MỤC LỤC Đà mục Trang CHUONG I: GIỚI THIỆU ĐÈ TÀI saseseaenecossvenssscevessens seessssesse Ï 1.1 Giới thiệu mm 1
1.2 Mục tiêu, nhiệm vụ của đề tài -s se Ơ 2
1.3 Các thiết bị, cơng cụ sử dụng so sss ssseoozsseeossssee sesses 3 CHUONG II: PHƯƠNG PHÁP NGHIÊN CỨU sesonseasenscnsenseasees 4 2.1 Các tác nhân đe dọa đến bảo ImMậf mạng o-<sssssss s55 s6sss 4 2.1.1 Các tác nhân khơng cĩ cấu trúc 2 ss- ke e©E9csEE+EsEsrsrerrsea 5 2.1.2 Các tác nhân cĩ cấu trÚc -2sc2xkeEEkSEEEEEEEvEEEvrresrreerrreed 5 2.1.3 Các tác nhân xuất phát từ bên ngồi -csccscrscceerseecseea 5 2.1.4 Các tác nhân xuất phát từ bên [TOIE QQ HH ng my 5 2 2 Các loại tấn CƠ TỔ Go 0 0 1g g9 100 9.0 9 SH ve g6 5 2.2.1 IP vo nn 5 2.2.2 Tấn cơng từ chối dich vu (DOS) ccecsecssesssecssscsscsseessesseccssessesssesssecssees 7 2.2.2.1 Ping Of Death - ch TH ch ng ng gi 9 2.2.2.2 Syn EFÌOO( - 25 x12 3S SH HH HT ni 11 2.2.2.3 SŠIHUIÍ G00 HC gu gu Tp g pgeg l6 2.2.2.4 Land EXpỌIK SG G32 n1 SH ST TT HH HH ưyc 19
2.2.3 Tan cơng từ chối dịch vụ phân tán (DDoS) -cscsccsecsse: 21 2.3 Các kỹ thuật phịng chống 2 «<< s se se eeeexeEsereesesesseecse 27 2.3.1 ACC€SS LLỈÏS{ QC HT ng ng ngu 27 2.3.1.1 Định nghĩa .á- Ác HH HH TH TT ng ng cưng ng re cg 27 2.3.1.2 Các loại ACC€SS LLÏS( ng HS kg sp esere 27 2.3.1.3 Wildcard BỊẲ - nung TH ng ga 31 2.3.1.4 Cách gán vào một inferface . - << se cs se ke v3 xxx 32 2.3.1.5 Cách xĩa Access LLÏSÍ uc cưng ng se ra 34 2.3.1.6 Cach xem Access LLiSf ĩc Ăn cư re, 35
VÀ ung a4 35
2.3.2.1 CiscO ĐOUf€T - G LH HT TH HH ng ng, 39 2.3.2.2 EOT(IAf€ Q- hHnH TH HT TH ng nh nkt 39
2.3.2.3 CheckPoint Safe(@)Office 225 .- - ct nneiedererirerke 40
2.3.2.4 Sonicwall PRO 2040 Gà HH nen kc 40 2.3.3 Câu hình serVer 22+ 22x 12111121111E 1111.0111 40 2.4 Mơ hình mạng trường .o -c- se c s0 Sex gen gee 42 2.4.1 Mơ hình mạng - - HH ng HH ng 81 gs czx 42
2.4.2 Tình trạng hệ thống website khoa CNTT bị tấn cơng 43
Trang 2
2.5.1 Sử dụng NetFlow để phát hiện tấn cơng DoS 2 44
2.5.2 Lọc lưu lượng - Filtering Traffic 2 Sa se SEE TH nen 47 2.5.2.1 Lọc lưu lượng cho các dịch vụ trên Router 2n rna 47 2.5.2.2 Lọc lưu lượng đi qua Router - 2 2 sSsSe+stEstErereeerra 49
SSN (0a ng 54
2.5.3.1 MƠ (Â cuc HH TH Hee erreereesree 54
2.5.3.2 Cầu hình TCP Intercept .ccscsssccsssessssscesssessssessssesessssesssecessecssn 54
CHUONG 3: GIẢI PHÁP VÀ THỰC NGHIỆM -2- co cccsz 60 3.1 Mơ hình ứng dụng 5< co sseessessessssssssss — 60 3.2 Phương án thực hiện 5-<-< Sex ng cxgeEegxeesessesesree 61 3.3 Giải pháp Xử ý ong se Sex sessssse "—¬— 65
CHƯƠNG IV: KÉT LUẬN ¬— sesssssesau ƠĐ
4.1 Những cơng việc làm đđược - 5 5s 5< ss se seeseeeessseeese 68 4.2 Những cơng việc chưa làm được .cssssessscssssessceseecossccessecesscesscessscasaces 68
4.3 Hướng phát triễn 2° s se se cessEsEsessesesses ä 68
CHƯƠNG V: PHỤ LỤC mm ¬—- 70 5.1 Dynamips Hồ 00896.08846058080508949.00080.0009 96 00600006 0086889909000 08 955.96 56 960 566666060 70
¬N )“ 4 70
5.1.2 Cách thực thi chương trình - -¿- c + + scscxS cv czyki 70 5.2 Routing Information Proto€oll (RÏP) co so so seo so s< essssesssese 75 "2Š h6 ‹475 75 2.2.2 Hoạt Ộng QC ng ng S95 ng re eei 75
Trang 3
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo VỆ mạng trường ĐHKTCN
CHUONG I: GIỚI THIEU DE TAI
Chương này giới thiệu sơ lược về hậu quả do các cuộc tấn cơng trên mạng đã và đang xảy ra ngày càng tăng cũng như tính cấp thiết, cấp bách là cần
phải cĩ các biện pháp ngăn chặn mối đe dọa tấn cơng đĩ cĩ thể gây ra sự tốn
thất cho hệ thống mạng của trường Từ đĩ, dẫn đến nhu cầu cần phải thực hiện đê tài này
1.1 GIỚI THIỆU:
Trong những năm gần đây, nền kinh tế Việt Nam đã và đang cĩ những
bước tiến vượt bật và đáng tự hào Trong đĩ, Cơng nghệ Thơng tin đĩng một vai trị rất quan trọng, làm bàn đạp vững chắc thúc đây kinh tế phát triển Do đĩ, CNTT đã trở thành một lĩnh vực khơng thể thiếu trong cuộc sống, điển hình là Internet Nĩ là một kho tàng kiến thức vơ tận cho cả nhân loại Nhưng bên
cạnh những lợi ích to lớn đĩ, lại cĩ những người dùng nĩ làm cơng cụ với ý đồ xấu là xâm nhập trái phép vào các nhánh mạng Mục đích của kẻ tấn cơng là lấy thơng tin khơng thuộc về mình Sau đĩ cĩ thể là thay đổi thơng tin hay xĩa
bỏ những thơng tin nhạy cảm gây ra những tác hại khơng nhỏ khiến cho bên bị hại cĩ thể đứng trước những nguy cơ phá sản
Qua khảo sát tình hình thực tế cơng nghệ thơng tin trên thế giới hay ở
Việt Nam, chúng tơi nhận thấy rằng các hệ thống mạng lớn hay nhỏ đều cĩ nguy cơ bị đe dọa tân cơng Trong đĩ, tấn cơng từ chối dịch vụ (Denial of
Service - DoS) thực sự là một thảm họa trên Internet Các website lớn như: Yahoo, eBay, Buy.com, đã từng bị DoS
Từ đĩ, cho thấy rằng vấn đề bảo mật rất cần thiết đối với hệ thống mạng của trường Triển khai các giải pháp tối ưu, hệ thống sẽ ngăn chặn các cuộc tấn cơng từ chối dịch vụ xuất phát từ bên ngồi
Trang 4
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo VỆ mạng trường ĐHKTCN
1.2 MỤC TIỂU, NHIỆM VỤ CỦA ĐÈ TÀI:
Trên cơ sở những kiến thức thu nhận được trong quá trình học tập tại trường cùng với những kiến thức bảo vệ mạng của Cisco, được sự hướng dẫn
của thầy Lê Mạnh Hải, sau khi khảo sát tình trạng hệ thống của trường ĐHKTCN và yêu cầu cấp thiết về vấn đề trường cĩ nguy cơ bị tân cơng, chúng
tơi quyết định chọn và thực hiện đề tài:
Áp dung Access List vào bảo vệ mạng máy tính của trường ĐHKTCN
Mục tiêu của đề tài là :
e_ Nghiên cứu tìm hiểu các mối đe dọa và các cuộc tấn cơng từ chối dịch
vụ thường gặp nhất hiện nay như Smurf, SYN Flood, Ping of Death ;
IP Spoofing - một hình thức giả mạo IP để thực hiện tấn cơng từ chối
địch vụ (DoS) và tân cơng từ chối địch vụ phân tán (Distributed Denial of Service — DDoS)
e_ Đưa ra các kỹ thuật phịng chống, khảo sát mơ hình mạng của trường
và nghiên cứu chuyên sâu về ACL
e Triển khai, xây đựng mơ hình mạng của trường, sử dụng cơng cụ để tạo cuộc tấn cơng SYN Flood và cấu hình ACL dé ngăn chặn tắn cơng vào Web Server của trường
e© Do Router 7200 hỗ trợ tính năng TCP Intercept của Access-List để phịng chống tấn cơng DoS, nên chúng tơi chọn phần mềm Dynamips giả lập Router 7200 để cài đặt và cầu hình lệnh
e_ Ngồi ra, dé tài cịn nghiên cứu và triển khai thêm các ACL để hạn chế
các dịch vụ như Telnet, SNMP cĩ nguy cơ tạo thuận lợi cho các cuộc tấn cơng dựa trên dịch vụ đĩ
Trang 5
GVHD: Thị.S Lê Mạnh Hải Ap dung Access List vào bảo vệ mạng trường ĐHKTCN
1.3 CAC THIET BI VA CONG CU SU DUNG:
Để thực hiện đề tài này, chúng tơi chọn sử dụng các thiết bị và các cơng
cụ sau để demo:
- _ Server: Php Server cấu hình web server và Windows XP
Trang 6
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang truéng DHKTCN
CHUONG II: PHƯƠNG PHÁP NGHIÊN CỨU
Đây là chương nghiên cứu chuyên sâu của đề tài, bao gồm các mục chính Sau: 2.1 2.2 2.4 2.5
Các tác nhân đe dọa đến bảo mật mạng bao gồm:
Các tác nhân khơng cĩ cấu trúc
Các tác nhân cĩ cầu trúc
Các tác nhân xuất phát từ bên ngồi Các tác nhân xuất phát từ bên trong
