Đồ án hướng tới việc nghiên cứu và triển khai hệ thống firewall ASA. Đồ án tổng hợp được lý thuyết về bảo mật nói chung và hệ thống firewall ASA nói riêng. Đồ án cũng đưa ra phương pháp thiết kế xây dựng phương án bảo mật hệ thống bằng firewall và phương thức cài đặt cấu hình cho hệ thống mô phỏng sử dụng firewall ASA.
Trang 1M C L C Ụ Ụ
Trang 2DANH M C CÁC HÌNH V Ụ Ẽ
Trang 3THÔNG TIN K T QU NGHIÊN C U Ế Ả Ứ
1. Thông tin chung
Tên đ tài:ề Nghiên c u tri n khai h th ng firewall ứ ể ệ ố
ASASinh viên th c hi n: Tr n Văn Hi uự ệ ầ ế
h ng t bên trong và h tr t t cho các phổ ừ ỗ ợ ố ương pháp b o m t truy n th ng.ả ậ ề ố
Đ án hồ ướng t i vi c nghiên c u và tri n khai h th ng firewall ASA. Đớ ệ ứ ể ệ ố ồ
án t ng h p đổ ợ ược lý thuy t v b o m t nói chung và h th ng firewall ASA nóiế ề ả ậ ệ ố riêng. Đ án cũng đ a ra phồ ư ương pháp thi t k xây d ng phế ế ự ương án b o m t hả ậ ệ
th ng b ng firewall và phố ằ ương th c cài đ t c u hình cho h th ng mô ph ng sứ ặ ấ ệ ố ỏ ử
Trang 4Lý thuy t v các v n đ an ninh m ng, các phế ề ấ ề ạ ương th c t n công,ứ ấ
b c tứ ường l a; gi i thi u v firewall ASA, c ch ho t đ ng vàử ớ ệ ề ơ ế ạ ộ
Trang 5Trong lĩnh v c an ninh m ng, firewall là m t k thu t đự ạ ộ ỹ ậ ược tích h p vàoợ
h th ng m ng đ ch ng s truy c p trái phép, nh m b o v các ngu n thông tinệ ố ạ ể ố ự ậ ằ ả ệ ồ
n i b và h n ch s xâm nh p không mong mu n vào h th ng. Firewall độ ộ ạ ế ự ậ ố ệ ố ượ ccoi nh là m t h th ng phòng thù mà t i đó nó ki m soát t t c các lu ng l uư ộ ệ ố ạ ể ấ ả ồ ư thong nh p xu t.ậ ấ
Xây d ng h th ng an ninh m ng s d ng firewall là m t gi i pháp nh mự ệ ố ạ ử ụ ộ ả ằ nâng cao tính b o m t c a h th ng.ả ậ ủ ệ ố
Hi n t i firewall ASA v n đang đệ ạ ẫ ược nghiên c u, phát tri n và s d ngứ ể ử ụ
r ng rãi.ộ
2. Tính c p thi t, ý nghĩa khoa h c và th c ti n c a đ tàiấ ế ọ ự ễ ủ ề
V i s bùng n ngày càng m nh m c a m ng máy tính và Internet, cácớ ự ổ ạ ẽ ủ ạ
qu c gia, các t ch c, các công ty và t t c m i ngố ổ ứ ấ ả ọ ườ ềi đ u có th k t n i vàoể ế ố Internet đ khai thác và truy n bá thông tin. ể ề
Chính vì thông tin có t m quan tr ng l n nh v y nên vi c b o v ,ầ ọ ớ ư ậ ệ ả ệ làm trong s ch ngu n tài nguyên thông tin trên m ng đã, đang và sạ ồ ạ ẽ luôn là v n đ r t c n thi t không ch đ i v i nh ng chuyên gia anấ ề ấ ầ ế ỉ ố ớ ữ ninh m ng mà còn v i t t c nh ng ngạ ớ ấ ả ữ ười tham gia vào m ng máyạ tính và Internet. Vì v y vi c s d ng tậ ệ ử ụ ường l a cho các m ng máyử ạ tính là m t v n đ c n thi t.ộ ấ ề ầ ế
Đ tài nghiên c u t ng quan tề ứ ổ ường l a, các cách th c t n công h th ng,ử ứ ấ ệ ố các chính sách an ninh m ng; gi i thi u v firewall ASA, các ch c năng c b nạ ớ ệ ề ứ ơ ả
Trang 6m ng n i b , ch ng virus. ng d ng h tr t t cho các phạ ộ ộ ố Ứ ụ ỗ ợ ố ương pháp b o m tả ậ truy n th ng khác.ề ố
Đ tài tri n khai firewall ASA phù h p v i th c ti n, nên đề ể ợ ớ ự ễ ượ ức ng d ngụ
r ng rãi và r t phù h p v i các doanh nghi p v a và nh ộ ấ ợ ớ ệ ừ ỏ
Trang 7L I C M N Ờ Ả Ơ
Em xin bày t s c m n sâu s c c a mình t i t t c m i ngỏ ự ả ơ ắ ủ ớ ấ ả ọ ười: gia đình, th y cô, b n bè. Trong quá trình h c t p và đ c bi t th i gianầ ạ ọ ậ ặ ệ ờ
th c hi n đ án t t nghi p, em đã nh n đự ệ ồ ố ệ ậ ược s đ ng viên và giúpự ộ
đ to l n đ hoàn thành đ án này.ỡ ớ ể ồ
Em xin chân thành c m n ThS. Đào Anh Th , ngả ơ ư ười đã đ nh hị ướ ngcho em trong vi c l a ch n đ tài, đ a ra nh ng nh n xét quý giá vàệ ự ọ ề ư ữ ậ
tr c ti p hự ế ướng d n, h tr em trong quá trình nghiên c u và hoànẫ ỗ ợ ứ thành lu n văn t t nghi p.ậ ố ệ
Em xin c m n các th y cô b môn M ng Máy Tính, Khoa Côngả ơ ầ ộ ạ ngh thông tin, Trệ ường Đ i h c M Đ a ch t đã t n tình gi ng d yạ ọ ỏ ị ấ ậ ả ạ
em trong su t th i gian h c t p t i trố ờ ọ ậ ạ ường
Cu i cùng, em xin g i l i c m n đ c bi t t i gia đình c a mình, n iố ử ờ ả ơ ặ ệ ớ ủ ơ
đã đ ng viên em r t l n, c vũ nhi t tình và là đ ng l c đ em n l cộ ấ ớ ổ ệ ộ ự ể ỗ ự
h c t p, nghiên c u và hoàn thi n b n thân.ọ ậ ứ ệ ả
Hà N i, ngày 1 tháng 6 năm 2017ộ
Tr n Văn Hi uầ ế
Trang 8T NG QUAN V T Ổ Ề ƯỜ NG L A Ử
o Các v n đ an ninh m ngấ ề ạ Các cu c t n công m ng hi n nay đ u có ch đích và gây ra nh ngộ ấ ạ ệ ề ủ ữ thi t h i vô cùng to l n. Chính vì v y, an ninh m ng đang là v n đ nóng b ngệ ạ ớ ậ ạ ấ ề ỏ
và c p thi t.ấ ế
Năm 2016, m c thi t h i do virus máy tính gây ra đ i v i ngứ ệ ạ ố ớ ườ idùng Vi t Nam lên t i 10.400 t , vệ ớ ỷ ượt qua m c 8.700 t đ ng năm 2015. Đây làứ ỷ ồ
k t qu t chế ả ừ ương trình đánh giá an ninh m ng đạ ược T p đoàn công ngh Bkavậ ệ
th c hi n vào tháng 12/2016. Mã đ c mã hóa d li u Ransomware, virus lây quaự ệ ộ ữ ệ USB, v n n n tin nh n rác và nguy c t các cu c t n công có ch đích APT làấ ạ ắ ơ ừ ộ ấ ủ
nh ng ch đi m nóng nh t c a năm 2016.ữ ủ ể ấ ủ
Bùng n mã đ c mã hóa d li u Ransomwareổ ộ ữ ệ
Đúng nh d báo trong t ng k t cu i năm 2015 c a các chuyên giaư ự ổ ế ố ủ Bkav, năm 2016 đã ghi nh n s bùng n c a mã đ c mã hóa d li u t ng ti nậ ự ổ ủ ộ ữ ệ ố ề ransomware. Th ng kê t h th ng giám sát virus c a Bkav cho th y, có t i 16%ố ừ ệ ố ủ ấ ớ
lượng email l u chuy n trong năm 2016 là email phát tán ransomware, nhi u g pư ể ề ấ
20 l n năm 2015. Nh v y c trung bình 10 email nh n đầ ư ậ ứ ậ ược trong năm 2016 thì
ngườ ử ụi s d ng s g p 1,6 email ch a ransomware, m t con s r t đáng báo đ ng.ẽ ặ ứ ộ ố ấ ộ
Ransomware chuyên mã hóa các file d li u trên máy, khi n ngữ ệ ế ườ i
s d ng không th m file n u không tr ti n chu c cho hacker. S ti n chu cử ụ ể ở ế ả ề ộ ố ề ộ
kh ng l hacker ki m đổ ồ ế ược chính là nguyên nhân d n t i s bùng n c a lo i mãẫ ớ ự ổ ủ ạ
đ c nguy hi m này. Đ phòng tránh, t t nh t ngộ ể ể ố ấ ười dùng nên trang b cho mìnhị
ph n m m di t virus đ đầ ề ệ ể ược b o v t đ ng, luôn m file t i v t email trongả ệ ự ộ ở ả ề ừ môi trường cách ly an toàn Safe Run
Virus USB ch a h t th iư ế ờ
Vi c c t b tính năng Auto Run trong các h đi u hành c aệ ắ ỏ ệ ề ủ Microsoft không làm cho virus USB tr nên h t th i. Theo chở ế ờ ương trình đánh giá
an ninh m ng 2016 c a Bkav, t l USB b nhi m virus trong năm 2016 v n ạ ủ ỷ ệ ị ễ ẫ ở
m c r t cao 83%, không gi m so v i 2015.ứ ấ ả ớ
Lý gi i đi u này, các chuyên gia c a Bkav phân tích, n l c c aả ề ủ ỗ ự ủ Microsoft ch h n ch đỉ ạ ế ược các dòng virus lây tr c ti p qua Auto Run nhự ế ư W32.AutoRunUSB Tuy nhiên, s tăng trự ưởng m nh c a dòngạ ủ
Trang 9W32.UsbFakeDrive, dòng virus không c n AutoRun v n có th lây nhi m ch v iầ ẫ ể ễ ỉ ớ
m t cú "click" khi n cho USB ti p t c là ngu n lây nhi m virus ph bi n nh t.ộ ế ế ụ ồ ễ ổ ế ấ Theo th ng kê t h th ng giám sát virus c a Bkav, có t i 16,7 tri u lố ừ ệ ố ủ ớ ệ ượt máy tính được phát hi n là nhi m virus lây qua USB trong năm 2016. Trong đó ch 11%ệ ễ ỉ
là đ n t dòng virus lây tr c ti p b ng Auto Run, còn t i 89% là dòngế ừ ự ế ằ ớ W32.UsbFakeDrive
Đã đ n lúc ph i ki m soát ch t ch vi c s d ng USB đ h n chế ả ể ặ ẽ ệ ử ụ ể ạ ế
