Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Mục Lục TỔNG QUAN VỀ TƯỜNG LỬA Các mối nguy hiểm cách phòng tránh .2 1.1.Các mối nguy hiểm 1.2 Các giải pháp bảo mật dành cho mạng máy tính Firewall gì? 2.1.Khái niệm 2.2 Chức Cấu trúc nguyên lý hoạt động 3.1 Cấu trúc 3.2 Nguyên lý hoạt động .7 3.2.1 Bộ lọc paket (Paket filterring router) .7 3.2.2 Cổng ứng dụng ( Application-level gateway hay proxy server ) 3.2.3 Cổng vòng ( Circuite level gateway ) 10 Ứng dụng Cách thức vượt firewall 10 4.1.Ứng dụng 10 4.2 Vượt firewall 14 4.2.1 Sử dụng trang web trung gian .14 4.2.2 Thay đổi địa proxy trình duyệt: 14 Một số loại firewall .15 5.1.Phân loại 15 5.2 Những kiến trúc firewall .22 Kết Luận 26 Tài liệu tham khảo 27 Page Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview TỔNG QUAN VỀ TƯỜNG LỬA Các mối nguy hiểm cách phòng tránh 1.1.Các mối nguy hiểm Tấn cơng có mục tiêu cơng khơng có mục tiêu Sự khác hai kiểu công nằm mục đích kẻ cơng Kẻ cơng có mục tiêu tìm cách để đạt mục đích bạn có ngăn chặn Những cơng khơng có mục tiêu thường khơng có chủ đích rõ ràng, kẻ cơng thường rà sốt hệ thống dễ cơng có nhiều lỗi hổng Nếu hệ thống bảo vệ tốt kẻ cơng từ bỏ chuyển sang mục tiêu Khác với cơng khơng có mục tiêu, cơng có mục tiêu nguy hiểm nhiều Bởi kẻ cơng có nhiều mục đích để cơng, tiền bạc, trả thù, đối thủ bạn thuê để phá hoại Những kẻ tìm cách để cơng bạn, bạn có bảo vệ đến đâu không từ bỏ Cách tốt để chặn công loại nhờ đến pháp luật Virus, worm trojan Virus máy tính (hay thường gọi tắt virus): chương trình hay đoạn mã thiết kế để tự nhân chép vào đối tượng lây nhiễm khác file, thư mục, ổ đĩa Nó sử dụng để đánh cắp thông tin nhạy cảm, mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển máy tính Đặc điểm quan trọng virus khơng thể tự động lây lan mà ban đầu cần tác động người phép hoạt động Worm (sâu máy tính): tương tự virus có khả tự nhân lây lan Điểm đặc biệt nó lây lan qua hệ thống mạng virus khơng thể Nhiệm vụ worm phá hoại mạng thông tin làm giảm khả hoạt động hay hủy hoại tồn mạng Một điểm khác biệt worm virus khơng cần tác động người mà hoạt động Trojan: Là chương trình tương tự virus, khác khơng thể tự nhân Trojan ẩn vào chương trình tin cậy bạn thực thi chương trình trojan khởi động Mục đích trojan đánh cắp thông tin cá nhân password, số tài khoản gửi cho kẻ phát tán "âm thầm" mở kết nối cho tin tặc Virus, worm trojan phòng chống cách sử dụng firewall phần mềm diệt virus có tích hợp sẵn firewall Nội dung độc hại phần mềm độc hại Nội dung độc hại nội dung văn viết nhằm mục đích bất Thơng thường u cầu người dùng làm hành động phép tin tặc tiếp cận với hệ thống bạn Những hành động đơn giản ví dụ yêu cầu bạn nhấp link để truy cập tới website hay yêu cầu bạn đọc email Kịch chung nội dung độc hại cố gắng "lừa" bạn kiến bạn vơ tình cố ý cho phép nội dung thực Malware (Malicious Software) từ dùng để chung phần mềm có tính gây hại bao gồm virus, worm, trojan, spyware, adware, keylogger, rootkit Page Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Tấn công từ chối dịch vụ (Denial of Service) Có thể mơ tả DoS hành động ngăn cản người dùng hợp pháp dịch vụ truy cập sử dụng dịch vụ Nó bao gồm việc làm tràn ngập mạng, làm kết nối tới dịch vụ mà mục đích cuối làm cho server đáp ứng yêu cầu từ clien DoS kẻ công chiếm dụng lượng tài nguyên mạng băng thông, nhớ để làm khả xử lý yêu cầu dịch vụ từ client DDoS biến thể DoS, khác biệt chúng số lượng máy tính tham gia cơng Hacker xâm nhập vào nhiều máy tính cài đặt chương trình điều khiển từ xa kích hoạt chương trình vào thời điểm để cơng mục tiêu.Và Rất khó để chống lại DDoS, cách hiệu tăng băng thơng đường truyền, sử dụng firewall để lọc bớt lưu lượng nguy hiểm Zombie: Ta hiểu Zombie máy tính bị nhiễm bệnh chịu kiểm sốt kẻ cơng Một zombie PC hoạt động bình thường mà khơng phát bị kiểm sốt Tin tặc sử dụng zombie vào mục đích cơng DoS Cách phòng chống zombie dùng firewall để chặn máy tính bị nhiễm bệnh Tuy nhiên điều làm ảnh hưởng tới người dùng họ thực có nhu cầu truy cập hệ thống mạng Cách tốt tìm cách gỡ bỏ zombie đưa máy tính trạng thái ban đầu Sự tổn hại thơng tin cá nhân Thử tưởng tượng ngày thông tin cá nhân bạn tràn ngập Internet từ tên tuổi, số điện thoại, email, địa hay thơng tin tài khác số tài khoản, mật bạn cảm thấy nào? Tất nhiên bạn chẳng mong muốn điều này, tin tặc lợi dụng thơng tin để lừa đảo, đánh cắp tài sản bạn, nói chung tổn hại thông tin cá nhân gây cho bạn phiền toái Đối với doanh nghiệp hay tổ chức tổn hại thơng tin nguy hiểm Ví dụ thơng tin độc quyền bí mật cơng ty mà bạn cần giấu kín Bạn