Chương 7 Tường lửa. Sau khi học xong chương này người học có thể hiểu về: Tường lửa là gì, vị trí của tường lửa trong mô hình mạng máy tính. Mô tả được các đặc điểm của tường lửa, phân biệt được các loại tường lửa. Hiểu được nguyên lý cấu hình tường lửa. Trình bày được khái niệm hệ thống tín nhiệm và ứng dụng của chúng trong việc ngăn ngừa các tấn công bằng mã độc hại.
Chương Tường lửa (Firewall) • Khái niệm • Phân loại • Cấu hình • Các hệ thống tín nhiệm Bộ mơn MMT&TT 14/05/2010 Mục tiêu • Cung cấp cho người học nhìn tổng quan loại tường lửa cách thức sử dụng tường lửa • Sau hồn tất chương, sinh viên có khả năng: ▫ Trình bày tường lửa gì, vị trí tường lửa mơ hình mạng máy tính ▫ Mô tả đặc điểm tường lửa ▫ Phân biệt loại tường lửa ▫ Hiểu nguyên lý cấu hình tường lửa ▫ Trình bày khái niệm hệ thống tín nhiệm ứng dụng chúng việc ngăn ngừa công mã độc hại Bộ môn MMT&TT 14/05/2010 Khái niệm • Khái niệm Firewall Firewall có thể là :: •• 11 router router •• 11 PC PC thực thực thi thi phần phần mềm mềm chuyên chuyên dụng dụng •• Tập Tập hợp hợp nhiều nhiều thiết thiết bị bị phần phần cứng cứng •• Firewall Firewall được đặt đặt ở giữa mạng mạng nội nội bộ và mạng mạng ngoài (Internet) (Internet) •• Firewall Firewall sử sử dụng dụng điều điều khiển khiển truy truy cập cập để để bảo bảo đảm đảm tính tính an an tồn tồn cho cho mạng mạng nội nội bộ Bộ môn MMT&TT Mục Mục tiêu tiêu thiết thiết kế kế •• Tất Tất cả lưu lưu thơng thơng từ từ ngồi vào vào trong và ngược ngược lại lại đều phải phải đi qua qua Firewall Firewall •• Chỉ Chỉ có có những lưu lưu thông thông hợp hợp lệ lệ mới được phép phép đi qua qua •• Ngăn Ngăn chặn chặn các xâm xâm nhập nhập vào vào mạng mạng 14/05/2010 Khái niệm • Các kỹ thuật sử dụng Firewall 44 kỹ kỹ thuật thuật Firewall Firewall sử sử dụng: dụng: •• Điều Điều khiển khiển dịch dịch vụ: vụ: xác xác định định các loại loại dịch dịch vụ vụ mạng mạng nào có thể được truy truy cập cập vào vào hoặc ra, ra, lọc lọc lưu lưu thông thông mạng mạng dựa dựa theo theo địa địa chỉ IP IP và cổng cổng •• Điều Điều khiển khiển hướng: hướng: xác xác định định hướng hướng truy truy cập cập cho cho phép phép của từng loại loại dịch dịch vụ vụ •• Điểu Điểu khiển khiển người người dùng: dùng: dựa dựa vào vào kết kết quả chứng chứng thực thực để để xác xác định định đối đối tượng tượng có thể truy truy cập cập •• Điểu Điểu khiển khiển ứng ứng xử: xử: xác xác định định những dịch dịch vụ vụ đặc đặc biệt biệt được sử sử dụng dụng như VD: VD: cho cho phép phép truy truy cập cập từ từ ngoài vào vào 11 phần phần thơng thơng tin tin nào đó trên web web server server Bộ môn MMT&TT 14/05/2010 Khái niệm • Đặc điểm Firewall Giới Giới hạn hạn của Firewall Firewall •• Khơng Khơng thể thể ngăn ngăn chặn chặn các tấn công công không không đi qua qua Firewall Firewall như tấn công công thông thông qua qua đường đường truy truy xuất xuất Dialup Dialup •• Khơng Khơng thể thể bảo bảo vệ vệ trước trước các mối mối nguy nguy hại hại từ từ bên bên trong •• Khơng Khơng thể thể bảo bảo vệ vệ trước trước tấn công công của virus