Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó là một trong những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cả thế giới và có thể nói Internet đã kết nối mọi người tới gần nhau hơn. Chính vì một khả năng kết nối rộng rãi như vậy mà các nguy cơ mất an toàn của mạng máy tính rất lớn. Đó là các nguy cơ bị tấn công của các mạng máy tính, tấn công để lấy dữ liệu, tấn công nhằm mục đích phá hoại làm tê liệt cả một hệ thống máy tính lớn, tấn công thay đổi cơ sở dữ liệu …Trước những nguy cơ đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên rất cấp thiết và quan trọng hơn bao giờ hết. Các nguy cơ bị tấn công ngày càng nhiều và ngày càng tinh vi hơn, nguy hiểm hơn. Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất mạng đòi hỏi có mật khẩu … nhưng những giải pháp đó chỉ bảo vệ một phần mạng máy tính mà thôi, một khi những kẻ phá hoại mạng máy tính đã thâm nhập sâu hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì vậy đã đặt ra một yêu cầu là phải có những công cụ để chống sự xâm nhập mạng bất hợp pháp ngay từ bên ngoài mạng, đó chính là nguyên nhân dẫn tới sự ra đời của Firewall (Tường lửa). Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại sâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống. Ngoài ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy tính khác mà không hay biết. Việc sử dụng một Firewall là cực kỳ quan trọng đối với các máy tính luôn kết nối Internet, như trường hợp có một kết nối băng thông rộng hoặc kết nối DSLADSL. Trên Internet, các tin tặc sử dụng mã hiểm độc, như là các virus, sâu và Trojan, để tìm cách phát hiện những cửa không khóa của một máy tính không được bảo vệ. Một tường lửa có thể giúp bảo vệ máy tính khỏi bị những hoạt động này và các cuộc tấn công bảo mật khác. Vậy một tin tặc có thể làm gì? Tùy thuộc vào bản chất của việc tấn công. Trong khi một số chỉ đơn giản là sự quấy rầy với những trò đùa nghịch đơn giản, một số khác được tạo ra với những ý định nguy hiểm. Những loại nghiêm trọng hơn này tìm cách xóa thông tin từ máy tính, phá hủy nó, hoặc thậm chí ăn căp thông tin cá nhân, như là các mật khẩu hoặc số thẻ tín dụng. Một số tin tặc chỉ thích đột nhập vào các máy tính dễ bị tấn công. Các virus, sâu và Trojan rất đáng sợ. May mắn là có thể giảm nguy cơ lây nhiễm bằng cách sử dụng một Firewall.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN o0o BÀI TẬP LỚN MÔN CƠ SỞ AN TOÀN THÔNG TIN ĐỀ TÀI: TÌM HIỂU FIREWALL Giáo viên hướng dẫn: Vũ Thị Vân Nhóm sinh viên thực hiện: Nhóm – Lớp AT6B: Hà Văn Trường Nguyễn Việt Long Đỗ Văn Tiền Nguyễn Như Tỉnh Hà Nội, 10/2012 NHẬN XÉT CỦA GIÁO VIÊN LỜI MỞ ĐẦU Ngày công nghệ thông tin phát triển mạnh mẽ, với nguy an toàn trao đổi thông tin qua internet Cần giải phát để đảm bảo cho cho trình truyển tải internet an toàn Một khái niệm firewall hình hành Tường lửa thiết bị phần cứng và/hoặc phần mềm hoạt động môi trường máy tính để ngăn chặn số liên lạc bị cấm sách an ninh cá nhân hay tổ chức, việc tương tự với hoạt động tường ngăn lửa tòa nhà Tường lửa gọi Thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt ngữ cảnh NATO, hay lọc gói tin (packet filter) hệ điều hành BSD phiên Nhiệm vụ tường lửa kiểm soát giao thông liệu hai vùng tin cậy khác Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) mạng nội (một vùng có độ tin cậy cao) Mục đích cuối cung cấp kết nối có kiểm soát vùng với độ tin cậy khác thông qua việc