Báo cáo đề tài môn truyền thông và an ninh thông tin

Báo cáo đề tài môn truyền thông và an ninh thông tin

Báo cáo đề tài môn

Truyền thông & An ninh thông tin

Tên đề tài: Configuring

Nội dung trình bày

Tổng quan về Firewall

Nhóm 14 - Lớp MMT02

1

A Tổng quan về Firewall

B Phân loại Firewall

C Xây dựng Firewall Rule

D Các mô hình Firewall phổ biến

Tổng quan về Firewall

Nhóm 14 - Lớp MMT02

Tưởng lửa là một thiết bị hoặc một loạt các thiết bị (bao gồm phần cứng và phần mềm) hoạt động trong môi trường mạng được thiết kế để kiểm soát (cho phép hoặc hủy bỏ) các truy cập trong mạng dựa trên các quy tắc được tạo (rule) và

mô hình kết nối

Khái niệm:

Tổng quan về Firewall

Nhóm 14 - Lớp MMT02

 Nhiệm vụ cơ bản của firewall là kiểm soát các truy cập và lưu thông dữ liệu giữa các vùng mạng khác nhau.

 Mục đích của tường lửa là cung cấp các kết nối có kiểm soát dựa trên các thông tin về địa chỉ nguồn, địa chỉ đích, port, protocol, service và loại kết nối.

 Các vùng mạng thường có firewall ngăn cách là: Internet, intranet, Extranet, DMZ.

 Công nghệ tường lửa xuất hiện vào năm 1988 khi các hệ thống lọc gói tin cơ bản được phát triển.

Chức năng của Firewall:

Nhóm 14 - Lớp MMT02

 Firewall cho phép hoặc không cho phép những dịch vụ

bên trong truy cập ra một tài nguyên nào đó bên ngoài.

 Firewall cho phép hoặc ngăn những dịch vụ truy cập từ

bên ngoài vào một vùng mạng hoặc một tài nguyên nào

 Firewall kiểm soát việc truy cập của người dùng và những

dữ liệu mà người dùng nhận từ mạng bên ngoài.

 Firewall có thể chống lại những đợt tấn công của hacker.

Sự phát triển của Firewall:

Nhóm 14 - Lớp MMT02

Packet

Filter

ApplicationProxy

StatefulInspection

Bộ lọc gói tin

Proxy

Tường lưa có trạng thái/phi trạng thái

Các thành phần của Firewall:

Nhóm 14 - Lớp MMT02

Một Firewall chuẩn sẽ

gồm các thành phần sau:

Bộ lọc gói tin (Packet

Filter): Dữ liệu truyền trên

mạng luôn được chia nhỏ

thông tin header trên mỗi

packet (IP nguồn, IP đích,

port đích Giao thức, dịch

vụ).

Các thành phần của Firewall:

Nhóm 14 - Lớp MMT02

Proxy Server: Là một firewall

được thiết kế để kiểm soát các

loại dịch vụ, giao thức cho phép

truy cập vào hệ thống mạng Nó

hoạt động dựa trên cách thức

gọi là Proxy Server, là bộ các

chương trình cài trên gateway

cho từng ứng dụng, việc truy

cập từ mạng nội bộ ra bên

ngoài và ngược lại đều thông

qua Proxy Server này thay cho

Server/Client thực sự cần phải

giao tiếp Proxy Server cũng có

vai trò như một bộ lọc tin, ngăn

chặn các truy cập không móng

muốn vào client thực sự Proxy

Sever cũng giúp tăng tốc độ

truy cập do có lưu thông tin

phiên truyền dữ liệu là phù

hợp, CLG giúp che dấu

client, hệ thống mạng mà

nó cần bảo vệ CLG không

lọc các gói tin.

Phân loại Firewall

Nhóm 14 - Lớp MMT02

Phân loại theo phạm vi:

 Tường lửa cá nhân (Personal Firewall): Thường là ứng dụng lọc

dữ liệu ra vào trong một máy tính đơn

 Tường lửa mạng (Network Firewall): Chạy trên các thiết bị

mạng hoặc máy tính chuyên dụng đặt tại vùng biên giữa các khu vực mạng

Phân loại theo tầng giao thức:

 Tường lửa tầng mạng, còn được gọi là Packet Filter Firewall

 Tưởng lửa tầng ứng dụng, được gọi là Application/Proxy

Gateway Firewall

Phân loại Firewall

Nhóm 14 - Lớp MMT02

Phân loại theo khả năng theo giõi:

 Tường lửa có trạng thái (Stateful Firewal): Là tường

lửa theo dõi trạng thái của các kết nối mạng (giao thức TCP/UDP) đi qua nó, bao gồm IP nguồn, IP đích, port TCP/UDP nguồn, port TCP/UDP đích, data, protocol) tường lửa này được lập trình để biết được gói tin hợp lệ được phép đi qua hoặc sẽ bị hủy bỏ nếu nó là gói tin không hợp lệ.

