LỜI NÓI ĐẦU Với bùng nổ ngày mạnh mẽ mạng Internet, quốc gia tổ chức, công ty tất người ngày xích lại gần Khoảng cách địa lý ngày trở nên mờ dần khái niệm giới “phẳng” trở nên rõ nét Thật khó mà kể hết lợi ích mà Internet mang lại cho người tưởng tượng ngày thiếu Internet người phải xoay sở Đó khơng cơng cụ trao đổi thơng tin nhanh chóng tin cậy mà cịn kho thơng tin vơ tận, cập nhật, đa dạng đầy đủ Có thể nói Internet nguồn tài nguyên vô giá kỉ nguyên số Chính việc khai thác tận dụng tài nguyên mạng mối quan tâm hàng đầu doanh nghiệp Công nghệ mạng Lan mạng Wan phát triển thỏa mãn nhu cầu Tuy nhiên ngồi lợi ích to lớn mạng Internet ẩn chứa nguy khôn lường khả đánh cắp, phá hoại tài sản thông tin tổ chức dẫn đến hậu nghiêm trọng Chính cơng việc trọng trách đặt lên vai người làm công nghệ thông tin giới nói chung Việt Nam nói riêng không nghiên cứu xây dựng phát triển nhanh chóng mạng máy tính nước để người khai thác tiềm phong phú Internet mà đồng thời phải nghiên cứu thực tốt biện pháp ngăn chặn, phòng chống, phát phục hồi hành vi công phá hoại trái phép mạng, nhằm đảm bảo tối đa phát triển cho tổ chức kinh doanh… Với mục đích thời gian thực tập tơi tự tìm hiểu khái niệm bảo mật với kiến thức mạng máy tính học học viện mạng Cisco, mong muốn xây dựng hệ thống bảo mật sử dụng cơng nghệ firewall có nhiều tính ứng dụng thực tiễn Đồ án tốt nghiệp giới thiệu kiến thức chung bảo mật mạng máy tính, cơng nghệ thường sử dụng để bảo mật giao thức TCP/IP, Lớp Điện Tử - K48 giao thức Intenet cụ thể sâu vào công nghệ Firewall công nghệ bảo mật phổ biến Phần cuối đồ án đưa phương pháp xây dựng mơ hình bảo mật Firewall cho hệ thống mạng doanh nghiệp Tôi xin chân thành cảm ơn bảo hướng dẫn tận tình Thầy Đinh Hữu Thanh - giảng viên khoa Điện tử viễn thông Đại Học Bách Khoa Hà Nội , CCNP Trần Thanh Long giảng viên CCNA – Giám đốc học viện mạng Cisco - ĐH Công nghệ - ĐH Quốc gia Hà Nội , Giám đốc - giảng viên học viện ITLAB Nguyễn Anh Thao , Mr Christian Tusborg – IT manager Skills Group giúp thực đồ án Vì thời gian hạn hẹp, vấn đề cần tìm hiểu q rộng, lượng thơng tin tài liệu cần đọc lớn, kiến thức hạn chế nên chắn đồ án không tránh khỏi thiếu sót, tơi mong nhận bảo góp ý thắng thắn từ phía hội đồng bạn Trân trọng cảm ơn Lớp Điện Tử - K48 TÓM TẮT ĐỒ ÁN Bảo mật phạm trù rộng phức tạp, lĩnh vực cơng nghệ thơng tin tổng hịa nhiều công nghệ khác nhằm mang lại an tồn cho hệ thống thơng tin tổ chức Ngày hệ thống thơng tin phải tuân theo tiêu chuẩn mang tính chất quốc tế, quy định bắt buộc phạm vi truyền thơng có tính chất tồn cầu khơng bó hẹp phạm vi tổ chức hay phạm vi khu vực Vì để bảo đảm an tồn thơng tin q trình truyền thơng phương pháp bảo mật cần tương thích với chuẩn mang tính chất quốc tế Phần I đồ án đưa nhìn tồn diện mơ hình truyền thơng mạng Internet hình dung chung công nghệ bảo mật tranh tổng thể Trong công nghệ bảo mật hiệu sâu phân tích đánh giá phương pháp bảo mật cơng nghệ “ tường lửa”, Phần II đồ án tập trung giải vấn đề Trên sở lý luận nghiên cứu việc đưa phương án áp dụng thành công công nghệ lựa chọn điều cần thiết Với mong muốn đồ án sản phẩm mang tính thực tiễn cao tơi trình bày phương pháp triển khai công nghệ tường lửa hệ thống thơng tin tổ chức, kèm theo minh họa có tính chất trực quan Với nội dung hy vọng mang lại cho người đọc nhìn tồn cảnh tranh bảo mật nói chung cơng nghệ tưởng lửa nói riêng Theo nhịp độ phát triển mau lẹ công nghệ biện pháp cơng ngày tinh vi hơn, cơng nghệ cần khơng ngừng