Các loại tấn cơng bao gồm: IP Spoofing — Gia mao dia chỉ IP
Tần cơng từ chối dịch vụ - DoS
Tan cơng từ chối dịch vụ phan tan - DDoS Các kỹ thuật phịng chống bao gồm:
Dùng ACL :
Firewall
Cấu hình trên Web Server
Mơ hình mạng hiện tại của trường
Chính sách bảo mật trên Cisco Router để chống DoS và DDoS
Trọng tâm là tìm hiểu Access List và chức năng traffic filtering,
TCP Intercept của ACL
2.1 CÁC TÁC NHÂN ĐE DỌA ĐÉN BẢO MẬT MẠNG: [3 ]
Cơ bản cĩ bơn mơi đe dọa liên quan đến vấn đề bảo mật sau:
Trang 7
GVHD: Th.S Lê Mạnh Hải Ap dung Access List vao bdo vé mang trường ĐHKTCN
2.1.1 Các tác nhân khơng cĩ cấu trúc:
Các tác nhân này được gây ra bởi những hacker khơng cĩ kinh nghiệm và
khơng thực sự lành nghề Mặc dù, chủ thể tấn cơng theo dang này cĩ thể cĩ chủ
ý, nhưng do muốn biểu diễn tài năng hơn là phá hoại hệ thống mạng
2.1.2 Các tác nhân cĩ câu trúc:
Các tác nhân này được gây ra bởi các hacker cĩ trình độ cao hơn Họ cĩ kỹ
thuật và sự hiểu biết về cấu trúc hệ thống mạng Những hacker này thơng thường được thuê bởi các cơng ty đối thủ của nhau Họ sử dụng các cơng cụ rất tinh vi để xâm nhập vào hệ thống mạng và cĩ thể lấy cắp các thơng tin nhạy
cảm, làm cho bên bị hại cĩ nguy cơ bị phá sản 2.1.3 Các tác nhân xuất phát từ bên ngồi:
Những tác nhân này xuất phát từ bên ngồi mạng Khi các cơng ty bắt đầu
quảng bá sự cĩ mặt của họ trên Internet, cũng là lúc một số người khai thác các
điểm yếu, đánh cắp đữ liệu và cĩ thể phá hỏng hệ thống mạng Tuy nhiên, cĩ một số người khi tìm được lễ hỏng của hệ thống, họ thơng báo cho người quản
trị đĩ biết và tìm giải pháp khắc phục Do đĩ, các tác nhân xuất phát phát từ
bên ngồi bao gồm các tác nhân cĩ cấu trúc và khơng cĩ cấu trúc
2.1.4 Các tác nhân xuất phái từ bên trong:
Những tác nhân này thật sự nguy hiểm vì nĩ xuất phát từ các nhân viên trong tơ chức Họ cĩ thể tấn cơng một cách nhanh gọn và dễ dàng vì họ am
hiểu sơ đồ cấu trúc cũng như biết rõ điểm yếu của hệ thống mạng
2.2 CAC LOAI TAN CƠNG:
2.2.1 IP Spoofing: a) Mơ tả:
Đây là sự giả mạo địa chỉ trong hệ thống mạng Hacker thường dùng cách
này để mạo danh là máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn cơng
Trang 8
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vệ mạng truong DHKTCN
Trong phân tiêu đề (header) của những gĩi dữ liệu luơn cĩ địa chỉ IP của
nguồn xuất phát dữ liệu và chỉ số thứ tự (sequence number - dùng để sắp xếp
các gĩi dữ liệu nhận được theo một thứ tự định sẵn) Địa chỉ IP nguồn rất dễ bị
giả mạo Nếu đốn được quy tắc gán chỉ số thứ tự của hệ điều hành thì hacker
cĩ thể khống chế được các phiên xác lập kết nối để từ đĩ khai thác thơng tin trên mạng
Khi hacker sử dụng trị đánh lừa IP để chiếm quyên điều khiến trình duyệt web trên máy tính, địa chỉ trang web hợp pháp mà người sử dụng muốn truy
cập sẽ bị đối thành địa chỉ trang web do hacker ấn định Nếu họ tiếp tục truy
cập vào những nội dung động (như nhập dữ liệu vào các ơ trắng), hacker cĩ thể thu thập được thơng tin nhạy cảm
b) Két hop IP Spoofing voi cac kiéu tan cng:
Kiéu mo mam (blind spoofing):
Để tìm hiểu cách thức truyền tải dữ liệu trong mạng, hacker sẽ gửi nhiều gĩi đữ liệu đến một máy nào đĩ để nhận lại những thơng điệp xác nhận Bằng cách phân tích những thơng điệp này, chúng cĩ thể biết được quy tắc gán chỉ số thứ tự cho từng gĩi dữ liệu của hệ thống mạng Kiểu tấn cơng này hiện nay ít được áp dụng vì các hệ điều hành mới ứng dụng phương pháp gán chỉ số thứ tự một
cách ngẫu nhiên, khiến chúng khĩ cĩ thê lần ra
Kiểu ẫn mình (nonblind spoofing):
Trong kiểu tấn cơng này, hacker tìm cách ẳn mình trong cùng mạng phụ với
máy tính sẽ bị tắn cơng Từ đĩ, chúng cĩ thể nắm được tồn bộ chu trình gửi tin và trả lời tín hiệu giữa máy bị tắn cơng với các máy tính khác trong mạng Băng cách đĩ, hacker biết được các chỉ số thứ tự của gĩi dữ liệu và cĩ thé chiếm quyền điều khiển các phiên trao đổi thơng tin, vượt qua chu trình xác
nhận đã được lập trước đĩ
Từ chối dich vu (Denial of Service):
Đây là một trong những kiểu tắn cơng khĩ phịng ngừa nhất Mục đích của
hacker là làm cho đường truyền bị tắc nghẽn do cĩ quá nhiều yêu cầu được gửi
Trang 9
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bảo VỆ mạng trường ĐHKTCN
đến máy tính bị tấn cơng trong một khoảng thời gian ngắn, khiến cho hệ thống
mạng khơng thể gửi các gĩi tin bao nhận kịp thời Hacker thường giả mạo địa
chỉ IP của nhiều máy tính khiến cho việc truy tìm các địa chỉ này và ngăn chặn tan cơng khơng đạt kết quả cao
Chen giữa các máy tính (Man ïn the Middle):
Trong kiểu tấn cơng này, khi hai máy tính đang truyễền tin với nhau một
cách bình thường, hacker sẽ chặn các gĩi dữ liệu gửi đi từ hai máy đĩ, thay thế
bằng những gĩi dữ liệu khác và gửi chúng đi Khi đĩ, hai máy tính bị giả mạo
đều khơng hay biết gì về việc đữ liệu của chúng bị thay đổi Kiểu tấn cơng này
thường được dùng để lấy những thơng tin bảo mật của máy tính
c) Các cách giảm thiểu, phịng chống:
- Sử dụng bộ giao thức IPSec để mã hĩa và xác nhận các gĩi đữ liệu trao đổi ở lớp mạng
- Dùng danh sách kiểm sốt việc truy cập để ngăn chặn những gĩi tin dữ liệu
tải về cĩ địa chỉ IP cá nhân
- Cài đặt bộ lọc đữ liệu đi vào và đi ra khỏi hệ thống mạng
- Cấu hình các bộ chuyển mạch và bộ định tuyến để loại trừ những gĩi dữ liệu
từ bên ngồi vào hệ thống mạng nhưng lại khai báo là cĩ nguồn gốc từ một
máy tính năm trong hệ thống
2.2.2 Tấn cơng từ chối dịch vụ (DoS): [ 7 ]
Tan cơng theo kiểu từ chối dịch vụ là kiểu tấn cơng với mục đích khơng nhằm vào việc chiếm quyền truy xuất vào hệ thống của bạn để lấy thơng tin mà tập trung vào việc làm cho dịch vụ nào đĩ trong hệ thống khơng cịn khả năng đáp ứng hay phục vụ cho các yêu cầu dịch vụ như bình thường Việc này được thực hiện băng cách làm cạn kiệt tài nguyên trong hệ thống mạng, trong các hệ
điều hành hoặc các ứng dụng đầu cuối Tấn cơng theo kiểu này rất dễ được
thực hiện bởi vì chúng thường tận dụng các yếu điểm của các giao thức mạng hay dựa vào các lưu lượng mạng được cho phép lưu thơng trong hệ thống
Trang 10
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vé mang trường DHKTCN mang Do đĩ, tấn cơng theo kiểu từ chối dịch vụ được xem là khĩ cĩ thể loại bỏ hồn tồn trong hệ thống mạng
Tấn cơng từ chối dịch vu ( Denial of Service-DoS) thực sự là thảm họa trên Internet Những Web site lớn như : Yahoo, eBay, Buy.com cũng đã từng bị
DoS Cuộc tân cơng DoS nổi tiếng nhất diễn ra vào tháng 9/1996 Nhà cung
cấp dịch vụ Internet "Public Access Networks Corporations" (PANIX), đã bị
tấn cơng hơn một tuần, từ chối dịch vụ Internet cho khoảng 6000 cá nhân và 1000 cơng ty
Các kiểu tấn cơng DoS :
Ngon dải bang thong (Bandwidth consumption):
Kẻ tấn cơng sẽ khuếch đại cuốc tấn cơng của anh ta bằng cách dùng nhiều địa điểm để làm ngập kết nối mạng của nạn nhân Bản chất của việc tấn cơng
này là: kẻ tấn cơng sẽ nhờ vào yếu tố "mạng khuếch đại" để làm ngập
Bandwidth của nạn nhân