có ý tưởng xây dựng thành cơng trình, bạn chuẩn bị cơng bố bất ngờ thấy đối thủ cơng bố trước bạn Điều tạo thiếu công hoạt động kinh doanh, nghiên cứu Giải pháp đưa firewall phân loại lập hệ thống quan trọng Đối với vùng firewall áp dụng sách kiểm sốt truy cập chặt chẽ Social Engineering Social Engineering kỹ thuật lợi dụng ảnh hưởng niềm tin để lừa người nhắm lấy cắp thơng tin thuyết phục người làm việc Chúng ta xem tình sau để rõ Attacker: “Chào bà, Bob, muốn nói chuyện với Alice” Alice: “Xin chào, tơi Alice” Attacker: “Chào cô Alice, gọi từ trung tâm liệu, xin lỗi tơi gọi điện cho sớm này…” Alice: “Trung tâm liệu à, ăn sáng, không đâu.” Attacker: “Tôi gọi điện cho thơng tin cá nhân phiếu thơng tin tạo account có vấn đề.” Page Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Alice: “Của à vâng.” Attacker: “Tôi thông báo với cô việc server mail vừa bị sập tối qua, cố gắng phục hồi lại hệ thống mail Vì người sử dụng xa nên xử lý trường hợp trước tiên.” Alice: “Vậy mail tơi có bị khơng?” Attacker: “Khơng đâu, chúng tơi phục hồi lại mà Nhưng chúng tơi nhân viên phòng liệu, chúng tơi khơng phép can thiệp vào hệ thống mail văn phòng, nên chúng tơi cần có password cơ, khơng chúng tơi khơng thể làm được.” Alice: “Password à? uhm ” Attacker: “Vâng, hiểu, đăng kí ghi rõ chúng tơi khơng hỏi vấn đề này, viết văn phòng luật, nên tất phải làm theo luật.” ( nỗ lực làm tăng tin tưởng từ nạn nhân) Attacker: “Username AliceDxb phải khơng? Phòng hệ thống đưa cho username số điện thoại cô, họ không đưa password cho chúng tơi Khơng có password khơng truy cập vào mail cô được, cho dù phòng liệu Nhưng chúng tơi phải phục hồi lại mail cô, cần phải truy cập vào mail cô Chúng đảm bảo với cô không sử dụng password cô vào mục đích khác.” Alice: “Uhm, pass không riêng tư đâu, pass 123456” Attacker: “Cám ơn hợp tác cô Chúng phục hồi lại mail cô vài phút nữa.” Alice: “ Có mail khơng bị không?” Attacker: “Tất nhiên không Chắc chưa gặp trường hợp bao giờ, có thắc mắc liên hệ với chúng tơi Cơ tìm số liên lạc Internet.” Alice: “Cảm ơn.” Attacker: “Chào cô.” Do chất công dựa vào ảnh hưởng niềm tin nên khơng thể phòng chống firewall Các hướng công lỗ hổng bảo mật phát công bố, khai thác cách lập tực Nếu nhà cung cấp tung vá đưa giải pháp thích hợp, hệ thống dễ dàng bị cơng khai khác Điều vơ tình làm cho phần mềm thơng thường khơng có “mục đích xấu” trở thành mục tiêu kẻ công Và từ kẻ cơng thơng qua ứng dụng khai thác hệ thống bạn 1.2 Các giải pháp bảo mật dành cho mạng máy tính Vì khơng có giải pháp an tồn tuyệt đối nên người ta thường phải phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thông tin lưu trữ máy tính, đặc biệt server mạng Hình sau mơ tả lớp bảo vệ thông dụng để bảo vệ thông tin trạm mạng Page Môn An Ninh Mạng Viễn Thơng Tiểu Luận: Firewall Overview Hình 1: Các lớp an toàn mạng      Lớp bảo vệ quyền truy cập (Access Right) nhằm kiểm sốt tài ngun (thơng tin) mạng quyền hạn (người dùng làm tài ngun đó) Lớp bảo vệ hạn chế theo tài khoản truy cập gồm username password tương ứng (Login/Password) Lớp thứ ba sử dụng phương pháp mã hóa (Encryption) Dữ liệu mã hóa thuật tốn để hạn chế việc dù lấy liệu tin tặc chưa có khả đọc Bức tường lửa (Firewall) Mã hóa liệu (Data Encryption) Đăng nhập/Mật (Login/Password) Quyền truy cập (Access Right) Thông tin (Infomation) Lớp thứ tư lớp bảo vệ vật lý (Physical Protection) nghĩa ta ngăn chặn quyền truy cập vật lý vào hệ thống Lớp thứ năm (Firewall): Cài đặt hệ thống firewall (firewall) nhằm ngăn chặn thâm nhập trái phép, lọc gói tin mà ta không muốn gửi nhận vào Trong phạm vi nghiên cứu đề tài, nghiên cứu đến lớp bảo vệ thứ năm firewall Firewall mã nguồn mở Mỗi doanh nghiệp, tổ chức hay cá nhân có nhu cầu bảo vệ thơng tin Họ lựa chọn nhiều giải pháp xây dựng firewall khác để phục vụ cho mục đích Firewall có nhiều loại từ loại firewall cứng, firewall mềm, sản phẩm thương mại hay sản phẩm mã nguồn mở khác Việc lựa chọn triển khai sản phẩm firewall tùy thuộc vào nhiều yếu tố khác kinh phí, yêu cầu tính bảo mật doanh nghiệp cá nhân đó, hiệu kinh tế, trình độ người quản trị, số lượng thông tin cần bảo vệ Những ưu điểm firewall dựa mã nguồn mở là:   Trước tiên dạng FOSS nên có ưu mã mở, cộng đồng người sử dụng lớn nên bạn hồn tồn nhận giúp đỡ cách dễ dàng, phát triển liên tục Dựa tảng hệ điều hành *nix Ưu điểm hệ điều hành so với hệ điều hành khác chứng minh qua thời gian, hiểu tính bảo mật Page Mơn An Ninh Mạng Viễn Thơng Tiểu Luận: Firewall Overview   Chi phí để chi trả cho firewall dựa mã nguồn mở gần khơng, bạn download trực tiếp trang chủ sử