cải tiến không ngừng để đảm bảo cho thơng tin an tồn bền vững Lớp Điện Tử - K48 THESIS SUMMARY Information security is a wide-reaching and complex term because it is made up of many high technologies in order to make our information system more secure Today, most information systems must meet the international standards because information transportation takes place not only in a organization itseft or in a region but also all over the world Therefore to secure information exchanged, the security technologies used must meet international standards The first Part of my thesis will provide an overview of information transportation process in the Internet and a genaral picture of information security technologies I will a thorough research on firewall technology, one of the most popular and effective security methods in the second part of my thesis It’s essential that research results be successfully applicable in real-life selected technologies Bearing this in mind, I will clarify applications of firewall technology into information systems in enterprises in addition to visual illustrations All of these are presented in third part Hopefully, readers will have general understanding of security technologies in general and firewall technology in particular As technological progresses take place nearly every minute, hacking activities have become increasingly damaging and seemingly uncontrollable Hence, security technologies must be steadily improved for the sake of a well-sustained information system Lớp Điện Tử - K48 MỤC LỤC LỜI NÓI ĐẦU Error: Reference source not found TÓM TẮT ĐỒ ÁN Error: Reference source not found THESIS SUMMARY Error: Reference source not found DANH SÁCH HÌNH VẼ Error: Reference source not found DANH SÁCH CÁC TỪ VIẾT TẮT Error: Reference source not found LỜI MỞ ĐẦU Error: Reference source not found PHẦN I: KHÁI NIỆM CHUNG VỀ BẢO MẬT Error: Reference source not found Chương Error: Reference source not found MƠ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP Error: Reference source not found 1.1 GIỚI THIỆU CHUNG Error: Reference source not found 1.2 MÔ HÌNH OSI Error: Reference source not found 1.3 KIẾN TRÚC TCP/IP Error: Reference source not found 1.4 MỘT SỐ GIAO THỨC CƠ BẢN TRONG BỘ GIAO THỨC TCP/IPError: Reference source not found 1.4.1 Giao thức IP (Internet Protocol) Error: Reference source not found 1.4.2 Giao thức UDP ( User Datagram Protocol )Error: Reference source not found 1.4.3 Giao thức TCP ( Transmission Control Protocol )Error: Reference source not found 1.5 QUÁ TRÌNH ĐĨNG MỞ GĨI DỮ LIỆU KHI TRUYỀN TIN QUA CÁC LỚP 30 Chương 32 KHÁI NIỆM BẢO MẬT 32 2.1 KHÁI NIỆM BẢO MẬT 32 2.2 MỤC TIÊU CỦA BẢO MẬT THÔNG TIN .Error: Reference source not found 2.3 BẢO MẬT LÀ MỘT QUY TRÌNH 34 2.4 NHẬN BIẾT CÁC NGUY CƠ MẤT AN NINH DỮ LIỆU 36 Chương 45 CÁC CÔNG NGHỆ BẢO MẬT 45 3.1 CÔNG NGHỆ BẢO MẬT THEO LỚP 45 3.1.1 Bảo mật mức vật lý 46 3.1.2 Bảo mật sử dụng tường lửa 47 3.1.3 Bảo mật sử dụng lọc gói liệu 49 3.1.4 Bảo mật sử dụng phương pháp mã hóa 50 3.1.5 Bảo mật sử dụng xác thực, cấp quyền truy nhập thống kê 53 3.2 CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI 54 Phần II 56 Lớp Điện Tử - K48 CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG 56 Chương I 56 CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL 56 1.1 LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL56 1.2 ĐỊNH NGHĨA FIREWALL 58 1.3 PHÂN LOẠI FIREWALL 59 1.3.1 Firewall phần mềm 59 1.3.2 