Hình 1.10. Bức tƣờng lửa
a. Định nghĩa, chức năng của Bức tường lửa. (BTL)
Bức tƣờng lửa là thiết bị hoặc hệ thống dùng để điều khiển các dòng lƣu lƣợng giữa các mạng sử dụng các kiểu dáng an toàn khác nhau, chẳng hạn bảo vệ một mạng LAN riêng với mạng công cộng không an toàn Internet. Các Firewall có thể quyết định các dịch vụ bên trong nào có thể đƣợc truy cập từ bên ngoài và ngƣợc lại. Các ý nghĩa và ứng dụng thực tế của Firewall đƣợc áp dụng rất rộng, nhƣng về nguyên tắc cơ bản các firewall có thể đƣợc xem nhƣ một cặp hai quy tắc: một là ngăn chặn (Block) các lƣu lƣợng, và một là cho phép (Permit) các lƣu lƣợng. Một firewall thực hiện công việc lớn hơn việc khoá (Lock) cửa trƣớc của mạng, nó nhƣ một cổng bảo vệ mạng (Lecurity guard)
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ - Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). - Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát ngƣời sử dụng và việc truy nhập của ngƣời sử dụng. - Kiểm soát nội dung thông tin lƣu chuyển trên mạng.
b. Phân loại bức tƣờng lửa
Firewall bao gồm các loại sau:
- Bức tƣờng lửa lọc gói tin (Packet-filtering router). - Bức tƣờng lửa ứng dụng (Proxy).
- Bức tƣờng lửa nhiều tầng
* Firewall lọc gói
Hình 1.11. Firewall lọc gói
Bức tƣờng lửa lọc gói làm việc ở tầng 3 đối với mô hình OSI. Thông tin đƣợc đƣa lên tầng 3 sau đó lại tiếp tục đƣợc chuyển đi. Nếu thông tin đƣợc ở dƣới tầng 3 thì bức tƣờng lửa lọc gói không thể kiểm soát đƣợc, ví dụ nhƣ mạng LAN không dây dữ liệu đƣợc truyền ở dƣới tầng 3.
Do vậy, bức tƣờng lửa không thể kiểm soát đƣợc mà mạng LAN không dây phải dùng một phần mềm khác để bảo vệ và kiểm soát dữ liệu.
Bộ lọc gói cho phép hay từ chối mỗi gói mà nó nhận đƣợc. Khi nhận đƣợc gói tin từ Internet, nó kiểm tra toàn bộ dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các luật lệ của gói đặt ra hay không. Các luật lệ này là dựa trên thông tin ở đầu mỗi gói (packet header).
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ SA DA Port Get Index html
- SA (Source Address): Địa chỉ IP nguồn. - DA (Destination Address): Địa chỉ IP đích.
Nghĩa là nếu đi từ bên trong ra bên ngoài thì địa chỉ nguồn là ở bên trong mạng nội bộ còn địa chỉ đích là bên ngoài. Nếu đi từ bên ngoài vào bên trong thì địa chỉ nguồn sẽ là ở bên ngoài còn địa chỉ đích sẽ là ở bên trong mạng nội bộ.
- Port: Lọc theo cổng nguồn, cổng đích của giao thức tƣơng ứng với TCP hay UDP. - Các giao thức (UDP, TCP, ICMP…): Nó có thể cấm và cho phép, ví dụ có thể cấm giao thức UDP và chỉ cho TCP và ICMP hoặc Cấm ICMP cho phép TCP và UDP…
- Dạng thông điệp ICMP (Internet control message protocol).
Nếu luật đƣợc thỏa mãn thì gói đƣợc chuyển qua firewall, nếu không thỏa mãn thì gói sẽ bị hủy đi. Nhờ vậy mà firewall có thể ngăn chặn đƣợc các kết nối vào máy chủ hoặc mạng nào đó đƣợc xác định hoặc khóa việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Nhƣ vậy, việc kiểm soát càng làm cho firewall có khả năng chỉ cho phép một một số loại kết nối nhất định vào máy chủ nào đó hoặc chỉ một số dịch vụ nào đó (Telnet, SMNP, FTP…) đƣợc phép mới chạy đƣợc trên hệ thống mạng cục bộ.