dụng trả tiền để nhận support tốt từ nhà sản xuất Đáp ứng công nghệ tiên tiến lọc gói theo trạng thái, proxy, ngồi kết hợp nhiều tính khác VPN, DHCP phần thảo luận sâu phần báo cáo Firewall gì? 2.1.Khái niệm Firewall thiết bị phần cứng chương trình phần mềm chạy máy chủ kết hợp hai Được thiết kế nhằm mục đích cho phép từ chối truyền thông mạng dựa quy tắc thường sử dụng để bảo vệ mạng khỏi truy cập trái phép đồng thời cho phép truyền thông mạng hợp pháp qua Trong trường hợp phải có hai giao tiếp mạng, cho mạng mà bảo vệ, cho mạng cơng cộng bên ngồi Internet Lúc “cổng” kiểm sốt luồng liệu ra/vào mạng nội  Firewall cứng: Là firewall tích hợp sẵn Router thiết bị chuyên dụng + Hoạt tính cao so với firewall mềm + Tốc độ xử lý nhanh + Bảo mật cao + Chi phí đắt so với firewall mềm  Firewall mềm: Là firewall cài sẵn Server + Hoạt tính không cao firewall cứng + Tốc độ xử lý chậm, phụ thuộc hệ điều hành + Tiện lợi, cài đặt dễ dàng máy server + Đa dạng, chi phí thấp so với firewall cứng 2.2 Chức Tất firewall có số đặc điểm chung chức giúp xác định việc mà firewall làm Về firewall phải có khả thực nhiệm vụ sau: Page Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview      Quản lý kiểm soát lưu lượng mạng ( Manage and Control network traffic) Xác thực truy cập (Authenticate Access) Hoạt động thiết bị trung gian (Act as an intermediary) Bảo vệ tài nguyên (Protect Resources) Ghi lại báo cáo kiện (Record and report on events) Cấu trúc nguyên lý hoạt động 3.1 Cấu trúc Firewall bao gồm:  Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router  Các phần mềm quản lý an ninh chạy hệ thông máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) Các thành phần firewall:    Bộ lọc packet ( packetfiltering router ) Cổng ứng dụng ( Application-level gateway hay proxy server ) Cổng mạch ( Circuite level gateway ) 3.2 Nguyên lý hoạt động 3.2.1 Bộ lọc paket (Paket filterring router) Packet Filters Nguyên lý hoạt động Khi nói đến việc lưu thơng liệu mạng với thơng qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data pakets) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến Packet số địa chúng Bộ lọc gói cho phép hay từ chối Packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc gói hay khơng Các luật lệ lọc gói dựa thơng tin đầu Packet (Packet Header ), dùng phép truyền Packet mạng Đó là:  Địa IP nơi xuất phát ( IP Source address) Page Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview        Địa IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP (ICMP message type) Giao diện Packet đến (Incomming interface of Packet) Giao diện Packet (Outcomming interface of Packet) Nếu luật lệ lọc gói thoả mãn Packet chuyển qua Firewall Nếu không Packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm sốt cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục Hình 3: Packet Filters Ưu điểm hạn chế hệ thống Firewall sử dụng lọc gói Ưu điểm: Đa số hệ thống Firewall sử dụng lọc gói Một ưu điểm phương pháp dùng lọc gói chi phí thấp chế lọc gói bao gồm phần mềm Router Ngồi ra, lọc gói suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt Page Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Hạn chế: Việc định nghĩa chế độ lọc gói việc phức tạp đòi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ Internet, dạng Packet Header, giá trị cụ thể mà họ nhận trường Khi đòi hỏi vể lọc lớn, luật lệ lọc trở nên dài phức tạp, khó để quản lý điều khiển Do làm việc dựa Header Packet, rõ ràng lọc gói khơng kiểm sốt nội dung thơng tin Packet Các Packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 3.2.2 Cổng ứng dụng ( Application-level gateway hay proxy server ) Hình 4:Application-Level Gateways Cổng ứng dụng thiết kế pháo đài với biện pháp đảm bảo an ninh • • • • • • Luôn chạy version an toàn (secure version) phần mềm hệ thống Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định Mỗi proxy trì nhật ký Mỗi proxy độc lập với proxies khác bastion host Ưu điểm: • Cho phép người quản trị mạng điều khiển dịch vụ mạng • cho phép kiểm tra độ xác thực tốt • Luật lệ lọc filltering dễ dàng cấu hình kiểm tra so với lọc packet Nhược điểm: Page Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview • Yêu cầu users thay đổi thao tác, thay đổi phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy 3.2.3 Cổng vòng ( Circuite level gateway ) Circuit-Level Gateways hoạt động mức session mơ hình OSI lớp TCP mơ hình TCP/IP Chúng giám sát việc “bắt tay” ( handshaking ) gói tin để xem xét phiên u cầu có hợp lệ hay khơng Khi thơng tin trao đổi với máy tính xa, Circuit-Level Gateways có nhiệm vụ sửa đổi thơng tin để chúng trơng xuất phát từ Circuit-Level Gateways Nó làm việc sợi dây,sao chép byte kết nối bên (inside connection) kế nối bên (outside connection) Điều thật hữu dụng việc che giấu thông tin mạng nội mà bảo vệ, nhiên nhiệm vụ CircultLevel gateways đơn giản chuyển tiếp packet nên có hạn chế khơng thực lọc gói tin bên kết nối Circult-Level gateways thường sử dụng cho kết nối ngoài, nơi mà người quản trị thật tin tưởng người dùng bên mạng nội Hình 5: Circult-Level Gateways Ứng dụng Cách thức vượt firewall 4.1.