Bảo mật mạng Internet trên nền bộ giao thức TCPIP

Firewall cũng có thể lọc các loại lưu lượng đặc biệt của mạng và điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao th

LỜI NÓI ĐÀU

Với sự bùng nố ngày càng mạnh mẽ của mạng Internet, các quốc gia các tố chức, cáccông ty và tất cả mọi người đang ngày càng xích lại gần nhau hơn Khoảng cách về địa lýngày càng trở nên mờ dần và khái niệm một thế giới “phang” đang trở nên rõ nét Thật khó

mà kể hết những lợi ích mà Internet mang lại cho con người và cũng không thể tưởng tượngđược một ngày thiếu Internet thì con người sẽ phải xoay sở như thế nào Đó không chỉ làmột công cụ trao đổi thông tin nhanh chóng tin cậy mà còn là kho thông tin vô tận, cập nhật,

đa dạng và đầy đủ nhất Có thể nói rằng Internet là nguồn tài nguyên vô giá trong kỉ nguyên

số hiện nay Chính vì vậy việc khai thác và tận dụng được tài nguyên mạng là mối quan tâmhàng đầu của các doanh nghiệp Công nghệ mạng Lan và mạng Wan phát triển đã thỏa mãnnhu cầu đó

Tuy nhiên ngoài những lợi ích to lớn mạng Internet cũng ẩn chứa những nguy cơ khôn lường về khả năng đánh cắp, phá hoại những tài sản thông tin của tổ chức dẫn đến những hậu quả nghiêm trọng Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước đế mọi người có thế khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vitấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh

Với mục đích đó trong thời gian thực tập nhóm đã tự' tìm hiếu các khái niệm cơ bản

về bảo mật cùng với những kiến thức về mạng máy tính đã học được tại học viện mạng của Cisco, mong muốn xây dựng được một hệ thống bảo mật sử dụng công nghệ fírewall có nhiều tính ứng dụng trong thực tiễn

Chũng tôi xin chân thành cảm ơn sự chỉ bảo hướng dẫn tận tình của Thầy Cao Văn Lợi đã giúp chúng tôi thực hiện đồ án này.

Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cầnđọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi nhữngthiếu sót, rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía thầy cô và các bạn

Trân trọng cảm ơn

LỜI MỞ ĐẦU

Với mục đích thu thập các kiến thức cơ bản về bảo mật mạng Internet trên nền bộgiao thức TCP/IP và đi sâu nghiên cứu thiết kế hệ công nghệ bảo mật fírewall, bản đồ án nàyđược chúng tôi chia thành 6 phần với những nội dung như sau:

Chương I: Tổng quan về Firewall

Trình bày khái niệm fírewall và phần loại Firewall Chương II : Chức

năng ,nhiệm vụ của Firewall phần cứng Tìm hiếu các chức năng và nhiệm vụ của

Firewall cứng Chương III : cấu trúc & nguyên tắc hoạt động cửa Firewall cứng

Tìm hiểu cấu trúc và cơ chế hoạt động cửa Firewall cứng và một sô hạn chế của

Firewall cứng

Chương IV : Mô hình và ửng dụng cảu Firewall

Trình bày 1 số mô hình và ứng dụng cửa Firewall cứng

Chuưong V : Tưòng lửa CISCO PIX FIREWALL

Tìm hiểu về CISCO PIX FIREWALL và giới thiệu một số Fire cứng, Cách cài đặt vàcâu lệnh

1 Firewall là gì?

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngănchặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợpvào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ

và hạn chế sự xâm nhâp không mong muốn vào hệ thống

Một Firewall có thể được định nghĩa là một tập hợp các thành phần được đặt giữa hai mạng và có chung ba đặc điểm sau đây:

+ Tất cả các lưu lượng từ trong ra ngoài và ngược lại đều phải đi qua Firewall

+ Chỉ các lưu lượng được cho phép như được ấn định bởi chính sách bảo mật

cục bộ mới được phép đi qua

+ Chính Firewall không bị ảnh hưởng bởi sự thâm nhập

2 Nguyên lý hoạt động của Firewall

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật tón chia nhỏ các dữ liệu nhận được tù’ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và nhũng con số địa chỉ của chúng

