Phần III: Bức tờng lửa (Firewall)
4.4.1. Lọc cỏc Packet dựa trờn địa chỉ (address)
Dạng đơn giản nhất mà một Filtering Router cú thể thực hiện là việc lọc cỏc Packet dựa tờn địa chỉ. Lọc cỏc Packet theo dạng này cho phộp chỳng ta điều khiển dữ liệu dựa trờn địa chỉ mỏy gửi và địa chỉ mỏy nhận Packet mà khụng quan tõm đến nghi thức nào đang được sử dụng. Khả năng lọc gúi theo dạng này cú thể được dựng để cho phộp một số mỏy nào đú ở bờn ngoài cú thể trao đổi dữ liệu với một số mỏy nào đú ở trong mạng cần bảo vệ, hoặc cũng cú thể bảo vệ được những dạng đỏnh lừa thụng tin trong Packet (những Packet xuất phỏt từ Internet (bờn ngoài) mà cú địa chỉ mỏy gửi lại là địa chỉ mỏy ở trong mạng mạng bảo vệ.
Những rủi ro của việc lọc dựa trờn địa chỉ mỏy gửi:
Thụng tin ở mỗi Packet header cú chứa địa chỉ nguồn của mỏy gửi Packet (khụng nờn tin tưởng hoàn toàn vào thụng tin này do việc địa chỉ mỏy gửi cú thể bị giả mạo). Trừ khi chỳng ta sử dụng những kỹ thuật chứng thực như (cryptographic authentication) giữa hai mỏy trao đổi dữ liệu cho nhau, chỳng ta thực sự khụng thể biết chắc chắn rằng mỏy mà chỳng ta đang trao đổi dữ liệu với nú thực sự chớnh nú hay một mỏy khỏc giả danh mỏy này (giống như lấy địa chỉ của một người khỏc để gửi thư đi). Qui tắc lọc ở trờn chỉ loại trừ khả năng một mỏy bờn ngoài giả mạo thành một mỏy bờn trong, nú khụng phỏt hiện được việc một mỏy bờn ngoài giả mạo địa chỉ của một mỏy bờn ngoài khỏc.
Do đú, người tấn cụng cú thể cú hai dạng tấn cụng dựa trờn việc giả mạo địa chỉ là : giả mạo địa chỉ mỏy gửi “source address” và “man in the middle”.
− Dạng tấn cụng giả danh cơ bản nhất là sự giả mạo địa chỉ mỏy gửi (source address), người tấn cụng sẽ gửi dữ liệu cho chỳng ta mà sử dụng địa chỉ mỏy gửi khụng phải là địa chỉ mỏy của họ, thường họ sẽ đoỏn một số địa chỉ mà hệ thống của chỳng ta tin tưởng, sau đú họ sẽ sử dụng địa chỉ này như là địa chỉ mỏy gửi với hy vọng rằng chỳng ta sẽ
cho những Packet họ đó gửi đi vào mạng của chỳng ta, và cũng khụng mong chờ những Packet kết quả trả lời từ những mỏy trong hệ thống mạng của chỳng ta. Nếu người tấn cụng khụng quan tõm đến việc nhận những Packet trả về từ hệ thống của chỳng ta, thỡ khụng cần thiết họ phải ở trong lộ trỡnh giữa chỳng ta và hệ thống bị họ giả danh, họ cú thể ở bất cứ nơi đõu.
Trong thực tế, những Packet trả lời từ hệ thống của chỳng ta sẽ gửi đến những mỏy (những mỏy này người tấn cụng vào hệ thống của chỳng ta đó sử dụng địa chỉ của họ), mà những Packet sẽ khụng gửi đến mỏy của người tấn cụng. Tuy nhiờn, nếu người tấn cụng cú thể đoỏn được những đỏp ứng từ hệ thống của chỳng ta thỡ họ khụng cần phải nhận được những Packet này. Cú khỏ nhiều nghi thức (Protocol) mà đối với những người tấn cụng hiểu biết sõu thỡ việc đoỏn những đỏp ứng từ hệ thống của chỳng ta khụng mấy khú khăn. Cú nhiều dạng tấn cụng kiểu này cú thể được thực hiện mà người tấn cụng khụng cần nhận được những Packet trả lời trực tiếp từ hệ thống của chỳng ta. Một Vớ Dụ cho thấy điều này là người tấn cụng cú thể gửi cho hệ thụng của chỳng ta một lệnh nào đú, mà kết quả là hệ thống của chỳng ta gửi cho người tấn cụng password file của hệ thống chỳng ta. Bằng cỏch này thỡ người tấn cụng khụng cần nhận được trực tiếp những Packet trả lời từ hệ thống chỳng ta. Trong một số trường hợp, đối với nghi thức cú kết nối như TCP, mỏy nguồn thực sự (mỏy mà người tấn cụng lấy địa chỉ để giả danh) sẽ phản hồi lại những Packet mà hệ thống của chỳng ta gửi cho họ (những Packet mà hệ thống chỳng ta trả lời cho những Packet của người tấn cụng) dẫn đến kết quả là những kết nối hiện hành giữ mỏy của chỳng ta với mỏy người tấn cụng cú thể bị reset. Dĩ nhiờn là người tấn cụng khụng muốn điều này xảy ra. Người tấn cụng muốn thực hiện việc tấn cụng hoàn thành trước khi mỏy bị giả danh nhận được Packet mà chỳng ta gửi trước khi chỳng ta nhận reset Packet từ mỏy bị giả danh này. Người tấn cụng cú thể cú nhiều cỏch để thực hiện được điều này:
+ Thực hiện việc tấn cụng trong khi mỏy bị giả danh đó tắt. + Làm cho mỏy bị giả danh treo khi thực hiện tấn cụng.
+ Gõy lũ (flooding) dữ liệu ở mỏy giả danh khi thực hiện tấn cụng.
+ Làm sai lệch thụng tin về đường đi (routing) giữa mỏy gửi và mỏy nhận thực sự.
+ Tấn cụng vào những dịch vụ chỉ cần gửi một Packet là cú thể gõy tỏc động mà vấn đề reset khụng bị ảnh hưởng.
− Dạng tấn cụng thứ hai là “man in the middle” kiểu tấn cụng này người tấn cụng cần cú khả năng thực hiện đầy đủ một quỏ trỡnh trao đổi dữ liệu trong khi anh ta giả danh địa chỉ của mỏy khỏc. Để thực hiện được điều này người tấn cụng, mỏy mà người tấn cụng sử dụng khụng những gửi những Packet cho hệ thống của chỳng ta mà cũn mong muốn nhận được những Packet trả lời từ hệ thống cuả chỳng ta. Để thực hiện được điều này người tấn cụng phải thực hiện một trong hai việc sau:
+ Mỏy người tấn cụng ở trờn đường đi giữa hệ thống chỳng ta và hệ thống bị giả danh. Trường hợp dễ thực hiện nhất là ở gần mỏy của hệ thống chỳng ta hoặc ở gần mỏy bị giả danh, và trường hợp gần như khú nhất là ở giữa trong lộ trỡnh đường đi bởi vỡ trong mạng IP lộ trỡnh đường đi của Packet cú thể thay đổi đặc biệt là cỏc mỏy ở giữa lộ trỡnh cú thể cú lỳc đi qua cú thể khụng.
+ Thay đổi đường đi giữa mỏy gửi và mỏy nhận thực sự để nú đi qua mỏy của người tấn cụng. Điều này cú thể thực hiện được dễ dàng hoặc khú khăn tựy theo topology của mạng và hệ thống routing của cỏc mạng liờn quan.