TRƯỜNG ĐẠI HỌC QUY NHƠN KHOA CÔNG NGHỆ THÔNG TIN −−−۩۩۩−−− BÁO CÁO MƠN HỌC AN TỒN THƠNG TIN Tên đề tài: Hệ thống phòng thủ tường lửa (Firewall) GVHD : TS NGUYỄN HỒNG QUANG Quy Nhơn, tháng 02 năm 2018 MỤC LỤC Tường lửa gì? Tường lửa (Firewall) rào chắn mạng nội (local network) với mạng khác (chẳng hạn Internet), điều khiển lưu lượng vào hai mạng Nếu khơng có tường lửa lưu lượng vào mạng nội khơng chịu điều tiết nào, tường lửa xây dựng lưu lượng vào thiết lập tường lửa quy định Tác dụng tường lửa: tường lửa lọc lưu lượng từ nguồn truy cập nguy hiểm hacker, số loại virus công để chúng phá hoại hay làm tê liệt hệ thống bạn Ngồi nguồn truy cập vào mạng nội mạng khác phải thơng qua tường lửa nên tường lửa có tác dụng theo dõi, phân tích luồng lưu lượng truy cập định làm với luồng lưu lượng đáng ngờ khoá lại số nguồn liệu không cho phép truy cập theo dõi giao dịch đáng ngờ Do đó, việc thiết lập tường lửa quan trọng, đặc biệt máy tính thường xuyên kết nối internet Các thành phần Tường lửa Bao gồm:  Packet filtering  Circuit-level firewalls  Application gateways  Bastion host  Combination of above is dynamic packet filter 2.1 Packet filtering Bộ lọc gói tin cho phép hay từ chối packet mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thỏa mãn số rules hay không Các rules dựa thông tin packet header bao gồm thông tin sau: - Địa IP nguồn (IP Source Address) - Địa IP đích (IP Destination Address) - Protocol (TCP, UDP, ICMP, IP tunnel) - TCP/UDP source port - TCP/UDP destination port - Dạng thông báo ICMP (ICMP message type) - Cổng gói tin đến (Incomming interface of packet) - Cổng gói tin (Outcomming interface of packet) Packet filtering router Nếu rules lọc gói thỏa mãn packet chuyển qua firewall, khơng packet bị bỏ Nhờ mà firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống mạng nội từ địa khơng cho phép Ngồi ra, việc kiểm sốt cổng làm cho firewall có khả cho phép số loại kết nối định vào loại máy chủ dịch vụ (SSH, SMTP, FTP…) phép chạy hệ thống mạng cục Ưu điểm: – Đa số hệ thống firewall sử dụng lọc gói tin Một ưu điểm phương pháp dùng lọc gói chi phí thấp chế lọc gói có sẵn router – Ngồi ra, lọc gói suốt người sử dụng ứng dụng khơng u cầu người sử dụng phải thao tác Nhược điểm: – Việc định nghĩa chế độ lọc gói việc phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết dịch vụ internet, dạng packet header Khi yêu cầu lọc gói tin lớn, rules trở nên phức tạp khó quản lý điều khiển – Do làm việc dựa header packet nên lọc không kiểm sốt nội dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 2.2 Circuit-level firewalls Circuit Level Gateway – cổng vòng – chức đặc biệt thực cổng ứng dụng Cổng vòng đơn giản chuyển tiếp kết nối TCP mà khơng thực hành động xử lý hay lọc gói Hình sau minh họa hành động sử dụng kết nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục telnet Cổng vòng làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên ngồi (outside connection) Tuy nhiên kết nối xuất từ hệ thống firewall nên che dấu thơng tin mạng nội Circuit Level Gateway Cổng vòng thường sử dụng cho kết nối Ưu điểm lớn Bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến cổng vòng cho kết nối Điều làm cho hệ thống firewall dễ dàng sử dụng cho người dùng mạng nội muốn trực tiếp truy câp tới dịch vụ internet, cung cấp chức bảo vệ mạng nội từ cơng bên ngồi 2.3 Application gateways Đây loại firewall thiết kế dể tăng cường chức kiểm soát loại dịch vụ, giao thức truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi proxy service Proxy