Xây dựng chương trình mô phỏng công nghệ tường lửa static packet filtering

Khi một hacker sẽ cố gắng để tiếp cận với cổng 80 trong khi đang làm một cổng quét, nếu tường lửa lọc gói tin gửi lại một thông điệp rằng cổng 80 đang được lọc, các hacker bây giờ biết r

MỞ ĐẦU

Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia, các tổ chức, các công ty và tất cả mọi người dường như đang xích lại gần nhau Họ đã, đang và luôn muốn hòa nhập vào mạng Internet để thỏa mãn "cơn khát thông tin" của nhân loại

Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả vô tình và hữu ý Các nội dung thông tin lưu trữ và lưu truyền trên mạng luôn là đối tượng tấn công Nguy cơ mạng luôn bị tấn công là do người sử dụng luôn truy nhập

từ xa Do đó thông tin xác thực người sử dụng như mật khẩu, bí danh luôn phải truyền đi trên mạng Những kẻ xâm nhập tìm mọi cách giành được những thông tin này và từ xa truy nhập vào hệ thống Càng truy nhập với tư cách người dùng có quyền điều hành càng cao thì khả năng phá hoại càng lớn Nhiệm vụ bảo mật và bảo

vệ vì vậy mà rất nặng nề và khó đoán định trước Do đó, song song với việc phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng cũng như an ninh trong tổ chức

Nhận ra yêu cầu cấp bách đó, trong thời gian làm đồ án tốt nghiệp, em đã tìm hiểu về bức tường lửa, đặc biệt quan tâm đến giải pháp an toàn mạng bằng hệ thống

bức tường lửa Đồ án “xây dựng chương trình mô phỏng Công nghệ tường lửa Static packet filtering” bao gồm các nội dung sau:

Chương I: Giới thiệu về bức tường lửa

Chương II: Thiết kế một hệ thống mạng sử dụng công nghệ tường lửa Static packet filtering

Chương III: Thiết kế một hệ thống mạng sử dụng công nghệ tường lửa Static packet filtering cho Khoa Công Nghệ Thông Tin

MỤC LỤC

MỤC LỤC 2

CHƯƠNG 1: GIỚI THIỆU VỀ BỨC TƯỜNG LỬA 4

1.1 Tổng quan bức tường lửa 4

1.1.1 Định nghĩa của một bức tường lửa(Firewall) 5

1.1.2 Khả năng bảo vệ của bức tường lửa 6

1.2 Khảo sát tổng quan mô hình OSI 9

1.3 Bức tường lửa và mô hình OSI 10

1.4 Các loại bức tường lửa 11

1.5 Bức tường lửa lọc gói tin 12

1.5.1 Hành động lọc gói tin 12

1.5.2 Thông tin lọc 13

1.5.3 Những ưu điểm của bức tường lửa lọc gói tin 16

1.5.4 Hạn chế của bức tường lửa lọc gói tin 17

1.5.5 Những vấn đề với bức tường lửa lọc gói tin 19

1.6 Thiết kế tường lửa 25

1.6.1 Phát triển một chính sách an ninh 26

1.6.2 Giải pháp thiết kế đơn giản 26

1.6.3 Sử dụng đúng thiết bị 27

1.6.4 Tạo một tầng phòng thủ 28

1.6.4.1 Đối phó với mối đe dọa nội bộ 29

1.6.4.2 DMZ 29

1.6.4.3 Các loại DMZ 32

1.7 Hệ thống Packet Filtering 37

1.7.1 Giới thiệu về Packet Filtering 37

1.7.2 Những chức năng của một Packet Filtering Router 38

1.7.3 Ưu, nhược điểm của hệ thống Packet Filtering 40

1.7.4 Nguyên tắc hoạt động của hệ thống Packet Filtering 42

1.7.4.1 Lọc các Packet dựa trên địa chỉ (address) 43

1.7.4.2 Lọc các Packet dựa trên số cổng (port) 46

1.8 Giới thiệu công nghệ tường lửa Static packet filtering 47

1.9 Bức tường lửa lọc gói tin tĩnh (Static Packet – Filtering Firewalls) 51

CHƯƠNG 2 53

THIẾT KẾ MỘT HỆ THỐNG MẠNG SỬ DỤNG CÔNG NGHỆ TƯỜNG LỬA LỌC GÓI TIN TĨNH (STATIC PACKET FILTERING) 53

2.1 Thiết kế hệ thống lọc gói tĩnh trên bộ định tuyến Cisco 53

2.2 Triển khai Lọc gói tin tĩnh trong tường lửa cá nhân 55

2.2.1 Đặc điểm: 55

2.2.2 Ưu , nhược điểm giải pháp 59

CHƯƠNG 3 60

THIẾT KẾ MẠNG AN TOÀN DÙNG CÔNG NGHỆ TƯỜNG LỬA LỌC GÓI TIN TĨNH CHO KHOA CÔNG NGHỆ THÔNG TIN 60

3.1 Khảo sát hiện trạng hệ thống mạng Khoa Công Nghệ Thông Tin 60

3.2 Đánh giá hiệu năng, nguy cơ mất an toàn của hệ thống 61

3.2.1 Hiệu năng của hệ thống 61

3.2.2 Nguy cơ mất an toàn của hệ thống 61

3.3 Thiết kế hệ thống mạng của Khoa với công nghệ tường lửa static packet filtering 62

3.3.1 Sơ đồ thiết kế 62

3.3.2 Cấp phát địa chỉ 64

3.3.3 Cấu hình mô phỏng hệ thống được bảo vệ bởi công nghệ tường lửa Static packet filtering 65

KẾT LUẬN 67

TÀI LIỆU THAM KHẢO 68

CHƯƠNG 1: GIỚI THIỆU VỀ BỨC TƯỜNG LỬA

Trong chương này bao gồm những gì là một bức tường lửa và mục đích của chúng Như bạn sẽ thấy, có rất nhiều định nghĩa và nhiều loại bức tường lửa; điều này làm cho chúng ta khó khăn để đặt một định nghĩa chính xác cho chúng hoặc để đặt chúng vào một thể loại cụ thể Một trong những điều đầu tiên tôi làm là thảo luận về một bức tường lửa là gì và làm thế nào để nó hoạt động Tôi cũng thảo luận

về một số nguyên tắc tổng quát thiết kế các sản phẩm về việc sử dụng các bức tường lửa để bảo vệ cơ sở hạ tầng mạng của bạn

Các chủ đề sẽ được thảo luận trong chương này:

• Tổng quan tường lửa

• Kiểm soát lưu thông và các tài liệu tham khảo mô hình OSI

• Chuyên mục tường lửa

1.1 Tổng quan bức tường lửa

Công nghệ bức tường lửa có các thay đổi đáng kể từ khi tham gia vào thị trường trong đầu những năm 1990 Những bức tường lửa đầu tiên đã có là thiết bị lọc gói tin đơn giản Trải qua từng ngày, bức tường lửa đã trở nên phức tạp hơn nhiều trong các tính năng lọc, thêm vào đó là khả năng lọc trạng thái, mạng riêng ảo (VPNs), hệ thống phát hiện đột nhập(ID), định tuyến đa chiều từ xa, kết nối xác thực, dịch vụ giao thức cấu hình host động (DHCP), và nhiều thứ khác Một trong những xu thế ảnh hưởng lớn, bên cạnh việc nhà cung cấp cạnh tranh, là sự bùng nổ việc sử dụng mạng Internet vào giữa đến cuối những năm 1990 Sự phát triển rất lớn này mang lại nhiều dịch vụ có lợi cho các cá nhân và các công ty, nhưng nó cũng mang đến cho chính bản thân chúng những vấn đề, bao gồm cả hacking, break-ins, và các loại hoạt động không ai ưa Do những vấn đề này và việc cần phải bảo vệ tài sản của công ty, bức tường lửa đã trở thành một công nghệ cho các doanh nghiệp, không chỉ các công ty, mà còn các doanh nghiệp nhỏ và máy tính của cá nhân có truy cập mạng Internet

Như bạn sẽ thấy trong chương này, nhiều thành phần tạo thành một giải pháp bức tường lửa(trong tự nhiên), hoặc thiết bị lọc là một phần quan trọng của giải pháp đó Thông thường, bức tường lửa được coi là tầng phòng thủ đầu tiên của bạn khi việc bảo vệ bảo vệ tài sản của công ty hay cá nhân Tuy nhiên, giải pháp tường

lửa hoàn chỉnh bao gồm nhiều thành phần được sử dụng để bảo vệ không chỉ có vành đai mạng của bạn, mà còn cơ sở hạ tầng mạng nội bộ của bạn

1.1.1 Định nghĩa của một bức tường lửa(Firewall)

