BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI KHOA CNTT BÁO CÁO BÀI TẬP LỚNMÔN MẠNG NÂNG CAO ĐỀ TÀI: TƯỜNG LỬA - FIREWALL Giáo viên hướng dẫn: Nguyễn Thế Lộc MỞ ĐẦU Ngày khoa học công nghệ phát triển mạnh mẽ trình độ cao chiều rộng lẫn chiều sâu Nhu cầu ứng dụng công nghệ cao vào phát triển mặt đời sống phạm vi toàn cầu ngày trở nên gay gắt Chúng ta cần cập nhật thành tựu khoa học kĩ thuật đại Từ nhu cầu trao đổi thơng tin không dừng lại phạm vi nhỏ (trong công ty, quan , tổ chức, đoàn thể, ) mà mở rộng quốc gia, trí toàn cầu Mọi người đa phần trao đổi với thông qua Internet Kết nối vào Internet, sử dụng khai thác việc làm quen thuộc Nhưng phải để việc trao đổi thơng tin đảm bảo tính an tồn Hiện nay, đảm bảo an toàn kết nối với môi trường Internet vấn đề mà giới quan tâm Nhiều giải pháp đề xuất Một giải pháp hữu hiệu Firewall- tường lửa Vì chưa có kinh nghiệm q trinh soạn thảo, biên tập trình bày nên gặp nhiều thiếu sót Vì mong thầy bạn sinh viên bổ sung góp ý để giảng hoàn thiện Mọi ý kiến gửi địa chi mai sau: MỤC LỤC A Tổng quan tường lửa (Phụ trách: Nguyễn Thị Thắm) B Tường lửa Cá nhân (Phụ trách: Bùi Xuân Thanh + Đặng Thị Thu Trang) C Tường lửa tầng Mạng tầng Ứng dụng (Phụ trách: Nguyễn Văn Thiều+ Tống Thị Thu Nga) D Tường lửa có trạng thái phi trạng thái (Phụ trách: Đào Văn Hùng+ Dương Thị Phương Mai Chi) E Nguồn tham khảo A Tổng quan Firewall- Tường lửa Giới thiệu Firewall a Giới thiệu: Ngày nay, đâu nghe nói đến mạng Internet, phương tiện thơng tin đại chúng báo chí, phát thanh, truyền hình, Qua mạng Internet, người kinh doanh tiếp thị tồn cầu tiếp cận khối lượng thông tin khổng lồ, cập nhật thời gian nhanh Lợi ích Internet mạng lại không nhỏ, nguy hiểm tham gia vào mạng khơng Nguy hiểm ngày có nhiều mối đe dọa đến bảo mật mát thông tin Thông tin sống doanh nghiệp, tổ chức hay quốc gia Do thơng tin vơ giá, cách để bảo vệ chúng tránh mối nguy hiểm , giải pháp tốt xây dựng Firewall Sử dụng tường lửa (Firewall) để bảo vệ mạng, tránh cơng từ bên ngồi đảm bảo yếu tố:  An toàn cho hoạt động toàn hệ thống mạng  Bảo mật cao nhiều phương tiện  Khả kiểm soát cao  Đảm bảo tốc độ nhanh  Mềm dẻo dễ sử dụng  Trong suốt với người sử dụng  Đảm bảo kiến trúc mở b Firewall ? Một vài thuật ngữ: Mạng nội (Inernal network) : Bao gồm máy tính, thiết bị mạng Mạng máy tính thuộc đơn vị quản lý (Trường học, công ty, tổ chức, đoàn thể, ) nằm bên với firewall, mà thông tin đến từ máy thuộc đến máy khơng thuộc phải qua firewall  Host bên (Internal Host) : Máy thuộc mạng nội  Host bên (External Host) : Máy kết nối vào liên mạng khơng thuộc mạng nội nói Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn , hạn chế hỏa hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Một cách vắn tắt, Firewall hệ thống ngăn chặn việc truy nhập trái phép từ bên vào mạng kết nối không hợp lệ từ bên Firewall thực việc lọc bỏ địa không hợp lệ dựa theo quy tắc hay tiêu định trước Firewall thiết bị hệ thống phần cứng phần mềm kết hợp hai Tính chất chung Firewall phân biệt địa IP dựa gói tin hay từ chối việc truy nhập bất hợp pháp địa nguồn, việc tương tự với hoạt động tường ngăn lửa tòa nhà Tường lửa gọi Thiết bị bảo vệ biên giới (Border Protection Device -BPD), đặc biệt ngữ cảnh NATO, hay lọc gói tin (packet filter) hệ điều hành BSD- phiên Unix Đại học California, Berkeley Phần cứng:  Điển hình tường lửa mạng, thiết bị mở rộng đặt máy tính mạng cáp modem DSL Nhiều hãng nhà cung cấp dịch vụ Internet (ISP) đưa thiết bị “router” bao gồm tính tường lửa Tường lửa phần cứng sử dụng có hiệu việc bảo vệ nhiều máy tính mà có mức bảo mật cao cho máy tính đơn  Đối với tường lửa phần cứng, thân Gateway (cổng) Chiếc máy tính nhà bạn kết nối tới router router tiếp tục kết nối tới modem chủ, bạn thiết lập router thơng qua trình duyệt Web ISP thêm chức ngăn chặn địa IP hay lọc Vì định tuyến (router) có khả bảo mật cao  Nếu bạn có máy tính phía sau tường lửa, bạn chắn tất máy tính khác mạng cập nhật diệt miễn phí virus , worm mã nguy hiểm khác bạn khơng cần mở rộng bảo vệ phần mềm tường lửa Tường lửa phần cứng có ưu điểm việc phân chia thiết bị chạy hệ điều hành riêng, chúng cung