ỨNG DỤNG CÁC PHƯƠNG PHÁP LUẬN SÁNG TẠO TRONG VIỆC THIẾT KẾ FIREWALL

ỨNG DỤNG CÁC PHƯƠNG PHÁP LUẬN SÁNG TẠO TRONG VIỆC THIẾT KẾ FIREWALL

ĐẠI HỌC QUỐC GIA TPHCM

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TINKHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

Mục Lục

LỜI CẢM ƠN 3

LỜI CẢM ƠN

Đầu tiên, em xin chân thành cám ơn thầy Hoàng Kiếm đã truyền đạt cho chúng em những kiến thức quý báu trong môn Phương pháp luận sáng tạo

khoa học để chúng em hoàn thành đề tài này.

Em cũng xin gửi lời cám ơn chân thành đến các thầy cô trong trường Đại Học Công Nghệ Thông Tin đã tận tình giúp đỡ chúng em trong thời gian học vừa qua.

Do kiến thức có hạn, nên bài làm của em không tránh khỏi thiếu sót, rất mong nhận được sự đóng góp quí báu của các thầy cô.

TpHCM, ngày 2 tháng 1 năm 20010Lớp MMT01

Sinh viên thực hiện

Lê Quí Kỵ

I Tổng quan

Tại sao cần có firewall?

Sự bùng nổ của Công nghệ Thông tin (CNTT) hiện nay đã và đang ảnh hưởng sâu rộng tới mọi lĩnh vực của cuộc sống Tuy nhiên, song song với việc bùng nổ của CNTT đó, càng ngày càng có nhiều tin tặc (hacker), kẻ xấu muốn lợi dụng các sơ hở của cá nhân, doanh nghiệp để lấy thông tin nhằm mục đích bất chính Do đó, việc xây dựng giải pháp bảo mật mạng máy tính là một công việc hết sức cần thiết nhằm bảo mật toàn diện cho doanh nghiệp để giảm thiểu các rủi ro có thể xảy ra cho hệ thống mạng máy tính của doanh nghiệp.

Nghiên cứu mới đây nhất của Symantec trong bản báo cáo về các mối đe dọa bảo mật mạng (ISTR) thứ 14 của hãng đã khẳng định:

• Các mối đe dọa bảo mật mạng ngày càng tăng, các cuộc tấn công, xâm nhập bất hợp pháp tiếp tục phát triển.

• Bản báo cáo cũng cho thấy duyệt web vẫn là một trong những nguyên nhân chủ đạo gây ra những phát tán và lây nhiễm virus trên mạng trong năm 2008 và 2009 Hacker ngày nay tận dụng ngày càng nhiều những công cụ sinh mã độc hại khác nhau để phát triển và phát tán những mối đe doạ.

• Các hacker tấn công và xâm nhập bất hợp pháp chủ yếu nhắm tới những thông tin quan trọng từ máy tính người dùng cá nhân hoặc các tổ chức, công ty Việc này dẫn đến những hậu quả rất nghiêm trọng Vì thế, bảo mật không chỉ là sự quan tâm của tất cả các doanh nghiệp, dịch vụ tài chính hay chính phủ mà còn là vấn đề mà bất kỳ ai cũng phải đối mặt và chú ý, từ người dùng máy tính để bàn bình thường trong các phòng nghiên cứu đến các quản

trị viên đang làm việc cho công ty lớn, tất cả đều hướng đến vấn đề an ninh mạng.

Từ những nghiên cứu của Symantec ở trên thì chúng ta dễ dàng nhận thấy virus, hacker đang là mối đe dọa với hệ thống mạng trên toàn thế giới, do vậy việc bảo mật là vấn đề cấp thiết nhất trong lúc này.

Firewall là gì:

Một cách vắn tắt, tường lửa (firewall) là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng Tường lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.

Tính chất chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc truy nhập không hợp pháp căn cứ trên địa chỉ nguồn và địa chỉ đích.

II Ý tưởng

Một trong những ý tưởng chính của tường lửa là che chắn cho mạng của bạn khỏi tầm nhìn của những người dùng bên ngoài không được phép kết nối Quá trình này thực thi các chỉ tiêu lọc bỏ do người quản trị ấn định.

Trên lý thuyết, tường lửa là phương pháp bảo mật an toàn nhất khi mạng của bạn có kết nối Internet Tuy nhiên, vẫn tồn tại các vấn đề xung quanh môi trường bảo mật này Nếu tường lửa được cấu hình quá chặt chẽ, tiến trình làm việc của mạng sẽ bị ảnh hưởng, đặc biệt trong môi trường người dùng phụ thuộc hoàn toàn vào ứng dụng phân tán Do tường lửa thực thi từng chính sách bảo mật chặt chẽ nên nó có thể bị sa lầy Tóm lại, cơ chế bảo mật càng chặt chẽ bao nhiêu, thì tính năng càng bị hạn chế bấy nhiêu.