service code đặc biệt cài đặt cổng (gateway) cho ứng dụng Nếu người quản trị mạng không cài đặt proxy service cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị cho chấp nhận từ chối đặc điểm khác Application gateway Một cổng ứng dụng thường coi Bastion host thiết kế đặt biệt để chống lại cơng từ bên ngồi Những biện pháp đảm bảo an ninh Bastion host là: – Bastion host ln chạy version an tồn (secure version) phần mềm hệ điều hành (Operating system) Các version an tồn thiết kế chun cho mục đích chống lại công vào hệ điều hành (Operating system) đảm bảo tích hợp firewall – Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt Bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị cơng Thơng thường, số giới hạn ứng dụng cho dịch vụ telnet, DNS, FTP, SMTP xác thực user cài đặt Bastion host – Bastion host u cầu nhiều mức độ khác ví dụ username password hay smart card Mỗi proxy cài đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ tồn hệ thống Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết liệu mạng qua Điều có nghĩ lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống Mỗi proxy độc lập với proxy khác Bastion host Điều cho phép dễ dàng cài đặt proxy hay tháo gỡ proxy Ưu điểm: – Cho phép người quản trị hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy cập dịch vụ – Cổng ứng dụng cho phép kiểm tra độ xác thực tốt có nhậy ký ghi chép lại thông tin truy cập hệ thống – Rule lọc cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc gói Nhược điểm: Cần phải có cấu hình máy user để user truy cập vào dịch vụ proxy Ví dụ telnet Cấu hình Packet Filter - Khi cấu hình Packet Filter Firewall cần lưu ý cách thức cấu sau: + Chỉ định gói cho phép biểu thức logic + Viết lại biểu thức theo cú pháp nhà cung cấp hỗ trợ + Quy tắc chung thiết lập Rule là: Đặc quyền + Tất khơng cho phép rõ ràng bị cấm + Loại bỏ tất Rule không cần thiết - Mỗi Rule thiết lập có dạng sau: Ví dụ: Giả sử muốn cho phép gửi thư đến (SMTP, cổng 25) cho máy gateway Cũng giả sử thư từ số trang web cụ thể SPIGOT bị chặn Hạn chế xác định dựa số cổng máy chủ bên ngoài, mà người quản trị khơng có cách kiểm sốt Bây kẻ thù truy cập vào máy nội cổng cách bắt đầu gọi từ cổng 25 máy bên ngồi ACK biểu thị gói tin phần trò chuyện diễn Các gói khơng có ACK thơng điệp thiết lập kết nối, mà cho phép từ máy chủ nội Bảo mật Hiệu suất Bộ lọc gói tin 4.1 IP address spoofing Khi máy tính bên ngồi hệ thống mạng bạn “giả vờ” máy tính đáng tin cậy hệ thống, hành động kẻ công gọi IP Spoofing Để truy cập vào hệ thống mạng bạn, máy tính bên ngồi phải “giành” địa IP tin cậy hệ thống mạng Vì kẻ cơng phải sử dụng địa IP nằm phạm vi hệ thống mạng bạn Hoặc cách khác kẻ cơng sử dụng địa IP bên đáng tin cậy hệ thống mạng bạn Các địa IP hệ thống tin tưởng địa có đặc quyền đặc biệt nguồn tài nguyên quan trọng hệ thống mạng 10 truy nhập tới dịch vụ Internet, cung cấp chức tờng lửa để bảo vệ mạng nội từ cơng bên ngồi Kỹ thuật Bastion Host 18 Bastion Host sử dụng Routers Cổng vòng (Circuit Level Gateway) Circuit Level Gateway – cổng vòng – chức đặc biệt thực cổng ứng dụng Cổng vòng đơn giản chuyển tiếp kết nối TCP mà không thực hành động xử lý hay lọc gói Hình sau minh họa hành động sử dụng kết nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục telnet Cổng vòng làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên kết nối xuất từ hệ thống firewall nên che dấu thơng tin mạng nội 19 Cổng vòng thường sử dụng cho kết nối Ưu điểm lớn Bastion host cấu hỗn hợp cung cấp cổng ứng dụng cho kết nối đến cổng vòng cho kết nối Điều làm cho hệ thống firewall dễ dàng sử dụng cho người dùng mạng nội muốn trực tiếp truy câp tới dịch vụ internet, cung cấp chức bảo vệ mạng nội từ cơng bên ngồi 10 Dynamic Packet filters Lọc gói tin động tường lửa khả định tuyến cung cấp lọc gói tin dựa khơng thơng tin gói gói tại, mà gói tin trước gửi Ví dụ khơng lọc gói tin động, phản hồi kết nối chuyển từ internet sang phần an toàn mạng Lọc gói động xem xét liệu kết nối bên phần an toàn mạng cho phép phản ứng kết nối từ internet gói tin dường phản ứng với yêu cầu Bộ lọc lọc gói tin động dựa gói tin: • • • Các quy tắc quản trị viên xác định cho phép cổng địa IP cấp phép mạng tầng vận chuyển mơ hình mạng OSI Trạng thái kết nối xem xét gói tin trước qua tường lửa Nội dung gói bao gồm nội dung lớp ứng dụng Lọc gói tĩnh lọc gói liệu dựa quy tắc quản trị viên quy định cho phép cổng địa IP mạng lớp vận chuyển mơ hình mạng OSI đề cập mục Do lọc gói động gọi kiểm tra trạng thái cung cấp thêm tính bao gồm kiểm tra nội dung gói đến lớp ứng dụng xem xét trạng thái kết nối 20 Lọc gói tin động cung cấp mức bảo mật tốt so với lọc gói tĩnh xem xét kỹ nội dung gói tin xem xét trạng thái kết nối trước Đổi lại lọc gói động Các mũi tên xuống cho thấy kết nối dự định; mũi tên rắn hiển thị kết nối thực tế, đến từ relay hộp tường lửa Tường lửa mạo nhận điểm cuối với Lọc gói tin động với ứng dụng Proxy Chú ý thay đổi địa nguồn 21 11 Các kiểu topology mạng LAN Khái niệm: LAN Mạng cục LAN ( Local Area Network ) hệ thống mạng dùng để kết nối máy tính phạm vi nhỏ ( tòa nhà, cơng ty, trường học, …) Các máy tính mạng LAN liên lạc, chia sẻ tài ngun, thơng tin, với nhau, mà điển hình chia sẻ tập tin, máy in, máy quét số thiết bị khác Một hệ thống mạng bao gồm thành phần sau : – Network Adapter: Card mạng thiết bị phối ghép máy tính cable mạng Để giao tiếp thơng tin mạng máy tính cần có card mạng – Workstation: mạng máy tính thiết phải có máy tính cá nhân ( hay gọi máy trạm ) sử dụng tài nguyên chung mạng – Network Adapter Cable: thường network adapter nối với network adapter cable Tuy nhiên máy tính kết nối với máy tính – Server: máy chủ, mạng máy tính cần có máy chủ để chia tài ngun cho máy tính khác mạng – Diskfiles: mạng máy tính có ổ đĩa lớn để cung cấp tài nguyên cho mạng Tuy nhiên diskfiles ko phải thành phần bắt buộc để xây dựng mạng – Workstation Server: máy tính vừa làm máy chủ vừa làm máy trạm, nghĩa máy tính vừa chia tài nguyên vừa sử dụng tài nguyên – Printer: mạng, ta dùng chung máy in cho tất máy mạng Tuy nhiên, máy in thành phần bắt buộc mạng – Modem: tài nguyên dùng chung mạng Các kiểu topology Topology mạng cấu trúc hình học khơng gian mà thực chất cách bố trí phần tử mạng nh cách nối chúng với Thơng thường mạng có dạng cấu trúc là: Mạng dạng hình (Star Topology), mạng dạng vòng (Ring Topology) mạng dạng tuyến (Linear Bus Topology) Ngoài dạng cấu hình kể có số dạng khác biến tớng từ dạng mạng dạng cây, mạng dạng hình – vòng, mạng hỗn hợp,v.v… 22 11.1 Mạng dạng hình (Star topology) Mạng dạng hình Mạng dạng hình bao gồm trung tâm nút thông tin Các nút thông tin trạm đầu cuối, máy tính thiết bị khác mạng Trung tâm mạng điều phối hoạt động mạng với chức là: o Xác định cặp địa gửi nhận phép chiếm tuyến thông tin liên lạc với o Cho phép theo dõi xử lý sai q trình trao đổi thơng tin o Thơng báo trạng thái mạng… – Ưu điểm: o Mạng dạng hình cho tốc độ nhanh o Khi cable mạng bị đứt thường làm kết nối máy, máy khác hoạt động bình thường o Khi có lỗi xảy , ta dễ dàng kiểm tra sửa