cấp khả chống lại công  Tuy nhiên, mặt hạn chế lớn chúng chi phí, nhiều sản phẩm có giá thấp 100$(thậm chí có sản phẩm thấp 50$) Phần mềm :  Một vài hệ điều hành có tường lửa kèm theo, hệ điều hành bạn khơng có dễ dàng kiếm từ số cửa hàng máy tính hay hãng phần mềm nhà cung cấp dịch vụ Internet Vì có nhiều rủi ro việc download phần mềm từ Internet máy tính khơng bảo vệ nên tốt bạn nên cài đặt tường lửa từ CD, DVD đĩa mềm c Lịch sử  Công nghệ tường lửa bắt đầu xuất vào cuối năm 1980 Internet cơng nghệ mẻ theo khía cạnh kết nối sử dụng toàn cầu  Ý tưởng hình thành sau hàng loạt vụ xâm phạm nghiêm trọng an ninh liên mạng xảy vào cuối năm 1980  Năm 1988, nhân viên trung tâm nghiên cứu NASA Ames California gửi ghi nhớ qua thư điện tử tới đông nghiệp : “chúng ta bị VIRUS Internet công ! Nó đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, NASA Ames.” Con virus biết đến với tên Sâu Morris phát tán qua thư điện tử có khó chịu chung người dùng vô thưởng vô phạt Sâu Morris công không chuẩn bị cho công hồn tồn bị bất ngờ Sau đó, cộng đồng Internet định ưu tiên tối cao phải ngăn chặn không cho cơng xảy ra, họ bắt đầu cộng tác đưa ý tưởng mới, hệ thống phần mềm để làm cho mạng Internet trở lại an tồn  Năm 1988, báo công nghệ tường lửa công bố, JeffMogul thuộc Digital Equipment Corp phát triển hệ thống lọc biết đến với tên tường lửa lọc gói tin Hệ thống hệ mà sau trở thành tính kỹ thuật an toàn mạng phát triển cao  Từ năm 1980 đến năm 1990, hai nhà nghiên cứu phòng thí nghiệm AT&T Bell, Dave Presetto Howard Trickey, phát triển hệ tường lửa thứ hai, biết đến với tên tường lửa tầng mạch (circuit level firewall)  Các báo Gene Spafford Đại học Purdue, Bill Cheswick phòng thí nghiệm AT&T Marcus Ranum mô tả hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall) Nghiên cứu công nghệ Marcus Ranum khởi đầu cho việc tạo sản phẩm thương mại Sản phẩm Digital Equipment Corporantion’s (DEC) phát hành với tên SEAL Đợt bán hàng lớn DEC vào ngày 13 tháng năm 1991 cho cơng ty hóa chất bờ biển phía Đơng Mỹ  Tại AT&T , Bill Cheswick Steve Bellovin tiếp tục nghiên cứu họ lọc gói tin phát triển mơ hình chạy cho cơng ty họ, dựa kiến trúc hệ tường lửa thứ Năm 1992, Bob Braden Annette DeSchon Đại học Nam California phát triển hệ thống tường lửa lọc gói tin hệ thứ tư Sản phẩm có tên “Visas” hệ thống có giao diện với màu sắc biểu tưởng, dễ dàng cài đặt thành phần mềm cho hệ điều hành chẳng hạn Microsoft Windows Mac/OS Apple truy nhập từ hệ điều hành Năm 1994, cơng ty Israel có tên Check Point Software Technologies xây dựng sản phẩm thành phần mềm sẵn sàng cho sử dụng, Firewall-1 Một hệ thứ hai tường lửa proxy dựa công nghệ Kernel Proxy Thiết kế liên tục cải tiến tính mã chương trình sử dụng rộng rãi hệ thống máy tính gia đình thương mại Cisco, công ty an ninh mạng lớn giới phát hành sản phẩm năm 1997  Thế hệ FireWall-1 tạo thêm hiệu lực cho động kiểm tra sâu gói tin cách chia sẻ chức với hệ thống ngăn chặn xâm nhập Chức Chức tường lửa kiểm sốt giao thơng liệu hai vùng tin cậy khác Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng khơng đáng tin cậy) mạng nội (một vùng có độ tin cậy cao) Mục đích cuối cung cấp kết nối có kiểm sốt vùng với độ tin cậy khác thông qua việc áp dụng số sách an ninh mơ hình kết nối dựa nguyên tắc quyền tối thiểu (principle of least privilege) Cụ thể là:  Cho phép cấm dịch vụ truy nhập (từ Intranet Internet)  Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet)  Theo dõi luồng liệu mạng Intranet Internet  Kiểm soát địa truy nhập, cấm địa truy nhập  Kiểm soát người sử dụng việc truy nhập người sử dụng Kiểm sốt nội dung thơng tin lưu chuyển mạng Lý sử dụng tường lửa  Mạng Internet ngày phát triển phổ biến rộng khắp nơi, lợi ích lớn Tuy nhiên có nhiều ngoại tác không mong muốn cá nhân cha mẹ hay tổ chức, doanh nghiệp, quan nhà nước, trang web không phù hợp lứa tuổi , nhiệm vụ, lợi ích, đạo đức, pháp luật trao đổi thông tin bất lợi cho cá nhân, doanh nghiệp, Do họ sử dụng tường lửa để ngăn chặn  Một lý khác số quốc gia theo chế độ độc tài, độc đảng áp dụng tường lửa để ngăn chặn quyền trao đổi, tiếp cận thơng tin cơng dân nước khơng