virus vào vào dữ liệu liệu hay hay phần phần mềm mềm Bộ môn MMT&TT Khả Khả năng của Firewall Firewall •• Là Là điểm điểm chặn chặn những kẻ kẻ trái trái phép phép ở ngoài mạng mạng riêng riêng của tổ tổ chức, chức, ngăn ngăn cấm cấm những dịch dịch vụ vụ nguy nguy hiểm, hiểm, bảo bảo vệ vệ mạng mạng trước trước các tấn công công giả giả mạo mạo và tấn công công vạch vạch đường đường •• Là Là nơi nơi để để giám giám sát sát và cảnh cảnh báo báo các sự kiện kiện bảo bảo mật mật trong mạng mạng •• Cung Cung cấp cấp nền cho cho các chức chức năng trên Internet Internet như: như: NAT, NAT, kiểm kiểm sốt, sốt, ghi ghi log log •• Có Có thể thể sử sử dụng dụng để để cài cài đặt đặt VPN VPN 14/05/2010 Phân loại • Firewall tầng ứng dụng (application layer firewall) Còn Còn gọi gọi là Proxy Proxy Firewall Firewall •• Thường Thường được cấu cấu hình hình chỉ cho cho phép phép sử sử dụng dụng các dịch dịch vụ vụ cơ bản như Web, Web, FTP, FTP, SMTP, SMTP, Telnet, Telnet, … … •• Che Che dấu dấu địa địa chỉ nguồn nguồn yêu yêu cầu cầu từ từ mạng mạng nội nội bộ •• Đa Đa số dạng dạng ứng ứng dụng dụng => => chậm, chậm, khơng khơng thích thích hợp hợp với với mạng mạng lớn lớn Bộ môn MMT&TT 14/05/2010 Phân loại • Firewall lọc gói (paket filtering) Còn Còn gọi gọi là Stateless Stateless Firewall Firewall Cisco Cisco PIX PIX Firewall Firewall hỗ hỗ trợ trợ các Firewall Firewall loại loại này Cài Cài đặt đặt các quy quy tắc tắc (rule) (rule) điều điều khiển khiển lưu lưu thông thông mạng mạng dựa dựa theo: theo: •• Địa Địa chỉ IP IP của nơi nơi gửi gửi •• Địa Địa chỉ IP IP của nơi nơi nhận nhận Bộ mơn MMT&TT 14/05/2010 Phân loại • Firewall đầy đủ trạng thái (stateful) Kiểm Kiểm tra tra cả tầng tầng 44 Cisco Cisco PIX PIX Firewall Firewall hỗ hỗ trợ trợ các Firewall Firewall loại loại này Cài Cài đặt đặt các quy quy tắc tắc (rule) (rule) điều điều khiển khiển lưu lưu thơng thơng mạng mạng dựa dựa theo: theo: •• Địa Địa chỉ IP IP của nơi nơi gửi gửi •• Địa Địa chỉ IP IP của nơi nơi nhận nhận Một Một số số khác khác còn cho cho phép phép kiểm kiểm •• Cổng Cổng của quá trình trình gửi gửi tra tra nội nội dung dung dữ liệu liệu và tính tính bất bất •• Cổng Cổng của quá trình trình nhận nhận thường thường của giao giao thức thức Bộ môn MMT&TT 14/05/2010 Phân loại • Firewall duyệt sâu gói tin (deep packet layer) IDS IDS và Cisco Cisco Netscreen Netscreen Firewall Firewall hỗ hỗ trợ trợ Firewall Firewall loại loại này Kiểm Kiểm tra tra trên tất các tầng tầng Tương Tương tự tự như Stateful Stateful packet packet nhưng bổ bổ sung sung thêm thêm các tính tính năng: năng: •• Đảm Đảm bảo bảo các gói gói tin tin phù phù hợp hợp với với giao giao thức thức •• Đảm Đảm bảo bảo các gói gói tin tin phù phù hợp hợp với với các mô mô tả tả chi chi tiết tiết •• Đảm Đảm bảo bảo các gói gói tin tin khơng khơng phải phải là các phần phần mềm mềm tấn cơng cơng •• Đảm Đảm bảo bảo tính tính toàn toàn vẹn vẹn của dữ liệu liệu truyền truyền đi giữa các thiết thiết bị bị Bộ môn MMT&TT 14/05/2010 Chống Chống tấn công công DoS DoS và chống chống