Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng công thương Hà Nội
Trang 1LỜI CẢM ƠN
Sau khoảng thời gian học tập và rèn luyện tại khoa Công Nghệ Thông Tin
- Đại học Thái Nguyên, đến nay em đã kết thúc khóa học Em xin bày tỏ lòng cám ơn sâu sắc tới Ban Chủ Nhiệm Khoa, các thầy cô giáo đã tận tình giảng dạy, trang bị cho chúng em những vốn kiến thức và kinh nghiệm quý báu, cung cấp cho chúng em những điều kiện và môi trường học tập tốt nhất
Để hoàn thành được tốt đồ án này, em xin gửi lời cảm ơn chân thành đến thầy giáo Nguyễn Tiến Thành - giảng viên khoa Công Nghệ Thông Tin Đại học Thái Nguyên, và Phòng An Ninh Hệ Thống- Trung Tâm Công Nghệ Thông Tin- Ngân Hàng Công Thương Việt Nam đã trực tiếp hướng dẫn và tạo điều kiện giúp
đỡ em trong thời gian thực hiện đồ án Cảm ơn gia đình, bạn bè đã tạo điều kiện tốt nhất để em có thể hoàn thành đồ án này
Thái Nguyên ngày 5, tháng 6 năm 2009
Sinh viên Vương Thị Dung
Trang 2MỤC LỤC
LỜI CÁM ƠN 1
LỜI CAM ĐOAN Error! Bookmark not defined MỤC LỤC 2
MỞ ĐẦU 4
CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG 6
I Kế hoạch bảo mật 6
II Những nền tảng khác nhau 7
III Mục tiêu bảo mật 7
IV Xác định chính sách bảo mật 9
IV.1 Chính sách kinh doanh và bảo mật 10
IV.2 Con người 10
IV.3 Luật lệ 10
IV.4 Thay đổi chính sách quản lý 11
IV.5 Khôi phục sau thảm họa 11
V.Những yếu kém trong bảo mật mạng 12
V.1 Yếu kém trong giao thức mạng 12
V.2 Yếu kém về hệ điều hành 13
V.3 Yếu kém của thiết bị mạng 13
V.4 Yếu kém trong việc cấu hình thiết bị 14
VI Những kiểu đe dọa bảo mật 14
VI.1 Đe dọa đến từ bên ngoài và bên trong 14
VI.2 Đe dọa có cấu trúc và không cấu trúc 15
VI.3 Những kiểu tấn công bảo mật mạng 16
VI.3.1 Tấn công thăm dò: 16
VI.3.2 Tấn công truy xuất 17
VI.3.3 Tấn công kiểu DoS 19
VII Giải pháp bảo mật 22
VII.1 Thiết kế giải pháp bảo mật 22
VII.2 Bánh lái bảo mật của Cisco 22
VII.3 Danh sách kiểm tra bảo mật 24
CHƯƠNG II GIỚI THIỆU FIREWALL 26
I Tổng quan firewall 26
I.1 Định nghĩa firewall 26
I.2 Chức năng bảo vệ của firewall 27
I.3 Điều khiển luồng và mô hình tham chiếu OSI 29
I.3.1 Tổng quan về mô hình tham chiếu OSI 30
I.3.2 Firewall và mô hình tham chiếu OSI 31
I.4 Những kiểu firewall 32
I.4.1 Firewall lọc gói 32
I.4.2 Firewall stateful 37
I.4.3 Application gateway firewall 48
I.4.4 Firewall dịch địa chỉ 51
I.4.5 Firewall host-based 56
I.4.6 Firewall lai ghép 59
I.5 Firewall và những dịch vụ khác 60
II Thiết kế bảo mật 61
II.1 Hướng dẫn thiết kế 61
II.2 Miền DMZ 64
Trang 3II.3 Những thành phần bổ sung cho hệ thống firewall 66
II.4 Sắp xếp các thành phần 68
II.4.1 Thiết kế hệ thống firewall 68
II.4.2 Những điểm cần chú ý khi thiết kế 69
II.4.3 Sự thực hiện firewall 70
II.4.4.Quản lý và quản trị firewall 70
CHƯƠNG III THIẾT BỊ BẢO MẬT PIX FIREWALL 71
I.Tổng quan về thiết bị bảo mật PIX firewall 71
I.1 Đảm bảo thời gian thực cho hệ thống gắn vào 72
I.2 Phương thức bảo mật linh hoạt ASA 72
I.3 Cut-through proxy 74
I.4 Redundancy 75
II Mô hình và đặc điểm pix firewall 75
III Chức năng của PIX 76
IV Truy xuất PIX 78
V PIX với kết nối 79
V.1 Cấp độ bảo mật của cổng và chính sách bảo mật mặc định 79
V.2 Giao thức truyền 80
V.3 Chế độ truy xuất 84
VI Cấu hình PIX Firewall 84
CHƯƠNG IV 89
XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI
NHÁNH NGÂN HÀNG VIETINBANK .89
I Môi trường mạng hiện có: 89
II Yêu cầu 89
III Thiết kế mô hình mạng 90
IV Cấu hình bảo mật cho hệ thống 90
KẾT LUẬN 99
Tài liệu tham khảo 100
Trang 4MỞ ĐẦU
Với sự phát triển nhanh của mạng Internet, bảo mật thông tin trở lên vô cùng cấp bách để có được những thông tin giá trị và tin cậy Người quản lý nhận thấy việc đầu tư cho an ninh không chỉ là lợi lớn mà còn là rất cần thiết Các công ty nhận ra sự cần thiết của việc tạo ra và tuân theo chính sách bảo mật thông tin, bởi vậy, người IT chuyên nghiệp luôn luôn bị thách thức để bảo vệ mạng của
họ với firewall và tạo mạng riêng ảo VPN để cung cấp sự an toàn cho các giao dịch được mã hóa qua hạ tầng Internet công cộng dễ bị tấn công
Firewall đã trở thành một trong những công nghệ đầu tiên bảo vệ mạng và chống lại truy nhập trái phép Kế hoạch bảo mật yêu cầu sự kết hợp hài hòa của con người, xử lý, và công nghệ để giảm rủi ro Và firewall cũng là một công cụ bảo mật giá trị để thực hiện nhiệm vụ này Ngày nay, khi thiết kế và xây dựng mạng sử dụng firewall là tất yếu cho nhiều mô hình ở giai đoạn cuối Nhận ra điều này, Cisco System đã phát triển và tiếp tục cải thiện với PIX firewall Hệ thống này đã đạt được thị trường lớn bởi đã chứng minh được chức năng pha trộn hoàn hảo của hiệu suất và sự mềm dẻo
Cũng như bao công ty khác trên thế giới sử dụng Internet để giao dịch Ngân hàng, mỗi phút có hàng nghìn giao dịch trị giá tiền tỉ được thực hiện Chính
vì vậy, nhiều hacker luôn tìm những lỗ hổng bảo mật trong ngân hàng để tấn công, truy nhập trái phép lấy đi của ngân hàng hàng tỉ đồng Nhiều ngân hàng ở Việt Nam sau nhiều lần bị tấn công đã chú trọng tới đầu tư cho bảo mật Nhận ra yêu cầu cấp bách đó, trong thời gian làm đồ án tốt nghiệp, em đã tìm hiểu và nghiên cứu về an ninh mạng và các giải pháp đảm bảo an toàn cho mạng, đặc biệt quan tâm tới các giải pháp an toàn của Cisco là thiết bị PIX firewall
Trang 5Đồ án “ Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội ” bao gồm các nội dung sau:
Chương 1: Các vấn đề về an ninh mạng
Chương 2: Tổng quan về Firewall
Chương 3: Thiết bị an ninh PIX Firewall
Chương 4: Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội
Trang 6CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG
Càng ngày càng có nhiều vụ tấn công từ worms, virus, và các hiểm họa khác từ mạng, vì vậy bảo mật là vấn đề chính trong mạng ngày nay Trong khoảng 10 tới 15 năm trước, bảo mật là vấn đề đơn giản dựa trên các giải pháp đơn giản Lúc đó, chỉ có ít trường học và chính phủ kết nối Internet Password
sử dụng để bảo vệ account, và firewall lọc gói đơn giản được dùng để giới hạn luồng lưu lượng Tuy nhiên, thế giới ngày nay thì khác biệt hơn rất nhiều so với thập kỷ trước Sự bùng nổ của Internet, sự tăng nhanh của phần mềm ứng dụng
và sự khéo léo của hacker, bảo mật trở thành vấn đề phức tạp mà phải có yêu cầu giải pháp bảo mật cấp cao để đối phó với nó Giải pháp bảo mật phải có khả năng đối phó với các hiểm họa bảo mật đến từ mạng Nhưng nó cũng phải cho phép công ty tiếp tục đạt được những mục tiêu kinh doanh và phải đủ mềm dẻo
