờ đợi và tối ưu hóa hiệu suất của hệ thống.
Hình 12 NGFW - single-pass architecture
Tường lửa thế hệ mới (NGFW) cung cấp bảo mật vượt trội so với tường lửa truyền thống bằng cách hoạt động trên nhiều lớp của mô hình OSI, sử dụng các cơ chế như giải mã giao thức, phát hiện dị thường, phân tích hành vi và tích hợp sandbox Đồng thời, NGFW giúp đơn giản hóa quản lý tường lửa thông qua giao diện đồ họa (GUI), cho phép doanh nghiệp dễ dàng theo dõi và kiểm soát, tập trung vào các yếu tố quan trọng như tên người dùng và ứng dụng thay vì địa chỉ IP hay cổng mạng.
Ứng dụng của tường lửa thế hệ mới
Hệ thống ngăn chặn xâm nhập (IPS) trong NGFW sử dụng hai phương pháp phát hiện mối đe dọa mạng: dựa trên chữ ký và dựa trên hành vi Việc phát hiện các đặc điểm và hành vi đe dọa do con người thực hiện có chi phí cao, nhưng sự phát triển của học máy đã cải thiện quy trình này Bằng cách áp dụng khai thác dữ liệu và kỹ thuật học máy, hệ thống có thể nhận diện hành vi của tệp tin độc hại hiệu quả hơn Một ví dụ điển hình là Cisco đã phát triển mạng nơron phát hiện kỹ thuật né tránh nâng cao (AETs), giúp nhận diện các gói tin nguy hiểm ẩn dưới dạng lưu lượng hợp.
Sự bùng nổ của Internet vạn vật (IoT) đã làm gia tăng số lượng thiết bị kết nối mạng như TV, camera, tủ lạnh và máy điều hòa Tuy nhiên, các tường lửa truyền thống không đủ mạnh để bảo vệ lớp ứng dụng, nơi dễ bị tấn công bởi các mối đe dọa từ thiết bị IoT như worm và các cuộc tấn công kênh bên.
According to research published in the 2019 IEEE paper "Next Generation Firewall for Improving Security in Company and IoT Networks," two distinct IoT networks were created: one secured by a traditional firewall (IBM ISS Proventia) and the other protected by a next-generation firewall (NGFW) from Checkpoint Various attacks, including phishing, DDoS, and SQL injection, were conducted on both networks to evaluate their security effectiveness.
Nghiên cứu cho thấy rằng mạng IoT được bảo vệ bởi tường lửa truyền thống chỉ đảm bảo an toàn trước các cuộc tấn công ở lớp 3 đến lớp 4 Ngược lại, tường lửa thế hệ mới (NGFW) cung cấp khả năng bảo vệ toàn diện từ lớp 3 đến lớp 7, giúp nâng cao mức độ bảo mật cho mạng IoT.
CƠ CHẾ HOẠT ĐỘNG CỦA TƯỜNG LỬA
Các phương pháp chính của tường lửa
Tường lửa, bao gồm cả phần cứng và phần mềm, hoạt động dựa trên ba phương pháp chính, trong đó có cơ chế lọc lưu lượng gói cho phép dựa vào các yếu tố như địa chỉ IP nguồn và đích, cũng như loại dịch vụ.
Dịch vụ Proxy hoạt động như một trung gian, nơi tường lửa proxy ngăn chặn giao tiếp trực tiếp giữa người dùng và internet Thay vì cho phép dữ liệu truyền thẳng, proxy sẽ thu thập thông tin cho người dùng và sau đó chuyển tiếp, bảo vệ hệ thống khỏi truy cập trực tiếp.
Kiểm tra trạng thái (Stateful Inspection) là phương pháp mà các tường lửa sử dụng để theo dõi các gói dữ liệu gửi đi và so sánh phản hồi nhận được với cơ sở dữ liệu của các phiên hoạt động đang diễn ra Chỉ những gói dữ liệu khớp với gói outbound hợp lệ tương ứng mới được chấp nhận.
Tiêu chí cấu hình tường lửa
Cấu hình là quá trình định nghĩa các quy tắc dựa trên các tham số cụ thể nhằm kiểm soát việc trao đổi dữ liệu cả nội bộ và bên ngoài Các tiêu chí cấu hình đóng vai trò quan trọng trong việc đảm bảo tính chính xác và an toàn của dữ liệu trong các hệ thống.