áp dụng sách an ninh mô hình kết nối dựa nguyên tắc quyền tối thiểu (principle of least privilege) Trong trình thực đề tài nhóm em không khỏi mắc phải thiếu sót Mong thầy đóng góp ý kiến để chúng em hoàn thiện tốt đề tài sau Em xin chân thành cảm ơn! Sinh viên thực hiện: Hà văn Trường Nguyễn Tỉnh Đỗ văn Tiền Nguyễn việt Long PHẦN I: TỔNG QUAN VỀ FIREWALL I.1 Khái niệm Firewall I.1.1 Tại phải sử dụng Firewall cho mạng máy tính kết nối Internet? Internet đời đem lại nhiều lợi ích lớn cho người, nhân tố hàng đầu góp phần vào phát triển nhanh chóng giới nói Internet kết nối người tới gần Chính khả kết nối rộng rãi mà nguy an toàn mạng máy tính lớn Đó nguy bị công mạng máy tính, công để lấy liệu, công nhằm mục đích phá hoại làm tê liệt hệ thống máy tính lớn, công thay đổi sở liệu …Trước nguy đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên cấp thiết quan trọng hết Các nguy bị công ngày nhiều ngày tinh vi hơn, nguy hiểm Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng đòi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thôi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt yêu cầu phải có công cụ để chống xâm nhập mạng bất hợp pháp từ bên mạng, nguyên nhân dẫn tới đời Firewall (Tường lửa) Một Firewall có thể lọc các lưu lượng Internet nguy hiểm hacker, các loại sâu, và một số loại virus trước chúng có thể gây trục trặc hệ thống Ngoài ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy tính khác mà không hay biết Việc sử dụng một Firewall là cực kỳ quan trọng máy tính kết nối Internet, trường hợp có một kết nối băng thông rộng hoặc kết nối DSL/ADSL Trên Internet, các tin tặc sử dụng mã hiểm độc, là các virus, sâu và Trojan, để tìm cách phát hiện những cửa không khóa một máy tính không được bảo vệ Một tường lửa có thể giúp bảo vệ máy tính khỏi bị những hoạt động này và các cuộc tấn công bảo mật khác Vậy một tin tặc có thể làm gì? Tùy thuộc vào bản chất của việc tấn công Trong một số chỉ đơn giản là sự quấy rầy với những trò đùa nghịch đơn giản, một số khác được tạo với những ý định nguy hiểm Những loại nghiêm trọng này tìm cách xóa thông tin từ máy tính, phá hủy nó, hoặc thậm chí ăn căp thông tin cá nhân, là các mật khẩu hoặc số thẻ tín dụng Một số tin tặc chỉ thích đột nhập vào các máy tính dễ bị tấn công Các virus, sâu và Trojan rất đáng sợ May mắn là có thể giảm nguy lây nhiễm bằng cách sử dụng một Firewall I.1.2 Sự đời Firewall Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trò bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Internet FireWall tập hợp thiết bị (bao gồm phần cứng phần mềm) mạng tổ chức, công ty, hay quốc gia (Intranet) Internet: (INTRANET - FIREWALL - INTERNET) Trong số trường hợp, Firewall thiết lập mạng nội cô lập miền an toàn Ví dụ mạng cục sử dụng Firewall để ngăn cách phòng máy hệ thống mạng tầng Một Firewall Internet có thể giúp ngăn chặn người ngoài Internet không xâm nhập được vào máy tính Một Firewall làm việc bằng cách kiểm tra thông tin đến và Internet Nó nhận dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ Nếu bạn cài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn công không thể phát hiện máy tính Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu Một lời khuyên nên sử dụng firewall cho máy tính hay mạng có kết nối tới Internet Đối với kết nối Internet băng thông rộng Firewall quan trọng, loại kết nối thường xuyên bật (always on) nên tin tặc có nhiều