s lây lan c a virus. Ngự ủ ười dùng cá nhân c n trang b ph n m m di t virusầ ị ầ ề ệ
thường tr c đ quét USB trự ể ước khi s d ng, h n ch s d ng USB trên các máyử ụ ạ ế ử ụ
l V i các c quan doanh nghi p, c n trang b gi i pháp ki m soát chính sách anạ ớ ơ ệ ầ ị ả ể ninh đ ng b , trong đó có ki m soát, phân quy n s d ng USB theo nhu c u vàồ ộ ể ề ử ụ ầ
đ quan tr ng c a t ng máy.ộ ọ ủ ừ
T n công có ch đích APT qu bom h n giấ ủ ả ẹ ờ
T n công có ch đích, hay t n công APT g n đây đấ ủ ấ ầ ược nh c t iắ ớ liên t c, đ c bi t trong an toàn thông tin năm 2016.ụ ặ ệ
Thu t ng APT (Advanced Persistent Threat) đậ ữ ược dùng đ ch ki uể ỉ ể
t n công dai d ng và có ch đích vào m t th c th K t n công có th đấ ẳ ủ ộ ự ể ẻ ấ ể ược hỗ
tr b i chính ph c a m t nợ ở ủ ủ ộ ước nào đó nh m tìm ki m thông tin tình báo t m tằ ế ừ ộ chính ph nủ ước khác. Tuy nhiên không lo i tr m c tiêu t n công có th ch làạ ừ ụ ấ ể ỉ
ch ký (signature) tr nên b t l c trong vi c phát hi n và ngăn ch n.ữ ở ấ ự ệ ệ ặ
Chiêu th c đánh l a ki u phi k thu t (social engineering) thông quaứ ừ ể ỹ ậ
nh ng email hay website có ch a mã đ c v n đữ ứ ộ ẫ ược hacker dùng nhi u và r t hi uề ấ ệ
qu Xu hả ướng BYOD (mang máy tính cá nhân đi làm) và người dùng truy c pậ làm vi c t xa cũng t o đi u ki n h n cho hacker xâm nh p m ng TC/DN (dệ ừ ạ ệ ệ ơ ậ ạ ữ
li u n i b ). Vi c truy tìm hacker không h d , ch a k là t i ph m t n côngệ ộ ộ ệ ề ễ ư ể ộ ạ ấ
m ng và n n nhân thạ ạ ường không cùng m t qu c gia nên càng gây khó cho các cộ ố ơ quan th c thi pháp lu t.ự ậ
Trang 10Hacker có quá nhi u l i th so v i bên b t n công. Chúng d dàngề ợ ế ớ ị ấ ễ
k t n i v i các hacker lão luy n trên m ng, có nhi u đi m y u trên h th ngế ố ớ ệ ạ ề ể ế ệ ố phòng th đ khai thác t n công và có m c tiêu rõ ràng. Trong khi đó đ i tủ ể ấ ụ ố ượng bị
t n công có quá nhi u công vi c thấ ề ệ ường ngày, không d gì t p trung toàn b s cễ ậ ộ ứ
l c cho h th ng phòng th v n luôn có nhi u s h , h cũng không có đi uự ệ ố ủ ố ề ơ ở ọ ề
ki n giao ti p thệ ế ường xuyên v i các chuyên gia và ch m t sai l m là ph i tr giá.ớ ỉ ộ ầ ả ả
“Không t ch c nào có th an toàn” khi t i ph m m ng đang giaổ ứ ể ộ ạ ạ tăng xu hướng t n công có m c đích, có t ch c và có trình đ cao.ấ ụ ổ ứ ộ
Xu hướng t n công 2017ấ
V i th c tr ng nhi u c quan, doanh nghi p đã b nhi m mã đ cớ ự ạ ề ơ ệ ị ễ ộ gián đi p n m vùng, năm 2017 s còn ti p t c ch ng ki n nhi u cu c t n côngệ ằ ẽ ế ụ ứ ế ề ộ ấ
có ch đích APT v i quy mô t nh t i l n. Mã đ c mã hóa t ng ti n ti p t củ ớ ừ ỏ ớ ớ ộ ố ề ế ụ bùng n , xu t hi n nhi u hình th c phát tán tinh vi và bi n th m i. Mã đ c trênổ ấ ệ ề ứ ế ể ớ ộ
di đ ng ti p t c tăng v i nhi u dòng mã đ c khai thác l h ng nh m chi mộ ế ụ ớ ề ộ ỗ ổ ằ ế quy n root, ki m soát toàn b đi n tho i.ề ể ộ ệ ạ
Bên c nh đó, nhi u l h ng nguy hi m trên n n t ng Linux đạ ề ỗ ổ ể ề ả ượ cphát hi n s đ t các thi t b ch y trên n n t ng này trệ ẽ ặ ế ị ạ ề ả ước nguy c b t n công.ơ ị ấ
S bùng n thi t b k t n i Internet nh Router Wifi, Camera IP… khi n an ninhự ổ ế ị ế ố ư ế trên các thi t b này thành v n đ nóng. Thi t b n k t n i Internet có th s làế ị ấ ề ế ị ế ố ể ẽ đích nh m c a hacker trong năm t i.ắ ủ ớ
o Các phương th c t n côngứ ấ
Mã đ cộ
Virus
V c b n, đó là m t chề ơ ả ộ ương trình mà có th lây lan (l p l i) tể ặ ạ ừ
m t máy tính khác. M t virus thộ ộ ường ph i đả ược đ a th ng vào m t t p tin th cư ẳ ộ ậ ự thi đ ch y. Khi t p tin th c thi b nhi m để ạ ậ ự ị ễ ược kh i ch y, nó có th s lây lanở ạ ể ẽ sang các file th c thi khác v i nhi u t c đ khác nhau nh ng thự ớ ề ố ộ ư ường là r t nhanh.ấ
Hi u chính xác đ cho m t virus lây lan, nó thể ể ộ ường đ i h i m t s can thi p c aỏ ỏ ộ ố ệ ủ
người dùng. Ví d n u b n đã t i v m t t p tin đính kèm t email c a b n vàụ ế ạ ả ề ộ ậ ừ ủ ạ
h u qu sau khi m t p tin nó đã lây nhi m đ n h th ng c a b n, đó chính làậ ả ở ậ ễ ế ệ ố ủ ạ virus vì nó đòi h i ngỏ ườ ử ụi s d ng ph i m t p tin. Virus có nhi u cách r t khéoả ở ậ ề ấ léo đ chèn mình vào các file th c thi. Có m t lo i virus để ự ộ ạ ược g i là cavity virus,ọ
Trang 11có th chèn chính nó vào ph n s d ng c a m t t p tin th c thi, do đó nó l iể ầ ử ụ ủ ộ ậ ự ạ không làm t n t i đ n t p tin cũng nh làm tăng kích thổ ạ ế ậ ư ướ ủc c a file.
Computer Worm
M t computer worm gi ng nh virus ngoài tr vi c nó có th t táiộ ố ư ừ ệ ể ự
t o. Nó không ch có th nhân r ng mà không c n đ n vi c ph i “đ t kích” vàoạ ỉ ể ộ ầ ế ệ ả ộ
“b não” c a file và nó cũng r t a thích s d ng m ng đ lây lan đ n m i ngócộ ủ ấ ư ử ụ ạ ể ế ọ ngách c a h th ng. Đi u này có nghĩa là m t computer worm có đ kh năng đủ ệ ố ề ộ ủ ả ể làm thi t h i nghiêm tr ng cho toàn th m ng lệ ạ ọ ể ạ ưới, trong khi m t “em” virus chộ ỉ
thường nh m đ n các t p tin trên máy b nhi m. ắ ế ậ ị ễ
T t c worm đ u có ho c không có t i tr ng. N u không có t iấ ả ề ặ ả ọ ế ả
tr ng, nó s ch sao chép chính nó qua m ng và cu i cùng làm ch m m ng xu ngọ ẽ ỉ ạ ố ậ ạ ố
vì chúng làm tăng l u lư ượng c a m ng. N u m t worm có t i tr ng nhân b n, nóủ ạ ế ộ ả ọ ả
s c g ng th c hi n m t s nhi m v khác nh xóa t p tin, g i email, hay càiẽ ố ắ ự ệ ộ ố ệ ụ ư ậ ở
đ t backdoor. Thông qua backdoor, h th ng c a b n đặ ệ ố ủ ạ ược xem nh là m tư ộ
“vùng tr i t do” vì m i s xác th c s đờ ự ọ ự ự ẽ ược b qua và s truy c p t xa vàoỏ ự ậ ừ máy tính không ph i là đi u không th ả ề ể
Worms lây lan ch y u là do l h ng b o m t trong h đi u hành.ủ ế ỗ ổ ả ậ ệ ề
Đó là lý do t i sao đi u quan tr ng nh t đ i v i b o m t là ngạ ề ọ ấ ố ớ ả ậ ười dùng ph i luônả cài đ t, update các b n c p nh t b o m t m i nh t cho h đi u hành c a mình.ặ ả ậ ậ ả ậ ớ ấ ệ ề ủ
Trojan horse
M t Trojan Horse là m t chộ ộ ương trình ph n m m đ c h i mà khôngầ ề ộ ạ
c g ng đ t tái t o, thay vào đó nó s đố ắ ể ự ạ ẽ ược cài đ t vào h th ng c a ngặ ệ ố ủ ườ idùng b ng cách gi v là m t chằ ả ờ ộ ương trình ph n m m h p pháp. Tên c a nóầ ề ợ ủ
xu t phát t th n tho i Hy L p cũng đã khi n nhi u ngấ ừ ầ ạ ạ ế ề ười dùng tưởng ch ngừ
nh nó vô h i và đó l i chính là th đo n c a nó đ khi n ngư ạ ạ ủ ạ ủ ể ế ười dùng cài đ t nóặ trên máy tính c a mình. ủ
Khi m t Trojan Horse độ ược cài đ t trên máy tính c a ngặ ủ ười dùng,
nó s không c g ng đ gài chính nó vào m t t p tin nh virus, nh ng thay vàoẽ ố ắ ể ộ ậ ư ư
đó nó s cho phép các hacker ho t đ ng đ đi u khi n máy tính c a ngẽ ạ ộ ể ề ể ủ ười dùng
t xa. M t trong nh ng ng d ng ph bi n nh t c a m t máy tính b nhi mừ ộ ữ ứ ụ ổ ế ấ ủ ộ ị ễ
Trang 12Trojan Horse là làm cho nó tr thành m t ph n c a botnet. M t botnet c b n làở ộ ầ ủ ộ ơ ả
m t lo t các máy độ ạ ược k t n i qua Internet và sau đó có th đế ố ể ược s d ng đử ụ ể
g i th rác ho c th c hi n m t s nhi m v nh các cu c t n công Denial ofử ư ặ ự ệ ộ ố ệ ụ ư ộ ấ service (t ch i d ch v ) thừ ố ị ụ ường có trên các Website.