cho họ truy cập vào trang web trao đổi với bên ngoài, điều mà nhà cầm quyền cho khơng có lợi cho chế độ  Ngăn chặn ngoại tác không mong muốn Ngăn chặn truy cập trái phép, công lấy cắp liệu, đánh sập mạng máy tính hacker  Bảo vệ chống lại kẻ cơng từ bên ngồi cách chặn mã nguy hiểm lưu lượng Internet khơng cần thiết vào máy tính hay mạng Tường lửa thực quan trọng quốc gia, tổ chức, quan, công ty thường xuyên kết nối Internet Phương thức hoạt động chung  Để ngăn chặn trang web không mong muốn, trao đổi thông tin không mong muốn người ta dùng cách lọc địa web không mong muốn mà họ tập hợp lọc nội dung thông tin trang thơng qua từ khóa để ngăn chặn người dùng không mong muốn truy cập vào mạng cho phép người dùng hợp lệ thực việc truy xuất  Bức tường lửa thiết bị định hướng (Router, thiết bị kết nối hai hay nhiều mạng chuyển thông tin mạng này) hay máy chủ (Server), bao gồm phần cứng phần mềm nằm hai mạng (chẳng hạn mạng Internet) mạng liên kết gia đình , điểm kinh doanh Internet , tổ chức, công ty, hệ thống Ngân hàng, quan nhà nước  Cơ quan nhà nước lập tường lửa từ cổng Internet quốc gia yêu cầu nhà cung cấp dịch vụ đường truyền (IXP) cung cấp dịch vụ Internet (ISP) thiết lập hệ thống tường lửa hữu hiệu yêu cầu đại lý kinh doanh Internet thực biện pháp khác Các thành phần Firewall chuẩn bao gồm hay nhiều thành phần sau đây:  Bộ lọc gói tin (packet- filtering router)  Cổng ứng dụng (application- level gateway hay proxy server)  Cổng vòng (circuite level gateway) 5.1 Bộ lọc gói tin (packet- filtering router) a Ngun lý  Khi nói đến việc lưu thơng liệu mạng với thơng qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS, ) thành gói liệu (data pakets) gán cho packet địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng  Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thỏa mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (packet header), dùng phép truyền packet mạng Đó là:  Địa IP nơi xuất phát (IP Source address)        Địa IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP (ICMP message type) Giao diện packet đến (incomming interface of packet) Giao diện packet (outcomming interface of packet) Nếu luật lệ lọc packet thỏa mãn packet chuyển qua Firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm sốt cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP, ) phép chạy hệ thống mạng cục b Ưu điểm  Đa số hệ thống Firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router  Ngoài , lọc packet suốt người sử dụng ứng dụng , khơng u cầu huấn luyện đặc biệt c Nhược điểm - Việc định nghĩa chế độ lọc package việc phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ Internet, dạng packet header, giá trị cụ thể nhận trường - Do làm việc dựa header packet, rõ ràng lọc packet không kiểm sốt nội dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 5.2 Cổng ứng dụng(application- level gateway hay proxy server) a Nguyên lý  Một dạng phổ biến Firewall dựa ứng dụng application-proxy Loại hoạt động khác với Firewall dựa định tuyến lọc gói tin Application gateway  Phải, công diễn liên tục Một nghiên cứu gần Trung tâm nghiên cứu nguy hiểm độ tin cậy Đại học Maryland Clark School kết hợp với Viện nghiên cứu hệ thống tìm rằng, khoảng 39 phút lại có cơng hacker tiến hành nhắm vào máy tính có kết nối Internet “Dữ liệu cung cấp chứng đáng tin cậy cho thấy hoạt động công diễn không ngừng nghỉ với tất máy tính nối mạng Internet”, Michel Cukier - tác giả nghiên cứu đồng thời giáo sư cơng trình giảng dạy trường đại học nói Các máy tính nghiên cứu Cukier bị cơng, trung bình 2.244 lần/ngày  Thời kỳ cơng virus qua e-mail dường q ơn hồ dịu nhẹ so sánh với đe doạ nguy hiểm bảo mật ngày “Các nguy không giảm”, Richard Weiss - giám đốc marketing sản phẩm bảo mật CheckPoint Software khẳng định “Chúng chứng kiến thay đổi rõ ràng kiểu cơng Bây khơng kiểu trẻ ham danh tập phá hoại mà tinh vi chuyên nghiệp Bởi chúng chuyển hướng mục tiêu từ ham hố trội, chứng tỏ lĩnh sang lợi nhuận, kiếm tiền từ giới ngầm thông qua lấy cắp mua bán liệu doanh nghiệp, thông tin mật” Trojan phổ biến gấp lần virus worm, theo báo cáo hãng sản xuất phần mềm diệt virus Shophos Tỷ lệ tăng gấp hai lần so với nửa đầu năm 2005  Máy tính xách tay du lịch thường kết nối tới nhiều mạng cục khác nhau, có dây khơng dây “Chúng mạng mà doanh nghiệp kiểm soát được”, Monte Robertson - chuyên gia tư vấn Software Security Solutions nhà phân phối sản phẩm bảo mật tự lưu ý Đã đến lúc công ty nên bắt đầu kế hoạch bảo vệ thiết bị di động, laptop PDA, với phương thức phân lớp dùng cho mạng doanh nghiệp  Hai phương thức bản: - Cái khó lựa chọn phương pháp kết hợp hiệu sản phẩm bảo vệ dành cho máy để bàn cân thuận tiện, bảo mật đơn giản Có hai phương thức hãng bảo mật cung cấp mà dùng phổ biến - Phương thức thứ sử dụng thiết bị phần cứng để bảo vệ vành đai, hay biên giới mạng làm việc chung với phần mềm máy để bàn Các thiết bị hồn tồn sử dụng phạm vi rộng hãng lớn CheckPoint, Cisco, Juniper Symantec Ưu điểm phương thức hãng đơn lẻ kiểm soát bảo mật vành đai bảo mật desktop Nhưng vậy, xét khía cạnh khác, nhiều cơng ty khơng tìm cho thành phần phù hợp mà họ cần - Lựa chọn thứ hai sử dụng phần mềm bảo mật hoạt động với cổng vào doanh nghiệp giải pháp diệt virus trung tâm hố Ví dụ, phần mềm là:  Symantec Client Security v3.1  McAfee Host IPS for desktops v6.0.1  Windows Live OneCare 17 - Cái hay phương thức người dùng không cần cài đặt hay cấu hình thành phần hệ thống riêng họ Các phần mềm doanh nghiệp (hoặc trường hợp Windows Live, dịch vụ tảng Web) quản lý chương trình update riêng Như có nghĩa sở liệu dấu hiệu công update tự động cách tập trung để chương trình bảo vệ ln thực công việc Điểm hạn chế phương thức giải pháp thường bị tổn thương khơng có chương trình bảo vệ tốt hội khai thác bị tuột qua Thêm vào đó, chúng khơng hỗ trợ tất phiên cũ Windows - Các nhà quản lý IT tìm kiếm phương thức kiểm sốt PC khơng chịu quản lý máy tính người làm việc nhà hay người làm việc tạm thời khơng phải nhân viên thức “Một vài năm trước, sau công sâu Blaster họ phát rằng, hệ thống dò tìm xâm phạm diệt virus truyền thống trở nên đơn giản khơng có tác dung”, Weiss khẳng định  Các điểm yếu Windows Firewall: - Nhược điểm lớn Windows Firewall dựa tường lửa cá nhân tích hợp sẵn Windows (hoặc Mac OS) Nhãn “cá nhân” khiến Windows Firewall phân biệt với tường lửa doanh nghiệp, có nhiệm vụ bảo vệ tồn mạng công ty trước công Phiên cá nhân chạy máy tính để bàn - Dựa tường lửa cá nhân dựng sẵn hệ điều hành cung cấp giải pháp bảo mật hay, người dùng dễ dàng tắt tường lửa (do tình cờ có chủ đích) mà quên bật lại chúng cần Với nhiều phiên hệ điều hành cũ, cụ thể Windows XP số phiên trước nữa, tường lửa dựng sẵn thường cung cấp chương trình bảo vệ khơng làm hài lòng người dùng, chí đem lại cảm giác an tồn sai - Ví dụ, Windows XP bắt đầu tích hợp sẵn tường lửa với hệ điều hành từ Service Pack trở lên Tuy nhiên, tường lửa XP bảo vệ kết nối bên khơng ngăn chặn nguy hiểm đến từ bên ngồi đường biên mạng Tức là, nguy hiểm tiềm ẩn nào, lý tìm cách thâm nhập vào ổ cứng người dùng tiến đến chiếm quyền kiểm sốt máy tính sử dụng máy tính để gửi công hay tham gia botnet “Yếu tố quan trọng then chốt bảo mật máy tính bảo vệ mạng trước công từ bên ngồi đường biên, nơi thơng tin nhạy cảm ngoài” (Robertson) - “SP2 vá nhiều lỗi, giúp XP mạnh Internet Explorer an toàn nhiều”, Igor Pankov - quản lý tiếp thị sản phẩm Agnitum nhận xét “Nhưng SP2 khơng làm nhiều để nâng cao tổng thể tính bảo mật hợp nhất, malware, dù hay nhiều ln gửi liệu cá nhân biên giới mạng” - Vista dịch vụ quản lý Windows Live OneCare tích hợp sẵn tường lửa riêng với khả nâng cao chút Nhưng Vista firewall mặc định bảo vệ kết nối đường biên Có thể cấu hình chương trình bảo vệ ngồi đường biên khơng đơn giản phần vượt tầm người dùng mức trung bình “Vista kế thừa nhiều tính an toàn phiên 18 Windows trước, chưa phải hoàn hảo”, Shane Coursen - chuyên gia tư vấn kỹ thuật nhiều kinh nghiệm Kaspersky Labs cho hay - Cân vấn đề an toàn dễ sử dụng tạo thị trường thay tường lửa tích hợp sẵn Windows Các chương trình sử dụng cho người dùng từ xa hay người hay lưu động, làm việc bên mạng nội tổ chức họ  Tường lửa cá nhân nhóm thứ ba: - Hai phương thức không đáp ứng yêu cầu thay vào đó, phương thức thứ ba sử dụng thường xuyên: kết hợp tường lửa mạnh desktop với thiết bị bảo mật trung tâm hố phần mềm bảo mật Đây vấn đề cốt lõi sản phẩm bảo mậthiện có thị trường, sản phẩm Cisco, Consentry, Juniper, Lockdown Networks Mirage Networks Tất triển khai công cụ giám sát trạng thái thiết bị mạng đảm bảo cho chúng an toàn - Nhưng giải pháp thường tốn tốn lượng lớn thời gian để triển khai Một lựa chọn tốt sử dụng tường lửa cá nhân nhóm thứ ba Zone Labs CheckPoint Software, Panda Software, Prevx số hãng khác bảng tóm tắt đây: Sản phẩm Địa (URL) Thành phần Pandasoftware.com Hỗ trợ Windows 98/2000, phiên doanh nghiệp Zonelabs.com Có phiên miễn phí (chỉ tường lửa) thu tiền; sản phẩm bao gồm chương trình bảo vệ IM antivirus/spyware Prevx v1.0 Prevx.com Ngăn chặn miễn phí, 25 USD năm thay đổi hay dàn xếp lại Jetico Personal Firewall v1.01 Jetico.com Miễn phí, dùng cho Win98/2000 Panda Software Client Shield 2006 Zone Alarm Internet Security Suite v7.0, CheckPoint Integrity 19 Agnitum Outpost v4.0 Pro Kaspersky Internet Suite v6.0 Agnitum.com Dùng cho Windows 64-bit Win98/2000; Chức năng: antimalware/spyware Kaspersky.com Dành cho Windows 64bit hỗ trợ Vista; thành phần: antimalware/spyware  Sản phẩm tường lửa cá nhân nhóm thứ ba: - Lợi ích từ việc sử dụng sản phẩm thể thực tế Chúng giúp bảo vệ hiệu máy để bàn ngăn chặn tốt việc khai thác lỗ hổng ze-ro day trước khả công nhiều người qua mạng doanh nghiệp - Một ví dụ điển hình công ty viễn thông VAR Tele-Verse dùng phần mềm diệt virus Norton Symantec để bảo vệ hàng loạt máy Windows 2000 20-plus khoảng tháng trước đây, máy tính phát bị cơng virus phát tán toàn máy công ty “Chúng phải bỏ gần ngày trời để tìm kiếm chương trình diệt virus này, kể update phiên Norton tất cá máy”, Scott Rendell - quản lý hoạt động Tele-Verse kể lại “Cuối chúng tơi tìm Prevx cứu cơng ty Nó làm việc dễ dàng nhanh chóng phát vấn đề, cách ly virus Chúng không gặp phải phiền phức từ sau lần đó” - Prevx kiểm tra thường xuyên update có dấu hiệu phát hoạt động tựa virus ứng dụng Một số sản phẩm tường lửa cá nhân nhóm thứ ba khác bắt đầu kết hợp chặt chẽ với kỹ thuật tương tự Và nhà nghiên cứu bảo mật bỏ nhiều thời gian để kiểm tra tìm kiếm cách loại bỏ malware mà khơng cần đòi hỏi dấu hiệu cụ thể - Tìm tường lửa cá nhân tốt khơng đơn giản Các nhà quản lý IT cần kiểm tra lượng lớn cấu hình desktop ứng dụng trước có định Chúng phải đảm bảo hai yếu tố: bảo vệ sử dụng hoạt động tin học thường ngày không “Thách thức nằm chỗ, tối thiểu hoá gánh nặng quản lý phần mềm bổ sung cho chương trình bảo vệ desktop bổ sung”, Weiss CheckPoint phân tích “Các doanh nghiệp ln có giới hạn định số lượng khác phần mềm họ muốn hỗ trợ” - Người ta tiến hành số kiểm tra thử nghiệm độc lập để xác định tính hiệu tường lửa cá nhân Một số Firewall Leak Tester Một loạt sản phẩm khác đưa chương trình kiểm tra nhằm xác định liệu tường lửa ngăn chặn số kiểu công cụ thể từ đe doạ Các nhà quản lý IT đánh giá chương trình kiểm tra xác định độ mạnh tương ứng sản phẩm 20 - Một điểm đáng ngạc nhiên phát từ chương trình kiểm tra khác nhiều miễn phí trả tiền Zone Alarm Bản miễn phí loại bỏ 27 kiểu công khác trả tiền loại bỏ thêm gần 20 kiểu - Tường lửa cá nhân đánh giá top đầu Jetico Tường lửa miễn phí hồn tồn khơng dễ cấu hình Nếu sử dụng sản phẩm này, nhà quản lý IT cần đến nhiều thời gian để thiết lập đưa vào hoạt động cho người dùng Chương trình kiểm tra cho thấy, Jetico khó cấu hình, với người dùng dùng ứng dụng đa chức Internet e-mail Web browsing - Hai tường lửa top đầu khác Outpu Pro firewall Agnitum Internet Suite Kaspersky Labs Cả hai sản phẩm thương mại, tung thị trường vài năm Cả hai tích hợp tường lửa cá nhân với chương trình diệt virus chống spyware Kaspersky hỗ trợ Vista phiên Windows cũ - Một số hãng sản xuất bắt ðầu ðýa týờng lửa cá nhân vào nhý phần giải pháp bảo mật hợp tổng thể cho công ty Thýờng họ phân phối phần mềm bảo mật điểm cuối tốt đơn giản kết hợp dòng sản phẩm doanh nghiệp cá nhân riêng rẽ lại với Một ví dụ trường hợp Symantec với Client Security, Integrity CheckPoint Software Open Space Security Kaspersky Cả ba dòng tường lửa cá nhân kết hợp với công cụ quản lý doanh