Bộ lọc packet cho phép hay tù’ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu đế quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng Bao gồm:

• Địa chỉ IP nơi xuất phát (Source)

• Địa chỉ IP nơi nhận ( Destination)

• Dạng thông báo ICMP

• Giao diện packet đến

• Giao diện packet đi

3 Chửc năng của Firewall

Chức năng chính của Firewall là kiếm soát luồng thông tin từ giữa Intranet vàInternet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạngInternet

• Cho phép hoặc cấm nhũng dịch vụ truy cập ra ngoài

• Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong

• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

• Kiếm soát người sử dụng và việc truy cập của người sử dụng

• Kiểm soát nội dung thông tin lưu chuyển trên mạng

4 Phân loại Firewall

Firewall chia làm 2 loại:

*Firewall cứng

Firewall cứng là loại Firewall được tích hợp trực tiếp lên phần cứng

- Không được linh hoạt như fírewall mềm vì hầu như các fírewall cứng đều hướng theo

xu hướng tích hợp tất cả trong một( ví dụ : không thế thêm quy tắc hay chức năng ngoàinhững chức năng đã được tích hợp sẵn ) đối với những fírewall cứng trước kia.Hiện tạixuất hiện xu hướng mới của fìrewall cúng mà đi đầu là dòng sản phấm PIX ASA 5500của Cisco Tuy là fírewall cứng nhưng có khả năng tích hợp những

- Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 fírewall như DHCP, HTTPS,VPNs, hỗ trợ DMZ, PAT, NAT và các interface trên nó Một Adaptive có thể hoạt độngđộc lập mà không cần bất kỳ module nào khác Adaptive hỗ trợ nhiều cách cấu hình : cấuhình thông qua giao diện web hoặc cấu hình qua cổng consol.

- Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối trực tiếp với Adaptive thông qua cable Neu thiết bị đầu cuối nào muốn sử dụng thêm chức năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có nhiều loại module thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến các thiết bị có giao tiếp đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS,

- Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao

*Firewall mềm

Firewall mềm là những phần mềm được cài đặt trên máy tính đóng vai trò làmfirewall Có 2 loại là Stateíul Firewall (Tường lửa có trạng thái) và Stateless Firewall(Tường lửa không trạng thái)

- Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các doanhnghiệp

- Ngoài ra fírewall còn có khả năng quét virus, chống spam khi được tích hợp những công cụ cần thiết

*Nhược Điểm:

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin

và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ

- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua”

nó Một cách cụ thế, fìrewall không thế chống lại một cuộc tấn công từ một line dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm

- Firewall cũng không thế chống lại các cuộc tấn công bằng dữ liệu (data-driven attack)

- Khi có một số chương trình được chuyển theo thư điện tử, vượt qua fírewall vào trong trust network và bắt đầu hoạt động ở đây Một ví dụ là các virus máy tính Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó Nhưng do tốc độ làm việc,

sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu Virus vẫn thoát khỏi khả năng rà quét của fírewall

Chương II: CHỨC NÃNG , NHIỆM vụ CỦA FIWALL CỨNG

1 Chức năng của Firewall.

Chức năng chính của Firewall là kiếm soát luồng thông tin giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet

- Cho phép hoặc cấm các dịch vụ truy cập ra ngoài

- Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát người dùng và việc truy cập của người dùng.

- Kiểm soát nội dung thông tin lưu chuyển trên mạng

- Ngăn ngừa khả năng tấn công từ các mạng ngoài

Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lun lượng giữa hai mạng đểxem luồng lưu lượng này có đạt chuẩn hay không Neu đạt, nó được định tuyến giữa cácmạng, ngược lại, lưu lượng sẽ bị hủy

Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng

Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào mạng riêng

và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép

Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng, đây được gọi là lọc địa chỉ Firewall cũng có thể lọc các loại lưu lượng đặc biệt của mạng và điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc

từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet Firewall cũng có thế lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói

Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho Hacker nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất định

nhằm đế Hacker tin rằng họ đã vào được một phần của hệ thống và có thế truy cập xa hơn,các họat động của kẻ tấn công có thể được ghi lại và theo dõi Neu có thể giữ kẻ phá hoạitrong một thời gian, người quản trị có thể lần theo dấu vết của họ Ví dụ, có thể dùng lệnhíĩnger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyềnlâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối Internet

2 Nhiệm vụ của Firewall.

2.1 Bảo vệ thông tin

bộ

-Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông tin về hệthống của bạn như tài khoản và password đăng nhập Firewall có khả năng phát hiện

và ngăn chặn kịp thời các tấn công theo kiếu tấn công này

-Firewall cũng có khả năng phát hiện và ngăn chặn các chương trình Sniff (Chương trình có khả năng chụp lại các gói tin khi nó được truyền đi trên mạng) mà Hacker

thường sử dụng để lấy các thông tin đang được truyền đi trên mạng

-Hacker hay sử dụng lỗi của các chương trình úng dụng và bản thân hệ điều hành đãđược sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (cóđược quyền của người quản trị hệ thống)

+ Nghe trộm: Có thế biết được tên, mật khấu, các thông tin chuyền qua mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận

toàn bộ các thông tin lưu truyền qua mạng

+ Giả mạo địa chỉ IP

+ Vô hiệu hoá các chức năng của hệ thống (deny Service) Đây là kiểu tấn côngnhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó đượcthiết kế Kiếu tấn công này không thế ngăn chặn được do những phương tiện tổ chứctấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.+ yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.Ngoài ra, Firewall còn có nhiều chức năng kiểm tra, lọc các lưu lượng vào/ra hệthống, bảo vệ an toàn các thông tin từ bên trong và ngăn chặn các cố gắng thâm nhập từbên ngoài vào hệ thống

CHƯƠNG III

CẤU TRÚC & NGUYÊN TẮC HOẠT ĐỘNG CÙA FIREWALL CỨNG

I Cấu trúc của Firewall cửng

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua fírewall thì điều

đó có nghĩa rằng fírewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay chính

gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể được định tuyến, nhận dạng và tái lập lại ở đích cần gửi đến, do đó các loại fírewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng Ngày nay Firewall được xây dựng dựa trên cơ sở

bộ lọc gói (packet íĩlter), trên cống ứng dụng (Application gateway), kĩ thuật giám sát trạng thái(Stateủil inspecting) và một số firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự) Trong chương này tôi sẽ trình bày 3 kiến trúc fìrewall cơ bản dựa theo sư phân loại đó

1 Firewall bộ lọc gói tin (PACKET FILTERING FIREWALL)

Loại fírewall này thực hiện việc kiếm các thông số điều khiến trong trường header của các gói tin IP đế cho phép chúng có thế lưu thông qua lại hay không Các thông số có thể lọc được của một gói tin như sau:

- Địa chỉ IP nguồn (source IP address)

- Địa chỉ IP đích (destination IP address)

- Cổng TCP nguồn (TCP source port)

- Cổng TCP đích (TCP destination port)

Nhờ vậy mà fírewall có thể ngăn cản được các kết nối vào những máy chủ hoặc mạng nào đó đã được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ tù’ những địa chỉ nguồn không cho phép Hơn nữa việc kiểm soát các cổng làm cho fírewall có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc chỉ có

những dịch vụ nào đó (Telnet, SMTP, FTP, ) được phép mới chạy được trên hệ thống

mạng nội bộ

Hình 2.5 Tưởng lửa lọc gói tin.

2 Firewall các dịch vụ uỷ thác (PROXY SERVER)

Firewall dịch vụ ủy thác là một thiết bị bình phong bảo mật dùng để phân tích các

gói dữ liệu được chuyển vào Khi các gói dữ liệu tù’ bên ngoài đến proxy server, chúng được kiểm tra và đánh giá để xác định xem chính sách bảo mật có cho phép chúng vào mạng hay không Proxy server không chỉ định giá trị các địa chỉ IP mà còn xem xét dữ liệu trong các gói đế tìm lỗi và sửa sai