để thích nghi với những công nghệ và mô hình mạng thay đổi
I Kế hoạch bảo mật
Hầu hết những nhiệm vụ khó khăn liên quan tới bảo mật là giai đoạn lập kế hoạch Là khi cần phát triển những giải pháp cho việc kinh doanh và bảo mật của công ty Khi nghiên cứu mạng và xác định những vùng ít đảm bảo và vùng then chốt hợp thành, cần phải tiến tới một kế hoạch bảo mật từ viễn cảnh khác nhau:
Mục tiêu kinh doanh và những yêu cầu của người dùng
Con người và chính trị
Kỹ thuật đưa ra
Đầu tiên, phải phác thảo mục tiêu kinh doanh của công ty trong kế hoạch kinh doanh Được sử dụng như bản đồ chỉ đường để tăng thành công của công ty Giải pháp bảo mật tốt nên trợ giúp, không gây trở ngại, một công ty hướng tới mục đích kinh doanh của nó
Đồng thời phải đối mặt với tất cả các kiểu người dùng từ những lĩnh vực khác nhau khi định rõ tài nguyên và tài sản nào công ty sử dụng để đạt được mục tiêu
Trang 7kinh doanh Điều này có nghĩa là phải có kinh nghiệm lâu năm với tổ chức và
có hiểu biết về chính trị khi đối mặt với người sử dụng khác nhau
Khi hiểu về tài nguyên nào cần sử dụng, cần tìm giải pháp bảo mật gì để thực hiện mà vẫn bảo vệ được công ty và cho phép nó đạt được những mục đích ban đầu
II Những nền tảng khác nhau
Một trong những thứ khó nhất khi đối mặt với việc thiết kế giải pháp bảo mật là cố tìm ra giải pháp phù hợp mọi mặt Mặt khác, thử tìm tất cả sản phẩm bảo mật từ các nhà cung cấp dịch vụ với hệ thống quản lý mà có khả năng dễ dàng thực hiện chính sách bảo mật cho tất cả sản phẩm bảo mật
Ví dụ, giải pháp bảo mật phải bao gồm nhiều loại thiết bị phần cứng và phần mềm ứng dụng Là danh sách nhỏ của một số loại thiết bị mà giải pháp bảo mật nên đối mặt với
PC và laptop chạy window 95, 98, Me, 2000, cũng như desktop UNIX
và Macintoshes
Server chạy NT, 2000,2003, Linux, và các hệ điều hành khác
Mainframe chạy Mutiple virtual storage và virtual Machine
Routers từ Cisco, Juniper, Nortel, …
Swiches từ Cisco, Foundry, Extreme,…
Danh sách này không chứa tất cả, mà chỉ có ý là có nhiều loại thiết bị phần cứng, không chỉ là hàng trăm phần mềm ứng dụng Trong nhiều trường hợp, phải mua những sản phẩm bảo mật từ nhiều nhà cung cấp khác nhau để thực hiện giải pháp bảo mật cho chính sách và mục tiêu của công ty
III Mục tiêu bảo mật
Bảo mật mạng để nhằm đạt được các mục tiêu sau:
Sự tin cậy
Giúp người nhận hiểu nội dung thông điệp
- Người gửi mã hóa thông điệp
- Người nhận giải mã thông điệp
- Sự bí mật : ẩn “ai đang làm gì với ai với nội dung gì”
Sự xác thực
Để người gửi và người nhận chứng thực nhau
Trang 8 Sự toàn vẹn
Người nhận và người gửi, muốn đảm bảo thông điệp không bị thay đổi trong quá trình truyền, hay sau quá trình truyền mà không được phát hiện
Tạo những chính sách bảo mật riêng rẽ, dựa trên kế hoạch và mục đích kinh doanh của công ty
Chính sách bảo mật nên đưa ra lựa chọn sản phẩm và giải pháp bảo mật
Quản lý bảo mật nên tập trung dưới một tổ chức riêng biệt
Đầu tiên, việc tạo chính sách bảo mật gắn liền với quy mô của công ty Chính sách nên dựa trên kế hoạch và mục tiêu kinh doanh Nó nên đảm bảo đủ linh hoạt để cho phép công ty đạt được mục đích kinh doanh, trong khi vẫn bảo vệ tài nguyên của công ty ở giá hiệu quả
Thứ 2, Sản phẩm bảo mật phải phù hợp với kế hoạch bảo mật Phát triển giải pháp bảo mật chung, và sau đó tìm sản phẩm đặc biệt mà có hướng dẫn thiết kế cho phần đó
Ba là, việc quản lý và hỗ trợ sản phẩm rất quan trọng, đặc biệt khi chúng có liên quan để tìm ra và đối phó với hiểm họa bảo mật kiểu thời gian thực Một số công ty mua tất cả sản phẩm bảo mật của họ từ một nhà cung cấp dịch vụ, làm cho việc quản lý tích hợp của sản phẩm dễ dàng hơn: Nó dễ triển khai, quản lý
và hỗ trợ nền tảng từ nhà cung cấp dịch vụ đơn lẻ so với nhiều nhà dịch vụ Nếu cần mua thiết bị và phần mềm từ những nhà cung cấp dịch vụ khác nhau
để phát triển liên quan tới giải pháp bảo mật, phải quản lý sản phẩm sau khi bổ sung chúng Bởi vậy, nên chọn sản phẩm phần mềm quản lý bảo mật mà dễ quản lý và theo dõi thiết bị bảo mật Lựa chọn giải pháp quản lý tốt sẽ cho phép làm cho giải pháp bảo mật áp dụng cho mô hình lớn
Trang 9Tại sao phải bảo mật
Hàng nghìn hiểm họa từ bên ngoài đe dọa bảo mật mạng công ty, cũng như từ bên trong công ty:
Người ngoài và hacker
Người làm việc trong công ty
Ứng dụng người dùng thực hiện cho nhiệm vụ kinh doanh
Hệ điều hành chạy trên máy tính để bàn và server, các thiết bị
Hạ tầng mạng được sử dụng để di chuyển dữ liệu, bao gồm thiết bị như routers, switches, hubs, firewalls, gateway, và những thiết bị khác Trong mạng lớn, những nhân tố này có thể bao gồm hàng nghìn thiết bị và hàng trăm ứng dụng Phức tạp để giải quyết Tuy nhiên, nếu sử dụng cách tiếp cận chia và trị, có thể chia chia mạng thành những phần, miền, làm cho phát triển giải pháp trở nên dễ hơn
Trợ giúp tiến trình bảo mật, vấn đề bảo mật được chia thành 3 loại:
- Sự yếu kém trong xác định chính sách: Những yếu kém này bao gồm
yếu kém trong cả chính sách kinh doanh và bảo mật Ví dụ của yếu kém này là không viết chính sách bảo mật Nếu không có chính sách, thì ép buộc thực hiện bằng cách nào?
- Yếu kém trong công nghệ máy tính: Những yếu kém này bao gồm
yếu kém bảo mật trong giao thức, như TCP/IP và IPX, cũng như hệ điều hành, như UNIX, Novell NetWare, và Windows
- Yếu kém trong cấu hình thiết bị: Những yếu kém này bao gồm cài
đặt, cấu hình, và quản lý thiết bị mạng Ví dụ không gán password cho cổng console của router Cisco
IV Xác định chính sách bảo mật
Yếu kém đầu tiên liên quan tới xác định chính sách kinh doanh và bảo mật Nhiều công ty thiếu chính sách bảo mật hay kinh doanh có trường hợp thiếu cả hai Công ty để phát triển với mục tiêu kinh doanh, cần có kế hoạch kinh doanh tốt rõ ràng bao gồm mục tiêu kinh doanh và chính sách Mặt khác,
để thực hiện và duy trì giải pháp bảo mật tốt để trợ giúp công ty phác thảo mục
Trang 10tiêu trong kế hoạch kinh doanh của nó Cần phát triển chính sách bảo mật tốt Chính sách bảo mật nên dựa trên kế hoạch kinh doanh Điều này đảm bảo rằng
kế hoạch bảo mật luôn giới hạn cách công ty thực hiện kinh doanh hằng ngày,
và kế hoạch bảo mật đó cho phép công ty đạt được mục tiêu kinh doanh
IV.1 Chính sách kinh doanh và bảo mật
Ở mức nhỏ nhất, chính sách bảo mật nên đặt ra các câu hỏi như:
- Bảo mật cái gì?
- Bảo mật bằng cách nào?
- Mức độ bảo vệ được sử dụng là bao nhiêu ?
