FireWall OverView Nhóm 8: Trần Văn Đồn Ngơ Quốc Hiếu Đào Đức Phúc Nguyễn Xuân Nam CÁC MỐI NGUY HIỂM VÀ CÁC PHÒNG TRÁNH Các mối nguy hiểm • Virus máy tính: chương trình hay đoạn mã thiết kế để tự nhân chép vào đối tượng lây nhiễm khác file, thư mục, ổ đĩa Điểm đặc biệt nó lây lan qua hệ thống mạng virus khơng thể Các giải pháp bảo mật dành cho mạng máy tính •Trojan: Là chương trình tương tự virus, khác khơng thể tự nhân • Vì khơng có giải pháp an tồn tuyệt đối nên người ta thường phải phải sử dụng Trojan ẩn vào chương trình tin cậy bạn thực thi chương trình đồng thời nhiều mức bảo vệ khác tạo thành lớp "rào chắn" hoạt trojan khởi động động xâm phạm => Virus, worm trojan phòng chống cách sử dụng firewall phần • Việc bảo vệ thơng tin mạng chủ yếu bảo vệ thông tin lưu trữ máy mềm diệt virus có tích hợp sẵn firewall tính, đặc biệt server mạng • Worm (sâu máy tính): tương tự virus có khả tự nhân lây lan CÁC Giải pháp bảo mật Các giải pháp bảo mật dành cho mạng máy tính • Lớp bảo vệ quyền truy cập (Access Right) nhằm kiểm soát tài nguyên (thông tin) mạng quyền hạn (người dùng làm tài ngun đó) • Lớp bảo vệ hạn chế theo tài khoản truy cập gồm username password tương ứng (Login/Password) • Lớp thứ ba sử dụng phương pháp mã hóa (Encryption) Dữ liệu mã hóa thuật tốn để hạn chế việc dù lấy liệu tin tặc chưa có khả đọc • Lớp thứ tư lớp bảo vệ vật lý (Physical Protection) nghĩa ta ngăn chặn quyền truy cập vật lý vào hệ thống • Lớp thứ năm (Firewall): Cài đặt hệ thống firewall (firewall) nhằm ngăn chặn thâm nhập trái phép, lọc gói tin mà ta khơng muốn gửi nhận vào Hình 1.1: Các lớp an tồn mạng Firewall gì? Khái niệm:  Firewall cứng: Là firewall tích hợp sẵn Router thiết bị chuyên dụng • Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái + Hoạt tính cao so với firewall mềm phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống + Tốc độ xử lý nhanh số thông tin khác không mong muốn + Bảo mật cao • Firewall ứng dụng chạy mạng cá nhân Internet + Chi phí đắt so với firewall mềm • Trong trường hợp phải có hai giao tiếp mạng, cho mạng mà bảo vệ,  Firewall mềm: Là firewall cài sẵn Server cho mạng cơng cộng bên ngồi Internet + Hoạt tính khơng cao firewall cứng + Tốc độ xử lý chậm + Có thể cài đặt dễ dàng máy server + Chi phí thấp so với firewall cứng Chức Năng Chức  Quản lý kiểm soát lưu lượng mạng (Manage and Control network traffic)   Xác thực truy cập (Authenticate Access) Bảo vệ tài nguyên (Protect Resources)  Ghi lại báo cáo kiện (Record and   Theo dõi luồng liệu mạng Internet LAN report on events) Kiểm soát địa truy nhập, cấm địa truy nhập  Hoạt động thiết bị trung gian (Act as an intermediary) Cấu Trúc Cấu trúc Firewall bao gồm:  Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router  Các phần mềm quản lý an ninh chạy hệ thông máy chủ Thông thường hệ quản trị xác thực, cấp quyền kế tốn Các thành phần firewall: +)Bộ lọc packet ( packetfiltering router ) +)Cổng ứng dụng +)Cổng mạch ( Circuite level gateway )  Nguyên lý hoạt động Nguyên lý hoạt động:  Bộ lọc paket (Paket filterring router): +) Firewall hoạt động chặt chẽ với giao thức TCI/IP chúng chia nhỏ liệu nhận thành gói liệu +) Mỗi gói so sánh với tập hợp tiêu chí trước chuyển riếp Ưu điểm: +) Chi phí thấp +) Khơng u cầu huấn luyện đặc biệt Nhược điểm: +) Việc định nghĩa chế độ lọc package việc phức tạp Hình 3.1 Mơ hình OSI +) lọc packet khơng kiểm sốt nơi dung thơng tin packet Ngun lý hoạt động Nguyên lý hoạt động: Ưu điểm:  +) Cho phép người quản trị mạng điều khiển dịch vụ mạng Cổng ứng dụng (application-level getway) +) cho phép kiểm tra độ xác thực tốt +) Ln chạy version an tồn (secure version) phần mềm hệ thống +) Luật lệ lọc filltering dễ dàng cấu hình kiểm tra so với lọc packet +) Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host +) Bastion host yêu cầu nhiều mức độ xác thực khác Nhược điểm: +) Yêu cầu users thay đổi thao tác, thay