Sự khácbiệtgiữa tường lửacủalớpSessionvàlớpứngdụng
Ngu
ồ
n:quantrimang.com
Ricky M. Magalhaes
Trước đây con người đã sửdụng cây và các khúc gỗ làm hàng rào bảo vệ
vật nuôi của họ bên trong làng tránh các mối đe dọa tiềm tàng như sư tử
và các bộ lạc bên ngoài luôn đe dọa. Khi công nghệ được ngày càng được
phát triển, những người dân du cư trở thành chủ trang trại và các hàng rào
được xây dựng bằng đá, những hàng rào này không chỉ bảo vệ tốt hơn với
hàng rào bằ
ng gỗ mà còn bền vững hơn các hàng rào kia. Toàn bộ làng
được nằm trong trung tâm của một pháo đài, với tường bảo vệ cao, hào
sâu để giữ vật nuôi vàsự an toàn cho dân chúng.
Thời kỳ bắt đầu
Tường lửa cũng có các giai đoạn phát triển tương tự như vậy; thời kỳ mới bắt
đầu, chỉ có các router với danh sách những thứ được truy cập, vì đó là tất cả
nhữ
ng thứ cần thiết trong việc định tuyến. Việc quản lý một mạng chỉ được thực
hiện bằng cách sửdụng các danh sách điều khiển truy cập và lọc một cách cơ
bản cũng đủ để bảo vệ chống lại sự thâm nhập của người dùng không xác thực.
Điều này là vì các router được đặt tại trung tâm của mỗi mạng và đặc biệt nữa là
các thiế
t bị này được sửdụng để định tuyến lưu lượng đến và đi trong các kết
nối WAN giống như các văn phòng chi nhánh và Internet.
Thực tế thì những thay đổi có liên quan tới các router là rất ít trừ một số sự thay
đổi không đáng kể trong việc lọc lưu lượng và các tổ chức sản xuất ra thiết bị
này đã tập trung vào việc tăng độ bảo mật vào lớp mà các thiết bị
có khả năng
thực hiện nằm ở đó. Chúng ta đang nói về cái gì? Một bức tường được xây
dựng bằng các khúc gỗ sẽ luôn là một bức tường bằng gỗ chứ không phải là
tường đá.
Tường lửacủalớpSession cũng được biết đến như các tườnglửa ở lớp Circuit
hoặc circuit gateway. Tườnglửalớp này có các tính năng sau: chúng hoạt động
trong lớp TCP c
ủa mô hình OSI. Về cơ bản, các tườnglửa này sửdụng NAT
(Network Address Translation) để bảo vệ mạng bên trong và các gateway này
chỉ có một chút hoặc không kết nối với lớpứng dụng, chính vì vậy không thể lọc
các kết nối phức tạp hơn. Các tườnglửa này chỉ có thể bảo vệ lưu lượng theo
nguyên lý cơ bản.
Thế hệ kế tiếp
Khi công nghệ được phát triển, nhu cầu
quản lý truy cập đối với các mạng gửi đi
được đặt ra và cần phải thực thi. Người
dùng có thể duyệt Internet và lợi dụng
được điểm yếu của bức tường xây dựng
bằng gỗ vì chúng có thể vòng tránh qua
hàng rào bằng cách giả bộ tính xác thực
trong khi đó lại là những mối nguy hiểm
tiềm tàng cho vấn đề an ninh bảo mật.
Đ
iều này có nghĩa rằng người dùng có thể dễ dàng tránh các biện pháp canh
phòng bảo mật ở lớp thứ 5 bằng cách telnet (dùng chương trình để tiến hành
thâm nhập từ xa thông qua giao thức TCP/IP) đến một cổng để tiếp nhận dữ liệu
gửi đến nhưng không phải là cổng telnet (từ cổng 23 đến cổng 80). Router với
các danh sách truy cập sẽ cho phép người dùng kết nối tới cổng mặc dù cổng
này không phải là cổ
ng telnet mà lại là một cổng cho dịch vụ khác. Ở các cổng
này router chỉ thực hiện một hành động thanh tra đơn giản, nếu nó không phát
hiện ra vấn đề gì thì dữ liệu này hoàn toàn có thể đi qua. Chính vì vậy những kẻ
ác tâm có thể dễ dàng xâm nhập qua các cổng này. Công nghệ này được thực
thi theo cả hai hướng, và những năm 90 có thể nói là những năm củatường lửa.
Vào cuối những năm 90, các máy chủ proxy dòng chủ đạ
o đã được giới thiệu
trong hoàn cảnh kết hợp chặt chẽ công nghệ tườnglửa cơ bản. “Proxy firewall”
này có thể chặn lưu lượng giữa nguồn và đích, chủ thể và khách thể và vì “proxy
firewall” nằm ở phần giữa nên nó có khả năng kiểm tra các gói theo các nguyên
tắc đã được định nghĩa trước để hạn chế một số thành phần nguy hiểm.
Về công nghệ
Các t
ường lửalớpSession hoạt động tạilớp 5 trong mô hình 7 lớp OSI. Trước
đây, cách thức bảo vệ này hoàn toàn đáp ứng được đối với những mạng ở thập
kỷ 90, nhưng khi các tấn công được khai thác theo mức ứngdụngvàsự lớn
mạnh của Internet cũng như tính chất phức tạp trong cách viết mã tạo ra nó đã
cũng phát triển, các tườnglửalớpsession không còn đủ tin cậy để b
ảo vệ cho
mạng nữa. Một tườnglửa mà không có cơ chế bảo vệ lớpứngdụng sẽ thiếu sự
an toàn và các lỗ hổng hệ điều hành có thể trực tiếp phơi bày trên Internet bởi
tất cả các tườnglửalớpsession đều có thể cung cấp một bảng định tuyến và
danh sách điều khiển truy cập với một mức bảo vệ cơ
bản.
