Nghiên cứu các giải pháp checkpoint trong việc giám sát an ninh mạng doanh nghiệp

Nghiên cứu các giải pháp checkpoint trong việc giám sát an ninh mạng doanh nghiệp

Mục Lục

Liệt kê hình

Hình 1.1 Scan port theo phương pháp SYN Scan

Hình 1.2 Scan port theo phương pháp ACK Scan

Hình 3.5 Đặt password cho tài khoản admin.

Hình 3.6 Đặt các thông số cho máy.

Hình 3.7 Hoàn thành cài đặt và khởi động lại.

Hình 3.8 Đăng nhập

Hình 3.9 Kiểm tra lại cấu hình IP

Hình 3.10 Đặt lại tài khoản

Hình 3.11 Finish

Hình 3.12 Giao diện quản lý Web UI Checkpoint

Hình 3.13 Giao diện Quản lý Checkpoint SmartDashboard R77 Hình 3.14 Đăng nhập SmartDashboard

Hình 3.15 Giao diện cấu hình dịch vụ Firewall

Hình 3.16 Giao diện cấu hình dịch vụ Application & URL Filtering

Trích Yếu

Chúng ta đang sống trong một thời đại mới, thời đại phát triển rực rỡ của CNTT CNTT

đã ở một bước phát triển cao đó là số hóa tất cả dữ liệu thông tin, luân chuyển mạnh mẻ

và kết nối tất cả chúng ta lại với nhau CNTT đã và đang ảnh hưởng sâu rộng tới mọi lĩnh vực của cuộc sống Đối với các cá nhân và Doanh nghiệp, CNTT trở thành công cụ để tang năng lực cá nhân và hiệu suất làm việc của Doanh nghiệp, mang lại hiệu quả kinh tế cao Đặc biệt đối với các doanh nghiệp CNTT đóng vai trò nền tảng quan trọng trong việc khai thác các ứng dụng nghiệp vụ

Ngày nay cùng với sự phát triển mạnh mẻ của CNTT củng như những lợi ích to lớn mà

nó mang lại thì củng không ít phần tử lợi dụng các lỗ hổng của các tổ chức doanh nghiệp thâm nhập cài mã độc, virut, đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp hay gián tiếp… để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho lợi ích cá nhân Cho nên Phát hiện ngăn chặn sự tấn công của các hacker củng như đảm bảo an toàn thông tin mạng là một vấn đề quan trọng cấp thiết cần được nghiên cứu và áp dụng Trong những năm qua, một hệ thống bảo vệ đã được nghiên cứu và phát triển để các hệ thống phần mềm có thể ngăn ngừa những sự tấn công từ bên ngoài internet vào hệ thống thông tin, đó

là filewall Mà Checkpoint là một nhà cung cấp hang đầu về các sản phẩm bảo mật internet, đặc biệt là các dòng filewall cho doanh nghiệp Mặc dù không phải là tuyệt đối

an toàn, nhưng nó củng cung cấp các giải phấp bảo mật để ngăn ngừa những kẻ tấn công khá hiệu quả

Trong quá trình nghiên cứu đề tài “Nghiên cứu các giải pháp Checkpoint trong việc giám sát An ninh mạng Doanh nghiệp” từ 16/6/2014 đến 1/8/2014 tôi sẻ giới thiệu tổng quan

về xu hướng quản trị và bảo mật mạng hiện nay cùng với việc tìm hiểu khảo sát các vấn

đề An ninh mang Doanh nghiệp, cơ chế bảo mật củng như hiệu suất làm việc của Checkpoint trong hệ thống mạng Đáp ứng nhu cầu ngày càng cao của bảo mật Qua đó thiết lập một hệ thống bảo mật tối ưu để giảm thiểu các mối đe dọa từ internet củng như quản lý và giám sát an ninh mạng trong doanh nghiệp

Tôi cam kết kết quả đạt được do tồi tự thực hiện dưới sự dướng dẫn của thầy Võ Đỗ Thắng Các bước của quá trình thực hiên đã được tồi ghi lại bằng video:

Clip giới thiệu bản thân https://www.youtube.com/watch?

CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT

Trong chương này chúng ta sẻ trình bày các khái niệm chung về an toàn an ninh mạng, tình hình thực tế Các mô hình mạng và các giao thức được sử dụng để truyền thông trên mạng

Các dạng tấn công, một số kỹ thuật tấn công đang được sủ dụng phổ biến hiện nay, từ đó đưa ra các chiến lược bảo vệ hệ thống khỏi nguy cơ này

1.1 Tình hình thực tế:

Mạng internet – Mạng toàn cầu kết nối các máy tính cung cấp các dịch vụ như WWW, Email…là nền tảng cho dịch vụ điện tử ngày càng phát triển nhanh chóng Internet đã và đang trở thành một phần không thể thiếu được trong cuộc sống hang ngày Và cùng với nó

là những sự nguy hiểm mà mạng internet mạng lại

Những kể tấn công ngày càng tinh vi hơn trong các hoạt động của chúng Thông tin về các lổ hổng bảo mật, các kiểu tấn công được trình bày công khai trên mạng Không kể những kẻ tấn công chuyên nghiệp, những người có trình độ cao mà chỉ cần một người có một chút hiểu biết về lập trình, về mạng khi đọc các thông tin này là có thể trở thành một hacker Chính vì lý do đó mà số vụ tấn công trên mạng ngày càng tang cao với nhiều phương thức mới

Những năm gần đây tình hình bảo mật mạng máy tính đã trở nên nóng bỏng hơn bao giờ hết khi hang loạt vụ tấn công, những lỗ hổng bảo mật được phát hiện hoặc bị lợi dụng tấn công Theo Arthur Wong – giám điều hành Security – trung bình một tuần, phát hiện ra hơn 30 lỗ hổng bảo mật mới Theo điều tra của SecurityFocus trong số 10.000 khách hang của hang có cài đặt phần mềm phát hiện xâm nhập Những phần mềm web server như IIS của Microsoft là mục tiêu phổ biến nhất của các cuộc tấn công

Sử dụng filewall để ảo vệ mạng nội bộ, tránh sự tấn công từ bên ngoài là một giải pháp hữu hiệu, đảm bảo được các yếu tố:

+ An toàn cho sự hoạt động của toàn hệ thống mạng

+ Bảo mật cao trên nhiều phương diện

+ Khả năng kiểm soát cao

+ Mềm dẻo và dể sử dụng

+ Trong suốt với người dùng

+ Đảm bảo kiến trúc mở

1.2 Các lỗ hổng trên mạng:

Các mật khẩu yếu:

Mọi ngừoi thường có thói quen sử dụng mật khẩu theo tên của người thân hay những thứ quen thuộc với bản thân, việc này giúp dể nhớ nhưng vô tình tạo điều kiện cho những kẻ tấn công có thể đoán ra Củng như việc sử dụng mật khẩu yếu như ngắn và chỉ toàn số củng là một mối nguy hiểm vì nó có thể bị hacker dể dàng dò ra Vậy nên ta cần sử dụng những mật khẩu khó đoán, đủ dài và đủ khó ví dụ như dài 16 ký tự bao gồm cả số, cả chữ

và cả ký tự đặc biệt

Dữ liệu không được mã hóa:

Các gói dữ liệu truyền đi trên mạng thường dể dàng bị bị bắt được , xem trộm và sữa chữa… với những dữ liệu không được mã hóa, những kẻ tấn công sẻ chẳng mất bao nhiêu thời gian để có thể hiểu được chúng Vậy nên ta cần phải mã hóa các thông tin truyền đi, đặc biệt là các thông tin quan trọng và nhạy cảm

Nguyên Lý: Dựa trên phương thức truyền thông TCP ta có thể scan xem server mở port nào củng như đóng port nào

Hai phương pháp scan port phổ biến:

SYS Scan: Máy attacker sẻ gửi hang loạt gói tin TCP có port đích lần lượt là các port cần

scan của server cần khai thác Đặc điểm của các gói tin TCP này là chỉ bật cờ SYN như bước đầu trong quá trình bắt tay 3 bước của giao thức TCP Từ đó server khi nhận được những gói tin này thì sẻ trả về gói SYN ACK nếu port đó có mở và attacker sẻ biết được dịch vụ nào đang được bật ở server đó

Hình 1.1 Scan port theo phương pháp SYN Scan

ACK Scan: Đây là phương pháp scan thường được dung kết hợp với SYN Scan nhằm phát

hiện sự có mặt của Firewall trong hệ thống Nguyên tắc của ACK Scan là attacker sẻ gửi

gói TCP có bật cờ ACK lên Server nhận được gói ACK sẻ trả về gói RST, khi đó attacker

sẻ nhận biết được không có sự giám sát về session trong hệ thống Còn khi có sự xuất hiện của một Firewall lớp Transport hay Multilayer Firewall thì những gói tin ACK gửi vào như thế chắc chắn sẻ bị drop

