Trong hình 3-4, border router đóng vai trò như một tuyến phòng thủ đầu tiên và được coi là một screening router. Nó chứa một router tĩnh chuyển tất cả các kết nối nhằm vào mạng được bảo vệ đến firewall. Firewall đưa ra sự điều khiển truy nhập bổ sung cho giao thông mạng vŕ các kết nối. Firewall cũng có thể thi hành user authentication. Dùng một firewall và một router cùng lúc có thể đem lại sự bảo mật tốt hơn khi chỉ dùng một trong hai. Hình 3-4: Cấu hình một router-tường lửa đơn giŕn cho đường bięn một mạng Phương pháp giải quyết khác là phải bố trí một router ở điểm nối giữa các mạng ngoài, và sau đó là router khác giữa firewall và các mạng nội bộ được tin cậy. Cấu hình này tạo ra hai điểm mà chính sách bảo mật có thể được áp đặt. Nó cũng tạo ra một vůng trung gian thường gọi là khu vực phi quân sự( DMZ) giữa hai router. DMZ thường được dùng cho các server truy cập được từ Internet hay mạng ngoài khác. Hình 3-5: Cấu hình hai router-firewall cho đường biên một mạng Tất cả các chỉ dẫn trong sách này đều phù hợp với các border router. 3.2.2 Các bộ lọc gói tin cho TCP/IP Một bộ lọc gói tin cho các dịch vụ TCP/IP điều khiển việc vận chuyển dữ liệu giữa các mạng dựa vào các giao thức và các địa chỉ. Các router có thể dùng các bộ lọc theo những cách khác nhau. Một vài router có các bộ lọc tác động vào các dịch vụ mạng theo cả chiều đi vào và đi ra, trong khi số khác có các bộ lọc chỉ tác động theo một chiều.( Nhiều dịch vụ mang tính hai chiều. Ví dụ, một người důng ở hệ thống A telnet tới hệ thống B, và hệ thống B gửi một vài kiểu trả lời lại cho hệ thống A. Vì vậy, một số router cần có hai bộ lọc để xử lý các dịch vụ hai chiều này.) Hầu hết các router có thể lọc một hoặc nhiều thông tin sau: địa chỉ IP nguồn, cổng nguồn, địa chỉ IP đích, cổng đích vŕ kiểu giao thức. Một vài router còn có thể lọc bất kỳ bit nào hay bất kỳ mẫu hình bit nào trong IP header. Tuy nhiên, các router thường không có khả năng lọc nội dung của các dịch vụ( như tên tập tin FTP chẳng hạn). Các bộ lọc gói tin đặc biệt quan trọng đối với các router khi chúng giữ vai trň một gateway giữa các mạng được tin cậy vŕ không được tin cậy. Trong vai trň đó, router có thể áp đặt chính sách bảo mật, loại bỏ các giao thức vŕ từ chối các cổng dựa theo các chính sách của mạng được tin cậy. Các bộ lọc cũng quan trọng bởi khả năng áp đặt sự rŕng buộc địa chỉ. Ví dụ, trong hěnh 3-1, router phải áp đặt sự rŕng buộc là các gói tin gửi từ firewall hay mạng được bảo vệ (từ phải sang trái) phải mang một địa chỉ nguồn trong khoảng riêng biệt. Thỉnh thoảng nó còn được gọi là "việc lọc đường ra”. Tương tự, router phải áp đặt sự rŕng buộc là các gói tin đến từ Internet phải mang một địa chỉ nguồn bęn ngoài khoảng là hợp lệ đối với mạng được bảo vệ. Nó được gọi lŕ “việc lọc đường vŕo". Hai đặc điểm chính của các bộ lọc gói tin TCP/IP lŕ việc sắp xếp và độ dài. Một bộ lọc có một hoặc nhiều quy tắc, mỗi quy tắc hoặc chấp nhận hoặc ngăn cấm một tập hợp gói tin nào đó. Số quy tắc trong một gói tin quy định độ dŕi của nó. Nói chung, khi độ dŕi tăng lęn thì bộ lọc càng phức tạp và càng khó để gỡ rối. Trật tự các quy tắc trong một bộ lọc gói tin là xác định(tới