Trước đây, vào th i đi m năm 1998, có m t lo i Trojan Horse r tờ ể ộ ạ ấ
ph bi n là Netbus. Chính Trojan này l i đổ ế ạ ược các sinh viên đ i h c nạ ọ ước ngoài
r t a dùng đ cài đ t nó trên máy tính l n nhau v i m c đích ch là “ch i khăm”ấ ư ể ặ ẫ ớ ụ ỉ ơ
đ i th Nh ng h u qu không ch d ng đó vì Netbus đã làm s p đ nhi u máyố ủ ư ậ ả ỉ ừ ở ụ ổ ề tính, ăn c p d li u tài chính, đi u khi n bàn phím đ đăng nh p h th ng và gâyắ ữ ệ ề ể ể ậ ệ ố nên nh ng h u qu khôn lữ ậ ả ường khi n nh ng ngế ữ ười tham gia cu c ch i cũng ph iộ ơ ả
do đó đa ph n khi b Rootkit t n công s l a ch n duy nh t c a b n đôi khi làầ ị ấ ự ự ọ ấ ủ ạ
ph i cài đ t l i toàn b h đi u hành đang s d ng. ả ặ ạ ộ ệ ề ử ụ
Theo các nhà chuyên môn, đ thoát kh i m t rootkit mà không ph iể ỏ ộ ả cài đ t l i h đi u hành, b n nên kh i đ ng vào m t h đi u hành thay th vàặ ạ ệ ề ạ ở ộ ộ ệ ề ế sau đó c g ng đ làm s ch các rootkit ho c ít nh t n u không mu n dùng l i hố ắ ể ạ ặ ấ ế ố ạ ệ
đi u hành đó b n cũng có th t o ra b n sao các d li u quan tr ng đ s d ngề ạ ể ạ ả ữ ệ ọ ể ử ụ
tr l i. C n chú ý r ng, rootkit cũng có th đi kèm v i tr ng t i, theo đó chúngở ạ ầ ằ ể ớ ọ ả
Trang 13kh u và thông tin b t ẩ ắ đượ đ đc ể i vào đượ m ng đ kh i đ ng m t cu c t nc ạ ể ở ộ ộ ộ ấ công m ng.ạ
Ngoài vi c đệ ược s d ng đ tr c ti p tham gia vào m t cu c t nử ụ ể ự ế ộ ộ ấ công m ng, ph n m m gián đi p cũng có th đạ ầ ề ệ ể ượ ử ục s d ng đ thu th p thông tinể ậ
có th để ược bán m t cách bí m tộ ậ Thông tin này, m t l n mua, có th độ ầ ể ược sử
d ng b i m t k t n côngụ ở ộ ẻ ấ khác đó là "khai thác d li u" đ s d ng trong ữ ệ ể ử ụ vi cệ
l p ậ k ho ch ế ạ cho m t cu c t n công m ngộ ộ ấ ạ khác
T n công t ch i d ch vấ ừ ố ị ụ
Denial of Service
M t ộ cu c ộ t n công t ch i d ch v (DoS) là m t cu c t n côngấ ừ ố ị ụ ộ ộ ấ
m ng có k t qu trong vi c t ch i d ch v b ng m t ng d ng yêu c u nh làạ ế ả ệ ừ ố ị ụ ằ ộ ứ ụ ầ ư
m t máy ch web. Có m t vài c ch đ t o ra m t cu c t n công DoS. ộ ủ ộ ơ ế ể ạ ộ ộ ấ
Các phương pháp đ n gi n nh t là t o ra m t lơ ả ấ ạ ộ ượng l n nh ng gìớ ữ
xu t hi n đ đấ ệ ể ượ l u lc ư ượ m ng h p l Đây là lo i t n công DoS m ng cng ạ ợ ệ ạ ấ ạ ố
g ng đ làm ngh n các ng d n l u lắ ể ẽ ố ẫ ư ượng truy c p m ng đ s d ng h p lậ ạ ể ử ụ ợ ệ không th có để ược thông qua k t n i m ng. Tuy nhiên, lo i DoS thông thế ố ạ ạ ườ ng
c n ph i đầ ả ược phân ph i b i vì nó thố ở ường đòi h i nhi u ngu n đ t o ra cácỏ ề ồ ể ạ
cu c t n côngộ ấ
M t cu c t n công DoS l i d ng th c t là h th ng m c tiêu nhộ ộ ấ ợ ụ ự ế ệ ố ụ ư các máy ch ph i duy trì thông tin tr ng thái và có th có kích thủ ả ạ ể ước b đ m vàộ ệ
d ki n n i dung gói tin m ng cho các ng d ng c th M t cu c t n công DoSự ế ộ ạ ứ ụ ụ ể ộ ộ ấ
có th khai thác l h ng này b ng cách g i các góiể ỗ ổ ằ ử có giá tr kích c và d li uị ỡ ữ ệ
mà không như mong đ i c a các ng d ng nh n đợ ủ ứ ụ ậ ượ c
M t s lo i t n công DoS t n t i, bao g m các cu c t n côngộ ố ạ ấ ồ ạ ồ ộ ấ Teardrop và Ping of Death, mà g i các gói th công m ng khác nhau t nh ngử ủ ạ ừ ữ
ng d ng d ki n và có th gây ra s p đ các ng d ng và máy ch Nh ng
Trang 14DDoS tương t nh trong ý đ nh c a ự ư ị ủ cu c ộ t n công DoS, ngo i trấ ạ ừ
cu c t n công DDoS ộ ấ t o raạ nhi uề ngu nồ t n công. Ngoài ra đ tăng lấ ể ượng truy
c p m ng t nhi uậ ạ ừ ề k t n công phân ẻ ấ tán, m t cu c t n công DDoS cũng ộ ộ ấ đ a raư
nh ng thách th c ữ ứ c aủ yêu c u b o v m ng đ xác đ nh và ngăn ch n ầ ả ệ ạ ể ị ặ m iỗ kẻ
t n công phân ấ tán.
T n công l h ng b o m t webấ ỗ ổ ả ậ
Th nh t là các t n công nh SQL injection đứ ấ ấ ư ược s d ng ngàyử ụ càng nhi u. Đ c bi t, các website s d ng chung server ho c chung h th ngề ặ ệ ử ụ ặ ệ ố máy ch c a nhà cung c p d ch v ISP d b tr thành c u n i t n công sang cácủ ủ ấ ị ụ ễ ị ở ầ ố ấ đích khác
Th hai là t n công vào m ng n i b LAN thông qua VPN. Th baứ ấ ạ ộ ộ ứ
là hình th c t n công vào c s d li u c a trang web v i m c đích l y c p dứ ấ ơ ở ữ ệ ủ ớ ụ ấ ắ ữ
li u, phá ho i, thay đ i n i dung. Hacker xâm nh p vào c s d li u c a trangệ ạ ổ ộ ậ ơ ở ữ ệ ủ web, t ng bừ ước thay đ i quy n đi u khi n website và ti n t i chi m toàn quy nổ ề ề ể ế ớ ế ề
đi u khi n trang web và c s d li u. Trong nhi u v , hacker l y đề ể ơ ở ữ ệ ề ụ ấ ược quy nề truy c p cao nh t c a web server, mail server, backup và đã ki m soát hoàn toànậ ấ ủ ể
h th ng m ng m t cách bí m t, đ cùng lúc t n công, phá ho i c s d li uệ ố ạ ộ ậ ể ấ ạ ơ ở ữ ệ
c a c website và h th ng backup.ủ ả ệ ố
S d ng Proxy t n công m ngử ụ ấ ạ
Proxy server là m t Internet server làm nhi m v chuy n ti p, ki mộ ệ ụ ể ế ể soát thông tin và b o đ m an toàn cho vi c truy c p Internet c a máyả ả ệ ậ ủ khách hàng s d ng d ch v Internet. Proxy có đ a ch IP và m t c ngử ụ ị ụ ị ỉ ộ ổ truy c p c đ nh, làm server trung gian gi a máy tr m yêu c u d chậ ố ị ữ ạ ầ ị
v và máy ch cung c p tài nguyên. ụ ủ ấ
Khi có m t yêu c u t máy tr m, trộ ầ ừ ạ ước tiên yêu c u này đầ ượ cchuy n t i proxy server đ ki m tra. N u d ch v này đã để ớ ể ể ế ị ụ ược ghi
nh (cache) s n trong b nh , proxy s tr k t qu tr c ti p cho máyớ ẵ ộ ớ ẽ ả ế ả ự ế
tr m mà không c n truy c p t i máy ch ch a tài nguyên. N u khôngạ ầ ậ ớ ủ ứ ế
có cache, proxy s ki m tra tính h p l c a các yêu c u. N u yêu c uẽ ể ợ ệ ủ ầ ế ầ
h p l , proxy thay m t máy tr m chuy n ti p t i máy ch ch a tàiợ ệ ặ ạ ể ế ớ ủ ứ nguyên. K t qu s đế ả ẽ ược máy ch cung c p tài nguyên tr v quaủ ấ ả ề proxy và proxy s tr k t qu v cho máy tr m. ẽ ả ế ả ề ạ
Trang 15Hacker luôn n danh khi th c hi n các cu c t n công website, uploadẩ ự ệ ộ ấ
ho c download d li u, b ng cách s d ng Proxy server lo i côngặ ữ ệ ằ ử ụ ạ
c m nh nh t đ gi m o ho c che gi u thông tin cá nhân và IP truyụ ạ ấ ể ả ạ ặ ấ
c p, tránh b c quan ch c năng phát hi n. Nhu c u s d ng Proxyậ ị ơ ứ ệ ầ ử ụ
n danh ch y u xu t phát t nh ng ho t đ ng trái pháp lu t c a
tượng t n công. Hacker cũng thấ ường s d ng các công c Proxyử ụ ụ trong các v gian l n th tín d ng, nh SOCKS, Tor, Hide My Ass!,ụ ậ ẻ ụ ư I2P , t o đ a ch IP h p l , nh m vạ ị ỉ ợ ệ ằ ượt qua các công c k thu tụ ỹ ậ
nh n bi t IP c a các website thậ ế ủ ương m i đi n t Trên các di n đànạ ệ ử ễ
UG (Under Ground Forum), các ch đ trao đ i, mua bán live SOCKSủ ề ổ (nh ng SOCKS Proxy Server đang ho t đ ng và s d ng đữ ạ ộ ử ụ ược) là
m t trong nh ng ch đ ph bi n, có lộ ữ ủ ề ổ ế ượng truy c p và trao đ i sôiậ ổ
đ ng nh t. ộ ấ
Vi c s d ng firewall đ ch n các truy c p vào các website ph nệ ử ụ ể ặ ậ ả
đ ng, c b c, cá đ , website vi ph m thu n phong m t c có r t ítộ ờ ạ ộ ạ ầ ỹ ụ ấ tác d ng đ i v i truy c p s d ng Proxy. Nh v y, vi c s d ngụ ố ớ ậ ử ụ ư ậ ệ ử ụ Proxy nh Tor, I2P, SOCKS làm cho tình hình vi ph m, t i ph mư ạ ộ ạ trong lĩnh v c CNTT tr nên ph c t p h n và cũng là thách th c l nự ở ứ ạ ơ ứ ớ
đ i v i l c lố ớ ự ượng th c thi pháp lu t trong lĩnh v c an ninh m ng. ự ậ ự ạ
V i ch c năng n danh, Proxy cũng đớ ứ ẩ ược s d ng đ truy c p vàoử ụ ể ậ các tài nguyên b firewall c m: Khi mu n vào m t trang web b ch n,ị ấ ố ộ ị ặ
đ che gi u đ a ch IP th t c a trang web đó, có th truy c p vào m tể ấ ị ỉ ậ ủ ể ậ ộ proxy server, thay máy ch c a trang web giao ti p v i máy tính c aủ ủ ế ớ ủ
ngườ ử ụi s d ng. Khi đó, firewall ch bi t Proxy Server và không bi tỉ ế ế
đ a ch trang web th c đang truy c p. Proxy Server không n m trongị ỉ ự ậ ằ danh sách c m truy c p (Access Control List – ACL) c a firewall nênấ ậ ủ firewall không th ch n truy c p này.ể ặ ậ
Ph n l n HTTP Proxy ch có tác d ng cho d ch v HTTP (webầ ớ ỉ ụ ị ụ browsing), còn SOCKS Proxy có th để ượ ử ục s d ng cho nhi u d ch về ị ụ
Trang 16khác nhau (HTTP, FTP, SMTP, POP3 ). M t lo i ph n m m nhộ ạ ầ ề ư
v y là Tor hi n đang đậ ệ ượ ử ục s d ng mi n phí, r t ph bi n đ vễ ấ ổ ế ể ượ t
