Kỹ thuật Firewall

Một phần của tài liệu Giải pháp bảo vệ thông tin VOIP trên mạng Internet Intranet (Trang 50 - 59)

Pháo đài host

M ột hệ thống máy tính có cấu hình bảo m ật ở mức độ cao, để giảm tối thiếu các thương tổn xảy ra do các kè tấn công tấn công vào đó. Thông thường pháo đài host được đặt ở điểm mà mạng nội bộ kết nối với Internet. Được xây dựng với mô hình giống các pháo đài trong các lâu đài cổ. Trên pháo đài host này, các hệ thống bảo mật khác nhau được cài đặt như lọc gói tin, đại diện và nhiều hệ thong bảo mật khác được cài đặt. Pháo đài host là nơi đối m ặt chính của Firewall với các kẻ tấn công.

Lọc gỏi

Hệ thống lọc gói tin định hướng cho các gói lưu thông giữa mạng nội bộ và các m ạng bên ngoài một các có chọn lựa. Chúng cho phép hay cấm các gói tin theo chiến lược bào mật đã được đặt ra.

Mỗi gói tin đều có các thông tin sau: • Địa chỉ IP nguồn

• Địa chỉ IP đích

• Giao thức mà gói tin này mang dữ liệu • Cổng nguồn của TCP/U D P

• Cổng đích của TCP/U D P

• Kiểu thông điệp khi gói tin là giao thức điều khiển thông điệp Internet (ICM P) Kèm với các thông tin trên, thì các router biết rất rõ giao diện nào các gói tin đén và giao diện nào Router này phải định hướng các gói tin này đi. Các máy chủ trên một dịch vụ nào đó, thông thường hoạt động qua một cổng nào đó trên một giao thức như TCP hay UDP mà thôi.

Việc xúc tiến lọc gói có thể kiểm tra là những tùy chọn nhất định của ỈP, N hư lộ

y » r * \

trình nguôn, lộ trình nguôn có the được lạm dụng cho những tân. N hững nguôn khác có thê cho sự tấn công là những kiểu đặc biệt của thông báo ICM P.

, 0

Vnỵ (lụng máy chủ uỷ nhiệm

Máy chù đại diện là một mô hình rất hiệu quà trong các dịch vụ như: Sendmail, http... Nguyên tắc của các m áy chủ đại diện là chúng đại diện các máy chủ cần thiết được bảo mật (chúng có thể đại diện cho các máy chủ nội bộ hay các máy chủ bên ngoài mạng nội bộ được bảo vệ tuỳ theo mục đích của các m áy chủ này. Các máy chủ đại diện sẽ liên lạc với các m áy trạm khi có yêu cầu, chúng sẽ làm cách nào đó (tuỳ dịch vụ được đại diện) làm sao cho máy chủ uỷ nhiệm sẽ phục vụ các kết nối giống với khi m áy trạm đại diện kết nối trực tiếp. Dịch vụ đại diện là các dịch vụ đặc biệt hay các chương trinh chạy trên máy chù Firewall. M áy chù này theo kiểu dual - home host tức là chúng cộ hai giao diện, một gan với mạng nội bộ, một gắn với mạng bên ngoài, có

thê m áy chủ Firewall là một pháo đài host có thể truy xuât được các dịch VỊ! Internet.

50

Workstation

Hình 3.3 : Sơ đồ mạng LAN được bảo vệ bằng việc sàng lọc gói tin

Lý do cho hành vi này là chuyển đổi địa chỉ m ạng (N A T). Địa chỉ IP nguồn của yêu cẩu dược trao đổi với địa chi IP của máy chủ đại diện. N hững phúc đáp tập hợp địa chi IP cùa m áy chủ giống như địa chỉ IP đích. M áy chủ đại diện vẽ bản dồ phúc đáp tới đúng máy trạm, chèn địa chi IP nó giống như địa chỉ IP đích v à đây gói cho nó. Bởi vì máy chủ đại diện là máy chủ duy nhất giao tiếp với Internet nó cũng là duy nhất cần một địa chỉ IP thực.

