Đang tải... (xem toàn văn)
Đánh giá Firewall an toàn I. Mô tả: Các đoạn dưới đây đưa ra cho sự hiểu biết hơn về các Firewall thông thường như: Firewall là gì, tại sao sử dụng Firewall, các kiểu Firewall và lợi ích của các loại Firewall. 1. Firewall là gì Một thiết bị phần cứng hay một giải pháp phần mềm mà được đặt giữa 2 (hoặc nhiều hơn) mạng, phân tách chúng thành 2 phần tách biệt và đảm bảo rằng truy cập giữa chúng đã được kiểm soát 2. Tại sao là Firewall Giảm nguy cơ (rủi ro) bằng cách bảo vệ hệ thống từ việc cố gắng khai thác lỗ hổng (điểm yếu) Tăng tính bảo mật Tạo sự khó khăn khi thu thập thông tin về mạng của bạn Thực thi chính sách bảo mật trong tổ chức của bạn 3. Lợi ích của Firewall Hạn chế các kết nối đi vào và chỉ các kết nối rõ ràng mới được phép Hạn chế các kết nối ra ngoài mạng và chỉ các kết nối rõ ràng mới được phép Thực hiện lọc theo chiều vào và chiều ra Thực hiện phát hiện sự xâm nhập cơ bản Lưu log tất cả các lưu lượng đến và đi qua mạng
Đề tài: Ngiên cứu, xây dựng hướng dẫn triển khai tiêu chuẩn quản lý rủi ro an tồn thơng tin TCVN ISO 27001:2009 STT Tên Tài liệu Nội Dung Cấu hình ISSAF (46tr - Các loại Firewall Firewall an tồn – tiếng anh) - Xác định vị trí - Nhận dạng Firewall kiến trúc Firewall Ghi Tương đối đầy đủ - Proxy firewall - IP tables - Kiểm tra dịch vụ fw phiên dịch - Firewall vụ chạy firewall ứng dụng Trị - Kiểm tra cổng sử dụng - Kiểm tra sách Firewall Cấu hình Switch an toàn ISSAF (34tr - Chống tràn bảng – tiếng anh) CAM A.Trọng - Switch layer - Chống Vlan Hopping - Switch layer - Đảm bảo an toàn cho SPT (Spanning tree protocol) - Hub, bridge - Đảm bảo an toàn cho VTP (Vlan trunking protocol) Đảm bảo an ISSAF(75tr *Linux: - Cài đặt hệ Tương đối toàn cho máy chủ Window/linux – tiếng anh) điều hành đầy đủ - Tối ưu hệ điều hành - Cấu hình dịch vụ mạng Trị * Window: Đảm bảo an toàn cho dịch vụ - Đảm bảo an toàn cho giao thức - Đảm bảo an toàn cho tài khoản - Đảm bảo an toàn cho tập tin thư mục - Đảm bảo an toàn cho tài nguyên - Đảm bảo an toàn cho cổng T.A Đảm bảo an tồn thơng tin cho máy trạm -Internet security (Firewall AV) Tương đối đầy đủ -Cài đặt OS - Cách sử dụng thiết bị di động an toàn - mail an toàn - sử dụng web brower: Mozilla, ie - Backup liệu T.A Đảm bảo an tồn thơng tin SP800_92 - Sự cần thiết sử dụng an toàn cho liệu Tương đối đầy đủ cho lưu trữ dự liệu máy tính (log) - Cấu trúc log mạng LAN - Thiết lập thiết kế sách bảo vệ cho log - Các quy trình xử lý quản lý log - Đánh giá vài phương pháp lưu trữ Cấu hình Router ISSAF (46tr - Kiểm tra hostname Tương đối – tiếng anh) router đầy đủ A.Trọng An toàn - Quét cổng mở mặc định router - Kiểm tra hệ điều hành, phiên router sử dụng - Kiểm tra giao thức chạy router - Kiểm tra lỗi file cấu hình router T.A Thiết