Hình 1.2 Scan port theo phương pháp ACK Scan

1.4.2 DOS (Denial of Services)

Giới thiệu: Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch

vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhầm vào những người dung của nó Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có

sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại internetsite hoặc service (dịch vụ web) vận hành hiệu quả trong tất cả, tạm thời hay một cách không xác định Thủ phạm tấn công từ chối dịch vụ nhằm vào các mục tiêu site hay service tiêu biểu như ngân hang, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers

Nguyên Lý:

Teardrop:

Như ta đã biết, tất cả các dữ liệu di chuyển qua mạng từ hệ thống nguồn đén hệ thống đích đều phải trải qua 2 quá trình: dữ liệu sẻ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có mổ giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyền đi Khi các mảnh này đến hệ thống đích, hề thống đích sẻ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứu tự đúng như ban đầu Lợi dụng sơ hở đó, ta chỉ cần gửi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau Hệ thống đích sẻ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên quá lớn

SYN Attack:

Trong SYN Attack, hacker sẻ gửi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có thực Hệ thống đích khi nhận được SYN packets này sẻ trả lời các gói

SYN này đồng thời lưu các request này vào bộ nhớ để xử lý Với hang loạt gói tin như thế được chờ xử lý sẻ làm cho hệ thống quá tải, reoot…đạt được mục đích của tấn công DOS.

Land Attack:

Land Attack củng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ IP không có thực, hacker sẻ dùng chính địa chỉ IP của hệ thống nạn nhân Điều này sẻ tạo nên một vòng lặp vô tận trong chính hệ thống nạn nhân đó

Smurf Attack:

Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẻ nghe lệnh của hacker) và hệ thống của nạn nhân Hacker sẻ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại Điều đặc biệt là các gói tin ICMP packets này có địa chỉ IP nguồn chính là địa chỉ IP nạn nhân Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẻ tưởng rằng máy tính nạn nhân đã gửi gói ICMP packets đến và chúng sẻ đồng loạt gửi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets Hệ thống máy nạn nhân sẻ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot

1.4.3 ARP Spoofing

Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ Một địa chỉ là Media Access Control (MAC) và một địa chỉ Internet Protocol (IP) Địa chỉ MAC là địa chỉ của card mạng gắn vào bên trong thiết bị, nó là duy nhất Địa chỉ IP có thể thay đổi theo người

sủ dụng tùy vào môi trường mạng ARP là một giao thức của lớp 2, chức năng của nó dùng để định vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC ARP thực hiên điều đó thông qua một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chưa địa chỉ IP của host cần giao tiếp Các host trong mạng đều nhận được gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn lại sẻ tự động drop gói tin

Ví dụ: ARP Request: Máy tính A sẻ hỏi toàn mạng:” ai có địa chỉ IP này? “

ARP reply: máy tính B trả lời máy tính A: “ tôi có IP đó, địa chỉ MAC của tôi là…”

Kỹ thuật ARP Spoofing lợi dụng điểm yếu của giao thức này đó là không có sự xác thực khi gửi các gói tin ARP, tức là không biết ai gửi gói tin đó Người tấn công sẻ giả cá gói tin ARP reply với địa chỉ IP là của một máy trong mạng nhưng địa chỉ MAC lại là giả hoặc là MAC của máy tấn công Như vậy máy nạn nhân khi nhận được các gói tin này sẻ tưởng nhầm đối tác của mình có địa chỉ MAC do người tấn công gửi đến dẫn đến sai lệch trong việc gửi/nhận thông tin

