1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu về tường lửa áo dụng với các sản phẩm tường lửa

32 299 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 32
Dung lượng 1,69 MB

Nội dung

Trang 1 MỤC LỤC MỤC LỤC 1 DANH MỤC HÌNH VẼ 3 LỜI MỞ ĐẦU 4 CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH 5 I.1. Các nguy cơ đe dọa hệ thống mạng máy tính 5 II.2. Các hình thức tấn công mạng phổ biến 7 II.2.1. Tấn công trực tiếp 7 II.2.2. Nghe trộm 7 II.2.3. Giả mạo địa chỉ 7 II.2.4. Vô hiệu hoá các chức năng của hệ thống (denial of service) 8 II.2.5. Tấn công vào yếu tố con người 8 CHƯƠNG II: TƯỜNG LỬA VÀ CÁC CÔNG NGHỆ TƯỜNG LỬA 9 II.1 Tường lửa là gì? 9 II.1.1. Định nghĩa 9 II.1.2. Chức năng 9 II.1.3. Ưu điểm của tường lửa 10 II.1.4. Hạn chế của tường lửa 10 II.2. Các công nghệ tường lửa 10 II.2.1. Bộ lọc gói tin 11 II.2.1.1. Nguyên lý hoạt động 11 II.2.1.2. Ưu điểm 13 II.2.1.3. Hạn chế 13 II.2.2. Cổng chuyển mạch 14 II.2.3. Cổng ứng dụng 15 Trang 2 II.2.3.1. Nguyên lý hoạt động 15 II.2.3.2. Ưu điểm 16 II.2.3.3. Hạn chế 17 II.2.4. Công nghệ Stateful Inspection 17 II.3. Một số tường lửa sử dụng công nghệ Stateful Inspection 18 II.3.1. Tường lửa của Check Point 18 II.3.2. Tường lửa của Cisco 19 II.3.3. Tường lửa của Netscreen 20 CHƯƠNG III: ỨNG DỤNG TƯỜNG LỬA VPN-1 CỦA CHECK POINT ĐỂ BẢO VỆ MẠNG VÀ PHÒNG CHỐNG TẤN CÔNG 22 III.1. Giới thiệu chung về tường lửa VPN-1 22 III.2. Một số khái niệm cơ bản 22 III.3. Ứng dụng tường lửa VPN-1 của Check Point 25 III.3.1. Cho phép dải địa chỉ trong Internal ra Internet 25 III.3.2. Cấm máy SmartConsole truy nhập ra ngoài Internet 26 III.3.2. Ngăn chặn tấn công dựa vào lỗ hổng Slowloris HTTP DoS của Apache 27 KẾT LUẬN 31 TÀI LIỆU THAM KHẢO 32 Trang 3 DANH MỤC HÌNH VẼ Hình 1: Sơ đồ chức năng hệ thống của tường lửa 10 Hình 2: Sơ đồ làm việc của Packet Filtering 11 Hình 3: Các lớp OSI được bộ lọc gói tin sử dụng 12 Hình 4: Cổng chuyển mạch 14 Hình 5: Các lớp sử dụng trong công nghệ Proxy service 15 Hình 6: Tường lửa Check Point VPN-1 trong hệ thống mạng 19 Hình 7: Tường lửa Cisco PIX trong hệ thống mạng 20 Hình 8: Tường lửa NetScreen trong hệ thống mạng 20 Hình 9: Ví dụ về tập luật 23 Hình 10: Luật Cleanup 24 Hình 11: Luật Stealth 24 Trang 4 LỜI MỞ ĐẦU An toàn thông tin trên mạng máy tính là một lĩnh vực rộng lớn, nó bao gồm tất cả các kỹ thuật, các phương pháp, phương tiện bảo vệ thông tin. Nó liên quan đến các kiến thức về khoa học mật mã, công nghệ mạng, các ứng dụng trên mạng. Bước đầu tiên và cũng là bước hiệu quả nhất cần nghĩ đến đó là đưa các kỹ thuật, các ứng dụng công nghệ vào vấn đề bảo vệ an toàn thông tin. Bài giảng này không đề cập đến tất cả các phương pháp bảo vệ thông tin mà chỉ quan tâm chủ yếu đến giải pháp bảo mật thông tin sử dụng tường lửa – một biện pháp đầu tiên cần phải thực hiện khi cần bảo vệ thông tin. Bài giảng này cung cấp những kiến thức cơ bản về tường lửa, các công nghệ tường lửa và qua đó cũng giới thiệu qua về một số hãng sản xuất tường lửa nổi tiếng nhất hiện này: Check Point, Cisco, Juniper. Đặc biệt, bài giảng còn đưa ra một số ứng dụng thực tiễn với sản phẩm tường lửa của Check Point – VPN-1 để minh chứng về lợi ích của tường lửa, tính hiệu quả của tường lửa trong vấn đề chống tấn công mạng. Nội dung của bài giảng được chia thành 3 chương như sau: Chương I: Tổng quan về vấn đề an toàn thông tin trên mạng máy tính Trình bày về các mối đe dọa có thể xảy đến đối với hệ thống thông tin. Các mối đe dọa đó có thể ảnh hưởng đến tính bí mật, tính toàn ven, tính sẵn sàng của thông tin. Chương II: Tường lửa và các công nghệ tường lửa Trình bày khái niệm tường lửa, chức năng cũng như các công nghệ tường lửa. Đặc biệt chương này còn nói về công nghệ Stateful Inspection – một công nghệ tường lửa tiên