Tước tài nguyén (Resource Starvation):
Kiểu tấn cơng này khác với kiểu tấn cơng trước ở chỗ kiểu này sẽ chiếm dụng tài nguyên của hệ thống (CPU, RAM) thay vì chiếm dụng tài nguyên mạng Khi hệ thống bị chiếm hết tài nguyên (ví dụ : bộ nhớ) hệ thống sẽ khơng thể hoạt động được dẫn đến bị "treo" > SYN Food dựa trên dạng này
Lỗi lập trình (Programing Flaws):
Đây là những lỗi của chương trình ứng dụng, hệ điều hành Kẻ tắn cơng sẽ gửi những packet khĩ hiểu đến nạn nhân nhằm xác định xem ngăn xếp mạng (Network Stack) cĩ xử lí ngoại lệ hay khơng hay là sẽ làm tồn bộ hệ thơng ngừng hoạt động Đối với những ứng dụng cần nhập đữ liệu kẻ tấn cơng cĩ thể gửi những chuỗi dữ liệu dài đến hàng ngàn dịng (dẫn đến tràn bộ đệm > dẫn đến hệ thống ngưng hoạt động)
Tấn cơng bằng định tuyến và DNS (Routing and DNS attack): Tan céng dinh tuyén:
Trang 11
GVID: Th.Š Lê Mạnh Hải Áp dụng Access List vào bảo vệ mạng trường ĐHKTCN
Đa số các giao thức định tuyến như RIP khơng cĩ chứng thực hoặc chứng thức rất yếu, đây là điểm tuyệt vời cho kẻ tấn cơng Kẻ tấn cơng sẽ thay đổi tuyến đường hợp lệ bằng cách giả mạo địa chỉ IP nguồn
DNS:
Kẻ tấn cơng cĩ thể đổi một lối vào trên Domain Name Server của hệ thơng
nạn nhân rồi cho chỉ đến một website nào đĩ của kẻ tấn cơng Khi máy khách
yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ ip, lập tức DNS ( đã bị kẻ tấn cơng thay đổi cache tạm thời ) sẽ đổi thành địa chỉ ip mà kẻ tắn cơng
đã cho chỉ đến đĩ Kết quả là thay vì phải vào trang Web muốn vào thì các nạn
nhân sẽ vào trang Web do chính kẻ tấn cơng tạo ra 2.2.2.1 Ping of Death:
Các biến thể: Khơng cĩ
Hệ điều hành bị ảnh hưởng: Tắt cả các hệ điều hành Giao thức/ Dịch vụ: ICMP
Mức độ nguy hiểm: Cao
Đây là một phương thức tấn cơng từ chối dịch vụ bằng cách gửi một lượng lớn các gĩi tin ping đến một máy đích nào đĩ Ping of Death là một cuộc tấn cơng vào lớp mạng (lớp thứ ba của mơ hình OSI) của máy đích với mục đích loại bỏ tất cả các dịch vụ đang hoạt động trên máy nạn nhân Thủ phạm gửi một lượng lớn các gĩi tin ping đến nạn nhân Vấn đề là ở chỗ, hệ điều hành của
nạn nhân khơng biết sẽ giải quyết như thế nào đối với các gĩi tin cĩ kích thước lớn hơn kích cỡ max của nĩ (65536) Vì vậy, sẽ làm cho hệ điều hành nạn nhân
khơng hoạt động bình thường hoặc là bị treo Ví dụ đối với người dùng WinNT
trước đây, thì cĩ thể xác định được hiện tượng này khi gặp màn hình màu xanh
của Windows
a) Mơ tả:
Ping of Death sử dụng một lượng lớn các gĩi tin Internet Control Message Protocol (CMP) hay ping để tạo nên một cuộc tấn cơng DoS đối với một hệ
Trang 12GVHD: Th.S Lê Mạnh Hải Ap dung Access List vào bảo vệ mạng trường ĐHKTCN thống cho sẵn ICMP:
Chức năng của ICMP:
ICMP ở lớp thứ ba của mơ hình OSI ICMP điều khiến lỗi và thay đổi các message điều khiển ICMP được sử dụng để truyền thơng tin trạng thái và lỗi,
bao gồm đường truyền mạng và những vấn đề tắt nghẽn mạng Hoạt động của ICMP:
Định dạng thơng điệp ICMP Header (vùng TYPE § bít CODE 8 bít và CHECKSUM 16 bit)
Ping là một chương trình sử dụng ICMP để kiểm tra xem các kết nối của mạng Bau đầu, máy tính gửi sẽ gửi một tín hiệu ICMP ECHO REQUEST đến một địa chỉ xác định Nếu máy tính nhận sau khi nhận thành cơng gĩi tin trên, nĩ sẽ
gửi một ICMP ECHO REPLY Nếu máy gửi đi nhận được ICMP ECHO
REPLY thì đường truyền tốt Dưới đây là một ví dụ về lệnh Ping:
C:\> ping www.hutech.edu.vn
Chú ý rằng gĩi tin ping 6 day str dụng kích thước là 32 byte Bằng cách sử dụng lệnh ping cĩ các tuỳ chọn, ta cĩ thể thay đổi được kích thước của gĩi tin ping Dưới đây là một ví dụ, ta đã thay đồi kích thước gĩi tin thành 500 byte
C:> ping -l 500 www.hutech.edu.vn
TCP/IP cho phép các gĩi tin chỉ cĩ kích thước tối đa 65536 octet (1 octet = 8 bit = 1 byte), bao gồm 20 octet cho thơng tin về header và 0 hoặc nhiều octet cho các thơng tin tùy chọn, phần cịn lại là data Cần phải biết rằng, một số hệ
thống sẽ đáp ứng trở lại bằng các cách khơng thể xác định được khi nhận gĩi
tin cĩ kích thước khơng theo chuẩn hoặc quá lớn Theo các báo cáo và nghiên
cứu thì hầu hết các tác động này cĩ liên quan đến việc tắc nghẽn, tình trạng rỗi
và việc khởi động lại
Trang 13
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vệ mạng trường ĐHKTCN
Trong một số trường hợp liên quan, hầu hết các cuộc tấn cơng cho thấy
răng, các gĩi tin ICMP được sử dụng thơng qua lệnh ping đề kích hoạt một đợt
tấn cơng Hai vẫn đề quan trọng của gĩi tin ICMP mà ta cần biết đĩ là ICMP Echo_Request và ICMP Echo Response Một máy, muốn xác định một máy
khác cĩ tồn tại hay khơng thì lệnh ping sẽ gửi gĩi tin ICMP_Echo_ Request,
nếu máy đĩ đang hoạt động, nĩ sẽ gửi trả lời lại bằng một gĩi tin
ICMP Echo_Response Một Acttacker sẽ sử dụng lệnh Ping để xây dựng một
gĩi ICMP cĩ kích cỡ vượt quá qui định nhằm thực hiện một cuộc tấn cơng
Nhiều lệnh ping thi hành gửi I[CMP chỉ cĩ 8 octet của header theo mặc định,
nhưng cũng cĩ thê tạo các gĩi tin cĩ kích thước lớn hơn, và khơng theo khuơn
dạng của gĩi tin cĩ thê là lớn hơn 65536 byte
b) Dấu hiệu nhận biết phương thức tấn cơng:
Trên máy tính nạn nhân bị tràn ngập các gĩi tin ICMP ECHO REQUEST, cĩ thể làm cho máy tính nạn nhận bị treo
c) Cách giảm thiếu, ngăn chặn tấn cơng:
- _ Liên tục cập nhật bản vá lỗi do nhà sản xuất cung cấp
- Su dung Big Firewall
- Cau hinh cho router loai bỏ các gĩi tin cĩ kích thước khác thường, trước khi
nĩ cĩ thể đến được máy trạm
222.2 SYN Flood: Biến thể: Khơng cĩ
Hệ điều hành bị ảnh hưởng - OS: Tất cả các hệ điều hành Giao thức/Dịch vu: IP
Mức độ nguy hiểm: Cao
Do TCP/IP là chuẩn giao thức ứng dụng mạnh Nĩ được sử dụng phổ biến
trong mơ hình địa chỉ Internet tồn cầu và kết nối client/server Dựa vào
phương thức bắt tay ba bước của TCP, kẻ tấn cơng tấn cơng cĩ chủ đích vào
phương thức này tạo ra một cuộc tấn cơng từ chối dịch vụ
Trang 14
GVHD: ThS Lê Mạnh Hải Ap dung Access List vào bảo vệ mụng trường ĐHKTCN
Do đây là cuộc tân cơng dựa trên giao thức TCP/IP, nên ta cẦn nắm rõ chức năng và cấu trúc của TCP/IP:
TCP: Thiết lập kết nối giữa các hệ thống (inter-system communication)
A datagram with its TCP header
TCP
Header
Hình 2.2: Cấu trúc gĩi tin TCP Các tham số của cờ Flags:
+ Synchronize — con goi la “SYN”
Dung để khởi tạo một kết nối piữa các máy trạm
+ Acknowledgement — con ggi la “ACK”
Dùng để thiết lập kết nối giữa các máy trạm + Push — “PSH” Báo cho hệ thống nhận để gửi tất ca buffered dữ liệu ngay tức thì + Urgent — “URG” Báo cho dữ liệu năm trong gĩi tin được xử ly ngay lập tức + Finish — “FIN” Báo cho hệ thống từ xa rằng khơng cĩ bất kỳ sự truyền thơng nào + Reset — “RST”
Dùng để tái tạo lại kết nối
IP: dùng để truyền dữ liệu
Trang 15
GVHD: Th.S Lê Mạnh Hải Ap dụng Access List vào bảo vệ mạng trường ĐHKTCN
A datagram with TCP and IP headers
IP
Header
Hình 2.3: Cấu trúc gĩi tin TCP/IP headers Cơ chế bắt tay ba bước:
Theo ta biết một gĩi tin IP để cĩ thể truyền được trên mạng Internet thì nĩ phải cĩ một địa chỉ đích và một địa chỉ nguồn Trong gĩi tin, cịn chứa thơng tin, dữ liệu cần truyền, và các por( của các dịch vụ TCP Khi client muốn tạo
một kết nối đến một server thì cả client và server đều phải thiết lập một chuỗi
các message để thực hiện việc bắt tay 3 bước Tất cả các kết nối TCP như telnet, web, email, đều thực hiện theo phương pháp bắt tay 3 bước Minh
họa phương pháp bắt tay 3 bước giữa client và server:
Trang 16
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bảo vệ mạng trường ĐHKTCN
Bước 1: Client gửi một gĩi tin SYN cho server để thiết lập kết nối đến server SYN Client > Server Bước 2: Nếu server đồng ý thì nĩ sẽ gửi ngược lại bản tin SYN-ACK cho client SYN-ACK A Client Server
Khi Client nhận được gĩi SYN-ACK do Server gửi, thì quá trình bắt tay đã hồn tất một nửa (half-open connection)
Bước 3: Client sau khi nhận được SYN-ACK, nĩ sẽ hồn tắt việc kết nối băng cách gửi lại một message lại cho server ACK Client Ỳ Server
Sau khi Server nhận được gĩi ACK, khi đĩ kết nối giữa client và server đã
được tạo, client cĩ thể truyền hay nhận dữ liệu
Hình 2.4 : Mơ hình bắt tay ba bước hồn tất
‘Client gti g6i SYN cho Server: Server gửi gĩi SYN-ACK.cho Clent - Client khéng gửi gĩi ACK chơ CHent Client
Hình 2.5: Mơ hình bắt tay 3 bước khơng hồn tắt
Dựa vào cơ chê bắt tay, kẻ tân cơng sẽ tân cơng vào bước thứ ba của cơ chế Ban đầu, kẻ tấn cơng sẽ giả mạo địa chỉ IP Hệ thống của kẻ tấn cơng sẽ gửi
những gĩi tin SYN hợp pháp đến server cần tấn cơng với địa chỉ nguồn là giả
Trang 17
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang truong DHKTCN mạo của một máy hiện tại khơng kết nối trong mạng Do đĩ, server bị tấn cơng gửi gĩi tin SYN-ACK cho client nhưng nĩ khơng nhận được gĩi tin ACK do client gửi Nếu như địa chỉ IP mà kẻ tấn cơng giả mạo tơn tại, máy client sẽ gửi
packet bat cd RST (reset) cho server do nĩ khơng khởi động kết nối Nhưng
nếu kẻ tắn cơng muốn tấn cơng vào server, kẻ tấn cơng khơng bao giờ giả mạo IP của một máy cĩ thực
Vẫn đề ở đây là server khơng cĩ cách nào nhận biết yêu cầu kết nối của
client nào hợp pháp hay cĩ ý đồ xấu thâm nhập vào trong mạng Vì vậy, đối
với client hợp lệ và kẻ tấn cơng, server xử lý giống như kết nối đang xảy ra
Server thực hiện việc bắt tay ba bước với client Nếu server khơng nhận được tín hiệu ACK, nĩ sẽ gởi lại tín hiệu SYN-ACK vì nĩ cho rằng gĩi SYN-ACK
đã bị mắt trên đường di
Khi đĩ, server đặt tín hiệu (SYN_RECV) kết nối này vào hàng đợi Lúc đĩ, hàng đợi của các half-open connection trên hệ thống server sẽ bị tràn ngập và server sẽ từ chối khơng tiếp nhận các kết nối khác đến nĩ cho đến khi các kết
nối này được giải phĩng Tuy nhiên, các hệ thống server bị tấn cơng luơn cĩ
một thời gian timeout để giải phĩng các half-open connection (đang treo- pending) và hệ thống sẽ hoạt động bình thường Do đĩ, để thực hiện tắn cơng,
kẻ tấn cơng tiếp tục gửi các gĩi tin đã giả mạo địa chỉ IP để yêu cầu những kết nơi mới với thời gian nhanh hơn thời gian time-out của server bị tân cơng
Mức độ nguy hiểm: Mặc dù, các cuộc tấn cơng SYN Flood này thường chỉ tác động đến một dịch vụ sẵn cĩ nào đĩ, và các địch vụ khác vẫn cĩ thể tồn tại Nhưng trong một số trường hợp khác, nĩ cũng cĩ thé lam cạn kiệt bộ nhớ của
hệ thống, làm tắt nghẽn hoặc làm cho mạng hoạt động khơng như mong muốn Mức độ nguy hiểm của kiểu tấn cơng này là ở chỗ do gĩi SYN thường được gán địa chỉ IP khơng cĩ thực nên việc tìm kiếm đối tượng đã tấn cơng là rất
khĩ
Trang 18
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vệ mạng trường ĐHKTCN
Các gĩi tin SN Server khơng nhận được (” bi gid mao gĩi ACK của Attacker Packet 1: SYN - Reply t: SYN-ACK: Packet2:SYN Reply 2: SYN-ACK “Packet 4: SYN Reply 3: SYN-ACK Packet + SYN Reply 4: SYN-ACK wy iw » Ỷ rver khơng thể si phản hồi gai Attacker Server SYN-ACK cho _ User c á nM 7 3 z User khơng thể truy xuất đến Server "User
Hình 2.6: Mơ hình tấn cơng kiểu làm ngập lụt gĩi tin SYN b) Dấu hiệu nhận biết phương thức tấn cơng:
Khi ta nhận được một số lượng lớn các gĩi tỉn xuất hiện trên mạng mà
khơng cĩ các gĩi tin trả lời, như vậy, cĩ thể mạng của ta đã bị tấn cơng dưới
hình thức SYN Flood Sử dụng lệnh øe£sa¿ để nhận biết một cuộc tấn cơng với
một số lượng lớn các half-open connection Bên cạnh đĩ, để người quản trị mạng nhận biết được rằng các gĩi tin gửi như vậy là cĩ thực hay khơng
c) Cách giảm thiếu, ngăn chặn tấn cơng: - Sw dung Big Firewall
- Cấu hình TCP Intercept cua Access List trén Router - C4u hinh trén Windows Advanced Server 2000 hay 2003
2.223 Smurf:
Bién thé: Papa Smurf va Fraggle
Hệ điều hành bị ảnh hưởng - OS: Các hệ điều hành và Router
Giao thức/Dịch vụ: ICMP Ping Mức độ nguy hiểm: Cao
Trang 19
GVHD: Th.S Lé Manh Hải Ap dung Access List vào bảo vệ mạng trường ĐHXTCN
Đây là một phương thức tấn cơng từ chối dịch vụ, kẻ tấn cơng sử dụng các
gĩi tin ICMP cĩ địa chỉ nguồn giả mạo là của nạn nhân để gửi đến địa chỉ
Broadcast của subnet tương ứng với IP đĩ Cuộc tấn cơng Smurf nhằm vào lớp
Network của các host nhằm từ chối tất cả các dịch vụ đến Host
Địa chỉ Broadcast: là địa chỉ IP được dùng để đại diện cho tất cả các host trong mạng Phần host_id chứa các bit 1 Nĩ dùng để gửi một gĩi tin đến tất cả
cac host trén m6t segment mang
Vi du: 172.429.255.255 la dia chi Broadcast cha mang 172.29.0.0/16 a) Mo ta:
Dựa vào đặc tính của địa chỉ broadcast, nếu ta gửi một gĩi tin đến địa chỉ
172.29.255.255 thì nĩ sẽ tự động forward đến tất cả các máy trong mạng
172.29.0.0 Nếu như ở đây ta sử dụng một địa chỉ lớp A thì số lượng máy trong
mạng rất lớn, chính điều này sẽ dẫn đến các gĩi tin ồ ạt gửi đến các máy trong
cùng segment Nĩ sẽ làm cho băng thơng của mạng bị giảm sút nghiêm trọng,
gây ra tình trạng tắt nghẽn mạng, ngập lụt gĩi tin
Hai thành phần chính của tấn cơng Smurf là việc sử dụng các gĩi tin giả mạo địa chỉ IP của nạn nhân và địa chỉ broadcast Trong cuộc tấn cong Smurf, attacker sé gid mao dia chi ngu6n trong ICMP echo request và gửi chúng đến
một địa chỉ broadcast Khi mỗi máy trên mạng nhận và đáp ứng trở lại cho địa
chỉ nguồn mà attacker sử dụng để giả mạo Minh họa các giai đoạn của cuộc tan cơng Smurf:
Trang 20
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang trường ĐHKTCN
Giai doan 1:
IP nguồn (giả danh địa |IP dich (dia chỉ chỉ IP của nạn nhân- IP | broadcast) Spoofing)
Gwri ICMP ECHO REQUEST
Attacker | Dia chi
“| broadcast Giai doan 2:
Giri ICMP ECHO REQUEST
Dia chi Cac may tinh trong cing segment
broadcast mạng với địa chỉ broadcast
Giai đoạn 3:
Gửi ICMP ECHO
Các máy tính trong cùng segment mt „ị Địa chỉ IP của
mạng với địa chỉ broadcast REPLY nạn nhân
Hình 2.7: Mơ hình các giai đoạn tấn cơng dạng Smurf
Khi các máy đồng loạt trả lời, cĩ nghĩa là một tấn cơng từ chối dịch vụ được tạo ra Lúc này, máy tính nạn nhân sẽ bị tràn ngập các gĩi tin ICMP ECHO REPLY của các máy tính trung gian