Thậm chí nghĩ 3 câu hỏi này là đơn giản, mạng doanh nghiệp, có rất nhiều thiết bị như hàng nghìn PC, và 400 server… Tuy nhiên, khi trả lời nên lập chính sách và kế hoạch kinh doanh của công ty, để đảm bảo rằng giải pháp bảo mật đề xuất không cản trở công ty đạt được những mục tiêu đề ra
Ví dụ, công ty có 30 văn phòng ở xa mà kết nối văn phòng trung tâm Công ty này bán widget như kinh doanh chính của nó Văn phòng ở xa gồm những nhân viên bán hàng, người mà truy xuất tới phần mềm cơ sở dữ liệu của văn phòng công ty để sắp theo thứ tự kiểm tra trạng thái thứ tự cho khách hàng địa phương Nếu thực hiện giải pháp bảo mật để bảo vệ nội dung cơ sở dữ liệu của công ty, cần đảm bảo rằng văn phòng ở xa có thể truy xuất thông tin Nếu không đạt được mục đích kinh doanh này, giải pháp bảo mật thực sự tạo cản trở tới kế hoạch kinh doanh
IV.2 Con người
Một trong những khó khăn gặp phải khi phát triển chính sách của công
ty là con người Khó khăn khi công ty có nhiều phòng ban Nhiều người có nhiều quan điểm khác nhau về tầm quan trọng của bảo mật Mỗi người là khác nhau bởi vậy không thể có chính sách như nhau
IV.3 Luật lệ
Yếu kém khác trong việc xác định chính sách bảo mật bộc lộ khi lập ra tất cả chính sách kinh doanh và bảo mật nhưng không ép buộc thực hiện chúng
Trang 11Mặt khác, có chính sách bảo mật mà không thực hiện nó hoàn chỉnh, sẽ không giúp giải quyết vấn đề bảo mật
Ví dụ đơn giản về việc làm theo chính sách Có thể viết ra những hướng dẫn cho lựa chọn password cho account trong chính sách bảo mật Để kiểm tra hệ thống, có thể sử dụng chương trình crack password chống lại account của người dùng để chắc chắn rằng chúng không sử dụng tên của họ, địa chỉ hay password
dễ đoán Nếu có thể bẻ password, cũng nên nói với người dùng, giải thích hướng dẫn trong chính sách bảo mật, và người dùng thay đổi password ít dễ đoán hơn
IV.4 Thay đổi chính sách quản lý
Thiếu sót của sự thay đổi chính sách quản lý cũng là nguyên nhân của vấn đề bảo mật trong mạng Chính sách quản lý thay đổi khi mạng có thay đổi, như cập nhật server file hay thay đổi danh sách điều khiển truy xuất trên router
sử dụng để lọc luồng, nhưng không được ảnh hưởng tới những dịch vụ của nhân viên hay tài nguyên, hay tạo ra các vấn đề bảo mật
Bởi vậy, trước khi có thay đổi mạng, cần viết tài liệu cho nó và trước khi trình bày tới người có quyền quyết định, thường bao gồm người quản trị mạng và nhân viên trong các phòng khác nhau Phòng ban này có thể đề xuất xuất những thay đổi và ảnh hưởng của nó tới mạng Dựa trên thông tin này, sẽ đưa ra yêu cầu thay đổi hay xác định rõ sự thay đổi đưa ra vào 2:00 a.m làm tối giảm ảnh hưởng của nó
Thường xuyên nhìn thấy tình huống trong thực tế, khi người quản trị người tùy tiện thay đổi cấu hình trên thiết bị mạng, không có tài liệu cho thay đổi này Sẽ tạo ra các lỗ hỏng bảo mật
IV.5 Khôi phục sau thảm họa
Khi nghĩ tới kế hoạch khôi phục thảm họa, đầu tiên là những thảm họa
tự nhiên như bão, lũ, hỏa hoạn Kế hoạch khôi phục sau thảm họa được thực hiện một giải pháp dự phòng khi trường hợp tồi tệ nhất xảy ra
Kế hoạch khôi phục thảm họa quan tâm tới những tấn công và những hiểm họa
đê dọa bảo mật Như là, công ty bán sản phẩm qua dịch vụ thương mại điện tử
Trang 12Đây là thu nhập chính Điều gì sẽ xảy ra nếu hacker làm lụt mạng với luồng dữ liệu vô ích, có thể ảnh hưởng tới dịch vụ mà đang cung cấp và có thể thậm chí phá sản một số hay tất cả Web server? Phương án giải quyết nào sẽ đưa ra nếu server thương mại điện tử bị hack và nó mất tới 2 hay 3 ngày để nó hoạt động trở lại? Công ty chuẩn bị những gì để đối phó với nó? Kế hoạch hành động chi tiết để đối phó là gì?
Một kế hoạch khôi phục sau tai họa, nên có hệ thống dự phòng đặt ở vùng khác
mà có thể chuyển nó dễ dàng trong vài giờ, nếu không là vài phút Đặt tài nguyên trong tòa nhà tách biệt, có thể bảo vệ chống lại các thảm họa tự nhiên
Kế hoạch khôi phục thảm họa tốt và chi tiết
V.Những yếu kém trong bảo mật mạng
V.1 Yếu kém trong giao thức mạng
Giao thức mạng phổ biến nhất là TCP/IP TCP/IP thực sự là tập giao thức, bao gồm IP, UDP, ICMP, OSPF, IGRP, EIGRP, ARP…
Một số giao thức này có những điểm yếu mà được hacker khai thác Ví dụ giao thức TCP, giao thức sử dụng tiến trình 3 bước bắt tay để thiết lập kết nối trước khi truyền dữ liệu Trong suốt quá trình 3 bước bắt tay, 3 thay đổi đưa ra giữa nguồn và đích, như hình sau Với TCP, nguồn gửi một segment với cờ SYN và ACK thiết lập trong header segment, chỉ ra rằng kết nối có thể xuất phát Nguồn sau đó thông báo máy nhận segment đích bởi cờ ACK gửi trong segment tới đích Khi tiến trình này hoàn chỉnh, nguồn có thể bắt đầu truyền lại
Hình 1
Trang 13Điểm yếu của TCP là đích đợi nguồn gửi trở lại ACK cuối cùng tời đích, hoàn thành thiết lập kết nối Hacker có thể khai thác những yêú này bởi làm lụt server với TCP SYN, không luôn luôn hoàn thành thiết lật của những kết nối này, như hình phần đáy của hình Những kết nối này thình thoảng được quy như thời kỳ đầu hay mở một nửa kết nối Mục tiêu của hacker là giữ tài nguyên giới hạn trên server mục tiêu và bởi vậy phá vỡ kết nối hợp lý
V.2 Yếu kém về hệ điều hành
Người dùng và dịch vụ để hỗ trợ ứng dụng, thiết bị riêng biệt chạy trên hệ điều hành để điều khiển chức năng phần cứng Hacker thường tấn công vào những lỗi của hệ điều hành Khi hacker tìm thấy lỗ hỏng bảo mật trong hệ điều hành như window xp, hacker mở để hack khi có thể tới hàng chục của trăm PC Mặt khác, nếu hacker tiêu tốn thời gian thử tìm yếu kém bảo mật trong DOS, sẽ khó tìm kết nối PC tới Internet mà vẫn sử dụng hệ điều hành này
Những yếu kém của hệ điều hành tìm ra, thường chạy trên PC, Server, hay Laptop Một số hệ điều hành phổ biến hay bị hacker xem xét như:
V.3 Yếu kém của thiết bị mạng
Yếu kém của thiết bị mạng là nói đến điểm yếu trong các thiết bị như router, switch, firewall Thường gặp những vấn đề khó khăn khi xây dựng cơ chế
Trang 14bảo mật trong những thiết bị này, như việc sử dụng password, hay thực hiện xác thực, và đặc điểm bảo mật nào hỗ trợ để thực hiện
V.4 Yếu kém trong việc cấu hình thiết bị
Yếu kém bảo mật nữa có liên quan đến vấn đề cấu hình thiết bị Điểm yếu trong cấu hình thiết bị là một vấn đề khó đối phó nhất bởi vì những điểm yếu này
do lỗi con người cấu hình hay hiểu nhầm về cách thiết cấu hình thiết bị Khi nói
về thiết bị mạng, nói về mọi thứ kết nối tới mạng, từ PC hay server file, tới router, switch, firewall, hay sản phẩm khác
Quan tâm lớn nhất về điều khiển truy nhập tới thiết bị mạng Tất cả account người dùng phải bảo mật password Điều này nghĩa rằng, một số thiết bị mà sử dụng account mặc định, cũng nên thay đổi password Việc đặt password cũng nên xem xét password được gán cho các account này:
- Chúng có dễ đoán quá không?
- Có thường xuyên thay đổi password không?
