Báo Cáo Tìm hiểu về IDS, Firewall và Honeypot

DANH MỤC HÌNH ẢNH 4 LỜI NÓI ĐẦU 5 CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS 6 1.1. KHÁI NIỆM IDS 6 1.2. CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS 6 1.2.1. Thành phần thu thập thông tin gói tin 6 1.2.2. Thành phần phát hiện gói tin 6 1.2.3. Thành phần xử lý 6 1.3. PHÂN LOẠI IDS 7 1.3.1. Network Based IDS 7 1.3.1.1. Lợi thế của Network Based IDS 7 1.3.1.2. Hạn chế của Network Based IDS 8 1.3.2. Host Based IDS 8 1.3.2.1. Lợi thế của Host Based IDS 8 1.3.2.2. Hạn chế của Host Based IDS

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

Báo Cáo Tìm hiểu về IDS, Firewall và

Honeypot

Giảng viên hướng dẫn: Th.S Nguyễn Duy

Sinh viên thực hiện :

Nguyễn Ngọc Đăng Thy 12520921 Nguyễn Huỳnh Trường Duân 12520566 Nguyễn Thanh Tâm 12520909 Đặng Thái Hòa 12520596

MỤC LỤC

MỤC LỤC 1

DANH MỤC HÌNH ẢNH 4

LỜI NÓI ĐẦU 5

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS 6

1.1 KHÁI NIỆM IDS 6

1.2 CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS 6

1.2.1 Thành phần thu thập thông tin gói tin 6

1.2.2 Thành phần phát hiện gói tin 6

1.2.3 Thành phần xử lý 6

1.3 PHÂN LOẠI IDS 7

1.3.1 Network Based IDS 7

1.3.1.1 Lợi thế của Network Based IDS 7

1.3.1.2 Hạn chế của Network Based IDS 8

1.3.2 Host Based IDS 8

1.3.2.1 Lợi thế của Host Based IDS 8

1.3.2.2 Hạn chế của Host Based IDS 9

CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL 13

2.1 KHÁI NIỆM VỀ FIREWALL 13

2.1.1 Khái niệm 13

2.1.2 Các lựa chọn Firewall 13

2.1.2.1 Firewall phần cứng 13

2.1.2.2 Firewall phần mềm 14

2.2 CHỨC NĂNG FIREWALL 14

2.3 Các loại Firewall và cơ chế hoạt động: 14

2.3.1.1 Ưu điểm 15

2.3.1.2 Hạn chế 15

2.3.2 Application-proxy firewall 15

2.3.2.1 Ưu điểm 16

2.3.2.2 Nhược điểm 16

2.3.3 Circuit Level Gateway 16

2.4 Kiến trúc của Firewall: 17

2.4.1 Bastion host: 17

2.4.2 Screened Subnet 17

2.7 NHỮNG HẠN CHẾ CỦA FIREWALL 22

CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT 24

3.1 KHÁI NIỆM HONEYPOT 24

3.1.1 Khái niệm 24

3.1.2 Mục đích 24

3.2 PHÂN LOẠI HONEYPOT 24

3.3 HONEYNET 25

3.3.1 Khái niệm 25

3.3.2 Chức năng 26

3.3.3 Khả năng an toàn và các rủi ro 27

3.3.4 Đánh giá so sánh mức độ an toàn 27

Chương 4 : Công cụ dò tìm xâm nhập IDS và Honeypot 28

4.1 Snort 28

4.1.1 Khái niệm 28

4.1.2 Kiến trúc của Snort 28

4.1.2.1 Module giải mã gói tin 29

4.1.2.2 Module tiền xử lý 29

4.1.2.3 Module phát hiện 30

4.1.2.4 Module log và cảnh báo 31

4.1.2.5 Module kết xuất thông tin 31

4.1.3 Quy tắc của Snort 31

4.1.3.1 Snort rules: các quy tắc hoạt động và giao thức IP 31

4.1.3.2 Snort rules : Điều khiển hệ thống và địa chỉ IP 32

4.1.3.3 Snort rules : Số cổng 32

4.2 Công cụ Honeypot 33

4.2.1 KFSensor 33

4.2.1 Đặc điểm 33

CHƯƠNG 5: CÁC KIỂU TẤN CÔNG ĐỂ NÉ TRÁNH IDS, FIREWALL VÀ HONEYPOTS 33

5.1 Các kiểu tấn công IDS : 33

5.1.1 Tấn công từ chối dịch vụ : 33

5.1.2 Quét và thăm dò (Scanning và Probe) 35

5.1.3 Tấn công vào mật khẩu (Password attack) 35

5.1.4 Chiếm đặc quyền (Privilege-grabbing) 36

5.1.5 Cài đặt mã nguy hiểm (Hostile code insertion): 36

5.1.6 Tấn công hạ tầng bảo mật (Security infrastructure attack) 37

