DEFENSE IN DEPTH
2.5.1 An ninh cho biên
An ninh cho biên bao gồm kiểm soát an ninh cả vật lý và logic cho thiết bị, dữ liệu. Để làm được điều này, trước tiên phải hiểu rõ về ranh giới thông tin trao đổi qua lại giữa 2 vùng. Phải xác định các khả năng mà các tác nhân đe dọa tiềm ẩn mà các tác nhân đe dọa có thể xâm nhập vào hệ thống. Bên cạnh đó bảo mật hợp lý bằng cách có cơ chế xác thực, các ACL trong thành phần mạng, hệ thống pháp hiện/phòng ngừa xâm nhập (IDS/IPS). Có các thiết bị an ninh, nhân viên bảo vệ để giám sát các máy chủ biên không bị đột nhập.
2.5.2 Tường lửa
Bảo mật mạng phụ thuộc vào rất nhiều thành phần, mỗi thành phần có vai trò cụ thể. Tường lửa là cánh cửa bảo vệ đầu tiên trong môi trường mạng. Tường lửa ngăn kẻ xâm nhập trái phép vào hệ thống trong khi vẫn cho phép gửi dữ liệu ra ngoài để sử dụng. Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet. Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn.
Hình 2-23: Tường lửa kiểm soát luồng thông tin.
Chức năng chính của Firewall là quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. Bên cạnh đó, hỗ trợ quản lý và điều khiển luồng dữ liệu trên mạng; xác thực quyền truy cập; ghi nhận và báo cáo các sự kiện,…
Cấu trúc của Firewall bao gồm: Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và tính toán (Accounting).
Một Firewall thường bao gồm một hay nhiều các công nghệ sau:
- Bộ lọc packet (packet- filtering router): bộ lọc này sẽ dựa trên các quy tắc. Lưu lượng được kiểm soát dựa trên 3 lớp đầu tiên của mô hình OSI gồm: địa chỉ MAC, địa chỉ IP cùng một số bộ lọc ở lớp vận chuyển (số cổng).
- Cổng mạch (Circuite level gateway): chỉ cho phép những phiên trao đổi dữ liệu cụ thể. Công nghệ này không cho phép một kết nối TCP end-to-end mà sẽ thiết lập hai kết nối TCP. Khi kết nối này được thiết lập, gateway sẽ chuyển tiếp các TCP segment từ đầu cuối này đến đầu cuối khác mà không kiểm tra nội dung các segment này. Ví dụ như, trong một hệ thống mạng LAN, người quản trị sẽ cấu hình gateway cho các user nội bộ được tin tưởng để hỗ trọ các dịch vụ ở tầng ứng dụng hay dịch vụ proxy cho các kết nối nội bộ và chức năng tầng chuyển mạch.
- Cổng ứng dụng (Application-level gateway hay proxy server): Cung cấp bộ lọc ở lớp ứng dụng. Nói các khác, giới hạn các loại ứng dụng và giao thức được truyền giữa các
ranh giới bảo mật như giao thức truyền dữ liệu (FTP), giao thức truyền siêu văn bản (HTTP) cùng nhiều loại giao thức khác. Công nghệ này dễ dàng cho phép ghi lại và heo dõi tấn cả các lưu lượng đến ở tầng ứng dúng. Nhược điểm của phương pháp này là chi phí phát sinh trên mỗi kết nối.
Firewall bảo vệ hệ thống khỏi các nguy cơ như:
- Tấn công trực tiếp: lợi dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành để chiếm quyền truy cập.
- Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng.
- Giả mạo địa chỉ IP: kẻ xâm nhập truyền các gói dữ liệu từ bên ngoài với địa chỉ nguồn giả địa chỉ IP của máy trong nội bộ. Nguy cơ này có thể cho phép kẻ giả mạo xâm nhập vào các hệ thống chỉ sử dụng bảo mật đơn giản địa chỉ nguồn, trong đó các gói tin này từ máy nội bộ dễ dàng được chấp nhận.
- Vô hiệu hoá các chức năng của hệ thống (deny service). Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. - Lỗi người quản trị hệ thống.
- Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.
Bên cạnh những ưu điểm, firewall cũng có những hạn chế nhất định như: - Các tấn công ở lớp ứng dụng có thể bị bỏ qua.
- Các kết nối: Dial-up, VPN có thể vượt qua firewall. - Quản lý vận hành tương đối phức tạp.
- Tồn tại các điểm yếu nội tại. - Ảnh hưởng lớn tới tốc độ kết nối.