Một trong những nhiệm vụ khó khi đối mặt với kết nối Internet là cấu hình thiết
bị mạng phơi bày ứng dụng và dịch vụ chạy trên chúng tới toàn bộ thế giới Nhiều ứng dụng, như www và SMTP, được biết tới là mục tiêu của hacker bởi vì hacker rất thành công khi khai thác những ứng dụng phổ biến Ví dụ khác, ứng dụng Java và ActiveX script thường gắn vào trang web Một số người dùng có thể download và tình cờ chạy một trong những kịch bản này, đưa cho hacker truy xuất tới mạng của bạn
Để giảm những hiểm họa đến với mạng, tắt tất cả các thiết bị mạng không cần thiết Nếu có DNS server, nên tắt chức năng FTP, SMTP, và dịch vụ khác Mặt khác, trên web server, nên tắt FTP, SMTP và dịch vụ khác.Công việc sẽ khó đặc biệt nếu có 300 router và 300 server chạy trên mạng
Chỉ chạy những ứng dụng cần thiết trên các thiết bị Tắt tất cả những ứng dụng không cần thiết để bảo vệ mạng
VI Những kiểu đe dọa bảo mật
VI.1 Đe dọa đến từ bên ngoài và bên trong
Đe dọa bảo mật đến từ 2 miền:
Trang 15- Người dùng bên ngoài
- Người dùng bên trong
Những hiểm họa đe dọa bảo mật đến từ bên ngoài: Là những
hiểm họa đe dọa mạng đến từ ngoài mạng Nếu đang sử dụng hệ thống dò tìm xâm nhập, sẽ tìm thấy những tấn công xảy ra thường ngày
Những hiểm họa đe dọa bảo mật đến từ bên trong: Khi ai đó từ
bên trong mạng tạo ra những đe dọa tới bảo mật mạng Nghiên cứu cho thấy 70% công ty có lỗ thủng bảo mật, 60% lỗ hổng này đến từ nguồn bên trong Một số lỗ thủng bảo mật với mục đích cố tình làm hại, phần khác là tai nạn Bởi vậy, không chỉ quan tâm tới bảo mật vành đai mạng, mà cũng phải bảo vệ tài nguyên và dịch vụ chính Khi thiết kế giải pháp bảo mật phải xem xét các tài nguyên bên trong nào cần bảo mật
VI.2 Đe dọa có cấu trúc và không cấu trúc
Phương thức phổ biến của đe dọa bảo mật thường ở 2 loại sau:
- Đe dọa không có cấu trúc
- Đe dọa có cấu trúc
Đe dọa bảo mật không có cấu trúc: Thường là phát sinh từ
những người thiếu kinh nghiêm Giải pháp bảo mật tốt dễ dàng cản trở kiểu tấn công này Nhiều công cụ trên Internet có thể được sử dụng phát hiện những tấn công tới mạng công ty Bao gồm công cụ quét cổng, công cụ quét địa chỉ, nhiều công cụ khác Hầu hết những công cụ thăm dò này được làm là do tò mò nhiều hơn so với mục đích phá hoại
Đe dọa có cấu trúc: Nó được thực hiện bởi người có kỹ thuật cao,
người cố đạt được truy xuất tới mạng Hacker tạo ra hay sử dụng một số công cụ rất phức tạp tinh vi để đột nhập vào mạng, phá vỡ dịch vụ chạy trên mạng Ví dụ làm lụt ICMP Người ít kỹ năng hacking có lẽ sẽ gửi lụt ping từ cùng một máy nguồn, làm dễ dàng
Trang 16dò tìm ra thủ phạm Hacker kinh nghiệm, sẽ thử ẩn nguồn của gói ICMP bởi thay đổi địa chỉ nguồn trong gói gọi là spoofing (lừa đảo), cũng như thực hiện tấn công từ vài nguồn khác nhau Để tìm
ra thủ phạm hacker kinh nghiệm sẽ mất khá nhiều thời gian
Hình 2 Chỉ ví dụ đơn giản về tấn công spoofing phức tạp Trong ví dụ, hacker thay đổi địa chỉ nguồn gói ICMP thành Server C, thiết bị mà hacker đang tấn công Anh ta gửi gói tới cả Server A và Server B
Hình 2 Những server trả lời về thông điệp ICMP tới đích liệt kê như nguồn trong gói, Server C Ở ví dụ này hacker làm lụt gói khi cả 2 server A, và B, tấn công server
C Server C không biết kẻ tấn công thực sự là hacker
VI.3 Những kiểu tấn công bảo mật mạng
Có nhiều tấn công đe dọa bảo mật trong đó có một trong những loại tấn công sau:
- Tấn công thăm dò
- Tấn công truy xuất
- Tấn công từ chối dịch vụ
VI.3.1 Tấn công thăm dò:
Trong tấn công thăm dò, hacker cố lấy thông tin về mạng, bao gồm mô hình mạng, thiết bị mà tập trung cạnh nó, phần mềm chạy trên chúng, và cấu hình
mà được cho phép các thiết bị này Hacker sau dó sử dụng thông tin này để đạt
Trang 17được những tấn công xa hơn, như DoS hay tấn công truy xuất, tấn công thăm dò đến từ nhiều loại khác nhau, bao gồm các loại sau:
- Quét (scanning)
- Nghe trộm
VI.3.2 Tấn công truy xuất
Kiểu tấn công phổ biến khác của tấn công là tấn công truy xuất Trong tấn công truy xuất, hacker tìm mọi cách để đạt được truy xuất trái phép hay truy xuất bất hợp pháp tới mạng của bạn, tài nguyên đặc biệt như file, e-mail, và web servers Hacker thường làm điều này để cố gắng truy xuất file password, sử dụng chương trình trộm password, hay nghiên cứu lưu lượng trên mạng của bạn cho gói mà chứa những password không mã hóa Kiểu khác của tấn công bao gồm khai thác điểm yếu trong hệ điều hành và ứng dụng, như tràn bộ đệm, cái có thể cho phép hacker truy xuất mà không cần xác thực đầu tiên
Sau khi hacker đột nhập vào thiết bị mạng của bạn, hacker cố tăng đặc quyền tới mức cao nhất có thể và sau đó sử dụng account này truy nhập tới thiết
bị mạng khác Hacker cũng có thể sao chép file trên tài nguyên hay trong vài trường hợp tồi tệ nhất sẽ xóa mọi thứ trên ổ cứng Những kiểu truy tấn công truy xuất bao gồm có:
Tấn công truy xuất trái phép
Trong dạng cơ bản nhất của tấn công truy xuất, hacker cố gắng truy nhập bất hợp pháp tới thiết bị trong mạng điều này được gọi như là tấn công truy xuất trái phép Khi thực hiện loại tấn công này, hacker có thể sử dụng nhiều công cụ, bao gồm có
- Đoán password cho account nổi tiếng, như tổ chức và người quản trị
- Sử dụng công cụ phân tích giao thức và thực hiện tấn công nghe trộm
để nghiên cứu password không được mã hóa
- Truy xuất file password và sử dụng chương trình trộm password
- Sử dụng công việc có tính xã hội
Cách thức cuối cùng mang tính chất xã hội, có lẽ đây là cách dễ nhất cho hacker đạt được truy xuất trái phép tới tài nguyên trên mạng Với tư cách
Trang 18là kĩ sư hệ thống hacker gọi người sử dụng khác nhau trong mạng và giả
vờ là người quản lý mạng Hacker nói với người dùng về một số bảo mật mạng hư cấu và sử dụng lừa đảo có tính chất khéo léo và thu thập thông tin từ người dùng Sau đó hacker có thể sử dụng để truy xuất tài nguyên trên mạng, Cách khác là hacker giả vờ là người dùng và có thể gọi người quản trị và giả vờ như là anh ta quên password
Tấn công bằng Virus, Trojan horse, và Worm
Virus, worms, Trojan horses là những tấn công được biết nhiều nhất trên
hệ thống máy tính, vì tác động rất nhiều tới người sử dụng Nhiều quan điểm về định nghĩa 3 kiểu tấn công này Thường thì, virus là chương trình hay mẩu mã mà được tải lên hay chạy trên máy tính mà mọi người không biết Nhiều virus cũng tái tạo chúng tới làm tăng sự phá hoại của chúng Không giống như bugs, virus là do con người tạo ra Worm là chương trình mà tái tạo nó qua mạng với mục đích làm hại, như phá hoại hệ thống hay sử dụng tài nguyên trên hệ thống Nhiều người xem virus và worm là cùng kiểu tấn công Trojan horse là chương trình được tải lên máy tính mà hoạt động như ứng dụng bình thường, đợi khi người dùng tích hoạt Không giống như virus và worms, Trojan horses không tái tạo lại chúng.Thỉnh thoảng Trojan horse giả vờ phần mềm antivirus của người dùng hay là đặt lại nó, hy vọng để thêm thay vì di chuyển virus từ hệ thống của bạn
Những loại tấn công này có thể thỉnh thoảng đơn giản như gắn kèm email
mà khi click vào hay phức tạp như chương trình phần mềm mà được thực thi bởi vì vấn đề bảo mật với chương trình email
Thường thì, hầu hết các tấn công này được khai thác thông qua hệ thống email, mặc dù có nhiều phương thức khác, như thực thi một chương trình độc Khi thực thi là tấn công do thám, những tấn công này có thể gửi danh sách địa chỉ email của bạn hay file password trở lại hacker Khi thực thi như tấn công DoS, những tấn công này có thể ảnh hưởng tới CPU, memory, disk space, hay băng thông của thiết bị mạng, như PC
