Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đượctích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thôngtin nội bộ và hạn chế sự xâm nhập không
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI
KHOA CNTT
BÁO CÁO BÀI TẬP
LỚNMÔN MẠNG NÂNG CAO
ĐỀ TÀI: TƯỜNG LỬA - FIREWALL
Giáo viên hướng dẫn: Nguyễn Thế Lộc Sinh viên thực hiện:
Trang 2Mở Đầu
Ngày nay khoa học công nghệ phát triển mạnh mẽ ở trình độ cao cả về chiều rộng lẫnchiều sâu Nhu cầu ứng dụng công nghệ cao vào phát triển mọi mặt của đời sống trênphạm vi toàn cầu ngày càng trở nên gay gắt Chúng ta cần cập nhật những thành tựu mới
về khoa học kĩ thuật hiện đại Từ đó nhu cầu trao đổi thông tin không chỉ dừng lại trongphạm vi nhỏ (trong công ty, cơ quan , tổ chức, đoàn thể, ) mà còn mở rộng trong mộtquốc gia, thậm trí là trên toàn cầu Mọi người đa phần trao đổi với nhau thông quaInternet Kết nối vào Internet, sử dụng và khai thác là việc làm quen thuộc của mỗi chúng
ta Nhưng phải làm sao để việc trao đổi thông tin vẫn đảm bảo được tính an toàn
Hiện nay, đảm bảo an toàn trong kết nối với môi trường Internet là vấn đề mà cả thếgiới quan tâm Nhiều giải pháp đã được đề xuất Một trong các giải pháp hữu hiệu nhất
đó chính là Firewall- tường lửa.
Vì chưa có kinh nghiệm trong quá trinh soạn thảo, biên tập cũng như trình bày nêncòn gặp nhiều thiếu sót Vì vậy rất mong thầy cô và các bạn sinh viên bổ sung góp ý đểbài giảng được hoàn thiện hơn Mọi ý kiến có thể gửi về địa chi mai sau:
nguyenthamfit@gmail.com
Hà Nội – 23 – 03 – 2012
Trang 3MỤC LỤC
A Tổng quan về tường lửa (Phụ trách: Nguyễn Thị Thắm)
B Tường lửa Cá nhân (Phụ trách: Bùi Xuân Thanh + Đặng Thị Thu Trang).
C Tường lửa tầng Mạng và tầng Ứng dụng (Phụ trách: Nguyễn Văn Thiều+ Tống Thị Thu Nga)
D Tường lửa có trạng thái và phi trạng thái (Phụ trách: Đào Văn Hùng+ Dương Thị Phương Mai Chi).
E Nguồn tham khảo
Trang 4A Tổng quan về Firewall- Tường lửa.
1 Giới thiệu về Firewall.
Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốc gia Do
đó thông tin là vô giá, chúng ta bằng mọi cách để bảo vệ chúng tránh các mối nguyhiểm , một trong những giải pháp tốt hiện nay là xây dựng Firewall Sử dụng các bứctường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoài đảm bảo được cácyếu tố:
An toàn cho sự hoạt động của toàn bộ hệ thống mạng
Bảo mật cao trên nhiều phương tiện
Khả năng kiểm soát cao
Trang 5bên với firewall, mà thông tin đến và đi từ một máy thuộc nó đến một máy không thuộc
nó đều phải qua firewall đó
Host bên trong (Internal Host) : Máy thuộc mạng nội bộ
Host bên ngoài (External Host) : Máy bất kỳ kết nối vào liên mạng và không thuộcmạng nội bộ nói trên
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngănchặn , hạn chế hỏa hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đượctích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thôngtin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống
Một cách vắn tắt, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoàivào mạng cũng như những kết nối không hợp lệ từ bên trong ra Firewall thực hiện việclọc bỏ những địa chỉ không hợp lệ dựa theo quy tắc hay chỉ tiêu định trước
Firewall là một thiết bị hệ thống phần cứng hoặc phần mềm hoặc kết hợp cả hai.
Tính chất chung của các Firewall là phân biệt địa chỉ IP dựa trên các gói tin hay từ chốiviệc truy nhập bất hợp pháp căn cứ trên địa chỉ nguồn, việc này tương tự với hoạt động
của các bức tường ngăn lửa trong các tòa nhà Tường lửa còn được gọi là Thiết bị bảo
vệ biên giới (Border Protection Device -BPD), đặc biệt trong các ngữ cảnh của NATO,
hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD- một phiên bản Unix của Đạihọc California, Berkeley
Phần cứng:
Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tínhhoặc mạng và cáp hoặc modem DSL Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP)đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa Tường lửa
Trang 6phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mứcbảo mật cao cho một máy tính đơn.