Ứng dụng Quản lý kiểm soát lưu lượng mạng Chức mà tất firewall phải thực quản lý kiểm sốt lưu lượng mạng Điều có nghĩa phải biết gói tin qua nó, có kết nối thơng qua Đồng thời kiểm sốt gói tin vào kết nối với hệ thống bạn Firewall làm điều cách kiểm tra gói liệu giám sát kết nối thực Sau dựa vào kết kiểm tra gói tin kết nối bị giám sát đưa định cho phép hay từ chối truy cập Kiểm tra gói tin (Packet Inspection): q trình chặn xử lý liệu gói tin nhằm xác định liệu cho phép từ chối gói tin theo sách truy cập xác định Page 10 Môn An Ninh Mạng Viễn Thơng Tiểu Luận: Firewall Overview Q trình dựa vào yếu tố tất yếu tố sau để đưa định lọc gói hay khơng Source IP Address Source Port Destination IP Address Destination Port IP Protocol Phần Header gói tin (sequence number, checksum, data flags, payload infomation thơng tin khác) Việc kiểm tra gói tin phải thực hướng (cả hướng hướng vô) interface, quy tắc kiểm soát truy cập phải áp dụng cho gói tin qua       Kết nối trạng thái kết nối (Connection State) Giả sử có hai máy tính sử dụng giao thức TCP/IP muốn giao tiếp với chúng phải thiết lập vài kết nối với Kết nối nhằm mục đích   Thứ hai máy định danh nhau, điều đảm bảo hệ thống bạn khơng cung cấp liệu cho máy tính khơng tham gia kết nối Thứ hai sử dụng để xác định cách thức mà hai máy tính liên lạc với nhau, nghĩa sử dụng connection-oriented (TCP) hay connectionless (UDP ICMP) Cấu trúc kết nối giúp ta xác định trạng thái truyền thơng hai máy tính Ví dụ: Nếu Bob hỏi John câu hỏi, phản ứng thích hợp John trường hợp “trả lời câu hỏi Bob” Như ta nói thời điểm Bob hỏi John trạng thái đàm thoại “đang chờ đợi” câu trả lời từ John Việc xác định trạng thái kết nối nhằm mục đích gì? Việc xác định trạng thái kết nối phản ứng mà máy tính làm giúp ta xây dựng chế lọc gói thơng minh Ví dụ firewall giám sát trạng thái kết nối đưa yêu cầu cho phép hay từ chối gói tin Một máy tính tạo kết nối tới máy tính gửi u cầu kết nối tới máy tính (SYN) Firewall biết sau yêu cầu kết nối máy tính đích phải trả yêu cầu phản hồi (ví dụ SYN/ACK) Việc xác định firewall thực cách lưu bảng trạng thái theo dõi tất kết nối qua từ kết nối khởi tạo kết thúc Nếu máy tính đích khơng trả phản hồi phù hợp với yêu cầu kết nối từ máy A phản hồi khơng có bảng trạng thái (State Table) gói tin bị hủy Statefull Packet Inspection Packet Inspection có ưu điểm tốc độ khả kiểm sốt gói tin theo u cầu cho trước tốt lại có khuyết điểm nghiêm trọng Ví dụ kẻ cơng cố tình thay đổi thông số tùy chọn packet nhằm mục đích “đi qua firewall cách hợp pháp” Ví dụ: Thơng thường lọc gói tin drop tất gói ICMP Echo Request tạo từ cơng cụ ping để tránh tình trạng DDoS bị thăm dò thơng tin Tuy nhiên kẻ cơng sử dụng kỹ thuật ACK Scan Nmap, kỹ thuật nghĩa thay gửi gói tin ICMP kẻ công tạo packet với flag ACK active gửi đến port 80 chẳng hạn Các Static Packet Page 11 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Filter kiểm tra gói tin thấy cờ ACK active nên nghĩ packet trả lời cho SYN packet từ trước nên cho qua Stateful Packet Inspection chế lọc gói thơng minh, nhận dạng theo dõi *state* connection cách lưu trữ tất thông tin connection đó, từ lúc khởi tạo kết thúc vào "table" Sau sử dụng "table" để kiểm tra gói tin tương tự, ví dụ máy chủ khơng gửi gói SYN khơng thể tự nhiên có gói ACK trả lời Firewall Authentiaction Access Việc sử dụng chế lọc gói tin giúp bạn hạn chế việc truy cập tài nguyên từ nguồn không mong muốn Điều hạn chế phần mối nguy hiểm tài nguyên bạn Tuy nhiên, hay thử tưởng tượng kẻ công giả mạo địa IP đáng tin cậy lúc đàng hồng truy cập tài nguyên bạn Lúc bạn cần thêm chế giúp cho tài nguyên bạn an toàn hơn.Firewall cung cấp cho bạn chế xác thực truy cập nhằm loại bỏ nguy Cơ chế xác thực đơn giản yêu cầu người dùng cung cấp username password họ muốn truy cập tài nguyên bạn Thông tin username password phải người quản trị tạo máy chủ cần truy cập từ trước Khi người dùng cố gắng truy cập vào máy chủ đó, máy chủ thơng báo u cầu người sử dụng nhập vào username password trước kết nối Nếu máy