Trang 19Có thể dùng 3 cách khác sau để giảm đi những tấn công này như:
- Đào tạo người dùng
- Phần mềm antivirus
- Phần mềm application-verification Một trong những cách phòng thủ tốt nhất là đào tạo người dùng Cảnh báo người dùng không bao giờ mở email đính kèm từ ai đó không biết, email nghi ngời nên báo cáo ngay lập tức tới người quản trị mạng
Một trong những cách phổ biến nhất của việc đối diện với những loại tấn công này là triển khai phần mềm antivirus Nhiều gói có sẵn trên thị trường, phổ biến nhất là gói phần mềm antivirus từ Network Associates và Norton Với mạng doanh nghiệp, cần chắc chắn rằng tất cả máy tính để bàn và server sử dụng phần mềm kiểm tra ứng dụng Những kiểu phần mềm này có snapshot của file tồn tại
và giữ nó trong nơi bảo đảm Thường bao gồm những file như file thực thi, và file cấu hình trên snapshot này Sau đó chạy phân tích định kỳ với phần mềm kiểm tra ứng dụng, so sánh với file hiện tại tên server với cái đã bảo đảm Nếu có
sự khác nhau, ứng dụng sẽ thông báo Sự khác nhau có thể chỉ ra tấn công truy xuất xuất hiện, có thể với tấn công worm hay Trojan horse, và đó là một file đã đặt lại với file của hacker
VI.3.3 Tấn công kiểu DoS
Hacker sử dụng nhiều kiểu tấn công từ DoS để chống lại mạng của bạn Một số ảnh hưởng này thực hiện trên phần dịch vụ chạy trên server, một số trầm trọng có thể ảnh hưởng tới tất cả các máy trên đoạn mạng Bởi vì có hàng trăm tấn công DoS, sau đây là danh sách những tấn công từ chối dịch vụ phổ biến
- Tấn công ứng dụng đơn giản là tấn công chống lại ứng dụng chạy
trên server Hacker thường tấn công ứng dụng phổ biến như web server IIS của Microsoft, web browser như Microsoft Internet Explorer và Netscape Navigator, và ứng dụng email như Sendmail
và Microsoft Exchange và Outlook bởi vì nó được sử dụng rộng rãi Hacker thử với những thuật toán khác nhau, như chạy tràn bộ
Trang 20đệm, và bomb email, làm tắt hệ thống hay gửi thông tin trở lại hacker để sử dụng cho kiểu tấn công khác
- Email bomb là kiểu tấn công mà hacker sử dụng tài nguyên email
trên hệ thống hay có thể là làm hại server email bảo mật Hacker bình thường thường giửi thông điệp lớn tới server email của bạn,
hy vọng lấp đầy khoảng đĩa và làm sụp nó Một hacker giỏi, sử dụng bao gồm trojan horse, virus, worm gắn vào email Nếu người dùng mở chúng ra chúng có thể phá hủy hệ thống hay mở lỗ hổng bảo mật mà cho phép hacker tấn công tới thiết bị mạng
- Thỉnh thoảng hacker sử dụng kịch bản java hay ActiveX tạo applet
độc Khi tải tới máy tính của người dùng, những applet này có thể gây phá hoại tới hệ thống file người dụng hay gửi thông tin trở lại hacker mà hacker sử dụng cho lần tấn công sau
- Tấn công ping of death là một loại tấn công nổi tiếng bởi vì quá
đơn giản hacker gửi một gói thông điệp đơn giản ICMP với trường offset chỉ ra rằng đữ liệu lớn hơn 65,535 byte Một số hệ thống, điều này phá hủy thiết bị Nhiều công ty mất kết nối tới Internet để ngăn cản hacker làm giảm tài nguyên của họ
- Một trong những tấn công khó thực hiện nhất là tấn công vào giao
thức định tuyến của router, được gọi là tấn công rerouting Kiểu tấn công này, hacker cố nuôi router với thông tin định tuyến sai chính
là nguyên nhân gói của bạn được định tuyến đến chết, hay thông tin lỗi mà sẽ là nguyên nhân gói của bạn được định tuyến trở lại hacker
để hacker sử dụng thực hiện nghe trộm và sử dụng thông tin này để thực hiện tấn công khác Thường hacker sử dụng công cụ phân tích giao thức và phần mềm đặc biệt để thực hiện kiểu tấn công này
- Tấn công lụt TCP SYN thực hiện khi hacker làm lụt phần dịch vụ
với đoạn TCP SYN không chú ý tới hoàn thành kết nối Với loại tấn công này, hacker thường kết nối tới tài nguyên trên server
Trang 21Thuật toán ngăn chặn tấn công DoS
Khi hacker sử dụng nhiều tấn công DoS để cản trở hoạt động mạng, bạn có thể
sử dụng nhiều giải pháp để ngăn cản hay ít nhất là gây trở ngại cho tấn công DoS của hacker Một số giải pháp được sử dụng để tìm và ngăn chặn tấn công DoS
- Thực hiện lọc gói
- Sử dụng hệ thống phát hiện xâm nhập IDS
- Sử dụng xác thực giao thức định tuyến
- Chạy chi tiết với kiểm tra và log
Giải pháp đầu tiên nên thực hiện là lọc Có thể sử dụng một số thứ đơn giản như ACL trên router Cisco, hay sử dụng hệ thống firewall như PIX, hay đặc điểm firewall Cisco IOS thiết lập sẵn trên router Cisco Đặc điểm firewall trên router Cisco thiết lập hỗ trợ một đặc điểm gọi là Context based Access Control, mà thực hiện firewall trên router Bảo vệ hệ thống của khỏi applet độc, nên sử dụng hệ thống firewall, như router Cisco hay PIX
Cũng xem xét sử dụng IDS Giải pháp IDS nghiên cứu lưu lượng và dựa trên nội dung, phần lớp lưu lượng khi có tấn công hay không Thuận lợi lớn của sử dụng IDS là có thể tìm thấy tấn công thăm dò và dò tìm, báo động về vấn đề hacking đang xuất hiện Cisco có nhiều giải pháp IDS, nó có thể làm bạn thực hiện một đặc điểm gọi là block IP hay shunning Với bocking, khi Cisco IDS tìm thấy tấn công, nó có thể log Cisco PIX hay router và thêm luật lọc tới block tấn công Ngăn cản tấn công định tuyến, có thể sử dụng giao thức định tuyến mà dựng lên với sự xác thực, như RIPv2, EIGRP, OSPF, IS-IS, BGP Những giao thức này sử dụng thuật toán hashing MD5, tạo chữ ký số duy nhất mà thêm tới tất cả thông tin định tuyến Cấu hình lọc để cho phép cập nhật định tuyến từ những nguồn định tuyến chắc chắn Tuy nhiên, nếu hacker xem xét tiến trình này, thường thay đổi địa chỉ nguồn để phù hợp địa chỉ mà xác định trong danh sách truy nhật cho phép của bạn Nếu router đặt trong vành đai mạng của bạn, bạn cân nhắc sử dụng giao thức định tuyến tĩnh thay vì sử dụng định tuyến động
Trang 22Cuối cùng, nên giữ thiết bị mạng luôn kiểm tra mở rộng, và logs lưu vết bảo mật đưa ra Nghiên cứu kỹ theo chu kỳ, nghiên cứu về tấn công DoS Nếu mạnh thì bạn sử dụng hệ thống phân tích log
VII Giải pháp bảo mật
VII.1 Thiết kế giải pháp bảo mật
Hacker là nguyên nhân mạng bị phá hủy theo nhiều cách Bởi vậy, cần thiết kế giải pháp bảo mật để đối phó với những đe dọa này Giải pháp này cũng
dễ duy trì và đủ mềm dẻo để xử lý khi có thay đổi trong mạng, có một danh sách kiểm tra đơn giản mà mô tả trong giải pháp bảo mật
- Nên dễ sử dụng và triển khai Nó cũng nên dễ theo dõi và duy trì
quản lý Nếu giải pháp bảo mật phức tạp, với nhiều nhiệm vụ cấu hình phải thực hiện và quản lý theo dõi thì sẽ gây ra lỗi Lỗi cấu hình dễ dàng tạo ra các lỗ hổng bảo mật
- Nó có thể làm công ty của bạn phát triển và triển khai ứng dụng
mới trong mạng Cần thiết lập chính sách bảo mật phù hợp với điều chỉnh ứng dụng mới Nên có chính sách bảo mật, và chính sách bảo mật cho phép công ty đạt được mục tiêu cả kinh doanh và bảo mật,
- Công ty nên sử dụng Internet có bảo mật: Công ty nên nhận thấy
bảo mật là tài nguyên chính được bảo vệ và Internet có thể dùng nhiều hơn với mục đích kinh doanh
VII.2 Bánh lái bảo mật của Cisco
Bảo mật mạng không thực hiện một lần Không nên thực hiện giải pháp bảo mật và bỏ quên nó Thay vì, bảo mật mạng là tiến trình liên tục mà được xây dựng dựa trên chính sách bảo mật của công ty Cisco đã phát triển khái niệm được gọi là bánh lái bảo mật, phác thảo tiến trình gồm 4 bước lặp liên tục Đây là
4 bước trong bánh lái bảo mật trong hình 5
1 Bảo đảm mạng
2 Theo dõi bảo mật mạng
3 Kiểm tra bảo mật mạng
Trang 234 Nâng cấp bảo mật mạng, dựa trên kết quả theo dõi và kiểm tra ở bước 2,