chữa o Mạng mở rộng tuỳ theo nhu cầu sử dụng người dùng – Nhược điểm: o Khả mở rộng mạng phụ thuộc vào khả trung tâm Khi trung tâm gặp cố toàn mạng ngưng hoạt động o Mạng yêu cầu nối độc lập riêng rẽ thiết bị nút thông tin đến trung tâm Khoảng cách từ máy đến trung tâm hạn chế (100 m) o Chi phí dây mạng thiết bị trung gian tốn nhiều Nhìn chung, mạng dạng hình cho phép nối máy tính vào tập trung (HUB) cáp xoắn, giải pháp cho phép nối trực tiếp máy tính với HUB khơng cần thơng qua trục BUS, tránh yếu tố gây ngưng trệ mạng Gần đây, với phát triển switching hub, mơ hình ngày trở nên phổ biến chiếm đa số mạng lắp 23 11.2 Mạng dạng vòng (Ring Topology) Mạng dạng vòng Mạng dạng này, bố trí theo dạng xoay vòng, đường dây cáp thiết kế làm thành vòng khép kín, tín hiệu chạy quanh theo chiều Các nút truyền tín hiệu cho thời điểm đợc nút mà thơi Dữ liệu truyền phải có kèm theo địa cụ thể trạm tiếp nhận – Ưu điểm: + Mạng dạng vòng có thuận lợi nới rộng xa, tổng đường dây cần thiết nên tiết kiệm dây cable, tốc độ nhanh kiểu BUS – Nhược điểm: + Nhược điểm mạng tốc độ bị chậm + Khi đường cable có cố tồn mạng ngưng hoạt động + Khi có cố khó kiểm tra phát lỗi Do mạng có nhiều nhược điểm nên thực tế sử dụng 24 11.3 Mạng dạng tuyến ( BUS topology) Mạng dạng BUS Theo cách bố trí hành lang đường hình vẽ máy chủ (host) tất máy tính khác (workstation) nút (node) nối với trục đường dây cáp để chuyển tín hiệu Tất nút sử dụng chung đường dây cáp Phía hai đầu dây cáp bịt thiết bị gọi terminator Các tín hiệu gói liệu (packet) di chuyển lên xuống dây cáp mang theo điạ nơi đến – Ưu điểm: + Loại hình mạng dùng dây cáp nhất, dễ lắp đặt nên tiết kiệm chi phí lắp đặt – Nhược điểm: + Tuy có bất lợi có ùn tắc giao thông di chuyển liệu với luư lượng lớn + Khi có hỏng hóc đoạn khó phát hiện, ngừng đường dây để sửa chữa ngừng toàn hệ thống * Một số dạng khác: – Mạng dạng lưới – Mesh topology: 25 + Cấu hình mạng dạng kết hợp mạng hình lại với cách kết nối HUB hay Switch Lợi điểm cấu hình mạng dạng mở rộng đợc khong cách nh độ lớn mạng hình – Mạng có cấu trúc – Hierachical topology + Mạng dạng tươnng tự mạng hình mở rộng thay liên kết switch/hub lại với hệ thống kết nối với máy tính làm nhiệm vụ kiểm tra lưu thơng mạng 12 IP spoofing Khi máy tính bên hệ thống mạng bạn “giả vờ” máy tính đáng tin cậy hệ thống, hành động kẻ công gọi IP Spoofing Để truy cập vào hệ thống mạng bạn, máy tính bên ngồi phải “giành” địa IP tin cậy hệ thống mạng Vì kẻ công phải sử dụng địa IP nằm phạm vi hệ thống mạng bạn Hoặc cách khác kẻ cơng sử dụng địa IP bên đáng tin cậy hệ thống mạng bạn Các địa IP hệ thống tin tưởng địa có đặc quyền đặc biệt nguồn tài nguyên quan trọng hệ thống mạng 26 Một số cách công khác IP Spoofing? - Tấn công liệu thiết lập lệnh tồn dòng liệu chuyển đổi client ứng dụng Server (máy chủ) - Tấn công liệu lệnh kết nối mạng ngang hàng (peer-topeer) Tuy nhiên kẻ công phải thay đổi bảng định tuyến (routing table) hệ thống mạng Việc thay đổi bảng định tuyến (routing table) hệ thống mạng cho phép kẻ công có thơng tin liên lạc chiều Với mục đích này, kẻ cơng “nhắm” vào tất bảng định tuyến (routing table) thành địa IP giả mạo Một bảng định tuyến (routing table) thay đổi, kẻ công bắt đầu nhận tất liệu chuyển từ hệ thống mạng đến địa IP giả mạo Thậm chí kẻ giả mạo phản hồi lại gói liệu giống người dùng tin cậy 13 Quy tắc cổng 27 Cho phép gọi đi, cho phép gọi đến cho thư tín cho GW gateway Lưu ý: Chỉ định GW làm máy chủ đích thay Net để ngăn chặn truy cập mở vào Mạng Máy Gateway nói