Tường lửa - firewall
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 I)Tờng lửa là gì.(firewall) Tờng lửa là hệ thống ngăn chặn việc trái phép từ bên ngoài vào mang. Tờng lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo quy tắc hay chỉ tiêu định trớc. Intranet firewall Internet 1) Cấu trúc của một firewall: Firewall bao gồm: Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thờng là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting) 2) Các thành phần của Firewall Một firewall bao gồm một hay nhiều thành phần sau: + Bộ loc packet (packet-filtering router) + Cổng ứng dụng (Application-level gateway hay proxy server) II) Phân loại tờng lửa 1 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Có ba loại tờng lửa cơ bản: Truyền thông đợc thực hiện giửa một nút đơn và mạng, hay giữa một số mạng. Truyền thông đợc chặn tại tầng mạng, hay tầng ứng dụng. Tờng lửa có theo dõi trạng thái của truyền thông hay không. 1) Phân loại theo phạm vi của các truyền trông đợc loc. Tờng lửa cá nhân, một ứng dụng phần mền với chức năng thông thờng là lọc dữ liệu ra vào một máy tính đơn. Tờng lửa mạng, thờng chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tờng lửa thuộc loại này lọc tất cả giao thông dữ liệu vào hoặc ra các mạng đợc kết nối qua đó. 2) Khi phân loại theo các tầng giao thức nơi giao thông dữ liêu có thể bị chặn, có ba loại tờng lửa chính: Tờng lửa tầng mạng. Ví dụ: Iptables Tờng lửa tầng ứng dụng. Ví dụ: TCP Wrappers Tờng lửa ứng dụng. Ví dụ: hạn chế các dịch vụ FPT bằng việc định cấu hình tại tệp /etc/ftpaccess Có loại tờng lửa tầng mạng và tờng lửa tầng ứng dụng thờng trùm lên nhau, mặc dù tờng lửa cá nhân không phục vụ mạng, nhng một số hệ thống đơn đã cài đặt chung cả hai. 3) Phân loại theo tiêu chí rằng tờng lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tờng lửa: Tờng lửa có trạng thái Tờng lửa phi trạng thái III) Khả năng và hạn chế của tờng lửa hiện nay. 1) Khả năng của một firewall 2 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Các chức năng cơ bản của một Firewall là : Cho phép hoặc cấm các dịch vụ truy nhập ra ngoai ( từ intranet ra internet) . Cho phép hoặc cấm các dịch vụ truy nhập vào trong ( từ internet vào intranet ) . Theo dõi luồng dữ liệu trao đổi giũa mạng bên trong ( intranet ) và mạng internet. Kiểm soát địa chỉ truy nhập , cấm địa chỉ truy nhập .Xác định địa chỉ truy nhập giả mạo Kiểm soát ngòi sử dụng và việc truy nhập của ngời sử dụng . 2) Hạn chế của một firewall Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack). Khi có một số chơng trình đợc chuyển theo th điện tử, vợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. 