Đối với tường lửa phần cứng, bản thân nó cũng là một Gateway (cổng) Chiếc máytính trong nhà bạn khi kết nối tới router thì router đó sẽ tiếp tục kết nối tới modem chủ,bạn có thể thiết lập router thông qua trình duyệt Web của ISP và thêm các chức năngngăn chặn địa chỉ IP hay bộ lọc Vì thế bộ định tuyến (router) có khả năng bảo mật rấtcao
Nếu bạn chỉ có một máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất
cả các máy tính khác trên mạng được cập nhật các bản diệt miễn phí về virus , worm vàcác mã nguy hiểm khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tườnglửa Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệđiều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công
Tuy nhiên, mặt hạn chế lớn đối với chúng là chi phí, mặc dù vậy nhiều sản phẩmcũng có giá thấp hơn 100$(thậm chí có sản phẩm thấp hơn 50$)
Phần mềm :
Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không cóthì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc cácnhà cung cấp dịch vụ Internet Vì có nhiều rủi ro trong việc download phần mềm từInternet về một máy tính không được bảo vệ nên tốt nhất là bạn nên cài đặt tường lửa từ
CD, DVD hoặc đĩa mềm
Trang 7có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềmmới để làm cho mạng Internet có thể trở lại an toàn.
Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi JeffMogulthuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết đến với têncác tường lửa lọc gói tin Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà saunày sẽ trở thành một tính năng kỹ thuật an toàn mạng được phát triển cao
Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell,Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biết đếnvới tên các tường lửa tầng mạch (circuit level firewall)
Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thínghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửatầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-basedfirewall) Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sảnphẩm thương mại đầu tiên Sản phẩm này đã được Digital Equipment Corporantion’s(DEC) phát hành với tên SEAL Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13
Trang 8 Tại AT&T , Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc góitin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến trúccủa thế hệ tường lửa thứ nhất của mình Năm 1992, Bob Braden và Annette DeSchon tạiĐại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư Sảnphẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểutưởng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn MicrosoftWindows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó Năm 1994, mộtcông ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm nàythành một phần mềm sẵn sàng cho sử dụng, đó là Firewall-1 Một thế hệ thứ hai của cáctường lửa proxy đã được dựa trên công nghệ Kernel Proxy Thiết kế này liên tục được cảitiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng rộng rãitrong cả các hệ thống máy tính gia đình và thương mại Cisco, một trong những công ty
an ninh mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm 1997
Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin bằngcách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập
2 Chức năng.
Chức năng cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùngtin cậy khác nhau Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet(vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao) Mục đích cuốicùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông quaviệc áp dụng một số chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyềntối thiểu (principle of least privilege)
Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vàoIntranet)
Theo dõi luồng dữ liệu mạng giữa Intranet và Internet
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
Kiểm soát người sử dụng và việc truy nhập của người sử dụng Kiểm soát nội dungthông tin lưu chuyển trên mạng
3 Lý do sử dụng tường lửa.
Mạng Internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của nó rấtlớn Tuy nhiên cũng có rất nhiều ngoại tác không mong muốn đối với các cá nhân là
Trang 9cha mẹ hay tổ chức, doanh nghiệp, cơ quan nhà nước, như các trang web không phùhợp lứa tuổi , nhiệm vụ, lợi ích, đạo đức, pháp luật hoặc trao đổi thông tin bất lợi cho
cá nhân, doanh nghiệp, Do vậy họ sử dụng tường lửa để ngăn chặn
Một lý do khác là một số quốc gia theo chế độ độc tài, độc đảng áp dụng tường lửa đểngăn chặn quyền trao đổi, tiếp cận thông tin của công dân nước mình không cho họtruy cập vào các trang web hoặc trao đổi với bên ngoài, điều mà nhà cầm quyền chorằng không có lợi cho chế độ đó
Ngăn chặn các ngoại tác không mong muốn Ngăn chặn các truy cập trái phép, cáccuộc tấn công lấy cắp dữ liệu, đánh sập mạng máy tính của hacker
Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mã nguy hiểmhoặc lưu lượng Internet không cần thiết vào máy tính hay mạng Tường lửa thực sựrất quan trọng đối với những quốc gia, tổ chức, cơ quan, công ty thường xuyên kết nốiInternet