chủ cho phép kết nối ngược lại sai kết nối hủy bỏ Ưu điểm chế xác thực ngồi xác thực bạn hồn tồn áp dụng sách bảo mật lên username riêng biệt (ví dụ cấp cho user có có quyền đọc thư mục Data phép tạo, xóa sửa tài liệu mục Chung) Một chế xác thực thứ hai sử dụng Certificate khóa cơng khai (Public Keys) Ưu điểm việc sử dụng chế xác thực so với xác thực username password khơng cần đến can thiệp người dùng Người dùng không cần phải vất vả nhập username password Hệ thống tạo cặp khóa Private keys Public key Cơ chế hiệu triển khai quy mơ lớn Ngồi hai chế xác thực người ta sử dụng chế xác thực khác sử dụng Pre-shared key (PSKs) Khóa tạo từ trước chia sẻ cho người dùng thông qua kênh an tồn Ưu điểm phức tạp so với việc xác thực Certificate đồng thời cho phép xác thực mà khơng cần can thiệp người dùng Một nhược điểm PSKs thay đổi sử dụng chung nên làm hỏng trình xác thực Bằng cách xác thực truy cập, firewall bổ sung thêm giải pháp để đảm bảo kết nối có hợp pháp hay khơng Ngay gói tin vượt qua chế lọc gói tin khơng thể xác thực bị hủy Hoạt động thiết bị trung gian Nhu cầu kết nối Internet nhu cầu thiết thực thiếu doanh nghiệp Tuy nhiên việc cho phép máy tính nội hệ thống mạng bạn kết nối trực tiếp mạng Internet đem lại nhiều nguy hiểm Người sử dụng bị lợi dụng để download phần mềm hay nội dung độc hại gây nguy hiểm cho hệ thống mạng bạn Giải pháp đưa thay cho máy tính nội kết nối trực tiếp ngồi ta xây dựng firewall thành thiết bị có nhiệm vụ “thay mặt” máy tính nội Internet Lúc firewall hoạt động Proxy Server Quy trình làm việc sau: Page 12 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Khi client ngồi Internet, ví dụ muốn truy cập website http://www.abc.com thay client gửi request tới webserver gửi yêu cầu tới Proxy Server Proxy Server tiếp nhận yêu cầu hợp lệ xử lý yêu cầu Lúc Proxy thay mặt client ngồi Internet lấy thơng tin website http://www.abc.com Thông tin lấy Proxy Server kiểm tra sau trả lại cho client Các máy tính nội khơng nhận thấy khác biệt có Proxy Server, gần suốt Lợi ích Proxy Server là:    Cache: Tăng hiệu suất sử dụng dịch vụ mạng Các Request gửi Internet địa IP Proxy Server nên ngăn chặn công không hợp lệ vào client từ Internet Dữ liệu Response gửi từ Internet Proxy, Proxy xử lý (kiểm tra có virus hay khơng, có thơng tin độc hại hay khơng….) sau chuyển cho client Bảo vệ tài nguyên mạng Nhiệm vụ quan trọng firewall bảo vệ tài nguyên mạng trước mối de dọa từ bên Tài nguyên mạng máy tính cá nhân hệ thống nội bộ, Server công ty mail server, web server quan trọng liệu bí mật cơng ty Bạn áp dụng việc lọc gói tin, kiểm soát truy cập, ngăn chặn kết nối trực tiếp áp dụng tất cách để bảo vệ tài nguyên bạn Tuy nhiên bạn nên nhớ firewall khơng phải giải pháp tồn diện nên đừng phụ thuộc vào Ghi lại báo cáo kiện Một thực tế dù bạn có giỏi đến đâu, bạn có triển khai biện pháp bảo mật chưa hệ thống bạn an toàn Bạn ngăn chặn công hay thứ độc hại xâm nhập vào hệ thống mạng Do bạn cần phải chuẩn bị để phòng chống lỗ hổng mà firewall khơng thể ngăn chặn Do firewall cần phải có chức ghi chép lại tất thông tin liên lạc vi phạm sách để báo lại với quản trị viên Quản trị viên dựa vào để phân tích tình hình đưa giải pháp cụ thể Bạn ghi lại kiện nhiều cách khác hầu hết firewall sử dụng hai phương pháp syslog định dạng độc quyền đó.Những liệu sử dụng thường xuyên để phân tích cố nguyên nhân gây hệ thống mạng Ngồi việc ghi lại kiện firewall hỗ trợ khả cảnh báo sách bảo mật bị vi phạm như:    Giao diện thông báo: cách đơn giản để cảnh bảo có điều bất thường mạng Nhược điểm bạn phải thường xuyên theo dõi hình điều khiển để cập nhật kịp thời thông báo Cảnh báo SNMP giúp bạn theo dõi toàn trạng thái hệ thống mạng từ thiết bị router, switch, server đến thông tin chi tiết CPU, nhớ, băng thông Sử dụng email để cảnh báo Page 13 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview 4.2 Vượt firewall 4.2.1 Sử dụng trang web trung gian Tìm hiểu: Trang web trung gian không nằm danh sách bị tường lửa, ta truy cập được, từ ta "nhờ" trang trung gian truy cập tiếp vào trang web bị chặn cách dễ dàng Cách dùng: - Truy cập vào trang web trung gian sau (theo kinh nghiệm trang tốt nay): https://go2-web.appspot.com http://www.go-fish.info http://unblockpro.net http://primeproxy23.info http://blackproxy.eu http://webwarper.net http://proxiesdaily.info - Kéo trang web xuống phía tý, người thấy khung trống để nhập địa trang web (thường có chữ Enter the url, Website url, Web Address ) Nhập địa cần vượt vào, sau Enter bấm nút bên phải khung (thường có chữ Surf, Go Browse ), trang web Hình