Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.
BÀI TẬP LỚN MÔN FIREWALL BÀI TẬP LỚN FIREWALL ---------------oOo---------------- Phần I:TỔNG QUAN VỀ FIREWALL 1.KHÁI NIÊM: Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này. SVTH: Phạm Ngọc Đức MSSV: 504104008 1 BÀI TẬP LỚN MÔN FIREWALL Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ dữ liệu bên trong người ta thường dùng firewall. Firewall có cách nào đó để cho phép người dùng hợp đi qua và chặn lại những người dùng không hợp lệ. Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên host bảo đảm hoặc kết hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài. Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet. Các firewall đầu tiên là các router đơn giản. SVTH: Phạm Ngọc Đức MSSV: 504104008 2 BÀI TẬP LỚN MÔN FIREWALL 2.CHỨC NĂNG CỦA FIREWALL. Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. • Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.• Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập • Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng. Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập. Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng. Điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói. Một số firewall có chức năng thú vị và cao cấp, đánh lừa được những kẻ xâm nhập rằng họ đã phá vỡ được hệ thống an toàn. Về cơ bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo bằng tiếp cận “nhà phản chiếu” (hall of mirrors). Nếu kẻ tấn công tin rằng họ đã vào được một phần SVTH: Phạm Ngọc Đức MSSV: 504104008 3 BÀI TẬP LỚN MÔN FIREWALL của hệ thống và có thể truy cập xa hơn, các hoạt động của kẻ tấn công có thể được ghi lại và theo dõi. Nếu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theo dấu vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối Internet. 3.NGUYUÊN LÝ HOẠT ĐỘNG CỦA FIREWALL. Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật tón chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm: • Địa chỉ IP nơi xuất phát (Source) • Địa chỉ IP nơi nhận ( Destination) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) • Cổng TCP/UDP nơi xuất phát• Cổng TCP/UDP nơi nhận • Dạng thông báo ICMP • Giao diện packet đến • Giao diện packet đi SVTH: Phạm Ngọc Đức MSSV: 504104008 4 BÀI TẬP LỚN MÔN FIREWALL Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ. Cũng nên lưu ý là do việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Trong các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật để vượt tường lửa. 4.Phân Loại Firewall: Firewall được chia làm hai loai. 4.1 Firewall Cứng : Là những loại firewall được tích hợp trên Router .Các tổ chức lớn thì có thể sử dụng Router Cisco còn đối với mạng LAN trong gia đình thì thường sử dụng Router ADSL . Đặc điểm của firewall cứng: • Không linh hoạt như firewall mềm .Không thể thêm chức năng thêm quy tắc như firewall mềm • Firewall cứng hoạt động ở tầng thấp hơn firewall mềm .Tầng Network và tầng Transport • Firewall cứng không thể kiểm tra được nội dung của gói tin • Firewall cứng phổ biến nhất NAT (Network Address Translate) SVTH: Phạm Ngọc Đức MSSV: 504104008 5 BÀI TẬP LỚN MÔN FIREWALL 4.2Firewall Mềm: Là nhưng firewall được cài đặt trên Server Đặc điểm của firewall mềm : • Tính linh hoạt cao có thể thêm bớt các quy tắc,các chức năng • Firewall mềm hoạt động ở tầng cao hơn firewall cứng .Tầng ứng dụng (Application) • Firewall mềm có thể kiểm tra được nội dung gói tin thông qua các từ khóa • Các kiểu firewall mềm : Zone Alarm, Norton Firewall… 5.FIREWALL TRONG MÔ HÌNH MẠNG OSI VÀ TCP/IP. 5.1Firewall hoạt động ở các lớp khác nhau sử dụng các chuẩn khác nhau để hạn chế lưu lượng. Lớp thấp nhất mà firewall hoạt động là lớp 3. Trong mô hình OSI đây là lớp mạng. Trong mô hình TCP/IP đây là lớp IP (Internet Protocol). Lớp này có liên quan tới việc định tuyến các gói tới đích của chúng. Ở lớp này, một firewall có thể xác định rằng một gói từ một nguồn đáng tin cậy, nhưng không xác định gói chứa những gì. Ở lớp transport, firewall biết một ít thông tin về gói và có thể cho phép hoặc từ chối truy cập dựa vào các tiêu chuẩn. Ở lớp ứng dụng, firewall biết nhiều về những gì đang diễn ra và có sự lựa chọn trong việc gán quyền truy cập. 5.2IP spoofing (sự giả mạo IP) Nhiều firewall nghiên cứu các địa chỉ IP nguồn của các gói để xác nhận nếu chúng hợp lý. Một firewall có thể cho phép luồng lưu thông nếu nó đến từ một host đáng tin cậy. Một cracker giả mạo địa chỉ IP nguồn của các gói gửi tới firewall. Nếu firewall nghĩ rằng các gói đến từ một host tin cậy, nó có