Mỗi thiết bị kết nối internet đều có một địa chỉ IP duy nhất, được biểu diễn bằng một dãy số 32-bit dưới dạng bốn số thập phân Nếu tường lửa phát hiện địa chỉ IP bên ngoài có khả năng gây nguy hiểm hoặc truy cập quá nhiều dữ liệu, nó có thể chặn mọi liên lạc từ địa chỉ đó.
Tên miền (Domain Names) là các giao thức xác định quy tắc giao tiếp giữa hai thiết bị hoặc ứng dụng Một số giao thức phổ biến bao gồm IP, TCP, HTTP, FTP, UDP, ICMP, SMTP, SNMP và Telnet Các tổ chức có thể lựa chọn chỉ cho phép các giao thức cụ thể để truy cập trên mạng của họ.
Cổng (Ports) là các điểm truy cập mà máy chủ sử dụng để cung cấp dịch vụ, ví dụ như cổng 80 cho giao thức HTTP mà trình duyệt web thường sử dụng Các tổ chức có khả năng quản lý lưu lượng truy cập bằng cách chặn hoặc cho phép các cổng này, từ đó nâng cao kiểm soát đối với các dịch vụ có thể truy cập.
Các giải pháp nâng cao có khả năng quét các gói dữ liệu để phát hiện và chặn những gói chứa các từ khóa cụ thể đã được đánh dấu.
Quy trình của tường lửa
Hình 14 Quy trình hoạt động của tường lửa
Quy trình hoạt động của tường lửa bao gồm các bước quan trọng như kiểm tra quy tắc, áp dụng phương pháp bảo mật, phân tích nội dung dữ liệu, đưa ra quyết định, ghi chép các hoạt động và liên tục cập nhật quy tắc để đảm bảo an toàn mạng.
Quá trình cấu trúc mà tường lửa thực hiện khi một gói dữ liệu cố gắng đi qua nó xảy ra theo các bước sau:
Mỗi gói dữ liệu khởi đầu hành trình của mình bằng việc trải qua quy trình Kiểm tra Quy tắc, nơi nó được đánh giá theo các quy tắc đã được thiết lập Mỗi quy tắc xác định một tiêu chí cụ thể, và nếu gói dữ liệu không tuân thủ, nó sẽ ngay lập tức bị loại bỏ.
Áp dụng phương pháp là bước quan trọng trong việc xác định giải pháp chính cho việc xử lý gói dữ liệu, bao gồm các phương pháp như lọc gói, dịch vụ proxy và kiểm tra trạng thái Những phương pháp này giúp tối ưu hóa quá trình xử lý và đảm bảo hiệu quả trong việc quản lý dữ liệu.
Phân tích nội dung là một tính năng quan trọng của một số tường lửa, cho phép chúng kiểm tra nội dung của các gói dữ liệu Những tường lửa này thực hiện việc tìm kiếm các từ hoặc cụm từ cụ thể để đảm bảo an ninh mạng và ngăn chặn các mối đe dọa tiềm ẩn.
Ra quyết định (Decision Execution) là quá trình mà sau khi thực hiện các đánh giá cần thiết, tường lửa sẽ cho phép gói dữ liệu được truyền qua nếu nó đáp ứng đầy đủ các yêu cầu Ngược lại, nếu gói dữ liệu không đáp ứng một trong các tiêu chí, tường lửa sẽ loại bỏ nó.
Tường lửa thực hiện chức năng ghi chép bằng cách duy trì nhật ký các hoạt động của nó, bao gồm thông tin chi tiết về các gói dữ liệu được chấp nhận và từ chối Điều này giúp các quản trị viên nắm bắt được các mẫu lưu lượng và nhận diện các mối đe dọa tiềm ẩn.
Cập nhật Quy tắc Liên tục là rất quan trọng trong việc duy trì bảo mật mạng Tường lửa không hoạt động theo các quy tắc tĩnh mà cần được điều chỉnh thường xuyên Các quản trị viên phải thường xuyên cập nhật và tinh chỉnh các quy tắc dựa trên các mối đe dọa mới nổi và yêu cầu thay đổi của mạng để đảm bảo an toàn tối ưu cho hệ thống.
Các giải pháp hiện đại như NGFW kết hợp với các tính năng nâng cao như ngăn chặn xâm nhập, phần mềm chống virus và kiểm tra gói dữ liệu sâu, tạo ra một chiến lược phòng thủ đa lớp hiệu quả.