Firewall phần cứng 59 1.4 CHỨC NĂNG CỦA FIREWALL 59 1.4.1 Điều khiển truy nhập (Access Control) 59 1.4.1.1 Vị trí xảy q trình lọc gói 59 1.4.1.2 Hoạt động lọc gói (Packet Filtering) 61 1.4.1.3 Luật lọc ( Filtering Rules) 61 1.4.1.4 Hoạt động tường lửa người đại diện ứng dụng ( Proxy Application) 62 1.4.2 Quản lý xác thực (User Authentication) 64 1.4.3 Kiểm tra Cảnh báo (Activity Logging and Alarms) 65 1.4.3.1 Chức kiểm tra (Activity logging) 65 1.4.3.2 Chức cảnh báo (Alarm) 65 Chương 66 CÁC KIẾN TRÚC FIREWALL CƠ BẢN 66 2.1 FIREWALL BỘ LỌC GÓI TIN (PACKET FILTERING FIREWALL) .66 2.2 FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER) .67 2.2.1 Gateway mức mạng (Network Level Gateway) 68 2.2.2 Gateway mức ứng dụng (Application level Gateway) 68 2.3 KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 70 2.4 FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL )71 2.4.1 Dạng thứ máy phịng thủ có hai card mạng 71 2.4.2 Dạng thứ hai máy phịng thủ có card mạng 71 Chương 72 NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL .72 3.1 HOẠT ĐỘNG CỦA FIREWALL “MỀM” 72 3.2 HOẠT ĐỘNG CỦA FIREWALL “CỨNG” 75 3.2.1 Cơ chế lọc gói tin : 75 3.2.2 Một số đặc điểm ACL: 75 3.2.3 Phân loại ACL 76 3.2.3.1 Danh sách điều khiển truy nhập (Standard IP Access Control Lists) 76 3.2.3.2 Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists) 77 3.2.3.3 So sánh standard ACL extended ACL 78 3.2.4 Ứng dụng ACL 79 3.3 NAT 79 Lớp Điện Tử - K48 3.3.1 Cấu hình NAT nhiều cổng 83 3.3.2 Phiên dịch địa động 84 3.3.3 Phiên dịch địa tĩnh 85 3.3.4 Cơ chế phiên dịch thông qua địa cổng (Port Address Translation) 85 3.4 Cơ chế điều khiển giám sát kết nối qua Firewall 86 3.4.1 Vận chuyển giao thức TCP 86 3.4.2 Vận chuyển giao thức UDP 88 3.5 Một số kỹ thuật khác sử dụng Firewall 89 3.5.1 Kỹ thuật thẩm kế an toàn 89 3.5.2 Kỹ thuật lõi an toàn 89 3.5.3 Kỹ thuật cân phụ tải 90 3.6 Sự kết hợp biện pháp kỹ thuật 90 Chương 91 CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL 91 4.1 CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN NINH MẠNG 92 4.1.1 Mạng bên trong(Inside Network) 92 4.1.2 Mạng bên (Outside Network) 92 4.1.3 Vùng phi quân (Demilitarized Zone -DMZ) 92 4.2 CÁC KIẾN TRÚC FIREWALL ĐƠN GIẢN THƯỜNG GẶP 93 4.2.1 Kiến trúc 93 4.2.2 Dual-Homed System 94 4.2.3 Kiến trúc Screening Host 95 4.2.4 Kiến trúc Screened Subnet 96 4.3 CÁC MÔ HÌNH FIREWALL PHỨC TẠP 97 4.4 Đánh giá Firewall 100 KẾT LUẬN 103 TÀI LIÊỤ THAM KHẢO 105 Lớp Điện Tử - K48 DANH SÁCH HÌNH VẼ Hình 1.1 Mơ hình tham chiếu OSI 15 Hình 1.2 Kiến trúc TCP/IP 16 Hình 1.3 Khn dạng IP datagram 19 Hình1 Phân lớp địa IP .21 Hình 1.6 Khn dạng UDP datagram 23 Hình 1.7 Khn dạng TCP datagram .25 26 Hình 1.8 Thiết lập giải phóng liên kết 26 Hình 1.9 Cơ chế cửa sổ trượt 29 Hình 1.11 Mục tiêu CIA 33 Hình 1.12 Quy trình bảo mật 35 Hình 1.13.Tấn công kẻ trung gian 39 Hình 1.14 Mơ hình bảo mật theo lớp .46 Hình 1.15 Bảo mật sử dụng tường lửa .47 Hình 1.16 Các loại IPS 49 Hình 1.17 Bảo mật sử dụng lọc gói liệu .50 Hình 1.18 Kết nối từ xa sử dụng VPN 52 58 Hình 2.1 Firewall làm chắn ngăn cách mạng nội Internet 58 Hình 2.2 Các vị trí kiểm sốt gói tin tầng giao thức .60 Hình 2.3 Các thông tin sử dụng luật lọc gói tin IP 61 Hình 2.4 Hoạt dộng người đại diện ứng dụng 62 Hình 2.5 Tưởng lửa lọc gói tin 67 Hình 2.6 Tường lửa dịch vụ ủy thác 67 Hình 2.7 Giao tiếp mạng thông qua proxy server 69 Hình 2.8 Pháo đài phịng ngự 71 Hình 2.9 Sơ đồ hoạt động ISA Server .74 Hình 2.10 Hoạt động