 Tưởng lửa phi trạng thái (Stateless Firewall): Là

tường lửa không theo dõi trạng thái của các kết nối

mà chỉ dựa vào địa chỉ nguồn, địa chỉ đích, một số thông tin trên header để quyết định cho phép hay không cho phép gói tin đi qua.

Một số loại Firewall phổ biến:

Nhóm 14 - Lớp MMT02

Simple Packet Filtering Firewall:

Đây có thể coi là loại tường lửa căn bản nhất, nó kiểm tra từng gói tin ra vào hệ thống mạng, so sách các thông tin thu được (của gói tin đó) với các quy định (rule) đã được thiết lập sẵn, sau

đó quyết định xem gói tin là hợp lệ hay không hợp lệ Các thông tin được kiểm tra bao gồm:

Địa chỉ nguồn của gói tin, cũng có thể là địa chi của hệ thống

mà gói tin xuất phát từ đó

Địa chỉ đích, nơi mà gói tin được gởi đến, hoặc cũng có thể là địa chỉ đích của hệ thống nơi mà gói tin được gởi đến

Giao thức nào sẽ được dùng để giao tiếp giữa nơi gởi và nơi nhận Loại tường lửa này hoạt đông ở tầng 2 và 3 trong mô hình OSI

Một số loại Firewall phổ biến:

Nhóm 14 - Lớp MMT02

Stateful Packet Filtering Firewall:

Tường lửa này cũng có các tính năng và cách hoạt động giống với Simple Packet Filtering Firewall như là lọc gói tin dựa trên các rule đã được thiết lập, và nó còn giữ lại tất cả trạng thái của các kết nối đã được chấp nhận (Accepted Connection) trong bộ nhớ Khi một gói tin đến, firewall có thể xác định được gói tin đó

là của kết nối mới hoặc là của kết nối đã được thiết lập

Các trạng thái của các kết nối gồm LISTEN, SENT,

SYN-RECEIVED, ESTABLISHED, FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING, LAST-ACK, TIME-WAIT, CLOSED

Một số loại Firewall phổ biến:

Nhóm 14 - Lớp MMT02

Application Lever Firewall:

Đây là một loại tường lửa phức tạp (còn được gọi là Application - Proxy Gateway), vì nó thực hiện nhiều sự kiểm tra các gói dữ liệu

từ tầng 2 đến tầng 7 (trong mô hình OSI) Application Lever Firewall kiểm soát và dẫn đường các gói tin giữa các vùng mạng (tin cậy và không tin cậy) theo các cơ chế đã được cấu hình trên

nó, kiểm soát các ứng dụng hoặc dịch vụ nào đang gởi hoặc nhận dữ liệu Tường lửa này cũng có chưc năng như là một Applicaton Proxy

Application Lever Firewall có thể thực hiện kiểm tra kĩ lưỡng một gói tin để đưa ra các quyết định chính xác về việc cho phép hoặc hủy bỏ một gói tin/kết nối

Application Lever Firewall có thể yêu cầu chứng thực giữa mỗi người dùng hoặc ứng dụng đang muốn truyền dữ liệu đi qua nó

Firewall và mô hình OSI:

Nhóm 14 - Lớp MMT02

Firewall hoạt động ở các tầng 2, 3, 4 và 7 trong mô hình OSI.

 Layer 2: Là tầng thấp nhất mà Firewall có thể hoạt động, Firewall sẽ sử dụng địa chỉ nguồn, địa chỉ đích lấy ở tầng này cho việc kiểm soát các giao tiếp mạng

 Layer 3: Tầng Network là tầng điều phối các traffic đến đúng nơi bằng các kĩ thuật switching và routing, bao gồm cả việc

xử lý lỗi Cũng giống như layer 2, firewall hoạt đông ở layer 3

để lấy các thông tin địa chỉ, port cho việc kiểm soát

 Layer 4: Đây là tầng mà các giao thức truyền dẫn được đưa vào (TCP, UDP, ICMP ), Firewall có thể xem xét chi tiết các thông tin về giao thức và port (của gói tin) lấy ở tầng này cho công việc của nó

 Layer 7: Các Application Firewall hoạt động tốt ở tầng này, chúng sử dụng các thông tin về tài khoản người dùng, thông tin chứng thực, giao thức, dịch vụ… để kiểm soát và áp đặt các chính sách đã định

Xây dựng Firewall Rule:

Xây dựng Firewall Rule:

Nhóm 14 - Lớp MMT02

Các thông tin trong packet sẽ được tường lửa kiểm tra và so

sánh với các rule đã có để quyết định cho phép hay hủy bỏ một gói tin Chúng ta có thể tạo rule dựa trên các thông tin này

 Ứng dụng đích

 Thông tin chứng thực

Một số mô hình Firewall phổ biến

Nhóm 14 - Lớp MMT02

Firewall có thể được cấu hình thành nhiều các topology phù hợp với hệ thống mạng mà nó cần bảo vệ Có ba topology phổ biến thường được sử dụng trong các hệ thống mạng hiện đại, đó là:

Perimeter Firewall Topology:

Three - Legged (DMZ) Firewall Topology:

Chained (DMZ) Firewall Topology:

Một số mô hình Firewall phổ biến

Nhóm 14 - Lớp MMT02

Perimeter Firewall Topology: Đây là mô hình Firewall phổ

biến nhất, mô hình sẽ gồm một Firewall đặt nằm giữa các vùng mạng hoặc giữa các hệ thống tin cậy và không tin cậy:

Một số mô hình Firewall phổ biến

Nhóm 14 - Lớp MMT02

Three Legged (DMZ) Firewall Topology: Mô hình này

thường được sử dụng khi chúng ta muốn công khai các nguồn tài nguyên ra các hệ thống mạng bên ngoài, khu vực mạng chứa các tài nguyên này được gọi là DMZ Cũng giống như mô hình Perimeter Firewall, mô hình này sử dụng một tường lửa nhưng có thêm một card mạng khác để kết nối với DMZ Tường lửa sẽ được cấu hình cho phép bên ngoài chỉ có thể truy cập đến những tài nguyên được chỉ định

Một số mô hình Firewall phổ biến

Nhóm 14 - Lớp MMT02

Chained (DMZ) Firewall Topology: Mô hình này sử dụng 2

tường lửa để tạo DMZ nằm ở giữa hệ thống mạng nội bộ và bên ngoài Việc cấu hình cho 2 firewall này tương đối phức tạp,

nhưng nếu cấu hình đúng thì mô hình tường lửa này mang lại hiệu quả bảo mật rát cao

Mô hình này thường được áp dụng khi mạng nội bộ và bên ngoài muốn truy cập vào DMZ, sẽ có các rule ở mỗi tường lửa cho

từng truy cập từ bên trong và bên ngoài

Nhóm 14 - Lớp MMT02

2

A Khái niệm IPTable

B Cấu hình IPTable (demo)

Khái niệm IPTable:

Nhóm 14 - Lớp MMT02

Khái niệm IPTable:

IPTable là một loại tường lửa được phát triển bởi Netfilter Organiztion để tăng tính bảo mật trong các hệ điều hành Linux,

nó là một Packet-Filtering Firewall IPTables kiểm tra các packet vào và ra khỏi một Interface thông qua các rule được thiết lập sẵn Thông qua IPTables, chúng ta có thể dễ dàng hiểu được cơ chế hoạt động của một hệ thống Firewall nói chung

Chức năng của IPTable:

•Tích hợp tốt với kernel của Linux

•Có khả năng phân tích package hiệu quả

•Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header

Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống

Cung cấp kỹ thuật NAT

Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS

Khái niệm IPTable:

Nhóm 14 - Lớp MMT02

IPTables gồm có 3 bảng: FILTER, MANGLE, NAT và các CHAIN trong mỗi bảng, người quản trị sử dụng chúng để tạo ra các rule cho IPTables để kiểm soát các gói tin ra vào hệ thống, chức năng của chúng như sau:

MANGLE: Dùng chỉnh sửa QoS bit trong phần TCP Header của

Input Chain: Lọc những gói tin đi vào hệ thống

Output Chain: Lọc những gói tin đi ra khỏi hệ thống

NAT: Sửa địa chỉ gói tin gồm các chain được thiết lập sẵn:

•Pre-Routing: Sửa địa chỉ đích của gói tin trước khi nó được routing bởi bảng routing của hệ thống (destination NAT hay DNAT)

•Post-Routing: Ngược lại với Pre-routing, nó sửa địa chỉ nguồn của gói tin sau khi gói tin đã được routing bởi hệ thống (SNAT). 