Con người sử dụng rất nhiều mô tả khi xác định một bức tường lửa Đầu tiên của nó là phải sử dụng không nói mạng lưới an ninh, nhưng với việc kiểm soát hoạt động cháy thực tế Một bức tường lửa là một phương pháp xây dựng bức tường để chữa cháy khi một thực tế phá vỡ ra, nó có thể được kiểm soát một cách dễ dàng trong vòng một phần của một tòa nhà thay vì lây lan đến các bộ phận khác

Tất nhiên, khi chúng tôi nói chuyện về an ninh mạng, thuật ngữ firewall có nhiều nghĩa khác nhau, nhưng thực chất nguồn gốc là sự tiến hành dựa trên: Nó được sử dụng để bảo vệ mạng của bạn từ người cố tình làm hại và ngăn chặn các hành động trái phép của họ tại điểm được xác định ranh giới

Về cơ bản, một bức tường lửa là một thiết bị hoặc hệ thống kiểm soát lưu lượng giao thông giữa các vùng khác nhau ở mạng của bạn Một vài thông báo quan trong về việc đinh nghĩa này: Các định nghĩa có thể bao gồm một hoặc nhiều thiết

bị Trong đơn giản, thiết kế mạng lưới nhỏ, chẳng hạn như là một văn phòng nhỏ / môi trường tại nhà (SOHO), điều này thường được thực hiện với một trong những thiết bị mạng Ví dụ, tôi sử dụng một bộ định tuyến không dây Linksys tại nhà tôi

để bảo vệ mạng của nhà tôi Trong một mạng doanh nghiệp, các hệ thống tường lửa bao gồm nhiều thành phần, chẳng hạn như bức tường lửa vành đai, bức tường lửa trạng thái, VPNs, giải pháp ID, và những thứ khác

Nhiều người cho rằng bức tường lửa được sử dụng để bảo vệ tài sản từ bên ngoài đe dọa, chẳng hạn như những từ mạng Internet, nơi mà giao thức được sử dụng là TCP / IP Tuy nhiên, hầu hết các mạng lưới độc hại và các mối đe dọa tấn công xảy ra, đầy đủ sự hấp dẫn, mà nằm bên trong của mạng lưới của bạn, trong nhiều trường hợp, chúng xuất phát từ một vài nhân viên riêng của công ty Nhiều nghiên cứu đã phát hiện thấy rằng giữa 60 – 70% cuộc tấn công từ mạng nội bộ, không phải bên ngoài Có rất nhiều tài liệu về các giao thức mạng nội bộ, chẳng hạn như TCP / IP, IPX, AppleTalk, SNA, NetBIOS, và những giao thức khác Một giải pháp bức tường lửa phải có khả năng đối phó với cả hai, không chỉ nội bộ bên trong

và bên ngoài đe dọa, nhưng cũng có nhiều giao thức

trong việc phát triển một mạng lưới an toàn

1.1.2 Khả năng bảo vệ của bức tường lửa

Hệ thống tường lửa có thể thực hiện nhiều chức năng và cung cấp nhiều giải pháp Tuy nhiên, một trong các mục đích chính là để kiểm soát quyền truy cập vào các nguồn tài nguyên Bạn có thể sử dụng nhiều phương pháp để thực hiện nhiệm

vụ này

Ví dụ, bạn có thể bảo đảm hoạt động cho tất cả các máy chủ và máy tính cá nhân với hệ thống tường lửa và tất cả chúng đều được cập nhật mới từng ngày, việc

bị vô hiệu hoá dịch vụ là không cần thiết, hãy sử dụng một hình thức xác thực mạnh

mẽ và cho phép truy cập và sử dụng các nguồn tài nguyên, và có phần mềm bảo mật được cài đặt trên chúng, như được hiển thị trong Hình 1-1 Trong ví dụ này, phần mềm tường lửa được cài đặt trên mỗi máy PC và máy phục vụ tập tin, và được cấu hình để chỉ cho phép một số loại lưu lượng truy cập để vào hoặc rời khỏi máy tính Điều này cũng làm việc trong một văn phòng nhỏ chỉ với thao tác bằng mà là được bảo đảm Trong ví dụ này, các thiết bị này có thể chỉ cần chia sẻ tập tin và in ấn, cũng như truy cập mạng Internet tốt nhất, do đó việc thiết lập chính sách bảo mật này trên mỗi thiết bị là đơn giản

Hình 1-1 Bảo vệ cho từng thiết bị mạng

Trong một mạng lưới với hàng chục ngàn thiết bị, điều này sẽ trở thành vấn

đề khó giải quyết: "rất khó khăn để quản lý tất cả các thiết bị để đảm bảo rằng chúng được bảo đảm đúng Bên cạnh việc dịch vụ cung cấp và in các tập tin chia sẻ các, bạn có thể muốn thực hiện các mức độ khác nhau truy cập mạng Internet cho các nhóm khác nhau của người sử dụng, bạn có thể cần phải bảo vệ một số nguồn

dữ liệu nội bộ dựa trên một thành viên nhóm của người sử dụng, và bạn có thể chỉ cho phép một số loại lưu lượng truy cập từ mạng Internet vào mạng nội bộ của bạn

Một phương pháp tiếp cận nhiều hơn sẽ được mở rộng để tập trung giải pháp bảo mật của bạn, như được hiển thị trong Hình 1-2 Tôi sử dụng cùng một ví dụ trong Hình 1-1, nhưng thay vì sử dụng một giải pháp bức tường lửa trên mỗi mỗi thiết bị nội bộ, tôi được đặt nó trên các bộ định tuyến vành đai Trong ví dụ này, bởi

vì giải pháp bức tường lửa được thực hiện tại một trong các thiết bị, nó trở nên dễ dàng hơn nhiều trong việc chính sách quản lý an ninh và việc triển khai thực hiện của hệ thống mạng Với mỗi thiết bị, nó sẽ dễ dàng hơn để hạn chế lưu lượng truy cập vào và ra khỏi mạng: Bạn thiết lập các chính sách thay vì chỉ một lần trên tất cả

các thiết bị nội bộ Điều này cũng làm giảm tổng chi phí của các giải pháp

Hình 1-2 Bảo vệ tất cả các thiết bị mạng

Đây không phải là để nói rằng bạn cần phải sử dụng chỉ cần một trong hai giải pháp Tuy nhiên, nó sẽ bắt đầu làm cho bạn suy nghĩ về các vấn đề thiết kế cũng như các loại truy cập mà bạn cần tới địa chỉ Bạn phải cân bằng an ninh, tính năng, và chi phí trong thiết kế của bạn Ví dụ, bạn vẫn cần phải được quan tâm về các mối đe dọa đến nguồn lực nội bộ, do đó, một số trong nội bộ các nguồn tài nguyên quan trọng của bạn có thể thực hiện một giải pháp bức tường lửa Tôi thảo luận về các vấn đề trong thiết kế nhiều hơn nữa chiều sâu trong "sắp xếp thành phần" phần này

Kiểm tra, kiểm soát lưu lượng và khảo sát mô hình OSI

Trước khi tôi có thể bắt đầu thảo luận các chuyên mục bức tường lửa và các chức năng của chúng, tôi cần một số sự bao bọc cơ bản của hoạt động bức tường lửa: bức tường lửa như thế nào đối phó với lưu lượng truy cập Một nơi tốt để bắt đầu là để xem xét các kết nối hệ thống mở (OSI) tham khảo mô hình phát triển theo tiêu chuẩn của Tổ chức Quốc tế (theo tiêu chuẩn ISO) Tiêu chuẩn ISO là một tiêu chuẩn của người mà đã xác định các tiêu chuẩn thuộc vào khả năng làm được, bao gồm các tiêu chuẩn mạng Sử dụng mô hình tham chiếu OSI sẽ giúp bạn hiểu được quá trình lưu thông bức tường lửa như thế nào Nhiều chuyên mục khác nhau của các giải pháp bức tường lửa đã xuất hiện; với mỗi chức năng khác nhau Điều này đặc biệt đúng với bức tường lửa cho bộ lọc lưu lượng truy cập

1.2 Khảo sát tổng quan mô hình OSI

ISO phát triển mô hình OSI được mô tả như thế nào để giao tiếp với các thiết

bị liên lạc với nhau Mô hình này đã được phát triển để giúp đỡ mọi người hướng dẫn về việc xử lý thông tin liên lạc, đơn giản hóa việc xử lý sự cố công việc, các thành phần liên quan đến vi phạm vào một modular cấu trúc, và dễ dàng phát triển

và việc triển khai thực hiện nhiệm vụ cho các nhà cung cấp

Các tài liệu khảo sát mô hình OSI chia quá trình giao tiếp thành 7 tầng, hiển thị trong Hình 1-3 Nó xác định quá trình chung diễn ra khi một người dùng ngồi tại một trong các loại bàn phím nhập thông tin, và làm thế nào để nó được vận chuyển trên toàn mạng và xử lý tại một thiết bị đích

