VI. Internet
2. Những chức năng của một Packet Filtering Router
Packet Filtering (hay việc lọc và giám sát các Packet vào và ra khỏi mạng) cho phép (hoặc không cho phép) chúng ta điều khiển trao đổi dữ liệu giữa một mạng cần đợc bảo vệ với Internet chủ yếu dựa trên các thông tin sau:
- Địa chỉ nơi xuất phát của dữ liệu - Địa chỉ dữ liệu sẽ đến
- Nghi thức ở cấp ứng dụng đợc sử dụng để truyền dữ liệu
Hầu hết các Packet Filtering Router thực hiện việc lọc các Packet không dựa trên nội dung của dữ liệu. Packet Filtering Router thờng sẽ có những khả năng có dạng nh sau:
- Không cho phép bất cứ ngời nào ding Telnet (Một nghi thức cấp ứng dụng application Protocol) để login từ bên ngoài vào hệ thống mạng cần bảo vệ.
- Cho phép bất cứ ai có thể gửi e-mail ding SMTP (một nghi thức ở cấp ứng dụng) cho các user trong mạng cần bảo vệ hoặc ngợc lại.
- Máy có địa chỉ X có thể gửi tin tức cho chúng ta dùng một nghi thức nào đó, nhng những máy khác không có đợc đặc quyền này.
Do Packet filter lọc các gói IP chủ yếu là dựa vào địa chỉ này gửi và máy nhận cho nên nó không thêt cho phép một user A nào đó đợc dùng dịch vụ Telnet mà user khác thì không. Packet filter cũng không có khả năng cấm việc truyền file này mà không cho phép việc truyền các file khác.
u điểm chính của Packet Filtering là khả năng tác dụng toàn cục của nó. Nó cung cấp khả năng bảo vệ tơng đối cho toàn mạng mà chỉ đặt ở một nơi. Một ví dụ cho they điều đó là việc cấm dịch vụ Telnet. Nếu chúng ta cấm dịch vụ Telnet vào bằng cách cắt tất cả các Telnet Server của chúng ta cũng cha hẳn là chúng ta đã cấm hoàn toàn đợc dịch vụ Telnet từ bên ngoài vì cho
rằng có thể có một ngời nào đó trong cơ quan cài đặt một máy mới (hoặc cài đặt lại máy cũ) có Telnet Server đang chạy. Nhng mà nếu Telnet bị cấm bởi Packet Filtering Router thì máy mới đợc cài đặt này cũng đợc bảo vệ mặc dù Telnet Server ở máy đó có bật lên hay không. Nói tóm lại Packet Filtering Router có thể bảo vệ toàn mạng ở một mức nào đó một cách triệt để.
Khả năng bảo vệ mạng ở một mức độ nào đó có thể chỉ cần cung cấp bởi những Filtering Router. Nhờ Packet Filtering Router chúng ta có thể bảo vệ đợc việc tấn công hệ thống mạng ở dạng đánh lừa địa chỉ (address – spoosing attacks). Với dạng tấn công này, ngời tấn công vào hệ thống thờng lấy địa chỉ máy cục bộ mà họ muốn tấn công làm địa chỉ nguồn của dữ liệu mà họ gửi đi. Chỉ có Router mới biết đợc những Packet loại này đến từ mạng bên ngoài (Internet) mà có địa chỉ nguồn giống những địa chỉ trong mạng mà nó bảo vệ, nên nó có thể phát hiện ra kiểu đánh lừa địa chỉ này.
2.1. u điểm hệ thống sử dụng Packet Filtering Router
Một Filtering Routering có thể bảo vệ toàn cả mạng: Một u điểm quan trọng nhất của Packet Filtering đó là chỉ cần ở một vị trí chiến lợc mà Packet Filtering Router có thể bảo vệ toàn bộ mạng. Nếu chỉ có một Router nối mạng cần bảo vệ với Internet, thì chỉ cần một Filtering Router là có thể bảo vệ toàn bộ mạng mà không phụ thuộc vào mức đôk lớn nhỏ của mạng cần bảo vệ, mặc dù khả năng bảo vệ chỉ ở một mức nào đó mà thôi (việc bảo vệ mang tính toàn cục- global).
Packet Filterring System cos theer có thể cấm hoặc cho phép một số loại dịch vụ, hay một số địa chỉ IP của một số hệ thống nào đó.
Packet Filtering có thể không ảnh hởng đến user: Packet Filtering không cần thay đổi phần mềm Client hoặc thay đổi cấu hình máy của Client, user cũng không cần phải huấn luyện để sử dụng hệ thống Packet filering mặc dù có sự cộng tác của user thì vẫn tốt hơn, đây là tính trong suet (transparency) đối với user. Khi Filtering Router nhận đợc một Packet, xem xét và thấy nó thoả mãn qui tắc bảo vệ, lúc đó Router sẽ forward Packet đi nh
những Router thông thờng làm cho nên không they rõ sự khác biệt giữa Filtering Router và Router thông thờng.