Một sự khác nhau chính giữa một máy chù uỷ nhiệm v à lọc gói là lọc gói hành động theo lớp IP hoặc lớp chuyển vận và máy chủ đại diện thì trên lớp ứng dụng. M ột sự khác nhau thứ hai là m áy chủ đại diện phải “hiều” ứng dụng. Sách firewalls thực hành phát biểu :

''Mội gói của máy chủ có thể được chương trình hóa đê đi qua hoặc đẩy cho mạng những gỏi dựa vào một số lượng cỏ hạn của thông tin tìm thấy trong phần tiêu đề của các gói. Máy chủ đại diện là ímíỊ dụng đặc trimíỊ và có (hể được

Workstation 10 0.0.110

Proxy server 10.0.0250 140.165.60.234

Hình 3.2: Sơ đồ kiến trúc của một kết nối bao gồm m ột m áy chủ đại diện Các chương trình chạy trên máy chủ Firewall sẽ nhận các yêu cầu đến các dịch

f T

vụ trên Internet của máy chủ trên mạng nội bộ. Chúng giữ các kêt nôi này và chính chúng sẽ yêu cầu trực tiếp đến các máy chủ thực sự được kết nối thì chúng sẽ giữa vai trò làm trung gian cho các kết nôi này. Các máy trên mạng nội bộ yêu câu các dịch vụ trên Internet bị nó chặn lại, xem yêu cầu này có được phép h ay không, nếu được phép thì chính nó sẽ liên hệ với máy chù thực sự để được trả lời, kết quả đáp lại cùa máy chủ thực sự sẽ được trao về m áy nào trên mạng nội bộ đã phát ra yêu cầu này.

Packet-filtering router

ĨÍC^CkO^qIÌ

chương trình hỏa đế cho phép hoặc từ chối những truy nhập tới một dịch vụ dựa vào chức năng mà người dùng muốn thực hiện. ”

Hình 3.2 cho thấy một kết nối từ một máy trạm đến Internet. Trạm làm việc phát ra yêu cầu được định vị trên một mạng LAN. Việc này được chỉ ra bởi dịa chỉ IP 10.0.0.110, là địa chỉ IP cho một mạng ricng. Máy chù đại diện chạy trên dual - home host. Điều này có thể thấy trên hai giao diện (địa chỉ 1P) nó đã có. Một kết nối tới Internet làm việc như sau : trạm làm việc phát ra m ột yêu cầu tới máy chủ đại diện.

^ \ » V

M áy chủ đại diện thực hiện kiêm tra yêu câu. Các quy tăc cho những kiêm tra phải được cấu hình bởi người quản trị. N ếu tất cả các kiểm tra thành công, thì máy chù đại diện chuyển đổi địa chỉ IP nguồn với chính mình và gửi yêu cầu cho máy chủ trong Internet. M áy chủ này này phải giả thiết rằng khách hàng thực tế là m áy chủ đại diện. D ựa trên việc nhận những phúc đáp từ Internet, máy chủ uỷ nhiệm kiểm tra giao thức, và đẩy thông báo tới đúng máy trạm đưa ra yêu cầu.

3.2.3 Kiến trúc Firewall

Kiến trúc hộp đơn

r r >

K-iên trúc m ạng được cho thây trong hình 3.3. bao gôm có một mạng LAN được

f * f 1 t ! f

nôi với Internet qua duy nhât m ột điêm. Điêm này thông thường là m ột định tuyên. Tât cả lưu lượng tới hoặc từ Internet phải đi qua máy này. Bởi vậy firewall, lọc gói, được thiết lập trên thiết bị định tuyến (Router).

Lợi thế của kiến trúc này khá đơn giản. Nó dễ vận hành hơn những hệ thống nhiều lớp an toàn và cũng rẻ hơn các hệ thống đó. M ột bất lợi là kiến trúc hộp đơn không linh hoạt và chi thích hợp cho những m ạng nhỏ với những yêu cầu đơn giản. Sự bất lợi khác là trong trường hợp thỏa hiệp cùa firewall m ạng bên trong không có sự bảo vệ. Bởi vậy kỹ thuật này chỉ được sử dụng nếu những máy tính trên mạng sở hữu ở mức cao của sự an toàn máy chủ và số giao thức sử dụng bị hạn chế.

Dual ~ home host

Trong trường hợp này một máy chù đơn lẻ làm chức năng kết nối vào Internet. Dual - hom e host là một máy tính có hai giao diện mạng. M ột được nối tới mạng bên

t f

trong (LAN), m ột nôi tới Internet. Định tuyên các gói tin từ m ột giao diện mạng đên

f f / f r

giao diện khác là mặc định. Kêt quả là sự thiêu một kêt nôi trực tiêp giữa hai mạng.

* * * 、 •>

Kêt nôi này được thực thi qua các m áy chủ uỷ nhiệm. Trong cách này có thê điêu khiên lưu thông nào được cho phép tới Internet và lưu thông nào thì bị cấm.

Các dual-hom ed host thích hợp cho những m ạng có những thuộc tính: lưu lượng tới Internet thâp,kêt nôi Internet không phải là cân thiêt tuyệt đôi cho những công ty, doanh nghiệp,m ạng bên trong không phải là phục vụ bất kỳ dịch vụ nào cho Internet và không chứa đựng dữ liệu có thể nhận biết được.