HẠN CHẾ CỦA TƯỜNG LỬA
Chi phí cao liên quan đến việc mua, cài đặt và duy trì các tường lửa cao cấp, đặc biệt là những loại có tính năng nâng cao như ngăn chặn xâm nhập (IPS) và kiểm tra gói tin sâu (DPI), là một yếu tố cần xem xét.
Tường lửa có thể ảnh hưởng đến hiệu suất mạng bằng cách làm chậm quá trình truyền dữ liệu, đặc biệt khi thực hiện các kiểm tra phức tạp như kiểm tra gói tin sâu, dẫn đến tình trạng độ trễ.
Tường lửa chỉ bảo vệ hệ thống khỏi các cuộc tấn công từ bên ngoài, nhưng không đủ khả năng ngăn chặn các mối đe dọa nội bộ như lạm dụng từ nhân viên hay các cuộc tấn công từ bên trong Hơn nữa, nếu một hệ thống đã bị nhiễm mã độc trước đó, tường lửa sẽ không thể khắc phục tình trạng này.
Rủi ro cấu hình là một vấn đề nghiêm trọng trong bảo mật mạng, khi cấu hình sai các quy tắc tường lửa có thể tạo ra lỗ hổng bảo mật Điều này không chỉ dẫn đến nguy cơ truy cập trái phép vào hệ thống mà còn có thể gây ra việc chặn nhầm lưu lượng hợp lệ, ảnh hưởng đến hiệu suất và tính khả dụng của dịch vụ.
Sự phụ thuộc vào tường lửa có thể dẫn đến việc người dùng trở nên chủ quan về an ninh, khiến họ bỏ qua các biện pháp bảo mật quan trọng khác như bảo mật điểm cuối và quản lý bản vá.
Quản lý tường lửa có thể trở nên phức tạp, đặc biệt trong các mạng lớn, yêu cầu chuyên gia có kỹ năng để đảm bảo các quy tắc và chính sách được thực hiện đúng cách.
Tường lửa không đủ để bảo vệ người dùng trước các cuộc tấn công kỹ nghệ xã hội như phishing và lừa đảo, vì chúng nhắm vào con người thay vì các lỗ hổng mạng Điều này cho phép người dùng truy cập vào nội dung độc hại từ các trang web, tạo ra mối đe dọa từ bên trong hệ thống.
DEMO VỀ TƯỜNG LỬA IPTABLES
Tổng quan về Iptables
Iptables là công cụ dòng lệnh trong Linux, thiết lập và quản lý quy tắc tường lửa để kiểm soát lưu lượng mạng dựa trên địa chỉ IP, cổng và giao thức Các quy tắc được tổ chức theo bảng và chuỗi, với các hành động như cho phép, từ chối hoặc chuyển tiếp gói tin Iptables thường được sử dụng để bảo vệ hệ thống khỏi các cuộc tấn công và kiểm soát truy cập mạng.
Trong iptables, có nhiều bảng phục vụ cho việc quản lý và kiểm soát lưu lượng mạng, bao gồm bảng NAT để xử lý dịch địa chỉ mạng, bảng Mangle cho phép sửa đổi tiêu đề gói tin nhằm tùy chỉnh kỹ thuật như thay đổi QoS, bảng Raw để bỏ qua theo dõi kết nối cho một số gói tin đặc biệt, và bảng Security quản lý nhãn bảo mật Tuy nhiên, bảng Filter là quan trọng nhất, dùng để lọc gói tin và quyết định cho phép (ACCEPT), từ chối (DROP) hoặc chuyển tiếp (FORWARD) gói tin Đây là bảng mặc định khi sử dụng iptables, đóng vai trò cốt lõi trong bảo mật mạng, và cũng là bảng mà chúng tôi lựa chọn để cài đặt và ứng dụng.