thể cho chúng đi qua trừ khi một vài chuẩn khác không thỏa. Tất nhiên cracker muốn tìm hiểu về luật của firewall để khai thác vào điểm yếu này. SVTH: Phạm Ngọc Đức MSSV: 504104008 6 BÀI TẬP LỚN MÔN FIREWALL Một biện pháp hiệu quả chống lại sự giả mạo IP là việc sử dụng giao thức mạng riêng ảo (Virtual Private Network - VPN) như là IPSec. Biện pháp này đòi hỏi việc mã hóa dữ liệu trong các gói cũng như địa chỉ nguồn. Phần mềm hoặc phần sụn VPN giải mã gói và địa chỉ nguồn để tiến hành một cuộc kiểm tra (checksum). Nếu cả dữ liệu lẫn địa chỉ nguồn đã bị giả mạothìgóisẽbị hủy. 5.3IPSec IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố giải quyết nó với firewall. IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy). Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting” địa chỉ IP hiện tại. 6.CÁC KIỂU KHÁC NHAU CỦA FIREWALL. Firewall được thiết kế theo hai tiếp cận: SVTH: Phạm Ngọc Đức MSSV: 504104008 7 BÀI TẬP LỚN MÔN FIREWALL • Strip search (khám xét tận đáy): Khi người dùng muốn đăng nhập vào hệ thống đều phải qua strip search. • Proxy service (dịch vụ ủy thác): Trong trường hợp gắt gao hơn, người quản trị không muốn cho hệ thống tiếp xúc trực tiếp với người dùng, khi đó người quản trị giả lập một hệ thống tương tự như cũ để tiếp xúc trực tiếp với khách hàng. Hệ thống giả lập này chuyển tin qua lại giữa hai bên và làm dịch vụ ủy thác. Proxy service hoạt động như là người đại diện cho những người dùng cần truy cập hệ thống ở phía bên kia firewall. Firewall lọc gói (packet-filtering) dùng phương pháp strip search. Các gói dữ liệu trước hết được kiểm tra, sau đó được trả lại hoặc cho phép đi vào theo một số điều kiện nhất định. Còn một phương pháp thứ ba gọi là giám sát trạng thái (stateful inspection). Phương pháp này nhớ các đặc trưng của bất cứ người nào rời khỏi hệ thống và chỉ cho phép quay trở lại theo những đặc trưng này. 7.LỢI ÍCH CỦA FIREWALL. Bất kỳ ai chịu trách nhiệm cho mạng riêng kết nối với mạng công cộng đều cần sự bảo vệ của firewall. Ngoài ra, bất kỳ ai kết nối máy tính với Internet thông qua modem nên có phần mềm firewall cá nhân. Nhiều người dùng Internet thông qua việc quay số tin tưởng rằng tình trạng nặc danh sẽ bảo vệ họ. Họ nghĩ rằng không có sự xâm nhập nguy hiểm nào làm hại máy tính của họ. Những người dùng quay số trở thành những nạn nhân của các cuộc tấn công nguy hiểm, đôi khi họ phải cài lại hệ điều hành. Những kẻ chơi khăm có thể dùng các robot tự động quét các IP ngẫu nhiên và tấn công bất cứ khi nào thời cơ đến với nó. Firewall bảo vệ các mạng cục bộ từ những kẻ tấn công từ Internet SVTH: Phạm Ngọc Đức MSSV: 504104008 8 BÀI TẬP LỚN MÔN FIREWALL . Firewall cho phép các nhà quản trị mạng đề ra nhiều loại truy cập tới các dịch vụ Internet để các user LAN lựa chọn. Sự lựa chọn này là một phần cốt yếu của bất kỳ chương trình quản trị thông tin nào, và không chỉ bảo vệ thông tin riêng mà còn biết được những ai đã truy cập và đã làm gì. 8.HẠN CHẾ CỦA FIREWALL. Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data- drivent attack). Khi có một số chơng trình đợc chuyển theo th điện tử, vợt qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu đợc áp dụng rộng rãi. SVTH: Phạm Ngọc Đức MSSV: 504104008 9 BÀI TẬP LỚN MÔN FIREWALL Phần II :THIẾT KẾ FIREWALL CHO MÔ HÌNH MẠNG. Đề Tài :Thiết kế và cài đặt Firewall cho mạng LAN của chi nhánh ngân hàng ngoại thương Hà Nội Vietcombank. I.THIẾT KẾ MẠNG LAN: 1.Phân Tích Mạng LAN : 1.1 Hệ thống mạng bao gồm: − Hệ thống các thiết bị chuyển mạch (Router Cisco 2620 XM,Switch Cisco 2950-24,Switch ) cung cấp nền tảng mạng cho các máy tính có thể trao đổi thông tin với nhau. Do toàn bộ phân mạng xây dựng tập trung trong 1 toà nhà nên hệ thống cáp truyền dẫn sẽ sử dụng bao gồm các cáp đồng tiêu chuẩn UTP CAT5 và cáp quang đa mode. Công nghệ mạng cục bộ sẽ sử dụng là Ethernet/ FastEthernet/GigabitEthernet tương ứng tốc độ 10/100/100Mbps chạy trên cáp UTP hoặc cáp quang. − Các máy chủ dịch vụ như cơ sở dữ liệu quản lý, giảng dạy, truyền thông… − Các máy tính phục vụ cho công tác nghiên cứu khoa học : Cung cấp các thông tin cho sinh viên, giáo viên, và cung cấp công cụ làm việc cho các cán bộ giảng dạy, các bộ môn, khoa. − Các máy tính phục vụ riêng cho công tác quản lý hành chính nhằm thực hiện mục tiêu tin học hoá quản lý hành chính. các switch. 1.2.Hệ thống cáp Cáp sử dụng cho mạng lan là cáp UTP(Cáp thẳng) .cáp có khả năng chống nhiễu tốt cáp được nối từ các máy tình đến các Switch được đặt ngay trong phòng học . SVTH: Phạm Ngọc Đức MSSV: 504104008 10