52 塵 i l o Datcil:»ase W orkstation Server

Hình 3.4 : Sơ đồ dual 一 hom e host

Máv chủ sàng lọc

■» ,

Sự an toàn trong mô hình này do m ột chương trình chuyên vận lọc gói cung câp trong sự kết hợp với m ột pháo đài host. Hình 3.5 cho thấy điều này bên trong hộp va chạm. Ở đây, toàn bộ m ạng cục bộ được nối qua C hương trình chuyển vận tới Internet. Tuy nhiên gói lọc được cấu hình theo m ột cách mà chỉ pháo đài host được cho phép để thiết lập những kết nối tới Internet hoặc tiếp nhận những yêu cầu từ đó. Pháo đài host phải được cấu hình an toàn bàng cách với ý thức tới nhiệm vụ chính của nó. Kết nối cho những trạm làm việc từ mạng bên trong do ứng dụng m áy chủ uỷ nhiệm cung cấp.

Woik&Uition B c f S t i o n host

Hình 3.5 : Kiến trúc máy chủ sàng lọc

/ / t

Sự an toàn của kiên trúc này tôt sự an toàn của lọc gói định tuycn. Một tuyên chuyển vận được thỏa hiệp, m ạng bên trong không có sự bảo vệ. Sự bất lợi

định khác

i

r * y

là nêu máy chù pháo đài không giữ một sự tân công không có sự an toàn đê lại giữa

' 1 t

m áy chù và phân còn lại của mạng. Đê bảo trì m ột m ức cực tiêu của bảo vệ, trong trường hợp tân công thành công, các máy chỉ) khác trong m ạng cũng cân phải có mộl mức (lộ sự an toàn.

Mạng con SÙỈÍỊỈ lọc

Kiôn trúc mạng con sàng lọc mở rộng các lớp an toàn trên kiên trúc máy chủ sàng lọc bằng việc thêm mạng trung gian, tức là thêm vào các điểm cách ly giữa mạng nội bộ và Internet. Pháo đài host sẽ đón nhận những tôn thương trên mạng. Mặc dù cô gắng bảo vệ chúng, nhưng chúng rất dễ bị tấn công giống như kiến trúc máy chủ sàng lọc. M ạng nội bộ được mở rộng đê kêt nôi tới pháo đài host là đích dê bị tân công . 0 đâu không có sự phòng thủ nào giữa pháo đài host và những m ạng nội bộ. Nếu kẻ tấn công phá vỡ thành công pháo đài host trong kiến trúc m áy chủ sàng lọc thì sẽ làn tốn thương pháo đài host mạng trung gian. Nhưng nó không thể xâm nhập vào tất cả.

B a stio n h o s t

Hình 3.6 : Kiến trúc mạg con sàng lọc

Kiên trúc m ạng con sàng lọc dơn giản nhât gôm hai R outer lọc [10]. Một đặt giữa m ạng nội bộ và mạng trung gian, một đặt giữa mạng trung gian và mạng bên ngoài. Với kiến trúc này kẻ tân công cần phải đi qua cả hai Router. Thậm chí nếu kẻ

* ' ■» 〜

tân công băng cách nào đó có thê phá vỡ được pháo đài host nhưng vân không thê đi qua Router bên trong.

Một mạng nằm trên ranh giới giữa Internet và m ạng nội bộ thường được gọi là khu vực phi quân sự (DMZ). M ột DMZ có thể chứa đựng nhiều máy chủ, có những câu hình phức tạp hơn. Nhưng chúng chủ yếu là các sự kết hợp và những biến đỏi cùa những kiến trúc được đề cập.

5 4

3.3 IVÏât mã

f

Đôi tượng cơ bản của mật mã là tạo ra khả năng liên lạc trên một kênh không mật d ì o những người sử dụng (A và B) sao cho người khác không thể hiểu dược thông tin truyền đi. v ề an toàn cùa một hệ thống thông tin, cần có sự hiểu biết về những giải thuật v à những cơ chế cho phép an toàn dữ liệu. Có năm phạm trù khác nhau cùa những dịch vụ an toàn: [1]

• Sự chứng thực : chức năng này cung cấp nhận biết những thực thể lẫn dữ liệu gốc. C húng được gọi là chứng thực nguồn gốc và dữ liệu thực thể lương đương.

• Sự cho phép : Nó cho phép truy nhập tới những tài nguyên nhất định hoặc tới

những thực thể m ột cách “hợp pháp ’,•

• Tính bí m ật : N ó là một dịch vụ che giấu thông tin đối với bất cứ ai chưa được phép c ó nó. N ó cũng được viện dẫn như sự bí mật hoặc sự riêng tư.