1.5 Các chiến lược bảo vệ mạng

1.5.1 Quyền hạn tối thiểu ( Least Privilege)

Một nguyên tắc cơ bản nhất của an toàn nói chung là trao quyền tối thiểu Có nghĩa là: Bất kỳ một đối tượng nào trên mạng chỉ nên có những quyền hạn nhất định mà đối tượng đó cần phải có để thực hiện các nhiệm vụ của mình và chỉ có những quyền đó mà thôi Như vậy, mọi người sử dụng đều không nhất thiết được trao quyền truy nhập mọi dich vụ Internet, đọc và sửa đổi tất cả các file trong hệ thống…Người quản trị hệ thống không nhất thiết phải biết các mật khẩu root hoặc mật khẩu của mọi người sử dụng…Nhiều vấn đề an toàn trên mạng Internet bị xem là thất bại khi thực hiện nguyên tắc Quyền hạn tối thiểu Vì vậy, các chương trình đặc quyền phải được đơn giản đến mức có thể và nếu một chương trình phức tạp, ta phải tìm cách chia nhỏ và cô lập từng phần mà

nó yêu cầu quyền hạn

1.5.2 Bảo vệ theo chiều sâu ( Defence in Depth)

Một nguyên tắc khác của moi cơ chế an ninh là bảo vệ theo chiều sâu.Đối với mỗi hệ thống đừng phụ thuộc vào chỉ một cơ chế an ninh, cho dù là nó mạnh đến đâu đi nữa Thay vào đó là sử dụng nhiều cơ chế an ninh để chúng hỗ trợ nhau

1.5.3 Nút thắt ( Choke Point)

Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một lối hẹp mà chúng ta có thể kiểm soát và điều khiển được Trong cơ chế an toàn mạng, Firewall nằm giữa hệ thống mạng của ta và mạng Internet, nó chính là một nút thắt Khi đó, bất kỳ ai muốn truy nhập vào hệ thống cũng phải đi qua nó, vì vậy, ta có thể theo dõi, quản lý được

Nhưng một nút thắt cũng sẽ trở nên vô dụng nếu có một đường khác vào hệ thống mà không cần đi qua nó (trong môi trường mạng, còn có những đường Dial–up không được bảo vệ khác có thể truy nhập được vào hệ thống)

1.5.4 Liên kết yếu nhất ( Weakest Link)

Đối với một hệ thống bảo vệ thì cho dù có nhiều khâu có mức an toàn cao nhưng chỉ cần một khâu mất an toàn thì toàn thì toàn bộ hệ thống củng sẻ mất an toàn Những kẻ tấn công thông minh sẻ tim ra những điểm yếu và tập trung tấn công vào đó Cần Phải thận trọng tới các điểm yếu này bởi kẻ tấn công luôn biết tìm cách để khai thác nó

1.5.5 Hỏng an toàn ( Fail – Safe Stance )

Một điểm yếu cơ bản khác trong chiến lược an ninh là khả năng cho phép hệ thống hỏng

an toàn ( faile –safe ) – có nghĩa là nếu hệ thống có hỏng thì sẻ hỏng theo cách chống lại

sự tấn công của đối phương Sự sụp đổ hiện nay đều có cơ chế hỏng an toàn Ví dụ như nếu một router lọc gói bị down, nó sẻ không cho bất kỳ một gói tin nào đi qua Nếu một proxy bị down, nó sẽ không cung cấp một dịch vụ nào cả Nhưng nếu một hệ thống lọc

gói được cấu hình mà tất cả các gói tin được hướng tới một máy chạy ứng dụng lọc gói cà một máy khác cung cấp ứng dụng thì khi máy chạy ứng dụng lọc gói bị down, các gói tin

sẻ di chuyển toàn bộ đến các ứng dụng cung cấp dịch vụ Kiểu thiết kế này không phải là dạng hỏng an toàn và cần phải được ngăn ngừa

Điểm quan trọng trong chiến lược này là nguyên tắc, quan điểm của ra về an ninh Ta có

xu hướng hạn chế, ngăn cấm hay cho phép? Có hai nguyên tắc cơ bản mà ta có thể quyết định đến chính sách an ninh:

+ Mặc định từ chối: Chỉ quan tâm những gì ta cho phép và cấm tất cả những cái còn lại.+ Mặc định cho phép: chỉ quan tâm đến những gì mà ta ngăn cấm và cho qua tất cả những cái còn lại

1.5.6 Tính toàn cục ( Universal Participation )

Để đạt được hiệu quả cao, hầu hêt các hệ thống an toàn đòi hỏi phải có tính toàn cục của các hệ thống cục bộ Nếu một kẻ nào đó có thể dể dàng bẻ gãy một cơ chế an toàn thì chúng có thể thành công bằng cách tấn công hệ thống tự do của ai đó rồi tiếp tục tấn công

hệ thống nội bộ bên trong Có rất nhiều hình thức làm cho hỏng an toàn hệ thống và chúng ta cần được báo lại những hiện tượng lạ xảy ra có thể lien quan đến an toàn của hệ thống cục bộ