lạ có thể dùng tay đặt lên tài nguyên quan trọng trong mạng Một số giải pháp
mà nên cân nhắc thực hiện xác thực qua sử dụng password một lần, thẻ smart,
và xác thực server, sử dụng firewall để lọc lưu lượng, sử dụng VPN để mã hóa lưu lượng, và luôn cập nhật lỗ hổng bảo mật trong thiết bị và đảm bảo rằng chúng luôn vá lỗ hổng bảo mật
2 Theo dõi bảo mật
Khi đặt giải pháp bảo mật ở nơi nào, bước tiếp theo là theo dõi mạng để đảm bảo rằng không có lỗ thủng bảo mật nào được tìm thấy Một công cụ phổ biến mà nhiều công ty sử dụng là IDS Những thiết bị này có thể cho bạn theo dõi lưu lượng và tìm kiếm tấn công Giải pháp bảo mật là không tốt nếu không theo dõi nó
Trang 243 Kiểm tra bảo mật
Kiểm tra bảo mật định kỳ, kiểm tra bao gồm kiểm tra tấn công thăm dò quét mạng và dò tìm cổng cũng như kiểm tra trên log bảo mật của thiết bị mạng
4 Nâng cấp bảo mật
Bước cuối cùng là nghiên cứu kết quả của việc theo dõi và kiểm tra, sử dụng thông tin này để làm những thay đổi với hệ thống mạng hay cải thiện hệ thống bảo mật Mặt khác, nên sử dụng thông tin này để sửa chính sách bảo mật Sau khi hoàn thành 4 bước này, công việc chưa kết thúc Mà phải trở lại bước
1 và bắt đầu Phải lặp lại tiến trình này liên tục, sửa đổi chính sách bảo mật, và giải pháp bảo mật để nhìn thấy những đe dọa bảo mật phát triển và tồn tại
VII.3 Danh sách kiểm tra bảo mật
Hệ thống bảo mật Internet đã được phát triển một khái niệm tương tự với bánh lái bảo mật được tóm tắt danh sách kiểm tra bao mật như:
- Tạo chính sách bảo mật rõ ràng mà bổ sung cho mục đích kinh
doanh
- Tạo tài liệu bảo mật dễ đọc mà được phân phát tới tất cả nhân viên,
giúp giáo dục và đào tạo họ về thủ tục và chính sách bảo mật của công ty
- Bảo vệ đầy đủ tài nguyên và dịch vụ then chốt
- Phát triển kế hoạch khôi phục sau thảm họa mà đối mặt với tình
huống xấu nhất về lỗ hỏng bảo mật như hacker định dạng lại ổ cứng trên tất cả web server, hay một hành động đốt lửa cơ quan đầu não của công ty
- Mua bảo hiểm cho phần mềm và phần cứng của bạn, trong trường
hợp cố tình phá hủy tài nguyên máy tính và mạng của công ty Thậm chý bao gồm bảo hiểm cho mất dữ liệu và thời gian bị mất để lưu lại hệ thống tới trạng thái trước
- Đào tạo nhân viên mạng để họ có thể đề xuất giải pháp thực hiện và
theo dõi bảo mật
Trang 25- Sử dụng IDS để tìm tấn công bảo mật
- Sử dụng hệ thống firewall để lọc tất cả các lưu lượng không cần
thiết khi nó đến mạng
- Sử dụng giải pháp VPN để bảo vệ dữ liệu gữa các site và thiết bị
truy xuất mạng từ xa
- Thực hiện giải pháp antivirus với PC, laptop, server file
Trang 26CHƯƠNG II GIỚI THIỆU FIREWALL
I Tổng quan firewall
Công nghệ firewall đã trải qua nhiều thay đổi lớn từ khi xuất hiện trên thị trường năm 1990 Những firewall này là thiết bị lọc gói đơn giản Sau đó, firewall có nhiều đặc điểm lọc phức tạp hơn Và thêm nhiều khả năng như lọc trạng thái stateful filtering, mạng riêng ảo VPN, hệ thống dò tìm xâm nhập IDS, định tuyến multicast, xác thực kết nối, giao thức cấu hình host động DHCP, …có một điều nổi bật, bên cạnh sự cạnh tranh của nhà cung cấp dịch vụ, là sự bùng nổ Internet vào những năm 1990 Sự tăng trưởng to lớn naỳ đã mang lại nhiều lợi ích cho nhiều công ty, nhưng nó cũng mang lại những vấn đề, bao gồm hacking, đột nhập, và những kiểu hành động phiền phức khác Những vấn đề này được đưa ra và cần bảo vệ tài nguyên của công ty, firewall đã trở thành công nghệ phổ biến không chỉ cho doanh nghiệp kinh doanh, mà cũng còn cho máy tính cá nhân truy xuất tới Internet
Giờ đây đã có nhiều công ty trang bị firewall, bao gồm firewall, hay thiết bị lọc,
là phần quan trọng của giải pháp Thường, firewall được coi như là tầng phòng thủ đầu tiên khi bảo vệ công ty hay tài nguyên cá nhân Tuy nhiên, giải pháp firewall hoàn chỉnh bao gồm nhiều công ty sử dụng để bảo vệ không chỉ là vành đai mạng của bạn, mà còn là cở sở hạ tầng mạng nội bộ
I.1 Định nghĩa firewall
Có nhiều định nghĩa firewall Ý nghĩa trong đời sống của nó dùng không phải là bảo vệ mạng, mà sử dụng để giới hạn lửa Firewall bức tường xây dựng
để khi có lửa thực sự nó có thể bảo vệ những phần của tòa nhà thay vì lửa lan sang phần khác của tòa nhà
Bởi vây, khi nói về bảo vệ mạng, thuật ngữ firewall thỉnh thoảng mang ý nghĩa khác, nhưng thực chất nó được sử dụng để bảo vệ mạng từ người hiểm độc,
và dừng hành động trái phép Và được định nghĩa là đường gianh giới
Trang 27Cơ bản, firewall là thiết bị hay hệ thống mà điều khiển luồng lưu lượng giữa những miền khác nhau trong mạng Chú ý một số thứ quan trọng về định nghĩa này
Định nghĩa có thể bao gồm một hay nhiều thiết bị Đơn giản, trong thiết kế mạng nhỏ, như SOHO là mội trường văn phòng nhỏ hay nhà, thường được làm với một thiết bị Ví dụng sử dụng wireless router linksys ở nhà để bảo vệ mạng ở nhà Trong mạng doanh nghiệp, hệ thống firewall bao gồm nhiều thiết bị như firewall vành đai, firewall stateful, VPN, giải pháp IDS…
Nhiều người cho rằng firewall được sử dụng để bảo vệ tài nguyên từ đe dọa bên ngoài, như từ Internet, nơi giao thức được sử dụng là TCP/IP Tuy nhiên, hầu hết mối đe dọa mạng và tấn công xảy ra, rất phức tạp, với mạng bên trong Nhiều thí dụ, chúng đến từ nhân viên của công ty Nhiều nghiên cứu đã tìm thấy rằng khoảng 60 đến 70 % tấn công là từ bên trong, không phải bên ngoài Vấn đề này, bạn phải có nhiều hơn một giao thức TCP/IP chạy trong mạng nội bộ, như TCP/IP, IPX, Apple talk, SNA, NetBIOS, …giải pháp firewall hoàn chỉnh phải
có khả năng đối phó không chỉ cả đe dọa từ bên trong và bên ngoài mà cũng với nhiều giao thức
Giải pháp firewall như hệ thống firewall bởi vì thường sử dụng nhiều hơn một công nghệ và một hay nhiều thiết bị để thực hiện giải pháp firewall Hệ thống firewall được sử dụng để điều khiển truy xuất tới tài nguyên Hệ thống firewall gồm nhiều thiết bị khác nhau Chọn hệ thống firewall đúng là then chốt trong bảo mật mạng
Firewall là một bộ máy tin cậy, đảm bảo Nằm giữa mạng nội bộ và mạng ngoài, cho phép gói đi qua hoặc không qua
I.2 Chức năng bảo vệ của firewall
Hệ thống firewall có thể thực hiện nhiều chức năng và yêu cầu nhiều giải pháp Tuy nhiên, một trong những mục đích chính là điều khiển truy xuất tài nguyên Có thể sử dụng nhiều phương thức để thực hiện nhiệm vụ này
Có thể đảm bảo tất cả server và PC bởi đảm bảo rằng chúng có cập nhật bản vá đầy đủ, tắt những dịch vụ không cần thiết, sử dụng xác thực mạnh và cho phép để
Trang 28truy xuất và sử dụng tài nguyên, cài đặt phần mềm bảo mật, như hình 2-1 Ví dụ này, phần mềm firewall được cài đặt trên mỗi PC và file server, và được cấu hình
để cho phép chỉ kiểu lưu lượng chắc chắn mới thêm vào hay rời đi khỏi máy Điều này làm việc tốt trong văn phòng nhỏ trên ít thiết bị mà cần đảm bảo Ví dụ này, thiết bị có thể chỉ cần chia sẻ file và máy in, cũng như truy xuất Internet, bởi vậy thiết lập bảo mật này trên mỗi thiết bị là dễ làm
Hình 2-1 Trong mạng với 10 đến hàng trăm thiết bị, điều này trở nên phức tạp, nó rất khó để quản lý tất cả những thiết bị này để đảm bảo rằng chúng được bảo mật thích hợp Bên cạnh dịch vụ chia sẻ file và máy in, cũng muốn thực hiện nhiều việc khác trong truy xuất Internet cho nhóm người dùng khác nhau, có thể cần bảo vệ tài nguyên mạng dựa trên thành viên nhóm người dùng, có thể chỉ cho phép một số kiểu lưu lượng Internet tới mạng
Khả năng tiếp cận tập trung giải pháp bảo mật của bạn, chỉ trong hình 2.2,