tường l a, truy c p Internet n danh. Ban đ u, Tor đử ậ ẩ ầ ược Phòng thí nghi m và nghiên c u H i quân Hoa K thi t k , tri n khai và th cệ ứ ả ỳ ế ế ể ự
hi n d án đ nh tuy n “m ng c hành” th h th 3, v i m c đíchệ ự ị ế ạ ủ ế ệ ứ ớ ụ
b o v các k t n i c a Chính ph M Ch c năng c a Tor g m:ả ệ ế ố ủ ủ ỹ ứ ủ ồ
Xóa d u v t, gi u đ a ch IP c a máy truy c p khi g i và nh nấ ế ấ ị ỉ ủ ậ ử ậ thông tin qua Internet, đ vể ượt qua tường l a: Thông tin đử ược Tor mã hóa và truy n qua nhi u máy ch trung gian và t đ ng thay đ iề ề ủ ự ộ ổ proxy đ b o m t d li u. N u m t máy trung gian Tor b truy c p,ể ả ậ ữ ệ ế ộ ị ậ cũng không th đ c để ọ ược thông tin vì đã được mã hóa
Ch ng b Traffic analysis giám sát truy tìm đ a ch ngu n và đích c aố ị ị ỉ ồ ủ
l u lư ượng d li u Internet. D li u Internet g m 2 ph n: ph n dataữ ệ ữ ệ ồ ầ ầ payload (ph n d li u b mã hóa) và ph n header không đầ ữ ệ ị ầ ược mã hóa (ch a thông tin đ a ch ngu n, đ a ch đích, kích thứ ị ỉ ồ ị ỉ ước gói tin, th iờ gian ), được s d ng đ đ nh tuy n m ng. Do v y, traffic analysisử ụ ể ị ế ạ ậ
v n có th tìm đẫ ể ược thông tin ph n header.ở ầ
Ph n m m Tor trên máy ngầ ề ười dùng thu th p các nút Tor thông quaậ
m t directory server, ch n ng u nhiên các nút khác nhau, không đ l iộ ọ ẫ ể ạ
d u v t và không nút Tor nào nh n bi t đấ ế ậ ế ược đích hay ngu n giaoồ
ti p. Hi n đã có hàng tri u nút Tor luôn s n sàng cho ngế ệ ệ ẵ ười dùng sử
d ng. Vi c tìm ra ngu n g c gói tin là g n nh không th th c hi n.ụ ệ ồ ố ầ ư ể ự ệ Tor làm vi c v i trình duy t Firefox và các trình duy t khác nhệ ớ ệ ệ ư Internet Explorer. Trình duy t Opera và Firefox đã đệ ược tích h p s nợ ẵ
v i Tor thành trình duy t Opera Tor và Tor Firefox. Do m ng Torớ ệ ạ
ho t đ ng qua nhi u máy ch trung gian và liên t c thay đ i các máyạ ộ ề ủ ụ ổ
ch nên t c đ truy c p internet b ch m h n. Ngoài ra còn có nh ngủ ố ộ ậ ị ậ ơ ữ Proxy Tools m nh khác nh : Hide the Ip, GhostSurf Proxy Platinum,ạ ư Anonymizer Anonymous Surfing, Proxy Finder Pro, Hide My Ass
T n công d a vào y u t con ngấ ự ế ố ười
K t n công có th liên l c v i m t ngẻ ấ ể ạ ớ ộ ười qu n tr h th ng, giả ị ệ ố ả làm m t ngộ ườ ử ụi s d ng đ yêu c u thay đ i m t kh u, thay đ i quy n truy nh pể ầ ổ ậ ẩ ổ ề ậ
c a mình đ i v i h th ng, ho c th m chí thay đ i m t s c u hình c a hủ ố ớ ệ ố ặ ậ ổ ộ ố ấ ủ ệ
Trang 17th ng đ th c hi n các phố ể ự ệ ương pháp t n công khác. V i ki u t n công này khôngấ ớ ể ấ
m t thi t b nào có th ngăn ch n m t cách h u hi u, và ch có cách giáo d cộ ế ị ể ặ ộ ữ ệ ỉ ụ
ngườ ử ụi s d ng m ng n i b v nh ng yêu c u b o m t đ đ cao c nh giác v iạ ộ ộ ề ữ ầ ả ậ ể ề ả ớ
nh ng hi n tữ ệ ượng đáng nghi. Nói chung y u t con ngế ố ười là m t đi m y u trongộ ể ế
b t k m t h th ng b o v nào, và ch có s giáo d c c ng v i tinh th n h pấ ỳ ộ ệ ố ả ệ ỉ ự ụ ộ ớ ầ ợ tác t phía ngừ ườ ử ụi s d ng có th nâng cao để ược đ an toàn c a h th ng b o v ộ ủ ệ ố ả ệ
o Chính sách an ninh m ngạ
Chính sách an toàn thông tin
Chính sách qu n lý truy c pả ậ
Chính sách qu n lý truy c p t n t i đ xác đ nh các phả ậ ồ ạ ể ị ương pháp cho phép
và cách truy c pậ qu n lý tả ường l a. Chính sách này có xu hử ướng gi i quy tả ế sự toàn v n ẹ v t lý tậ ường l aử và l p b o m t c u hình tớ ả ậ ấ ường l a tĩnh. Các chínhử sách qu n lý truy c p c n ph i đ nh nghĩa cho c hai giao th c qu n lý t xa vàả ậ ầ ả ị ả ứ ả ừ
c c bụ ộ s đẽ ược cho phép, cũng từ đó người dùng có th k t n i v i tể ế ố ớ ường l a vàử
có quy n truy c p ề ậ để th c hi nự ệ tác v ụ
Ngoài ra, các chính sách qu n lý truy c p c n xác đ nh các yêu c u đ i v iả ậ ầ ị ầ ố ớ các giao th c qu n lý nh Network Time Protocol (NTP), syslog, TFTP, FTP,ứ ả ư Simple Network Management Protocol (SNMP), và b t k giao th c khác có thấ ỳ ứ ể
đượ ử ục s d ng đ qu n lý và duy trì thi t b ể ả ế ị
Chính sách l cọ
Các chính sách l c c n ph i ch và xác đ nh chính xác các lo i l c mà ph iọ ầ ả ỉ ị ạ ọ ả
được s d ng và n i l c đử ụ ơ ọ ược áp d ng. Chính sách này có xu hụ ướng đ gi iể ả quy t ế c u hình tấ ường l a tĩnh và chi ti tử ế trong l p l u lớ ư ượng m ng qua tạ ườ ng
l a. Ví d , m t chính sách l c t t c n ph i yêu c u c hai l i vào và đi ra b l cử ụ ộ ọ ố ầ ả ầ ả ố ộ ọ
được th c hi n v i các b c tự ệ ớ ứ ường l a. Các chính sách l c cũng c n xác đ nh cácử ọ ầ ị yêu c u chung trong vi c k t n i m ng c p đ b o m t và ầ ệ ế ố ạ ấ ộ ả ậ ngu nồ khác nhau. Ví
d , v i m t DMZ, tùyụ ớ ộ thu c vào ộ hướ c a ng ủ l u lư ượ , các yêu c u l c khácng ầ ọ nhau có th c n thi tể ầ ế và nó là vai trò c a các chính sách l c đ xác đ nh nh ngủ ọ ể ị ữ yêu c u.ầ
Chính sách đ nh tuy nị ế
Các chính sách đ nh tuy n thị ế ường không ph i là m t tài li u tả ộ ệ ường l aử trung tâm. Tuy nhiên, v i thi t k ph c t p h n cũng nhớ ế ế ứ ạ ơ ư vi cệ s d ng ngàyử ụ
Trang 18càng tăng c a các b c tủ ứ ường l a trong m ng n i b , tử ạ ộ ộ ường l a có th d dàngử ể ễ
tr thành m t ph n c a c s h t ng đ nh tuy n. Các chính sách đ nh tuy n c nở ộ ầ ủ ơ ở ạ ầ ị ế ị ế ầ
ph i có m t ph n có quy đ nh c th bao g m m t tả ộ ầ ị ụ ể ồ ộ ường l a trong các c s hử ơ ở ạ
t ng đ nh tuy n và đ nh nghĩa các phầ ị ế ị ương th cứ s x y raẽ ả đ nh ị tuy n. Chính sáchế này có xu hướng đ gi i quy t các l p c u hình tể ả ế ớ ấ ườ l a tĩnh và c u hìnhng ử ấ
tường l a đ ng. Trong h u h t trử ộ ầ ế ường h p, các chính sách đ nh tuy n nênợ ị ế ngăn
c m firewall m t cách rõ ràng t vi c chia s b ng đ nh tuy n m ng n i b v iấ ộ ừ ệ ẻ ả ị ế ạ ộ ộ ớ
b t k ngu n bên ngoài. Tấ ỳ ồ ương t nh v y, các chính sách đ nh tuy n c n xácự ư ậ ị ế ầ
đ nh các trị ường h p trong đó các giao th c đ nh tuy n đ ng và ợ ứ ị ế ộ đ nh tuy n ị ế tĩnh là phù h p. Các chính sách cũng nên xác đ nh b t k c ch b o m t giao th c cợ ị ấ ỳ ơ ế ả ậ ứ ụ
th c n ph i để ầ ả ược c u hình, (ví d , vi c s d ng thu t toán băm đ đ m b oấ ụ ệ ử ụ ậ ể ả ả
ch các nútỉ đượ ch ng th c có th vc ứ ự ể ượt qua d li u đ nh tuy n).ữ ệ ị ế
Chính sách Remote access/VPN
Trong lĩnh v c h i t hi n nay, s khác bi t gi a tự ộ ụ ệ ự ệ ữ ường l a và b t pử ộ ậ trung VPN đã ngày càng tr nên m nh t. H u ở ờ ạ ầ h t ế các th trị ường tường l aử l nớ
có th ph c v nh là đi m k t thúc cho VPN, và do đó chính sách remoteể ụ ụ ư ể ếaccess/VPN c n thi tầ ế xác đ nh các yêu c u v m c đ mã hóa và xác th c ị ầ ề ứ ộ ự mà
m t k t n i VPN s yêu c u. Trong nhi u trộ ế ố ẽ ầ ề ường h p, các chính sách VPN k tợ ế
h p v i chính sách mã hóa c a t ch c xác đ nh phợ ớ ủ ổ ứ ị ương pháp VPN t ng th sổ ể ẽ
đượ ử ục s d ng. Chính sách này có xu hướng đ gi i quy t các l p c u hình tể ả ế ớ ấ ườ ng
l a tĩnh và l u lử ư ượng m ng qua tạ ường l a.ử
gi y ch ng nh n, m t kh u m t l n, và ấ ứ ậ ậ ẩ ộ ầ Public Key Infrastructure (PKI) cho môi
trường an toàn nh t. Tấ ương t nh v y, các chính sách remoteaccess/VPN nênự ư ậ xác đ nh nh ng khách hàng s đị ữ ẽ ược s d ng (có nghĩa là, trong xây d ngử ụ ự Microsoft VPN Client, Cisco Secure VPN Client, vv)
Cu i cùng, các chính sách remoteaccess/VPN ố c nầ xác đ nh các lo i truyị ạ
c p và các ngu n l c s đậ ồ ự ẽ ược cung c p đ k t n i t xa và các lo i k t n i tấ ể ế ố ừ ạ ế ố ừ
xa s đẽ ược cho phép
Trang 19 Chính sách giám sát / ghi nh nậ
M t trong nh ng y u t quan tr ng nh t đ m b o ộ ữ ế ố ọ ấ ả ả r ngằ m t tộ ường l aử cung c p m c b o m t ấ ứ ả ậ được mong đ i ợ là th c hi n m t h th ng giám sát tự ệ ộ ệ ố ườ ng
l a. ử Chính sách giám sát / ghi nh n ậ xác đ nh các phị ương pháp và m c đ giám sátứ ộ
s đẽ ược th c hi n. T i thi u, các chính sách giám sát / ghi ự ệ ố ể nh n ậ c n cung c pầ ấ
m t c ch đ theo dõi hi u su t c a tộ ơ ế ể ệ ấ ủ ường l a cũng nh s xu t hi n c a t tử ư ự ấ ệ ủ ấ
c các s ki n liên quan đ n an ninh và các m c đăng nh p. Chính sách này có xuả ự ệ ế ụ ậ
hướng gi i quy t các l p c u hình tả ế ớ ấ ường l a tĩnh.ử
Chính sách giám sát / ghi nh n ậ cũng nên xác đ nh cách các thông tin ph iị ả