Hình 1-3 Mô hình OSI

Bảng 1-1 cho thấy 7 tầng và mô tả của chúng Khi nói về giao thức và các mô hình tham chiếu OSI, không phải tất cả các giao thức được sử dụng ngày hôm nay có bảy lớp Các tài liệu khảo sát mô hình OSI chỉ là rằng: tổng quát một mô hình được sử dụng để mô tả tương tác giữa các tầng Ví dụ, trong TCP / IP, chức năng các tầng ứng dụng, tầng trình diễn, và tầng phiên được nhóm lại vào một tầng chung, gọi là các tầng ứng dụng Các tầng giao vận, tầng mạng, tầng liên kết dữ liệu và tầng vật

lý được sử dụng để xử lý các máy móc trong việc truyền tải dữ liệu giữa các thiết bị

Table 1-1 Mô hình OSI

7 Ứng dụng xử lý các lệnh trực tuyến hoặc giao diện đồ họa người

dùng(GUI hay CLI) mà một cá nhân sử dụng để tương tác với thiết bị mạng

6 Trình diễn cách xác định loại dữ liệu như thế nào, chẳng hạn như văn

bản, hình ảnh, âm thanh, và phim ảnh, được trình bày trên một cá nhân của người giám sát

5 Phiên Cài đặt lên, theo dõi, giám sát, và những chỗ hỏng đi giữa

các thiết bị kết nối mạng

4 Giao vận Cung cấp một cách đáng tin cậy hay không tin cậy cơ chế

phân phối cho các kết nối, cũng như các tùy chọn kiểm soát dòng chảy tốt nhất

3 Mạng định nghĩa một kiến trúc logic cho mạng lưới thông qua việc

sử dụng các lược đồ địa chỉ hợp lý, chẳng hạn như IP và IPX

2 Liên kết dữ

liệu

định nghĩa các thiết bị cụ thể như thế nào trên một loại phương tiện, chẳng hạn như Ethernet, giao tiếp với nhau, và địa chỉ phần cứng, chẳng hạn như địa chỉ MAC

1 Vật lý xác định đặc điểm vật lý và đặc tính được sử dụng để truyền

dữ liệu trên một phương tiên truyền tin vật lý, như là phương tiện truyền thông, ví dụ như đồng, chất xơ, hoặc không khí

1.3 Bức tường lửa và mô hình OSI

Như được hiển thị trong Hình 1-4, một hệ thống tường lửa có thể hoạt động tại năm trên bảy tầng của mô hình mạng OSI Tuy nhiên, hầu hết các hệ thống tường lửa hoạt động tại chỉ có bốn tầng: liên kết dữ liệu, mạng, giao vận, và, có thể tầng ứng dụng Cơ bản dựa trên sự đơn giản hay phức tạp của một sự ảnh hưởng bức tường lửa hoặc giải pháp, số lượng các tầng bảo hộ thay đổi Ví dụ, một tiêu

chuẩn kiểm soát danh sách truy cập IP (ACL) trên một bộ định tuyến của Cisco có chức năng tại tầng 3 của mô hình OSI, và một chức năng được mở rộng IP ACL tại Layers 3 và 4

Hình 1-4 Bức tường lửa và mô hình OSI

Càng nhiều tầng hơn, một cung cấp giải pháp bức tường lửa có thể bao gồm,

sự tường tận hơn và hiệu quả của nó có thể được hạn chế quyền truy cập vào và từ các thiết bị Ví dụ, một bức tường lửa mà chỉ hoạt động tại Layers 3 hoặc 4 có thể lọc chỉ trên thông tin giao thức IP, các địa chỉ IP, và TCP hay UDP theo thứ tự các cổng: nó không thể về áp dụng bộ lọc thông tin ứng dụng như là người dùng xác thực hoặc nhập lệnh cho một người sử dụng nhập vào Vì vậy, một bức tường lửa càng có nhiều tầng có thể xử lý các thông tin từ, nó có thể nằm trong quá trình lọc

1.4 Các loại bức tường lửa

Một hệ thống tường lửa có thể gồm có nhiều thiết bị và các thành phần khác nhau Một trong những thành phần là bộ lọc của lưu lượng truy cập, là những gì mà hầu hết mọi người thường gọi là bức tường lửa Lọc gói tin của bức tường lửa trở nên nhiều đặc tính khác nhau, bao gồm cả những điều sau đây:

• bức tường lửa lọc gói tin

• bức tường lửa trạng thái

• cổng ứng dụng của bức tường lửa

• Sự chuyền lại địa chỉ của tường lửa

• bức tường lửa dựa trên máy chủ (máy phục vụ và cá nhân)

• bức tường lửa Hybrid

Những phần sau bức tường lửa khác nhau bao gồm các chuyên mục, giải thích cách thức chúng hoạt động và mô tả những thuận lợi, khó khăn với người sử dụng chúng Ở đề tài này tôi chỉ đưa ra mô hình bức tường lửa lọc gói tin

1.5 Bức tường lửa lọc gói tin

Đơn giản dưới hình thức một bức tường lửa là một bức tường lửa lọc gói tin Một bức tường lửa lọc gói tin thường là một bộ định tuyến có khả năng để lọc về một số nội dung của các gói tin Những thông tin mà các bức tường lửa lọc gói tin

có thể kiểm tra bao gồm thông tin tầng 3 và đôi khi ở tầng 4, như được hiển thị trong Hình 1-5 Ví dụ, với tiêu chuẩn của Cisco routers ACLs có thể lọc thông tin tại tầng 3, và Cisco routers với ACLs mở rộng có thể lọc thông tin ở cả hai tầng 3

lượng truy cập các dữ liệu đó đã bị bỏ hoặc huỷ các dữ liệu mà không có bất kỳ thông báo Điều này có thể quan trọng khi triển khai thực hiện một giải pháp bức tường lửa Với sự lựa chọn ban đầu, người sử dụng biết rằng lưu lượng đó đã được lọc bởi một bức tường lửa Nếu điều này là một người sử dụng nội bộ đang cố gắng truy cập vào một nguồn tài nguyên nội bộ, người sử dụng có thể gọi cho quản trị viên và thảo luận các vấn đề Các quản trị viên sau đó có thể thay đổi các quy tắc lọc để cho phép người dùng truy cập nếu như người dùng có quyền thích hợp Nếu các bức tường lửa lọc gói tin đã không gửi lại một tin nhắn, người sử dụng sẽ không

có lý do tại sao những ý tưởng không thể thiết lập được kết nối và người quản trị sẽ

có thể dành nhiều thời gian hơn để xử lý sự cố của vấn đề

Mặt khác, nếu một hacker trên Internet đang cố gắng để truy cập vào các nguồn tài nguyên nội bộ trong mạng lưới của bạn, và các hacker sẽ gửi lại một thông điệp rằng các thông tin đang được lọc, điều này mang đến cho các hacker thông tin về mạng của bạn có thể nói cho anh ta làm thế nào bạn là bảo vệ hệ thống mạng Trong trường hợp này, bạn có thể muốn phải có một bức tường lửa lọc gói tin tốt nhất ngăn chặn xâm nhập vào lưu lượng mạng Ví dụ, bạn có thể có một máy chủ trang web nội bộ chạy trên cổng 80 của một thiết bị Bạn phải có một quy tắc lọc khối lưu lượng truy cập cổng 80 cho hầu hết người sử dụng bên ngoài trừ các địa điểm văn phòng từ xa của bạn Khi một hacker sẽ cố gắng để tiếp cận với cổng

80 trong khi đang làm một cổng quét, nếu tường lửa lọc gói tin gửi lại một thông điệp rằng cổng 80 đang được lọc, các hacker bây giờ biết rằng bạn đang sử dụng một thiết bị lọc để bảo vệ các nguồn tài nguyên nội bộ, và anh ta sẽ dành nhiều thời gian hơn để điều tra những phản ứng khác nhau loại các gói tin mà anh ta cố lẻn vào thông qua các bức tường lửa

1.5.2 Thông tin lọc

Một bức tường lửa lọc gói tin có thể lọc trên các loại thông tin sau đây:

• Địa chỉ nguồn và địa chỉ đích tầng 3

• Thông tin giao thức ở tầng 3

• Thông tin giao thức tầng 4

• Giao diện của lưu lượng truy cập gửi hoặc nhận

Ví dụ, một bộ định tuyến của Cisco(Cisco router) có thể được sử dụng để lọc

cụ thể về các tin nhắn ICMP (tầng 3), hoặc địa chỉ IP nguồn và (tầng 3) và số cổng