kế mạng (lấy Cisco) - Băng thông tốc độ đường truyền Đảm bảo an tồn mạng - Vị trí đặt: Firewall, model, switch, máy chủ, máy trạm Trị - Hướng dẫn triển khai VPN A.Trọng - Cấu hình VLAN - Chính sách quy - Áp dụng cho vài mô hình + Mạng nội khơng Internet + Mạng nội có internet định + Mạng nội - Phương án dự phịng có chia VLAN + Mạng nội có dùng VPN + Mạng nội có sử dụng truy cập không dây BẢNG THUẬT NGỮ VIẾT TẮT VÀ CẦN TRAO ĐỔI STT TIẾNG ANH TIẾNG VIỆT Security An toàn, Bảo mật, an ninh GHI CHÚ Explicitly Rõ ràng, dứt khốt Communications Truyền thơng, thơng tin liên lạc Đánh giá Firewall an tồn I Mơ tả: Các đoạn đưa cho hiểu biết Firewall thơng thường như: Firewall gì, sử dụng Firewall, kiểu Firewall lợi ích loại Firewall 1 Firewall Một thiết bị phần cứng hay giải pháp phần mềm mà đặt (hoặc nhiều hơn) mạng, phân tách chúng thành phần tách biệt đảm bảo truy cập chúng kiểm soát Tại Firewall - Giảm nguy (rủi ro) cách bảo vệ hệ thống từ việc cố gắng khai thác lỗ hổng (điểm yếu) - Tăng tính bảo mật - Tạo khó khăn thu thập thơng tin mạng bạn - Thực thi sách bảo mật tổ chức bạn Lợi ích Firewall - Hạn chế kết nối vào kết nối rõ ràng phép - Hạn chế kết nối mạng kết nối rõ ràng phép - Thực lọc theo chiều vào chiều - Thực phát xâm nhập - Lưu log tất lưu lượng đến qua mạng Các kiểu Firewall 4.1 Firewall lọc gói - Kiểm tra lưu lượng dựa ACL (danh sách điều khiển truy cập) - Các kiểu lọc lưu lượng dựa + Địa IP nguồn địa IP đích + Cổng nguồn cổng đích - Mức độ bảo mật - Các nội dung liệu thơng qua lọc gói tin khơng kiểm tra - Nhanh - Các phân đoạn IP không nối ghép lại trước kiểm tra luật 4.2 Firewall Stateful – Firewall nhiều lớp - Duy trì trạng thái kết nối cách giữ chuỗi số - Phù hợp với yêu cầu lưu lượng vào bên mạng - thực thi + Trạng thái kiểm tra – Checkpoint FW1 + Cắt thông qua Proxy – Cisco PIX + IP Tables + IPT + Netscreen - Trạng thái kiểm tra – Checkpoint FW1 + Các trạng thái có nguồn gốc Ứng dụng Trạng thái có nguồn gốc thơng tin từ ứng dụng khác + Các trạng thái có nguồn gốc từ thơng tin liên lạc (truyền thơng) Trạng thái có nguồn gốc từ thơng tin trước + Thao tác thơng tin Đánh giá độ linh hoạt biểu thức dựa tất nhân tố phía 4.2 Mức độ mạch Gateways/Proxies - Proxy có nghĩa kết nối bị bẻ gẫy header viết lại - Thơng thường không kiểm tra mức độ Ứng dụng - Định tuyến không phép từ tất kết nối 4.3 Mức độ vi mạch Gateways/Proxies - Proxy nghĩa kết nối bị bẻ gãy header viết lại - Thơng thường khơng kiểm tra mức độ ứng dụng - Định tuyến không kích hoạt kể từ tất kết nối kết thúc Proxy tất kết nối Proxy 4.4 Gateway ứng dụng - Tương tự với mức độ vi mạch Gateway/Proxies - Mức độ ứng dụng kiểm tra thực - Duy trì hồn thành trạng thái kết nối chuỗi thông qua kết nối + Client đến Proxy + Proxy đến Server - Không