Khi gõ lệnh “iptables –L” sẽ mặc định hiển thị ra bảng Filter, với chữ L trong câu lệnh mang ý nghĩa là List (danh sách):
Hình 15 Bảng Filter trong Iptables
Trong iptables, các quy tắc được tổ chức thành các chuỗi (chains), mỗi chuỗi tương ứng với một giai đoạn khác nhau trong quá trình xử lý gói tin
• Chuỗi INPUT xử lý các gói tin đi vào máy chủ, quyết định xem có nên cho phép gói tin truy cập hay không
• Chuỗi OUTPUT kiểm soát các gói tin đi ra từ máy chủ
• Chuỗi FORWARD xử lý các gói tin được chuyển tiếp qua máy (khi máy đóng vai trò như một router)
• DROP: Từ chối gói tin
• REJECT: Từ chối và gửi thông báo lỗi về
2 prot: Giao thức mà quy tắc áp dụng (TCP, UDP, ICMP, )
3 opt: Các tùy chọn bổ sung (thường là – cho tùy chọn không sử dụng)
4 source: Địa chỉ IP nguồn hoặc mạng nguồn mà quy tắc áp dụng
5 destination: Địa chỉ IP đích hoặc mạng đích mà quy tắc áp dụng.
Demo một vài lệnh trong Iptables
6.2.1 Lệnh Reject chặn các lưu lượng đến máy chủ
The system server with the IP address 192.168.1.16 is configured to block incoming traffic from the server at IP address 192.168.1.15 This is achieved using the command: `sudo iptables -I INPUT -s 192.168.1.15 -p icmp icmp-type 8 -j REJECT`.
• I: viết tắt cho INSERT (thêm lệnh mới vào bảng, ở đây là bảng INPUT)
• s: viết tắt cho source (nguồn máy chủ gửi lưu lượng gói tin) • p: viết tắt cho protocol (giao thức sử dụng, ở đây là icmp)
• j: viết tắt cho jump (nhảy tới lệnh, cụ thể là lệnh REJECT)
Hình 17 Thêm lệnh vào bảng INPUT
Lệnh “ping 192.168.1.16” từ máy chủ 192.168.1.15 đã bị chặn, kèm theo thông báo “Port Unreachable”.
Hình 18 Lệnh Reject - Không thể gửi gói ping đến máy chủ 192.168.1.16 6.2.2 Lệnh Accept cho phép gói tin ping đi đến máy chủ
Cho phép gói tin ping đi qua từ máy chủ có địa chỉ IP là 192.168.1.15 đến 192.168.1.16, sử dụng lệnh: sudo iptables INPUT -s 192.168.1.15 -p icmp –icmp-type 8 -j ACCEPT
Lệnh “ping 192.168.1.16” từ máy chủ 192.168.1.15, các gói tin đã được đi đến192.168.1.16.
Hình 19 Lệnh Accept - Ping được đến máy chủ 192.168.1.16 6.2.3 Lệnh Output kiểm soát các gói tin đi ra từ máy chủ
Sử dụng chuỗi OUTPUT để kiểm soát các gói tin đi ra từ máy chủ: sudo iptables -I OUTPUT -s -p tcp –dport 22 -j DROP
Câu lệnh này sẽ ngăn chặn máy chủ truy cập từ xa (SSH - port 22) đến các máy tính khác mà không hiển thị thông báo lỗi như lệnh REJECT.
Hình 20 Không thể điều khiển máy tính từ xa thông qua ssh đến 192.168.1.15 6.2.4 Lệnh Reject chặn không cho máy chủ hệ thống truy cập website:
Sudo iptables -I OUTPUT -p tcp –dport 443 -j REJECT
Hình 21 Thêm lệnh vào bảng OUTPUT
Hình 22 Máy chủ không thể truy cập được website https://github.com 6.2.5 Lệnh FORWARD, coi máy chủ như một router trung gian
Sử dụng chuỗi FORWARD, coi máy chủ như một router trung gian kiểm soát các lưu lượng gói tin từ một máy chủ đến một máy chủ khác
Cấu hình máy khách có địa chỉ IP 192.168.1.15 chuyển tiếp gói tin thông qua máy chủ chạy iptables có địa chỉ IP là 192.168.1.16:
• Mở file cấu hình sysctl: sudo nano /etc/sysctl.conf • Thêm dòng: net.ipv4.ip_forward = 1
• Lưu file và thực hiện lệnh sau để áp dụng thay đổi: sudo sysctl –p
• Thay đổi gateway trên máy ảo 192.168.1.15 thành địa chỉ IP của máy chủ chạy iptables bằng cách sử dụng lệnh: sudo route add default gw
Hình 23 Thêm dòng net.ipv4.ip_forward = 1 sudo iptables -I FORWARD -s 192.168.1.15 -p tcp –dport 443 -j REJECT
Hình 25 Máy khách 192.168.1.15 không truy cập được website https://google.com