TCP (tầng 4) Bảng 1-2 sẽ hiển thị một số trong những điều đó, một TCP / IP bức tường lửa lọc gói tin có thể lọc trên

Bảng 1-2 Thông tin lọc gói tin TCP/IP

4 Các cơ kiểm soát TCP, như là SYN, ACK, FIN, PSH, RST, và cờ khác

Như bạn có thể nhìn thấy, bạn có thể sử dụng rất nhiều thông tin khi thực hiện các quyết định lọc các gói tin qua bức tường lửa lọc tin của bạn Ví dụ, kiểm tra các bảng lọc rằng các bức tường lửa lọc gói tin (một bộ định tuyến, trong ví dụ này) được sử dụng trong hình 1-6 Bảng 1-3 cho thấy các quy tắc lọc gói tin của bộ định tuyến Giả sử rằng các quy tắc đã được kích hoạt trên giao diện WAN kết nối mạng Internet như là lưu lượng truy cập đến các giao diện mạng đó

Bảng 1-3 Bảng lọc gói tin

Quy

tắc

Địa chỉ

nguồn Địa chỉ đích Giao thức IP

Thông tin giao thức

IP

Hành động

address

Hình 1-6 Ví dụ bức tường lửa lọc gói tin

Trong ví dụ này, 1 trạng thái quy định rằng, nếu lưu lượng truy cập từ bất kỳ thiết bị trên Internet được gửi đến cổng TCP 80 / 200.1.1.2, các bức tường lửa lọc gói tin nên cho phép nó Tương tự, nếu có lưu lượng truy cập được gửi đến UDP cổng 53 của 200.1.1.3 hoặc cổng TCP 25 / 200.1.1.4, lưu lượng truy cập nên được cho phép Bất kỳ loại hình lưu lượng khác cần được bỏ

Điều quan trọng là ra được mà nếu bạn bỏ quy tắc 4, bạn có thể có vấn đề với bức tường lửa lọc gói tin Bức tường lửa lọc gói tin sẽ làm cho một trong hai giả định:

• Nếu sự phù hợp với trong thiết lập quy tắc, cho phép lưu lượng truy cập

• Nếu không có sự phù hợp với trong thiết lập quy tắc, dừng lưu lượng truy cập

Ví dụ, giả sử rằng bạn có một bức tường lửa lọc gói tin đó là sử dụng quá trình đầu tiên Trong ví dụ này, nếu bạn bỏ qua nguyên tắc 4 trong bảng 1-3, nếu không có kết quả phù hợp đã có trong quy định từ 1 đến 3, tất cả các lưu lượng truy cập khác

sẽ được cho phép

Nếu bạn bức tường lửa lọc gói tin sử dụng ở quá trình thứ hai, nếu bạn bỏ qua nguyên tắc 4 trong bảng 1-3, có lưu lượng truy cập mà không phù hợp với ba nguyên tắc đầu tiên thì sẽ được bỏ (Cisco sử dụng quá trình này với các ACLs)

Lời cảnh báo

Sự hiểu biết các nguyên tắc mà bạn đặt ra với việc sử dụng tường lửa lọc gói tin, cũng như sự hiểu biết như thế nào quy định là xử lý, là vô cùng quan trọng Bạn cần phải rất cẩn thận khi tạo hoặc thay đổi các quy tắc của bạn: Một lỗi không quan

tâm cấu hình có thể tạo ra một lỗ rất lớn trong bảo mật bức tường lửa lọc gói tin của bạn

Một mục quan trọng để ra là làm thế nào các bộ lọc gói được kích hoạt trên các bức tường lửa Thông thường, chúng được kích hoạt trên một giao diện, với một hướng chỉ định cho lưu lượng dòng chảy Ví dụ, một bức tường lửa lọc gói tin có thể cho phép bạn để lọc lưu lượng truy cập đến nó như là một giao diện, xóa đi một giao diện, hoặc cả hai Nếu nó cho phép bạn lọc trong cả hai hướng dẫn, điều này sẽ mang lại cho bạn thêm sự linh hoạt trong việc tạo ra những quy tắc của bạn: Bạn có thể giới hạn lưu lượng truy cập tới vào mạng của bạn cũng như người sử dụng lưu lượng truy cập đang cố gắng rời khỏi nó Thông thường, trong giới hạn quy tắc cho người sử dụng bộ lọc bên ngoài ở thông tin cả hai tầng 3 và 4 Khi thiết lập các chính sách về truy cập Internet, trong nhiều tình huống, một cách đơn giản ở tầng 3

bộ lọc gói tin có thể được sử dụng để hạn chế người dùng có quyền truy cập Internet vào mạng nội bộ của bạn Tất nhiên, bạn luôn luôn có thể áp dụng để lọc lưu lượng của người dùng trong mạng của bạn ở tầng 4, để được biết thêm về những gì các trang web và các ứng dụng mà họ được phép truy cập

1.5.3 Những ưu điểm của bức tường lửa lọc gói tin

các bức tường lửa lọc gói tin có hai lợi thế chính:

• Chúng có thể xử lý các gói tin ở tốc độ rất nhanh

• Chúng có thể dễ dàng phù hợp với hầu hết các lĩnh vực trên trong các gói tầng 3 và tầng 4 ở phần tiêu đề, cung cấp nhiều tính linh hoạt trong việc thực hiện các chính sách an ninh

Bởi vì các bức tường lửa lọc gói tin kiểm tra chỉ lớp 3 và / hoặc các thông tin

về lớp 4, rất nhiều các sản phẩm định tuyến hỗ trợ loại hình này lọc; này bao gồm các định tuyến của Cisco với việc sử dụng các tiêu chuẩn và mở rộng ACLs Tùy thuộc vào mô hình bộ định tuyến mà bạn mua hàng, quy mô của bạn, bạn có thể lọc

để tốc độ rất cao

Vì định tuyến thường ở chu vi của mạng lưới của bạn, cung cấp cho WAN

và MAN, truy cập, bạn có thể sử dụng để lọc các gói cung cấp thêm một lớp bảo mật Các định tuyến thường được gọi là chu vi ranh giới hoặc định tuyến, và họ đã được thể hiện trước đó trong hình 1-6 Ngay cả với các đơn giản Layers 3 và 4 lọc, lọc các gói-bức tường lửa có thể cung cấp sự bảo vệ chống lại nhiều loại tấn công,

bao gồm cả một số loại từ chối-of-dịch vụ (DoS) tấn công, và có thể lọc ra không cần thiết, không mong muốn, và không ai ưa giao thông Điều này cho phép một bức tường lửa nội bộ để đối phó với các loại và các mối đe dọa tấn công các gói-lọc các bức tường lửa có thể không phát hiện hoặc đối phó với

1.5.4 Hạn chế của bức tường lửa lọc gói tin

Mặc dù lợi thế của họ, các bức tường lửa lọc gói tin có những khó khăn:

• Chúng có thể được để cấu hình phức tạp

• Chúng không thể ngăn chặn cuộc tấn công ở tầng ứng dụng

• Chúng dễ bị ảnh hưởng bởi cuộc tấn công từ một số loại giao thức TCP / IP nào

đó

• Chúng không hỗ trợ người dùng xác thực của các kết nối

• Chúng bị hạn chế ở khả năng khai thác thô

Như đã đề cập ở trên, một trong những khó khăn của các bức tường lửa lọc gói tin bao gồm việc tạo và bảo trì của những nguyên tắc do chúng đặt ra Đối với TCP / IP, bạn phải quen với các hoạt động của giao thức TCP / IP và các lĩnh vực trong phần tiêu đề của họ, bao gồm cả địa chỉ IP, TCP, UDP, và ICMP, để đặt một vài tên Nếu không có kiến thức này, bạn có thể tình cờ chặn lưu lượng truy cập mà bạn được hỗ trợ cho phép, hoặc cho phép lưu lượng truy cập mà bạn có nghĩa vụ phải chặn Trong cả hai tình huống, nếu bạn không cẩn thận với cấu hình của bạn, bạn có thể được tạo ra rất nhiều vấn đề cho chính mình Ngoài ra, bất kỳ thay đổi nào mà bạn phải thực hiện được kiểm tra kỹ lưỡng để đảm bảo đúng cấu hình Các bức tường lửa lọc gói tin không thể ngăn chặn tất cả các loại tấn công