Dịch vụ vượt firewall 4.2.2 Thay đổi địa proxy trình duyệt: Tìm hiểu: Có thể hiểu nôm na ta thay đổi "địa nhà" Nhà "Việt Nam", khơng truy cập vào web, ta gỡ biển "Việt Nam" xuống, treo bảng "America" lên -> chuyện trở nên dễ dàng thể ta "America" Cách dùng: Mỗi trình duyệt có cách thay đổi IP riêng Xin minh họa trình duyệt phổ biến nhất: Internet Explorer Mozilla Firefox (nên dùng Firefox, có cơng cụ giúp đơn giản hóa việc thay đổi "địa chỉ" này) - Proxy có dạng: 200.65.129.3 : 3128 Dãy số đứng trước dấu ":" gọi IP, dãy số phía sau Port - Đầu tiên, ta cần tìm kiếm proxy tương tự - Sau kiểm tra xem proxy dùng Page 14 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview - Cuối cùng, ta thiết lập proxy cho trình duyệt Một số loại firewall Firewall thiết bị phần cứng chuyên dụng sản phẩm phần mềm cài máy chủ làm nhiệm vụ firewall ứng dụng cài máy tính cá nhân Việc phân loại firewall có nhiều cách khác nhau, nhiên ta phân loại thành hai loại sau  Desktop Personal Firewall: Đây loại firewall dành cho cá nhân máy tính cá nhân,  ta liệt firewall phần mềm diệt virus vào nhóm Network Firewall: Sự khác hai loại firewall đơn giản số lượng máy tính mà bảo vệ Hình 7: Phân loại Firewall 5.1.Phân loại Personal Firewalls Đây loại firewall thiết kế để bảo vệ máy tính trước truy cập trái phép Hiện phát triển nên nhiều tích hợp nhiều chức đáng giá diệt virus, diệt phần mềm độc hại, phát xâm nhập Một số firewall cá nhân thương mại phổ biến BlackICE, Cisco Security Agen Còn thị trường SOHO (Small Office/Home Office) có sản phẩm như: Comodo Internet Security, Emsisoft Online Armor Premium, KIS, ZoneAlam Pro Firewall, Trend Micro Titanium Internet Security [1] Vì dành cho người dùng cá nhân nên personal firewall phải Page 15 Môn An Ninh Mạng Viễn Thơng Tiểu Luận: Firewall Overview tích hợp giải pháp kiểm sốt tập trung, tích hợp nhiều chức năng, dễ sử dụng, cấu hình Những chức thường thấy personal firewall là:    Bảo vệ người dùng trước xâm nhập trái phép Cảnh báo người dùng mối nguy hại Giám sát điều tiết tất ứng dụng sử dụng internet Network firewall Được thiết kế để bảo vệ toàn hệ thống mạng máy tính Đây điểm khác biệt quan trọng network firewall personal firewall, số lượng máy tính mà network firewall cần bảo vệ lớn nhiều so với số máy tính mà personal firewall cần bảo vệ Chính lý mà network firewall cần phải thiết kế xây dựng với chức chuyên biệt nhằm phục vụ tốt cơng viêc Network firewall cung cấp cho doanh nghiệp linh hoạt an toàn tối đa cho hệ thống mạng họ Hiện network firewall phát triển lên nhiều cách tích hợp nhiều tính khả phát xâm nhập, khả đọc gói tin sauu Ngồi network firewall khơng kiểm sốt giao thơng mạng cách nhìn vào thơng tin Layer Layer mà kiểm soát liệu tầng ứng dụng Các sản phẩm Firewall (Firewall Products) Trên thị trường tìm thấy ba loại network firewall bảnsau: Server-based, Appliance-based Integrated Server-based firewall loại software firewall cài đặt hệ điều hành mạng (Network Operating System) có chức firewall Nó triển khai tảng sau     Apple Mac OS X UNIX (Solaris, HP-UX, IBM-AIX) GNU/Linux Microsoft Windows NT Có thể kể đến số firewall loại Microsoft ISA Server, Check Point NG, Gauntlet, iptable Linux hay FreeBSD hay lọc gói pf OpenBSD Ưu điểm loại firewall đa ví dụ triển khai thành hệ thống DNS hay lọc spam mail Firewall loại dễ dàng đảm nhiệm vai trò đa thiết bị firewall cứng chuyên dụng khác Nó dễ triển khai quản trị tương đối dễ dàng Tuy nhiên nhược điểm cài đặt hệ điều hành nên phụ thuộc vào hệ điều hành Nếu hệ điều hành đó tồn có nhiều lỗ hổng bảo mật kẻ cơng khai thác lỗ hổng để cơng firewall Khi quản trị firewall loài người quản trị cần phải cân nhắc việc cập nhật vá hệ điều hành, liệu có tương thích với firewall cài Page 16 Môn An Ninh Mạng Viễn Thơng Tiểu Luận: Firewall Overview hay không Một nhược điểm hệ điều hành viết để thực nhiều chức khác khơng chun biệt để cài firewall lên nên khơng có đảm bảo đạt hiệu suất tối đa Cuối khơng tương thích firewall hệ điều hành, nguyên nhân có nhiều software-firewall hãng khác viết hãng cung cấp hệ điều hành Nói chung thích hợp cho mơi trường doanh nghiệp vừa nhỏ ưu điểm giá cả, quản trị dễ dàng đáp ứng đủ nhu cầu Appliance-based firewall loại firewall dựa tảng phần cứng thiết kế đặc biệt thiết bị firewall chuyên dụng Ngoài chức firewall số chức thứ yếu khác Có thể kể tới số sản phẩm Cisco PIX, Jupiter's NetScreen Firewall hay Symantec Enterprise Firewall, sản phầm Nokia, Sonicwall Loại firewall có thống từ phần cứng, hệ điều hành, đến phần mềm quản lý nên đạt hiệu suất cao Ngồi thường sản phẩm