Những cải tiến nhỏ trong các tườnglửalớpsession cho phép tườnglửa này có
thể kiểm tra ở mức độ sâu hơn đối với các giao thức phổ biến, tuy nhiên các cải
tiến đó lại dễ dàng bị vòng tránh bằng một số công cụ cũ. Môi trường trực tuyến
ngày nay cần phải cài đặt thêm tườnglửalớpứngdụng để đóng vai trò hơn cả
như cổng nguồn-đích và ACL. Sự kiểm tra các gói dữ liệu được thực hiện tỉ mỉ
hơn, quản lý kết nối an toàn hơn và lọc lớpứngdụng là một thành phần sống
còn và rất cần thiết khi tương tác với các ứngdụng hiện đại. Với lý do này, các
tổ chức có mối quan tâm nghiêm túc với vấn đề bảo mật sẽ không nên coi tường
lửa lớpsession (các router với danh sách truy c
ập) hơn các tườnglửalớpứng
dụng.
Các tườnglửa thế hệ thứ ba được biết đến như một tườnglửalớpứngdụng
hoặc proxy firewall, tườnglửa này có khả năng ủy nhiệm theo cả hai hướng để
bảo vệ cả chủ thể và khách thể. Proxy làm trung gian hòa giải cho kết nối và vì
vậy có thể lọc và quản lý truy cập lẫn nội dung
đến và đi đối với chủ thể và khách
thể. Vấn đề này có thể được kích hoạt theo nhiều cách khác nhau với sự tích
hợp bên trong các thư mục đang tồn tại như LDAP cho truy cập người dùngvà
nhóm người dùng.
Tường lửalớpứngdụng cũng có thể mô phỏng máy chủ đang có những lỗ hổng
phơi bày trên Internet để người dùng có thể bảo vệ tốt hơn kết nối c
ủa họ. Sự
thật là khi người dùng vào một máy chủ nào đó thì họ có thể “thăm” cổng của
tường lửalớp 7 và yêu cầu được kiểm tra, sau đó được phân tích thông qua
những điều lệ cơ bản trong quá trình xử lý. Khi qua được điều lệ cơ bản nó sẽ so
khớp với điều lệ tươngứng cho phép vào máy chủ, tuy nhiên sựkhácbiệt ở đây
là kết n
ối đó có thể được thực hiện bên ngoài cache, chính vì vậy đã cải thiện
được hiệu suất và độ bảo mật của kết nối.
Sơ đồ trên mô tả về mô hình OSI, lớp 5 là lớpSession còn lớp 7 là lớp
Application. Lớp trên lớpứngdụng được ám chỉ đến với tư cách là lớp 8, về cơ
bản lớp 8 này chỉ là người dùngvà các chính sách.
Nói chung về OSI
Đơn giản mà nói, mô hình OSI là một mô hình được phân lớp trong kiến trúc
mạng. Mô hình này chi phối cách hai hệ thống truyền thông với nhau như thế
nào.
Về cơ bản lớp trên cùng (ứng dụ
ng) là lớp mà tườnglửa proxy hoạt động tại đó.
Các tườnglửa này là tườnglửa thế hệ thứ ba, chúng có thể quét xuống các lớp
thấp hơn. Khi so sánh với các tườnglửalớpsession hay lớp circuit thì tườnglửa
lớp ứngdụng kết hợp chặt chẽ các tính năng củatườnglửalớpsessionvà các
tính năng được cải thiện khác như ủy nhiệm ngược cho việc bảo v
ệ chống giả
mạo website.
Tương lai
Các tấn công ngày nay đã quá tinh vi đến nỗi hầu hết các tườnglửalớpsession
đều không đủ khả năng ngăn chặn các tấn công ứngdụng cơ bản. Vì lý do đó,
các tườnglửa theo lớp 5 cũ hơn cần phải được thay thế bằng các tườnglửalớp
ứng dụng an toàn hơn. Cũng vì lý do này mà PCI DSS chỉ cho phép các kiểu
tường lửa đó thay thế khi bả
o vệ các thông tin thẻ tín dụng.
Kết luận
Dù chúng ta dựa vào các thói quen và công nghệ cũ của mình bao nhiêu đến
đâu nữa thì các phương pháp an toàn bằng tưởnglửa được cải thiện mới cũng
nên được xem xét đến. Các chuyên gia về bảo mật cũng đang bị thách thức với
vấn đề quản lý người dùng, làm sao để đưa ra được cách mã hóa lưu lượng của
họ. Giải pháp ở đây là bổ sung vào các tườ
ng lửalớpứngdụng có thể quét bên
trong các luồng dữ liệu đã được mã hóa. Ở bên ngoài, các tấn công mức ứng
dụng đã ngày được cấu trúc hơn vẫn đang tinh vi lên hàng ngày, chính vì vậy chỉ
có một cách để xử lý các mối đe dọa như vậy là cũng cần sửdụng đến tường
lửa lớpứngdụng tinh vi hơn trong cuộc chiến này.
. so sánh với các tường lửa lớp session hay lớp circuit thì tường lửa
lớp ứng dụng kết hợp chặt chẽ các tính năng của tường lửa lớp session và các
tính năng. Sự khác biệt giữa tường lửa của lớp Session và lớp ứng dụng
Ngu
ồ
n:quantrimang.com
Ricky M. Magalhaes
Trước đây con người đã sử dụng cây và các