thời gian muốn tìm cách đột nhập vào máy tính Kết nối băng thông rộng thuận lợi cho tin tặc sử dụng để làm phương tiện tiếp tục công máy tính khác I.2 Mục đích Firewall Với Firewall, người sử dụng yên tâm thực thi quyền giám sát liệu truyền thông máy tính họ với máy tính hay hệ thống khác Có thể xem Firewall người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" gói liệu vào máy tính hay khỏi máy tính người sử dụng, cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu không hợp lệ Các giải pháp Firewall thực cần thiết, xuất phát từ cách thức liệu di chuyển Internet Giả sử gửi cho người thân thư để thư chuyển qua mạng Internet, trước hết phải phân chia thành gói nhỏ Các gói liệu tìm đường tối ưu để tới địa người nhận thư sau lắp ráp lại (theo thứ tự đánh số trước đó) khôi phục nguyên dạng ban đầu Việc phân chia thành gói làm đơn giản hoá việc chuyển liệu Internet dẫn tới số vấn đề Nếu người với dụng ý không tốt gửi tới số gói liệu, lại cài bẫy làm cho máy tính cần phải xử lý gói liệu làm cho gói liệu lắp ghép theo thứ tự sai, nắm quyền kiểm soát từ xa máy tính gây nên vấn đề nghiêm trọng Kẻ nắm quyền kiểm soát trái phép sau sử dụng kết nối Internet để phát động công khác mà không bị lộ tung tích Firewall đảm bảo tất liệu vào hợp lệ, ngăn ngừa người sử dụng bên đoạt quyền kiểm soát máy tính bạn Chức kiểm soát liệu Firewall quan trọng ngăn ngừa kẻ xâm nhập trái phép "cấy" virus có hại vào máy tính để phát động công cửa sau tới máy tính khác mạng Internet Hình 1.1 Firewall đặt mạng riêng mạng công cộng Một Firewall gồm có hai giao diện mạng: Chung riêng, giao diện chung kết nối với Internet, phía mà người truy cập, giao diện riêng phía mà chứa liệu bảo vệ Trên Firewall có nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần tách rời Ứng với giao diện có quy tắc bảo vệ riêng để xác định kiểu lưu thông qua từ mạng chung mạng riêng Firewall làm nhiều việc có nhiều thuận lợi khó khăn Thông thường nhà quản trị mạng sử dụng Firewall thiết bị đầu nối VPN, máy chủ xác thực máy chủ DNS Tuy nhiên thiết bị mạng khác, nhiều dịch vụ hoạt động máy chủ rủi ro nhiều Do đó, Firewall không nên chạy nhiều dịch vụ Firewall lớp bảo vệ thứ hai hệ thống mạng, lớp thứ định tuyến mức định tuyến cho phép bị từ chối địa IP phát gói tin bất bình thường Firewall xem cổng phép hay từ chối Firewall đôi lúc hữu ích cho đoạn mạng nhỏ địa IP riêng lẻ Bởi định tuyến thường làm việc tải, nên việc sử dụng định tuyến để lọc định tuyến IP đơn, lớp địa nhỏ tạo tải trọng không cần thiết Firewall có ích cho việc bảo vể mạng từ lưu lượng không mong muốn Nếu mạng máy chủ công cộng Firewall công cụ tốt để từ chối lưu lượng vào, lưu lượng mà không máy sau Firewall, Một Firewall cấu hình để từ chối tất lưu lượng ngoại trừ cổng 53 dành riêng cho máy chủ DNS Hình 1.2 Mạng gồm có Firewall máy chủ Sức mạnh Firewall nằm khả lọc lưu lượng dựa tập hợp quy tắc bảo vệ, gọi quy tắc bảo vệ nhà quản trị đưa vào Đây nhược điểm lớn Firewall, quy tắc xấu không đầy đủ mở lối cho kẻ công, mạng không an toàn Nhiều nhà quản trị mạng không nghĩ Firewall hoạt động thiết bị mạng phức tạp Người ta quan tâm nhiều đến việc giữ lại lưu lượng không mong muốn đến mạng riêng, quan tâm đến việc giữ lại lưu lượng không mong muốn đến mạng công cộng Nên quan tâm đến hai kiểu tập quy luật bảo vệ Nếu kẻ Các hệ thống Firewall có điểm chung cấu trúc cụ thể sau: Trong đó: - Screening Router: chặng