3 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 IV) Các phơng thức tấn công tờng lửa của hacker và biện pháp phòng chống. Trên lí thuyết, Firewall là phơng pháp bảo mật an toàn nhất cho hệ thống của bạn khi có kết nối internet. Tuy nhiên vẫn tồn tại những vấn đề xung quanh môi tr- ờng bảo mật này. Nếu Firewall đợc cấu hình quá chặt chẽ thì sẽ làm giảm tiến trình làm việc của mạng, đặc biệt là trong môi truờng ngời dùng phụ thuộc hoàn toàn vào các ứng dụng phân tán. Do vậy, việc lựa chọn cấu hình Firewall sao cho vừa đảm bảo tiến trình hoạt động của mạng vùa có đựoc mức độ bảo mật cao quả là một vấn đề nan giải đối với ngời quản trị mạng . Khai thác triệt để vấn đề này, các hacker đã nghiên cứu rất nhiều phong pháp để vợt qua Firewall. Nhng cơ bản thì đều gôm hai giai đoạn sau : Tìm ra dạng tờng lủa mà mạng đang sử dụng và các dịch vụ hoạt động phía sau nó . Khai thác các tuyến quan hệ (trusted relationship) và các nút bảo mật kết nối lỏng lẻo nhất để cố gắng đi vòng qua Firewall . Mt trong nhng vic phi l m c a các hacker l tách các th nh ph n thc ra khi các th nh ph n gi mo. Nhiu tng la s dng trm (sacrificial hosts) - l h thng c thit k nh các server Web (có th sn s ng b i) hay by (decoys), dùng bt các h nh vi thâm nh p ca hacker. By có th cn dùng ti nhng thit b ngy trang phc tp nhm che du tính cht tht ca nó, ví dụ : a ra câu tr li tng t h thng tp tin hay các ng dng thc. Vì vy, công vic u tiên ca hacker l ph i xác nh ây là các đối tợng tồn tại thật . có c thông tin v h thng, hacker cn dùng ti thit b có kh nng phc v mail v các d ch v khác. Hacker s tìm cách nhn c mt thông ip 4 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 n t bên hệ thống . Khi đó, đờng đI đợc kiểm tra và có thể tìm ra những manh mối về cấu trúc hệ thống. Dới đây là một số phơng thức thông dụng mà hacker sử dụng để định danh Firewall và xác định cấu trúc của mạng nội bộ : 1) Định danh firewall Hu ht mi Firewall u mang mt "mùi hơng"in t duy nht. Ngha l , v i mt tin trình quét cng, lp cu la, v n m gi biu ng n gin, bn tn công có th hiu qu xác nh kiu, phiên bn, v các quy t c ca hu ht mi Firewall trên mng. Ti sao vic nh danh n y l i quan trng? Bi vỡ mt khi ó ánh x c các Firewall, chúng có th bt u tìm hiu các im yu v g ng khai thác chúng. a) Quét trực tiếp Cách d nht tìm kim các Firewall ó l quét các c ng ngm nh c th. Mt s Firewall trên th trng s t nh danh duy nht bng các t quét cng n gin bn ch cn bit ni dung tìm kim. Ví d, Firewall-1 ca Check point lng ch trên các cng TCP 256, 257, 258, v Proxy Server c a Microsoft thng lng ch trên các cng TCP 1080 v 1745. Vi s hiu bit n y, quá trình tìm ki m các kiu Firewall n y ch ng có gì khó vi mt b quét cng nh nmap : nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254 Dùng khóa chuyn -PO vô hiu hóa tính nng ping ICMP trc khi quét. Điu n y quan tr ng bi hu ht Firewall không áp ng các yêu cu di ICMP. C bn tn công nhút nhát ln hung bo u tin h nh quét r ng rãi mng theo cách 5 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 n y, tìm ki m các Firewall n y v tìm ki m mi khe h trong két st v nh ai. Nh- ng bn tn công nguy him hn s lùng sc v nh ai c ng lén lút c ng t t. Có nhiu k thut m b n tn công có th s dng h sp radar, bao gm ngu nhiên hóa các ping, các cng ích, các a ch ích, v các c ng ngun;dùng các h ch cò mi; v th c hin các t quét ngun có phân phi. Các Biện Pháp Phòng Chống : Đ ngn cn các t quét cng bc tng la t Internet, cn phong ta các cng n y trên các b nh tuyn ng trc các Firewall . Nu các thit b n y do ISP qun lý, cn liên h vi h tin