ATMMT ATMMT - - TNNQ TNNQ 16 16 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) Kh Kh á á i ni i ni ệ ệ m chung m chung L L à à k k ỹ ỹ thu thu ậ ậ t tư t tư ờ ờ ng l ng l ử ử a cơ b a cơ b ả ả n. n. Ki Ki ể ể m tra c m tra c á á c g c g ó ó i tin t i tin t ừ ừ bên ngo bên ngo à à i đi v i đi v à à o m o m ạ ạ ng n ng n ộ ộ i b i b ộ ộ v v à à t t ừ ừ m m ạ ạ ng n ng n ộ ộ i b i b ộ ộ đi ra bên ngo đi ra bên ngo à à i. i. Ch Ch ỉ ỉ ki ki ể ể m tra IP header v m tra IP header v à à TCP header, không ki TCP header, không ki ể ể m m tra ph tra ph ầ ầ n payload sinh ra t n payload sinh ra t ừ ừ l l ớ ớ p p ứ ứ ng d ng d ụ ụ ng. ng. S S ử ử d d ụ ụ ng m ng m ộ ộ t t t t ậ ậ p c p c á á c quy t c quy t ắ ắ c đ c đ ể ể quy quy ế ế t đ t đ ị ị nh xem g nh xem g ó ó i i tin n tin n à à o đư o đư ợ ợ c cho ph c cho ph é é p ho p ho ặ ặ c b c b ị ị t t ừ ừ ch ch ố ố i đi v i đi v à à o (ra). o (ra). G G ồ ồ m hai lo m hai lo ạ ạ i: i: – stateless filtering (bộ lọc phi trạng thái) – stateful filtering (bộ lọc có trạng thái) ATMMT ATMMT - - TNNQ TNNQ 17 17 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c phi tr c phi tr ạ ạ ng th ng th á á i i L L à à k k ỹ ỹ thu thu ậ ậ t tư t tư ờ ờ ng l ng l ử ử a đơn gi a đơn gi ả ả n nh n nh ấ ấ t v t v à à đư đư ợ ợ c s c s ử ử d d ụ ụ ng r ng r ộ ộ ng rãi nh ng rãi nh ấ ấ t. t. X X ử ử lý m lý m ỗ ỗ i g i g ó ó i tin như m i tin như m ộ ộ t đ t đ ố ố i tư i tư ợ ợ ng đ ng đ ộ ộ c l c l ậ ậ p. p. Ki Ki ể ể m tra m m tra m ộ ộ t g t g ó ó i tin khi n i tin khi n ó ó đ đ ế ế n, ra quy n, ra quy ế ế t đ t đ ị ị nh ph nh ph ù ù h h ợ ợ p v p v à à không lưu l không lưu l ạ ạ i b i b ấ ấ t k t k ỳ ỳ thông tin n thông tin n à à o v o v ề ề g g ó ó i tin i tin n n à à y. y. C C á á ch x ch x ử ử lý c lý c ủ ủ a b a b ộ ộ l l ọ ọ c n c n à à y tương t y tương t ự ự như vi như vi ệ ệ c phân c phân lo lo ạ ạ i chuy i chuy ể ể n ph n ph á á t thư c t thư c ủ ủ a ng a ng à à nh bưu đi nh bưu đi ệ ệ n. n. Ngư Ngư ờ ờ i ta i ta s s ắ ắ p x p x ế ế p v p v à à ki ki ể ể m tra m m tra m ỗ ỗ i bao thư đ i bao thư đ ể ể ch ch ắ ắ c ch c ch ắ ắ n đ n đ ị ị a ch a ch ỉ ỉ đ đ í í ch l ch l à à h h ợ ợ p l p l ệ ệ . . ATMMT ATMMT - - TNNQ TNNQ 18 18 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c phi tr c phi tr ạ ạ ng th ng th á á i i T T ổ ổ ng qu ng qu á á t, b t, b ộ ộ l l ọ ọ c phi tr c phi tr ạ ạ ng th ng th á á i thư i thư ờ ờ ng ki ng ki ể ể m tra m tra – – Đ Đ ị ị a ch a ch ỉ ỉ IP ngu IP ngu ồ ồ n v n v à à đ đ í í ch trong IP header theo m ch trong IP header theo m ộ ộ t t t t ậ ậ p quy t p quy t ắ ắ c đã đư c đã đư ợ ợ c x c x á á c đ c đ ị ị nh trư nh trư ớ ớ c. c. – – Port ngu Port ngu ồ ồ n v n v à à port đ port đ í í ch trong m ch trong m ộ ộ t TCP header t TCP header ho ho ặ ặ c UDP header. c UDP header. – – T T ậ ậ p quy t p quy t ắ ắ c thư c thư ờ ờ ng đư ng đư ợ ợ c g c g ọ ọ i l i l à à m m ộ ộ t Access t Access control list (ACL). control list (ACL). V V ì ì l l ớ ớ p m p m ạ ạ ng c ng c ó ó nhi nhi ệ ệ m v m v ụ ụ ki ki ể ể m tra IP header đ m tra IP header đ ể ể c c ó ó th th ể ể phân ph phân ph ố ố i c i c á á c g c g ó ó i tin nên vi i tin nên vi ệ ệ c hi c hi ệ ệ n th n th ự ự c b c b ộ ộ l l ọ ọ c c g g ó ó i t i t ạ ạ i l i l ớ ớ p m p m ạ ạ ng không đòi h ng không đòi h ỏ ỏ i ph i ph ả ả i t i t í í nh to nh to á á n nhi n nhi ề ề u. u. ATMMT ATMMT - - TNNQ TNNQ 19 19 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c phi tr c phi tr ạ ạ ng th ng th á á i i ATMMT ATMMT - - TNNQ TNNQ 20 20 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c phi tr c phi tr ạ ạ ng th ng th á á i i B B ộ ộ l l ọ ọ c phi tr c phi tr ạ ạ ng th ng th á á i thư i thư ờ ờ ng ch ng ch ậ ậ n nh n nh ữ ữ ng ki ng ki ể ể u g u g ó ó i tin: i tin: – – M M ộ ộ t g t g ó ó i đi v i đi v à à o c o c ó ó đ đ ị ị a ch a ch ỉ ỉ IP n IP n ộ ộ i b i b ộ ộ gi gi ố ố ng như đ ng như đ ị ị a ch a ch ỉ ỉ IP ngu IP ngu ồ ồ n nh n nh ằ ằ m m m m ụ ụ c đ c đ í í ch che gi ch che gi ấ ấ u ch u ch í í nh n nh n ó ó như l như l à à m m ộ ộ t g t g ó ó i tin h i tin h ợ ợ p ph p ph á á p trong m p trong m ạ ạ ng n ng n ộ ộ i b i b ộ ộ . . – – M M ộ ộ t g t g ó ó i (v i (v à à o ho o ho ặ ặ c ra) c c ra) c ó ó quy đ quy đ ị ị nh c nh c ụ ụ th th ể ể b b ộ ộ đ đ ị ị nh nh tuy tuy ế ế n s n s ẽ ẽ đư đư ợ ợ c s c s ử ử d d ụ ụ ng ng nh nh ằ ằ m m m m ụ ụ c đ c đ í í ch b ch b ỏ ỏ qua c qua c á á c c tư tư ờ ờ ng l ng l ử ử a a x x á á c c đ đ ị ị nh. nh. – – M M ộ ộ t g t g ó ó i c i c ó ó ph ph ầ ầ n payload r n payload r ấ ấ t nh t nh ỏ ỏ v v ớ ớ i m i m ụ ụ c đ c đ í í ch l ch l à à m m TCP header trong ph TCP header trong ph ầ ầ n payload s n payload s ẽ ẽ b b ị ị ng ng ắ ắ t th t th à à nh hai nh hai hay nhi hay nhi ề ề u ph u ph ầ ầ n. V n. V í í d d ụ ụ như đ như đ ó ó ng g ng g ó ó i port ngu i port ngu ồ ồ n v n v à à port đ port đ í í ch trong nh ch trong nh ữ ữ ng g ng g ó ó i IP kh i IP kh á á c nhau. c nhau. Đây l Đây l à à c c á á ch ch t t ấ ấ n công TCP fragmentation attack. n công TCP fragmentation attack. ATMMT ATMMT - - TNNQ TNNQ 21 21 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c phi tr c phi tr ạ ạ ng th ng th á á i i Ngo Ngo à à i vi i vi ệ ệ c ch c ch ậ ậ n nh n nh ữ ữ ng g ng g ó ó i tin đ i tin đ ộ ộ c h c h ạ ạ i đi v i đi v à à o, b o, b ộ ộ l l ọ ọ c phi c phi tr tr ạ ạ ng th ng th á á i còn ch i còn ch ậ ậ n nh n nh ữ ữ ng g ng g ó ó i tin n i tin n ộ ộ i b i b ộ ộ đi ra m đi ra m ạ ạ ng ng ngo ngo à à i c i c ó ó đ đ ặ ặ c t c t í í nh l nh l à à nh nh ữ ữ ng g ng g ó ó i đi i đi ề ề u khi u khi ể ể n d n d ù ù ng cho vi ng cho vi ệ ệ c c th th ự ự c thi truy c thi truy ề ề n thông trong m n thông trong m ạ ạ ng n ng n ộ ộ i b i b ộ ộ : : – – Bootp (Bootstrap Protocol) Bootp (Bootstrap