Standard ACL 76 Hình 2.11 Di chuyển gói tin vùng có độ an tồn khác 79 Hình 2.12 Chức phân vùng firewall 81 Hình 2.13 Quá trình phiên dich địa 82 Hình 2.14 Cấu hình NAT nhiều cổng 83 Hình 2.15 Phiên dịch địa từ mạng mạng 84 Hình 2.16 Quá trình tạo kết nối TCP từ bên bên 87 Lớp Điện Tử - K48 Hình 2.17 Kiến trúc vùng thiết kế an ninh mạng 91 4.2.1.Kiến trúc 93 Trong kiến trúc firewall bản, firewall có vai trị điều khiển lưu lượng từ mạng nội (Inside Network) mạng phía ngồi (Outside Network) ngược lại .93 Trong kiến trúc firewall sử dụng cấu hình mặc định cổng: cổng nối với mạng phía có độ an toàn cao nhất, cổng nối với vùng đệm DMZ có độ anh tồn thấp cổng thứ có độ an tồn thấp nối với mạng ngồi Và nói mặc định tất lưu lượng từ cổng có độ an tồn cao cổng có độ an tồn thấp firewall phép từ cổng có độ an tồn thấp đến cổng có độ an tồn cao bị cấm Đơi có ngoại lệ (Exception) chủ ý người quản trị .93 Trong kiến trúc router ngăn cách mạng với firewall mạng ngồi với firewall khơng giữ vai trị định tuyến cửa ngõ khỏi mạng mà cịn giữ vai trị lọc gói (Packet filtering) khơng có trạng thái có trạng thái Các server vùng đệm DMZ không server cung cấp ứng dụng giao tiếp với người Internet mà giữ vai trò proxy server 93 Hình 2.18 Kiến trúc firewall 94 Đây cấu hình mạng thơng thường giao tiếp với Internet, firewall có cấu hình mặc định cổng Khi quy mô số mạng vùng nội tăng lên có nhu cầu bảo mật khác ta sử dụng số cổng nhiều với cấu hình độ bảo mật cổng khác Khơng firewall cịn sử dụng với công nghệ bảo mật khác nhằm mang lại hiểu an toàn cao Sau ta xét kiến trúc an ninh mở rộng sử dụng firewall kết hợp với công nghệ bảo mật khác 94 4.2.2 Dual – Homed System .94 Hệ thống máy tính có card mạng hình 2.19 Trường hợp việc định tuyến side tương ứng với side card mạng ngắt việc kiểm sốt lưu lượng mạng hồn tồn thủ cơng Giả sử hệ thống chạy WEB server Nếu định tuyến bị ẩn gói tin khơng thể trao đổi mạng khác Ví dụ ,nếu vài phận tổ chức cần chia sẻ web server bạn không muốn tạo bảng định tuyến phận bạn sử dụng cấu hình hệ thống Tuy nhiên ,các hacker cơng vào sơ hở (nếu trường hợp ứng dụng vá lỗi chưa cài đặt ) 94 95 Hình 2.19 Hệ thống Dual – Homed có card mạng 95 4.2.3 Kiến trúc Screen Host 95 Lớp Điện Tử - K48 Trường hợp Router cho phép người dung Internet kết nối tới hệ thống định nghĩa trước pháo đài phòng ngự Cổng getway đóng vai trị kiểm sốt tồn gói tin vào 95 95 Hình 2.20 Kiến trúc Screening Host 95 Router lọc tin làm việc nhiều cấu trúc ,không làm việc với gói tin để hướng chúng vào hệ thống bên mạng mà cịn cho phép hay khơng cho phép mạng nội mở kết nối với Internet Bạn cài đặt cấu hình dựa u cầu bảo mật hệ thống bạn Chapman Zwicky lưu ý cấu trúc bị hỏng cho phép gói tin từ Internet vào mạng nội ,không giống với Dual – Homed khóa tất gói tin từ mạng ngồi vào nội 95 4.2.4 Kiến trúc Screeded Subnet .96 Trường hợp tương tự với Screening Host ,ngoại trừ lớp phụ bảo mật thêm vào vùng ưu tiên vùng nội .96 96 hình 2.21 Kiến trúc Screened Subnet 96 Lý cho cấu trúc để bảo vệ mạng nội trường hợp pháo đài phòng ngự chống lại công từ hacker 96 DANH SÁCH CÁC TỪ VIẾT TẮT Từ viết tắt Từ đầy đủ Chú thích FW Firewall Bức tường lửa VPN Virtual Private Network Mạng riêng ảo NAT Network Address Translation Phiên dịch địa mạng OSI Open Systems Interconnection CSU/DSU LAN Chanel Service Unit/ Digital Service Unit Local Area Network Mơ hình liên kết hệ thống mở Đơn vị dịch vụ kênh đơn vị dịch vụ số Mạng cục MAN Metropolitan Area Network Mạng