h nh phong t a. b) Ra tuyến đờng Mt cách thinh lng v tinh t hn tìm các Firewall trên mt mng ó l dùng traceroute . Các hacker sử dụng traceroute ca UNIX hoc tracert.exe ca NT tìm tng chng dc trên ng truyn n đích v ti n h nh suy di n. Traceroute ca Linux có tùy chn -I, thc hin r ng bng cách gi các gói tin ICMP, trái vi k thut gúi tin UDP ngm nh. Biện Pháp Phòng Chống : Đ ngn cn các traceroute chy trên biên, có th cu hình các b nh tuyn không áp ng các thông ip TTL EXPI#800000 khi nó nhn mt gói tin có TTL l 0 hoc 1. Hoc nên phong ta to n b lung lu thông UDP không cn thit ti ứac b nh tuyn biên. c) Nắm giữ biểu ngữ 6 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Kỹ thuật quÐt t×m c¸c cổng Firewall l hà ữu Ých trong việc định vị c¸c Firewall , nhng hầu hết c¸c Firewall kh«ng lắng chờ trªn c¸c cổng ngầm định nh Check point v Microsoft, do ®ã vià ệc ph¸t hiện phải ®îc suy diễn. Nhiều Firewall phổ dụng sẽ c«ng bố sự hiện diện của chóng bằng c¸ch đơn giản nối với chóng. VÝ dụ , nhiều Firewall gi¸m quản sẽ c«ng bố chức năng cña chóng với t c¸ch một Firewall , và một số sẽ quảng c¸o kiểu v phiªn bà ản của chóng. VÝ dụ, khi ta nối với một m¸y được tin l mà ột bức tường lửa bằng netcat trªn cổng 21 (FTP ), ta sẽ thấy một số th«ng tin thó vị : : C:\TEMP>nc -v -n 192.168.51.129 2 l [UNKNOWN] [ 192.168.5l.129 ] 2 l ( ? ) open 220 Secure Gateway FTP server ready . Biểu ngữ "Secure Gateway server FTP ready" l mà ột dấu hiệu lộ tẩy của một hộp Eagle Raptor cũ. Việc nối thªm với cổng 23 (telnet) sẽ x¸c nhận tªn bức tường lửa l "Eagle." à C:\TEMP>nc -v -n 192.168.51.129 23 [UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open Eagle Secure Gateway . Hostname : 7 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 V cu i cùng. nu vn cha b thuyt phc h ch l m t bc tng la, có th netcat vi cng 25 ( SMTP ), v nó sẽ bảo cho bi t nó l gì: C:\TEMP>nc -v -n 192.168.51.129 25 [UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open 421 fw3.acme.com Sorry, the firewall does not provide mail service to you. Nh ó thy trong các ví d trên ây, thông tin biu ng có th cung cp các thông tin quý giá cho bn tn công trong khi nh danh các bc tng la. Dùng thông tin n y, chúng có th khai thác các ch yu ph bin hoc các cu hình sai chung. Biện Pháp Phòng Chống : Đ chnh sa ch yu rò r thông tin n y, chúng ta gi i hn thông tin biu ng qung cáo. Mt biu ng tt có th kèm theo mt mc cnh giác mang tính pháp lý v t t c mi n lc giao kt s c ghi s. Hoặc có thể thay đổi thông tin về Firewall từ các biểu ngữ quảng cáo . 2) Quét qua các tờng lửa a) Kĩ thuật hping Hping l m vi c bng cách gi các gói tin TCP n mt cng ích v báo cáo các gói tin m nó nh n tr li. hping tr v nhiu áp ng khác nhau tùy theo s iu kin. Mi gói tin tng phn v to n th có th cung cp mt bc tranh khá rõ v các kiu kim soát truy cp ca Firewall. Ví d, khi dùng hping ta có th phát hln các gói tin m, b phong ta, th, v lo i b. 8 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Trong ví d sau ây, hping báo cáo cng 80 ang m v s n s ng nh n mt tuyn ni. Ta bit iu n y b i nó ón nhn mt gói tin vi c SA c n nh (mt gói