thương mại nên bạn dễ dàng nhận hỗ trợ từ nhà sản xuất Nhược điểm hạn chế chức mà, muốn bổ sung bạn cần phải mua gắn thêm thiết bị phần cứng khác Điều khiến cho việc quản trị trở nên khó khăn Integrated firewall thiết bị "đa năng" ngồi làm firewall đảm nhận nhiều chức khác VPN, phát phòng chống xâm nhập, chống spam mail Nói chung thiết bị All-in-one Hiện phân biệt Appliance-based firewall Integrated firewall khơng rõ ràng trước nhu cầu sử dụng tính cạnh tranh Hầu hết hai loại tích hợp nhiều chức khác Điều không làm giảm số lượng thiết bị mà giảm chi phí triển khai quản lý thiết bị Các firewall tích hợp Cisco ASA hay Tipping Point X505 Firewall Technologies Trong phần tập trung vào công nghệ sử dụng loại firewall khác cách làm việc Ở hình ta có nhìn tổng quát loại firewall, nhiên loại firewall sử dụng nhiều cơng nghệ khác để tăng cao hiệu suất sử dụng Các công nghệ bao gồm:     (Simple) Packet Filters Circuit-Level Firewalls Application-Level Firewalls Stateful Multilayer Inspection Firewall Page 17 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Hình 8: Các kỹ thuật sử dụng firewall Chú ý cách phân loại loại firewall, cơng nghệ hồn tồn áp dụng loại firewall Dù cho firewall thuộc loại Server-based firewall hay Appliance-based firewall hay loại Intergrated firewall áp dụng công nghệ 5.2 Những kiến trúc firewall Dual Homed Host Kiến trúc Dual homed host gồm máy tính có hai network interface, có nghĩa máy có gắn hai card mạng giao tiếp với hai mạng khác máy tính đóng vai trò router phần mềm   Public interface: card nối trực tiếp với vùng mạng không đáng tin cậy (Internet) Private interface: nối với vùng mạng nội Dual-homed host cung cấp dịch vụ cách ủy quyền (proxy) chúng cho phép users đăng nhập trực tiếp vào Dual-homed host Page 18 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Mọi giao tiếp từ host mạng nội host bên bị cấm, Dual-homed host nơi giao tiếp Đối với kiến trúc này, bastion host nơi thường xuyên bị cơng nên phải cấu hình cho giảm tối thiểu lỗi mà kẻ cơng lợi dụng để khai thác Một số gợi ý để cấu hình tốt bastion host:       Vơ hiệu hóa loại bỏ dịch vụ không cần thiết khơng sử dụng Vơ hiệu hóa loại bỏ tài khoản người sử dụng không cần thiết Vơ hiệu hóa loại bỏ giao thức mạng không cần thiết Cập nhật liên tục vá hệ điều hành Đóng tất port không cần thiết không sử dụng Sử dụng chế mã hóa để đăng nhập Hình 13: Kiến trúc Dual Homed Host Screened Screened Host Kiến trúc cung cấp dịch vụ từ host bên mạng nội bộ, dùng router tách rời với mạng bên Trong kiểu kiến trúc này, bảo mật phương pháp Packet Filtering Kiến trúc cung cấp mức độ bảo mật cao thực bảo mật tầng network tầng application Đồng thời kẻ công phải phá vỡ hai tầng bảo mật để xâm nhập vào hệ thống mạng nội Trong hệ thống bastion host cấu hình mạng nội Quy luật filter định nghĩa cho tất hệ thống bên internet truy cập vào bastion host, việc liên lạc với hệ thống Page 19 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview mạng nội khác bị cấm Bởi hệ thống nội bastion host mạng, sách bảo mật định xem hệ thống mạng nội nơi kết nối trực tiếp internet, nơi phải sử dụng dịch vụ proxy bastion host Bất kỳ hệ thống bên cố gắng truy cập vào hệ thống dịch vụ bên phải kết nối tới host Vì thế, Bastion host host cần phải trì chế độ bảo mật cao Packet Filtering cho phép Bastion host mở kết nối bên ngồi Bởi bastion host hệ thống bên kết nối internet, công giới hạn đến bastion host mà Tuy nhiên bastion host bị cơng kẻ cơng dễ dàng lám tổn thương hệ thống mạng nội Hình 14: Kiến trúc Screened host Screened Subnet Kiến trúc xem kiến trúc an toàn nhất, bao gồm hai packet filtering bastion host Hệ thống firewall có độ an tồn cao Kiến trúc Screened subnet kiến trúc mà ta tách riêng dịch vụ cung cấp công cộng vùng mạng riêng (DMZ) nhằm tăng cường khả bảo vệ mạng nội bộ, thực chiến lược phòng thủ theo chiều sâu Khi dịch vụ vùng DMZ bị cơng khơng ảnh hưởng đến máy vùng nội Hệ thống cần ba network interfaces Với thơng tin đến từ bên ngồi, Screened subnet có chức chống lại công vào vùng mạng nội Kiểu Screened subnet đơn giản bao gồm hai screened router: Page 20 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Router ngoài: nằm vùng DMZ vùng External có chức bảo vệ cho vùng DMZ (Mail server, Web server) Một số quy tắc packet filter đặc biệt cấu hình mức cần thiết đủ để bảo vệ vùng DMZ Router trong: nằm vùng DMZ vùng LAN nhằm bảo vệ mạng nội trước ngồi internet DMZ Nó khơng thực hết quy tắc packet filter toàn firewall Ưu điểm: Kẻ công muốn chiếm quyền kiểm soát tài nguyên hệ thống mạng nội cần phải phá vỡ ba