tiến nhất hiện nay và đưa ra một số ứng dụng điển hình sử dụng công nghệ Stateful Inspection của một số hãng nổi tiếng: Check Point, Cisco, Juniper. Chương III: Ứng dụng tường lửa VPN-1 của Check Point để bảo vệ mạng và phòng chống tấn công Chương này là chương ứng dụng thực tế, sử dụng tường lửa VPN-1 của Check Point để cho phép cũng như hạn chế truy nhập và ngăn chặn tấn công. Hà nội, tháng 10 năm 2009 Phạm Minh Thuấn Trang 5 CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH An toàn thông tin là một nhu cầu rất quan trọng đối với các cá nhân cũng như các tổ chức xã hội và các quốc gia trên thế giới. An toàn thông tin cần thiết trong mọi lĩnh vực đặc biệt là hệ thống mạng, hệ thống Internet. Từ khi ra đời cho đến nay, mạng và Internet đã là món ăn tinh thần không thể thiếu cho bất kỳ người sử dụng nào, bởi lẽ sự tiện dụng cũng như hiệu quả đến thần kỳ của nó. Thế nhưng bên cạnh mặt tiện lợi, người sử dụng cũng luôn phải đối mặt với các hiểm họa do thông tin trên mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính đang là vấn đề được đặc biệt quan tâm đồng thời cũng là một công việc hết sức khó khăn và phức tạp. Chương này trình bày về các nguy cơ đe dọa hệ thống thông tin và các hình thức tấn công phổ biến trên mạng hiện nay. I.1. Các nguy cơ đe dọa hệ thống mạng máy tính Trong thời gian gần đây, số vụ xâm nhập trái phép vào các hệ thống thông tin qua mạng ngày càng tăng. Có nhiều nguyên nhân dẫn đến việc các hệ thống mạng bị tấn công nhiều hơn, trong số những nguyên nhân chính có thể kể đến là các lỗ hổng trong hệ điều hành, trong các ứng dụng thương mại điện tử, và những nguyên nhân xuất phát từ sự mất cảnh giác của người dùng, chủ ý của kẻ phá hoại…, tạo nên những nguy cơ mất an toàn thông tin. Cũng cần lưu ý rằng những nguy cơ mất an toàn mạng không chỉ do tấn công từ bên ngoài mà một phần lớn lại chính là từ nội bộ: nhân viên bất mãn, sai sót của người sử dụng, ý thức bảo mật kém,… Trung tâm nghiên cứu an ninh X-Force của IBM đã công bố báo cáo giữa năm về tình hình an ninh mạng 2009. Báo cáo cho thấy tình trạng mất an ninh chưa từng thấy liên quan đến web thông qua các thống kê về lỗ hổng an ninh, các tấn công nhằm vào client, vào ứng dụng web: Trang 6 Số lượng các lỗ hổng an ninh được phát hiện trong nửa đầu năm 2009 không thua kém so với năm 2007, 2008 thậm chí còn có phần nhiều hơn. Đặc biệt là trong ứng dụng Web, số lượng các lỗ hổng tăng lên hàng năm, nhất là các điểm yếu về SQL Injection và ActiveX. Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, như các tấn công DoS (Denial of Service – Tấn công từ chối dịch vụ), có những lỗ hổng ảnh hưởng nghiêm trọng tới toàn bộ hệ thống, cho phép người sử dụng bên ngoài truy nhập bất hợp pháp vào hệ thống và chiếm quyền điều khiển hệ thống, như lỗ hổng RPC DCOM trong Windows, lỗ hổng Cross-Site Scripting trong ứng dụng Web Trang 7 II.2. Các hình thức tấn công mạng phổ biến Có rất nhiều các lỗ hổng trong hệ điều hành, trong ứng dụng Web hay trong các tài liệu văn bản do đó cũng có rất nhiều kiểu tấn công nhằm khai thác các lỗ hổng đó. Dưới đây là một vài phương pháp tấn công thường xảy ra vào hệ thống, vào ứng dụng và dịch vụ: II.2.1. Tấn công trực tiếp Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò cặp tên người sử dụng-mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, kẻ tấn công có thể dễ dàng sử dụng phần mềm để tìm ra mật khẩu trong các tài khoản hợp lệ. Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator). II.2.2. Nghe trộm Nghe trộm thông tin trên mạng có thể đưa lại cho kẻ tấn công những thông tin có ích như tên-mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép ghi lại các gói tin đi qua card mạng (Network Interface Card - NIC). Những thông tin này cũng có thể dễ dàng lấy được trên Internet. II.2.3. Giả mạo địa chỉ Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một Trang 8 mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. II.2.4. Vô hiệu hoá các chức năng của hệ thống (denial of service) Đây là kểu tấn công nhằm làm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này rất khó có thể thể ngăn chặn, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác. II.2.5. Tấn công vào yếu tố con người Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ. Trang 9 CHƯƠNG II: TƯỜNG LỬA VÀ CÁC CÔNG NGHỆ TƯỜNG LỬA II.1 Tường lửa là gì? II.1.1. Định nghĩa Thuật ngữ tường lửa (Firewall) có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, tường lửa là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu rằng tường lửa là một cơ chế để bảo vệ mạng tin cậy (trusted network) khỏi các mạng không tin cậy (untrusted network). Tường lửa có thể là thiết bị phần cứng hoặc phần mềm nằm ở vành đai mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet. Nó thực hiện vai trò bảo mật các thông tin cho hệ thống mạng Intranet từ thế giới Internet bên ngoài. II.1.2. Chức năng Tường lửa là một thành phần đặt giữa Intranet và Internet để kiểm soát tất cả các việc lưu thông và truy cập giữa chúng với nhau bao gồm:  Tường lửa quyết định những người nào, dịch vụ nào từ bên trong được phép truy cập ra bên ngoài và cả những dịch vụ nào từ bên ngoài được phép truy cập vào bên trong.  Triển khai giám sát các sự kiện an ninh mạng: Các hệ thống cảnh báo, IDS & IPS có thể triển khai trên hệ thống tường lửa.  Triển khai một vài chức năng trên nền tường lửa: NAT, thống kê, logs  Để tường lửa làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và ngược lại đều phải thực hiện thông qua Firewall. Sơ đồ chức năng hệ thống của tường lửa: Trang 10 Hình 1: Sơ đồ chức năng hệ thống của tường lửa II.1.3. Ưu điểm của tường lửa Tường lửa là một điểm quan trọng trong chính sách kiểm soát truy nhập. Nó là “cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọi cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, giao thức… Tường lửa có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra. Nhìn chung, tường lửa có rất nhiều các ưu điểm như:  Bảo vệ hệ thống chống lại những kẻ đột nhập qua khả năng ngăn chặn những phiên làm việc từ xa (remote login).  Ngăn chặn thông tin từ bên ngoài vào trong mạng được bảo vệ, trong khi cho phép người sử dụng hợp pháp được truy cập tới mạng bên ngoài. II.1.4. Hạn chế của tường lửa Bên cạnh ưu điểm, tường lửa còn có 1 số hạn chế như:  Tường lửa không thể chống lại các tấn công vòng qua tường lửa  Tường lửa không thể chống lại các nguy cơ đe dọa từ bên trong  Tường lửa không thể chống lại các tấn công bởi virus, sâu mạng và mã độc hại (data – driven attack) Tuy nhiên, tường lửa vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. II.2. Các công nghệ tường lửa Trên thế giới có nhiều quan điểm khác nhau trong việc phân loại các công nghệ tường lửa, đó là: [...]... “thô” bớt các giao thức không được phép, sau đó chuyển dữ liệu lọc vào cho các tường lửa bên trong xử lý tiếp Các tường lửa lọc gói tin rất phù hợp cho các môi trường cần tốc độ xử lý cao, việc ghi nhật ký và xác thực người dùng không phải là các yêu cầu quan trọng Các công nghệ tường lửa hiện đại gồm rất nhiều chức năng, rất hiếm các loại tường lửa chỉ có tính năng lọc gói tin Phần lớn các tường lửa dành... các gói tin trước đó đã đi qua tường lửa Hơn thế nữa, các cổng của tường lửa luôn ở trong trạng thái đóng (close off) nó chỉ được mở khi có yêu cầu kết nối Điều này ngăn chặn tấn công quét công trên tường lửa, giúp đảm bảo an toàn cho tường lửa và hệ thống II.3 Một số tường lửa sử dụng công nghệ Stateful Inspection II.3.1 Tường lửa của Check Point Check