hạn). Khi router phân tích một gói tin dựa vào bộ lọc, gói tin sẽ được so sánh với từng quy tắc lọc tin theo tuần tự. Nếu có sự trùng hợp thì gói tin hoặc được cho phép hoặc bị ngăn cấm vŕ phần còn lại của bộ lọc được bỏ qua. Nếu không có sự trùng hợp gói tin sẽ bị ngăn cấm do quy tắc ngăn cấm tuyệt đối ở cuối bộ lọc. Bạn phải cẩn thận tạo ra các quy tắc lọc tin theo trật tự thích hợp, để tất cả các gói tin được đối xử phů hợp với chính sách bảo mật định důng. Một phương pháp sắp xếp là đặt các quy tắc xử lý thông tin trong các gói tin đó cŕng gần vị trí đầu bộ lọc cŕng tốt. Vì vậy, độ dài và việc sắp xếp của bộ quy tắc lọc gói tin có thể ảnh hưởng đến hiệu suất của router. (Ghi chú: sự thảo luận nŕy có thể áp dụng cho các bộ lọc gói tin của các router của Cisco, hầu hết các loại router khác và hầu hết các firewall lọc gói tin khác. Việc lọc tin trong Cisco được thảo luận được thảo luận chi tiết trong Section 4.3. Nếu bạn có một router không do Cisco chế tạo, tham khảo tài liệu hướng dẫn của nó để biết thêm chi tiết.) Dùng các bộ lọc gói tin: chỉ cho phép các dịch vụ và các giao thức theo quy định Xem xét cẩn thận dịch vụ mạng nào sẽ được phép đi qua router(đi vŕo và đi ra) và được phép đi đến router. Nếu có thể, hăy dùng nguyên tắc sau để tạo ra các bộ lọc: các dịch vụ nào không được cho phép một cách rõ ràng đều phải bị cấm. Nguyên tắc này đặt biệt quan trọng đối với các border router. Lập danh sách các dịch vụ và các giao thức phải đi qua router, các dịch vụ và các giao thức mà router cần đến cho chính hoạt động của nó. Tạo ra một tập các quy tắc lọc tin cho phép hoạt động giao thông nằm trong danh sách vŕ cấm tất cả các hoạt động giao thông khác. Trong trường hợp các mạng hay các host nào đó cần truy xuất các dịch vụ đặt biệt, thęm vào một quy tắc lọc tin cho phép dịch vụ đó nhưng chỉ cho các địa chỉ host cụ thể hay các vůng địa chỉ cụ thể. Ví dụ, firewall host mạng có thể lŕ địa chỉ duy nhất được phép kích hoạt các kết nối web (TCP cổng 80) thông qua router. Dùng các bộ lọc gói tin: từ chối các dịch vụ và các giao thức mạo hiểm Thỉnh thoảng, ta không thể tuân theo nguyên tắc bảo mật cứng nhắc đã thảo luận ở trên. Trong trường hợp đó, quay lại với các dịch vụ bị cấm do thường là không cần thiết hoặc được xem như các phương tiện truyền bá sự thoả hiệp bảo mật hay dùng. Hai bảng sau liệt kê các dịch vụ phổ biến cần hạn chế bởi vì chúng thu thập thông tin của mạng được bảo vệ hay chúng có các yếu điểm có thể bị khai thác để chống lại mạng được bảo vệ. Bảng đầu tięn liệt kê những dịch vụ nào phải hoàn toàn bị khóa bởi các router thông thường. Trừ khi bạn có một nhu cầu thao tác rõ ràng cần hỗ trợ chúng, các giao thức trong bảng 3-1 phải không được phép đi qua router theo cả hai chiều. Bảng 3-1: Các dịch vụ bị khoá hoàn toàn ở router Bảng 3-2 liệt kê một vài dịch vụ trong mạng nội bộ hay trong chính router phải không truy xuất được đối với các kết nối từ các mạng bęn ngoài. Bảng 3-2: Một vài dịch vụ bị khoá ở router từ các client bên ngoài Các giao thức và các cổng chuẩn Một số tổ chức đưa ra một danh sách các giao thức vŕ các cổng chuẩn phải được cho phép hoặc hỗ trợ trong các mạng của họ. Các tổ chức rięng biệt trong US DOD cũng đưa ra các danh sách như vậy, và Defense Information System Agency (DISA) đang cố gắng tìm cách tạo ra một danh sách chuẩn cho cả DOD. Đối với các mạng lŕ đối tượng của các danh sách nŕy, cách thực hiện tốt nhất trước tiên là chỉ cho phép những giao thức và những cổng nào nằm trong danh sách chuẩn và từ chối tất cả cái khác. Lọc địa chỉ Các bộ lọc của router cũng được důng để chống lại việc giả mạo địa chỉ IP, nhất lŕ ở các border router. Trong hầu hết trường hợp, các quy tắc lọc tin phải dùng cả "lọc đường vào" và "lọc đường ra”, bao gồm cả việc khóa các địa chỉ dŕnh riêng. Các nguyên tắc áp dụng cho border router được liệt kê bên dưới. * Loại bỏ tất cả các gói tin từ các mạng nội bộ mang địa chỉ IP nguồn không thuộc về các mạng nội bộ.( Các gói tin tạo ra bởi các nguồn trong các mạng nội bộ luôn luôn mang địa chỉ nguồn trong một khoảng hay nhiều khoảng được gán cho các mạng nội bộ; bất cứ những gói tin khác nào cố nhận địa chỉ nguồn giả mạo thì hầu như luôn có bản chất không đúng hoặc ác ý.) * Loại bỏ tất cả các gói tin từ các mạng bên ngoài mang địa chỉ nguồn thuộc về các mạng nội bộ.( giả sử các địa chỉ đă được gán đúng, các gói tin gửi từ các mạng bên ngoải phải luôn mang địa chỉ nguồn nằm trong các khoảng khác với các khoảng đă được ấn định cho các mạng cục bộ. Các gói tin mang địa chỉ giả như vậy thường lŕ thành phần của một cuộc tấn công, và phải được border router vứt bỏ.) * Loại bỏ tất cả các gói tin với địa chỉ nguồn hay địa chỉ đích thuộc về bất kỳ khoảng địa chỉ nŕo không hợp pháp, không thể tìm đường hoặc được dành riêng. 3.2.3 Giảm đi các cuộc tấn công từ chối dịch vụ Ngừng dịch vụ hay hiệu suất mạng giảm xuống đáng kể do nhiều nguyęn nhân khác nhau. DoS ám chỉ những cố gắng có chủ ý để gây ra những sự đổ vỡ nghięm trọng. Mặc dầu các cuộc tấn công DoS có thể được xem như những sự quấy rầy có thể chịu đựng được nhưng chúng có thể gây ra các hậu quả nghięm trọng nếu chúng xảy ra ở các thời điểm nhạy cảm. Chưa có giải pháp triệt để nŕo cho vấn đề DoS; khi tŕi nguyên của một mạng còn bị giới hạn và tồn tại công khai thì chúng còn là các điểm yếu để tấn công. Có nhiều mức độ mŕ người quản trị mạng chọn để bảo vệ các mạng khỏi các cuộc tấn công DoS và giảm bớt những tác động của chúng. Những mức độ nŕy đňi hỏi một số nỗ lực hợp tác giữa những người quản trị các host, các thiết bị mạng và nhà cung cấp quyền truy cập. Để có hiệu quả, các mức độ nŕy phải được lęn kế hoạch và áp dụng trước khi cuộc tấn công xảy ra. Ở mức độ xí nghiệp, có ba chiến lược chính để đối đầu với các cuộc tấn công DoS, được mô tả chi tiết bęn dưới. Chống lại các gói tin ác ý đến từ mạng công cộng trong mạng xí nghiệp. Cấu hình và triển khai các mức độ bảo vệ cục bộ ở cả border router cũng như interior router. Phối hợp các mức độ bảo vệ chống lại các cuộc tấn công DdoS với các nhà cung cấp quyền truy xuất mạng và/hoặc những người quản trị backbone. Trước hết, thật quan trọng khi mỗi người quản trị mạng giúp giảm bớt các hệ thống dùng để thực hiện cuộc tấn công DoS. Đừng để mạng của bạn lŕ điểm khởi đầu của một cuộc tấn công DoS; giữ các host an toàn và loại bỏ các host đă bị nhiễm