5.1.7 Time to Live Attack 37

5.1.8 Overlapping Fragment Attack 37

5.1.9 Polymorphic Shellcode: (Shellcode đa hình) 38

5.1.10 ASCII shellcode 38

5.2 Tấn công vượt Firewall 38

5.2.1 IP spoofing 38

5.2.2 Tiny Fragment Attack 39

5.2.3 Man in middle DNS 39

5.3 Tấn công vượt qua Honeypots 39

KẾT LUẬN 40

TÀI LIỆU THAM KHẢO 41

DANH MỤC HÌNH ẢNH Hình 1.1 - Network Based IDS 8

Hình 1.2 - Host Based IDS 9

Hình 2.1 - Firewall 15

Hình 2.2 - Packet filtering router 16

Hình 2.3 - Application level gateway 17

Hình 2.4 - Circuit level gateway 18

Hình 2.5 Kiến trúc Bastion Host 18

Hình 3.1 - Honeypots 25

Hình 3.2 - Honeywall 27

Hình 3.2 - Minh họa luồng dữ liệu 27

Hình 4.1- Hình kiến trúc Snort 30

LỜI NÓI ĐẦU

Trong bối cảnh hiện nay của các cuộc tấn công hệ thống hacking và máytính là phổ biến.Vì thếviệc phát hiện xâm nhập và bảo vệ hoạt động tất cảcác chi tiết có liênquan là rất quan trọng.Module này cùng thảo luận về IDS, tường lửa và Honeypots Saukhi hoàn thành Module này, bạn sẽ được quen thuộc với:

+ Hệ thống phát hiện xâm nhập+ Hệ thống làm rõ tính toàn vẹn+ Việc tấn công phát hiện như thế nào+ Phát hiện những dấu hiệu khác thường+ Làm thế nào để IDS khớp với chữ ký và lưu lượng truy cập đến?

+ Hacking thông qua Firewalls+ Cung cấp phần mềm IDS+ Hiểu về Firewalls

+ Hiểu về Honeypots

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ IDS

1.1 KHÁI NIỆM IDS

Một hệ thống phát hiện xâm nhập IDS (Intrusion Detection Systems) là một thiết bịhoặc một ứng dụng được sử dụng để theo dõi hoạt động của hệ thống mạng Có chức năng

tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn

đề liên quan đến an ninh, bảo mật IDS cũng có thể phân biệt giữa những tấn công bên trong

từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker) IDSphát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phầnmềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên sosánh lưu thông mạng hiện tại với baseline(thông số đo đạc chuẩn của hệ thống) để tìm ra cácdấu hiệu khác thường

1.2 CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS

IDS bao gồm các thành phần chính:

- Thành phần thu thập thông tin gói tin

- Thành phần phát hiện gói tin

- Thành phần xử lý (phản hồi)

1.2.1 Thành phần thu thập thông tin gói tin

Thành phần này có nhiệm vụ lấy tất các gói tin đi đến mạng Thông thường các góitin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó huỷ bỏ nhưng cardmạng của IDS được đặt ở chế độ thu nhận tất cả Tất cả các gói tin qua chúng đều được saolưu, xử lý, phân tích đến từng trường thông tin Bộ phận thu thập gói tin sẽđọc thông tintừng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì Các thông tinnày được chuyển đến thành phần phát hiện tấn công

1.2.2 Thành phần phát hiện gói tin

Ở thành phần này, các bộ cảm biến đóng vai trò quyết định Vai trò của bộ cảm biến

là dùng để lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt được từcác sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghingờ

Cảnh báo thời gian thực Gửi các cảnh báo thời gian thực đến người quản trị để họnắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.