tin SYN/ACK). [ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S -p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 0 ) : S set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms Gi ây ta bit có mt cng m thông n ích, nhng cha bit ni ca Firewall. Trong ví d k tip, hping báo cáo nhn mt ICMP unreachable type 13 t 192.168.70.2. Mt ICMP type 13 l m t gói tin lc b ICMP admin ngn cm, thờng đợc gi t mt b nh tuyn lc gói tin. [root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S -p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S set, 40 data bytes ICMP Unreachable type 13 f rom 192.168.70.2 Gi ây nó đã xác nhn, 192.168.70.2 t hn l b c tng la, v ta bi t nó ang rõ rt phong ta cng 23 n ích ca chúng ta. b) Firewalk Firewalk l m t cụng c nh tin dng, nh mt b quét cng, đợc dùng phát hin các cng m ằng sau mt Firewall. Đc vit bi Mike Schiffnlan, trình tin ích 9 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 n y s quét mt h ch sử dụng Firewall v báo cáo tr li các quy tc đợc phép n h ch ó m không ph i thc t chm n h ích. Firewalk l m vi c bng cách kin to các gói tin vi mt IP TTL đợc tính toán kt thúc mt chặng vợt qúa bc tng la. V lý thuyt, nu gói tin đợc Firewall cho phép, nó s đợc phép i qua v s kt thúc nh d kin, suy ra mt thông ip "ICMP TTL expired in transit." Mt kuasc, nu áoi tin b ACL ca Firewall phong ta, nó s b th, v ho c không có dáp ng n o s đợc gi, hoc mt gói tin lc b ICMP type 13 admin ngn cm s c gi. Biện Pháp Phòng Chống : Bn có th phong ta các gói tin ICMP TTL EXPI#800000 ti cp giao din bên ngo i, nh ng iu n y có th tác ng tiêu ec n kh nng vn h nh c a nó, vì các h khách hp pháp ang ni s không bao gi bit iu gì ó xy ra vi tuyn ni ca chúng. V) Địa chỉ IP 1) Địa chỉ IP là gì ? Mỗi máy tính khi kết nối vào internet đều có một địa chỉ duy nhất, đó là địa chỉ IP. Địa chỉ này dùng để phân biệt máy tính đó với các máy tính còn lại trên mạng internet . Địa chỉ ip là một số 32 bit = 4 byte nên có thể coi địa chỉ ip đợc tạo thành từ 4 số có kích thớc 1 byte, mỗi số có giá trị từ o-255 .Mỗi địa chỉ ip đều gôm 2 phần là địa chỉ mạng ( network ) và địa chỉ máy (host).Ví dụ : 192.168.10.56;255.144.10.51 2) Các lớp của địa chỉ IP 10 [...]... 233.255 254.0 D 1 1 1 0 địa chỉ multicast - - - - 224.0.0.0 239.255 255.255 11 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 E 1 1 1 1 Dành riêng - - - - 240.0.0.0 254.255 255.255 Lo - - - - - 127.x.x.x opb ack ghi chú : N=network ; H = host Giải thích : Lớp A : bit đầu tiên là 0, 7 bit tiếp theo dành cho địa chỉ network nên có tối đa 2^ 7-2 = 126 địa chỉ mạng trên lớp A, 24 địa... đang kết nối vào router - Show history hiển thị danh sách các câu lệnh vừa mới đợc sử dụng - Show flash hiển thị thông tin về bộ nhớ flash - Show version hiển thị thông tin router đang chạy trên RAM - Show ARP hiển thị bảng ARP trên router - Show protocol hiển thị trạng thái toàn cục và trạng thái của các cổng giao tiếp đã đợc cấu hình giao thức ở lớp 3 - Show startup-configuration hiển thị... show running-config Lệnh này sẽ hiển thị nội dung tập tin cấu hình hiện tại Nếu kết quả hiển thị có những