kiểm soát cho LAN - DMZ: vùng có nguy bị công từ internet - Gateway Host: cổng vào mạng LAN DMZ, kiểm soát liên lạc, thực thi chế bảo mật - IF1 (Interface 1): card giao tiếp với vùng DMZ - IF2 (Interface 2): card giao tiếp với vùng mạng LAN - FTP Gateway: Kiểm soát truy cập FTP LAN vùng FTP từ mạng LAN internet tự Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server - Telnet gateway: Kiểm soát truy cập telnet tương tự FTP, Hình 1.5 Cấu trúc chung hệ thống Firewall người dùng telnet tự do, telnet từ vào yêu cầu phải xác thực thông qua Authentication server - Authentication server: nơi xác thực quyền truy cập dùng kỹ thuật xác thực mạnh one-time password/token (mật sử dụng lần) Tất Firewall có chung thuộc tính cho phép phân biệt đối xử hay khả từ chối truy nhập dựa địa nguồn Nhờ mô hình Firewall mà máy chủ dịch vụ mạng LAN bảo vệ an toàn, thôn tin trao đổi với internet kiểm soát thông qua gateway III.1 Kiến trúc Dual - Homed host (máy chủ trung gian) Firewall kiến trúc kiểu Dual-homed host xây dựng dựa máy tính Dual-homed host Một máy tính gọi Dual-homed host có hai Network interfaces, có nghĩa máy có gắn hai card mạng giao tiếp với hai mạng khác máy tính đóng vai trò router phần mềm Kiến trúc Dual-homed host đơn giản Dualhomed host giữa, bên kết nối với Internet bên lại nối với mạng nội (LAN) Dual-homed host cung cấp dịch vụ cách ủy quyền (proxy) chúng cho phép users đăng nhập trực tiếp vào Dualhomes host Mọi giao tiếp từ host mạng nội host bên bị cấm, Dual-homed host nơi giao tiếp Internet RemoteUser Firewall Dual-homed host Internal network User User User Hình 1.6 Kiến trúc Dual - Homed host III.2 Kiến trúc Screend Host Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc cung cấp dịch vụ từ host bên mạng nội bộ, dùng router tách rời với mạng bên Trong kiểu kiến trúc này, bảo mật phương pháp Packet Filtering Bastion host đặt bên mạng nội bộ, Packet Filtering cài router Theo cách này, Bastion host hệ thống mạng nội mà host Internet kết nối tới Mặc dù vậy, kiểu kết nối phù hợp (được thiết lập Bastion host) phép kết nối Bất kỳ hệ thống bên cố gắng truy cập vào hệ thống dịch vụ bên phải kết nối tới host Vì thế, Bastion host host cần phải trì chế độ bảo mật cao Packet Filtering cho phép Bastion host mở kết nối bên Cấu hình packet filtering screening router sau : - Cho phép tất host bên mở kết nốt tới host bên thông qua số dịch vụ cố định - Không cho phép tất kết nối từ host bên (cấm host sử dụng dịch vụ proxy thông qua Bastion host) - Bạn kết hợp nhiều lối vào cho dịch vụ khác - Một số dịch vụ phép vào trực tiếp qua packet filtering - Một số dịch vụ khác phép vào gián tiếp qua proxy Bởi kiến trúc cho phép packet từ bên vào mạng bên trong, dường nguy hiểm kiến trúc Dual-homed host, thiết kế để không packet tới mạng bên Tuy nhiên thực tế kiến trúc Dual-homes host có lỗi mà cho phép packet thật từ bên vào bên (bởi lỗi hoàn toàn trước, không bảo vệ để chống lại kiểu công này) Hơn nữa, kiến trúc Dualhomes host dễ dàng bảo vệ router (là máy cung cấp dịch vụ) bảo vệ host bên mạng Xét toàn diện kiến trúc Screened host cung cấp độ tin cậy cao an toàn kiến trúc Dual-homed host So sánh với mộ số kiến trúc khác, chẳn hạn kiến trúc Screened subnet kiến trúc Screened host có số bất lợi Bất lợi kẻ công tìm cách xâm nhập Bastion host cách để ngăn tách Bastion host host lại bên mạng nội Router có số điểm yếu router bị tổn thương, toàn mạng