Một vấn đề khác của tường lửa tương tự như việc xếp trứng vào rổ Do là rào chắn chống kết nối bất hợp pháp nên một khe hở cũng có thể dễ dàng

phá huỷ mạng của bạn Tường lửa duy trì môi trường bảo mật, trong đó nó đóng vai trò điều khiển truy nhập và thực thi sơ đồ bảo mật Tường lửa thường được mô tả như cửa ngõ của mạng, nơi xác nhận quyền truy nhập Tuy nhiên điều gì sẽ xảy ra khi nó bị vô hiệu hoá? Nếu một kỹ thuật phá tường lửa được phát hiện, cũng có nghĩa người vệ sĩ bị tiêu diệt và cơ hội sống sót của mạng là rất mỏng manh.

III. Ứng dụng các phương pháp luận sáng tạo khoa học trong quá trình thiết kế firewall

Một firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

- Bộ lọc packet (paket filtering router)

- Cổng ứng dụng (application level gateway hay proxy server)

- Cổng mạch (cicuite level gateway)

Như vậy, ngay tại bước đầu tiên trong quá trình thiết kế firewall, ta sẽ áp dụng ngay nguyên tắc “phân nhỏ”, không chỉ đơn giản ở việc chia ra các thành phần chính của một firewall mà còn những vấn đề sâu bên trong mỗi thành phần này, nguyên tắc “phân nhỏ” sẽ được sử dụng rất nhiều Ngoài ra, nếu tinh ý, ta cũng dễ dàng thấy được một nguyên tắc khác sẽ được sử dụng, đó là nguyên tắc “kết hợp” Chính nhớ nguyên tắc “kết hợp” chúng ta sẽ có được một firewall hoàn chỉnh và có đầy đủ các chức năng cần thiết, cũng như các chức năng hỗ trợ nâng cao (nếu có).

1 Bộ lọc gói tin (Packet filtering router):

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là

các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng Đó là:

• Địa chỉ IP nơi xuất phát ( IP Source address)

• Địa chỉ IP nơi nhận (IP Destination address)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

• Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

• Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

• Dạng thông báo ICMP ( ICMP message type)

• Giao diện packet đến ( incomming interface of packet)

• Giao diện packet đi ( outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ.

Ở đây, ngoài nguyên tắc “phân nhỏ”, chúng ta tiếp tục ứng dụng một nguyên tắc khác trong quá trình lọc gói tin, đó là nguyên tắc “quan hệ phản hồi” Nhờ ứng dụng nguyên tắc này, bộ lọc gói tin mới có thể nhận biết và thực hiện hành động ngăn cản / cho phép các kết nối truy cập vào máy chủ hay hệ thống mạng nào đó.

2 Cổng ứng dụng (application-level gateway):

Đây là một loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service (dịch vụ đại diện) Proxy service là các bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt chương trình proxy cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị

mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:

 Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall.

 Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng

cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.

 Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card.

 Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.

 Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.

 Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề.

Phương pháp tiếp theo được nhắc đến là nguyên tắc “sử dụng trung gian” Ý tưởng chính của phương pháp này khá dễ hiểu và đã được giải thích hầu như trọn vẹn bởi các ý trên Proxy là một “trung gian”, và mọi truy cập đều phải thông qua proxy nhằm đảm bảo tính an toàn cho hệ thống mạng.

3 Cổng vòng (circuit-Level Gateway):

Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào

Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi Điều

này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.

Nguyên tắc “linh động” đã được áp dụng khi người thiết kế nghĩ ra việc sử dụng circuit-Level Gateway, chức năng này được tạo ra nhằm giảm thiểu tính “cứng nhắc” của một firewall thông thường.

IV Kết luận

Trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc vá các lỗ hổng về bảo mật, chính điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng bao gồm các cách phòng tránh và các phương pháp bảo mật mạng một cách an toàn nhất để giữ vững an toàn thông tin của hệ thống Không những thế, người dùng cá nhân cũng phải đề phòng cảnh giác và phải xây dựng phương án bảo mật tối ưu nhằm tránh các rủi ro bị đánh cắp dữ liệu và firewall là một sự lựa chọn thông minh.

Đặc điểm chung khi giải quyết một bài toán lớn đó là chia nhỏ bài toán lớn thành các bài toán con, dùng các phương pháp luận sáng tạo để giải quyết các bài toán con, cũng như để giải quyết các vấn đề phát sinh khi giải quyết bài toán con, kết hợp các bài toán con để giải quyết bài toán lớn

Công nghệ thông tin là lĩnh vực phát triển rất nhanh, đòi hỏi con người phải học tập, nghiên cứu liên tục Đồng thời còn đòi hỏi sự sáng tạo để tạo sự bứt phá trong công nghệ Chính vì thế, việc ghi nhớ và áp dụng các phương

pháp sáng tạo trong lĩnh vực tin học sẽ giúp ích rất nhiều cho công việc học tập và nghiên cứu về lĩnh vực này.