Protocol) – – DHCP (Dynamic Host Configuration Protocol) DHCP (Dynamic Host Configuration Protocol) – – TFTP (Trial File Transfer Protocol) TFTP (Trial File Transfer Protocol) – – NetBIOS (Network Basic Input / Output System) NetBIOS (Network Basic Input / Output System) – – LRP (Line Printer Remote Protocol) LRP (Line Printer Remote Protocol) – – NFS (Network File System) NFS (Network File System) ATMMT ATMMT - - TNNQ TNNQ 22 22 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c phi tr c phi tr ạ ạ ng th ng th á á i i Ưu đi Ưu đi ể ể m: m: d d ễ ễ th th ự ự c hi c hi ệ ệ n, v n, v ì ì ch ch ỉ ỉ ki ki ể ể m tra c m tra c á á c IP c IP header header v v à à TCP TCP header header . . Như Như ợ ợ c đi c đi ể ể m: m: – – K K hông ngăn ch hông ngăn ch ặ ặ n n đư đư ợ ợ c c c c á á c g c g ó ó i tin đ i tin đ ộ ộ c h c h ạ ạ i khai i khai th th á á c c sơ h sơ h ở ở c c ủ ủ a c a c á á c ph c ph ầ ầ n m n m ề ề m m ở ở t t ầ ầ ng ng ứ ứ ng d ng d ụ ụ ng. ng. – – Do m Do m ỗ ỗ i i g g ó ó i i tin tin ph ph ả ả i đư i đư ợ ợ c ki c ki ể ể m tra đ m tra đ ố ố i v i v ớ ớ i i t t o o à à n b n b ộ ộ ACL, c ACL, c ó ó th th ể ể gây nên gây nên m m ộ ộ t n t n ú ú t c t c ổ ổ chai trên m chai trên m ộ ộ t t m m ạ ạ ng t ng t ố ố c đ c đ ộ ộ cao, d cao, d ẫ ẫ n đ n đ ế ế n n th th ấ ấ t tho t tho á á t g t g ó ó i tin v i tin v à à gi gi ả ả m t m t ố ố c đ c đ ộ ộ truy truy ề ề n ngo n ngo à à i ý mu i ý mu ố ố n n . . ATMMT ATMMT - - TNNQ TNNQ 23 23 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c c c c ó ó tr tr ạ ạ ng th ng th á á i i B B ộ ộ l l ọ ọ c c c c ó ó tr tr ạ ạ ng th ng th á á i còn đư i còn đư ợ ợ c g c g ọ ọ i l i l à à b b ộ ộ l l ọ ọ c tr c tr ạ ạ ng ng th th á á i k i k ế ế t n t n ố ố i (connection i (connection - - state filtering), gi state filtering), gi ữ ữ l l ạ ạ i i thông tin v thông tin v ề ề k k ế ế t n t n ố ố i gi i gi ữ ữ a m a m ộ ộ t host n t host n ộ ộ i b i b ộ ộ v v à à m m ộ ộ t t host bên ngo host bên ngo à à i. i. M M ộ ộ t tr t tr ạ ạ ng th ng th á á i k i k ế ế t n t n ố ố i ch i ch ỉ ỉ ra đ ra đ ó ó l l à à k k ế ế t n t n ố ố i TCP hay i TCP hay UDP v UDP v à à k k ế ế t n t n ố ố i n i n à à y c y c ó ó đư đư ợ ợ c thi c thi ế ế t l t l ậ ậ p hay không. p hay không. Tr Tr ạ ạ ng th ng th á á i k i k ế ế t n t n ố ố i đư i đư ợ ợ c lưu trong m c lưu trong m ộ ộ t b t b ả ả ng tr ng tr ạ ạ ng ng th th á á i (state table). i (state table). ATMMT ATMMT - - TNNQ TNNQ 24 24 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c c c c ó ó tr tr ạ ạ ng th ng th á á i i Khi m Khi m ộ ộ t g t g ó ó i tin đ i tin đ ế ế n (v n (v à à o hay ra), b o hay ra), b ộ ộ l l ọ ọ c s c s ẽ ẽ ki ki ể ể m tra m tra xem g xem g ó ó i tin n i tin n à à y đã c y đã c ó ó trong b trong b ả ả ng tr ng tr ạ ạ ng th ng th á á i hay i hay chưa chưa . . – – N N ế ế u c u c ó ó , , tư tư ờ ờ ng l ng l ử ử a