Ví dụ, bạn có thể cho phép lưu lượng truy cập đến cổng 80 đến một máy chủ trang web cụ thể trong mạng của bạn Bằng cách này, các các bức tường lửa lọc gói tin thực hiện kiểm tra địa chỉ đích ở các gói tầng 3 và số cổng địa chỉ đích trong phân đoạn mạng Nếu có một kết hợp, các bức tường lửa lọc gói tin cho phép lưu lượng truy cập Một trong những vấn đề với phương pháp tiếp cận này là các bức tường lửa lọc gói tin không kiểm tra thực tế nội dung của các kết nối HTTP Một trong những phương pháp phổ biến nhất của một mạng lưới hacking thì để tận dụng lợi thế của rủi ro được tìm thấy trong các máy chủ web Bức tường lửa lọc gói tin không thể phát hiện các cuộc tấn công xảy ra, vì chúng xuất hiện qua các kết nối TCP mà đã được cho phép

Ngoài ra, các bức tường lửa lọc gói tin không thể phát hiện và ngăn ngừa một số loại giao thức tấn công TCP / IP, chẳng hạn như sự đánh lừa và việc chàn TCP SYN IP Nếu các bức tường lửa lọc gói tin cho phép lưu lượng truy cập đến phục vụ một trang web nội bộ, không chăm sóc những loại lưu lượng truy cập được Một hacker có thể tận dụng lợi thế này và chàn vào các máy chủ trang web với TCP SYNs bằng cổng 80, nguy tạo vào tài nguyên trên máy chủ, nhưng nó móc nối với tài nguyên trên máy bằng cách để thay thế Như một ví dụ, một bức tường lửa lọc gói tin không thể phát hiện tất cả các loại IP tấn công đánh lừa Nếu bạn cho phép lưu lượng truy cập từ bên ngoài mạng, chẳng hạn như 201.1.1.0/24, bức tường lửa lọc gói tin của bạn chỉ có thể kiểm tra địa chỉ IP nguồn trong các gói tin, nó không thể xác định đây là nguồn thực sự( hoặc đích) của gói tin Một hacker có thể tận dụng lợi thế này, để thực hiện một cuộc tấn công DoS chống lại mạng lưới nội bộ của bạn bằng cách làm chàn thông tin được cho phép lưu lượng truy cập được cho phép từ một địa chỉ nguồn

Hai vấn đề, làm chàn địa chỉ IP và các cuộc tấn công DoS, thường có thể được xử lý của một cá nhân gây ra đầu tiên để xác thực trước khi cho phép lưu lượng truy cập nó thông qua các bức tường lửa Thật không may, một bức tường lửa lọc gói tin chỉ kiểm tra thông tin ở tầng 3 và 4 Thực hiện xác thực đòi hỏi một bức tường lửa mà các quá trình xác thực thông tin, là thực hiện xử lý trên tầng 7(tầng ứng dụng)

Cuối cùng, các bức tường lửa lọc gói tin thường hỗ trợ các chức năng đăng nhập Tuy nhiên, chức năng đăng nhập của họ được giới hạn thông tin phải nằm ở tầng 3 và 4 Nếu ai đó đã được thực hiện một trang web cụ thể loại máy phục vụ tấn công trên cổng 80 và bạn đã từ chối lưu lượng truy cập cổng 80, bức tường lửa lọc gói tin của bạn có thể từ chối hành động đăng nhập, nhưng tiếc là, bức tường lửa sẽ không đăng nhập ở tầng ứng dụng nằm ngoài dữ liệu trong các phân đoạn truyền tin HTTP Vì thế, bạn, với tư cách là một quản trị viên, xin biết rằng ai đó đã cố gắng

để truy cập vào cổng 80 trên máy chủ của bạn, nhưng bạn sẽ không biết việc người

đó đã làm

Sử dụng bức tường lửa lọc gói tin

Bởi vì các hạn chế, bức tường lửa lọc gói tin thường được sử dụng trong các lĩnh vực sau đây:

• Là một dòng đầu tiên của phòng thủ (vành đai bộ định tuyến)

• Khi chính sách an ninh có thể được triển khai thực hiện hoàn toàn trong một bộ lọc gói và xác

thực không phải là một vấn đề

• Trong mạng SOHO đó có yêu cầu an ninh là tối thiểu và có lo ngại về chi phí Nhiều công ty sử dụng bức tường lửa lọc gói tin như là một dòng đầu tiên của phòng thủ, phía sau một số loại hình đầy đủ các chức năng tường lửa nó cung cấp thêm an ninh Ví dụ này là một của Pix Cisco

Tương tự, bức tường lửa lọc gói tin có thể được sử dụng để truy cập kiểm soát nội bộ giữa các hệ thống mạng con và các sở, ban, ngành, nơi xác nhận là không cần thiết Trong ví dụ này, bạn đang quan tâm về việc kiểm soát truy cập vào các nguồn tài nguyên nội bộ từ những người dùng của bạn, bạn không phải là lo ngại về cuộc tấn công tinh vi hacking từ những người dùng của bạn

Nhiều dịch vụ mạng SOHO bức tường lửa lọc gói tin bởi vì sự đơn giản của chúng và ít chi phí khi so với các loại bức tường lửa SOHOs quan tâm đến an ninh

cơ bản ở một mức giá vừa phải Bạn phải nhận thức được, tất nhiên, có các bức tường lửa lọc gói tin hoàn toàn không cung cấp bảo vệ cho SOHO, nhưng chúng không cung cấp cho ít nhất ở mức tối thiểu sự bảo vệ để nằm ngoài các mối đe dọa

và tấn công mạng

1.5.5 Những vấn đề với bức tường lửa lọc gói tin

Phần này và tiếp theo một trong kiểm tra một trong những vấn đề mà bức tường lửa lọc gói tin phải lọc với lưu lượng truy cập và làm thế nào với bức tường lửa trạng thái có thể đối phó với nó

Tham khảo Hình 1-7 cho các ví dụ Trong những con số, các bức tường lửa lọc gói tin có đặt một quy tắc trong giới hạn giao diện của nó từ trạng thái Internet

ra rằng bất kỳ lưu lượng truy cập từ bên ngoài được gửi đến địa chỉ 200.1.1.10 (của một người sử dụng máy tính) là bị từ chối Như được hiển thị trong Hình 1-7, khi 170.1.1.1 thử truy cập tới địa chỉ 200.1.1.10, các bức tường lửa lọc gói tin ngăn chặn lưu lượng truy cập, vì nó có nhiệm vụ phải làm như thế

Hình 1-7 Ví dụ bức tường lửa lọc gói tin - bắt đầu kết nối

Tuy nhiên, điều gì sẽ xảy ra nếu có ai đó bên trong mạng, chẳng hạn như từ địa chỉ 200.1.1.10, thử truy cập thiết bị bên ngoài này (170.1.1.1)? Giả sử rằng đó là một HTTP yêu cầu tới địa chỉ 170.1.1.1, trong đó có một máy chủ trang web đang chạy trên đó HTTP sử dụng giao thức TCP, TCP và trải qua một trong ba bước để thiết lập một kết nối trước khi dữ liệu được truyền: SYN, SYN / ACK, và ACK Ban đầu, từ địa chỉ 200.1.1.10 gửi một SYN để thiết lập một kết nối Với giao thức TCP (và UDP), một số lượng cổng nguồn được chọn có nghĩa là lớn hơn 1.023, mà miêu tả cụ thể trong kết nối này Địa chỉ đích là cổng 80, nói rằng đó là địa chỉ 170.1.1.1 mà đó là một yêu cầu HTTP cho dịch vụ của trang web

Khi bức tường lửa lọc gói tin nhận được lưu lượng truy cập vào giao diện nội

bộ của nó, nó kiểm tra để xem có lưu lượng truy cập cho địa chỉ 200.1.1.10 được phép rời khỏi mạng Trong trường hợp này, không có quy tắc lọc phòng ngừa, do đó lưu lượng truy cập cho lưu lượng truy cập địa chỉ 200.1.1.10 được gửi đến các cổng 170.1.1.1

Từ địa chỉ 170.1.1.1 bây giờ quay trở lại đáp ứng tin TCP SYN của địa chỉ 200.1.1.10 với một SYN / ACK (bước thứ hai trong ba bước), như được hiển thị trong Hình 1-8 Tuy nhiên, khi các bức tường lửa lọc gói tin kiểm tra các gói, nó xác định rằng, vì đích là 200.1.1.10, các gói cần được bỏ, theo các quy tắc lọc gói tin Vì vậy, không thể thiết lập được kết nối tới máy chủ trang web bên ngoài, việc phủ nhận truy cập của người sử dụng web nội bộ

Hình 1-8 Ví dụ bức tường lửa lọc gói tin –Các phản hồi xử lý

Các cổng mở

Bạn có thể giải quyết vấn đề này với các bức tường lửa lọc gói tin theo hai cách sau:

• Mở cổng đích lớn hơn 1023 như lưu lượng truy cập trả lại từ địa chỉ nguồn

• Kiểm tra kiểm soát các bit TCP để xác định xem liệu trong vấn đề này là trả lại lưu lượng truy cập

Hãy xem qua các giải pháp đầu tiên Trong trường hợp này, khởi đầu nguồn nguyên đã mở một cổng lớn hơn 1023, như là 10.000 cổng, và được sử dụng một cổng đích của cổng 80 cho HTTP Vì vậy, để cho phép các lưu lượng truy cập đến

từ 170.1.1.1 trở lại, các bức tường lửa lọc gói tin cần có một quy tắc mà sẽ cho phép 10.000 cổng Tất nhiên, với vấn đề này thì nguồn tài nguyên có thể sử dụng bất kỳ tài nguyên cổng lớn hơn 1023: Cho dù một là miễn phí và được lựa chọn bởi các hệ điều hành là một trong những chỉ định Vì thế, bạn đã có thể để cho phép tất cả các cổng lớn hơn 1023 được phép trả lại lưu lượng truy cập đến 200.1.1.10, như được hiển thị trong Hình 1-9

Hình 1-9 Ví dụ về bức tường lửa lọc gói tin – các cổng mở

Lời cảnh báo

Các cổng lớn hơn 1023 không phải là một thực tế được đề nghị để cho phép trả lại lưu lượng truy cập từ một nguồn gốc kết nối: Bạn đang tạo ra một lỗ trong đầu tư an toàn bức tường lửa của bạn mà sẽ mở các thiết bị nội bộ của bạn cho tất cả các loại tấn công

Kiểm tra các bit kiểm soát TCP

phương pháp tiếp cận thứ hai là để kiểm tra thông tin ở tầng giao vận về các kết nối để xác định xem nó là một phần của một kết nối tồn tại, và nếu như vậy, cho phép quay lại trả lưu lượng truy cập từ địa chỉ 200.1.1.1 Với TCP, điều này có thể được thực hiện bằng cách kiểm tra kiểm soát các cờ trong tiêu đề phân đoạn TCP Đây là những hiển thị trong bảng 2-4 và được định nghĩa trong RFC 793 Lưu ý rằng nhiều mã số, thường được gọi là cờ, có thể được gửi đi trong cùng một phân đoạn tiêu đề, chẳng hạn như SYN và ACK (SYN / ACK), hoặc FIN và ACK (FIN / ACK)

Bảng 1-4 Kiểm soát thông tin TCP

Tin TCP Giải thích

ACK Thừa nhận dữ liệu nhận được

FIN Sự chấm dứt một kết nối

PSH Những hành động như là chức năng đẩy ra

RST Khởi tạo lại kết nối

SYN Bắt đầu một kết nối và đồng bộ theo số thứ tự

URG Các điểm để dữ liệu khẩn cấp trong phân đoạn được đưa lên

Trong trường hợp này, bức tường lửa lọc gói tin kiểm tra không chỉ địa chỉ nguồn

và đích và số cổng kết nối, nhưng, đối với các kết nối TCP, nó cũng kiểm tra mã số bit để xác định xem liệu này được lưu lượng truy cập được bắt đầu từ một thiết bị hoặc lưu lượng truy cập được gửi phản hồi cho một yêu cầu Ví dụ, khi những người sử dụng nội bộ (200.1.1.10) gửi một TCP SYN, bạn biết rằng cổng địa chỉ 170.1.1.1 sẽ trả lời bằng một SYN và ACK trong tiêu đề phân đoạn TCP Vì vậy, nếu bạn biết làm như thế nào sử dụng tốt cờ TCP kiểm soát hồi đáp, bạn có thể cấu hình tường lửa lọc gói tin của bạn để cho phép lưu lượng truy cập này, như được hiển thị trong Hình 1-10

Hình 1-10 Bức tường lửa lọc gói tin kiểm soát lưu lượng truy cập

Hai vấn đề tồn tại với kiểm tra mã số kiểm soát ở tầng giao vận:

• Không phải tất cả các giao thức ở tầng giao vận hỗ trợ mã số kiểm soát

• Mã số kiểm soát có thể được thao tác bằng tay để cho phép một hacker thả vào các gói tin thông qua một bức tường lửa lọc gói tin

Một trong những vấn đề lớn nhất bức tường lửa lọc gói tin kiểm tra các mã

số kiểm soát là vấn đề, trong kết quả giao thức TCP/IP, giao thức TCP đã có mã số kiểm soát, nhưng UDP thì không Vì vậy, cho một kết nối UDP, bạn không biết đây

là bắt đầu, giữa hoặc cuối của một kết nối trừ khi bạn kiểm tra việc nén dữ liệu trong phân đoạn UDP

Các vấn đề khác là, ngay cả đối với các giao thức tầng giao vận mà có hỗ trợ

mã số kiểm soát, chẳng hạn như TCP, các mã số được kiểm soát có thể thao tác bằng tay Ví dụ, bộ định tuyến lọc gói tin trong Hình 1-10 cho phép lưu lượng truy cập đến địa chỉ 200.1.1.10 nếu chứa mã số kiểm soát, chẳng hạn như SYN và ACK, được đặt trong tiêu đề TCP Trong giả định ở đây và đó là một giả định – mà dữ liệu

là một sự phản ứng lại tới thông tin đó mà được yêu cầu địa chỉ 200.1.1.10 từ một thiết bị bên ngoài, chẳng hạn như địa chỉ thiết bị là 170.1.1.10 Tuy nhiên, bức tường lửa lọc gói tin không thể phân biệt giữa hợp lệ và đáp ứng một giả phản ứng Với một giả phản ứng, một hacker tạo ra các phân đoạn TCP với đặt một số mã cờ,

cố gắng để được truy cập thông qua các bức tường lửa của bạn Một bức tường lửa lọc gói tin, không phân biệt được giữa hai loại hình lưu thông

Lời cảnh báo

Cisco đã thành lập thông số cho TCP đã mở rộng ACLs kiểm tra các cờ mã

số và cho phép trả lại lưu lượng truy cập vào mạng Tuy nhiên, một hacker có thể thao tác này trả về lưu lượng, tham do những khe hở, DoS, và các loại tấn công khác

1.6 Thiết kế tường lửa

Như đã đề cập ở phần đầu của chương, một bức tường lửa là một thiết bị hoặc thiết bị kiểm soát giao thông giữa các lĩnh vực khác nhau của mạng của bạn Trong một thiết kế mạnh mẽ hơn mà bạn thường thấy hai hoặc ba thiết bị tường lửa, cũng như nhiều thành phần khác để bảo vệ an ninh các nguồn lực của công ty Trong một bức tường lửa thiết kế, tôi tham khảo các giải pháp bảo mật như là một

hệ thống tường lửa, cho rằng rất nhiều thiết bị đang được sử dụng để bảo vệ nguồn tài nguyên của bạn

Như bạn sẽ thấy trong phần này, bạn nên làm theo một số nguyên tắc khi thực tế đang phát triển một hệ thống tường lửa Có thể bao gồm các gói và các ứng dụng tường lửa, và các ứng dụng cổng ATFs, máy chủ dựa trên bức tường lửa, và,

có khả năng nhiều hơn, lai bức tường lửa, cũng như nhiều thiết bị an ninh khác, chẳng hạn như VPN concentrators, ID thiết bị, máy chủ xác thực an ninh, và có rất nhiều khác các thành phần

Sau khi ngắn gọn bao gồm các thành phần trong một giải pháp an ninh, tôi thảo luận về một số các mẫu thiết kế mà thường được sử dụng để bảo vệ tài nguyên Sau đó, tôi thảo luận về những thuận lợi, khó khăn và bao gồm các vấn đề quản lý

• Thực hiện một tầng phòng thủ để cung cấp sự bảo vệ mở rộng

• Xem xét các giải pháp cho rằng mối đe dọa nội bộ nên được nằm trong thiết kế của bạn