Hậu quả do cuộc tấn cơng Smurf gây ra khơng những làm cho máy tính nạn nhân bị treo hay xử lý chậm mà cịn cĩ thể làm cho các đường truyền bị tắc nghẽn liên tục
s* Biến thể:
Trang 21
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vệ mạng trường ĐHKTCN b) Dấu hiệu nhận biết phương thức tấn cơng:
Dâu hiệu thơng thường của cuộc tấn cơng là làm giảm khả năng truy cập mạng ở cả mạng nội bộ và mang Internet Kiéu tân cơng này khơng chỉ tác động vào các mạng nội bộ, mà cịn cĩ thế dùng dé tan cơng vào các nhà ISP Nĩ làm giảm chất lượng dịch vụ của các ISP
Hai đặc điểm chính giúp người quản trị mạng nhận biết hệ thống đang bị
tấn cơng bởi Smurf là:
- - Một ICMP request được gửi đến địa chỉ broadcast
- Số lượng quá lớn các ICMP request cùng gửi đến một host xác định
c) Cách giảm thiếu, ngăn chặn tấn cơng:
Đề ngăn chặn các cuộc tấn cơng, bảo vệ hệ thống thi ta dùng:
- Access List dé khĩa các dia chi broadcast trén router đê ngăn câm đáp ứng cdc ICMP request gtri dén mét dia chi broadcast
- Liét ké tất cả các giải pháp để ngăn chặn tấn cơng 2.2.2.4 Land Exploit:
Biến thể: Khơng cĩ
Hệ điều hành bị ảnh hưởng - OS: Tắt cả các hệ điều hành Giao thức/Dịch vu: IP
Mức độ nguy hiểm: Khơng cao a) Mơ tả:
Đây là một phương thức tấn cơng từ chối dịch vụ bằng cách sử dụng một chương trình thực hiện việc gửi một gĩi tin TCP SYN với địa chỉ nguồn và đích như nhau và cả sơ cơng dịch vụ của nguơn và đích cũng giơng nhau
Gĩi tin IP được sử dụng để gửi thơng tin thơng qua Internet Gĩi tin IP
tương tự gĩi tin TCP SYN Trong hau hết các trường hợp thì địa chỉ đích và
nguồn, số cơng nguồn và đích là hồn tồn khác nhau Khi đĩ, IP sẽ làm việc bình thường như đã được định Nhưng khi gĩi tin IP mang các thơng số khơng
Trang 22
GVHD: Th.S Lé Manh Hải Ap dung Access List vao bao vệ mạng trường ĐHKTCN
theo quy ước thì hầu hết các chồng ngăn xếp TCP/IP (TCP/IP stack) khơng thể
g1ải quyêt được và nĩ sẽ bị treo
Khi gặp tình trạng này xảy ra, chắc chắn TCP/IP sẽ tạo ra các gĩi tin SYN
hồn tồn sai lệch Lợi dụng điều này mà các kẻ tân cơng sẽ giả mạo cả địa chỉ
đích và sơ cơng đích
s%* Dưới đây là một sơ đặc điểm của một cuộc tấn cơng Land: - _ Các gĩi tin sẽ cĩ cùng địa chỉ đích và nguơn
- - Các gĩi tin cũng sẽ mang các sơ cơng đích và nguơn giơng nhau TCP là một giao thức kết nối tin cậy và cĩ định hướng, hoạt động ở lớp 4 của mơ hình OSI Bởi vì TCP là tin cậy, nên buộc nĩ phải sử dụng phương thức bắt tay 3 bước để thiết lập một kết nối Khi một kết nối mới được tạo thì nĩ sẽ sử dụng gĩi tin SYN để đồng bộ giữa 2 máy Gĩi tin SYN cũng chỉ là một gĩi tin bình thường và nĩ cĩ bit SYN được bật Đương nhiên gĩi tin này phải là gĩi tin đầu tiên của một kết nối mới Land exploit chỉ xảy ra khi một phiên làm việc mới được tạo chính vì vậy mà bắt buộc kẻ tấn cơng phải sử dụng gĩi tin SYN Khi tạo một kết nối, kẻ tấn cơng sẽ giả mạo địa chỉ và cổng đích bằng cách thiết lập nĩ giống như địa chỉ và cổng nguồn, khi máy đích nhận được, nĩ
sẽ khơng thể nào xử lý được vấn đề này và lập tức máy nạn nhân sẽ bị treo
b) Dấu hiệu cuộc tấn cơng:
Như đã trình bày ở trên, do phương thức tấn cơng này sử dụng kiểu tấn cơng bằng cách gán địa chỉ nguồn, đích giống nhau, số cơng nguồn đích cũng như nhau, nên để phát hiện ra dấu hiệu của cuộc tấn cơng này khơng khĩ lắm Chỉ cần sử dụng một chương trình debug nào đĩ và dị ra các gĩi tin IP cĩ đặc
điểm như trên ta cĩ thể xác định ngay được là cĩ phải xuất hiện cuộc tấn cơng
kiểu này hay khơng
c) Cách giảm thiểu, ngăn chặn tấn cơng:
- _ Cập nhật các bản vá lỗi cho hệ điều hành của mình Chỉ cĩ cập nhật thường
xuyên các bản vá lỗi thì mới cĩ thể giảm thấp nguy cơ bị tấn cơng
Trang 23
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao VỆ mạng trường ĐHKTCN
-_ Sử dụng router đê lọc bỏ các gĩi tin cĩ địa chỉ nguồn, đích giống nhau, số cơng nguơn đích giống nhau
Tuy nhiên với việc sử dụng router thì ta chỉ cĩ thể ngăn chặn được các cuộc tân cơng từ bên ngồi, cịn các cuộc tân cơng xuât phát và kết thúc tại các máy
trong mạng Lan thì xem như phương pháp này khơng cĩ tác dụng
2.2.3 Tấn cơng từ chối dịch vụ phân tán (DDoS): [3]
Là thế hệ tiếp theo của kiểu tấn cơng từ chối dịch vụ trước đây Kiểu tấn cơng này gây tràn các gĩi tin đồng bộ TCP và UDP SYN, các gĩi tin ICMP echo, nạn nhân của cuộc tan cơng này sẽ nhận rất nhiều gĩi tin (hiện tượng tràn
- flooding) từ nhiều nguồn xuất phát khác nhau, đa số là các gĩi tin dạng IP
Spoof, làm cho các kết nối trong hệ thống mạng bị nghẽn và gây ùn tắt dữ liệu nặng nê Hệ thống Client System 1 Quét tìm hệ thống muốn tắn cơng 2 Cài đặt các phan mém điều khiến từ xa lên các may tính ->Trở thành các DDoS Client 4, Attacker ra lệnh cho các DDoS Client § đồng loạt tấn Ễ cơng hệ thống J nạn nhân Hệ thống Điều Khién Hé théng DDoS Client
Hình 2.8: Mơ hình Attacker điều khiến DDoS Client (Zoombie)
Trang 24
GVHD: Th.S Lê Mạnh Hải Áp dụng Access List vào bảo VỆ mạng trường ĐHKTCN
chuân bị trước đĩ của hacker) và cĩ thể "ngốn" hết băng thơng của mục tiêu trong nháy mắt Cac DDoS Client (Zoombie) Hé théng Attacker Hé théng Server — _
Hình 2.9: Mơ hình tấn cơng DDoS
DDo§ yêu cầu phải cĩ ít nhất vài kẻ tấn cơng cùng tham gia Đầu tiên các
kẻ tấn cơng sẽ cố thâm nhập vào các mạng máy tính được bảo mật kém Sau đĩ, cài lên các hệ thống này chương trình DDoS server (như Trinoo, Tribe
flood network-TFN, Wintrinoo, TFN2K .) Bay gid cdc ké tan cơng sẽ hẹn nhau đến thời gian đã dinh sé ding DDoS client két néi dén cdc DDOS servers, sau đĩ đồng loạt ra lệnh cho các DDoS servers này tiến hành tấn cơng DDoS đến hệ thống nạn nhân
Cách phịng thủ:
Thực ra thì DDoS chỉ là một biến thể của tắn cơng DoS Phương pháp này tấn cơng cực kỳ hiệu quá và rất khĩ để cĩ thể ngăn chặn Một hệ thống để hoạt
động thơng suốt và giảm thiểu được lỗi tối đa thì cần phải được bảo vệ thật tốt Một cuộc tấn cơng DoS hay DDo§ thì đều cĩ một mục đích chung là muốn làm
cho hệ thống của nạn nhân bị tràn ngập các gĩi tin (packet), làm cho hệ thống
khơng thể tạo được các phiên làm việc khác với các kết nối hợp pháp Để tạo được các cuộc tấn cơng loại này thì máy của kẻ tắn cơng hay một số máy của kẻ tấn cơng phải tạo ra một số lượng packet tương ứng mà máy nạn nhân nhận được Bởi vì các cuộc tấn céng DDoS sé phải thực hiện bằng cách là các kẻ tấn cơng sẽ tấn cơng một hệ thống nào đĩ, sau đĩ thì sẽ tiếp tục thỏa hiệp với các
Trang 25
GVHD: Th.S Lé Manh Hai Ap dung Access List vào bảo vé mang truong DHKTCN
máy của hệ thống này để tấn cơng tiếp tục vào hệ thống chính mà đối tượng
can tấn cơng Nếu số lượng máy tấn cơng càng nhiều thì nguy cơ bị hạ guc cua
nạn nhân càng cao Nhưng chính điều này cũng là một điểm bắt loi cua DDoS
đĩ là chính các máy chủ (server) của các hệ thống cũng khơng muốn trở thành đồng minh của một cuộc tấn cong DDoS vì vậy các hệ thống này cũng sẽ cĩ những phương pháp bảo vệ nhằm giảm thiểu tình trạng trở thành đồng minh của hacker Nhưng như vậy khơng phải là cách tốt để bảo vệ hệ thống của