được thu th p, duy trì, và báo cáo. Trong nhi u trậ ề ường h p, thông tin này có thợ ể
đượ ử ục s d ng đ xác đ nh các yêu c u qu n lý c a bên th ba và các ng d ngể ị ầ ả ủ ứ ứ ụ theo dõi nh CiscoWorks, NetIQ Security Manager, ho c Kiwi Syslog Daemonư ặ
Chính sách vùng DMZ
Các chính sách DMZ là m t ộ văn b nả di n r ng đ ệ ộ ể xác đ nh t t c các y uị ấ ả ế
t c a không ch chính DMZố ủ ỉ mà còn các thi t b trong DMZ. M c tiêu c a chínhế ị ụ ủ sách DMZ là xác đ nh các tiêu chu n và yêu c u c a t t c các thi t bị ẩ ầ ủ ấ ả ế ị đượ k tc ế
n i và l u lố ư ượng c a nóủ vì nó liên quan đ n DMZ. Chính sách này có xu hế ướ ng
đ gi i quy t các l p c u hình tể ả ế ớ ấ ường l a tĩnh và l u lử ư ượng m ng qua tạ ường l a.ử
Do s ph c t p c a môi trự ứ ạ ủ ường DMZ đi n hình, các chính sách DMZ là cóể
kh năng s là m tả ẽ ộ tài li u l n nhi u trang. Đ giúp đ m b o r ng các chínhệ ớ ề ể ả ả ằ sách DMZ thi t th cế ự và hi u qu , ba tiêu chu n c n đệ ả ẩ ầ ược xác đ nh r ng rãi choị ộ
t t c các thi t b liên quan đ n DMZấ ả ế ị ế :
Trách nhi mệ quy n s h uề ở ữ
Yêu c u ầ c u hình an toànấ
Yêu c u ầ ho t đ ng và ki m soát thay đ iạ ộ ể ổ
Chính sách áp d ng ph bi nụ ổ ế
Ngoài các chính sách tường l a c th , có nhi u chính sáchử ụ ể ề có thể áp
d ng ụ thông thườ m c dù không ph i là tng ặ ả ường l a c th (ử ụ ể đã ngứ
d ngụ trên nhi u thi t b , không ch là tề ế ị ỉ ường l a) dù sao cũng nênử
được áp d ng đ i v i tụ ố ớ ường l a. Chúng bao g m nh ng ử ồ ữ chính sách sau:
Trang 20Trong công ngh thông tin, firewall là m t k thu t đệ ộ ỹ ậ ược tích h p vàoợ
h th ng m ng đ ch ng s truy c p trái phép nh m b o v cácệ ố ạ ể ố ự ậ ằ ả ệ ngu n thông tin n i b cũng nh h n ch s xâm nh p vào h th ngồ ộ ộ ư ạ ế ự ậ ệ ố
nh m m c đích phá ho i, gây t n th t cho t ch c, doanh nghi p.ằ ụ ạ ổ ấ ổ ứ ệ Cũng có th hi u firewall là m t c ch đ b o v m ng tin tể ể ộ ơ ế ể ả ệ ạ ưở ng(trusted network) kh i các m ng không tin tỏ ạ ưởng (untrusted network)
Hình 1: Mô hình firewall c b nơ ả
Trang 21 Ch c năng tứ ường l aử
V c b n firewall có kh năng th c hi n các nhi m v sau đây:ề ơ ả ả ự ệ ệ ụ
Qu n lý và đi u khi n lu ng d li u trên m ng.ả ề ể ồ ữ ệ ạ
Xác th c quy n truy c pự ề ậ
Ho t đ ng nh m t thi t b trung gianạ ộ ư ộ ế ị
B o v tài nguyênả ệ
Ghi nh n và báo cáo các s ki nậ ự ệ
Qu n lý và đi u khi n lu ng d li u trênả ề ể ồ ữ ệ
m ngạ
Vi c đ u tiên và c b n nh t mà t t c các firewall đ u có là qu n lý vàệ ầ ơ ả ấ ấ ả ề ả
ki m soát lu ng d li u trên m ng, firewall ki m tra các gói tin và giám sát cácể ồ ữ ệ ạ ể
k t n i đang th c hi n và sau đó l c các k t n i d a trên k t qu ki m tra gói tinế ố ự ệ ọ ế ố ự ế ả ể
và các k t n i đế ố ược giám sát
Packet inspection (ki m tra gói tin)ể
Là quá trình ch n và x lý d li u trong m t gói tin đ xác đ nh xemặ ử ữ ệ ộ ể ị
nó được phép hay không được phép đi qua firewall. Ki m tra gói tinể
Connections và state (k t n i và tr ng thái)ế ố ạ
Khi hai TCP/IP host mu n giao ti p v i nhau, chúng c n thi t l pố ế ớ ầ ế ậ
m t s k t n i v i nhau. Các k t n i ph c v hai m c đích. Thộ ố ế ố ớ ế ố ụ ụ ụ ứ
nh t, nó dùng đ xác th c b n thân các host v i nhau. Firewall dùngấ ể ự ả ớ
Trang 22các thông tin k t n i này đ xác đ nh k t n i nào đế ố ể ị ế ố ược phép và các
k t n i nào không đế ố ược phép. Th hai, các k t n i dùng đ xác đ nhứ ế ố ể ị cách th c mà hai host s liên l c v i nhau (dùng TCP hay dùngứ ẽ ạ ớ UDP…)
Stateful Packet Inspection (giám sát gói tin theo tr ng thái)ạ
Statefull packet inspection không nh ng ki m tra gói tin bao g m c uữ ể ồ ấ trúc, d li u gói tin … mà ki m tra c tr ng thái gói tin.ữ ệ ể ả ạ
Xác th c quy n truy c pự ề ậ
Firewall có th xác th c quy n truy c p b ng nhi u c ch xácể ự ề ậ ằ ề ơ ế
th c khác nhau. Th nh t, firewall có th yêu c u username và password c aự ứ ấ ể ầ ủ
người dùng khi người dùng truy c p (thậ ường được bi t đ nế ế nh là extendedư authentication ho c xauth). Sau khi firewall xác th c xong ngặ ự ười dùng, firewall cho phép người dùng thi t l p k t n i và sau đó không h i username và passwordế ậ ế ố ỏ
l i cho các l n truy c p sau (th i gian firewall h i l i username và password phạ ầ ậ ờ ỏ ạ ụ thu c vào cách c u hình c a ngộ ấ ủ ười qu n tr ). Th hai, firewall có th xác th cả ị ứ ể ự
người dùng b ng certificates và public key. Th ba, firewall có th dùng preằ ứ ểshared keys (PSKs) đ xác th c ngể ự ười dùng
Ho t đ ng nh m t thi t b trung gianạ ộ ư ộ ế ị
Khi user th c hi n k t n i tr c ti p ra bên ngoài s đ i m t v i vôự ệ ế ố ự ế ẽ ố ặ ớ
s nguy c v b o m t nh b virus t n công, nhi m mã đ c h i… do đó vi c cóố ơ ề ả ậ ư ị ấ ễ ộ ạ ệ
m t thi t b trung gian đ ng ra thay m t user bên trong đ th c hi n k t n i raộ ế ị ứ ặ ể ự ệ ế ố bên ngoài là c n thi t đ đ m b o an toàn. Firewall đầ ế ể ả ả ược c u hình đ th c hi nấ ể ự ệ
ch c năng này và firewall đứ ược ví nh m t proxy trung gian.ư ộ
B o v tài nguyênả ệ
Nhi m v quan tr ng nh t c a m t firewall là b o v tài nguyênệ ụ ọ ấ ủ ộ ả ệ
kh i các m i đe d a b o m t. Vi c b o v này đỏ ố ọ ả ậ ệ ả ệ ược th c hi n b ng cách sự ệ ằ ử
d ng các quy t c ki m soát truy c p, ki m tra tr ng thái gói tin, dùng applicationụ ắ ể ậ ể ạ proxy ho c k t h p t t c đ b o v tài nguyên kh i b truy c p b t h p phápặ ế ợ ấ ả ể ả ệ ỏ ị ậ ấ ợ hay b l m d ng. Tuy nhiên, firewall không ph i là m t gi i pháp toàn di n đị ạ ụ ả ộ ả ệ ể
b o v tài nguyên c a chúng ta.ả ệ ủ
Trang 23Ghi nh n và báo cáo các s ki nậ ự ệ
Ta có th ghi nh n các s ki n c a firewall b ng nhi u cách nh ngể ậ ự ệ ủ ằ ề ư
h u h t các firewall s d ng hai phầ ế ử ụ ương pháp chính là syslog và proprietaty logging format. B ng cách s d ng m t trong hai phằ ử ụ ộ ương pháp này, chúng ta có
th d dàng báo cáo các s ki n x y ra trong h th ng m ng.ể ễ ự ệ ẩ ệ ố ạ
Phân lo iạ
Phân lo i theo t ng giao th cạ ầ ứ
Packetfiltering router
Packetfiltering router áp d ng m t b quy t c đ m i gói tin IP vào và raụ ộ ộ ắ ể ỗ
và sau đó là chuy n ti p hay lo i b gói tin. Router thể ế ạ ỏ ường đượ ấc c u hình đ l cể ọ các gói tin theo c hai hả ướng (t trong và ngoài vào m ng n i b ). Quy t c l cừ ạ ộ ộ ắ ọ
d a trên các thông tin ch a trong m t gói tin m ng (packet):ự ứ ộ ạ
Đ a ch IP ngu n (Source IP address): Đ a ch IP c a h th ng là ngu n g cị ỉ ồ ị ỉ ủ ệ ố ồ ố
c a các gói tin (sender). Ví d : 192.178.1.1ủ ụ
Đ a ch IP đích (Destination IP address): Đ a ch IP c a h th ng mà gói tinị ỉ ị ỉ ủ ệ ố
IP đang c n đầ ược chuy n t i. Ví d 192.168.1.2ể ớ ụ
Đ a ch ngu n và đích c a t ng giao v n: gói tin là TCP hay UDP, portị ỉ ồ ủ ầ ậ number, xác đ nh các ng d ng nh SNMP hay TELNET.ị ứ ụ ư
IP protocol field: Xác đ nh giao th c v n chuy n.ị ứ ậ ể
Interface: Đ i v i m t router có nhi u port, các gói tin s đ n t interfaceố ớ ộ ề ẽ ế ừ nào và đi đ n interface nào.ế
Packetfiltering thường được thi t l p là m t danh sách các quy t c d aế ậ ộ ắ ự trên phù h p cho các trợ ường trong IP header ho c TCP header. N u có tặ ế ương ngứ
v i m t trong các quy t c, quy t c này s đớ ộ ắ ắ ẽ ược g i đ xác đ nh xem s chuy nọ ể ị ẽ ể
ti p hay lo i b các gói tin. N u không phù h p v i b t k m t quy t c nào thìế ạ ỏ ế ợ ớ ấ ỳ ộ ắ hành đ ng m c đ nh s độ ặ ị ẽ ược th c hi n. Hai hành đ ng đự ệ ộ ược m c đ nh đó là:ặ ị
Default = discard: gói tin s b c m và b lo i b ẽ ị ấ ị ạ ỏ
Default = forward: gói tin được cho phép đi qua
Tuy nhiên, default là discard thường được dùng h n. Vì nh v y, banơ ư ậ
đ u, m i th đ u b ch n và các d ch v ph i đầ ọ ứ ề ị ặ ị ụ ả ược thêm vào trong
Trang 24t ng trừ ường h p c th Chính sách này rõ ràng h n cho ngợ ụ ể ơ ười dùng,
nh ng ngữ ười mà ko am hi u nhi u l m v firewall. Còn cách th haiể ề ắ ề ứ thì liên quan đ n v n đ b o m t nhi u h n, đòi h i ngế ấ ề ả ậ ề ơ ỏ ười qu n trả ị
ph i thả ường xuyên ki m tra đ có ph n ng v i nh ng ki u đe d aể ể ả ứ ớ ữ ể ọ