bị công Vì lý mà Screened subnet trở thành kiến trúc phổ biến Internet RemoteUser Firewall Screening Router Internal network User BastionHost User User Hình 1.7 Kiến trúc Screened host III.3 Kiến trúc Screened Subnet Nhằm tăng cường khả bảo vệ mạng nội bộ, thực chiến lược phòng thủ theo chiều sâu, tăng cường an toàn cho bastion host, tách bastion host khỏi host khác, phần tránh lây lan bastion host bị tổn thương, người ta đưa kiến trúc Firewall có tên Screened subnet Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội khỏi mạng bên ngoài, tách bastion host khỏi host thông thường khác Kiểu Screen subnet đơn giản bao gồm hai screened router: - Router (External router gọi access router): nằm mạng ngoại vi mạng có chức bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép ngững outbound từ mạng ngoại vi Một số quy tắc packet filtering đặc biệt cài mức cần thiết đủ để bảo vệ bastion host interior router bastion host host cài đặt an toàn mức cao Ngoài quy tắc đó, quy tắc khác cần giống hai router - Router (Interior router gọi choke router): nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nôi trước mạng ngoại vi Nó không thực hết quy tắc packet filtering toàn firewall Các dịch vụ mà interior router cho phép bastion host mạng nội bộ, bên mạng nội không thiết phải giống Giới hạn dịch vụ bastion host mạng nội nhằm giảm số lượng máy (số lượng dịch vụ máy này) bị công bastion host bị tổn thương thỏa hiệp với bên Chẳng hạn nên giới hạn dịch vụ phép bastion host mạng nội SMTP có Email từ bên vào, có lẽ giới hạn kết nối SMTP bastion host email server bên Internet Basti on Host ExteriorRouter PerimeterNetwork InteriorRouter Internal Network User User User User Hình 1.8 Kiến trúc Screened Subnet PHẦN IV: PHÂN LOẠI FIREWALL Hiện có nhiều loại Firewall, để tiện cho trình nghiên cứu phát triển, người ta chia Firewall làm hai loại bao gồm: - Packet Filtering Firewall: hệ thống tường lửa thành phần bên mạng bên mạng có kiểm soát - Application-proxy Firewall: hệ thống cho phép kết nối trực tiếp máy khách host IV.1 Packet Filtering Firewall Đây kiểu Firewall thông dụng hoạt động dựa mô hình OSI mức mạng Firewall mức mạng thường hoạt động theo nguyên tắc router hay gọi router, tức tạo luật lệ quyền truy cập mạng dựa mức mạng Mô hình hoạt động theo nguyên tắc lọc gói tin Ở kiểu hoạt động gói tin kiểm tra địa nguồn nơi chúng xuất phát Sau địa IP nguồn xác định, tiếp tục kiểm tra với luật đặt router Với phương thức hoạt động vậy, Firewall hoạt động lớp mạng có tốc độ xử lý nhanh kiểm tra địa IP nguồn mà không cần biết địa địa sai hay bị cấm Đây hạn chế kiểu Firewall không đảm bảo tính tin cậy Lỗ hổng kiểu Firewall sử dụng địa IP nguồn để làm thị Khi gói tin mang địa nguồn địa giả vượt qua số mức truy nhập để vào bên mạng Firewall kiểu packet filtering chia làm hai loại: - Packet filtering firewall: Hoạt động lớp mạng (Network Layer) mô hình OSI Các luật lọc gói tin dựa trường IP header, transport header, địa IP nguồn địa IP đích … Securityperimeter Private Network Internet Packet filtering router Hình 1.9 Packet filtering firewall - Circuit level gateway: Hoạt động lớp phiên (Session Layer) mô hình OSI Mô hình không cho phép kết nối end to end Circuitlevel gateway outside connection out in out in out in Outsidehost inside connection Insidehost Hình 1.10 Circuit level gateway IV.2 Application-proxy firewall Khi mộ kết nối từ người dùng đến