thị GAN Global Area Network Mạng tồn cầu CAN Campus Area Network Mạng trường học WAN Wide Area Network Mạng diện rộng SAN Storage Area Network Mạng lưu trữ VPN Vitual Private Network Mạng riêng ảo Lớp Điện Tử - K48 10 Các host phòng thủ phải bảo vệ phải nhận trì mức độ bảo mật cao chúng dễ bị cơng từ giới bên ngồi Các máy chủ phịng thủ thơng thường chạy ứng dụng đặc biệt để chia sẻ dùng chung, tất dịch vụ khác bị dừng lại bị tắt Firewall phải cấu hình phép truy nhập từ giới bên vào vùng DMZ cách tương đối dễ dàng điều chỉnh được, bảo vệ khu vực mạng bên Người sử dụng khu vực mạng nội bị hạn chế truy nhập vào máy chủ vùng DMZ giới hạn phiên xuất phát từ mạng bên Nhìn chung firewall ngăn cản truy nhập từ bên ngồi vào mạng bên Và hầu hết trường hợp truy nhập từ bên vào bị khóa Nhưng có ngoại lệ máy chủ e mail nằm mạng nội thay DMZ 4.2 KIẾN TRÚC FIREWALL CƠ BẢN 4.2.1.Kiến trúc Trong kiến trúc firewall bản, firewall có vai trò điều khiển lưu lượng từ mạng nội (Inside Network) mạng phía ngồi (Outside Network) ngược lại Trong kiến trúc firewall sử dụng cấu hình mặc định cổng: cổng nối với mạng phía có độ an toàn cao nhất, cổng nối với vùng đệm DMZ có độ anh tồn thấp cổng thứ có độ an tồn thấp nối với mạng ngồi Và nói mặc định tất lưu lượng từ cổng có độ an tồn cao cổng có độ an tồn thấp firewall phép từ cổng có độ an tồn thấp đến cổng có độ an tồn cao bị cấm Đơi có ngoại lệ (Exception) chủ ý người quản trị Trong kiến trúc router ngăn cách mạng với firewall mạng với firewall khơng giữ vai trị định tuyến cửa ngõ khỏi mạng mà giữ vai trò lọc gói (Packet filtering) khơng có trạng thái có trạng thái Các server vùng đệm DMZ không server cung cấp ứng dụng giao tiếp với người Internet mà giữ vai trò proxy server Lớp Điện Tử - K48 93 Hình 2.18 Kiến trúc firewall Đây cấu hình mạng thơng thường giao tiếp với Internet, firewall có cấu hình mặc định cổng Khi quy mơ số mạng vùng nội tăng lên có nhu cầu bảo mật khác ta sử dụng số cổng nhiều với cấu hình độ bảo mật cổng khác Khơng firewall cịn sử dụng với cơng nghệ bảo mật khác nhằm mang lại hiểu an toàn cao Sau ta xét kiến trúc an ninh mở rộng sử dụng firewall kết hợp với công nghệ bảo mật khác 4.2.2 Dual – Homed System Hệ thống máy tính có card mạng hình 2.19 Trường hợp việc định tuyến side tương ứng với side card mạng ngắt việc kiểm soát lưu lượng mạng hồn tồn thủ công Giả sử hệ thống chạy WEB server Nếu định tuyến bị ẩn gói tin trao đổi mạng khác Ví dụ ,nếu vài phận tổ chức cần chia sẻ web server bạn không muốn tạo bảng định tuyến phận bạn sử dụng cấu hình hệ thống Tuy Lớp Điện Tử - K48 94 nhiên ,các hacker cơng vào sơ hở (nếu trường hợp ứng dụng vá lỗi chưa cài đặt ) Hình 2.19 Hệ thống Dual – Homed có card mạng 4.2.3 Kiến trúc Screen Host Trường hợp Router cho phép người dung Internet kết nối tới hệ thống định nghĩa trước pháo đài phòng ngự Cổng getway đóng vai trị kiểm sốt tồn gói tin vào Hình 2.20 Kiến trúc Screening Host Router lọc tin làm việc nhiều cấu trúc ,khơng làm việc với gói tin để hướng chúng vào hệ thống bên mạng mà cịn cho phép hay Lớp Điện Tử - K48 95 không cho phép mạng nội mở kết nối với Internet Bạn cài đặt cấu hình dựa yêu cầu bảo mật hệ thống bạn Chapman Zwicky lưu ý cấu trúc bị hỏng cho phép gói tin từ Internet vào mạng nội ,khơng giống với Dual – Homed khóa tất gói tin từ mạng ngồi vào nội 4.2.4 Kiến trúc Screeded Subnet Trường hợp tương tự với Screening Host ,ngoại trừ lớp phụ bảo mật thêm vào vùng ưu tiên vùng nội hình 2.21 Kiến trúc