Do các thông tin có s n h n ch cho tẵ ạ ế ường l a, hi n t i thì ch c năngử ệ ạ ứ đăng nh p vào tậ ường l a b h n ch Packetfiltering l c các b n log thôngử ị ạ ế ọ ả
thường ch a các thông tin tứ ương t đự ược s d ng đ đ a ra quy t đ nhử ụ ể ư ế ị
ki m soát truy c p (đ a ch ngu n, đ a ch đích, và lo i hình l u lể ậ ị ỉ ồ ị ỉ ạ ư ượng)
H u h t các tầ ế ường l a lo i này không h tr các chử ạ ỗ ợ ương trình xác th cự
người dùng cao c p. M t l n n a h n ch này ch y u là do thi u ch cấ ộ ầ ữ ạ ế ủ ế ế ứ năng l p trên c a tớ ủ ường l a.ử
Chúng thường b t n công và khai thác b ng cách t n d ng các problemị ấ ằ ậ ụ
c a các đ c đi m k thu t TCP/IP và ch ng giao th c, ch ng h n nh giủ ặ ể ỹ ậ ồ ứ ẳ ạ ư ả
m o đ a ch l p network. Nhi u tạ ị ỉ ớ ề ường l a packetfiltering không th phátử ể
hi n m t gói tin mà trong đó các thông tin c a l p 3 đã b thay đ i. Cácệ ộ ủ ớ ị ổ
cu c t n công gi m o thộ ấ ả ạ ường đượ ử ục s d ng b i nh ng k xâm nh p đở ữ ẻ ậ ể
vượt qua ki m soát an ninh để ược th c hi n bên trong tự ệ ường l a.ử
Cu i cùng, do s lố ố ượng nh c a các bi n đỏ ủ ế ượ ử ục s d ng trong quy t đ nhế ị
ki m soát truy c p, packetfiltering d b vi ph m an ninh gây ra b i cácể ậ ễ ị ạ ở
c u hình không phù h p. Nói cách khác, r t d c u hình tấ ợ ấ ễ ấ ường l a choử phép các lo i l u lạ ư ượng, ngu n và đích đáng l nên b t lo i b d a trênồ ẽ ị ừ ạ ỏ ự chính sách đ t ra c a t ch c.ặ ủ ổ ứ
Trang 25T đó, có m t s cách t n công có th đừ ộ ố ấ ể ược th c hi n trên các tự ệ ường l aử packetfiltering và m t s bi n pháp đ i phó v i chúng:ộ ố ệ ố ớ
IP address spoofing (Gi m o đ a ch IP): K xâm nh p truy n các gói dả ạ ị ỉ ẻ ậ ề ữ
li u t bên ngoài v i đ a ch ngu n là đ a ch IP c a m t máy n i b Kệ ừ ớ ị ỉ ồ ị ỉ ủ ộ ộ ộ ẻ
t n công hy v ng r ng vi c s d ng m t đ a ch gi m o s cho phép xâmấ ọ ằ ệ ử ụ ộ ị ỉ ả ạ ẽ
nh p vào các h th ng ch s d ng b o m t đ a ch ngu n đ n gi n, trongậ ệ ố ỉ ử ụ ả ậ ị ỉ ồ ơ ả
đó, các gói tin t máy n i b s đừ ộ ộ ẽ ược ch p nh n. Bi n pháp đ i phó làấ ậ ệ ố
lo i b các gói tin v i đ a ch ngu n n i b n u nh gói tin này đ n tạ ỏ ớ ị ỉ ồ ở ộ ộ ế ư ế ừ interface bên ngoài
Source routing attack: Các tr m ngu n quy đ nh các đạ ồ ị ường đi mà m t góiộ tin s đẽ ược đ a vào khi đi trên m ng Internet, v i mong mu n r ng đi uư ạ ớ ố ằ ề này s b qua các bi n pháp an ninh mà không phân tích các thông tin đ nhẽ ỏ ệ ị tuy n ngu n. Bi n pháp đ i phó là l a ch n lo i b t t c các gói d li uế ồ ệ ố ự ọ ạ ỏ ấ ả ữ ệ
s d ng tùy ch n này.ử ụ ọ
Tiny fragment attack: K xâm nh p lo i này s d ng tùy ch n cho phépẻ ậ ạ ử ụ ọ phân m nh c a gói tin IP đ t o ra các m nh c c k nh và ép các TCPả ủ ể ạ ả ự ỳ ỏ header vào m t đo n gói tin riêng bi t. T n công lo i này độ ạ ệ ấ ạ ược thi t kế ế
đ phá v các quy t c l c ph thu c vào thông tin tiêu đ TCP. Thôngể ỡ ắ ọ ụ ộ ề
thường, m t packetfiltering s đ a ra quy t đ nh l c trên đo n đ u tiênộ ẽ ư ế ị ọ ạ ầ
c a m t gói. T t c các đo n ti p theo c a gói tin đủ ộ ấ ả ạ ế ủ ượ ọc l c ra ch duyỉ
nh t trên c s đó là m t ph n c a gói có đo n đ u tiên b lo i b K t nấ ơ ở ộ ầ ủ ạ ầ ị ạ ỏ ẻ ấ công hy v ng r ng các router ch l c xem xét đo n đ u tiên và các đo nọ ằ ỉ ọ ạ ầ ạ còn l i đạ ược thông qua. Cách ch ng l i t n công lo i này là nguyên t cố ạ ấ ạ ắ
th c thi đo n đ u tiên c a m t gói tin ph i có m t s xác đ nh trự ạ ầ ủ ộ ả ộ ố ị ướ ố c t ithi u c a TCP header. N u đo n đ u tiên b lo i b , packetfiltering cóể ủ ế ạ ầ ị ạ ỏ
th ghi nh các gói tin và lo i b t t c các đo n ti p theo.ể ớ ạ ỏ ấ ả ạ ế
ApplicationLevel Gateway
ApplicationLevel Gateway, còn được g i là m t proxy server, ho t đ ngọ ộ ạ ộ
nh m t tr m chuy n ti p c a các l u lư ộ ạ ể ế ủ ư ượng l p ng d ng. Ngớ ứ ụ ườ ử ụi s d ng sẽ liên l c v i gateway s d ng các ng d ng TCP/IP nh TELNET hay FTP vàạ ớ ử ụ ứ ụ ư gateway s h i user name c a máy ch t xa s đẽ ỏ ủ ủ ừ ẽ ược truy c p. Khi user đáp l iậ ạ
và cung c p m t ID ngấ ộ ười dùng h p l và xác th c thông tin, gateway s liên l cợ ệ ự ẽ ạ
đ n c ng ng d ng tế ổ ứ ụ ương ng trên máy ch t xa và chuy n ti p các đo n TCPứ ủ ừ ể ế ạ
Trang 26ch a các d li u gi a hai thi t b đ u cu i này. N u các c ng không th c hi nứ ữ ệ ữ ế ị ầ ố ế ổ ự ệ các proxy code cho m t ng d ng c th , d ch v không độ ứ ụ ụ ể ị ụ ược h tr và khôngỗ ợ
th để ược chuy n ti p qua tể ế ường l a. H n n a, gateway có th đử ơ ữ ể ượ ấc c u hình để
ch h tr tính năng c th c a m t ng d ng mà ngỉ ỗ ợ ụ ể ủ ộ ứ ụ ười qu n tr xem xét ch pả ị ấ
nh n đậ ược trong khi t ch i t t c các tính năng khác.ừ ố ấ ả
ApplicationLevel gateway có xu hướng an toàn h n packetfiltering router.ơ Thay vì c g ng đ đ i phó v i hàng lo t k t h p có th có t vi c c m và choố ắ ể ố ớ ạ ế ợ ể ừ ệ ấ phép t ng TCP/IP, applicationlevel gateway ch c n rà soát l i m t vài ngở ầ ỉ ầ ạ ộ ứ
d ng cho phép. Ngoài ra, nó r t d dàng cho ghi l i và theo dõi t t c các l uụ ấ ễ ạ ấ ả ư
lượng đ n t ng ng d ng.ế ở ầ ứ ụ
M t nhộ ược đi m chính c a lo i này là chi phí x lý b sung trên m i k tể ủ ạ ử ổ ỗ ế
n i. Trong th c t , có hai k t n i ghép gi a các ngố ự ế ế ố ữ ười dùng đ u cu i, v i cácầ ố ớ
c ng đi m k t n i và gateway ph i ki m tra l u lổ ở ể ế ố ả ể ư ượng trên c hai chi u.ả ề
CircuitLevel Gateway
D ng th 3 c a firewall đó là Circuitlevel gateway. Nó có th là m t hạ ứ ủ ể ộ ệ
th ng đ c l p ho c có th là m t ho t đ ng chuyên bi t đố ộ ậ ặ ể ộ ạ ộ ệ ược th c hi n b i m tự ệ ở ộ applicationlevel gateway cho các ng d ng nh t đ nh Circuitlevel gatewayứ ụ ấ ị không cho phép m t k t n i TCP endtoend mà thay vào đó, gateway s thi t l pộ ế ố ẽ ế ậ hai k t n i TCP, m t là gi a nó và TCP user bên trong và m t gi a nó và TCPế ố ộ ữ ộ ữ user bên ngoài. Khi hai k t n i này đế ố ược thi t l p, gateway s chuy n ti p cácế ậ ẽ ể ế TCP segment t đ u cu i này đ n đ u cu i khác mà không ki m tra n i dung cácừ ầ ố ế ầ ố ể ộ segment này. Các ch c năng b o m t bao g m vi c xác đ nh cho phép k t n i.ứ ả ậ ồ ệ ị ế ố
M t đi n hình c a Circuitlevel gateway là m t tình hu ng mà trongộ ể ủ ộ ố
đó người qu n tr h th ng tin tả ị ệ ố ưởng các user n i b Gateway có thộ ộ ể
được c u hình đ h tr applicationlevel hay d ch v proxy cho cácấ ể ỗ ợ ị ụ
k t n i bên trong và ch c năng circuitlevel cho các k t n i bên ngoài.ế ố ứ ế ố Trong trường h p này, gateway có th ph i ch u các chi phí ki m traợ ể ả ị ể các incoming data cho các ch c năng b c m nh ng không ch u chi phíứ ị ấ ư ị
c a outgoing data.ủ
Phân lo i theo đ i tạ ố ượng s d ngử ụ
Firewall có th để ược phân lo i theo hai lo i sau:ạ ạ
Personal firewall
Trang 27S khác bi t chính gi a hai lo i trên chính là s lự ệ ữ ạ ố ượng host được firewall
b o v Trong khi Personal firewall ch b o v cho m t máy duy nh t thì Networkả ệ ỉ ả ệ ộ ấ firewall l i b o v cho m t h th ng m ng.ạ ả ệ ộ ệ ố ạ
Personal Firewall
Personal firewall được thi t k đ b o v m t máy trế ế ể ả ệ ộ ước nh ngữ truy c p trái phép. Trong quá trình phát tri n, personal firewall đã đậ ể ược tích h pợ thêm nhi u ch c năng b sung nh theo dõi ph n m m ch ng virus, ph n m mề ứ ổ ư ầ ề ố ầ ề phát hi n xâm nh p đ b o v thi t b M t s personal firewall ph bi n nhệ ậ ể ả ệ ế ị ộ ố ổ ế ư Cisco Security Agent, Microsoft Internet connection firewall, Symantec personal firewall…
Personal firewall r t h u ích đ i v i ngấ ữ ố ớ ười dùng gia đình và cá nhân
b i vì h đ n gi n ch c n b o v t ng máy tính riêng r c a h nh ng đ i v iở ọ ơ ả ỉ ầ ả ệ ừ ẻ ủ ọ ư ố ớ doanh nghi p đi u này l i gây b t ti n, khi s lệ ề ạ ấ ệ ố ượng host quá l n thì chi phí choớ
vi c thi t l p, c u hình và v n hành personal firewall là m t đi u c n ph i xemệ ế ậ ấ ậ ộ ề ầ ả xét
Network firewall
Network firewall được thi t k đ b o v các host trong m ngế ế ể ả ệ ạ
trước s t n công. M t s ví d v appliancebased network firewall nh Ciscoự ấ ộ ố ụ ề ư PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall. Và m t s ví d v softwarebased firewall bao g m Checkộ ố ụ ề ồ Point’s Firewall, Microsoft ISA Server, Linuxbased IPTables