đổi phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy +) Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định +) Mỗi proxy trì nhật ký +) Mỗi proxy độc lập với proxies khác bastion host Nguyên lý hoạt động Nguyên lý hoạt động:  Cổng vòng (circuit-Level Gateway) • Là chức đặc biệt thực cổng ứng dụng • chuyển tiếp kết nối TCP mà khơng thực hành động xử lý hay lọc packet • Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà quản trị mạng thật tin tưởng người dùng bên Một bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối • Ứng dụng  • Ứng dụng Quản lý kiểm soát lưu lượng mạng: +) Chức mà tất firewall phải thực quản lý kiểm sốt lưu lượng mạng Điều có nghĩa phải biết gói tin qua nó, có kết nối thơng qua +) kiểm sốt gói tin vào kết nối với hệ thống bạn Firewall làm điều cách kiểm tra gói liệu giám sát kết nối thực • Kiểm tra gói tin (Packet Inspection): +) trình chặn xử lý liệu gói tin nhằm xác định liệu cho phép từ chối gói tin theo sách truy cập xác định +) Việc kiểm tra gói tin phải thực hướng (cả hướng hướng vô) interface, quy tắc kiểm soát truy cập phải áp dụng cho gói tin qua −Source IP Address −Source Port −Destination IP Address −Destination Port −IP Protocol 10 −Phần Header gói tin Ứng Dụng  • Ứng dụng Kết nối trạng thái kết nối (Connection State): • Stateful Packet Inspection : +) Giả sử có hai máy tính sử dụng giao thức TCP/IP muốn giao tiếp với chúng phải thiết lập vài kết nối với Kết nối nhằm mục đích - Thứ hai máy định danh nhau, điều đảm bảo hệ thống bạn không cung cấp liệu cho máy tính khơng tham gia kết nối - Thứ hai sử dụng để xác định cách thức mà hai máy tính liên lạc với nhau, nghĩa sử dụng connection-oriented (TCP) hay connectionless (UDP ICMP) +) chế lọc gói thơng minh, nhận dạng theo dõi *state* connection cách lưu trữ tất thơng tin connection đó, từ lúc khởi tạo kết thúc vào "table" +) sử dụng "table" để kiểm tra gói tin tương tự, ví dụ máy chủ khơng gửi gói SYN khơng thể tự nhiên có gói ACK trả lời +) Cấu trúc kết nối giúp ta xác định trạng thái truyền thơng hai 11 máy tính Ứng Dụng  • Ứng dụng Hoạt động thiết bị trung gian +) Nhu cầu kết nối Internet nhu cầu thiết thực thiếu • Quy trình làm việc sau: Khi client ngồi Internet, ví dụ muốn truy cập website doanh nghiệp Tuy nhiên việc cho phép máy tính nội hệ thống mạng http://www.abc.com thay client gửi request tới webserver gửi bạn kết nối trực tiếp mạng Internet đem lại nhiều nguy hiểm yêu cầu tới Proxy Server Proxy Server tiếp nhận yêu cầu hợp lệ xử lý yêu cầu Lúc Proxy thay mặt client Internet lấy thơng tin +) Người sử dụng bị lợi dụng để download phần mềm hay nội dung độc hại gây nguy hiểm cho hệ thống mạng bạn website http://www.abc.com Thông tin lấy Proxy Server kiểm tra sau trả lại cho client Các máy tính nội khơng nhận thấy khác biệt có Proxy Server, gần suốt +) Giải pháp đưa thay cho máy tính nội kết nối trực tiếp ngồi ta xây dựng firewall thành thiết bị có nhiệm vụ “thay mặt” máy tính 12 nội Internet Lúc firewall hoạt động Proxy Server Một số loại firewall Phân Loại Personal Firewalls +) Đây loại firewall thiết kế để bảo vệ máy tính trước truy cập trái phép Hiện phát triển nên nhiều tích hợp nhiều chức đáng giá diệt virus, diệt phần mềm độc hại, phát xâm nhập +) Những chức thường thấy personal firewall là: - Bảo vệ người dùng trước xâm nhập trái phép • Network firewall +) Được thiết kế để bảo vệ toàn hệ thống mạng máy tính Đây điểm khác biệt quan trọng network firewall personal firewall +) số lượng máy tính mà network firewall cần bảo vệ lớn nhiều so với số máy tính mà personal firewall cần bảo vệ +) Network firewall cung cấp cho doanh nghiệp linh hoạt an toàn tối - Cảnh báo người dùng mối nguy hại đa cho hệ thống mạng họ Hiện network firewall phát triển lên - Giám sát điều tiết tất ứng dụng sử dụng internet nhiều cách tích hợp nhiều tính khả phát xâm nhập, khả đọc gói tin sauu 13  • Một số loại