sử dụng giống hình 2.1, nhưng thay vì sử dụng giải pháp firewall trên mỗi thiết bị bên trong, đặt nó ở trên router vành đai Trong ví dụ này, bởi vì giải pháp firewall được thực hiện trên một thiết bị, nó trở nên dễ quản lý với chính sách bảo mật và thực hiện Với thiết bị đơn lẻ, nó trở nên dễ giới hạn lưu lượng thêm
Trang 29vào hay rời đi của mạng Chỉ thiết lập chính sách một lần thay vì phải thiết lập cho tất cả các thiết bị bên trong Điều này làm cho chi phí của giải pháp giảm
Hình 2.2 Đây không nói về việc sử dụng chỉ một trong hai giải pháp này Tuy nhiên, nó bắt đầu làm nghĩ tới thiết kế cũng như kiểu truy xuất mà bạn cần xác định Phải có những bảo mật cân xứng, chức năng, và giá trong thiết kế bảo mật
Ví dụ, vẫn cần nghĩ tới những đe dọa bên trong tới tài nguyên bên trong, bởi vậy một số tài nguyên quan trọng phải được làm với giải pháp bảo mật
I.3 Điều khiển luồng và mô hình tham chiếu OSI
Để hiểu được chức năng của firewall, một số kiến thức cơ bản về hoạt động của Firewall cần xem xét Cách firewall đối xử với lưu lượng, cách tốt để bắt đầu hiểu về nó là xem lại mô hình tham chiếu OSI Open System Interconnection, được phát triển bởi International Organization for Standardization ISO ISO là chuẩn mà định nghĩa chuẩn cho cùng hoạt động, bao gồm chuẩn mạng Sử dụng mô hình tham chiều OSI sẽ làm hiểu cách firewall truy xuất lưu lượng Nhiều loại giải pháp firewall khác nhau tồn tại, mỗi firewall
có một chức năng khác nhau
Trang 30I.3.1 Tổng quan về mô hình tham chiếu OSI
ISO phát triển mô hình tham chiếu OSI để mô tả cách cácthiết bị giao tiếp với nhau Những mô hình này được phát triển giúp hướng dẫn mọi người trong quá trình giao tiếp, nhiệm vụ xử lý sự cố đơn giản, bẻ gẫy phần liên quan thành cấu trúc modul, và thành các nhiệm vụ dễ phát triển và thực hiện với các nhà cung cấp dịch vụ
Mô hình tham chiếu OSI chia tiến trình giao tiếp thành 7 tầng, chỉ trong hình 2-3 Nó định nghĩa tiến trình phổ biến đặt ra khi người dùng ngồi ở bàn phím đánh thông tin, và cách nó được truyền và xử lý qua mạng tới thiết bị đích
Hình 2.3 Bảng 2-1 chỉ ra 7 tầng và mô tả cho nó Khi nói về giao thức và mô hình tham chiếu OSI, không phải tất cả giao thức sử dụng ngày nay đều có 7 tầng Mô hình tham chiếu OSI chỉ ra rằng Mô hình sử dụng mô tả tác động giữa 7 tầng Ví
dụ, trong TCP/IP, chức năng tầng ứng dụng, tầng trình diễn, tầng phiên được nhóm trong tầng chung gọi là tầng ứng dụng Tầng truyền, tầng mạng, tầng liên kết dữ liệu được sử dụng để xử lý cơ chế truyền đữ liệu giữa các thiết bị
Trang 31Bảng 2-1 mô tả về mô hình tham chiếu OSI
I.3.2 Firewall và mô hình tham chiếu OSI
Như trong hình 2-4, hệ thống firewall có thể hoạt động ở 5 trong 7 tầng của mô hình tham chiếu OSI Tuy nhiên, hầu hết hệ thống firewall hoạt động chỉ
4 tầng Tầng liên kết dữ liệu, tầng mạng, tầng truyền, tầng ứng dụng Dựa trên sản phẩm và giải pháp firewall là đơn giản hay phức tạp, số tầng sẽ gồm khác nhau Ví dụ, chuẩn danh sách truy nhập IP ACL, trên chức năng của router Cisco
ở tầng 3, và mở rộng chức năng ACL IP ở tầng 3, và 4
Hình 2-4 Firewall và mô hình tham chiếu OSI Nhiều tầng hơn mà sản phẩm hay giải pháp firewall có, trọn vẹn hơn và hiệu quả hơn có thể giới hạn truy xuất tới thiết bị Ví dụ, firewall mà hoạt động chỉ trên tầng 3, và 4 có thể chỉ lọc giao thức IP, địa chỉ IP, và số cổng TCP, UDP,
Trang 32nó không thể lọc thông tin ứng dụng như xác thực người dùng hay chỉ huy người dùng vào Bởi vậy, firewall có nhiều tầng có thể xử lý thông tin, và nó có thể xử
lý lọc
I.4 Những kiểu firewall
Hệ thống firewall có thể nói đến nhiều thiết bị và thành phần khác nhau hợp thành Một trong những phần đó là lọc lưu lượng, cái mà mọi người gọi là firewall Firewall lọc đến từ nhiều nhiều loại khác nhau bao gồm:
- Application gateway firewall
I.4.1 Firewall lọc gói
Kiểu firewall đơn giản nhất là firewall lọc gói Firewall lọc gói thường là router mà có khả năng lọc một số nội dung trên gói Thông tin mà firewall lọc gói
có thể nghiên cứu bao gồm thông tin ở tầng 3 thỉnh thoảng là tầng 4, như trong hình 2-5 Ví dụ, Cisco router vơi ACL chuẩn có thể lọc thông tin ở tầng 3, và Cisco router với ACL mở rộng có thể lọc thông tin ở tầng 3, và 4
Trang 33Hình 2-5 firewall lọc gói và mô hình tham chiếu OSI Bởi vì TCP/IP là giao thức truyền thông chuẩn trong thực tế trong mạng ngày nay Hầu hết firewall lọc gói hỗ trợ ít nhất là giao thức này Tuy nhiên, firewall lọc gói có thể hỗ trợ thêm giao thức khác, bao gồm IPX, Apple Talk, thông tin địa chỉ MAC tầng 2 và thông tin bridging Router Cisco với hỗ trợ nhiều giao thức cho chuẩn và ACL mở rộng
I.4.1.1 Hoạt động lọc
Khi thực hiện lọc gói, luật lọc gói được định nghĩa trên firewall Những luật này sử dụng để tìm kiếm gói nào có nội dung phù hợp với luật thì cho phép qua còn không thì từ bỏ Khi lưu lượng bị hủy, hai hành động xảy ra: là thông báo người gửi về dữ liệu bị hủy hoặc bỏ qua mà không có sự thông báo Đây là điều quan trọng khi thực hiện giải pháp firewall Với lựa chọn đầu tiên, người dùng biết rằng lưu lượng được lọc bởi firewall Nếu đây là người sử dụng bên trong cố truy xuất tài nguyên bên trong Người dùng có thể gọi người quản trị và thảo luận về vấn đề này Người quản trị sau đó thay đổi nguyên tắc lọc để cho phép người dùng truy xuất nếu người dùng có đặc quyền phù hợp Nếu firewall lọc gói không gửi trở lại thông điệp, người dùng không có ý kiến hỏi tại sao kết nối không thiết lập và phải tiêu tốn nhiều thời gian hơn để giải quyết vấn đề
Trang 34I.4.1.2 Thông tin lọc
Firewall lọc gói có thể lọc với những kiểu thông tin sau:
- Địa chỉ nguồn và đích ở tầng 3
- Thông tin giao thức tầng 3
- Thông tin giao thức ở tầng 4
- Cổng gửi và nhận lưu lượng
Ví dụ, cisco router sử dụng lọc thông điệp ICMP tầng 3, hay địa chỉ IP nguồn và đích tầng 3 và số cổng TCP tầng 4 bảng 2-2 đưa ra một số thứ mà firewall lọc gói có thể lọc
Hình 2-6 Thông tin lọc gói TCP/IP Như vậy, có thể sử dụng nhiều thông tin, khi quyết định lọc gói trên firewall lọc gói Như nghiên cứu bảng lọc mà firewall lọc gói trên router chẳng hạn sử dụng trong hình 2-6 bảng 2-3 chỉ luật lọc gói trên router Cho rằng những luật này hoạt động trên cổng WAN kết nối tới Internet như lưu lượng đến cổng
Bảng 2-3 Bảng lọc gói
I.4.1.3 Những điểm thuận lợi của lọc gói
Firewall lọc gói có hai thuận lợi chính:
- Chúng có thể xử lý gói ở tốc độ rất cao
Trang 35- Chúng dễ dàng phù hợp trên hầu hết các trường ở gói tầng 3 và
header segment tầng 4, cung cấp nhiều mềm dẻo trong chính sách bảo mật
Bởi vì firewall lọc gói chỉ nghiên cứu thông tin tầng 3, và 4, nhiều sản phẩm định tuyến hỗ trợ kiểu lọc gói này, điều này bao gồm router Cisco với sử dụng chuẩn và mở rộng ACLs Phụ thuộc mô hình router mà bạn mua, bạn có thể
so sánh với lọc của bạn tới tốc độ rất cao
Bởi vì router thường ở vành đai của mạng, cung cấp truy xuất MAN, WAN, bạn có thể sử dụng lọc gói để cung cấp thêm một lớp bảo mật Những router này thường được gọi là router vành đai hay router ranh giới, và chúng được chỉ ra ở hình 2-6 thậm chí với lọc tầng 3 và 4 đơn giản Firewall lọc gói có thể cung cấp bảo vệ chống lại nhiều kiểu tấn công, bao gồm những kiểu tấn công
từ chối dịch vụ DoS, và có thể lọc những luồng không cần thiết và không mong muốn Điều này cho phép firewall nội bộ đối phó với kiểu đe dọa khác và tấn công khác mà firewall lọc gói không thể tìm thấy hay đối phó
I.4.1.4 Hạn chế của firewall lọc gói
Mặc dù với những điểm thuận lợi, firewall lọc gói có những điểm không thuận lợi:
- Chúng cấu hình phức tạp
- Không ngăn cản tấn công tầng ứng dụng