virus virus Cấu hình • Các quy tắc – Packet filter firewall Action Our host Port Their host Port Comment Block * * 203.1.2.3 * Mọi truy cập từ 203.1.2.3 bị cấm Allow Server1 25 * * Cho phép truy cập từ vào Server1 với dịch vụ SMTP Block * * * * Default Đây Đây là chính sách sách mặc mặc nhiên, nhiên, thường thường được thêm thêm vào vào cuối cuối bảng bảng quy quy tắc tắc => => Ngoài Ngoài các quy quy tắc tắc định định nghĩa nghĩa phía phía trên, trên, mọi thứ thứ truy truy cập cập khác khác đều bị bị cấm cấm Bộ môn MMT&TT 14/05/2010 10 Cấu hình • Các quy tắc – Packet filter firewall Action Our host Port Their host Port Comment Allow * * * 25 Nối kết đến SMTP Server Cho Cho phép phép tất máy máy tính tính bên bên trong mạng mạng cục cục bộ có thể gửi gửi mail mail trực trực tiếp tiếp đến đến các SMTP SMTP Server Server ở mạng mạng bên bên ngồi ngồi Có Có thể thể bị bị Hacker Hacker lợi lợi dụng dụng bằng cách cách giả giả mạo mạo 11 ứng ứng dụng dụng cổng cổng 25 25 để để kết kết nối nối ngược ngược lại lại các máy máy tính tính bên bên trong Bộ mơn MMT&TT 14/05/2010 11 Cấu hình • Các quy tắc – Packet filter firewall Action Source Source Port Dest Dest Port Allow Our hosts * * 25 Allow * 25 * * Flag Comment Nối kết đến SMTP Server ACK Cho phép trả lời từ SMTP Server gửi lại Thay Thay đổi đổi cách cách định định nghĩa nghĩa các quy quy tắc tắc (tránh (tránh tạo tạo lổ lổ hổng hổng cho cho khai khai thác): thác): •• Các Các máy máy tính tính bên bên trong mạng mạng có thể gửi gửi mail mail trực trực tiếp tiếp đến đến các SMTP SMTP Server Server •• Mọi Mọi trả trả lời lời từ từ các SMTP SMTP Server Server đều cho cho phép phép đi vào vào mạng mạng Bộ môn MMT&TT 14/05/2010 12 Cấu hình • Các quy tắc – Packet filter firewall Một Một ví ví dụ dụ thực thực tế tế về các quy quy tắc tắc tại Firewall Firewall Bộ mơn MMT&TT 14/05/2010 13 Cấu hình • Các quy tắc – Stateful firewall Quy Quy định định các giao giao dịch dịch cụ cụ thể thể nào được sử sử dụng dụng Bộ môn MMT&TT Source Address Source Port Destination Address Destination Port Connection State 192.168.1.100 1030 210.9.88.29 80 Established 192.168.1.102 1031 216.32.42.123 80 Established 192.168.1.101 1033 173.66.32.122 25 Established 192.168.1.106 1035 177.231.32.12 79 Established 223.43.21.231 1990 192.168.1.6 80 Established 219.22.123.32 2112 192.168.1.6 80 Established 210.99.212.18 3321 192.168.1.6 80 Established 24.102.32.23 1025 192.168.1.6 80 Established 14/05/2010 14 ... Server Cho Cho phép phép tất máy máy tính tính bên bên trong mạng mạng cục cục bộ có thể gửi gửi mail mail trực trực tiếp tiếp đến đến các SMTP SMTP Server Server ở mạng mạng bên bên ngồi ngồi Có... loại loại dịch dịch vụ vụ mạng mạng nào có thể được truy truy cập cập vào vào hoặc ra, ra, lọc lọc lưu lưu thông thông mạng mạng dựa dựa theo theo địa địa chỉ IP IP và cổng cổng •• Điều Điều... đặt ở giữa mạng mạng nội nội bộ và mạng mạng ngồi ngồi (Internet) (Internet) •• Firewall Firewall sử sử dụng dụng điều điều khiển khiển truy truy cập cập để để bảo bảo đảm đảm tính tính an an