Mặc dù firewall loại này có tốc độ kiểm tra nhanh nhƣng chúng cũng tƣơng đối dễ bị qua mặt. Một phƣơng pháp để vƣợt qua firewall kiểu này là giả mạo địa chỉ IP (IP spoofing), ví dụ nhƣ trong hệ thống mạng của một công ty, khi một ngƣời nào đó đi công tác ở xa nhƣng vẫn phải truy nhập vào mạng của công ty để lấy dữ liệu. Khi đó, firewall vẫn phải mở các dịch vụ để ngƣời đó vào lấy dữ liệu và nhân cơ hội này thì hacker ăn trộm địa chỉ IP và tấn công vào mạng và làm cho firewall tƣởng rằng các gói của hacker đến từ nguồn thực sự.
Một số ưu điểm của lọc gói
- Do bức tƣờng lửa lọc gói ở tầng 3 nên nó kiểm tra tất cả các ứng dụng đi qua nó. Nó không phụ thuộc vào ứng dụng mặc dù của mail hay web.
- Chi phí thấp vì cơ chế lọc gói đã đƣợc bao gồm trong mỗi phần mềm router và nó chỉ xem xét thông tin của đầu gói tin, do đó thời gian trì hoãn thấp.
- Sẵn sàng cho nhiều sản phẩm phần mềm và phần cứng, cả trong các sản phẩm thƣơng mại và miễn phí.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ - Ngoài ra bộ lọc gói là trong suốt đối với ngƣời sử và các ứng dụng vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
- Giúp bảo vệ toàn mạng, một thuận lợi chính của nó là đơn giản và tƣơng đối nhẹ.
Một số nhược điểm của lọc gói
- Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi ngƣời quản trị cần có các hiểu biết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trƣờng. Khi đòi hỏi sự lọc là càng lớn thì các quy tắc về lọc gói càng trở lên dài và phức tạp, rất khó để quản lý và điều khiển.
- Do làm việc dựa trên header của gói tin, bộ lọc gói không kiểm soát đƣợc nội dung thông tin của gói tin. Các gói tin chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
* Bức tường lửa ứng dụng(Application firewall)
Hình 1.12. Tƣờng lửa ứng dụng
Làm việc ở tầng 7 của mô hình OSI.
Nguyên tắc hoạt động chung
- Firewall này đƣợc thiết lập từ phần mềm ứng dụng. - Không chuyển tiếp các gói tin IP.
- Tốc độ xử lí chậm.
- Mỗi một dịch vụ phải có kết nối chƣơng trình tƣơng ứng: Ví dụ đối với web thì phải có kết nối tƣơng ứng để quản lí web và chƣơng trình tƣơng ứng để cho phép hay cấm, đối với mail thì cũng phải có kết nối tƣơng ứng để quản lí mail và chƣơng trình tƣơng ứng để cho phép hay cấm.
- Vì nó làm việc ở tầng ứng dụng do đó nó cho phép nhiều công cụ ghi lại quá trình kết nối.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ - Do quản lí kết nối nên các chƣơng trình yêu cầu dịch vụ của client gốc có thể phải thay đổi để thích ứng với proxy.
- Quá trình kết nối đƣợc thực hiện theo kiểu đại diện chính vì vậy firewall kiểu này ngƣời ta còn gọi là proxy.
Proxy có hai thành phần
- Proxy Server: là chƣơng trình ứng sử với server bên ngoài thay mặt cho các yêu cầu của ngƣời sử dụng bên trong. Nó chuyển tiếp các yêu cầu hợp lệ của mọi ngƣời sử dụng và quyết định cái nào cho qua, cái nào ngăn lại.
- Proxy Client: là chƣơng trình của ngƣời sử dụng làm việc với Proxy server thay vì với server thực.