Dưới đây là những thành phần nhỏ được thiết kế làm 5 bước

1.6.1 Phát triển một chính sách an ninh

Một trong những bước đầu tiên bạn làm khi thiết kế một hệ thống tường lửa

là tạo ra một chính sách an ninh Các chính sách cần xác định có thể chấp nhận được và hành vi không thể chấp nhận được, nên giới hạn trạng thái cho nguồn tài nguyên, và phải tuân thủ các kế hoạch kinh doanh và chính sách của công ty Nếu không có một chính sách an ninh, đó là thực tế không thể phát triển một giải pháp

an ninh rằng sẽ đáp ứng nhu cầu của công ty bạn

Chìa khóa dẫn đến một thiết kế tốt là dựa trên một chính sách an ninh Về cơ bản, một chính sách xác định người được phép truy cập vào tài nguyên, những gì họ được phép làm với các nguồn tài nguyên, nguồn tài nguyên như thế nào cần được bảo vệ (nói chung các điều khoản), và những gì các hành động được đưa ra khi một vấn đề an ninh xảy ra Nếu không có một chính sách an ninh, nó là không thể thiết

kế một hệ thống tường lửa sẽ bảo vệ tài sản của bạn Nói cách khác, nếu bạn không

có một chính sách an ninh, bảo vệ những gì bạn cần? Bao nhiêu nên bạn bảo vệ tài nguyên? Ai được phép truy cập vào các nguồn tài nguyên? Nếu chính sách của bạn hiện không xác định những mục này, nó là khó khăn trong việc thiết kế và triển khai thực hiện một giải pháp dựa trên linh cảm Trên thực tế, mà không có một chính sách an ninh, các hệ thống tường lửa mà bạn đặt vào nơi có thể tạo ra rủi ro bảo mật: Nó không thể cung cấp đầy đủ khả năng bảo vệ các nguồn tài nguyên của công

• Các rủi ro liên quan đến các nguồn tài nguyên

• Các phương pháp và các giải pháp có thể được sử dụng để bảo vệ các nguồn tài nguyên

• Phân tích một chi phí có lợi mà so sánh các phương pháp và các giải pháp khác nhau

1.6.2 Giải pháp thiết kế đơn giản

Một hệ thống tường lửa nên được thiết kế đơn giản và giữ được thì phải làm đúng theo chính sách bảo mật của bạn Các thiết kế đơn giản là, nó sẽ được dễ dàng

hơn để thực hiện, duy trì, thử nghiệm và gỡ rối, và để điều chỉnh các thay đổi mới Nhiều người muốn gọi này trên nguyên tắc KISS: Keep it simple, stupid Cuối cùng loại vấn đề mà bạn muốn giao tiếp với thiết kế là một cấu hình hoặc lỗi rằng nằm ngoài khỏi mạng của bạn khi có sự tấn công khác nhau

Lời cảnh báo

Các giải pháp phức tạp là nghiêng để thiết kế và cấu hình các lỗi, và rất khó

để kiểm tra và gỡ rối Các đơn giản, bạn có thể làm việc thiết kế, thì nó sẽ được dễ dàng hơn trong việc quản lý nó

1.6.3 Sử dụng đúng thiết bị

Mạng thiết bị có chức năng mục đích; họ được xây dựng với một mục đích

cụ thể trong tâm trí Ví dụ, một lớp 2 chuyển đổi được sử dụng để vi phạm một tên miền collision hay băng thông, và nó cũng sử dụng VLANs to break up quảng bá tên miền: Đó là thông thường là không phải là một thiết bị tốt để sử dụng bộ lọc để lọc lưu lượng truy cập bởi vì được thực hiện bằng cách tạo ra quy tắc lọc dựa trên địa chỉ MAC Các vấn đề với phương pháp tiếp cận này là địa chỉ MAC có xu hướng thay đổi khá một chút: NICs không, máy tính và máy chủ được nâng cấp, thiết bị được chuyển đến địa điểm khác nhau trong mạng, và như vậy trên Lọc được thực hiện tốt nhất khi logic là địa chỉ triển khai

Bằng cách sử dụng sai sản phẩm để giải quyết một vấn đề an ninh mà bạn có thể mở cho tất cả các loại mối đe dọa an ninh Ví dụ, giả sử bạn muốn sử dụng một

ID để phát hiện các loại mối đe dọa mạng Bạn của bạn nhận thấy rằng bộ định tuyến của Cisco có khả năng trong Cisco IOS Firewall tính năng cài đặt, và bạn quyết định để cho phép nó, cảm giác an toàn của bạn là bộ định tuyến của Cisco sẽ tạo ra một báo động khi một cuộc tấn công xảy ra Nếu bạn đã thực hiện thời gian

để đọc các tài liệu liên quan đến an ninh của Cisco routers, bạn đã có thể thấy định tuyến của Cisco có thể phát hiện chỉ một vài chục loại khác nhau của cuộc tấn công mạng (thường, thông thường những người thân) Vì vậy, đối với tất cả các khác hàng trăm loại tấn công, bộ định tuyến của Cisco của bạn sẽ không được phát hiện khả năng của họ, để bạn tiếp xúc Trong ví dụ này, một giải pháp tốt hơn sẽ được mua một căn cước, giải pháp có thể phát hiện hàng trăm loại khác nhau tấn công

1.6.4 Tạo một tầng phòng thủ

Một thiết kế bảo mật thường sử dụng phương pháp tiếp cận phòng thủ một tầng Nói cách khác, bạn thường không muốn phòng thủ một tầng cho mạng lưới được bảo vệ Nếu đây là một tầng bị hại, toàn bộ mạng lưới của bạn sẽ đặt vào tình thế đó

hệ thống tường lửa Với nhiều tầng, nếu một trong các tầng bị hại, bạn vẫn còn có các tầng khác phía sau nó bảo vệ bạn

Một trong những ví dụ mà tôi muốn sử dụng để mô tả một hệ thống tường lửa là một hệ thống làm mạnh thêm mà nhà vua được sử dụng để bảo vệ các lâu đài nhiều lần trong thời trung cổ Hình 1-11 cho thấy một ví dụ về việc này Trong hình này, dòng đầu tiên của phòng thủ là hào bao quanh thành trì Đối với các dòng thứ hai về phòng, đội quân mang giáo là phía sau thành trì, ngăn ngừa bất cứ ai từ cố gắng bơi qua nó Phía sau đội quân mang giáoo là dòng thứ ba của quốc phòng: các tường thành, có thể có ít nhất là cao 3 mét nhưng thường là cao hơn nhiều so với việc này Trên tường thành là các kiếm sĩ, quy định tầng phòng thủ thứ tư Bên trong tường thành là những khoảng đất ngăn thành và lâu đài Tường thành được xây dựng rất cao với các bức tường đá và những tháp canh, quy định tầng phòng thủ thức 5 Và trong các cửa sổ của các bức tường và trên đầu trang của tháp canh là các lính bắn cung, quy định tầng phòng thủ thứ 6 Như bạn có thể nhìn thấy từ các hệ thống này, người tấn công phải trải qua nhiều tầng phòng thủ để bắt giữ hoặc giết các vua

Hình 1-11 Một hệ thống Firewall thời trung cổ 1.6.4.1 Đối phó với mối đe dọa nội bộ

Thường xuyên lắm, nhân viên an ninh đã đang lo ngại về bảo vệ của công ty

và tài sản của các nguồn lực từ bên ngoài đe dọa Hãy nhớ rằng nó được dễ dàng hơn nhiều cho cuộc tấn công tài sản của bạn từ bên trong, cộng thêm, hầu hết các mối đe dọa và tấn công (chiếm 60 đến 70 phần trăm) là nội tấn công Vì vậy, một hệ thống tường lửa, không chỉ bảo vệ bạn tránh những mối đe dọa từ bên ngoài, nhưng cũng cho phép bạn để giảm thiểu các mối đe dọa nội bộ

1.6.4.2 DMZ

Hầu hết các bức tường lửa các hệ thống sử dụng một khu phi quân sự (DMZ)

để bảo vệ các nguồn tài nguyên và tài sản Một DMZ là một phân đoạn hoặc phân đoạn đó có một cấp độ bảo mật cao hơn, bạn có thể phân đoạn của bên ngoài, nhưng thấp hơn mức an toàn của phân đoạn nội bộ của bạn DMZs được sử dụng để cấp cho người dùng bên ngoài truy cập công cộng và thương mại điện tử tài nguyên chẳng hạn như Web, DNS, và e-mail mà không làm lộ mạng nội bộ của bạn Một bức tường lửa được sử dụng để cung cấp mức bảo mật chia ra từng phân đoạn giữa các thiết bị bên ngoài, DMZ, và các nguồn tài nguyên nội bộ Về cơ bản, những hành vi như là một bộ đệm giữa các lĩnh vực khác nhau trong một mạng lưới

Quy tắc DMZ và lưu thông lưu lượng

Để giúp cho thi hành bảo mật một cách dễ dàng hơn, mỗi khu vực trong các

hệ thống tường lửa đều được cấp một cấp độ bảo mật Điều này có thể làm là những thứ đơn giản như là thấp, trung bình, và cao, hay tinh vi hơn, chẳng hạn như một số

từ 1 đến 100, mà 1 là có mức an ninh thấp nhất và 100 là mức an ninh cao nhất Thông thường, lưu lượng truy cập từ một tầng an toàn hơn (cao hơn) được cho phép vào một tầng thấp hơn, nhưng không phải ngược lại