> * t y

• Sự toàn vẹn : Nó bảo đảm răng dữ liệu không thê bị biên đôi bởi những thực thể không hợp pháp. N ó cũng được gọi là sự toàn vẹn dữ liệu.

• Không phủ nhận/ không từ chối : ngăn ngừa một thực thể phủ nhận hoặc từ chối hành động đã thực hiện.

M ật mã cung cấp kỹ thuật để thực hiện những dịch v ụ này. Có thể áp dụng những phương pháp m ã hóa thật sự quan trọng để biết mục đích nào chúng hoàn thành, tính tích cực và những thuộc tính của chúng.

3.3.1 C hửng thực

Với yêu cầu đảm bảo rằng chỉ phân phối những quyền hạn đúng, đủ với những yêu câu đòi hỏi. Hơn nữa một thành viên không thề đóng vai những thành viên khác. Kỹ thuật này đòi hỏi xác minh chứng thực và nhận biết thực thể

Cơ ché xác thực có một số mục tiêu : • Sự chứng thực thành công

• Tính không dùng lại được của dữ liệu trao đổi chứng thực • Sự bảo vệ chống việc giả danh

• Sự chông cự tránh việc quan sát

Chứng thực thành công có thể được mô tả như một giao thức đưọc thực hiện bởi hai thành viên A và B, nơi A xác nhận tại B và B vào lúc cuối chấp nhận chứng thực của A. Tính dùng lại được có nghĩa rằng sử dụng lại thông tin đang tồn tại trong thời gian chứ ng thực để đóng vai một thành viên thứ ba. Trong ví dụ này việc sử dụng lại thông tin B có thê sử dụng dữ liệu từ thực hiện giao thức xác thực để xác nhận tại

thành viên th ứ b a c . N h ư m ột c ơ chế xác thực cũng tránh sự đ ó n g vai. T rong ví dụ sử

dụng ở đây, nó đóng vai cùa A tới B. Trong những từ khác, m ột thành viên thứ ba c có thê không có khả năng đê xác nhận như A tới B. N hững thuộc tính này phải còn lại thật, dù có thể quan sát một số lớn sự chứng thực giữa A và B.

Sự chống cự preimagc thuộc tính đầu tiên có nghĩa rằng nó không tlìổ dùng công sức dể lấy lại đầu vào của một hàm hash nốu chỉ biết đầu ra. Xác suấl cho một hàm hash với một trị hàm hash n - mâu đê vẽ bản đô tới m ột trị hàm băm n - mâu đặc biệt là 1 / 2 n. Việc này quan trọng bởi vì nó có thổ sử dụng để chứng minh liệu có phải dữ liệu nào đó được thay đổi hay không. Như vậy, những hàm hash có thể sử dụng để cung cấp sự toàn vẹn dữ liệu. Một cách đùng tiêu biéu của m ột hàm hash sẽ áp dụng nó tới một thông báo và gửi thông báo cùng với đâu ra cùa hàm hash tới nơi nhận. Tại nơi nhận có thể áp dụng hàm hash tới thông báo, xem liệu những thông báo có được sửa đổi trong thời gian truyền hay không. Thuộc tính thứ hai chống cự nd-preimage bảo đảm rằng thật sự không khả thi dể tim kiếm thứ hai được nhập vào tới một hàm hash để có m ột lỉầu ra nhất định. Thuộc tính thứ ba biểu thị rằng có m ột xác suất thấp để tìm thấy hai giá trị đầu vào cho cùng một đầu ra. Một hàm hash cung cấp 2 sự chống cự nd - preim age và sự chổng cự va chạm được gọi sự va chạm kháng cự hàm hash. Phụ thuộc vào hàm kiểu một hash và cách ứng dụng nó có thể cung cấp sự toàn vẹn hoặc sự chứng thực hoặc cả hai. Hai kiểu khác nhau: Các hàm hash Ưnkeyed và khóa các hàm hash. N hững hàm hash unkeyed cũng được gọi niã dò tìm cải biến (MDC), một khóa mã chúng thực thông báo hàm hash (MAC).

33.2.1 Mã dò tìm MDC - Cải biến

MDC là những hàm băm unkeyed. Dịch vụ an toàn chúng cung cap là sự toàn vẹn dừ liệu. Như vậy, chúng được sử dụng để xác minh tính chính xác của dữ liệu. N hững hàm băm Ưnkeyed có thể là categorized dựa vào tự nhiên cùa những thao tác

Một phần của tài liệu Giải pháp bảo vệ thông tin VOIP trên mạng Internet Intranet (Trang 50 - 59)

(81 trang)