nghiệp tổng thể - Vấn đề không nằm chỗ bạn chọn sản phẩm nào, mà quan trọng nhanh chóng bắt đầu đánh giá tường lửa cá nhân “Với laptop, bạn nên lựa chọn giải pháp bảo mật tốt với chức anti-virus, anti-spyware firewall”, Robertson Software Security Solutions khẳng định “Đã đến lúc bắt đầu suy nghĩ yêu cầu cần thiết đòi hỏi tường lửa cá nhân với vai trò cơng cụ quan trọng cho người dùng từ xa” - Yêu cầu cân sức mạnh tường lửa cá nhân với tiện dụng tạo thị trường cho sản phẩm thay tường lửa tích hợp Windows, loại tường lửa mà người quản trị mạng giới thiệu cho tất người làm việc từ xa người làm bán thời gian C TƯỜNG LỬA TẦNG MẠNG VÀ TẦNG ỨNG DỤNG ( NETWORK LAYER FIREWALL + APPLICATION LAYER FIREWALL)  Ví dụ cụ thể cho tường lửa tầng Mạng iptables 21  Một số chức iptables: - Tích hợp tốt với Linux kernel, để cải thiện tin cậy tốc độ chạy iptables - Quan sát kỹ tất gói liệu Điều cho phép firewall theo dõi kết nối thong qua nó, dĩ nhiên xem xét nội dung luồng liệu để từ tiên liệu hành động giao thức Điều quan trọng việc hỗ trợ giao thức FTP, DNS… - Lọc gói dựa địa MAC cờ TCP header Điều giúp ngăn chặn việc cơng cách sử dụng gói dị dạng ( malformed packets ) ngăn chặn việc truy cập nội đến mạng khác bất chấp ip - Ghi chép hệ thống ( system logging ) cho phép việc điều chỉnh mức độ báo cáo - Hỗ trợ việc tính hợp chương trình Web proxy chẳng hạn Squid - Ngăn chặn kiểu công từ chối dịch vụ  Khởi động iptables: 22  Gói iptables: - Mangle: chịu trách nhiệm thay đổi bits chất lượng dịch vụ TCP header TOS ( type of service ), TTL ( time to live ), MARK - Filter : chịu trách nhiệm lọc gói liệu Nó gồm có quy tắc nhỏ ( chain ) để giúp bạn thiết lập nguyên tắc lọc gói, gồm:  Forward chain: lọc gói đến server khác  Input chain : lọc gói vào server  Output chain : lọc gói khỏi server - NAT : gồm có loại :  Pre-routing chain : thay đổi địa đến gói liệu cần thiết  Post-routing chain : thay đổi địa nguồn gói liệu cần thiết  Xử lý gói iptables:  Đường gói liệu: 23  Targets: - Targets hành động diễn gói liệu kiểm tra phù hợp với yêu cầu Khi target nhận dạng, gói liệu cần nhảy (jump) để thực xử lý Bảng sau liệt kê targets mà iptables thường sử dụng - Accept: iptables ngừng xử lý gói liệu chuyển tiếp vào ứng dụng cuối hệ điều hành để xử lý - Drop: iptables ngừng xử lý gói liệu bị chặn loại bỏ - Log: thơng tin gói đưa vào syslog để kiểm tra Iptables tiếp tục xử lý gói với quy luật Tùy chọn: “ –log-prefix “string” ” Iptables thêm vào log message chuỗi người dùng định sẵn (thông thường để thông báo lý gói bị bỏ ) - Reject: tương tự drop gửi cho người gửi thơng báo gói bị chặn loại bỏ Tùy chọn: “ –reject-with qualifier ”, tham số qualifier cho biết loại thông báo gửi trả lại phía gửi Qualifier gồm loại sau: icmp-portunreachable ( default ), icmp-net-unreachable, icmp-host-unreachable, icmp-protounreachable, icmp-net-prohibited, icmp-host-prohibited, tcp-reset, echo-reply 24 - - - DNAT: dùng để thực destination network address translation, địa đích gói liệu viết lại Tùy chọn : “ –to-destination ipaddress ”, iptables viết lại địa ipaddress vào địa đích gói liệu SNAT: dùng để thực source network address translation, viết lại địa nguồn gói liệu Tùy chọn : “ –to-source [-][:-] ”, miêu tả ip port viết lại iptables Masquerade: dùng để thực source network address translation Mặc định địa IP nguồn giống IP nguồn firewall Tùy chọn : “ [ to-ports []] ”, ghi rõ tầm port nguồn mà port nguồn gốc ánh xạ  Các tham số chuyển mạch iptables:  Các điều kiện TCP UDP:  Điều kiện ICMP: 25  Các điều kiện mở rộng:  Sử dụng quy tắc (chain) tự định nghĩa: - Thay sử dụng chain xây dựng iptables, ta sử dụng User Defined chains để định nghĩa chain name mô tả cho tất protocol-type cho packet - Ta sử dụng UDC thay chain dài dòng cách sử dụng chain đến nhiều chain  Lưu iptables script: - Lệnh service iptables save để lưu trữ cấu hình iptables file /etc/sysconfig/iptables - Khi ta khởi động lại chương trình iptables-restore đọc lại file script kích hoạt lại thơng tin cấu hình  Phục hồi script bị mất script file: 26  - Đầu tiên, ta phải lưu script lại ( dùng lệnh iptables-save > script_name Sau đó, ta