Hình 2.6 Tường lửa dịch vụ ủy thác Có 2 loại proxy server cơ bản đó là:

cổng mức mạng và cổng mức ứng dụng như mô tả dưới đây

2.1 Gateway mức mạng (Network Level Gateway)

Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống nội và ngoại Có một mạch ảo giữa người dùng nội và proxy server Các yêu cầu Internet đi qua mạch này đến proxy server, và proxy server chuyển giao yêu cầu này đến Internet sau khi thay đối địa chỉ IP Người dùng ngoại chỉ thấy địa chỉ IP của proxy server Các phản hồi được proxy server nhận và gởi đến người dùng thông qua mạch ảo Mặc dù luồng lưu thông được phép đi qua, các hệ thống ngoại không bao giờ thấy được hệ thống nội Loại kết nối này thường được dùng để kết nối người dùng nội “được ủy thác” với Internet

2.2 Gateway mức ứng dụng (Application level Gateway)

Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy server

và còn phân tích các gói dữ liệu Khi các gói từ bên ngoài đến cổng này, chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói này đi vào mạng nội bộ hay không Proxy server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó

Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cảthông tin trong các gói được người điều hành sử dụng để ghi các luật xác định cách xử lýcác gói Có thể giám sát dễ dàng mọi việc xảy ra trên proxy server Bạn cũng có thể bỏ cáctên máy tính để che dấu hệ thống bên trong, và có thể đánh giá nội dung của các gói dữ liệu

vì mục đích hợp lý và an toàn Tính “hợp lý” là một tùy chọn thú vị Bạn có thể thiết lập bộlọc để loại bỏ mọi bản tin điện tử chứa các nội dung không được phép

Hình 2.7 Giao tiếp trên mạng thông qua proxy server

Một proxy server điển hình có thể cung cấp các dịch vụ ủy quyền cho các úng dụng

và giao thức như Telnet, FTP ( File Transfer Protool), HTTP ( Hypertext Transfer Protocol),

và SMTP ( Simple Mail Transfer Protocol) Proxy server này không cho phép bất kỳ một gói tin nào đi thẳng trực tiếp giữa hai mạng, mà loại Firewall này được thiết kế đế tăng cường khả năng kiếm soát thông qua dịch vụ người đại diện (Proxy Service) Khi một trạm bên ngoài muốn kết nối với các trạm bên trong tường lửa thông qua một dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Server Neu dịch vụ và các trạm bên ngoài không thuộc diện cấm thông qua đối với Proxy thì Proxy Server sẽ đi tìm trạm đích bên trong tường lửa đế tạo kết nối với trạm bên ngoài và ngược lại các trạm bên trong muốn kết nối ra ngoài cũng vậy Với cách thức này thì sẽ đánh bại được một số loại tấn công cơ bản như gâytràn bộ đệm của tường lửa

Tuy nhiên cũng có một số hạn chế đối với dạng tường lừa loại này là: Đây là loạitường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail,FPT Neu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tườnglửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó Vì vậy nếu trên mạngbên ngoài có thêm một dich vụ mới nào đó thì người quản trị tường lửa phải xây dựng chínhsách đại diện thích hợp với dịch vụ đó Có hai nguyên tắc để tạo ra chính sách đại diện mặc

định ở đây đó là hoăc tù’ chối tất cả nhũng thứ không được đại diện, hoặc là chấp nhận tất

cả nhũng dịch vụ không có dịch vụ đại diện trên tường

lửa Nhưng cả hai cách này dều gây ra những nguy cơ

an ninh và bất tiện mới cho hệ thống mạng bên trong tường lửa.

3 Kĩ thuật kiểm tra trạng thái (Stateful packet íĩltering)

Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thông tin trong một lượng lớn các gói dữ liệu Ngoài ra, phải cài đặt từng proxy cho mỗi ứng dụng.Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết

Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về yêu cầu ban đầu, như số hiệu cống, địa chỉ nguồn và đích Cách “nhớ” này được gọi là lưu trạng thái Khi hệ thống bên ngoài phản hồi yêu cầu của bạn, firewall server so sánh các gói nhận được với trạng thái đã lun đế xác định chúng được phép vào hay không

Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đi vào hay đi ra khỏi mạng thì thông tin được đưa vào 1 bảng gọi là bảng “stateíul session flow table”