tầng bảo vệ: router trong, bastion host, router Hệ thống mạng nội dường “vơ hình” bên ngồi Các máy mạng nội truy cập trực tiếp vào internet mà phải thông qua proxy server Hình 15: Kiến trúc Screened Subnet Linux-based Firewall Các firewall dựa Linux có nhiều loại khác Ban đầu firewall-based Linux dựa ipfw code (mã phân phối Berkeley Software Distribution BSD) Sau tiện ích viết ipfwadm, trở nên hữu ích bắt đầu đặt kernel Linux từ 1.0 cung cấp cho người quản trị nhiều chức linh hoạt Đến phiên kernel 2.2, hệ thống lọc khác đẵ phát triển kèm sẵn kernel Linux ipchains Bộ lọc ipchains mở rộng tính có sẳn ipfwadm Và đến phiên 2.4 phát hành lọc Linux viết lại cách hoàn chỉnh hơn, hệ thống lọc có tên netfilter Netfilter phần quan trọng kernel Linux việc bảo mật, quản lý lưu lượng mạng Netfilter hoạt động phía kernel để người quản trị dễ dàng giao tiếp với netfilter định u cầu với netfilter ta sử dụng chương trình tiếng iptables Iptables thực tiện ích nằm phía (front-end) Page 21 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview netfilter, “nói” cho netfilter người quản trị muốn làm Đặc điểm netfilter lọc gói tin NAT (Network Address Translation)      Stateless packet filtering (IPv4 IPv6) Stateful packet filtering (IPv4 IPv6) Tất địa mạng port chuyển đổi ví dụ NAT/NAPT (chỉ IPv4) Linh hoạt cho phép mở rộng sơ sở hạ tầng Nhiều lớp thư viện API cho phép phần mở rộng hãng thứ Hiểu cách đơn giản cách làm việc netfilter sau:    Người quản trị u cầu kernel cần làm với gói tin sử dụng iptables Hệ thống sau phân tích header tất gói tin qua Nếu nhìn vào phần header mà kernel phát rule phù hợp gói tin bị điều khiển theo rule Có loại bảng netfilter là:    Mangle table: Chịu trách nhiệm biến đổi quality of service bit TCP Header Filter table: Chịu trách nhiệm thiết lập lọc packet (packet filtering) Nó bao gồm quy tắc (chain) nhỏ giúp cho bạn thiết lập nguyên tắc lọc gói gồm: o Forward chain: Lọc gói gói thơng qua firewall tới server khác o Input chain: Lọc gói gói vào firewall o Output chain: Lọc gói khỏi firewall NAT table: Thực thi chức NAT bao gồm hai chain sau: o Pre-routing NAT: NAT từ vào nội (NAT Inbound) thực trước trình o routing Post-routing NAT: NAT từ ngồi (NAT Outbound) thực sau routing nhằm thay đổi địa nguồn gói tin Kết Luận Tường lửa ngày đóng vai trò quan trọng việc bảo vệ mạng cảu tổ chức tránh danh sách gần vô tận công đến từ internet Sự lựa chọn tường lửa thường định cách vịt trí từ xa kết nối với hệ thống trung tâm để truy cập vào tài nguyên cần thiết đẻ thực nhiệm vụ quan trọng dẽ dàng Tường lửa làm nhiều việc m nằm mạng (internet mạng nội bộ), tường lửa phân tích tất lưu lượng vào khỏi mạng định làm với liệu vào Tường lửa có nhiều quy tắc để dựa vào cung cấp quyền truy cập liệu vào mạng Page 22 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Tường lửa không dạng phần mềm (như tường lửa windows), mà có thẻ phần cứng chuyên dụng mạng doanh nghiệp tường lửa phần cứng giúp máy tính cơng ty phân tích liệu để đảm bảo malware khong thể thâm nhaph vào magnj, kiểm sốt hoạt động máy tính mà nhân viện họ đạng sử dụng Nó lọc dự liệu đẻ cho phép máy tính lướt web, vơ hiệu hóa việc truy cập vào loại liệu khác Khơng có cánh cửa bảo vệ chống hồn tồn kẻ trộm lọt vào nhà cả, cánh cửa có khố tốt, ngơi nhà có tường cao bao quanh chủ nhà ni nhiều chó dữ, kẻ trộm khó lòng lọt vào Firewall cơng cụ bảo vệ hệ thống mạng máy tính, phải kèm theo với nhiều biện pháp an toàn khác Tài liệu tham khảo      http://tailieu.vn/xem-tai-lieu/tim-hieu-ve-tuong-lua-tuong-lua-la-gi.1242779.html https://vi.wikipedia.org/wiki/T%C6%B0%E1%BB%9Dng_l%E1%BB%ADa https://www.microsoft.com/vi-vn/security/protect/firewall.aspx https://www.slideshare.net/search/slideshow?searchfrom=header&q=firewall Thực trạng an ninh mạng việt nam năm 2009 dự báo xu hướng an ninh mạng năm 2010 - Thiếu tướng TS: Nguyễn Viết Thế - Cục trưởng Cục Tin học nghiệp vụ, Bộ Công an  Một số tờ báo điện tử thông tin Internet khác Page 23 ... cảnh báo Page 13 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview 4.2 Vượt firewall 4.2.1 Sử dụng trang web trung gian Tìm hiểu: Trang web trung gian không nằm danh sách bị tường lửa,... Circuit-Level Firewalls Application-Level Firewalls Stateful Multilayer Inspection Firewall Page 17 Môn An Ninh Mạng Viễn Thông Tiểu Luận: Firewall Overview Hình 8: Các kỹ thuật sử dụng firewall Chú... ý cách phân loại loại firewall, cơng nghệ hồn tồn áp dụng loại firewall Dù cho firewall thuộc loại Server-based firewall hay Appliance-based firewall hay loại Intergrated firewall áp dụng công