s a s ẽ ẽ cho g cho g ó ó i tin đi qua v i tin đi qua v à à lưu lưu l l ạ ạ i thông tin (TCP sequence number i thông tin (TCP sequence number … … ) cho l ) cho l ầ ầ n n sau. sau. – – N N ế ế u g u g ó ó i tin n i tin n à à y l y l à à g g ó ó i SYN, i SYN, tư tư ờ ờ ng l ng l ử ử a s a s ẽ ẽ t t ạ ạ o o m m ộ ộ t entry m t entry m ớ ớ i trong b i trong b ả ả ng tr ng tr ạ ạ ng th ng th á á i. i. – – N N ế ế u g u g ó ó i tin không thu i tin không thu ộ ộ c v c v ề ề m m ộ ộ t k t k ế ế t n t n ố ố i đã c i đã c ó ó v v à à n n ó ó không ph không ph ả ả i l i l à à m m ộ ộ t g t g ó ó i SYN, i SYN, tư tư ờ ờ ng l ng l ử ử a s a s ẽ ẽ hu hu ỷ ỷ n n ó ó . . ATMMT ATMMT - - TNNQ TNNQ 25 25 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c c c c ó ó tr tr ạ ạ ng th ng th á á i i S S ố ố port l port l à à m m ộ ộ t s t s ố ố dương d dương d ù ù ng đ ng đ ể ể nh nh ậ ậ n di n di ệ ệ n m n m ộ ộ t chương t chương tr tr ì ì nh riêng bi nh riêng bi ệ ệ t. B t. B ấ ấ t k t k ỳ ỳ m m ộ ộ t port n t port n à à o đư o đư ợ ợ c m c m ở ở b b ở ở i m i m ộ ộ t t host n host n ộ ộ i b i b ộ ộ ng ng ầ ầ m đ m đ ị ị nh s nh s ẽ ẽ c c ó ó s s ố ố port nh port nh ỏ ỏ hơn hơn 1024. 1024. S S ố ố port nh port nh ỏ ỏ hơn hơn 1024 l 1024 l à à port chu port chu ẩ ẩ n. n. Ng Ng ầ ầ m đ m đ ị ị nh, host bên ngo nh, host bên ngo à à i s i s ẽ ẽ s s ử ử d d ụ ụ ng s ng s ố ố port gi port gi ữ ữ a 1024 a 1024 v v à à 65535 65535 đ đ ể ể th th ự ự c thi m c thi m ộ ộ t k t k ế ế t n t n ố ố i v i v ớ ớ i host n i host n ộ ộ i b i b ộ ộ . . [...]...2 Bộ lọc gói tin (Packet Filters) Bộ lọc có trạng thái ATMMT - TNNQ 26 2 Bộ lọc gói tin (Packet Filters) Bộ lọc có trạng thái Bộ lọc có trạng thái và bộ lọc phi trạng thái thường được sử dụng kết hợp với nhau Khi gặp khó khăn trong việc xác định chận một gói dựa trên trạng thái kết nối, ACL sẽ được sử dụng để giúp ra quyết định... - TNNQ 27 2 Bộ lọc gói tin (Packet Filters) Bộ lọc có trạng thái Attacker có thể đưa một số lượng lớn các gói tin vào tường lửa mục tiêu sử dụng bộ lọc có trạng thái, có thể làm ngắt các kết nối giữa mạng nội bộ và bên ngoài Do đó, khi sử dụng bộ lọc có trạng thái, cần phải chắc chắn rằng có thể quản lý được sự phức tạp giữa thời gian và không gian Ví dụ, thay vì giữ lại toàn bộ thông tin lịch sử của... dụng bộ lọc có trạng thái, cần phải chắc chắn rằng có thể quản lý được sự phức tạp giữa thời gian và không gian Ví dụ, thay vì giữ lại toàn bộ thông tin lịch sử của một kết nối, chỉ cần giữ lại thông tin của kết nối này trong một khoảng thời gian nào đó ATMMT - TNNQ 28 . ó ó i tin (Packet Filters) i tin (Packet Filters) B B ộ ộ l l ọ ọ c c c c ó ó tr tr ạ ạ ng th ng th á á i i Khi m Khi m ộ ộ t g t g ó ó i tin đ i tin đ. (bộ lọc phi trạng thái) – stateful filtering (bộ lọc có trạng thái) ATMMT ATMMT - - TNNQ TNNQ 17 17 2. B 2. B ộ ộ l l ọ ọ c g c g ó ó i tin (Packet Filters)