Cùng v i s phát tri n c a công ngh , firewall d n đớ ự ể ủ ệ ầ ược tích h pợ nhi u tính năng m i nh phát hi n xâm nh p, thi t l p k t n i VPN cũng nhề ớ ư ệ ậ ế ậ ế ố ư nhi u s n ph m firewall m i ra đ i.ề ả ẩ ớ ờ
Phân lo i theo công ngh tạ ệ ường l aử
D a vào công ngh s d ng trong firewall ngự ệ ử ụ ười ta chia firewall thành các lo i nh sau:ạ ư
Personal firewall
Packet filter
Trang 28 Packet filter: Là thi t b đ c thi t k đ l c gói tin d a trên nh ng đ cế ị ượ ế ế ể ọ ự ữ ặ
đi m đ n gi n c a gói tin. Packet filter tiêu bi u cho d ng staless vì nóể ơ ả ủ ể ạ không gi b ng tr ng thái các k t n i và không ki m tra tr ng thái các k tữ ả ạ ế ố ể ạ ế
n i.ố
Hình 1 : Simple Access List Sample Network
Trang 29Ho t đ ng t i l p session c a mô hình OSI, nó giám sát các gói tinạ ộ ạ ớ ủ
“handshaking” đi qua firewall, gói tin được ch nh s a sao cho nó xu t phát tỉ ử ấ ừ circuitlevel firewall, đi u này giúp che d u thông tin c a m ng đề ấ ủ ạ ược b o v ả ệ
Trang 30 Proxy firewall
Ho t đ ng t i l p ng d ng c a mô hình OSI, nó đóng vai trò nhạ ộ ạ ớ ứ ụ ủ ư
người trung gian gi a hai thi t b đ u cu i. Khi ngữ ế ị ầ ố ười dùng truy c p d ch vậ ị ụ ngoài Internet, proxy đ m nh n vi c yêu c u thay cho client và nh n tr l i tả ậ ệ ầ ậ ả ờ ừ server trên Internet và tr l i l i cho ngả ờ ạ ười dùng bên trong
Hình 1: Proxy firewall
Trang 31 Stateful firewall
Được k t h p v i các firewall khác nh NAT firewall, circuitlevelế ợ ớ ư firewall, proxy firewall thành m t h th ng firewall, nó không nh ng ki m traộ ệ ố ữ ể các đ c đi m c a gói tin mà l u gi và ki m tra tr ng thái c a các gói tin điặ ể ủ ư ữ ể ạ ủ qua firewall, m t ví d cho stateful firewall là s n ph m PIX firewall c aộ ụ ả ẩ ủ Cisco
Phân lo i theo ki n trúcạ ế
Dual homed host
Trang 32Firewall ki n trúc ki u Dualhomed host đế ể ược xây d ng d a trên máy tínhự ự dualhomed host. M t máy tính độ ược g i là dualhomed host n u nó có ít nh t haiọ ế ấ network interface, có nghĩa là máy đó có g n hai card m ng giao ti p v i haiắ ạ ế ớ
m ng khác nhau và nh th máy tính này đóng vai trò là Router m m. Ki n trúcạ ư ế ề ế dualhomed host r t đ n gi n. Dualhomed host gi a, m t bên đấ ơ ả ở ữ ộ ược k t n i v iế ố ớ Internet và bên còn l i n i v i m ng n i b (LAN).ạ ố ớ ạ ộ ộ
Hình 1: Mô hình Dualhomed hostDualhomed host ch có th cung c p các d ch v b ng cách y quy nỉ ể ấ ị ụ ằ ủ ề (proxy) chúng ho c cho phép user đăng nh p tr c ti p vào dualhomed host. M iặ ậ ự ế ọ giao ti p t m t host trong m ng n i b và host bên ngoài đ u b c m, dualế ừ ộ ạ ộ ộ ề ị ấhomed host là n i giao ti p duy nh t.ơ ế ấ
u đi m c a Dualhomed host:
Ư ể ủ
Cài đ t d dàng, không yêu c u ph n c ng ho c ph n m m đ c bi t.ặ ễ ầ ầ ứ ặ ầ ề ặ ệDualhomed host ch yêu c u c m kh năng chuy n các gói tin, do đó trênỉ ầ ấ ả ể các h đi u hành Linux ch c n c u hình l i nhân c a h đi u hành là đ ệ ề ỉ ầ ấ ạ ủ ệ ề ủ
Nhược đi m c a Dualhomed host:ể ủ
Không đáp ng đứ ược nh ng yêu c u b o m t ngày càng ph c t p, cũngữ ầ ả ậ ứ ạ
nh nh ng ph n m m m i đư ữ ầ ề ớ ược tung ra trên th trị ường
Không có kh năng ch ng đ nh ng cu c t n công nh m vào chính b nả ố ỡ ữ ộ ấ ằ ả thân c a dualhomed host, và khi dualhomed host b đ t nh p nó s trủ ị ộ ậ ẽ ở thành n i lý tơ ưởng đ t n công vào m ng n i b , ngể ấ ạ ộ ộ ườ ấi t n công (attacker) s th y đẽ ấ ược toàn b l u lộ ư ượng trên m ng.ạ
Screened host
Trang 33Screened Host có c u trúc ngấ ượ ạ ớ ấc l i v i c u trúc Dualhomed host. Ki nế trúc này cung c p các d ch v t m t host bên trong m ng n i b , dùng m tấ ị ụ ừ ộ ạ ộ ộ ộ Router tách r i v i m ng bên ngoài. Trong ki u ki n trúc này, b o m t chính làờ ớ ạ ể ế ả ậ
phương pháp Packet Filtering. Bastion host được đ t bên trong m ng n i b ặ ạ ộ ộ Packet Filtering được cài trên Router. Theo cách này, Bastion host là h th ng duyệ ố
nh t trong m ng n i b mà nh ng host trên Internet có th k t n i t i.ấ ạ ộ ộ ữ ể ế ố ớ
M c dù v y, ch nh ng ki u k t n i phù h p (đặ ậ ỉ ữ ể ế ố ợ ược thi t l p trong Bastionế ậ host) m i đớ ược cho phép k t n i. B t k m t h th ng bên ngoài nào c g ngế ố ấ ỳ ộ ệ ố ố ắ truy c p vào h th ng ho c các d ch v bên trong đ u ph i k t n i t i host này.ậ ệ ố ặ ị ụ ề ả ế ố ớ
Vì th Bastion host là host c n ph i đế ầ ả ược duy trì ch đ b o m t cao.ở ế ộ ả ậ
Hình 1: Mô hình Screened HostPacket filtering cũng cho phép bastion host có th m k t n i ra bên ngoài.ể ở ế ố
C u hình c a packet filtering trên screening router nh sau:ấ ủ ư
Cho phép t t c các host bên trong m k t n i t i host bên ngoài thông quaấ ả ở ế ố ớ
m t s d ch v c đ nh.ộ ố ị ụ ố ị
Không cho phép t t c các k t n i t các host bên trong (c m nh ng hostấ ả ế ố ừ ấ ữ này s d ng d ch proxy thông qua bastion host).ử ụ ị
B n có th k t h p nhi u l i vào cho nh ng d ch v khác nhau:ạ ể ế ợ ề ố ữ ị ụ
M t s d ch v độ ố ị ụ ược phép đi vào tr c ti p qua packet filtering.ự ế
M t s d ch v khác thì ch độ ố ị ụ ỉ ược phép đi vào gián ti p qua proxy.ế
Trang 34B i vì ki n trúc này cho phép các packet đi t bên ngoài vào m ng bênở ế ừ ạ trong, nó dường nh là nguy hi m h n ki n trúc Dualhomed host, vì th nó đư ể ơ ế ế ượ cthi t k đ không m t packet nào có th t i đế ế ể ộ ể ớ ược m ng bên trong. Tuy nhiên trênạ
th c t thì ki n trúc dualhomed host đôi khi cũng có l i mà cho phép các packetự ế ế ỗ
th t s đi t bên ngoài vào bên trong (b i vì nh ng l i này hoàn toàn không bi tậ ự ừ ở ữ ỗ ế
trước, nó h u nh không đầ ư ược b o v đ ch ng l i nh ng ki u t n công này.ả ệ ể ố ạ ữ ể ấ
H n n a, ki n trúc dualhomed host thì d dàng b o v Router (là máy cung c pơ ữ ế ễ ả ệ ấ
r t ít các d ch v ) h n là b o v các host bên trong m ng.ấ ị ụ ơ ả ệ ạ
Xét v toàn di n thì ki n trúc Screened host cung c p đ tin c y cao h nề ệ ế ấ ộ ậ ơ
và an toàn h n ki n trúc Dualhomed host.ơ ế
So sánh v i m t s ki n trúc khác, ch ng h n nh ki n trúc Screenedớ ộ ố ế ẳ ạ ư ế subnet thì ki n trúc Screened host có m t s b t l i. B t l i chính là n u k t nế ộ ố ấ ợ ấ ợ ế ẻ ấ công tìm cách xâm nh p Bastion Host thì không có cách nào đ ngăn tách gi aậ ể ữ Bastion Host và các host còn l i bên trong m ng n i b Router cũng có m t sạ ạ ộ ộ ộ ố
đi m y u là n u Router b t n thể ế ế ị ổ ương, toàn b m ng s b t n công. Vì lý do nàyộ ạ ẽ ị ấ
mà Screened subnet tr thành ki n trúc ph bi n nh t.ở ế ổ ế ấ
Screened Subnet
Nh m tăng cằ ường kh năng b o v m ng n i b , th c hi n chi n lả ả ệ ạ ộ ộ ự ệ ế ượ cphòng th theo chi u sâu, tăng củ ề ường s an toàn cho bastion host, tách bastionự host kh i các host khác, ph n nào tránh lây lan m t khi bastion host b t n thỏ ầ ộ ị ổ ương,
người ta đ a ra ki n trúc firewall có tên là Screened Subnet.ư ế
Trang 35được cài đ t an toàn m c cao. Ngoài các qui t c đó, các qui t c khác c nặ ở ứ ắ ắ ầ
gi ng nhau gi a hai Router.ố ữ
Router trong (Interior Router): n m gi a m ng ngo i vi và m ng n i b ,ằ ữ ạ ạ ạ ộ ộ
nh m b o v m ng n i b trằ ả ệ ạ ộ ộ ước khi ra ngoài và m ng ngo i vi. Nó khôngạ ạ
th c hi n h t các qui t c packet filtering c a toàn b firewall. Các d ch vự ệ ế ắ ủ ộ ị ụ
mà interior router cho phép gi a bastion host và m ng n i b , gi a bênữ ạ ộ ộ ữ ngoài và m ng n i b không nh t thi t ph i gi ng nhau.ạ ộ ộ ấ ế ả ố
Gi i h n d ch v gi a bastion host và m ng n i b nh m gi m s lớ ạ ị ụ ữ ạ ộ ộ ằ ả ố ượ ngmáy (s lố ượng d ch v trên các máy này) có th b t n công khi bastion host b t nị ụ ể ị ấ ị ổ
thương và tho hi p v i bên ngoài. Ch ng h n nên gi i h n các d ch v đả ệ ớ ẳ ạ ớ ạ ị ụ ượ c
Trang 36phép gi a bastion host và m ng n i b nh SMTP khi có Email t bên ngoài vào,ữ ạ ộ ộ ư ừ
có l ch gi i h n k t n i SMTP gi a bastion host và Email server bên trong.ẽ ỉ ớ ạ ế ố ữ
u đi m c a Screened Subnet Host:
Ư ể ủ
K t n công c n phá v ba t ng b o v : Router ngoài, Bastion Host vàẻ ấ ầ ỡ ầ ả ệ Router trong