mình Sau đây là một số phương thức bảo vệ hệ thống để giảm thiểu khỏi các
cuộc tấn cơng DDoS cực kỳ nguy hiểm
- _ Tốt nhất là nên bảo mật hệ thống của chúng ta
- _ Cài đặt các hệ thống phát hiện xâm nhập bát hợp pháp - St dụng các cơng cụ Scan
- _ Chạy các cơng cụ phục hồi (Zoombie) Bảo mật hệ thống:
Nếu một attacker khơng thê truy cập được đến một mạng và thoả hiệp được
với host, thì khơng thể khởi tạo được một cuộc tấn cơng DDOS vào hệ thống Để thiết lập một hệ thống như là một server, thì nhất định phải cĩ một số bước
thoả hiệp với hệ thống Vì vậy nếu như bước đầu tiên này mà khơng thể vượt qua được và hệ thống được bảo mật tốt thì khơng thể cĩ chuyện xảy ra DDoS Cài đặt các hệ thơng phát hiện xâm nhập (Intrusion Detection System):
Tuy vậy, đối với một người quản trị mạng thì đứt khốt việc phát hiện ra
các cuộc tấn cơng kiểu này là điều bắt buộc Tuy cĩ đơi lúc ta nghĩ là khơng cân, nhưng khi thấy mạng tắc nghẽn liên tục thì cần phải xem lại khả năng bị
tân cơng DDoS Một cơng ty khi kết nối vào mạng thì nhất định nĩ sẽ bị tấn
cơng, khơng cách này thì cũng cách khác Nếu sử dụng đường quay số như trước đây thì chỉ cần tắt kết nối và rút dây điện thoại ra là cĩ thể bảo vệ an tồn
cho mạng, nhưng ngày nay, với các đường truyền băng thơng rộng, tốc độ cao
thì việc online thường xuyên của đường truyền cũng đồng nghĩa với khả năng bị tân cơng xảy ra là nhiêu hơn Vì vậy việc phát hiện ra dâu hiệu của các cuộc
Trang 26
GVHD: Th.S Lé Manh Hải Ap dung Access List vao bao vệ mạng trường ĐHKTCN
tân cơng vào hệ thơng được khuyến cáo là càng sớm càng tốt Vì vậy việc cài đặt các hệ thống phát hiện xâm nhập là rất cần thiết
Co 2 loai IDS: Network-based va Host-based
Network-based: La m6t thiết bị thụ động được dat trong mang, va quan lý tất cả các gĩi tin chạy trong một segment mạng Bằng cách xem xét các gĩi tin, nĩ sẽ xét xem trong gĩi tin cĩ mang dấu hiệu của các cuộc tấn cơng hay khơng và bật các báo động nếu như gĩi tin đĩ là bất hợp pháp
Host-based IDS: Sé chạy trên một server bên trong và được phép xem xét
các phiên truy cập để tìm kiêm các dâu hiệu đáng ngờ của một cuộc tân cơng
Đĩ là 2 loại IDS cơ bản và cũng chỉ cĩ 2 kỹ thuật chung mà hẳầu hết các IDS
được xây dựng dựa vào đĩ là: tìm kiếm các dấu hiệu theo một mẫu được lập
sẵn và các kiểu tìm kiếm tự do Về kĩ thuật thứ nhất thì các IDS này sẽ được xây dựng một bảng cơ sở dữ liệu về dấu hiệu của các vụ tấn cơng đã được biết Khi nĩ tìm thấy dấu hiệu của một cuộc tấn cơng trong cơ sỡ dữ liệu của nĩ thì nĩ sẽ bật các cánh báo Cịn các IDS dựa vào kỹ thuật thứ 2 thì sẽ hoạt động
như sau: Nĩ sẽ bỏ qua tất cả các lưu lượng (traffic) mạng đối với một hệ thống
nếu như các lưu lượng đĩ là bình thường, tuy nhiên nếu như nĩ chỉ cần phát hiện ra răng cĩ dấu hiệu lưu lượng mạng khơng bình thường thì I[DS sẽ hoạt động Chính vì vấn dé này mà host-based là ít được sử dụng vì cĩ thể nghĩ ngay ra là: thế nào là một lưu lượng mạng bình thường vì mỗi cơng ty, mỗi hệ thống khác nhau thì sẽ cĩ lưu lượng mạng khác nhau vì vậy phương pháp này là khơng khả dụng
Do đĩ, dé bảo vệ hệ thống tốt nhất thì nên thiết lập các IDS sử đụng cả 2 kĩ
thuật trên Trong một số trường hợp cĩ thể host-base sẽ khả dụng hơn là network-based
Sử dụng các cơng cụ SCAN
Vì các hệ thống của các cơng ty hiện nay khơng coi trọng vấn đề bảo mật, vì vậy rất dễ dàng để cho một Attacker cĩ thể thỏa hiệp với hệ thống đĩ nhằm
tân cơng một hệ thơng cụ thể Chính vì vậy việc scan, tìm kiếm để khĩa hoặc
Trang 27
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vệ mạng trường ĐHKTCN loại bỏ các chương trình tạo thỏa hiệp là cần thiết Dưới đây là một số cơng cụ để dị tìm xem hệ thống cĩ đĩng vai trị là một server bất đắc đĩ của một vụ tấn
cơng DDoS khơng
Find DDoS:
Chương trình dùng để tìm kiếm các hệ thống bị cài đặt các chương trình thoả hiệp, cĩ nhiều phiên bản cho các hệ điều hành khác nhau Chương trình này được phát triển bởi chính phủ Mỹ Ưu điểm của chương trình này là cĩ thể quét được hết tất cả các chương trình được cài đặt để tạo các cuộc tấn cơng DDoS được cài đặt trên nhiều hệ điều hành khác nhau như TEFN2K client, TFN2K Daemon, Trinoo Daemon, Trinoo Master, Tfn Daemon, Tfn Client, Stacheldraht Master, Stacheldrant Client, Stachelrant Daemon va TFN-Rush Client
SARA (Security Auditor’s Research Assitant):
Là một chương trình tìm kiếm các hệ thống hoặc các ving dễ bị tổn
thương của hệ thống Nĩ cịn hỗ trợ thêm khá năng cĩ thể phát hiện các phần
mềm tao DDoS duoc cai dat tai hé thong Saint:
Đây cũng là một chương trình quét các vùng dễ bị tổn thương của hệ
thống và được tích hợp cả khả năng quét các phần mềm DDoS
DDoSPing v2.0:
Đây là chương trình được sử dụng rộng rãi trong giới attacker và cả quản trị mạng, do cĩ giao diện đồ hoạ, dễ sử dụng, cĩ thể phát hiện được WinTrinoo, Trinoo, Stacheldrant va TFN
RID:
Cũng là chương trình để phát hiện các phần mềm DDoS đã được cài đặt
Tuy vậy, các phần mềm này chỉ cĩ thể làm việc nếu chương trình DDoS được cài đặt trên các cơng mặc định Nếu một attacker đã cấu hình lại cho các chương trình này với các cơng mới được thêm vào thì các phân mêm này sẽ cĩ
Trang 28
GVHD: Th.S Lé Manh Hai Áp dụng Access List vào bảo vệ mạng trường ĐHKTCN
thê khơng làm việc nữa Vì vậy, điêu quan trọng là khi dùng các phân mêm này thi các attacker cũng cĩ thể sử đụng các chương trình này để tìm cách tấn cơng chúng ta Vì vậy, vẫn đề là phải luơn đề cao cảnh giác
Chạy cac Zombie tool:
Trong một vài trường hợp, một hệ thống khơng thể phát hiện được rằng server đã được sử dụng cho một cuộc tấn cơng đến khi cuộc tấn cơng xảy ra Trong trường hợp này, hi vọng của chúng ta chính là ở chỗ đã sử dụng IDS Với một số lượng lớn các gĩi tin được gửi đi một cách bắt thường sẽ tác động đến IDS Khi phát hiện được điều này, ta cần chạy các chương trình Zombie để dừng việc gửi flood các packet của hệ thống Sau đĩ là ta chạy các chương trình scan để tìm kiếm các chương trình tạo DDoS đã được cài đặt trên hệ thống
Ngồi ra để bảo vệ cho hệ thống tốt hơn, chúng ta cịn nên tuân thủ các phương pháp sau:
+_ Xây dựng hệ thống định mức, giới hạn cho người sử dụng
+_ Mơ hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới tồn bộ hệ thống
+ Thiết lập mật khẩu mạnh (strong password) dé bảo vệ các thiết bị
mạng và các nguồn tài nguyên quan trọng khác
+ Xây dựng hệ thống loc théng tin trén router, firewall va hé thống
bảo vệ chống lại SYN flood
+ Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn
tin trên mạng Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thơng tin định tuyến giữa các router
+ Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vơ hiệu hĩa và dừng các
dịch vụ chưa cĩ yêu cầu hoặc khơng sử dụng nhằm mục đích ngăn
ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên
trên server đê tân cơng chính server hoặc mạng và server khác
Trang 29
