Bảo mật mạng Internet trên nền tảng TCP/IP và nghiên cứu sâu về hệ thống tường lửa
MỤC LỤC
KHÁI NIỆM CHUNG VỀ BẢO MẬT
BẢO MẬT SỬ DỤNG CÔNG NGHỆ BỨC TƯỜNG LỬA
Bức tường lửa
Giới thiệu công nghệ firewall, các loại firewall, đặc điểm và ứng dụng của từng loại.
MÔ HÌNH OSI VÀ BỘ GIAO THỨC TCP/IP
- Tầng ứng dụng (Application Layer) là tầng trên cùng của mô hình TCP/IP bao gồm các tiến trình và các ứng dụng cung cấp cho người sử dụng để truy cập
1.Tầng liên kết (Network Interface Layer) (được gọi là tầng liên kết dữ liệu hay còn gọi là tầng giao tiếp mạng): là tầng dưới cùng của mô hình TCP/IP bao gồm thiết bị giao tiếp mạng và chương trình cung cấp các thông tin cần thiết để nó có thể hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng đó. IP là giao thức cung cấp dịch vụ phân phát datagram theo kiểu không liên kết và không tin cậy nghĩa là không cần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu, không đảm bảo rằng IP datagram sẽ tới đích và không duy trì bất kì thông tin nào về datagram đã gửi đi.
KHÁI NIỆM BẢO MẬT
Trong giai đoạn hiện nay cùng với sự phát triển thần kì của khoa học kĩ thuật, các biện pháp đánh cắp thông tin ngày càng tinh vi chuyên nghiệp thì việc bảo mật lại càng khó khăn hơn và đòi hỏi phải đầu tư nhiều hơn, chúng ta cần phải nhận thức được đúng đắn vai trò sống còn của bảo mật đối với tổ chức của ta từ đó có sự đầu tư thích đáng cho bảo mật thông tin hệ thống. Để đảm bảo được tính bảo mật thì việc cấp quyền truy nhập phải được tiến hành hết sức cẩn thận, chỉ cho phép những cá nhân có nhu cầu chính đáng mới được phép truy nhập, hạn chế tối thiểu số người được phép truy nhập, xác minh chính xác đối tượng được phép truy nhập bằng các công cụ xác thực tiên tiến tin cậy…. Hơn thế nữa chu trình đó còn có tính kế thừa và phát triển vì các kĩ thuật tấn công phá hoại ngày càng tinh vi hiện đại, một hệ thống bảo mật được cho là tối ưu trong thời điểm hiện tại vẫn có thể nảy sinh các vấn đề trong tương lai vì kẻ tấn công luôn tìm cách để khai thác các lỗ hổng trong hệ thống bảo mật đó bằng các biện pháp tinh vi hơn.
Ở lớp giao diện mạng, các gói tin được truyền trên các dây dẫn được gọi là các khung (frames), trong 1 gói tin gồm có 3 trường: phần mào đầu (the header), phần tải trọng (payload) , và phần kiểm tra lỗi (FCS), vì lớp giao diện mạng được dùng để trao đổi thông tin trên trong mạng nội bộ nên tấn công ở lớp này cũng xảy ra trong mạng nội bộ (local network).
CÁC CÔNG NGHỆ BẢO MẬT
CÔNG NGHỆ BẢO MẬT THEO LỚP
Mức vật lý nói tới các thiết bị mạng, bảo vệ các thiết bị mạng đó nghĩa là phải có các quy chế giới hạn quyền truy cập các tài nguyên mạng đồng nghĩa với việc bảo vệ ở mức vật lý các thiết bị mạng không bị xâm phạm bởi các nhân viên không được phép. Tất cả các thiết bị mạng đều phải được đảm bảo an toàn từ các Core router, hệ thống cáp, modem, máy chủ, các hosts, thiết bị lưu trữ, v.v.v… Nhằm tăng tối đa khả năng bảo vệ, các thiết bị mạng này phải được tập trung vào một vị trí và phải có hệ thống bảo vệ như khóa cửa, hệ thống báo trộm, hệ thống báo cháy, hệ thống điều hòa nhiệt độ, hệ thống cung cấp nguồn điện dự phòng, v.v.v…. Cũng giống IDS, IPS là hệ thống giám sát thời gian thực an ninh mạng nhằm nhanh chóng phát hiện, nhận dạng các cuộc tấn công nguy hiểm từ bên ngoài và ngay lập tức cảnh báo với người quản trị thông qua e-mail, tin nhắn, hay ghi nhận lại.
Với phương thức bảo mật này, người dùng sẽ có login ID và password để khai báo cho các máy chủ bảo mật khi có nhu cầu truy xuất tài nguyên hệ thống, các login ID và password này sau đó sẽ được kiểm tra bởi một máy chủ chạy dịch vụ xác thực như RADIUS, TACACS, TACACS+.
CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI
Mỗi phương pháp đều có những ưu nhược điểm khác nhau như sử dụng tường lửa thì có thể ngăn chặn được truy nhập bất hợp pháp với tốc độ tốt và hiệu năng cao. Tuy nhiên nó lại không thể ngăn chặn được các dữ liệu không đi qua firewall , không giám sát được các dữ liệu được mã hóa và không ngăn chặn được các dạng tấn công mới. Còn sử dụng IDS và IPS thì có thể nhận dạng được các loại tấn công mới dựa trên dấu hiệu hoạt động bất thường của hệ thống và có khả năng nhận ra được các cuộc tấn công từ bên trong tuy nhiên lại gặp phải vấn đề về hiệu năng và tỉ lệ cảnh báo sai là khá cao…Nhìn khái quát trong một bức tranh tổng thể thì mỗi phương pháp giữ một vai trò khác nhau ở các vị trí và nhiệm vụ khác nhau.
Thông thường trong hệ thống thông tin của tổ chức cần phải sử dụng kết hợp hài hòa, hợp lý tùy theo nhu cầu bảo mật và khả năng tài chính của tổ chức đó.
CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL
- PHÂN LOẠI FIREWALL 1. Firewall phần mềm
- CHỨC NĂNG CỦA FIREWALL
Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall). Sản phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Quyết định (cho phép hoặc cấm) sẽ được đưa ra ngay sau khi bộ lọc tìm thấy một luật nào đó hoàn toàn so khớp với thông tin mà nó có được về gói tin, do đó trật tự sắp xếp các luật cũng rất quan trọng nó góp phần làm cho quá trình lọc được nhanh hơn.
Khi một thao tác truy cập vào mạng được thực hiện (kiểm tra đúng User Name và Password), hệ quản lý xác thực sẽ gửi đến máy tính của người dùng đang xin truy cập vào mạng một chuỗi các ký tự gọi là Challenge (câu thách đố), người dùng này sẽ nhập vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal Identification Number - số nhận dạng cá nhân).
CÁC KIẾN TRÚC FIREWALL CƠ BẢN
- FIREWALL DỊCH VỤ ỦY THÁC (PROXY SERVER)
- FIREWALL PHÁO ĐÀI PHềNG NGỰ (BASTION HOST FIREWALL ) Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài
Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DSN, SMNP, NFS,..) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể được định tuyến, nhận dạng và tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Ngày nay Firewall được xây dựng dựa trên cơ sở bộ lọc gói (packet filter), trên cổng ứng dụng (Application gateway), kĩ thuật giám sát trạng thái (Stateful inspecting) và một số firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự). Hơn nữa việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP,..) được phép mới chạy được trên hệ thống mạng nội bộ.
Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài.
NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL
HOẠT ĐỘNG CỦA FIREWALL “MỀM”
- Cung cấp một số kĩ thuật bảo mật và thiết lập tường lửa cho hệ thống như Authentication, Publish Server. - Cung cấp một số kĩ thuật Cache thông minh để tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web Proxy để chia sẻ cung cấp Web. - Cung cấp một số tính năng quản lý như: giám sát lưu lượng, reporting qua Web, export và import cấu hình từ XML,….
ISA Server 2006, không giống như packet filtering firewall truyền thống, ISA 2006 có thể thao tác sâu hơn như có thể lọc gói tin trong tầng ứng dụng.
CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL
- CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN NINH MẠNG
- KIẾN TRÚC FIREWALL CƠ BẢN 1.Kiến trúc cơ bản
Một firewall có thể là một router có chạy một tập các tính năng firewall hay là một máy chủ có chạy các dịch vụ firewall và cũng có thể là một thiết bị chuyên dụng như là dòng PIX firewall của CISCO, đó là các thiết bị chỉ chạy duy nhất các dịch vụ firewall không giữ thêm chức năng khác như chuyển mạch, định tuyến …. Trường hợp này thì việc định tuyến giữa các side tương ứng với các side của card mạng được ngắt do vậy việc kiểm soát lưu lượng mạng hoàn toàn có thể được một các thủ công .Giả sử rằng hệ thống đang chạy WEB server .Nếu định tuyến bị ẩn thì các gói tin không thể được trao đổi giữa các mạng khác nhau được .Ví dụ ,nếu một vài bộ phận trong một tổ chức cần chia sẻ cùng 1 web server nhưng bạn không muốn tạo một bảng định tuyến giữa các bộ phận thì bạn có thể sử dụng cấu hình hệ thống này .Tuy nhiên. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng.
Bảo mật hiện nay đang là một vấn đề rất nóng bỏng khi mà thông tin là tài sản quý giá hàng đầu của các tổ chức doanh nghiệp, vì vậy tôi rất hy vọng thông qua đồ án này sẽ mang lại cho người đọc được những hiểu biết chung nhất về các khái niệm liên quan đến bảo mật thông tin và cái nhìn chi tiết về công nghệ firewall, một trong các công nghệ được sử dụng rất phổ biến hiện nay.