Ghi lại vào tập tin Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các tậptin log Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồnthông tin giúp cho module phát hiện tấn công hoạt động

Ngăn chặn, thay đổi gói tinKhi một gói tin khớp với dấu hiệu tấn công thì IDS sẽphản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho góitin trở nênkhông bình thường

1.3 Phân loại IDS

Có 2 loại IDS là Network Based IDS(NIDS) và Host Based IDS (HIDS)

1.3.1 Network Based IDS

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toànmạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng vớinhững mô tả sơ lược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biến thunhận và phân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng haydấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằmtìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tập nhiều sensor được đặt ởtoàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa đểphát hiện đó là tấn công hay không

Hình 1.1 - Network Based IDS

1.3.1.1 Lợi thế của Network Based IDS

- Quản lý được cả một network segment (gồm nhiều host)

- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

- Tránh DOS ảnh hưởng tới một host nào đó.

- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)

- Độc lập với hệ điều hành

1.3.1.2 Hạn chế của Network Based IDS

- Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion màNIDS báo là có intrusion

-NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sựan toàn

- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động Khi báo động đượcphát ra, hệ thống có thể đã bị tổn hại

- Hạn chế về giới hạn băng thông Hacker có thể tấn công bằng cách chia nhỏ dữ liệu

ra để xâm nhập vào hệ thống

- Không cho biết việc attack có thành công hay không

1.3.2 Host Based IDS

HIDS là hệ thống phát hiện xâm phạm máy chủ được cài đặt cục bộ trên một máytính nhất định làm cho nó trở nên linh hoạt hơn nhiều so với NIDS.Kiểm soát lưu lượng vào

ra trên một máy tính, có thể được triển khai trên nhiều máy tính trong hệ thống mạng HIDS

có thể được cài đặt trên nhiều dạng máy tính khác nhau cụ thể như các máy chủ, máy trạm,máy tính xách tay

Hình 1.2 - Host Based IDS

1.3.2.1 Lợi thế của Host Based IDS

- Có khả năng xác đinh user liên quan tới một sự kiện (event)

- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không

có khả năng này

- Có thể phân tích các dữ liệu mã hoá

- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này.

1.3.2.2 Hạn chế của Host Based IDS

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thànhcông

- Khi hệ điều hành bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ"

- HIDS phải được thiết lập trên từng host cần giám sát

- HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…)

- HIDS cần tài nguyên trên host để hoạt động

1.4 Cách thức hoạt động của IDS:

-Mục đích chính của IDS không chỉ là ngăn ngừa sự xâm nhập mà còn cảnh báo đến người quản trị ngay lập tức khi có tấn công xảy ra Người quản trị có thể xác minh các phương pháp và kĩ thuật được sử dụng bởi kẻ tấn công, kể cả nguồn tấn công

-IDS hoạt động theo các bước sau đây :

+IDS có cảm biến để phát hiện ra signature và một số IDS tiên tiến có thể xác định được cáchành vi nghi ngờ nguy hiểm Ngay cả khi signature không trùng khớp, hệ thống phát hiện hoạt động vẫn có thể cảnh báo cho người quản trị các cuộc tấn công có thể xảy ra

+ Nếu signature trùng khớp, nó sẽ di chuyển đến bước kế tiếp hoặc các kết nối sẽ bị cắt từ nguồn IP đó, gói tin sẽ bị loại bỏ và thông báo báo động đến quản trị viên rằng các gói tin đã

và báo động thông báo cho admin rằng gói tin có thể bị loại bỏ

Hình1.3 Cách thức hoạt động của IDS

1.5 Các cách để phát hiện một cuộc xâm nhập:

Có 3 cách để phát hiện một cuộc xâm nhập

1.5.1 Phát hiện dấu hiệu(signature):

Là việc xác định các sự kiệnlạm dụng trong hệ thống.Nó được thực hiện bằng cách tạo ra

mô hình của sự xâm nhập.Các sự kiện đang đến sẽ được so sánh với các mô hình xâm nhập.Trong khi tạo signature, mô hình phải phát hiện sự tấn công mà không làm ảnh hưởng đến hệ thống.Các cuộc tấn công phải trùng khớp với các mô hình