B i vì router ngoài ch qu ng bá Bastion host ra Internet nên cí th nhìnở ỉ ả ể
th y h th ng m ng n i b (invisible). Ch có m t s h th ng đã đấ ệ ố ạ ộ ộ ỉ ộ ố ệ ố ượ c
ch n ra trên DMZ là Internet đọ ược bi t đ n qua routing table và trao đ iế ế ổ thông tin DNS (Domain Name Server)
B i vì router trong ch qu ng bá Bastion host t i m ng n i b nên các hở ỉ ả ớ ạ ộ ộ ệ
th ng bên trong m ng n i b không th truy c p tr c ti p t i Internet.ố ạ ộ ộ ể ậ ự ế ớ
Đi u này đ m b o r ng nh ng user bên trong b t bu c ph i truy c p quaề ả ả ằ ữ ắ ộ ả ậ Internet qua d ch v Proxy.ị ụ
Đ i v i nh ng h th ng yêu c u cung c p d ch v nhanh và an toàn choố ớ ữ ệ ố ầ ấ ị ụ nhi u ngề ườ ử ụi s d ng đ ng th i nâng cao kh năng theo dõi l u lồ ờ ả ư ượng c aủ
m i ngỗ ườ ử ụi s d ng trong h th ng và d li u trao đ i gi a các ngệ ố ữ ệ ổ ữ ườ idùng trong h th ng c n đệ ố ầ ược b o v thì ki n trúc c b n trên là phù h p.ả ệ ế ơ ả ợ
Đ tăng đ an toàn trong internal network, ki n trúc Screened Subnet Hostể ộ ế trên s d ng thêm m t d ng vành đai (perimeter network) đ che m t
m t h đi u hành. Firewall m m bao g m các s n ph m nh SunScreen firewall,ộ ệ ề ề ồ ả ẩ ư IPF, Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall m mề
thường đ m nh n nhi u vai trò h n firewall c ng, nó có th đóng vai trò nh m tả ậ ề ơ ứ ể ư ộ DNS server hay m t DHCP server.ộ
M t nhộ ược đi m c a firewall m m là nó để ủ ề ược cài đ t trên m t hặ ộ ệ
đi u hành và do đó kh năng có l h ng trên h đi u hành này là có th x y ra.ề ả ỗ ổ ệ ề ể ẩ Khi l h ng đỗ ổ ược phát hi n và đệ ược c p nh t b n vá l i, r t có th sau khi c pậ ậ ả ỗ ấ ể ậ
Trang 37nh t b n vá l i cho h đi u hành thì firewall không ho t đ ng bình thậ ả ỗ ệ ề ạ ộ ường như
trước, do đó c n ti n hành c p nh t b n vá cho firewall t nhà cung c p s nầ ế ậ ậ ả ừ ấ ả
ph m firewall.ẩ
M t u đi m n i tr i c a firewall m m là vi c thay đ i và nângộ ư ể ổ ộ ủ ề ệ ổ
c p thi t b ph n c ng là tấ ế ị ầ ứ ương đ i d dàng và nhanh chóng.ố ễ
Do h đi u hành mà firewall m m ch y trên nó không đệ ề ề ạ ược thi tế
k t i u cho firewall nên firewall m m có hi u su t th p h n firewall c ngế ố ư ề ệ ấ ấ ơ ứ
Appliance firewallAppliance firewall – firewall c ng – là nh ng firewall đứ ữ ược tích h pợ
s n trên các ph n c ng chuyên d ng, thi t k dành riêng cho firewall. Các s nẵ ầ ứ ụ ế ế ả
ph m firewall c ng đáng chú ý nh Cisco PIX, NetScreen firewall, SonicWallẩ ứ ư Appliaces, WatchGuard Fireboxes, Nokia firewall…
Trong nhi u trề ường h p firewall c ng cung c p hi u su t t t h nợ ứ ấ ệ ấ ố ơ
so firewall m m vì h đi u hành c a firewall c ng đề ệ ề ủ ứ ược thi t k đ t i u choế ế ể ố ư firewall. L i ích đi n hình khi s d ng firewall c ng là hi u su t t ng th t tợ ể ử ụ ứ ệ ấ ổ ể ố
h n firewall m m, tính b o m t đơ ề ả ậ ược nâng cao, t ng chi phí th p h n so v iổ ấ ơ ớ firewall m m.ề
Firewall c ng không đứ ược linh ho t nh firewall m m ( không thạ ư ề ể thêm ch c năng, thêm các quy t c nh trên firewall m m). H n ch c a firewallứ ắ ư ề ạ ế ủ
c ng là kh năng tích h p thêm các ch c năng b sung khó khăn h n firewallứ ả ợ ứ ổ ơ
m m, ch ng h n nh ch c năng ki m soát th rác đ i v i firewall m m ch c nề ẳ ạ ư ứ ể ư ố ớ ề ỉ ầ cài đ t ch c năng này nh m t ng d ng còn đ i v i firewall c ng ph i có thi tặ ứ ư ộ ứ ụ ố ớ ứ ả ế
b ph n c ng h tr cho ch c năng này.ị ầ ứ ỗ ợ ứ
Integrated firewallIntegrated firewall – firewall tích h p – ngoài ch c năng c b n c aợ ứ ơ ả ủ firewall thì nó còn đ m nh n các ch c năng khác nh VPN, phát hi n phòngả ậ ứ ư ệ
ch ng xâm nh p, l c th rác, ch ng virus. L i ích c a vi c dùng firewall tích h pố ậ ọ ư ố ợ ủ ệ ợ
là đ n gi n hóa thi t k m ng b ng cách gi m lơ ả ế ế ạ ằ ả ượng thi t b m ng cũng nhế ị ạ ư
gi m chi phí qu n lý, gi m gánh n ng cho các chuyên viên qu n tr , ngoài ra nóả ả ả ặ ả ị còn ti t ki m chi phí h n so v i vi c dùng nhi u thi t b cho nhi u m c đíchế ệ ơ ớ ệ ề ế ị ề ụ khác nhau
Trang 38Tuy nhiên vi c tích h p nhi u ch c năng trên cùng m t thi t b d nệ ợ ề ứ ộ ế ị ẫ
đ n khó khăn trong kh c ph c s c vì tính ph c t p c a h th ng khi tích h p.ế ắ ụ ự ố ứ ạ ủ ệ ố ợ
o K t lu n chế ậ ương 1
Chương 1 đã trình bày các thông tin n i c m v an ninh m ng nămổ ộ ề ạ
2016, g m thông tin v : bùng n mã đ c mã hóa d li u ransomware,ồ ề ổ ộ ữ ệ virus USB, t n công APT và xu hấ ướng t n công năm 2017 Cácấ
phương th c t n công có tác đ ng x u t i ho t đ ng c a h th ngứ ấ ộ ấ ớ ạ ộ ủ ệ ố
m ng t m c đ th p đ n cao, xâm nh p h th ng t bên trong nhạ ừ ứ ộ ấ ế ậ ệ ố ừ ư
là mã đ c, xâm nh p h th ng t bên ngoài nh là: t n công l h ngộ ậ ệ ố ừ ư ấ ỗ ổ
b o m t web, s d ng proxy t n công m ng… T đó các chính sáchả ậ ử ụ ấ ạ ừ
an ninh m ng đạ ược tri n đ đ m b o an toàn thông tin nh chínhể ể ả ả ư sách l c, qu n lý truy c p, chính sách đ nh tuy n Chọ ả ậ ị ế ương này cũng
đ a ra khái ni m c a b c tư ệ ủ ứ ường l a, các ch c năng tử ứ ường l a ví dử ụ
nh ch c năng qu n lý và đi u khi n lu ng d li u trên m ng, b oư ứ ả ề ể ồ ữ ệ ạ ả
v tài nguyên, xác th c quy n truy c p… Thông tin v phân lo iệ ự ề ậ ề ạ
tường l a: phân lo i theo t ng giao th c, theo đ i tử ạ ầ ứ ố ượng s d ng,ử ụ theo công ngh tệ ường l a, theo ki n trúc và các s n ph m tử ế ả ẩ ường l aử
nh : software firewall, appliance firewall, integrated firewall.ư
Trang 39H TH NG FIREWALL ASA Ệ Ố
o Gi i thi uớ ệ
Thi t b ph n c ng đ m nh n vai trò b o v h t ng m ng bênế ị ầ ứ ả ậ ả ệ ạ ầ ạ trong, trước đây thương hi u PIX Firewall c a hãng Cisco Systems đãệ ủ giành được m t trong nh ng v trí hàng đ u c a lĩnh v c này. Tuyộ ữ ị ầ ủ ự nhiên theo đà phát tri n c a công ngh và xu hể ủ ệ ướng tích h p đa ch cợ ứ năng trên các ki n trúc ph n c ng hi n nay (g i là Appliance), hãngế ầ ứ ệ ọ Cisco Systems cũng đã nhanh chóng tung ra dòng s n ph m b o m tả ẩ ả ậ
đa năng Cisco ASA (Adaptive Security Appliance). Dòng thi t b nàyế ị ngoài vi c th a hệ ừ ưởng các tính năng u đi m c a công ngh dùngư ể ủ ệ trên Cisco PIX Firewall, Cisco IPS 4200 và Cisco VPN 3000 Concentrator, còn được tích h p đ ng th i 3 nhóm ch c năng chínhợ ồ ờ ứ cho m t h t ng b o v là Firewall, IPS và VPN. Thông qua vi c tíchộ ạ ầ ả ệ ệ
h p nh ng tính năng nh trên, Cisco ASA s chuy n giao m t gi iợ ữ ư ẽ ể ộ ả pháp hi u qu trong vi c b o m t hoá các giao ti p k t n i m ngệ ả ệ ả ậ ế ế ố ạ
nh m có th ch đ ng đ i phó trên di n r ng đ i v i các hình th cằ ể ủ ộ ố ệ ộ ố ớ ứ
t n công qua m ng ho c các hi m h a mà t ch c, doanh nghi pấ ạ ặ ể ọ ổ ứ ệ
thường ph i đả ương đ u.ầ
Cisco ASA vi t t t c a t Cisco Adaptive Security Appliance. ASA làế ắ ủ ừ
m t gi i pháp b o m t đ u cu i chính c a Cisco. Hi n t i ASA làộ ả ả ậ ầ ố ủ ệ ạ
s n ph m b o m t d n đ u trên th trả ẩ ả ậ ẫ ầ ị ường v hi u năng và cung c pề ệ ấ các mô hình phù h p doanh nghi p, tích h p gi i pháp b o m tợ ệ ợ ả ả ậ
m ng. Dòng s n ph m ASA giúp ti t ki m chi phí, d dàng tri nạ ả ẩ ế ệ ễ ể khai.
Nó bao g m các thu c tính sau: ồ ộ
+ B o m t th i gian th c, h đi u hành đ c quy n c a Cisco ả ậ ờ ự ệ ề ộ ề ủ
+ Công ngh Stateful firewall s d ng thu t toán SA c a Cisco ệ ử ụ ậ ủ
+ S d ng SNR đ b o m t k t n i TCP ử ụ ể ả ậ ế ố
+ S d ng Cut through proxy đ ch ng th c Telnet, HTTP, FTP ử ụ ể ứ ự
Trang 40+ Chính sách b o m t m c đ nh gia tăng b o v m c t i đa và cũngả ậ ặ ị ả ệ ứ ố
có kh năng tùy ch nh nh ng chính sách này và xây d ng lên chínhả ỉ ữ ự sách c a riêng b n ủ ạ
Mô hình càng cao thì thông lượng, s port, chi phí càng cao. S nố ả
ph m bao g m: ASA 5505, 5510, 5520, 5540, 5550, 558020, 558040.ẩ ồ
ASA 5505
Hình 2: ASA 5505ASA 5505 là model nh nh t trong các dòng s n ph m c a ASA, cỏ ấ ả ẩ ủ ả
v kích thề ước v t lý cũng nh hi u su t. Nó đậ ư ệ ấ ược thi t k t dành choế ế các văn phòng nh và văn phòng gia đình Đ i v i các doanh nghi pỏ ố ớ ệ
l n h n, ASA 5505 thớ ơ ường được s d ng đ h tr cho các nhânử ụ ể ỗ ợ viên làm vi c t xa.ệ ừ