1.5.7 Đa dạng trong bảo vệ ( Diversity of Defence )

Ý tưởng thực sự đằng sau “ đa dạng trong bảo vệ” chính là sử dụng các hệ thống an ninh của nhiều nhà cung cấp khác nhau nhằm giảm sự rủi ro về các lỗi phổ biến mà mỗi hệ thống mắc phải Nhưng bên cạnh đó là những khó khan đi kèm khi sử dụng hệ thống bao gồm nhiều sản phẩm của những nhà cung cấp khác nhau như: Cài đặt, cấu hình khó hơn, chi phí sẽ lớn hơn, bỏ ra nhiều thời gian hơn để có thể vận hành hệ thống

Chúng ta hảy thận trọng với ý tưởng đa dạng này Vì khi sử dụng nhiều hệ thống khác nhau như vậy chưa chắc đã có sự đa dạng trong bảo vệ mà còn có thể xảy ra trường hợp

hệ thống này hạn chế hoạt động của hệ thống khác mà không hổ trợ nhau như ta mong muốn

1.5.8 Đơn giản hóa ( Simplicity )

Đơn giản là một trong những chiến lược an ninh vì hai lý do sau:

Thứ nhất: Với những gì đơn giản thì củng có nghĩa là dể hiểu, nếu ta không hiểu về phần nào đó, ta không thể chắc chắn liệu nó có an toàn không

Thứ hai: Sự phức tạp sẻ tạo ra nhiều ngóc nghách mà ta không thể quản lý nổi, nhiều thứ

sẻ ẩn chứa trong đó mà ta không biết Rõ rang, bảo vệ một căn hộ dễ dàng hơn nhiều bảo

vệ một tòa lâu đài lớn

CHƯƠNG 2: TỔNG QUAN VỀ FILEWALL

2.1 Khái niệm

Bảo mật là vấn đề được đề cập nhiều nhất trong các diễn đàn Có nhiều cách thức để bảo mật hệ thống nhưng cách điển hình và thông dụng nhất là dùng firewall Vậy tại sao firewall lại thông dụng như vậy? chức năng của nó như thế nào?

Firewall Có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn và hạn chế hỏa hoạn

Trong công nghệ mạng, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm ngăn chặn việc truy cập dữ liệu trái phép, nhằm bảo vệ nguồn thông tin nội bộ và hạn chế

sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu FireWall là một cơ chế bảo vệ trust network (mạng nội bộ) khỏi các Untrust Network (mạng internet)

2.2 Phân loại – Chức năng – Cấu trúc

- Không được linh hoạt như firewall mềm vì hầu như các firewall cứng đều hướng theo

xu hướng tích hợp tất cả trong một( ví dụ : không thể thêm quy tắc hay chức năng ngoài những chức năng đã được tích hợp sẵn…) đối với những firewall cứng trước kia Hiện tại xuất hiện xu hướng mới của firewall cứng mà đi đầu là dòng sản phẩm PIX ASA 5500 của Cisco Tuy là firewall cứng nhưng có khả năng tích hợp những module khác ngoài module có sẵn Cấu trúc chính của loại firewall này bao gồm :

+ Adaptive tích hợp cơ bản hầu hết các tính năng chính của 1 firewall như DHCP, HTTPS, VPNs, hỗ trợ DMZ, PAT, NAT…và các interface trên nó Một Adaptive có thể

hoạt động độc lập mà không cần bất kỳ module nào khác Adaptive hỗ trợ nhiều cách cấu hình : Cấu hình thông qua giao diện web hoặc cấu hình qua cổng consol …

+ Các module riêng lẻ : mỗi module thực hiện một chức năng chuyên biệt và kết nối trực tiếp với Adaptive thông qua cable Nếu thiết bị đầu cuối nào muốn sử dụng thêm chức năng của module nào thì sẽ được kết nối trực tiếp với module đó.Có nhiều loại module thực hiện nhiều chức năng khác nhau : cung cấp các giao tiếp đến các thiết bị có giao tiếp đặc biệt, cung cấp hệ thống cảnh báo cao cấp IPS,…

- Có khả năng hoạt động ở mọi lớp với tốc độ cao nhưng giá cả rất cao

Hình 2.1 Filewall cứng

* Firewall mềm

Là những phần mềm được cài đặt trên máy tính đóng vai trò làm firewall Có 2 loại là Stateful Firewall (Tường lửa có trạng thái) và Stateless Firewall (Tường lửa không trạng thái)

Đặc điểm :

- Có tính linh hoạt cao: có thể thêm bớt các luật hoặc các chức năng vì bản chất nó chỉ là

1 phần mềm

- Hoạt động ở tầng ứng dụng ( layer 7)

- Có khả năng kiểm tra nội dung của các gói tin thông qua các từ khóa được quy định trong chương trình.