Bảng này còn được gọi là bảng trạng thái, nó bao gồm những thông tin về địa chỉ nguồn,

địa chỉ đích, địa chỉ cổng, thông tin về số hiệu gói tin TCP và cờ dấu thêm vào mỗi kết nốiTCP hay UDP, các kết nối này đều liên kết với 1 phiên nào đó Thông tin này tạo ra các đốitượng kết nối và do đó các gói tin đi vào hoặc đi ra được so sánh với các phiên trong “bảngphiên có trạng thái” Dữ liệu chỉ được phép đi qua firewall nếu đã tồn tại một kết nối tươngứng xác nhận sự luân chuyển đó

4 Firewall pháo đài phòng ngự (BASTION HOST FIREWALL )

Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào.Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công nhất

Có hai dạng của máy phòng thủ

Pháo đài phòng ngự

4.1 Dạng thứ nhất là máy phòng thủ có hai card mạng

Trong đó có một nối với hệ thống bên trong ( mạng nội bộ ) và card còn lại nối vớibên ngoài mạng Internet Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụngbên trong phải kết nối với tường lửa trước khi làm việc với mạng bên ngoài Với giải phápnày tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòngthủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụngbên trong với mạng bên ngoài

4.2 Dạng thứ hai là máy phòng thủ có một card mạng

Nó được nối trực tiếp đến một hệ riêng biệt trên mạng - proxy server hay gateway mức úng dụng Gateway này cung cấp điều khiển vào ra Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối Kiến trúc screening subnet còn bố sung thêm tầng an toàn đế tách mạngnội bộ với Internet Lý do để làm việc này là tránh cho mạng nội bộ khỏibị tấn côngnếu như bastion host bị đánh sập

"Screened Suhnet"

II Nguyên tắc hoạt động của Firewall

2.1 Co’ chế lọc gói tin (packet ílltering)

Cơ chế lọc gói tin của fírewall cứng như dòng ASA, PIX của CISCO dựa trên hoạtđộng của Access Control List (ACL) hay còn gọi là danh sách điều khiển truy nhập Vậynguyên tắc hoạt động của ACL như thế nào

ACL định nghĩa ra các luật được sử dụng để ngăn chặn các gói tin lưu thông trên mạng Một ACL là tập hợp của nhiều câu lệnh (statements) liên tiếp dùng để so sánh với các thông tin điều khiển trong trường header của gói tin IP, thông qua đó mà thiết bi fírewall thực hiện một trong 2 hành vi là chặn gói tin lại hoặc cho phép đi qua

Danh sách điều khiển truy nhập IP (IP access control lists) khiến bộ định tuyến hủy bỏnhững gói tin dựa trên những tiêu chí đặt ra của người quản trị mạng Mục đích là đế ngănchặn những lun lượng không được phép lun thông trên mạng đó có thể là ngăn chặn kẻphá hoại tấn công vào mạng nội bộ của công ty hay chỉ đơn giản là người sử dụng truynhập vào tài nguyên hệ thống mà họ không nên và không được phép vào ACL luôn đóngvai trò quan trọng trong chiến lược kiểm soát an ninh của công ty

2.2 Một số đặc điểm ACL:

- Gói tin có thể bị lọc khi chúng đi vào hoặc đi vào một cổng, trước khi được định tuyến

- Gói tin có thể bị lọc khi chúng đi ra khỏi một cổng, sau khi được định tuyến

- Từ chối (Deny) là một thuật ngữ dùng để nói rằng gói tin bị chặn lại hay bị lọc(ílltered), còn cho phép (Permit) thì có nghĩa là gói tin không bị lọc mà được phép

đi qua

- Các logic lọc hay thứ tự của các luật lọc được cấu hình trong các danh sách điều khiển truy nhập (ACLs)

- Ket thúc mỗi ACL nếu các lưu lượng đi qua không thỏa mãn một điều kiện nào trong các logic của ACL thì tất cả sẽ bị từ chối tức là sẽ không được phép đi qua cổng đó.