- Chúng dễ bị ảnh hưởng bởi những kiểu tấn công giao thức TCP/IP
- Chúng không hỗ trợ xác thực kết nối người dùng
- Chúng giới hạn khả năng logging
Một điểm không thuận lợi của firewall lọc gói bao gồm tạo và duy trì luật thiết lập Như TCP/IP, bạn phải làm quen với hoạt động của giao thức TCP/IP khác nhau và những trường trong header của chúng, bao gồm IP, TCP, UDP, ICMP Không biết điều này, bạn vô tình có thể block đường tuyền mà bạn tưởng
là cho phép, hay cho phép đường truyền mà tưởng là block Cũng với tình huống
đó, nếu không quan tâm tới cấu hình của bạn, bạn có thể tạo nhiều vấn đề cho
Trang 36bản thân Cộng vào, một số thay đổi mà bạn thật sự phải làm để hoàn toàn kiểm tra để đảm bảo cấu hình thích hợp
Firewall lọc gói không thể ngăn cản tất cả các kiểu tấn công, ví dụ, bạn có thể cho phép đường truyền tới cổng 80 tới web server xác định trong mạng Làm điều này, firewall lọc gói nghiên cứu gói ở địa chỉ đích trên tầng 3 và số cổng đích Nếu phù hợp, firewall lọc gói cho phép truyền Một vấn đề tiến đến firewall lọc gói không nghiên cứu nội dung thực sự của kết nối HTTP Một trong những phương thức phổ biến nhất của hacking trong mạng là tìm thấy ưu thế ở những điểm yếu được tìm thấy trên web server Firewall lọc gói không thể tìm thấy những tấn công này bởi vì chúng xảy ra qua kết nối TCP mà được cho phép Cũng như thế, firewall lọc gói không thể tìm thấy và ngăn cản tấn công giao thức TCP/IP, như làm lụt TCP SYN và spoofing ip Nếu firewall lọc gói cho phép lưu lượng tới web server nội bộ, nó không quan tâm loại lưu lượng là gì Hacker có thể có những thuận lợi và làm lụt web server với TCP SYN ở cổng 80
Ví dụ khác, firewall lọc gói không thể tìm thấy tất cả các tấn công giả mạo IP Nếu bạn cho phép truyền từ mạng ngoài như 201.1.1.0/24, firewall lọc gói chỉ kiểm tra địa chỉ nguồn IP trên gói, nó không thể tìm địa chỉ nguồn thực hay đích thực của gói Hacker có thể có lợi dụng những điểm này để thực hiện tấn công DoS chống lại mạng nội bộ bởi làm lụt nó với lưu lượng cho phép từ địa chỉ nguồn cho phép
Có 2 phương thức tấn công, bao gồm giả mạo IP và DoS, thông thường có thể đối phó bởi xác thực lưu lượng từng luồng riêng lẻ trước khi cho nó qua firewall Thật không may, firewall lọc gói chỉ kiểm tra thông tin tầng 3 và 4 Hành động xác thực yêu cầu firewall xử lý thông tin xác thực, mà xử lý ở tầng 7 Cuối cùng, firewall lọc gói thường hỗ trợ chức năng logging Tuy nhiên, chức năng logging bị giới hạn chỉ với thông tin ở tầng 3, và 4 Nếu một ai đó đang thực hiện một kiểu tấn công web server nào đó trên cổng 80 và bạn đang đóng cổng 80, firewall lọc gói có thể log hành động deny, nhưng, không may, firewall không thể log dữ liệu tầng ứng dụng đã được đóng gói trên segment transport
Trang 37HTTP Bởi vậy, nếu bạn là người quản trị, biết ai đó cố gắng truy xuất tới cổng
80 trên server, nhưng bạn không biết được người đó đang cố làm cái gì?
I.4.1.5 Firewall lọc gói dùng để làm gì
- Như hàng phòng thủ đầu tiên , router vành đai
- Khi chính sách bảo mật có thể được thực hiện hoàn chỉnh với lọc
gói và không thực hiện xác thực
- Trong mạng SOHO mà yêu cầu bảo mật nhỏ và liên quan về giá Nhiều công ty sử dụng firewall lọc gói như hàng rào phòng thủ đầu tiên, với một số kiểu firewall chức năng đầy đủ đằng sau nó cung cấp bảo mật thêm vào Như Cisco PIX firewall
Nhiều mạng SOHO thuê những firewall lọc gói bởi vì sự đơn giản và giá khi so sánh với những firewall khác SOHO được thích hợp với bảo mật cơ bản ở
lý do giá Bạn phải nhận ra, firewall lọc gói không cung cấp bảo mật hoàn chỉnh cho SOHO, nhưng chúng cung cấp cấp độ bảo mật tối thiểu để tránh khỏi tấn công và nhiều kiểu đe dọa mạng
I.4.2 Firewall stateful
Không giống firewall lọc gói, firewall stateful lưu lại dấu vết của trạng thái kết nối: sau khi kết nối được khởi tạo, truyền dữ liệu, hay kết thúc
Nhiều chuyên gia bảo mật không đồng ý chức năng firewall nằm trên tầng nào trong mô hình tham chiếu OSI: tầng 3, và 4 transport, hay 3,4,5 là thêm tầng session Từ tầng transport, firewall stateful kiểm tra thông tin trong header của gói tầng 3 và segment tầng 4 Ví dụ, nó nhìn vào header TCP với SYN, RST, ACK, FIN, và những mã điều khiển khác để tìm trạng thái kết nối
Tuy nhiên, bởi vì tầng phiên thiết lập và hủy kết nối Tầng truyền xử lý cơ chế kết nối thực sự Một số nói firewall stateful hoạt động ở tầng 5, như trong hình 2-7 trong cũng trường hợp vậy, firewall stateful biết về kết nối và trạng thái của nó
Trang 38Hình 2-7 firewall stateful và mô hình tham chiếu OSI
I.4.2.1 Vấn đề với firewall lọc gói
hình 2-8 là ví dụ, trong hình, firewall lọc gói có luật đặt trên cổng inbound của nó từ tình trạng Internet, mà một số lưu lượng bên ngoài gửi tới 200.1.1.10 bị
từ chối Như hình 2-8, khi 170.1.1.1 cố truy xuất tới 200.1.1.10, firewall lọc gói hủy truyền
Hình 2-8 ví dụ firewall lọc gói- khởi tạo kết nối Tuy nhiên, chuyện gì xảy ra nếu ai đó bên trong mạng, như 200.1.1.10, cố truy xuất tới thiết bị ngoài 170.1.1.1? cho rằng đây là yêu cầu http tới 170.1.1.1,
mà có web server chay trên nó HTTP sử dụng TCP, và TCP qua 3 bước bắt tay
để thiết lập kết nối trước khi dữ liệu truyền: SYN, SYN/ACK, ACK Khởi tạo, 200.1.1.1 gửi SYN để thiết lập kết nối Với TCP và UDP, số cổng nguồn được
Trang 39chọn mà lớn hơn 1023 Đích là cổng 80, nói 170.1.1.1 rằng đây là yêu cầu HTTP cho web server
Khi firewall lọc gói nhận truyền trên cổng bên trong nó, nó kiểm tra để nhìn nếu lưu lượng cho 200.1.1.10 được phép để rời khỏi mạng Trong trường hợp này, không có luật lọc nào ngăn cản điều này, bởi vậy lưu lượng 200.1.1.10 được gửi tới 170.1.1.1, 170.1.1.1 phản hồi lại với thông điệp SYN TCP của 200.1.1.10 với SYN/ACK bước thứ 2 trong 3 bước bắt tay Được chỉ ra trong hình 2-9 Tuy nhiên, khi firewall lọc gói kiểm tra gói, nó tìm thấy rằng bởi vì địa chỉ đích là 200.1.1.10 là gói đã bị hủy, dựa theo luật lọc gói Bởi vậy, kết nối không thể thiết lập tới web server bên ngoài, từ chối truy xuất web người dùng
Hình 2-9 ví dụ firewall lọc gói – xử lý phản hồi
Để giải quyết vấn đề này với firewall lọc gói có 2 cách:
I.4.2.2 Mở cổng
- Mở cổng đích lớn hơn 1023 khi lưu lượng quay lại nguồn
- Kiểm tra bit điều khiển TCP để tìm xem đây có phải là lưu trượng
trả lại không?
Trang 40Với giải pháp đầu tiên Trong trường hợp này, nguồn bắt đầu mở một cổng nguồn lớn hơn 1023, như 10,000 và sử dụng cổng đích của HTTP là 80 Bởi vậy, cho phép lưu lượng trả lại từ 170.1.1.1, firewall lọc gói cần luật mà cho phép cổng 10,000 Vấn đề với điều này là cổng nguồn đó có thể sử dụng một số cổng nguồn lớn hơn 1023 Bất cứ cái nào là dỗi và được chọn bởi hệ điều hành là một cái được gán Bởi vậy, bạn được cho phép tất cả các cổng lớn hơn 1023 để cho phép lưu lượng trở lại tới 200.1.1.10 , như hình 2-10
Hình 2-10 vi dụ lọc gói –mở cổng
Mở cổng lớn hơn 1023 không được giới thiệu thực hiện để cho phép trả lại luồng từ kết nối gốc Bạn đang tạo một lỗ hổng bảo mật lớn trong firewall mà sẽ làm tất cả các loại tấn công vào thiết bị nội bộ
I.4.2.3 Kiểm tra bit điều khiển của TCP
Điều quan tâm thứ 2 là kiểm tra thông tin tầng truyền về kết nối để tìm ra xem nó có phải là phần kết nối tồn tại, cho phép lưu lượng trở lại 200.1.1.1 với TCP, đây có thể được làm bởi kiểm tra cờ điều khiển trong header segment TCP Điều này chỉ trong bảng 2-4 và được định nghĩa trong RFC 793, chú ý rằng nhiều
mã, phổ biến được gọi flags, có thể được tìm thấy trong cùng header segment, như SYN, ACK, hay FIN và ACK