cho phép Client kết nối trực tiếp đến Server - Chậm - Ví dụ + Gauntlet + Symantec Enterprise Firewall + Watchguard fireboxes 4.5 Stealth/Bridge Firewall - Ẩn - Bridge suốt - Không cần địa IP - Giao diện chế độ pha tạp - Chỉ truy cập từ khung điều khiển thông qua giao diện thiết kế để quản lý 4.6 Các thiết bị Firewall phần cứng - Tích hợp giải pháp phần cứng - Tất phần mềm bao gồm OS đến tải trọng đặt platform - Mạng “Hộp đen” tiếp cận để bảo mật - Đóng kín, giới hạn mở cổng dịch vụ làm giảm lỗ hổng tăng mức độ bảo mật - Nhanh tất thứ bên nhúng bên phần cứng (ví dụ khơng có ổ cứng) - Ví dụ + Netscreen (Mọi thứ bên ASICs) 4.7 Firewall mức ứng dụng - Bảo vệ ứng dụng đơn (giống http) - Các ví dụ + Sanctum Appshield + DMZ Shield (Ubizen) Chống lại tường lửa không bảo vệ - Nguồn gốc công từ mạng bảo vệ (từ bên trong) - Ủy quyền truy cập độc hại - Tấn công khai thác cổng mở thông qua Firewall (Nếu Firewall Firewall mức ứng dụng) - Tấn công không cần qua Firewall - Nguồn gốc công từ điểm truy cập backdoor (Điểm truy cập không dây, môdem) Làm việc với Firewall - Các gói tin mà vượt qua luật(quy định) cho phép - Các gói tin khơng phù hợp bị từ chối (tốt loại bỏ) - Các công nguy hiểm làm sai lệch thông tin nằm gói tin bị từ chối - Hầu hết lọc gói tin Firewall nhiều lớp làm việc bên kiểu “top -down” Proxy không dựa Firewall - Hầu hết Firewall có luật drop mặc định (Một cách rõ ràng từ chối tất khơng cho phép) Thực hành tốt cho việc đăng nhập - Đăng nhập tối thiểu cho lưu lượng thông thường - Không đăng nhập cho lưu lượng ồn - Đăng nhập tối đa cho phần lại Dịch chuyển địa Có kiểu dịch chuyển địa chỉ: Dịch chuyển địa cổng (PAT) dịch chuyển địa mạng (NAT) PAT biết “Hide NAT” Mọi thứ ẩn đằng sau địa IP Firewall mở rộng NAT biết “Static NAT” Tất địa IP mà dịch ánh xạ 1-1 bảng địa IP Điều cần định tuyến tới công việc Checkpoint có cách làm việc với NAT tĩnh Dịch chuyển địa thực máy khách định tuyến tĩnh không cần thiết H.2 Mục đích Mục đích tài liệu thêm vào việc đánh giá an toàn Firewall H.3 Yêu cầu H.3.1 Hiểu môi trường làm việc tổ chức Trước đánh giá đưa địa điểm, nghiên cứu môi trường mạng tổ chức nên thực H3.2 Yêu cầu công nghệ Thực kiểm tra xâm nhập phần đánh giá, liệt kê danh sách tất địa IP kết nối với với sơ đồ mạng điều phải làm Thực đánh giá an ninh hệ thống, truy cập tới Firewall phải cấu hình chúng (Thơng qua giao diện điều khiên thông qua giải pháp quản lý) H.4 Thuật ngữ H.5 Lịch sử H.6 Mục tiêu H.6.1 Tiến độ Đánh giá an toàn/ kiểm tra tiến độ H.6.2 Tiến độ Quản trị hệ thống H.7 Kết mong đợi Một danh sách với tất pro’s and con’s Firewall thời cài đặt H.8 Phương thức / Q trình Xác định vị trí Firewall Xác định lỗi cấu hình sai thơng thường Kiểm tra công phổ biến Firewall Kiểm tra vấn đề cụ thể sản