Screened Subnet Lý cho cấu trúc để bảo vệ mạng nội trường hợp pháo đài phịng ngự khơng thể chống lại cơng từ hacker 4.3 MƠ HÌNH FIREWALL PHỨC TẠP Sơ đồ bố trí firewall tài Lớp Điện Tử - K48 96 Hình 2.20 Sơ đồ hạ tầng mạng tài Trong sơ đồ tài sử dụng hàng rào bảo vệ firewall đặt liên tiếp FW1 FW2 Firewall thứ FW1 có cổng làm nhiệm vụ điều khiển truy nhập mạng bên Internet, firewall sử dụng cấu hình cổng mặc định Firewall thứ FW2 nằm sau FW1 có nhiệm vụ ngăn cách vùng có Lớp Điện Tử - K48 97 độ an toàn khác vùng nội mạng với cấu hình cổng, có cổng gắn với mạng nội khác GE3 khu vực trung tâm liệu, nơi tập trung server cho ngành tài có độ bảo mật cao nhất, GE4 mạng dành cho người sử dụng nội có độ an toàn thấp FE2 khu vực mạng dành cho server đóng vài trị quản lý Cổng lại firewall làm nhiệm vụ mạng phía ngồi Trong vùng với độ an tồn khác cổng firewall cấu hình với mức độ an tồn tương ứng Cũng giống tài techcombank đơn vị hoạt động lĩnh vực tài có nhu cầu bảo mật cao Ở việc sử dụng sản phẩm firewall cứng ASA Cisco hay firewall mềm Checkpoit Nokia họ dùng kết hợp với IPS Các thiết bị bảo mật sử dụng sánh đôi để tạo nên cấu trúc dự phòng tin cậy Vậy lại sử dụng IPS kết hợp với firewall? Firewall tường phòng thủ để chống lại cơng xâm nhập từ bên ngồi thường hệ thống mà kẻ công phải vượt qua Không may số trường hợp Firewall phức tạp dẫn đến khả cấu hình sai việc làm cho hệ thống trở nên không bảo vệ Do Firewall cần phải kèm với số biện pháp bổ sung để thực tốt sách an ninh Các hệ thống IPS triển khai hình thức Gateway để phát ngăn chặn cách hiệu công mạng, giảm thiểu thời gian chết mạng chi phí ảnh hưởng đến hiệu họat động mạng Các hệ thống triển khai vị trí nằm ngịai phạm vi kiểm sóat tường lửa, có khả phát cơng cách xác thơng qua phân tích lưu lượng mạng nhiều phương pháp nhằm đến kết luận xác mục đích thật kết nối đến mạng Lớp Điện Tử - K48 98 Lớp Điện Tử - K48 99 Lớp Điện Tử - K48 100 Hình 2.21 sơ đồ hạ tầng mạng ngân hàng Techcombank 4.4 ĐÁNH GIÁ FIREWALL Lớp Điện Tử - K48 101 4.4.1 Firewall làm ? a Firewall trung tâm cho định an ninh Coi Firewall điểm nút cổ chai ( choke point ) Tất lưu lượng và vào phải qua nút cổ chai hẹp Firewall cho phép tập trung biện pháp an ninh điểm : điểm mà mạng nội kết nối vào mạng Internet Việc hiệu kinh tế phân bố định an ninh công nghệ xung quanh mạng b Firewall thực sách an ninh mạng Nhiều loại dịch vụ mà người sử dụng cần từ Internet không an tồn Firewall vai trị cảnh sát giao thơng cho loại dịch vị Nó thi hành sách an ninh, cho phép loại dịch vụ “được phép” qua phạm vi quy tắc đựợc thiết lập cho chúng Firewall thi hành số sách an ninh phức tạp Ví dụ , có số hệ thống phạm vi Firewall đựơc phép truyền nhận file từ internet ,bằng cách sử dụng biện pháp khác Firewall kiểm sốt user có quyền truy nhập vào hệ thống Phụ thuộc vào công nghệ ta chọn để xây dựng Firewall, Firewall có khả nhiều hay để thi hành sách c Firewall ghi chép lại hoạt động internet cách hiệu Do tất lưu lượng qua Firewall , nên có khả thu thập thơng tin việc sử dụng hệ thống mạng lạm dụng Cũng điểm truy nhập riêng biệt , Firewall ghi lại xảy mạng đựơc bảo vệ mạng bên ngồi d Firewall kiểm sốt phần mạng nội Đôi , Firewall sử dụng để ngăn cách phần khác mạng nội Do giữ cho vấn đề tác động đến phần không tác động đến phần khác Trong số trường hợp, phần mạng tin cậy phần khác, phần nhạy cảm phần khác Với tất lý , tồn Lớp Điện Tử - K48 102 Firewall hạn chế thiệt hại mà vấn đề an ninh mạng ảnh hưởng đến tồn mạng 