Đối với lưu lượng truy cập đến từ một lớp thấp hơn vào một lớp cao hơn, nó phải được sự cho phép rõ ràng: Nói cách khác, bạn phải thiết lập một quy tắc lọc mà cho phép lưu lượng truy cập ở một cấp độ thấp hơn từ đến một cấp cao hơn Nếu hai khu vực có cùng một cấp độ bảo mật, như là phương tiện truyền thông, lưu lượng truy cập giữa hai khu vực có thể được cho phép hoặc bị từ chối, dựa trên quá trình

mà sản phẩm sử dụng

Lời cảnh báo

Khi cho phép lưu lượng truy cập đến từ một cấp độ bảo mật thấp hơn đến cao hơn, bạn nên có sự chi tiết về những gì được lưu lượng truy cập cho phép Ví dụ, nếu bạn muốn người sử dụng Internet để truy cập vào máy chủ trang web, chi tiết cả hai địa chỉ IP đích của máy chủ trang web, chẳng hạn như 200.1.1.2, các giao thức (TCP), và số cổng đích (80), trong những quy tắc lọc Bởi đang được rất cụ thể, bạn đang mở một lỗ trong hệ thống bức tường lửa chỉ cho lưu lượng cần thiết; tất cả các lưu lượng khác (bao gồm cả các loại lưu lượng truy cập vào máy chủ trang web) là

bị chặn bởi các cấu hình của cấp độ bảo mật của bạn

Điều quan trọng là ngoài điểm đó các quy tắc đôi khi được xây dựng vào các bức tường lửa hoặc phải được cấu hình bằng tay trên các bức tường lửa Trong cả hai tình hình, điều này sẽ mang lại cho bạn rất nhiều tính linh hoạt trong phân cấp của một mối đe dọa tới các khu vực cụ thể trong mạng của bạn và cấu hình hệ thống tường lửa của bạn một cách thích hợp

LƯU Ý

Các bức tường lửa của Cisco Pix sử dụng một số phương pháp tiếp cận chương trình bảo mật an ninh đa mức, cung cấp một hệ thống rất linh hoạt cho tách các khu vực theo các cấp độ của mối đe dọa Số cao hơn các khu vực tự do có thể gửi lưu lượng truy cập đến số thấp hơn các khu vực, nhưng không phải ngược lại,

và các khu vực có cùng cấp độ không thể gửi lưu lượng truy cập đến nhau Theo Cisco IOS routers, bạn phải cấu hình các quy tắc lọc bằng tay để xác định mức độ

• Một kết nối vào Internet, chỉ định một cấp độ an ninh thấp

• Một kết nối với DMZ, nơi máy chủ công cộng được đặt, chỉ định một cấp độ an ninh trung bình

• Một kết nối từ xa đến một công ty đó đang làm việc trên một dự án cho chúng, chỉ định một cấp độ an ninh thấp

• Một kết nối vào mạng nội bộ, chỉ định một cấp độ bảo mật cao

Hình 1-12 Ví dụ - cấp độ an ninh

Công ty này đã được giao quy định sau đây:

• cấp độ truy cập cao đến thấp: cho phép

• cấp độ truy cập thấp lên cao: từ chối

• cấp độ truy cập cùng nhau: từ chối

Căn cứ vào các quy tắc, sau đây là lưu lượng truy cập sẽ tự động được cho phép đi

di chuyển thông qua các bức tường lửa:

• Các thiết bị nội bộ từ DMZ, công ty từ xa, và mạng Internet

• Các thiết bị DMZ cho công ty từ xa và mạng Internet

Các loại hình bất kỳ của lưu lượng cho phép đã bị giới hạn Một trong những lợi thế của thiết kế này là, bởi vì công ty ở xa và mạng Internet được chỉ định cùng cấp, lưu lượng từ Internet có thể không được tiếp cận với công ty ở xa (mà cung cấp

sự bảo vệ), và công ty ở xa không thể sử dụng truy cập Internet của bạn miễn phí (nhằm tiết kiệm tiền của bạn)

Một lợi thế về an ninh cấp là chúng tạo ra một phương pháp tiếp cận theo tầng an ninh Ví dụ, cho dù là tin tặc trên Internet hoặc công ty ở xa để truy cập vào các nguồn tài nguyên nội bộ trong Hình 1-12, họ có thể đầu tiên phải hack vào DMZ của bạn và sau đó sử dụng lợi thế này như là một bước đòn bẩy để hack vào mạng nội bộ của bạn Sử dụng các tiếp cận tầng này, bạn thực hiện các công việc của hacker khó khăn hơn nhiều và mạng của bạn an toàn hơn nhiều

1.6.4.3 Các loại DMZ

DMZs có nhiều loại thiết kế Bạn có thể có một DMZ, nhiều DMZs, các DMZs mà là một đơn vị của mạng công cộng từ mạng nội bộ của bạn, và rằng các DMZs là một đơn vị lưu thông với mạng lưới nội bộ Những phần sau hiển thị một

số những thông tin đầy đủ

DMZ đơn giản

DMZs đơn giản có hai loại:

• phân đoạn đơn giản

• phân đoạn chân dịch vụ

Hình 1-13 cho thấy một ví dụ về một DMZ đơn giản với phân đoạn đơn giản Trong ví dụ này, có hai bức tường lửa: một vành đai bức tường lửa và một bức tường lửa chính, với các phân đoạn giữa hai DMZ Một trong những nhược điểm của thiết kế này mà hai bức tường lửa là cần thiết: một để bảo vệ DMZ từ mạng Internet và một để bảo vệ mạng nội bộ từ các DMZ và mạng Internet

Hình 1-13 Với phân đoạn đơn giản của DMZ đơn giản

Hầu hết các thiết kế bức tường lửa sử dụng một DMZ phân đoạn chân dịch

vụ, mà sẽ được hiển thị trong Hình 1-14 Trong ví dụ này, một bộ định tuyến được

sử dụng để kết nối Internet Các thiết kế trong Hình 1-14 có hai lợi thế hơn các đơn phân DMZ được hiển thị trong Hình 1-13:

• Các bức tường lửa đôi khi có thể được kết nối trực tiếp vào Internet, loại bỏ những chi phí phụ của các bộ định tuyến vành đai

• Tất cả các cấp độ chính sách an ninh có thể được xác định trên một thiết bị (trong một phân đoạn DMZ đơn giản, bạn phải xác định các chính sách của bạn về hai thiết bị)

Hình 1-14 DMZ đơn giản với một dịch vụ phân đoạn chân dịch vụ

Vấn đề chính nằm ở phương pháp tiếp cận này, tuy nhiên, là, bởi vì một bức tường lửa đơn giản là xử lý tất cả các chính sách an ninh, một tấn công DoS thành công có thể suy thoái hiệu suất của các bức tường lửa Trong trường hợp tốt nhất, chỉ có băng thông của bạn bị ảnh hưởng, trong trường hợp xấu nhất, các bức tường lửa có thể sụp đổ Với một phân đoạn DMZ đơn giản, bởi vì những chính sách được lây lan giữa hai bức tường lửa, có ít khả năng xảy ra một quá tải Điều này đặc biệt đúng đối với lưu lượng giữa các DMZ và mạng nội bộ Nếu một hacker tấn công là một máy chủ trang web trên DMZ, các bức tường lửa vành đai chịu gánh nặng chính của cuộc tấn công này, mà cho phép các bức tường lửa nội bộ để xử lý DMZ / không ảnh hưởng đến lưu lượng truy cập nội bộ

DMZs phức tạp

Một hệ thống tường lửa có thể được sử dụng để phân cách nhiều lĩnh vực mạng của bạn, bao gồm DMZs phức tạp Hình 1-15 cho thấy một ví dụ về một mạng lưới với DMZs phức tạp Trong ví dụ này, một bức tường lửa được sử dụng

để vi phạm lập một mạng lưới vào bốn lĩnh vực: nội mạng, một DMZ cho máy chủ của Công ty A, một DMZ cho máy chủ của Công ty B, và mạng Internet Trong ví

dụ này, các mạng nội bộ đều được cấp một cấp độ bảo mật cao, cả hai công ty được chỉ định một máy chủ bảo mật trung cấp, và mạng Internet đều được cấp một cấp độ

an ninh thấp Giả định truy cập cao đến thấp được phép theo mặc định, nhưng truy cập ngang cấp là bị từ chối Trong ví dụ này, các mạng nội bộ có thể truy cập bất kỳ tài nguyên, và mỗi công ty máy chủ có thể truy cập vào Internet, nhưng không phải

là máy chủ của công ty khác Bạn cần phải thiết lập quy tắc an ninh để cho phép