xem lại script_name vừa lưu, dùng lệnh cat script_name Một số module Kernel cần thiết cho iptables: Iptables_nat module cho NAT Ip_conntrack_ftp module cần cho FTP support Ip_conntrack module để theo dõi trạng thái TCP connect Ip_nat_ftp module cần cho việc load FTP servers sau NAT firewall D TƯỜNG LỬA CÓ TRẠNG THÁI VÀ TƯỜNG LỬA PHI TRẠNG THÁI (STATELESS FIREWALL - STATEFUL FIREWALL) Tường lửa phi trạng thái (staleless firewall)  Tường lửa phần quan trọng hệ thống an ninh mạng, hầu hết lưu lượng liệu thơng qua chúng, tường lửa phi trạng thái phổ biến loại tương lửa, thệ hệ tường lửa lọc gói tin  Tường lửa phi trạng thái theo dõi lưu lượng so sánh gói tin với quy tắc từ sở liệu nó, cho phép nhận gói tin dựa địa nguồn cổng từ mạng tin cậy  Được giới thiệu để tạo nên nhiều linh hoạt cho việc cấu hình mạng, đồ thị cung cấp mức độ theo dõi stateless firewall, theo dõi đến lớp thứ mơ hình OSI tức lớp mạng , theo dõi thông tin mạng dựa địa IP nguồn địa đích giao thức cổng nguồn -cổng đích  Không quan tâm tới cờ IP, chúng xem xét kết nối đến cổng số 80 máy chủ web cho qua báo cáo, khơng thể ngừng máy chủ web từ kết nối từ nơi sử dụng cổng 80 cổng nguồn  Cho phép kết nối trực tiếp từ mạng bên đến máy chủ bên tích hợp phần mềm cấu hình router hệ điều hành nguồn mở  Phân tích gói tin đến tách biệt độc lập với kết nối TCP dòng liệu theo sau 27  Nó khơng thể nhận biết gói trước vốn tạo nguy hiểm từ công lừa đảo IP, trừ chúng có thiết lập chuyên biệt để ngăn cản điều  Đặc điểm bảo mật khơng đầy đủ  Có chi phí thấp tôc độ xử lý cao, giá thành rẻ Tường lửa có trạng thái (stateful firewall)  Ra đờitrước tường lửa trạng thái tường lửa phi trạng thái lập với khung hình mạng (gói) Bộ lọc gói tin hoạt động lớp mạng (lớp 3) hoạt động hiệu chúng nhìn vào phần header gói tin  Ví dụ cổ điển hoạt động mạng thất bại với tường lửa phi trạng thái File Transfer Protocol (FTP) Theo thiết kế, giao thức cần để mở kết nối đến cổng cao tùy ý để hoạt động xác.Khi tường lửa phi trạng thái khơng có cách biết gói tin đến mạng lưới bảo vệ phần phiên FTP hợp pháp, thả gói tin Tường lửa trạng thái giải vấn đề cách trì bảng kết nối mở kết hợp thơng minh yêu cầu kết nối với kết nối hợp pháphiện  Người phát minh tường lửa trạng thái thường tham gia vào Nir Zuk nhóm nghiên cứu ơng điểm kiểm tra vào năm 1990.Nỗ lực sản xuất tường lửa hoạt động lớp ứng dụng, phần đầu mơ hình OSI bảy lớp Phương pháp yêu cầu chi phí cao tính toán sử dụng việc triển khai đại Một tường lửa trạng thái tổ chức thuộc tính quan trọng kết nối nhớ, từ đầu đến cuối Những thuộc tính này, gọi trạng thái kết nối, bao gồm chi tiết địa IP cổng liên quan đến kết nối số thứ tự gói liệu qua kết nối Việc kiểm tra CPU chuyên sâu thực thời gian thiết lập kết nối Tất gói sau xử lý nhanh chóng đơn giản nhanh chóng để xác định xem thuộc phiên tồn chưa trước sàng lọc, Sau phiên kết thúc mục bảng trạng thái loại bỏ  Các tường lửa trạng thái phụ thuộc vào bắt tay ba chiều giao thức TCP giao thức sử dụng TCP, giao thức UDP, tường lửa trạng thái khơng phụ thuộc vào điều liên quan đến TCP Khi khách hàng khởi tạo kết nối mới, gửi gói liệu với thiết lập bit SYN phần header gói tin Tất gói liệu với thiết lập bit SYN xem xét 28 tường lửa kết nối Nếu dịch vụ mà khách hàng yêu cầu có sẵn máy chủ, dịch vụ trả lời gói tin SYN với gói tin có SYN ACK bit thiết lập Các khách hàng sau trả lời với gói tin có bit ACK thiết lập, kết nối nhập vào trạng thái thành lập Một tường lửa vượt qua tất gói tin gửi thơng qua, cho phép gói tin đến chúng phần kết nối thành lập, tin tặc bắt đầu kết nối không mong muốn với máy bảo vệ  Để ngăn chặn bảng trạng thái tự làm đầy lên, phiên thời gian khơng có lưu lượng truy cập thông qua thời gian định Những kết nối cũ loại bỏ từ bảng trạng thái Do đó, nhiều ứng dụng gửi thông báo keepalive định kỳ để ngăn chặn tường lửa từ bỏ kết nối thời gian không hoạt động với người sử dụng, số tường lửa hướng dẫn để gửi thông báo cho ứng dụng Nhiều tường lửa trạng thái theo dõi trạng thái dòng chảy giao thức kết nối UDP lỗ đục lỗ kỹ thuật kết hợp với UDP Phiên thường có trạng thái thiết lập sau gói tin nhìn thấy tường lửa