4.1.2 Firewall khơng thể làm ? Firewall mang lại bảo vệ chống lại mối đe dọa từ mạng bên Firewall biện pháp an ninh toàn diện, số mối đe dọa nằm tầm kiểm sốt Firewall Do ta cần tìm biện pháp để chống lại mối đe dọa cách kết hợp với an ninh mức vật lý , an ninh máy chủ giáo dục người dùng vào sách an ninh chung Một số hạn chế Firewall : a Firewall chống lại mối nguy hại xâm nhập vào bên Một Firewall kiểm sốt thơng tin bí mật mà user gửi khỏi mạng nội qua kết nối mạng Tuy nhiên user copy liệu vào đĩa, băng hay giấy mang mà Firewall ngăn cản Nếu kẻ cơng bên Firewall Firewall khơng thể làm Các user bên ăn cắp liệu, phá hủy phần cứng, phần mềm hay thay đổi chương trình mà khơng cần tiếp cận Firewall Các mối đe dọa nội đòi hỏi biện pháp an ninh nội an ninh máy chủ hay việc giáo dục người dùng b Firewall chống lại kết nối mà khơng qua Một Firewall kiểm sốt hiệu lưu lượng qua nhiên , Firewall khơng thể làm lưu lượng khơng qua Ví dụ , điều xảy site cho phép truy nhập quay số (qua đường điện thoại) vào hệ thống đằng sau Firewall Firewall hoàn toàn khơng có cách ngăn cản xâm nhập qua modem Đôi chuyên gia kỹ thuật quản trị hệ thống mở cửa hậu (BackDoor) vào mạng ( kết nối qua modem dạng quay số ) tạm thời hay cố định Firewall khơng thể làm trường hợp Đó vấn đề quản lý nhân vấn đề kỹ thuật Lớp Điện Tử - K48 103 c Firewall khó chống lại mối đe dọa kiểu Firewall thiết kế để bảo vệ lại mối đe dọa biết Một Firewall thiết kế tốt chống lại mối đe dọa Ví dụ, cách từ chối tất trừ vài dịch vụ tin cậy, Firewall ngăn chặn người thiết lập dịch vụ khơng an tồn Tuy nhiên, khơng có Firewall tự động bảo vệ để chống lại mối nguy hại nảy sinh Các kẻ cơng tìm cách thức cơng mới, sử dụng dịch vụ tin cậy trước hay sử dụng cách cơng chưa có trước Do thiết lập Firewall lần hy bảo vệ ta mãi d Firewall khó bảo vệ ta chống lại loại virus Firewall giữ cho mạng khỏi tầm ảnh hưởng virus Mặc dù nhiều loại Firewall quét tất lưu lượng đến để định xem có phép vào mạng nội hay không Nhưng việc quét chủ yếu địa đích , địa nguồn số cổng phải nội dung liệu Thậm chí với phần mềm lọc gói proxy phức tạp , việc bảo vệ chống lại virus Firewall không thực tế Đơn giản có nhiều loại virus có nhiều cách để virus giấu liệu Việc phát virus gói liệu ngẫu nhiên qua Firewall khó Nó địi hỏi : • Nhận dạng packet phần liệu • Xác định chương trình virus • Xác định xem có thay đổi có virus Thậm chí điều thứ thử thách Hầu hết máy mà Firewall bảo vệ , máy có loại định dạng khác Hơn hầu hết chương trình đóng gói cho việc vận chuyển cững nén lại Các Packet chuyển qua email Usenet news mã hóa dạng ký tự ASCII theo nhiều cách khác Với tất lý User mang virus qua Firewall mà không cần để ý đến Firewall Lớp Điện Tử - K48 104 Phương pháp thực tế để giải vấn đề virus sử dụng phần mềm bảo vệ chống lại virus dựa máy chủ , việc giáo dục người dùng liên qua tới mối nguy hiểm virus đề phòng chúng KẾT LUẬN Khơng có tài liệu lường hết lỗ hổng hệ thống khơng có nhà sản xuất cung cấp đủ công cụ cần thiết Cách tốt sử dụng kết hợp giải pháp, sản phẩm nhằm tạo chế bảo mật đa Trong lựa chọn giải pháp an ninh firewall ưu tiên hàng đầu Xem xét lựa chọn sản phẩm firewall hợp lý đưa hoạt động phù hợp với sách công ty việc q trình bảo mật hệ thống Firewall giải pháp phần cứng phần mềm kết hợp hai Nhiệm vụ firewall ngăn chặn công trực tiếp vào thông tin quan trọng hệ thống, kiểm sốt thơng tin vào hệ thống Việc lựa chọn firewall thích hợp cho hệ thống dễ dàng Các firewall phụ thuộc mơi