ra khỏi mạng ngay lập tức. Có một số cơ chế sẵn có trong các router để ngăn cản các kiểu tấn công DoS nŕo đó. Nhiều trong số các cuộc tấn công nảy cần důng các địa chỉ nguồn giả mạo hoặc không hợp lệ. Ví dụ, các địa chỉ không hợp lệ được dủng trong cuộc tấn công kiểu SYN flood để chắc chắn rằng sự bắt tay TCP với host mục tiêu đã hết hạn(times out) và đang đợi trả lời( xem Section 6.3.2). Có một số phương pháp để lọc ra các gói tin có địa chỉ không hợp lệ nŕy. Danh sách điều khiển truy cập là phương tiện dễ dàng nhất có ở mọi router( xem Section 4.3). Việc tìm đường kểu black hole cũng có thể hữu ích và làm việc trên tất cả các router( xem Section 4.4.6). Hầu hết các router của Cisco đều hỗ trợ một công cụ gọi là Unicast Reserve-Path Forwarding Verification dùng bảng tìm đường để phát hiện vŕ loại bỏ các gói tin mang địa chỉ không hợp lệ( xem Section 4.4.7). Bạn phải ghi nhận sự xuất hiện của các gói tin này ở bất cứ đâu có thể, việc ghi nhận lại những vi phạm này có thể giúp xác định được các host đă bị lây nhiễm cần bị loại bỏ ra khỏi mạng. Dĩ nhiên, sự phát hiện dựa vào việc xem xét thường xuyên các bản ghi nhận của router. Bạn có thể chống lại các cuộc tấn công DoS đơn lẻ mang tính chất cục bộ bằng cách loại bỏ các gói tin mang địa chỉ nguồn không hợp lệ khi chúng đến từ một border router( xem Section 4.3.5). Các địa chỉ nguồn không hợp lệ hay các địa chỉ nguồn không thể těm ra dấu vết khác thường dùng để dấu nguồn gốc thực tế của cuộc tấn công. Đồng thời, các dịch vụ của router hỗ trợ cho các cuộc tấn công hay mở đường cho cuộc tấn công đều phải bị vô hiệu hóa( xem Section 4.2). Một số router và firewall thường đặc biệt hóa các phương tiện để giảm bớt các cuộc tấn công kiểu TCP SYN flood; trong các router của Cisco phương tiện này gọi được gọi là TCP Intercept( xem Section 4.3.3). Trong vài trường hợp, các phương tiện kiểm soát tốc độ các gói tin hay chất lượng dịch vụ của router có thể dùng để bảo vệ các dịch vụ bị nguy kịch khỏi các hậu quả lớn nhất của các cuộc tấn công DoS( xem Section 4.3.6). Các phương tiện của router cũng có thể được bổ sung bằng các sản phẩm chống DoS thương mại cung cấp khả năng phát hiện tấn và lọc tin nghiêm ngặt hơn. Một border router không thể kiểm soát được kiểu hay toàn bộ khối lượng gói tin gửi qua nó. Sự giảm bớt DoS hết sức cần đến hành động hợp tác "ngược dòng", nghĩ là từ nhà cung cấp quyền truy cập, (có thể) từ nhà cung cấp vận chuyển, nhà cung cấp quyền truy cập vào điểm nguồn, hoặc ngay các nhà quản trị của các host tấn công. Ví dụ, khi các gói tin của một ICMP flood cùng hội tụ tại uplink, các gói tin hợp pháp bị thay bởi các gói tin giả và các gói tin này không còn chịu tác động bởi sự kiểm soát dòng chảy các gói tin. Các kết nối và truyền dữ liệu bị thiếu và cuối cùng bị hết hạn hay bị treo vì chúng không thể tái đồng bộ được. Nếu nhà cung cấp quyền truy cập của bạn thực hiện việc theo dõi các gói tin theo thống kê, họ có thể từng bước khóa lại và lần ra dấu vết của các gói tin có hại này khi cuộc tấn công bắt đầu. Nếu không có loại dịch vụ giám sát này thì mạng đang bị tấn công cần phải nhanh chóng yêu cầu nhà cung cấp dịch vụ truy cập của nó lọc ra