Các phiên giao thức kết nối kết thúc thời gian nghỉ  Bằng cách theo dõi trạng thái kết nối, tường lửa trạng thái cung cấp thêm hiệu kiểm tra gói tin Điều cho kết nối có tường lửa cần kiểm tra bảng trạng thái, thay kiểm tra gói liệu so với quy tắc tường lửa, mở rộng Ngồi ra, khái niệm kiểm tra gói tin sâu khơng liên quan đến tường lửa trạng thái, tính trạng thái nó, kiểm tra lưu lượng truy cập đến chống lại trạng thái bảng thay nhảy vào quy tắc tường lửa Trong trường hợp bảng trạng thái phù hợp, sau khơng cần kiểm tra gói sâu nữa, trạng thái kiểm tra gói thường đạt cách sử dụng thiết bị tăng tốc ASIC thiết kế đặc biệt để xử lý giao dịch lớp ứng dụng Tuy nhiên, lọc gói không coi cung cấp bảo vệ đủ Để có hiệu ngăn chặn lưu lượng mạng peer-to-peer liên quan đến, cần thiết tường lửa lọc ứng dụng, coi phần mở rộng để kiểm tra trạng thái gói tin Kiểm tra trạng thái gói tin xác định loại giao thức gửi qua cổng, cấp ứng dụng lọc nhìn vào giao thức sử dụng cho Ví dụ, lọc ứng dụng có thể cho biết khác biệt giao thông HTTP sử dụng để truy cập vào trang Web lưu lượng truy cập HTTP sử dụng để chia sẻ tập tin, tường lửa mà thực lọc gói tin xử lý tất lưu lượng HTTP  Tường lửa ứng dụng khác từ trạng thái gói tin lọc mạch cấp cổng số cách Tường lửa lớp ứng dụng hỗ trợ nhiều proxy ứng dụng tường lửa Các proxy ngồi máy khách máy chủ, qua liệu hai thiết bị đầu cuối Dữ liệu đáng ngờ giảm xuống máy khách máy chủ không giao tiếp trực tiếp với Proxy ứng dụng minh bạch cho khách hàng máy chủ, khơng có cấu hình u cầu máy khách máy chủ, khơng minh bạch, cho phép địa máy khách máy chủ 29 máy chủ proxy trực tiếp Minh bạch so với không minh bạch vấn đề thực che giấu địa chỉ, an ninh  Nhược điểm tường lửa có trạng thái  Một nhược điểm lọc gói tin túy chúng khơng có trạng thái, khơng có nhớ gói tin trước mà làm cho chúng dễ bị công giả mạo Một tường lửa khơng có cách biết có gói tin đưa phần kết nối tồn rồi, cố gắng để thiết lập kết nối mới, gói tin giả mạo Tường lửa đại kết nối để nhận biết cung cấp cho quản trị viên mạng lưới kiểm soát chi tiết mạng lưới giao thông mạng E       TÀI LIỆU THAM KHẢO http://vi.wikipedia.org/wiki/T%C6%B0%E1%BB%9Dng_l%E1%BB%ADa http://en.wikipedia.org/wiki/Firewall_%28computing%29 http://en.wikipedia.org/wiki/Application_layer_firewall http://en.wikipedia.org/wiki/Stateful_firewall http://en.wikipedia.org/wiki/Proxy_server http://en.wikipedia.org/wiki/Network_address_translation 30                      http://en.wikipedia.org/wiki/Access_control_list http://en.wikipedia.org/wiki/Bastion_host http://en.wikipedia.org/wiki/Circuit-level_gateway http://en.wikipedia.org/wiki/Circuit-level_gateway http://en.wikipedia.org/wiki/Computer_security http://en.wikipedia.org/wiki/Egress_filtering http://en.wikipedia.org/wiki/End-to-end_connectivity http://en.wikipedia.org/wiki/Firewall_pinhole http://en.wikipedia.org/wiki/Firewalls_and_Internet_Security http://en.wikipedia.org/wiki/Golden_Shield_Project http://en.wikipedia.org/wiki/List_of_Linux_router_or_firewall_distributions http://en.wikipedia.org/wiki/Mangled_packet http://en.wikipedia.org/wiki/Vulnerability_scanner http://en.wikipedia.org/wiki/Packet_%28information_technology%29 http://en.wikipedia.org/wiki/Personal_firewall http://en.wikipedia.org/wiki/Sandbox_%28computer_security%29 http://en.wikipedia.org/wiki/Screened-subnet_firewall http://en.wikipedia.org/wiki/Unified_threat_management http://en.wikipedia.org/wiki/Virtual_firewall http://www.faqs.org/faqs/firewalls-faq/ http://en.wikipedia.org/wiki/Iptables 31 ... servers sau NAT firewall D TƯỜNG LỬA CÓ TRẠNG THÁI VÀ TƯỜNG LỬA PHI TRẠNG THÁI (STATELESS FIREWALL - STATEFUL FIREWALL) Tường lửa phi trạng thái (staleless firewall)  Tường lửa phần quan trọng... đến gói tin cách riêng rẽ, có hai loại tường lửa: Tường lửa có trạng thái (Stateful firewall) Tường lửa phi trạng thái (Stateless firewall) Hạn chế Firewall Firewall không đủ thông minh người để... B TƯỜNG LỬA CÁ NHÂN Tường lửa Cá nhân (Personal Firewall) :  Một tường lửa cá nhân ứng dụng điều khiển lưu lượng mạng đến từ máy tính, cho phép từ chối giao tiếp dựa sách an ninh  Một tường lửa