4 Phương thức hoạt động chung.
Để ngăn chặn các trang web không mong muốn, các trao đổi thông tin không mongmuốn người ta dùng cách lọc các địa chỉ web không mong muốn mà họ đã tập hợpđược hoặc lọc nội dung thông tin trong các trang thông qua các từ khóa để ngăn chặnnhững người dùng không mong muốn truy cập vào mạng và cho phép người dùng hợp
lệ thực hiện việc truy xuất
Bức tường lửa có thể là một thiết bị định hướng (Router, một thiết bị kết nối giữa haihay nhiều mạng và chuyển các thông tin giữa các mạng này) hay trên một máy chủ(Server), bao gồm phần cứng hoặc phần mềm nằm giữa hai mạng (chẳng hạn mạngInternet) và mạng liên kết các gia đình , điểm kinh doanh Internet , tổ chức, công ty,
hệ thống Ngân hàng, cơ quan nhà nước
Cơ quan nhà nước có thể lập bức tường lửa ngay từ cổng Internet quốc gia hoặc yêucầu các nhà cung cấp dịch vụ đường truyền (IXP) và cung cấp dịch vụ Internet (ISP)thiết lập hệ thống tường lửa hữu hiệu hoặc yêu cầu các đại lý kinh doanh Internet thựchiện các biện pháp khác
5 Các thành phần.
Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Bộ lọc gói tin (packet- filtering router)
Cổng ứng dụng (application- level gateway hay proxy server)
Cổng vòng (circuite level gateway)
5.1 Bộ lọc gói tin (packet- filtering router).
Trang 10a Nguyên lý.
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì
điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP Vì giao thức
này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trênmạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP,DNS, SMNP, NFS, ) thành các gói dữ liệu (data pakets) rồi gán cho các packet nàynhững địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loạiFirewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộđoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệcủa lọc packet hay không Các luật lệ lọc packet này dựa trên các thông tin ở đầu mỗipacket (packet header), dùng để cho phép truyền các packet đó ở trên mạng
Đó là:
Địa chỉ IP nơi xuất phát (IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP (ICMP message type)
Giao diện packet đến (incomming interface of packet)
Giao diện packet đi (outcomming interface of packet)
Nếu luật lệ lọc packet được thỏa mãn thì packet được chuyển đi qua Firewall Nếukhông packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào cácmáy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạngnội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm choFirewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào
đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP, ) được phép mới chạy đượctrên hệ thống mạng cục bộ
b Ưu điểm.
Đa số các hệ thống Firewall đều sử dụng bộ lọc packet Một trong những ưu điểm củaphương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồmtrong mỗi phần mềm router
Ngoài ra , bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng , vì vậy
nó không yêu cầu sự huấn luyện đặc biệt nào cả
c Nhược điểm.
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp, đòi hỏi người quảntrị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, vàcác giá trị cụ thể có thể nhận trên mỗi trường
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soátđược nội dung thông tin của packet Các packet chuyển qua vẫn có thể mang theonhững hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu
Trang 115.2 Cổng ứng dụng(application- level gateway hay proxy server).
a Nguyên lý.
Một dạng phổ biến là Firewall dựa trên ứng dụng application-proxy Loại này hoạtđộng hơi khác với Firewall dựa trên bộ định tuyến lọc gói tin Application gatewaydựa trên cơ sở phần mềm Khi một người dùng không xác định kết nối từ xa vàomạng chạy application gateway, gateway sẽ ngăn chặn kết nối từ xa này
Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối theo những quy tắcđịnh trước Nếu thỏa mãn các quy tắc, gateway sẽ tạo cầu nối (bridge) giữa trạmnguồn và trạm đích
Cầu nối đóng vai trò trung gian giữa hai giao thức Ví dụ, trong một mô hình gatewayđặc trưng, gói tin theo giao thức IP không được chuyển tiếp tới mạng cục bộ, lúc đó
sẽ hình thành quá trình dịch mà gateway đóng vai trò bộ phiên dịch
b Ưu điểm
Ưu điểm của Firewall application gateway là không phải chuyển tiếp IP Quan trọnghơn, các điều khiển thực hiện ngay trên kết nối Sau cùng, mỗi công cụ đề cung cấpnhững tính năng thuận tiện cho việc truy nhập mạng
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi
vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhậpđược bởi các dịch vụ
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào chophép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là cácdịch vụ ấy bị khóa
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lạithông tin về truy nhập hệ thống
Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộlọc packet
c Nhược điểm.
Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật (proxy application )phải được tạo ra cho từng dịch vụ mạng Như vậy một ứng dụng dùng cho Telnet, ứngdụng khác dùng cho HTTP,
Trang 12 Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máyclient cho truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổngứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi Tuynhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng làtrong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụngtrên lệnh Telnet.
Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉ không xác định
sẽ không thể tới máy tính trong mạng của bạn, do đó hệ thống application gateway có
độ bảo mật cao hơn
5.3 Cổng vòng (circuite level gateway).
- Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng(application gateway) Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP
mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào
Ví dụ: Cổng vòng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thựchiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào Cổng vòng làm việcnhư một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và cáckết nối bên ngoài (outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệthống Firewall, nên nó che dấu thông tin về mạng nội bộ
- Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trịmạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastionhost có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kếtnối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thống Firewal dễ dàng
sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụInternet, trong khi vẫn cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những
sự tấn công bên ngoài
6 Phân loại
Có ba loại tường lửa cơ bản:
- Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng
- Truyền thông được chặn tại tầng mạng, hay tầng ứng dụng
- Tường lửa có theo dõi trạng thái của truyền thông hay không
Phân loại theo phạm vi của các truyền thông trông được lọc, có các loại sau:
Trang 13- Tường lửa cá nhân, một ứng dụng phần mềm với chức năng thông thường là lọc dữliệu ra vào một máy tính đơn.
- Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặttại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung giangiữa mạng nội bộ và mạng bên ngoài) Một tường lửa mạng tương ứng với ý nghĩatruyền thông của thuật ngữ “tường lửa” trong ngành mạng máy tính
Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba loại tường lửa chính:
- Tường lửa tầng mạng Ví dụ Iptables
- Tường lửa tầng ứng dụng Ví dụ TCP Wrappers
- Tường lửa ứng dụng Ví dụ: hạn chế các dịch vụ FTP bằng việc định cấu hình tại tệp /etc/ ftpaccess
- Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc
dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặtchung cả hai
Cuối cùng , nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa:
- Tường lửa có trạng thái (Stateful firewall)
- Tường lửa phi trạng thái (Stateless firewall)
7 Hạn chế Firewall.
- Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin
và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sự xâm nhậpcủa những nguồn thông tin không mong muốn nhưng không phải xác định rõ cácthông số địa chỉ
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “điqua” nó Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ mộtđường dial-up , hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩamềm
- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadriven attack).Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trongmạng được bảo vệ và bắt đầu hoạt động ở đây
- Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trêncác dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của cácvirus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soátcủa firewall
- Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi
8 Firewall có dễ phá hay không ?
Câu trả lời là không Lý thuyết không chứng minh được có khe hở trên Firewall, tuynhiên thực tiễn thì lại có Các hacker đã nghiên cứu nhiều cách phá Firewall Quátrình phá Firewall gồm hai giai đoạn:
Trang 14 Đầu tiên phải tìm ra dạng Firewall mà mạng sử dụng cùng các loại dịch vụ hoạt độngphía sau nó.
Tiếp theo là phát hiện khe hở trên Firewall đó, giai đoạn này thường khó khăn hơn.Theo nghiên cứu của các hacker, khe hở trên Firewall tồn tại là do lỗi định cấu hìnhcủa người quản trị hệ thống, sai sót này cũng không hiếm khi xảy ra Người quản trịphải chắc chắn sẽ không có bất trắc cho dù sử dụng hệ điều hành (HĐH) mạng nào,đây là cả một vấn đề nan giải
Trong các mạng UNIX, điều này một phần là do HĐH UNIX quá phức tạp, có tớihàng trăm ứng dụng, giao thức và lệnh riêng Sai sót trong xây dựng Firewall có thể
do người quản trị mạng không nắm vững về TCP/IP
Một trong những việc phải làm của các hacker là tách các thành phần thực ra khỏi cácthành phần giả mạo Nhiều Firewall sử dụng trạm hy sinh (sacrificial hosts)là hệthống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy(decoys), dùng
để bắt các hành vi thâm nhập của hacker Bẫy có thể cần dùng tới những thiết bị ngụytrang phức tạp nhằm che dấu tính chất thật của nó, ví dụ: đưa ra câu trả lời tương tự
hệ thống tập tin hay các ứng dụng thực Vì vậy, công việc đầu tiên của hacker là phảixác định đây là các đối tượng tồn tại thật
Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả năng phục vụmail và các dịch vụ khác Hacker sẽ tìm cách để nhận được một thông điệp đến từ bêntrong hệ thống, khi đó, đường đi được kiểm tra và có thể tìm ra những manh mối vềcấu trúc hệ thống
Ngoài ra, không Firewall nào có thể ngăn cản việc phá hoại từ bên trong Nếu hackertồn tại ngay trong nội bộ tổ chức , chẳng bao lâu mạng của bạn sẽ bị hack Thực tế đãxảy ra với một công ty dầu lửa lớn: một tay hacker trà trộn vào đội ngũ nhân viên vàthu thập những thông tin quan trọng không chỉ về mạng mà còn về các trạm Firewall