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bdo vé mang trường ĐHKTCN + Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ héng bao
mật và cĩ biện pháp khắc phục kịp thời
+ Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên
tục để phát hiện ngay những hành động bắt bình thường + Xây dựng và triển khai hệ thống dự phịng
2.3 CAC KY THUAT PHONG CHONG:
2.3.1 Access List: [4] 2.3.1.1 Định nghĩa:
Access List (ACL) là một tập danh sách điều khiển truy cập, cung cấp khả
năng lọc gĩi nhằm ngăn ngừa những lưu thơng khơng cần thiết trên mạng Một ACL cĩ thể chứa đựng một hoặc nhiều quy luật do người quản trị mạng định nghĩa
Khi những gĩi tin phù hợp với những điều kiện được mơ tả trong ACL thì nĩ được phép (permif) đi qua, ngược lại, thì bị loại bỏ (deny) Đối với IP traffic, c6 ba kiéu ACL, đĩ là: Standard, Extended va Named ACL
2.3.1.2 Cac loai Access List: FO Tiên trình kiểm tra và thực thĩ Access List
— Goi tin di
Got tin di ` Protocol vào Source va ra Destination SO ›
Hình 2.10: Tiến trình kiểm tra và thực thi ACL
+ Standard ACL: Kiém tra dia chi IP nguén
+ Extended ACL: Kiém tra địa chỉ nguồn và đích, các port (nhu TCP,
Trang 30
GVHD: Th.S Lé Manh Hải Ap dung Access List vào bảo vệ mạng trường ĐHXTCN
UDP, ICMP, .), lưu lượng gĩi tin dựa trên các giao thức của nĩ
+ Named ACL : Cĩ thể chỉ định kiểu Standard hoặc Extended
Cả Standard, Extended ACL và Named ACL cĩ thể được gán vào các cổng
trên Router, vty lines, IPSec, và các giao thức định tuyến theo hướng từ trong ra (inbound) hay từ ngồi vào (outbound) Nhưng chỉ cĩ Standard IP ACL cĩ thể được gán cho SNMP
Ta nhận thấy rằng Extended ACL cĩ khả năng lọc gới linh động hơn vì nĩ cĩ thể can thiệp sâu hơn vào bên trong các giao thức, các port,
Cú pháp tổng quát:
access-list access-list-number { deny | permit } condition
Y nghĩa các tham số của cú pháp trên:
access-list-number: La con s6 cia Access-List cho IOS của Cisco biết nĩ là
ACL loai gi
deny: Là khơng cho phép truy cập khi thỏa điều kiện (condition) permit: Là cho phép truy cập khi thỏa điều kiện (condition)
condition (điều kiện): Đơi với những ACL khác nhau thì cĩ các điều kiện khác nhau Thơng thường, là thơng tin của giao thức và địa chỉ
Chú ý:
+ Mặc định cuối mỗi ACL là deny any
+ Các dịng lệnh trong mỗi ACL sé được kiểm tra và thực thi theo thứ tự
từ trên xuống dưới, từ trái sang phải
+ Gĩi tin khi đi qua 1 interface cĩ cầu hình ACL sẽ được phân tích và
kiểm tra
- Nếu ACL cấu hình và gán vào interface theo chiều inbound thì gĩi tin sẽ được lọc trước khi nĩ được định tuyến
- Nếu ACL cấu hình theo kiểu outbound thì gĩi tin sẽ được lọc sau khi định tuyến
Trang 31
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang truéng DHKTCN
+ Do đĩ, nêu một gĩi tin khơng so trùng bất kỳ dịng nào trong ACL thi
mặc định là nĩ bi khĩa a) Standard ACL:
Cu phap IP Standard ACL:
access-list access-list-number { deny | permit} source [ source-wildcard |]
Ý nghĩa các tham số của cú pháp trên:
access-lisf-number: Là một con số thập phân ngẫu nhiên từ I — 99, và dãy
mo rong tir 1300- 1999
sowrce Là địa chỉ IP của một mạng hoặc của một máy tính, nơi gĩi tin được gửi
source-wildcard: Là chuỗi bit tương ứng với source
Dé tao Standard ACL ding để cắm mạng 192.168.0.0 truy cập vào Router, ta
dùng câu lệnh sau:
R(config)# access-list 1 deny 192.168.0.0 0.0.255.255 R(config)# access-list 1 permit ip any
b) Extended IP ACL: Cu phap Extended ACL:
access-list access-list-number { deny | permit } protocol source [ source- wildcard | source-qualifiers destination [ destination-wildcard ] destination-qualifiers | log ]
Ý nghĩa các tham số của cú pháp trên:
access-lis-number: Là một con số thập phân ngẫu nhiên từ 100 — 199, dãy mở rộng từ 2000 đến 2699,
profocol: Là tên hoặc số của một giao thức quan hệ IP Nĩ cĩ thể là một
trong các từ khĩa sau: EIGRP IGMP, IGRP, IP, OSPF, TCP hoặc UDP
Hoặc nĩ cĩ thể là một số nguyên nằm trong khoảng từ 0 đến 255 biểu diễn
sơ cơng của một giao thức IP
Trang 32
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang trường ĐHKTCN source-qualifiers: M6 ta chi tiét s4u hon trén gĩi tin nguồn, bao gồm port
number và thơng tin của một giao thức cụ thể nào đĩ Tùy chọn này cĩ hay
khơng
destination: La dia chi IP cha một mạng hoặc của một máy tính, nơi gĩi tin
đến đích
destination-qualifier: M6 ta chi tiét sâu hơn trên gĩi tin dich, bao gdm port
number và thơng tỉn của một giao thức cụ thể nào đĩ Tùy chọn này cĩ hay
khơng
[ log ]: Tùy chọn này cĩ thể hoặc khơng Nếu cĩ, thì nĩ được đặt vào cuối
mỗi câu lệnh deny trong mỗi Exteneded ACL Nĩ ghi nhận thơng tin về gĩi
tin bị loại bỏ, điều đĩ giúp ích cho việc dị tìm và phân tích các cuộc tấn cơng vào mạng
any: Cĩ thể được thay thế cho source, source wildcard, destination, destination-wildcard
Dé tao Extended ACL cho phép mang 172.16.3.0/24 truy cập được vào Web
của mạng 172.16.4.0/24, ta dùng câu lệnh sau:
R(config)#access-list 110 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 80
R(config)# access-list 110 deny tcp any any log
c) Named IP ACL:
Cisco cịn bổ sung thêm một loại ACL dựa vào hai ACL trên, được gọi là Named IP ACL Named IP AL cho phép ta đặt tên ACL thay vì là con số sau khi ACL này được định nghĩa
Cu phap Named IP ACL:
ip access-list { standard | extended } name Y nghia cdc tham sé cia chi phúp trên:
standard: M6 ta day la standard ACL
Trang 33
GVHD: Th.S Lé Manh Hai Ap dung Access List vao béo VỆ mạng trường ĐHKTCN
extended: M6 ta đây là extended ACL
name: Là tên của ACL, nĩ khơng được chứa đựng khoảng trắng hay dấu
chấm câu (.) và phải bắt đầu bằng ký tự alphabetic
Để tạo access-list tên là Hanh khơng cho phép mạng 192.168.0.0 truy cập vào dịch vụ telnet của mạng 203.162.47.0 và các máy khác được sử dụng, ta dùng câu lệnh sau: R(config)# ip access-list extended Hanh R(config-ext-nacl)# deny tcp 192.168.0.0 0.0.255.255 203.162.47.0 0.0.0.2555 eq 23 R(config-ext-nacl)# permit ip any any 2.3.1.3 Wildcard Bit:
Wildcard mask 1a s6 32 bit duoc chia lam 4 octet, ngược với subnet mask Wildcard mask bit 0 cĩ nghĩa là kiểm tra bit địa chỉ tương ứng, bit 1 cĩ nghĩa là
khơng kiểm tra bit địa chỉ tương ứng Kiểm tra tất cả các bit 80 09 1 1 1 ¢ 1 1 | Bé 6 bit sau ctings
0 0 0 09 4 4 4 4 *! Re 4 bit sau cine
1 4 4 4 40409 GF) Ean tra2 bứ cuối 1 4 4 4 4 4 4 4) Fl Re Qua tét Hình 2.11: Các kiểu Wildcard-bit Cách tính Wildcard-bit:
- - Để tính Wildcard-bit ta phải xác định được địa chỉ mạng, dia chi host va
subnet mask ACL sẽ kiểm tra địa chỉ tương ứng với wildcard đã chỉ ra, vì vậy phải xác định chính xac wildcard
Trang 34
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bdo vé mang truéng DHKTCN
- Dé kiém tra 1 host thi tat ca các bit cia wildcard phai là 0: nghĩa là
wildcard sé 1a: 0.0.0.0 Trong trudng hgp nay dung tir khéa host dé thay cho Wildcard trước địa chi IP (access-list 1 permit host 192.168.1.3)
- _ Để bỏ qua kiểm tra thi wildcard sé la : 255.255.255.255