Point là hãng đi tiên phong trong công nghệ tường. .. các kết nối trên tất cả các cổng của tường lửa và đảm bảo các kết nối đó là hợp pháp Tường lửa sử dụng công nghệ Stateful Inspection không chỉ kiểm tra thông tin header của gói tin mà còn kiểm tra nội dung của gói tin ở tầng ứng dụng Tường lửa Stateful Inspection có khả năng theo dõi trạng thái của kết nối và đưa các thông tin trạng thái vào bảng trạng thái Vì thế, tường lửa sử dụng công nghệ Stateful... – Gồm các tùy chọn được định nghĩa trước, xác định có ghi log hoặc đưa ra cảnh báo nếu kết nối khớp với luật 9 Install On – Xác định tường lửa nào sẽ áp dụng luật này 10 Time – (tùy chọn) xác định thời gian mà luật sẽ được áp dụng 11 Comment – Cho mục đích quản lý, cho phép chúng ta ghi những chú tích, mô tả luật Hiểu về thứ tự của luật: Tường lửa kiểm tra các gói tin bằng cách so sánh chúng với chính... liệu ở các lớp 4 trở lên  Phần lớn các giao thức đều hoạt động từ lớp 3 trở lên nên các bộ lọc gói thường trong suốt đối với người sử dụng và các ứng dụng  Khả năng ngăn chặn các tấn công từ chối dịch vụ tốt Với các ưu điểm ở trên, công nghệ lọc gói tin rất hay được tích hợp vào các các bộ định tuyến vành đai (boundary router) kết nối đến các vùng mạng không tin cậy Các bộ định tuyến này đảm nhận nhiệm... đưa ra các thông tin nhật ký hạn chế do tường lửa chỉ kiểm soát một số lượng rất giới hạn các thông tin trong gói tin Các gói tin nhật ký thường chỉ giới hạn trong số các thông tin dùng để tạo lên chính sách điều khiển truy cập (địa chỉ nguồn, đích, kiểu dữ liệu)  Phần lớn các tường lửa lọc gói tin không hỗ trợ các tính năng xác thực người dùng  Không ngăn chặn được các tấn công lợi dụng các điểm... Inspection đáp ứng được tất cả các yêu cầu về bảo mật trong khi các công nghệ tường lửa truyền thống, như lọc gói hoặc các gateway lớp ứng dụng thường không đáp ứng được đầy đủ các yêu cầu về bảo mật Có nhiều hãng tường lửa sử dụng công nghệ Stateful Inspection như: CheckPoint, Cisco, Netscreen, 3COM Secure Gateway… Đối với công nghệ Stateful Inspection, các gói tin được ngăn chặn từ tầng mạng (tương... thái (Stateful firewall)  Tường lửa phi trạng thái (Stateless firewall) II.2.1 Bộ lọc gói tin II.2.1.1 Nguyên lý hoạt động Tường lửa hoạt động chặt chẽ với giao thức TCP/IP do nó làm nhiệm vụ lưu thông dữ liệu giữa các mạng với nhau Giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ... trong khi đưa ra quyết định đối với một gói tin, nó có thể dựa trên thông tin của 5 lớp trên cùng của mô hình OSI II.3.2 Tường lửa của Cisco Tường lửa PIX (Private Internet EXchange) của Cisco bao gồm nhiều tính năng mạnh và phong phú, chính điều này đã làm cho dòng sản phẩm tường lửa PIX trở thành một trong những lựa chọn hàng đầu trên thị trường thiết bị tường lửa Các khả năng như tích hợp hệ điều... vi sử dụng  Tường lửa cá nhân: thường là phần mềm sử dụng cho một máy tính đơn  Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu DMZ (phi quân sự)  Phân loại dựa trên mô hình tầng mạng  Tầng mạng – Bộ lọc gói tin  Tầng ứng dụng – Cổng ứng dụng  Tầng giao vận – Cổng vòng  Phân loại dựa trên trạng thái  Tường lửa có . không phải là các yêu cầu quan trọng Các công nghệ tường lửa hiện đại gồm rất nhiều chức năng, rất hiếm các loại tường lửa chỉ có tính năng lọc gói tin. Phần lớn các tường lửa dành cho các doanh. các công nghệ tường lửa Trình bày khái niệm tường lửa, chức năng cũng như các công nghệ tường lửa. Đặc biệt chương này còn nói về công nghệ Stateful Inspection – một công nghệ tường lửa tiên tiến. có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ. Trang 9 CHƯƠNG II: TƯỜNG LỬA VÀ CÁC CÔNG NGHỆ TƯỜNG LỬA II.1 Tường lửa là gì? II.1.1.

Ngày đăng: 26/05/2015, 17:05

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w