mạng sử dụng Firewall kiểu kết nối bị chặn lại, sau Firewall kiểm tra trường có liên quan gói tin yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa trường thông tin đáp ứng luật đặt Firewall Firewall tạo mộ cầu kết nối cho gói tin qua * Ưu điểm: - Không có chức chuyển tiếp gói tin IP - Điều khiển cách chi tiết kết nối thông qua Firewall - Đưa công cụ cho phép ghi lại trình kết nối * Nhược điểm: - Tốc độ xử lý chậm - Sự chuyển tiếp gói tin IP mộ máy chủ nhận mộ yêu cầu từ mạng chuyển chúng vào mạng lỗ hổng cho hacker xâm nhập - Kiểu firewallnày hoạt động dựa ứng dựng phần mềm nên phải tạo cho dịch vụ mạng trình ứng dựng uỷ quyền (proxy) Firewall (Ex Ftp proxy, Http proxy) * Firewall kiểu Application- proxy chia thành hai loại: - Applicatin level gateway: Hoạt động lớp ứng dụng (Application Layer) mô hình TCP/IP Application level gateway outside connection Outsidehost TELNET FTP inside connection Inside host SMTP HTTP Hình 1.11 Application-proxy firewall - Stateful multilayer inspection firewall: Đây loại Firewall kết hợp tính loại Firewall trên, mô hình lọc gói tin lớp mạng kiểm tra nội dung gói tin lớp ứng dụng Loại Firewall cho phép kết nối trực tiếp client host nên giảm thiểu lỗi, cung cấp tính bảo mật cao suốt End Users PHẦN V: MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL V.1 Có cần Firewall ? Giải đến thực thi vấn đề Firewall không xảy không nghiên cứu phân tích Giải đến vấn đề thực thi Firewall dựa đòi hỏi phải định danh chứng minh Bởi thực thi Firewall không định danh hướng giải tổ chức khác Tạo Firewall dựa vào quy mô nhỏ, ý nghĩa tạo lổ hổng an ninh chế gây vấn đề mạng lưới nhiều thực Firewall V.2 Firewall điều khiển bảo vệ ? Để tạo Firewall phải định danh cho chức Firewall cần để thực Nó điều khiển truy cập đến từ mạng lưới nào, hay bảo vệ dịch vụ người sử dụng Firewall điều khiển ? - Truy cập vào mạng - Truy cập mạng - Truy cập mạng lưới bên trong, lĩnh vực hay công trình kiến trúc - Truy cập nhóm đặt trưng, nhũng người sử dụng địa - Truy cập đến tài nguyên cụ thể dịch vụ Firewall cần bảo vệ gì? - Những mạng lưới điều khiển đặc biệt - Dịch vụ đặc biệt - Thông tin riêng tư công cộng - Người sử dụng Sau nhận Firewall cần để bảo vệ điều khiển gì, định điều xảy liên tục với bảo vệ điểu khiển Điều xảy người sử dụng truy cập đến trang mà quyền truy cập Điều xảy dịch vụ không bảo vệ thông tin không bảo mật tốt Có phải rủi ro việc điều khiển bảo vệ đủ cho bước ước lượng cần phải có giải pháp Firewall PHẦN VI: NHỮNG HẠN CHẾ CỦA FIREWALL Firewall không đủ thông minh người để đọc hiểu loại thông tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công công không "đi qua" Một cách cụ thể, Firewall chống lại công từ đường dial-up, rò rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, thoát khỏi khả kiểm soát Firewall Firewall ngǎn chặn kẻ xấu từ bên kẻ xấu bên Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi Để có khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên sử dụng kết hợp với biện pháp an ninh mạng phần mềm diệt virus, phần mềm đóng gói, mã hoá liệu Đặc biệt, sách bảo mật thực cách phù hợp có chiều sâu vấn đề sống để khai thác tối ưu hiệu phần mềm bảo mật Và cần nhớ công nghệ phần giải pháp bảo mật Một nhân tố quan trọng định thành công giải pháp hợp tác nhân viên, đồng nghiệp TÀI LIỆU THAM KHẢO Tiếng Việt [1] Lê Văn Long,”Quản trị mạng”, giảng Khoa CNTT- Đại học Duy Tân, Lưu hành nội [2] Nguyễn Bá Quang, “Thiết kế cài đặt mạng “, Đại học Cần Thơ Khoa CNTT [3] Nguyễn Minh Nhật, “ An ninh mạng ”, giảng Khoa CNTT - Đại học Duy Tân, Lưu hành nội [4] Nguyễn Gia Như “ Thiết kế mạng “, giảng Khoa CNTT - Đại học Duy Tân, Lưu hành nội Tài liệu Internet [5] http://www.quantrimang.com [6] http://www.vsic.com/form [...]