trực tiếp với máy khác chạy phần mềm máy chủ thư tín đáng tin cậy Máy chuyển tiếp dùng để gọi GW để nhận thư chờ Lưu ý: tránh giả mạo với đặc tả GW Chúng ta cần Router: - Nếu định tuyến hỗ trợ lọc đi, cần hai: Một để sử dụng ruleset bảo vệ chống lại cổng bị xâm nhập 28 Một để sử dụng ruleset bảo vệ chống lại địa giả mạo hạn chế truy cập vào máy gateway - Một lọc đầu vào cổng xác tương đương với lọc đầu cổng khác - Nếu bạn tin cậy nhà cung cấp mạng, bạn mà khơng có lọc đầu vào Lọc thực phía đầu định tuyến - Tất nút cách truy cập từ Internet - Các định tuyến cần có khả kiểm sốt tuyến đường mà họ quảng cáo giao diện khác - Khách hàng sử dụng định tuyến nguồn IP giúp bạn tiếp cận máy chủ "không thể truy cập được" - Cho phép giả mạo địa - Chặn đường dẫn nguồn biên giới xương sống - Bộ lọc gói tin bỏ qua cần thiết lọc tuyến đường - Lọc tuyến đường trở nên khó khăn khơng thể thực với có mặt công nghệ phức tạp - Gặm nhấm tuyến đường - sử dụng địa IP không thức bên tường lửa thuộc người khác - Khó lựa chọn khơng gian địa không giải 29 Kiến trúc máy chủ lưu trữ kép 14 Các tuyến không đối xứng - Cả hai bên tường lửa khơng biết cấu trúc liên kết - Các giải pháp: + Duy trì kiến thức đầy đủ topology - Khơng khả thi, nhiều nhà nước để giữ + Nhiều tường lửa chia sẻ thông tin nhà nước - Khối lượng thư bị cấm, mã phức tạp 15 Bộ lộc gói tin động có an tồn? - So sánh với gateway mạch, miễn chiến lược thực đơn giản - Nếu giao diện quản trị sử dụng cổng mạng vật lý cấu trúc cấp cao + Các kết nối pháp lý thường định nghĩa điều kiện topology - Không phải kẻ độc ác tồn bên 30 + Mạch cổng ứng dụng yêu cầu xác thực người dùng cho lưu lượng có khả chống lại mối đe dọa 16 Tường lửa phân tán - Nút quản lý trung tâm thiết lập sách bảo mật thực thi máy chủ cá nhân - Kết hợp đặc tả sách cấp cao với chế phân phối tệp Ưu điểm: + Thiếu điểm trung tâm thất bại + Có khả bảo vệ máy bên ngồi khơng gian phân cách địa lý + Tuyệt vời cho máy tính xách tay Bất lợi: + Khó khăn phép số dịch vụ định, dễ chặn 16.1 Hạn chế tường lửa phân tán - Việc cho phép số dịch vụ định hoạt động chắn địa bị giả mạo + Yêu cầu bảo vệ chống spoofing + Phải trì khả lang thang an toàn - Giải pháp: IPsec + Một máy tin cậy thực xác thực mật mã thích hợp 17 Bộ lọc tường lửa đâu? - Dùng để cân rủi ro chi phí - Ln ln lớp cao khó lọc: Con người 18 Lồng ghép lọc gói liệu động - Tự động cập nhật quy tắc lọc gói tin + Thay đổi khơng lành mạnh đặt hàng 31 - Phương pháp quay số lại cung cấp bảo đảm an tồn hơn: + Khơng có mã trường hợp đặc biệt cần thiết + FTP xử lý với daemon mức người dùng + UDP xử lý giống TCP + ICMP xử lý với kết nối giả gói tin tổng hợp 19 Mỗi bảng giao diện tư vấn Bộ lọc gói động - Bảng kết nối hoạt động + Cấu trúc Socket định liệu liệu có chép vào ổ cắm bên hay gửi tới proxy ứng dụng - Bảng lọc thơng thường + Chỉ định gói liệu truyền theo kiểu khơng trạng thái - Bảng động + Buộc tạo cấu trúc ổ cắm cục 32 ... NGHỆ THÔNG TIN −−−۩۩۩−−− BÁO CÁO MƠN HỌC AN TỒN THƠNG TIN Tên đề tài: Hệ thống phòng thủ tường lửa (Firewall) GVHD : TS NGUYỄN HỒNG QUANG Quy Nhơn, tháng 02 năm 2018 MỤC LỤC Tường lửa gì? Tường. .. lửa lưu lượng vào mạng nội khơng chịu điều tiết nào, tường lửa xây dựng lưu lượng vào thiết lập tường lửa quy định Tác dụng tường lửa: tường lửa lọc lưu lượng từ nguồn truy cập nguy hiểm hacker,... bên ngồi hệ thống mạng bạn “giả vờ” máy tính đáng tin cậy hệ thống, hành động kẻ công gọi IP Spoofing Để truy cập vào hệ thống mạng bạn, máy tính bên ngồi phải “giành” địa IP tin cậy hệ thống mạng