-Hình thức đơn giản của việc công nhận signature là sử dụng mô hình kết hợp đơn giản để

so sánh các gói dữ liệu mạng với chữ ký nhị phân của các cuộc tấn công được biết đến Một signature nhị phân có thể được định nghĩa cho một phần cụ thể của gói tin, chẳng hạn như những TCP flags

-Việc công nhận chữ kí có thể phát hiện các cuộc tấn công Tuy nhiên, có một khả năng rằngcác gói dữ liệu trùng khớp có thể mô tả lại signature sau đó kích hoạt tín hiệu không có thật.Chữ ký có thể được tùy chỉnh để mà ngay cả người dùng có đầy đủ thông tin có thể tạo

ra chúng

-Signatures được hình thành không đúng cách có thể gây ra các tín hiệu giả Để phát hiện việc này, số lượng signature yêu cầu là rất lớn.Các nhiều signature hơn thì càng có nhiều tấncông được phát hiện

- Băng thông của mạng được tiêu thụ cùng với sự gia tăng của signature

1.5.2 Phát hiện các bất thường:

Đây là kỹ thuật dò thông minh, nhận dạng ra các hành động không bình thường của mạng Quan niệm của phương pháp này về các cuộc tấn công là khác so với các hoạt động thông thường.Ban đầu chúng lưu trữ các mô tả sơ lược về các hoạt động bình thường của hệ thống Các cuộc tấn công sẽ có những hành động khác so với bình thường và phương pháp

-Lợi thế của hệ thống này là nó có thể phát hiện được hững kiểu tấn công chưa biết trước Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá chung về cuộc tấn công Thống kê cho thấy trong hệ thống này, hầu hết các cảnh báo là cảnh báo sai, trong đó

có rất nhiều cảnh báo là từ những hành động bình thường, chỉ có một vài hành động là có ý

đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả năng giới hạn các cảnh báo nhầm đó

1.5.3 Anomaly protocol detection (phát hiện sự bất thường của giao thức):

Kỹ thuật dò này căn cứ vào hoạt động của các giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn công

Kỹ thuật này rất hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét cổng để thu thập thông tin của hacker Phương pháp dò sự không bình thường của hệ thống rất hữu hiệu

trong việc phát hiện các cuộc tấn công kiểu từ chối dịch vụ Ưu điểm của phương pháp này

là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu ích bổ sung cho phương pháp dò sự lạm dụng, tuy nhiên chúng có nhược điểm thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt động của mạng Tuy nhiên phương pháp này làhướng được nghiên cứu nhiều hơn, hoàn thiện các nhược điểm, đưa ra ít cảnh báo sai để hệ thống chạy chuẩn xác hơn

CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL

2.1 KHÁI NIỆM VỀ FIREWALL

2.1.1 Khái niệm

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập tráiphép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thốngcủa một số thông tin khác không mong muốn.Cũng có thể hiểu rằng Firewall là một cơ chế

để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng (untrusted network)

Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại sâu, vàmột số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống Ngoài ra, Firewall cóthể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy tính khác mà khônghay biết Việc sử dụng một Firewall là cực kỳ quan trọng đối với các máy tính luôn kết nốiInternet, như trường hợp có một kết nối băng thông rộng hoặc kết nối DSL/ADSL

Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ,đặc biệtchonhững công ty có chia sẻ kết nối Internet Có thể kết hợp Firewall và một bộ định tuyến trêncùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng.Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềmthường phải cài trên mọi máy tính cá nhân trong mạng

Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys(http://www.linksys.com) và NetGear (http://www.netgear.com).Tính năng Firewall phầncứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùngcho mạng của các doanh nghiệp nhỏ và mạng gia đình