firewall  • Phân Loại Server-based firewall +) Là loại software firewall cài đặt hệ điều hành mạng (Network Operating System) có chức firewall Nó triển khai tảng sau đây: • • • • Apple Mac OS X +) Một nhược điểm hệ điều hành viết để thực nhiều chức khác không chuyên biệt để cài firewall lên nên khơng có đảm bảo đạt hiệu suất tối đa UNIX (Solaris, HP-UX, IBM-AIX) GNU/Linux Microsoft Windows NT +) thích hợp cho mơi trường doanh nghiệp vừa nhỏ ưu điểm giá cả, quản trị dễ dàng đáp ứng đủ nhu cầu +) Nhược điểm cài đặt hệ điều hành nên phụ thuộc vào hệ điều hành Nếu hệ điều hành đó tồn có nhiều lỗ hổng bảo mật 14 kẻ cơng khai thác lỗ hổng để cơng firewall Kiến Trúc Mơ hình firewall Dual Homed Host Screened Host Screened Subnet Host Proxy Server 15 • • • • Dual Homed Host • Là hình thức xuất đấu để bảo vệ mạng nội • Là máy tính có hai giao tiếp mạng • Để làm việc với máy Internet, người dùng mạng cục trước hết phải login vào Dual– homed Host, từ 16 bắt đầu phiên làm việc Dual Homed Host Những đánh giá kiến trúc Dual Homed Host: • Để cung cấp dịch vụ cho người sử dụng internal network • Cấp account cho user máy dual–homed host này-> gây phiền phức cho user Ưu điểm: • Cài đặt dễ dàng, không yêu cầu phần cứng phần mềm đặc • Kết hợp với Proxy Server cung cấp Proxy Service -> khó cung cấp • Dễ bị cơng nên thích hợp dùng với mạng nhỏ biệt • Chỉ yêu cầu cấm khả chuyển gói tin Nhược điểm: • Khơng đáp ứng bảo mật ngày phức tạp, hệ phần mềm tung thị trường 17 • Khơng có khả chống cơng nhằm vào thân Screened Host •Kết hợp kỹ thuật Packet Filtering Proxy Services •Kiến trúc screened host hay kiến trúc dual– homed host tách chức lọc gói IP Proxy Server hai máy riêng biệt •Cũng tương tự kiến trúc Dual–Homed Host mà Packet Filtering system Bastion Host chứa Proxy Server bị đột nhập vào lưu thơng internal network bị 18 người cơng thấy Screened subnet host •Độ an tồn cao cung cấp mức bảo mật: Network Application •Hợp hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng •Kẻ cơng cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host Router •Router quảng cáo DMZ Network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet •Router ngồi quảng bá DMZ Network tới Internet, 19 hệ thống mạng nội khơng thể nhìn thấy Proxy Server •Chúng ta xây dựng Firewall theo kiến trúc application-level gateway, theo chương trình proxy đặt gateway cách mạng bên tới Internet •Bộ chương trình proxy phát triển dựa công cụ xây dựng Internet Firewall TIS •Bộ chương trình thiết kế để chạy Unix sử dụng TCP/IP với giao diện socket Berkeley •Bộ chương trình proxy thiết kế cho số cấu hình firewall, theo dạng bản: dual-home gateway, screened host gateway screened subnet gateway   vài virus 20 mà đòi hại t ak? Kết Luận •Tường lửa ngày đóng vai trò quan trọng việc bảo vệ mạng cuả tổ chức tránh danh sách gần vơ tận công đến từ internet Sự lựa chọn tường lửa thường định cách vịt trí từ xa kết nối với hệ thống trung tâm để truy cập vào tài nguyên cần thiết đẻ thực nhiệm vụ quan trọng dẽ dàng •Khơng có cánh cửa bảo vệ chống hồn tồn kẻ trộm lọt vào nhà cả, cánh cửa có khố tốt, ngơi nhà có tường cao bao quanh chủ nhà ni nhiều chó dữ, kẻ trộm khó lòng lọt vào Vì Firewall cơng cụ bảo vệ hệ 21 thống mạng máy tính, cần phải kèm theo với nhiều biện pháp an toàn khác 22 ... năm (Firewall) : Cài đặt hệ thống firewall (firewall) nhằm ngăn chặn thâm nhập trái phép, lọc gói tin mà ta khơng muốn gửi nhận vào Hình 1.1: Các lớp an tồn mạng Firewall gì? Khái niệm:  Firewall. .. (Record and   Theo dõi luồng liệu mạng Internet LAN report on events) Kiểm soát địa truy nhập, cấm địa truy nhập  Hoạt động thiết bị trung gian (Act as an intermediary) Cấu Trúc Cấu trúc Firewall. .. ta xây dựng firewall thành thiết bị có nhiệm vụ “thay mặt” máy tính 12 nội Internet Lúc firewall hoạt động Proxy Server Một số loại firewall Phân Loại Personal Firewalls +) Đây loại firewall thiết