Khả năng lọc chỉ dựa trên địa chỉ IP và số port mà không dựa trên user/ application mặc dù có một số Packet Filtering system cho phép lọc dựa trên hostname nhng không nên đặc tả các qui tắc để lọc dựa trên hostname vì nh vậy hệ thống sẽ bị tấn công bằng cách khác – Ví Dụ làm tê liệt DNS Server hoặc giả DNS Server để trả lời query tên máy thành địa chỉ IP.
Hiện nay có nhiều Router cung cấp khả năng Packet Filtering: khả năng lọc gói đợc nhiều nhà sản xuất phần cứng cũng nh phần mềm hỗ trợ trong sản phẩm của họ, những sản phẩm thơng mại cũng nh miễn phí trên Internet.
2.2. Nhợc điểm hệ thống sử dụng Packet Filtering Router
Đối với Packet Filtering System có thể bị tấn công theo loại network denial of service attacks. Khi ngời tấn công biết hệ thống có Packet filter, họ sẽ cố gắng làm tê liệt hoạt động hệ thống nhờ các kỹ thuật “message flooding”, “service overloading”. Messge flooding là một dạng tấn công vào hệ thống làm tê liệt hoạt động của hệ thống bằng cách gây lũ dữ liệu hệ thống bị tấn công. Ngời tấn công thờng gửi hàng loạt các message vào hệ thống mà họ tấn công. Kết quả là hệ thống bị tấn công không còn thời gian để xử lý những yêu cầu khác, đôi lúc nó có thể làm treo hệ thống bị tấn công. Dạng tấn công điển hình của kiểu này là ngời tấn công cho thực hiện việc gửi hàng loạt các mail – message vào hệ thống mà họ tấn công dẫn đến kết quả là mail – Server không còn vùng nhớ để lu những mail hay thông tin khác, đây là tình trạng đĩa đầy.
Những công cụ Packet Filtering hiện hành là không hoàn thiện: Mặc dù khả năng Packet Filtering đợc cung cấp bởi nhiều nhà cung cấp phần cứng cũng nh phần mềm nhng những sản phẩm này vẫn cha đợc hoàn thiện. Những Packet Filtering thờng có một số hạn chế sau:
- Việc xác định qui tắc để lọc các Packet thờng khó thực hiện và cũng khó cấu hình. Vì phải thực hiện việc chuyển chính sách bảo vệ thành một tập các qui tắc lọc thơng rất khó.
- Khi đã đợc cấu hình thì việc kiểm tra các luật lệ (rules) cũng khó khăn.
- Khả năng của nhiều sản phẩm Packet Filtering thờng không hoàn thiện, cũng nh khả năng trợ giúp cho việc hiện thực một số dạng lọc gói ở mức cao thờng khó thực hiện, nhiều lúc là không thể thực hiện đợc.
- Giống nh bất kỳ những sản phẩm khác, những Packet Filtering cũng có thể có một số lỗi mà những lỗi này có thể gây ra một số kết quả không mong muốn. Những lỗi này có thể gây cho nó hoạt động sai, đó là có thể cho phép một số Packet nào đó đi qua thay vì cấm.
Một số giao thức (Protocol) không thích hợp với Packet Filtering, them chí đối với những sản phẩm Packet Filtering hoàn hoả, chúng ta cũng sẽ they rằng có một số nghi thức mà những khả năng bảo vệ của Packet Filtering không thể bảo vệ mạng đợc hoặc là những dịch vụ sử dụng những Protocol loại này phải bị cấm. Những Protocol điển hình cho dạng đó là các Berkley “r” command (rcp, rlogin, rdist, rsh, ) và những RPC – based Protocol nh… NFS, NIS/YP.
Một số chính sách bảo vệ không thể thực hiện đợc nhờ vào Packet Filtering: Qui tắc mà một Packet Filtering cho chúng ta đặc tả có thể không phù hợp với yêu cầu thực sự của chúng ta. Không có khả năng bảo vệ ở cấp application, không thể thay đổi hoạt động của một dịch vụ, không giám sát đ- ợc từng chức năng trên một dịch vụ nào đó( nói nh vậy là tuỳ thuộc vào hiện thực của Packet Filtering System nhng mà hầu hết các khả năng có thể làm đ- ợc là nh trên) Packet Filtering cũng không cho phép chúng ta cấm hoặc cho phép user này có thể đợc sử dụng một dịch vụ nào đó nhng mà user khác thì không đợc phép.