* Bức tường lửa nhiều tầng
\
Hình 1.13. tƣờng lửa nhiều tầng
- Kết hợp từ tầng 3 với tầng ứng dụng, có thể cấm và cho phép ở tầng phiên, tầng trình, tầng giao vận. Đối với bức tƣờng lửa lọc gói ngoài những thông số kiểm soát nhƣ địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, giao thức tầng trên (TCP, UDP, ICMP) thì còn có bức tƣờng lửa phân tích chi tiết hơn về gói tin. Ví dụ ACK, ACK = 0 (Khởi động một kết nối của gói tin đầu của kết nối), ACK = 1 (Là các gói theo sau). ACK = 0, SYN = 1 (Yêu cầu kết nối), ACK = 1, SYN = 1 (Trả lời kết nối). Kiểm tra chi tiết về gói tin để bảo vệ hệ thống tốt hơn, chống các dịch vụ từ bên ngoài.
c. Kiến trúc và cơ chế hoạt động của bức tƣờng lửa lọc gói [5]
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ Firewall kiến trúc kiểu Dual - homed host đƣợc xây dựng dựa trên máy tính dual - homed host. Một máy tính đƣợc gọi là dual - homed host nếu nó có ít nhất hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau, do đó máy tính này đóng vai trò là router mềm. Kiến trúc dual - homed host rất đơn giản, máy dual - homed host ở giữa, một bên đƣợc nối với internet và bên còn lại nối với mạng nội bộ (Mạng cần đƣợc bảo vệ).
Gồm có các đặc điểm sau:
- Phải disable chức năng routing của dual - homed host để cấm hòan toàn lƣu thông IP từ ngoài vào.
- Các hệ thống bên trong và bên ngoài dual - homed host chỉ có thể liên lạc với dual - homed host mà chúng không liên lạc trực tiếp đƣợc với nhau.
- Dual - homed host cung cấp dịch vụ thông qua proxy server hoặc login trực tiếp vào dual - homed host.
Hình 1.14. Kiến trúc máy chủ trung gian
* Kiến trúc máy chủ sàng lọc (Screened Host Architeture)
Trong kiến trúc này chức năng bảo mật chính đƣợc cung cấp bởi chức năng packet filtering tại screening router.
Packet filtering trên screening router đƣợc setup sao cho bastion host là máy duy nhất trong internal network mà các host trên internet có thể mở kết nối đến. Packet filtering cũng cho phép bastion host mở các kết nối (hợp pháp) ra bên ngoài (External network).
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ - Cho phép các internal hosts mở kết nối đến các host trên Internet đối với một số dịch vụ đƣợc phép.
- Cấm tất cả kết nối từ các internal hosts.
Khi hacker đã tấn công đƣợc vào bastion host thì không còn một rào chắn nào cho các internal hosts.
Hình 1.15. Kiến trúc máy chủ sàng lọc
* Kiến trúc mạng con sàng lọc (Screened Subnet archtecture)
Thêm một perimeter network để cô lập internal network với Internet. Nhƣ vậy dù hacker đã tấn công đƣợc vào bastion host vẫn còn một rào chắn nữa phải vƣợt qua là Interior router. Các lƣu thông trong internal network đƣợc bảo vệ an toàn cho dù bastion đã bị “chiếm”. Các dịch vụ nào ít tin cậy và có khả năng dễ bị tấn công thì nên để ở perimeter network. Bastion host là điểm liên lạc cho các kết nối từ ngoài vào nhƣ: SMTP, FTP, DNS. Còn đối với việc truy cập các dịch vụ từ internal clients đến các server trên internet thì đƣợc điều khiển nhƣ sau:
- Set up packet filtering trên cả hai exterior và interior router để cho phép internal clients truy cập các servers bên ngoài một cách trực tiếp.
- Set up proxy server trên bastion host để cho phép internal clients truy cập các servers bên ngoài một cách gián tiếp.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/
Hình 1.16. Kiến trúc mạng con sàng lọc
* Sử dụng nhiều Bastion Host
Với mô hình này thì tốc độ đáp ứng cho những ngƣời sử dụng bên trong (Local user) một phần nào đó không bị ảnh hƣởng bởi những hoạt động của ngƣời sử dụng bên ngoài mạng (External user).