2.3.Phân loại ACL

- Có 2 loại ACL CO’ bản: danh sách điều khiển truy nhập cơ bản và danh sách điều khiển truy nhập mở rộng (Standard ACL và Extended ACL) Standard ACL có cấu trúc

đơn giản dễ thực hiện trong khi đó ExtendedACL có cấu trúc phức tạp và khó thực hiện

hơn

2.3.1 Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control

Lists)

- Chỉ có ngăn chặn gói tin dựa trên thông tin về địa chỉ IP đích (IP source address)

trong trường header của gói tin IP

- Hoạt động của Standard ACL như sau, giả sử là ACL được đặt trên Router 1 với cống

vào của lưu lượng là cống SI còn cống ra là cống EO

Router R1

1 Khi gói tin IP vào cổng Sl, địa chỉ IP nguồn của gói tin đó sẽ được so sánh với các luật

đặt ra trong câu lệnh ACL, liệu rằng ứng với địa chỉ nguồn đó thì gói tin sẽ được phép điqua hay chặn lại

2 Neu có một gói tin nào đó thỏa mãn (phù hợp) điều kiện của một cây lệnh được định

nghĩa trong ACL, thì gói tin sẽ được cho phép đi qua hoặc bị chặn lại

3 Neu không có một sự phù hợp nào xảy ra ở bước 2 thì, lại quay trở lại bước 1 và 2 cho

đến khi tìm được một điều kiện thỏa mãn

4 Neu kiểm tra xong với tất cả các câu lệnh mà vẫn không thỏa mãn với một điều kiện nào

thì gói tin đó sẽ bị tù’ chối (deny)

2.3.2 Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control

Lists)

Extended ACL vừa có những điếm tương tự vừa khác so với Standard ACL Cũngnhư Standard ACL, bạn có thế cho phép áp đặt Extended ACL lên cống theo chiều đi vàohoặc đi ra của gói tin IOS của fírewall cũng so sánh gói tin với các lệnh theo thứ tự lầnlượt của các câu lệnh đó Neu câu lệnh đầu tiên mà thỏa mãn thì nó sẽ dừng việc so sánhvới các lệnh còn lại ở trong list và xác định ngay hành động cần tiến hành với gói tin đó.Tất cả các tính năng này cũng đều giống với cách xử sự của Standard ACL

Điểm khác nhau chủ yếu giữa 2 loại này là extended ACL có thể sử dụng nhiều thông tin điều khiển trong trường header để so sánh hơn là Standard ACL Standard ACL chỉkiểm tra được địa chỉ IP nguồn thì Extended còn sử dụng được thêm cả địa chỉ IP đích, địa chỉ cổng, loại ứng dụng, địa chỉ MAC, loại giao thức Điều này làm cho Extended ACL có thể kiểm tra và lọc được nhiều lưu lượng với độ chính xác và an toàn cao hơn Tuy nhiên nó cũng khó thực hiện hơn vì phức tạp hơn Standard ACL rất nhiều

Phân địa chỉ IP nguôn sử dụng wildcard mark chỉ ra địa chỉ mạng nguồn.

Oưtbound Less

secure

securíty level 0 securtty level 100

Inbound

cấu hình mặc định của các thiết bị fírewall là đối với cổng có chiều đi vào thì mức

an toàn là 100 (đó là mức an toàn cao nhất), còn cổng có chiều đi ra thì mức an toàn là 0(mức an toàn kém nhất) Không có gì an toàn bằng mạng nội bộ và cũng không có gì kém

an toàn hơn là mạng phía ngoài Sau khi cấu hình cơ chế phiên dịch địa chỉ, thì mặc địnhtất cả các giao tiếp theo hướng đi ra còn theo chiều từ nơi có mức an toàn hơn ra đến nơi

có mức an toàn kém hơn còn tất cả các lưu lượng từ nơi có mức an toàn kém hơn đi đếnnơi có mức an toàn cao hơn thì đều bị cấm

Quy tắc xử sự của ACL dựa trên một cống theo 1 chiều, tức là ứng với một cống theo chiều đi ra hoặc đi vào thì áp được 1 ACL

ACL trên cống cho phép hoặc từ chối gói tin khởi tạo theo chiều đi vào hay đi ra trên cổng đó