2.1.2.2 Firewall phần mềm

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khicần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty.Chúng có thểhoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộđịnh tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ Firewall phần mềm cũng là một lựachọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máytính đi bất kỳ nơi nào

2.2 Chức năng Firewall:

Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngànhhay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhậpkhông mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một

số địa chỉ nhất định trên Internet

FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng củamột tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET -FIREWALL - INTERNET)

Hình 2.1 - FirewallMột Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet.Nó nhận dạng

và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ Nếu bạn cài đặtFirewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn công khôngthể phát hiện ra máy tính

2.3 Các loại Firewall và cơ chế hoạt động:

2.3.1 Packet Filtering Firewall

Là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng cókiểm soát Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi làrouter, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng Mô hình nàyhoạt động theo nguyên tắc lọc gói tin Ở kiểu hoạt động này các gói tin đều được kiểm tra

địa chỉ nguồn nơi chúng xuất phát.Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tụcđược kiểm tra với các luật đã đặt ra trên router.

Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ xử

lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai hay

bị cấm.Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy

Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị.Khimột gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập

để vào bên trong mạng

2.3.1.1 Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế loc packet đã được bao gồmtrong mỗi phần mềm router

2.3.1.2 Hạn chế

Do làm việc dựa trên header của packet, rõ ràng là bộ lọc packet không kiểm soát đượcnội dung thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hànhđộng với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu

2.3.2 Application-proxy firewall

Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thìkết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêucầu kết nối Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được

tin đi qua

Hình 2.3 - Application level gateway

2.3.2.1 Ưu điểm

 Không có chức năng chuyển tiếp các gói tin IP

Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vìứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy cậpđược bởi các dịch vụ

 Đưa ra công cụ cho phép ghi lại quá trình kết nối

2.3.3 Circuit Level Gateway

Là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng vòngđơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động

xử lý hay lọc packet nào

Hình bên dưới cho thấy, cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall màkhông thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tuc telnet nào.Cổng vòng saochép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outsideconnection).Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhàquản trị mạng thật sự tin tưởng những người dùng bên trong

Hình 2.4 - Circuit level gateway

2.4 Kiến trúc của Firewall:

2.4.1 Bastion host:

+ Gồm một Packet Filtering và một bastion host

+ Thực hiện bảo vệ mạng ở tầng mạng và tầng ứng dụng

+ Cấu hình và hoạt động Packet Filtering :

+ Đối với luồng thông tin từ Internet, chỉ các gói tin IP với địa chỉ đích là bastion host mớiđược phép đi vào trong

+ Đối với luồng thông tin từ bên trong, chỉ các gói tin IP xuất phát từ bastion host mới đượcphép đi ra ngoài

+ Packet Filtering cho phép bastion host mở kết nối (hợp lệ) ra bên ngoài

+ Packet Filtering có thể cho phép các internal hosts mở kết nối đến các host trên internetđối với 1 số dịch vụ được phép hoặc cấm tất cả kết nối từ các internal hosts

Hình 2.5 Kiến trúc Bastion Host

2.4.2 Screened Subnet

Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiềusâu, tăng cường sự an toàn cho Bastion host, tách bastion host khỏi các host khác người tađưa ra kiến trúc firewall có tên là Screened Subnet Host

Kiến trúc Screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vàophần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạngbên ngoài, tách bastion host ra khỏi các host thông thường khác Kiểu screened subnet hostđơn giản bao gồm hai screened router:

– Router ngoài (Exterior router): Nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo

vệ cho mạng ngoại vi (Bastion host, interior router) Exterior router chống lại những sự tấncông chuẩn như giả mạo địa chỉ IP và điều khiển truy cập tới Bastion host.Quy luật filteringtrên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin bắt nguồn

từ Bastion host

– Router trong (Interior router): Nằm giữa mạng ngoại vi va mạng nội bộ nhằm bảo vệmạng nội bộ và mạng ngoại vi Nó không thực hiện hết các quy tắc packet filtering của toàn

bộ firewall Các dịch vụ mà interior router cho phép giữa Bastion host và mạng nội bộ, giữabên ngoài và mạng nội bộ không nhất thiết phải giống nhau Interior router chỉ cho phép các

hệ thống bên trong truy cập Bastion host

Ưu điểm của Screened Subnet Host:

– Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong

– Bởi vì router ngoài chỉ quảng bá Bastion host tới internet nên hệ thống mạng nội bộ khôngthể nhìn thấy (invisible) Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đếnbởi Internet qua routing table và DNS information exchange (Domain Name Server)

– Bởi vì router trong chỉ quảng bá Bastion host tới mạng nội bộ nên các hệ thống bên trongmạng nội bộ không thể truy cập trực tiếp tới Internet Điều này đảm bảo rằng những userbên trong bắt buộc phải truy cập qua Internet qua dịch vụ Proxy

– Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sửdụng đồng thời nâng cao khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống

và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bảntrên là phù hợp

– Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụngthêm một dạng ngoại vi (perimeter network) để che phần nào lưu thông bên trong internalnetwork, tách biệt internal network với internet

Ngoài ra, còn có những kiến trúc biến thể khác như sử dụng nhiều Bastion host, ghép chungrouter trong và router ngoài, ghép chung Bastion host và router ngoài

Với mô hình này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) mộtphần nào đó không bị ảnh hưởng bởi những hoạt động của người sử dụng bên ngoài mạng(external user).

Chúng ta cũng có thể sử dụng nhiều Bastion host chỉ cung cấp một dịch vụ nào đó để tăngtốc độ đáp ứng, nâng cao hiệu năng hoạt động

Việc sử dụng nhiều Bastion host cho các server khác nhau để khi một server nào đó bị độtnhập hoặc server bị hỏng thì server khác vẫn hoạt động tốt

2.5 Vùng DMZ:

DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet

- DMZ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấpnhận các rủi ro tấn công từ internet

- Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP

- Có hai cách thiết lập vùng DMZ:

+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra cácluồng thông tin vào mạng cục bộ

Hình 2.6 DMZ đặt giữa 2 firewall+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời vớimạng cục bộ

Hình 2.7 DMZ đặt ở một nhánh riêng tách rời với mạng cục bộ

2.6 Các thế hệ Firewall

2.6.1 Thế hệ thứ 1: Lọc gói tin

Thế hệ đầu tiên của firewall là lọc gói tin, nó xác định địa chỉ mạng và port của gói tin và xác định nếu gói tin có thể được cho qua hoặc bị chặn Bài báo đầu tiên được công bố về công nghệ tường lửa vào năm 1988, khi những kĩ sư từ DEC phát triển hệ thống lọc được biết như firewall lọc gói tin Hệ thống cơ bản này là thế hệ đầu tiên của thứ liên quan đến tính năng an ninh mạng

Hành động lọc gói tin bởi sự theo dõi “gói tin” được vận chuyển giữa máy tính và internet Nếu gói tin không trùng với tập luật lọc, gói tin sẽ bị loại bỏ (âm thầm loại bỏ) hoặc từ chối

nó (loại bỏ nó, và gửi “phản hồi lỗi” tới nguồn).Ngược lại, nếu gói tin trùng với một hoặc nhiều hơn chương trình lọc, gói tin sẽ được phép cho qua.Kiểu lọc gói tin này không chú ý đến việc gói tin là một phần của dòng dữ liệu sẵn có hoặc dữ liệu Thay vào đó, nó lọc từng gói tin chỉ dựa trên thông tin của chính gói tin đó (phần lớn sử dụng sự kết hợp của nguồn gói tin, đích, giao thức và dữ liệu TCP, UDP và số cổng) Giao thức TCP, UDP chiếm phần lớn giao thức trên Internet

Firewall lọc gói tin làm việc chủ yếu trên 3 tầng đầu tiên trong mô hình OSI, có nghĩa là phần lớn việc làm giữa tầng mạng và tầng vật lý, với một phần ít lấy ở tầng vận chuyển để tìm ra cổng nguồn và cổng địch Khi một gói tin xuất phát từ người gửi và lọc qua firewall,