chi tiêt không đúng thì có thể chỉnh sửa lại bằng một hoặc nhiều cách sau: - Dùng dạng no của các lệnh cấu hình - Khởi động lại router với tập tin cấu hình nguyên thuỷ trong NVRAM - Chép tập tin cấu hình dự phòng từ TFTP sever - Xoá tập tin cấu hình khởi động bằng lệnh erase startup-config, sau... lớp B (N.N.H.H) từ đó có thể suy ra địa chỉ mạng là 127.7 còn địa chỉ máy là 15.1 Ta cũng có thể xác định dựa vào byte đầu tiên của địa chỉ IP : Lớp Byte đầu tiên của địa chỉ IP A 1-1 26 B 12 8-1 91 C 19 2-2 23 D 22 4-2 39 E 24 0-2 54 Loopback 127 13 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 3) Tìm hiểu về subnet Để cấp phát địa chỉ IP cho các mạng khác nhau một cách hiệu qủa và dễ... tim ra sự cố - Show interfaces hiển thị trạng thái của tất cả các thông tin chuyển biệt về phần cứng của các loại cổng serial 20 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Ví dụ: Router#show interfaces serial 0/1 - Show controllers serial hiển thị các thông tin chuyên biệt về phần cứng của các cổng serial - Show clock hiển thị đồng hồ đợc cài đặt trên router - Show hosts... cần phải có một địa chỉ IP và subnet mask để có thể thực hiện định tuyến các gói IP qua cổng đó Sau đây là các bớc thực hiện cấu hình cổng Ethernet: - Vào chế độ cấu hình toàn cục - Vào chế độ cấu hình cổng Ethernet - Khai báo địa chỉ IP và subnet mask - Khởi động cổng Ethernet Nếu các cổng trên router đều đóng dùng lệnh no shutdown để mở hay khởi động cổng Nếu cần đóng cổng lại để bảo trì hay xử lý... tính cá nhân vùng địa chỉ của lớp C là 192.0.1. 0-2 23.255.254.0 12 Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368 Lớp D Bốn bit đầu tiên luôn là 1110, đợc dành cho các nhóm multicast, có vùng địa chỉ từ 224.0.0. 0-2 39.255.255.255 Lớp E với 4 bit đầu là 1111 , lớp này đợc dùng cho các mục đích nghiên cứu Vùng địa chỉ từ 240.0.0. 0-2 54.255.255.255 Loopback là địa chỉ quay trở lại,... - Show protocol hiển thị trạng thái toàn cục và trạng thái của các cổng giao tiếp đã đợc cấu hình giao thức ở lớp 3 - Show startup-configuration hiển thị tập tin cấu hình đang lu trong NVRAM - Show running-configuration hiển thị tập tin cấu hình đang chạy trên RAM d) Cấu hình cổng serial Các bớc thực hiện khi cấu hình cổng serial Vào chế độ cấu hình toàn cục Vào chế độ cấu hình cổng serial Khai... 0/0 Router (config-if) #if address Cổng serial cần phải có tín hiệu clock để điều khiển thời gian thực hiện thông tin liên lạc Trong môi trờng làm lab thì các đờng liên kết serial đợc kết nối trực tiếp với nhau Do đó phải có một đàu là DCE để cấp tín hiệu clock Dùng lệnh clockrate để cài đặt tốc độ clock VD: Router (config) #interface serial 0/0 Router (config-if) #clock rate... địa chỉ tiếp theo dành cho địa chỉ host nên mỗi mạng thuộc lớp A sẽ có tối đa là 2^2 4-2 =17.777.214 máy.Nguyên nhân phảI trừ đi 2 tại vì có 2 địa chỉ đợc dành riêng là địa chỉ mạng ( x.x.x.0) và địa chỉ broadcast ( x.x.x.255).Lớp A chỉ dành riêng cho các tổ chức lớn trên thế giới , vùng địa chỉ ip của lớp A là 1.0.0. 1-1 26.0.0.0 Lớp B có 2 bit đầu tiên là 10, 14 bit tiếp theo dành cho địa chỉ nework