Hình 1.17. Mô hình sử dụng nhiều Bastion Host
* Kiến trúc ghép chung Router trong và Router ngoài
Router phải cho phép áp dụng các luật cho dòng packet đi vào và đi ra trên mỗi interface. Do ghép chung router trong và router ngoài nên kiến trúc này làm giảm đi lớp bảo vệ mạng bên trong, có thể nói kiến trúc ghép chung router trong và router ngoài nằm ở giữa kiến trúc Screened host và Screened Subnet host.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/
Hình 1.18. Kiến trúc ghép chung Router trong và Router ngoài
* Kiến trúc ghép chung Bastion Host và Router ngoài
Kiến trúc này chỉ sử dụng cho mạng chỉ có một đƣờng nối dùng giao thức SLIP hoặc PPP ra Internet. Kiểu ghép chung Bastion host và router ngoài (Exterior router) này gần giống với Screened Subnet Host. Nó cho tốc độ đáp ứng thƣờng thấp nhƣng mà vẫn có thể chấp nhận đƣợc do tốt độ đƣờng truyền thấp, chức năng lọc của router ngoài ít, chức năng lọc gói chủ yếu là router trong.
Hình 1.19. Kiến trúc ghép chung Bastion Host và Router ngoài
Trong các loại bức tƣờng lửa thì bức tƣờng lửa lọc gói đƣợc sử dụng rộng rãi, nó thông suốt cho tất cả các dịch vụ vì nó làm việc ở tầng mạng. Tuy nhiên, nó đòi hỏi ngƣời quản trị mạng phải hiểu sâu sắc các giao thức mạng mới có thể xây dựng các chính sách bảo vệ mạng chính xác, không tạo ra các lỗ hổng cho tin tặc. Chƣơng 2 sẽ xây dựng các thuật toán lọc gói tĩnh và lọc gói động đồng thời phân tích các giao thức trong chồng giao thức TCP/IP làm cơ sở cho việc xây dựng các luật trong bảng chính sách lọc gói.
Chƣơng 2
KỸ THUẬT LỌC GÓI TIN 2.1. Kỹ thuật lọc gói tin
* Nguyên lý hoạt động của bộ lọc gói (Packet Filtering)
Khi nói đến việc lƣu thông dữ liệu giữa các mạng với nhau thông qua Firewall (BTL) thì điều đó có nghĩa rằng BTL hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đƣợc từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (Data pakets) rồi gán cho các gói tin này
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại BTL này cũng liên quan rất nhiều đến các gói tin và những con số địa chỉ của chúng.
Bộ lọc gói cho phép hay từ chối mỗi gói tin mà nó nhận đƣợc. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật của lọc gói hay không. Các luật lọc gói này chủ yếu dựa trên các thông tin ở đầu mỗi gói (packet header), dùng để cho phép truyền các gói đó ở trên mạng. Đó là:
- Địa chỉ IP nơi xuất phát (Source) - Địa chỉ IP nơi nhận ( Destination)
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) - Cổng TCP/UDP nơi xuất phát
- Cổng TCP/UDP nơi nhận - Dạng thông báo ICMP - Giao diện packet đến - Giao diện packet đi
Nếu luật lọc gói đƣợc thoả mãn thì gói đƣợc chuyển qua BTL. Nếu không gói sẽ bị bỏ đi. Nhờ vậy mà BTL có thể ngăn cản đƣợc các kết nối vào các máy chủ hoặc mạng nào đó đƣợc xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho BTL có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) đƣợc phép mới chạy đƣợc trên hệ thống mạng cục bộ.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/
Hình 2.1. Các luồng gói tin trên bức tƣờng lửa lọc gói
Hình trên cho thấy các luồng gói tin di chuyển qua BTL lọc gói và quá trình xử lý gói tin (Proc IP) đƣợc thực hiện tại tầng mạng. Việc xử lý gói tin tại BTL đƣợc thực hiện bởi phần mềm xử lý gói tin IP. Modul quan trọng nhất của