ACL chỉ cần mô tả gói tin khởi tạo của ứng dụng; không cần biết đến các gói tin quay trở lại của úng dụng đó, điều này dựa trên cơ sỏ của cơ chế bắt tay 3 bước

Neu không có một ACL nào được áp lên một cổng của fírewall thì ở cổng đó sẽ áp dụng chính sách mặc định là:

• Các gói tin đira được cho phép

• ACL sử dụngcâu lệnh “ access-list” để cho phép hoặc chặn lưu lượngtrên mạng Sau đây là những quy tắc để thiết kế và thực hiện các ACL

Khi lưu lượng đi từ vùng có độ an toàn cao hơn sang vùng có độ an toàn thấp hơn thì:

• ACL được dùng để ngăn chặn lưu lượng có chiều đi ra (outbound traffíc)

• Địa chỉ nguồn dùng để so sánh của ACL phải là địa chỉ thực của 1 máy trạm ở trên mạng

Khi đi từ nơi có mức an toàn thấp hơn sang nơi có mức an toàn cao hơn thì:

• ACL sẽ chặn các lưu thông có chiều đi vào (inbound traffíc)

• Địa chỉ đích dùng đế so sánh của câu lệnh ACL phải là địa chỉ được phiên dịch thành địa chỉ IP global tức là địa chỉ có thế sử dụng trên mạng trên Internet.

Có một điều lưu ỷ là: ACL luôn luôn được kiếm tra trước khi thực hiện quá trình phiên dịch địa chỉ trên các thiết bị firewall.

Chức năng phân vừng củafìrewaìì

Hoạt động của lưu lượng HTTP đi vào vùng đệm DMZ

Trên hình vẽ người quản trị mạng cần cho phép người sử dụng trên mạng Internet truy cập vào các máy chủ Web công cộng của công ty Máy chủ Web đó được đặt trên vùng DMZ được ngăn cách với các vùng còn lại trên mạng cục bộ bởi fírewall Theo cấu hình mặc định thì tất cả các truy nhập từ Internet vào các máy chủ trên vùng này đều bị từ chối Đe cấp quyềntruy nhập cho người sử dụng trên Internet, người quản trị phải thực hiện 1 số bước sau:

• Cấu hình phiên dịch địa chỉ tĩnh cho các máy chủ Web, theo cách này thì địa chỉthật của các máy chủ Web sẽ không bị nhìn thấy từ phía người sử dụng trên Internet

• Cấu hình một ACL theo hướng đi vào để cho nó cấp quyền truy nhập vào các máy trạm hay các giao thức nào đó của mạng nội bộ

• Áp ACL lên các cống thích hợp

Cơ chế phiên dịch địa chỉ NAT (Network Address Translation)

DMZ

Ra đời vào năm 1994, NAT đã trở thành một kĩ thuật phô biên đê tiêt kiệm địa chỉ cho các trụ sở văn phòng và cũng là cách để dấu đi topo mạng của mình khi nhìn từ Internet Francisand Egevang đã đưa ra một số khuyến nghị sử dụng về NAT (Request For Comments about NAT).

Ngày nay NAT là công cụ chủ đạo để làm dịu đi sự thiếu thốn địa chỉ IP trên mạng Internet Thông thường thì mạng nội bộ sử dụng các nhóm địa chỉ IP được định nghĩa trong RFC 1918 Vì các địa chỉ này được chỉ định dùng cho mục đích nội bộ hay là các địa chỉ dùng riêng, NAT được đặt ra đế thỏa mãn nhu cầu kết nối trên Internet Đôi lúc NAT được dùng để dành các địa chỉ nội bộ cho doanh nghiệp ví dụ để phòng khi thay đổi nhà cung cấp Internet.NAT cho phép ngăn chặn các mạng phía bên ngoài không học được địa chỉ IP trong mạng nội bộ nằm ở phía sau fírewall NAT làm được điều này bằng cách phiên dịch những địa chỉ IP không có duy nhất trên mạng Internet (địa chỉ IP cục bộ ) thành các địa chỉ duy nhất (địa chỉ Global) được chấp nhận trên Internet trước khi các gói tin được chuyến ra mạng phía bên ngoài

Netvvork Address Translation

NAT

19216810.11