- Trong trudng hop nay ta cé thé ding tir khéa any dé thay cho dia chi IP va Wildcard ( access-list 110 permit tcp any any eq www)
Vi du Wildcard - bit:
Dé tinh Wildcard-bit cho dia chi mang: 192.168.16.0/24
Ta viết tat cả các bit trong 4 Octet(32 bit):
192 168 16 0 00000000 00000000 00001111 11111111 Wildcard sé 1a : 0.0.15.255
Trang 35
GVTHID: Th.S Lê Mạnh Hải Ap dung Access List vao bao vệ mạng trường ĐHKTCN Trên 1 router cĩ thể cĩ nhiều ACL Một ACL chỉ được gán 1 lần vào I interface theo hướng nhất định là đi vao (inbound) hay di ra (outbound) Tay
theo chính sách bảo mật của người quản trị mà ACL cĩ thể đặt ở những nơi
phù hợp
- Vi Standard ACL chỉ kiểm tra được địa chỉ IP nguồn nén dé cho ACL
lọc tối ưu nhất, ta nên đặt ACL gan dich nhất
- Do Extended ACL cĩ khả năng kiểm tra được địa chỉ IP nguồn và IP
đích các giao thức cũng như các port nên để đạt được kết quả lọc tối ưu
Trang 36
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bao vé mang truéng DHKTCN
Dé tao Standard ACL dùng để cấm mạng 172.16.3.0/24 truy cập vào mạng
172.16.4.0/24 và gán vào cổng Ethernet 1 trên router, ta sử dụng các câu lệnh sau:
R(config)# access-list 7 deny 172.16.3.0 0.0.0.255
R(config)# access-list 7 permit any R(config)# interface ethernet 1 R(config-if)# ip access-group 7 out
Dé tao Extended ACL ding dé cho phép mạng 172.16.3.0/24 truy cập được vào Web của mang 172.16.4.0/24 va gan vao céng Ethernet 1 trén router, ta str dụng các câu lệnh sau: R(config)# access-list 110 permit tcp 172.16.0.0 0.0.0.255 172.16.4.0 0.0.0.25 eq 80 R(config)# interface ethernet 0 R(config-if)# ip access-group 110 in
Dé tao Named ACL ding dé cho phép mang 172.16.3.0/24 truy cập được vào
Web của mạng 172.16.4.0/24 va gan vao céng Ethernet 1 trén router, ta sử dụng các câu lệnh sau:
R(config)# ip access-list extended Hanh
R(config-ext-nacl)# permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 80 R(config)# interface ethernet 0
Trang 37
GVHD: Th.S Lé Manh Hai Ap dung Access List vao bdo vé mang trong PHKTCN no access-list access-list-number
Để bỏ qua access-list 110, ta str dung lénh sau:
R(config)# no access-list 110 permit tcp 172.16.0.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 80
Chú ý:
+ Đối với Standard và Extended ACL, khi xĩa ACL sẽ xĩa tồn bộ các
câu lệnh bên trong nĩ
+ Đối với Named ACL ta cĩ thể xĩa linh động hơn, tức là cĩ thể can
thiệp vào từng dịng lệnh bên trong nĩ
2.3.1.6 Cách xem aqccess-lisf:
Để xem các câu lệnh trong một ACL, ta đùng cú pháp sau: Cú pháp:
show access-list access-list-number | named Cau lénh sau ding dé xem access-list 110: R# show access-list 110 Để xem các câu lệnh của tất cả các ACL đã cấu hình trên các interface của Router, ta dùng cú pháp sau: Cú pháp: R# show access-list 2.3.2 Big Firewal: [11},[12]
Tường lửa là một khái niệm mới xuất hiện từ khi mạng máy tính ra đời, đĩ
là phương pháp bảo vệ mạng khỏi sự xâm nhập của những kẻ lạ Tường lửa
thực chất là một trạm kiểm sốt, bao gồm một bộ định tuyến độc lập, một hay nhiều bộ lọc, mỗi bộ lọc cĩ một chức năng lọc riêng, cĩ khả năng phát hiện và
ngăn cản những khối thơng tin khơng mong muốn đi qua, chẳng hạn như virus, truy cập bất hợp pháp, thư rác
Trang 38
GVHD: Th.S Lê Mạnh Hải Ap dung Access List vao bảo vé mang truong DHKTCN Bức tường lửa được sử dụng rộng rãi cho phép người sử dụng truy nhập
Internet an tồn Tường lửa thường được sử dụng để phân cách mạng nội bộ
hay mạng riêng với một mạng chung khác, ví dụ Internet cũng như cĩ thể tách một server Web cơng cộng của một cơng ty khỏi mạng nội bộ
Bức tường lửa cũng được sử dụng để đảm bảo an ninh cho các phần mạng
nội bộ Ví dụ, trong một doanh nghiệp mạng kế tốn thường dễ bị tấn cơng
Trên thực tế, nhiều bức tường lửa cĩ những thiết lập mặc định khơng đảm bảo được tính an ninh nếu đội ngũ nhân viên cĩ trình độ khơng triển khai các biện
pháp cụ thẻ
Các bức tường lửa được lắp đặt để bảo vệ tổng thể các mạng thường được
triển khai bằng phần cứng cịn các bức tường lửa phần mềm là để bảo vệ các
trạm làm việc riêng rẽ khỏi bị tắn cơng Cĩ một số loại bức tường lửa Loại đơn
giản là chặn các địi hỏi xuất hiện từ tên miền và các địa chỉ giao thirc Internet
(IP) Đối với người sử dụng di động, bức tường lửa cho phép truy nhập mạng
cá nhân từ xa băng cách sử dụng các thủ tục truy nhập an ninh và các chứng
nhận nhận thực
Phân loại bức tường lửa
Theo cấu trúc: Tường lửa phần cứng và tường lửa phần mềm
Theo chức năng: chia làm bơn loại cụ thê: các bức tường lửa lọc gĩi, các cơng kênh, mức ứng dụng và kiểm duyệt đa lớp tĩnh
Các bức tường lửa lọc gĩi vận hành trên mạng theo mơ hình OSI, hoặc ở lớp IP của TCP/IP Chúng là một phần của bức tường lửa định tuyến Trong một bức tường lửa lọc gĩi, mỗi gĩi sẽ được so sánh với một bộ tiêu chuẩn trước
khi được chuyển tiếp Trên cơ sở gĩi và tiêu chuẩn, bức tường lửa cĩ thể làm
rớt gĩi, chuyền tiếp nĩ hoặc gửi một thơng báo đến người nhận Các thủ tục cĩ thể bao gồm các địa chỉ IP nguồn và đích, số và giao thức cổng nguồn và đích
được sử dụng ưu điểm của các bức tường lửa lọc gĩi này là chỉ phí thấp và ít
ảnh hưởng đến hiệu năng của mạng Phân lớn các bộ lọc hỗ trợ lọc gĩi Thậm
chí nếu sử dụng các bức tường lửa khác, thì triển khai lọc gĩi tại mức bộ định
Trang 39
GVHD: Th.S Lê Mạnh Hải Áp dụng 1ccess List vào bảo vệ mạng trường ĐHKTCN
tuyến cĩ thể đảm bảo được mức an nỉnh ban đầu tại lớp mạng thấp Tuy nhiên, bức tường lửa loại này chỉ cĩ thể vận hành tại lớp mạng và khơng hỗ trợ các
mơ hình thủ tục phức tạp
Loại tưởng lửa cơng kênh vận hành tại lớp phiên của mơ hình OSI, hoặc lớp TCP của TCP/IP Bức tường lửa loại này cĩ thể giám sát kết nối kiểu bắt tay
TCP giữa các gĩi để quyết định phiên yêu cầu nào là phù hợp Thơng tin được chuyển tới một máy tính ở xa nhờ một cơng mức kênh Điều này rất hữu ích để
che dấu những thơng tin về mạng cá nhân mà họ cần bảo vệ, nhưng loại tường lửa này khơng lọc được các gĩi cá nhân
Các tường lửa cổng mức ứng dụng cũng được gọi là các proxy giống như các cổng mức kênh nhưng khơng liên quan đến ứng dụng Loại tường lửa này cĩ thể lọc được các gĩi ở lớp ứng dụng của mơ hình OSI Các gĩi vào và ra khơng thể truy nhập các dịch vụ khơng cĩ proxy Bởi vì chúng cĩ thê kiểm tra các gĩi tại lớp ứng dụng, các cổng mức ứng dụng cĩ thể lọc các lệnh ứng dụng
nhu http: post va get Hon nữa, các cổng mức ứng dụng cĩ thể được sử dụng để ghi lại các hoạt động của người sử dụng và đăng nhập
Các bức tường lửa kiểm tra đa lớp tĩnh kết hợp các khía cạnh của cả ba loại bức tường lửa kia Loại tường lửa này cĩ thể lọc các gĩi ở lớp mạng, quyết
định các gĩi phiên nào là phù hợp và đánh giá nội dung các gĩi tại lớp ứng
dụng Loại bức tường lửa này cho phép kết ni trực tiếp giữa khách và chủ, hạn chế lỗi do sự thiếu sự trong suốt trong các cổng ứng dụng Bức tường lửa loại
này phụ thuộc vào các thuật tốn nhận dạng và xử lý các dữ liệu lớp ứng dụng thay cho việc các proxy ứng dụng