phẩm Vị trí Firewall - Thực đảo nghịch DNS tra cứu theo dải IP đích (Đơi Firewall đăng kí lại DNS) - Thực traceroute thường xuyên hướng dải IP đích - Thực tìm dấu vết TCP theo hướng hệ thống đằng sau Firewall - Thực quét kiểu Hping tới hệ thống Firewall (máy chủ web/mail chủ mail) - Tìm kiếm thơng điệp ICMP trả lại từ Firewall Có thể dẫn tới phát địa IP Firewall * Xác định lỗi cấu hình sai thơng thường - Điều áp dung cho tất kiểm tra mà đề cập đoạn cầu hình lỗi Router + Thiết lập đồ luật cho Firewall (Firewalk) + Quét cổng hệ thống đằng sau Firewall có ích * Kiểm tra công phổ biến Firewall + Đổi hướng cổng + Cổng sau Firewall * Kiểm tra vấn đề cụ thể Sản phẩm - CheckPoint Firewall-1 - CheckPoint NG - Nokia IPSO - Cisco PIX - Microsoft ISA - Microsoft Proxy - Borderware - Gauntlet - IP Table/Chains - Others H.9 Vị trí Firewall H.9.1 Ngăn cản gói tin mong đợi người quản trị với nguồn Firewall Miêu tả: Bẳng cách sử dụng Hping cơng cụ thủ cơng khác để gửi gói tin SYN đến firewall Nếu hping báo cáo nhận ICMP unreachable type 13 với nguồn địa IP thiết bị kiểm sốt truy cập nguồn IP firewall lọc gói tin Một ICMP type 13 gói tin lọc bị ICMP admin ngăn cấm Điều kiện tiên Ví dụ/Các kết Hping www.target.com –c2 –S –p23 –n HPING www.yourcompany.com (eth0 192.168.0.1): S set, 40 data ICMP Unreachable type 13 from 192.168.100.100 Phân tích/ kết luận/ theo dõi - Nó đưa ICMP type 13 từ 192.168.100.100 - Đấy gói bị tin bị admin ngăn cấm - Đầy đủ quyền truy cập hệ thống quan trọng (Firewall/Router) Biện pháp đối phó Admin vơ hiệu hóa gói tin bị cấm (ICMP type 13 messages) router biên Khơng đưa địa IP đích Đề cập tới sản phẩm thơng thường Lưu lượng gói (khối) theo chiều có nguồn gốc từ Firewall Cơng cụ (Tools) - Hping - TCP Traceroute H.9.2 Xác định dải mạng Traceroute Traceroute bảo cho bạn biết số thông tin mạng như: - Đường dẫn tới mạng - Các thiết bị định tuyến trung gian - Thông tin tiềm thiết bị lọc có khả giao thức cho phép - Xem xét số kiện + Firewall thông thường không trả lại ICMP TTL thông điệp hết hạn + Trong mạng cỡ nhỏ trung bình Firewall xác định vị trí hop trước đích + Trong mạng có lớn bạn nhận dải mạng lớn khó để xác định Firewall Mặc định hệ thống Window sửa dụng gói ICMP hệ Unix/Linux sử dụng gói UDP thực trace route Các bước thực hiện: - Traceroute ICMP, UDP TCP hướng mục tiêu - Phân tích kết + Xác định nơi gói ICMP bị dropper/rejected (loại bỏ) + Xác định nơi gói UDP bị dropper/rejected (loại bỏ) + Xác định nơi gói TCP bị dropper/rejected (loại bỏ) - Có thể xác định dải mạng Phân tích/kết luận/theo dõi ICMP yêu cầu bị blocked ngoại trừ hop 18 có địa IP (xxx.xxx.90.9) UDP yêu cầu bị Blocked ngoại trừ hop 19 có đị IP (xxx.xxx.100.10) TCP yêu cầu sử dụng HTTP cổng 80 thông qua đích host 22 có địa IP (xxx.xxx.110.11) - Nó quan sát thấy host trung gian (hop số 20 21) không tiết lộ địa IP/tên thiết bị/tên miền Cố gắng đoán địa IP thiết bị hop 20 21 không thành công dải xxx.xxx.110.x to xxx.xxx.110.x Các tool Tiện ích tracerout (Traceroute *nix tracert Window) Biện pháp đối phó Prevention Mechanism Cơ chế ngăn chặn - Hạn chế điều khiển truy cập trái phép (Router/Firewall) để phán ứng chống lại gói TTL hết hạn > acces-list 151 deny ip any any 110! Ttl-trả lời Cơ chế phát Cơ chế cấu hình pháp xâm nhập cho gói ICMP, UDP TCP với TTL =1 H.9.3 Thực PortScan cổng mặc định Firewall chiếm đoạt cổng - Quét cổng dễ dàng thực ồn đưa kết tốt đạt cấu trúctiếp cận - Sử dụng thu thập thông tin từ nguồn cơng cộng sẵn có firewall thực thi bên mạng đích quét cổng firewall mặc định - Đưa mức ưu tiên tới thông tin bạn cảm thấy đáng tin cậy - Gửi kết nối nhỏ(2 kết nối host xấp xỉ) để tránh phát (Mặc dầu firewall tốt khơng nên có vấn đề việc kết nối ngày nay) - Nếu bạn may mắn tìm thấy cổng mở, xác định dịch vụ thiết lập kết nối dịch vụ có liên quan đến cổng - Nếu bạn khơng tìn thấy cổng mặc định, quét ngẫu nhiên (Sử dụng nhiều cổng host nguồn/đích) nhiều thực chúng tất các cổng mặc định firewall đề cập mục lục firewall danh sách cổng mặc định bạn biết nhiều - Cuối bạn khơng có thành cơng từ bước trên, quét toàn dải mạng tất cổng sử dụng công nghệ quét 9.4 Thực quét cổng cổng mặc định firewall chộp biểu ngữ- quét cổng Miêu tả: Hầu hết firewall thực thi cổng mặc định sử dụng cho mục đích kết nối từ xa cho mục đích khác (giống xác thực người dùng, giải pháp VPN…) Điều kiện tiên None Các ví dụ/các kết - nmap –n –vv –P0 –p256, 1080 www.target.com Các phân tích/ kết luận/nhận xét - PO khơng cho phép gói tin ICMP qua - vv đưa đầu dài Nó giúp việc xác định kiến trúc/hệ thống firewall Các biện pháp đối phó - Ngăn chặn việc quét cổng chống lại Firewall, chặn quét gateway thân - Trong trường hợp Cisco sử dụng chặn quét để chống lại hệ thống Firewall CheckPoint Access-list 101 deny tcp any any equal 256 log Access-list 101 deny tcp any any equal 257 log Access-list 101 deny tcp any any equal 258 log Access-list 101 deny tcp any any equal 259 log Sử dụng “stealth” luật với chặn tất traffic theo hướng firewall - Ngoài sử dụng chế phát để bắt giữ chống lại việc quét trộm Điều chỉnh mạng bạn hệ thống phát xâm nhập để phát quét chậm Điều chỉnh “kích hoạt”- số x cổng bên thời gian y số host bên thời gian y để phát qt host - Vơ hiệu hóa tất cổng mặc định firewall khơng có u cầu làm việc Firewall Các công cụ: - Nmap - Hping Đọc thêm - Bảng cổng mặc định Firewall tham khảo phụ lục 9.5 Thực quét cổng cổng mặc định firewall chộp biểu ngữ - Banner Grabbling 9.5 H.9.5 Perform Port Scan On Default Firewall Ports and Grab Banners – Banner Grabbing