... tấn công có thể ngắm ngầm phá hoại hệ thống máy tính và thêm vào phần mềm có dã tâm, mà phần mềm này sẽ tấn công hệ thống theo thời gian xác đinh trước II.2.4 Tấn công trực tiếp Cách thứ nhất: là dùng phương pháp dò mật khẩu trực tiếp Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ … và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công. .. quả của bất cứ phần mềm bảo mật nào Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật Một nhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp TÀI LIỆU THAM KHẢO Tiếng Việt [1] Lê Văn Long,”Quản trị mạng”, bài giảng Khoa CNTT- Đại học Duy Tân, Lưu hành nội bộ [2] Nguyễn Bá Quang, “Thiết kế cài đặt mạng “, Đại học Cần Thơ Khoa CNTT... ngoài công ty phải xử lý các thông tin nhảy cảm Các hoạt động trao đổi thông tin có thể cho phép trên phần nào đó của mạng thì có thể bị giới hạn trên những vùng nhạy cảm hơn Hình 1.3 Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật I.3 Các lựa chọn Firewall Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall phần cứng và Firewall phần mềm I.3.1 Firewall phần cứng Về tổng. .. xác định rõ các thông số địa chỉ Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack) Khi có một số chương trình được chuyển... năng khác nhau để tấn công vào hệ thống máy tính Ví dụ có thể truy cập vào hệ thống mà không được phép truy cập và tạo thông tin giả, lấy cắp thông tin Nhiều công ty đang lo ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker Vì vậy, để tìm ra các phương pháp để bảo vệ dữ liệu thì Firewall có thể làm được điều này II.2.2 Chống lại việc sửa đổi mã Khả năng này xảy ra khi một kẻ tấn công sửa đổi, xóa hoặc... toàn bộ các thông tin lưu truyền qua mạng II.2.6 Vô hiệu hoá các chức năng của hệ thống (Deny service) Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiện các chức năng được thiết kế Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng II.2.7 Lỗi người quản trị hệ thống Ngày... hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống Đối với người dùng cá nhân, không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân Qua đó, tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker Vấn đề là ý thức,... đơn giản của các hacker Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn II.2.8 Yếu tố con người Với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker * Ngoài ra thì còn dùng Firewall để chống lại sự “ giả mạo địa chỉ IP “ PHẦN III: MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL Kiến trúc của... thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có kiểm soát - Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các máy khách và các host IV.1 Packet Filtering Firewall Đây là kiểu Firewall thông dụng hoạt động dựa trên mô hình OSI mức mạng Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là router, tức là tạo ra các luật lệ về quyền... Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin đi qua * Ưu điểm: - Không có chức năng chuyển tiếp các gói tin IP - Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall - Đưa ra công cụ cho phép ghi lại quá trình kết