2.2.2 Chức Năng :

Chức năng chính của firewall là kiểm soát luồng dữ liệu qua nó ra vào giữa intranet và internet Nó thiết lập cơ chế điều khiển dòng thông tin lưu thông giữa intranet và internet

Cụ thể là :

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin luân chuyển trên mạng

2.2.3 Cấu Trúc :

Tường lửa chuẩn bao gồm một hay nhiều các thành phần sau đây:

- Bộ lọc gói tin (packet-filtering router)

- Cổng ứng dụng (application-level gateway hay proxy server)

- Cổng mạch (circuite level gateway)

2.3 Ưu - nhược điểm của firewall:

2.3.1 Ưu điểm :

-Firewall do con người cấu hình có thể che dấu mạng nội bộ bên trong, lọc dữ liệu và nội dung của dữ liệu để ngăn chặn được các ý đồ xấu từ bên ngoài như : muốn đánh cắp thông tin mật, muốn gây thiệt tê liệt hệ thống đối thủ của mình để gây thiệt hại về kinh tế

- Firewall có thể ngăn chặn các cuộc tấn công vào các server gây tổn thất lớn cho các doanh nghiệp

- Ngoài ra firewall còn có khả năng quét virus, chống spam … khi được tích hợp những công cụ cần thiết

2.3.2 Nhược điểm :

- Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ

- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua”

nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một line dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm

- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack).

- Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong network và bắt đầu hoạt động ở đây Một ví dụ là các virus máy tính Firewall có thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó Nhưng do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu… Virus vẫn thoát khỏi khả năng rà quét của firewall

2.4 Cơ chế - nguyên lý hoạt động và ưu nhược điểm của từng nguyên lý :

Có 2 nguyên lý cơ bản:

2.4.1 Firewall được xây dựng dựa trên Bộ lọc dữ liệu (Packet Filter)

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall thì điều đó

có nghĩa rằng firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các gói dữ liệu (packet) này những địa chỉ

để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

Packet filter cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ packet để quyết định xem packet đó có thoả mãn một trong số các luật lệ (rule) của packet filtering hay không Các rule của packet filter này là dựa trên các thông tin ở đầu mỗi gói tin (packet header), dùng để cho phép truyền các gói tin đó ở trên mạng Đó là các thông tin như:

- Địa chỉ IP nơi xuất phát ( IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP ( ICMP message type)

- Giao diện gói tin đến ( incomming interface of packet)

- Giao diện gói tin đi ( outcomming interface of packet)

Nếu luật lệ lọc gói tin được thoả mãn thì gói tin được thông qua Nếu không gói tin sẽ bị

bỏ đi Nhờ vậy mà Tường lửa có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Tường lửa có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có

những dịch vụ nào đó (Telnet, SMTP, FTP…) được phép mới chạy được trên hệ thống mạng cục bộ.

* Ưu điểm:

- Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được tích hợp sẵn trong mỗi phần mềm router

- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

* Nhược điểm:

- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi ng¬ười quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các rule về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển

- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

2.4.2 Firewall được xây dựng dựa vào Cổng ứng

dụng(Application-Level-Gateway)

Đây là một loại Tường lửa được thiết kế để tăng cường chức năng kiểm soát các loại dịch

vụ, các giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ mã đặc biệt cài đặt trên gateway cho từng ứng dụng

Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:

- Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại

sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall

- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.

- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card

Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống

Mỗi proxy duy trì một quyển nhật ký (logs) ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn đề

* Ưu điểm :

- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi

vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ

- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá

- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có các logs ghi chép lại thông tin về truy nhập hệ thống

- Luật lệ lọc cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet

* Nhược điểm :

- Yêu cầu các người dùng(users) phải thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy khách (client) cho truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước như thông thường Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng ví dụ trên lệnh Telnet Chủ yếu sử dụng Cổng vòng (circuit-Level Gateway) để làm trong suốt proxy

- Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