9 Một số mô hình Firewall.
9.1 Packet- Filtering Router (Bộ trung chuyển có lọc gói).
- Hệ thống Internet Firewall phổ biến nhất chỉ bao gồm một packet- filtering router đặtgiữa mạng nội bộ và Internet Một packet-filtering router có hai chức năng : chuyểntiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từchối truyền thông
- Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nội bộ đượcquyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một sốgiới hạn các truy nhập vào các máy tính trên mạng nội bộ Tư tưởng của mô cấu trúcFirewall này là tất cả những gì không được chỉ ra rõ ràng là cho phép thì có nghĩa là
bị từ chối
Trang 15a.Ưu điểm:
- Giá thành thấp, cấu hình đơn giản
- Trong suốt (transparent) đối với user
b Nhược điểm:
- Có rất nhiều hạn chế đối với một packet –filtering router, như là dễ bị tấn công vàocác bộ lọc mà cấu hình được đặt không hoàn toàn, hoặc là bị tấn công ngầm dướinhững dịch vụ đã được phép
- Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bịtấn công quyết định bởi số lượng các host và dịch vụ được phép Điều đó dẫn đến mỗimột host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệthống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem códấu hiệu của sự tấn công nào không
- Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động , tất cả hệthống trên mạng nội bộ có thể bị tấn công
9.2 Mô hình Screened Host Firewall.
Hệ thống này bao gồm một packet-filtering router và một basion host Hệ thống nàycung cấp độ bảo mật cao hơn hệ thống trên , vì nó thực hiện cả bảo mật ở tầngnetwork (packet-filtering) và ở tầng ứng dụng (application level) Đồng thời , kẻ tấncông phải phá vỡ cả hai tầng bảo mật để tấn công vào mạng nội bộ
Trong hệ thống này, basion host được cấu hình ở trong mạng nội bộ Quy luậtfiltering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống ở bênngoài chỉ có thể truy nhập bastion host Việc truyền thông tới tất cả các hệ thống bêncùng một mạng, chính sách bảo mật của một số tổ chức sẽ quyết định xem các hệthống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sửdụng dịch vụ proxy trên basion host Việc bắt buộc những user nội bộ được thực hiệnbằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thôngnội bộ xuất phát từ basion host
Trang 16Ưu điểm.
Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trênpacket-filtering router và basion Trong trường hợp yêu cầu độ an toàn cao nhất,basion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoàitruy cập qua basion host trước khi nối với máy chủ Trong trường hợp không yêu cầu
độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ
Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống Firewall dual-homed (haichiều) bastion host Một hệ thống bastion host như vậy có hai giao diện mạng(network interface), nhưng khi đó khả năng truyền thông trực tiếp giữa hai giao diệnqua dịch vụ proxy là bị cấm
Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet,
sự tấn công cũng chỉ giới hạn đến bastion host mà thôi Truy nhiên, nếu được user log
on được vào basion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ Vì vậycần phải cấm không cho user logon vào bastion host
9.3.Mô hình Demilitarized Zone (DMZ- khu vực phi quân sự ) hay Screened- subnet Firewall.
Hệ thống bao gồm hai packet-filtering router và một bastion host Hệ có độ an toàncao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩamột mạng “phi quân sự” Mạng DMZ đóng vai trò như một mạng nhở, cô lập đặt giữaInternet và mạng nội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trênInternet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trênmạng DMZ , và sự truyền trực tiếp qua mạng DMZ là không thể được
Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giảmạo địa chỉ IP), và điều khiển truy nhập tới DMZ Hệ thống chỉ cho phép bên ngoàitruy nhập vào bastion host Router trong cung cấp sự bảo vệ thứ hai bằng cách điềukhiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastionhost
Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ Nóchỉ cho phép các hệ thống trên trong truy nhập bastion host và có thể cả informationsever Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cáchchỉ cho phép thông tin ra bắt nguồn từ bastion host