trường, cấu hình mạng, ứng dụng cụ thể Khi xem xét lựa chọn firewall, cần tập trung tìm hiểu tập chức firewall, tính lọc địa chỉ, gói tin, Một công nghệ giải pháp hoàn hảo cho toàn chiến lược bảo mật tổ chức, sản phẩm firewall dù có tốt đến bộc lộ nhược điểm mình, nhược điểm khắc phục công nghệ khác IPS, IPSec vv Khi xem xét lựa chọn công nghệ bảo mật công nghệ bảo mật phải ln có nhìn khái qt tranh tổng thể Và mơ hình bảo mật phân lớp sở khoa học để tổ chức vào lựa chọn công nghệ bảo mật cho phù hợp với nhu cầu khả tài Lớp Điện Tử - K48 105 Cho dù cơng nghệ có trang bị hồn hảo đến đâu mà khơng ý đến yếu tố người sai lầm lớn Trong kế hoạch để thành công người đặt vị trí trung tâm Trong kế hoạch bảo mật thế, người nhân tố có ý nghĩa định tới độ an tồn có ý thức bảo mật cao hiểm họa khơn lường kẻ công từ nội tổ chức Việc ban hành policy cho người cần phải tuân theo tiêu chuẩn quốc tế có sẵn ISO 17799 Trên giới kĩ thuật phát triển theo ngày, biện pháp công ngày mẻ tinh vi Các công nghệ bảo mật trang bị cho tổ chức cần phải cải tiến, cập nhật ngày để kịp thời chống lại phá hoại Ý thức người cần không ngừng nâng cao Bảo mật vấn đề nóng bỏng mà thơng tin tài sản q giá hàng đầu tổ chức doanh nghiệp, hy vọng thông qua đồ án mang lại cho người đọc hiểu biết chung khái niệm liên quan đến bảo mật thơng tin nhìn chi tiết cơng nghệ firewall, công nghệ sử dụng phổ biến Vì thời gian có hạn kinh nghiệm thực tế nên khn khổ đồ án giới thiệu phần vấn đề nêu Hy vọng đồ án tơi có bước nghiên cứu sâu cơng nghệ bảo mật nói chung firewall nói riêng nhằm đem điều học vào phục vụ công việc sống Lớp Điện Tử - K48 106 TÀI LIÊỤ THAM KHẢO Nguyễn Thúc Hải, Giáo trình “Mạng máy tính hệ thống mở”, Nhà xuất Giáo Dục,1999 CCSP -Cisco Certified Security Professional Certification Examguide-All in One of Robert E Larson and Lance Corkcroft published by Mc GrawHill SNPA- Securing Networks with PIX and ASA Volume Copyright 2005, Cisco Systems, Inc All rights reserved Cisco Networking Academy Program Companion Guide Student book -Third Edition William Stallings, “Data & Computer Communication”, Sixth Edition, PrenticeHall, 2000 Michael Howard, Marc Levy, Richard Waymire “Designing Secure Web-Based Application for Microsoft Windows 2000 eBook”, Microsoft Press, 2000 Tony Northrup, Orin Thomas “Implementing and Aministering Security in a Microsoft Windows Server 2003 Network”, Microsoft Press, 2004 Jeffrey Richter, “Programing Server - Side Applications for Microsoft Windows 2000 eBook”, Microsoft Press, 2000 Firewalls 24Seven, Second Edition ; Matthew Strebe ,Charles Perkins 10 Firewall Technologies , Habtamu Abie ;Norwegian Computing Center P O Box 114 Blindern, 0314 Oslo, Norway 11 Website: http://www.verisign.com 12 Website: http://phamtrongdiem.wordpress.com 13 Website: http://vi.wikipedia.org 14 Website: http://www.quantrimang.com 15 Website: http://www.cftdnet.com Lớp Điện Tử - K48 107 ... công nghệ bảo mật Lớp Điện Tử - K48 12 Tìm hiểu công nghệ bảo mật thường sử dụng biện pháp kết hợp để bảo mật hệ thống PHẦN II: BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA Phần trình bày bảo mật sử... Internet hình dung chung công nghệ bảo mật tranh tổng thể Trong công nghệ bảo mật hiệu sâu phân tích đánh giá phương pháp bảo mật công nghệ “ tường lửa”, Phần II đồ án tập trung giải vấn đề ... 45 CÁC CÔNG NGHỆ BẢO MẬT 45 3.1 CÔNG NGHỆ BẢO MẬT THEO LỚP 45 3.1.1 Bảo mật mức vật lý 46 3.1.2 Bảo mật sử dụng tường lửa 47 3.1.3 Bảo mật sử dụng lọc