Khái niệm IPTable:

Nhóm 14 - Lớp MMT02

Targets và Jumps

IPTables Rule kiểm tra những gói IP và xác định nó sẽ được xử lý theo kiểu nào (target) Sau đây là một số build-in targets thường được sử dụng:

•ACCEPT: IPTables chấp nhận gói tin, đưa nó qua hệ thống mà không tiếp tục kiểm tra nó nữa

•DROP: IPTables loại bỏ gói tin, không tiếp tục xử lý nó nữa

•LOG: Thông tin của gói tin sẽ được ghi lại bởi syslog hệ thống, IPTables tiếp tục xử lý gói tin bằng những rules tiếp theo

•REJECT: Chức năng của nó cũng giống như DROP tuy nhiên nó

sẽ gửi một error message tới host đã gửi gói tin

•DNAT: Dùng để sửa lại địa chỉ đích của gói tin

•SNAT: Dùng để sửa lại địa chỉ nguồn của gói tin

•MASQUERADE: Cũng là một kiểu dùng để sửa địa chỉ nguồn của gói tin

Khái niệm IPTable:

-j: Nhảy đến một kiểu xử lý (target) tương ứng như đã định

nghĩa ở trên nếu điều kiện so sánh thoả mãn

-a: Ghi nối tiếp rule vào đuôi một chain. 

-p: So sánh protocol gói tin.

-s: So sánh địa chỉ nguồn của gói tin.

-d: So sánh địa chỉ đích của gói tin.

-i: So sánh tên card mạng mà gói tin đi vào hệ thống qua đó.

-o: So sánh tên card mạng mà gói tin từ hệ thống đi ra qua đó.

-p tcp sport: Xác định port nguồn của gói tin TCP.

-p tcp dport: Xác định port đích của gói tin TCP.

-p udp sport: Xác định port nguồn của gói tin UDP.

-p udp dport: Xác định port đích của gói tin UDP.

Khái niệm IPTable:

Nhóm 14 - Lớp MMT02

 syn: Xác định gói tin có phải là một yêu cầu tạo một kết nối

TCP mới hay không

 icmp-type: Xác định loại gói ICMP (reply hay

 -m multiport port < port, port >: Xác định một loạt các giá

trị port (không phân biệt nguồn hay đích)

 -m state < state >: Xác định trạng thái kết nối mà gói tin

thể hiện

 ESTABLISHED: Gói tin thuộc một kết nối đã được thiết lập.

 NEW: Gói tin thể hiện một yêu cầu kết nối.

 RELATED: Gói tin thể hiện một yêu cầu kết nối thứ hai (có

liên quan đến kết nối thứ nhất, thường xuất hiện ở những

giao thức FPT hay ICMP)

 INVALID : Thể hiện một gói tin không hợp lệ

Một số Rule minh họa:

Nhóm 14 - Lớp MMT02

iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT

Chấp nhận những gói tin từ mọi địa chỉ ip (-s 0/0) đi vào

từ eth0, gửi đến hệ thống có địa chỉ 192.168.1.1

iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o

eth1 -p TCP \

sport 1024:65535 dport 80 -j ACCEPT

Cho phép những gói tin từ mọi địa chỉ ip đi vào từ eth0 đi ra

eth1 để đến hệ thống có địa chỉ 192.168.1.58, giá trị port

nguồn của các gói tin trong phạm vi 1024 đến 65535 và giá

trị port đích là 80

iptables -A INPUT -p icmp icmp-type echo-reply -j ACCEPT

Hệ thống được phép thực hiện lệnh ping ra

ngoài

Một số Rule minh họa:

Nhóm 14 - Lớp MMT02

iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP \

sport 1024:65535 -m multiport dports 80,443 -j ACCEPT

iptables -A FORWARD -d 0/0 -o eth0 -s 192.168.1.58 -i eth1 -p TCP \

-m state state ESTABLISHED -j ACCEPT

Mở dịch vụ web trên hệ thống 192.168.1.58

chỉ cho phép những gói tin có giá trị port nguồn trong phạm vi

1024:65535, giá trị port đích 80, 443 (http, https) từ mọi địa chỉ IP

đi vào card mạng eth0 đi ra card mạng eth1 đến hệ thống

192.168.1.58

Cho phép hệ thống có địa chỉ 192.168.1.58 gửi (gửi trả lời) những gói tin TCP qua card mạng eth1 đi ra card mạng eth0

Cấu hình trên Firewall ISA 2006

Nhóm 14 - Lớp MMT02

3

Demo cấu hình trên tường lửa Microsoft ISA 2006

Nhóm 14 - Lớp MMT02

Demo cấu hình trên ISA 2006:

1.Demo cách sử dụng ISA, kích hoạt rule cho phép truy cập ra bên ngoài

2.Demo tạo rule cho phép truy vấn DNS để phân giải tên miền

3.Tạo Rule không cho truy cập vào một website bất kì

Demo cấu hình trên CentOS sử dụng IPTables:

1.Cấu hình NAT trên CentOS sử dụng IPTables

2.Cấu hình NAT Inbound trên CentOS sử dụng IPTable

Hỏi & Đáp

Nhóm 14 - Lớp MMT02

5