UDP là giao thức không hướng kết nối, nó là giao thức hiệu quả cho một số dịch vụ ko cần độ tin cậy cao và cũng là giao thức truyền rất khó để giám sát và bảo mật.
Firewall phải dùng các phương pháp khác để đảm bảo cho sự an toàn của nó. Các ứng dụng sử dụng UDP rất khó đảm bảo an toàn tuyệt đối vì nó không có cơ chế bắt tay hay là số hiệu liên tiếp. Rất khó để xác định được trạng thái hiện tại của việc trao đổi thông tin UDP. Và cũng rất khó để duy trì trạng thái của một phiên vì nó không có sự bắt đầu, trạng thái trao đổi và kết thúc một cách rõ ràng. Tuy nhiên các thiết bị firewall tạo ra các khe kết nối UDP khi 1 gói tin UDP được gửi từ cổng có độ an toàn cao hơn đến cổng có độ an toàn thấp hơn.
Tất cả các gói tin UDP quay trở lại lần lượt mà khớp với khe kết nối đó sẽ được chuyển đến mạng bên trong.
Khi khe kết nối UDP im lặng trong khoảng thời gian lớn hơn khoảng im lặng được quy định thì kết nối đó sẽ bị xóa khỏi bảng trạng thái kết nối, sau đây là một số đặc tính của UDP:
• UDP không đáng tin cậy nhưng là giao thức vận chuyển hiệu quả
• Việc giả mạo gói tin UDP rất dễ dàng bởi vì không có cơ chế bắt tay 3 bước hay đánh số tuần tự. Do không có kiểm tra trạng thái nên cũng rất khó xác định được trạng thái hiện tại của phiên truyền.
• UDP không có cơ chế đảm bảo giao nhận
• Không có cơ chế thiết lập và kết thúc kết nối
• UDP không có cơ chế phòng chống và kiểm soát việc tắc nghẽn
• Các dịch vụ sử dụng UDP có thể được chia thành 2 loại:
- Các dịch vụ yêu cầu-đáp ứng hay dịch vụ ping-pong, như là hệ thống phân giải tên miền (DNS)
- Các dịch vụ truyền dữ liệu như là video, VoIP, hệ thống truyền file trên mạng
3.5. Một số kĩ thuật khác được sử dụng trong firewall 3.5.1. Kỹ thuật thẩm kế an toàn
An toàn tuyệt đối là không thể có, vì thế nhất thiết phải tiến hành ghi giữ và phân tích những sự việc phát sinh trên mạng lưới, đối với một số khai thác tin tức nhạy cảm được bảo hộ của mạng lưới phải duy trì việc luôn luôn ghi giữ, và thông qua các loại biển báo, cảnh báo khác nhau tiến hành báo cáo cho nhân viên quản lý hệ thống. Ví dụ như trên đài khống chế của bức tường lửa biểu thị những tin tức thực tế có liên quan đến an toàn, phải tiến hành truy tìm động thái đối với thuê bao mật khẩu phi pháp, khai thác phi pháp.
3.5.2. Kỹ thuật lõi an toàn
Ngoài việc dùng đại lý ra, người ta bắt đầu suy nghĩ đến:
- Vấn đề an toàn trên tầng thứ của hệ thống khai thác. Ví dụ xem xét việc cắt bỏ bộ phận có thể gây nên vấn đề an toàn trong lõi (kernel) hệ thống, hình thành một lõi có đẳng cấp an toàn cao hơn, từ đó làm cho hệ thống càng an toàn, ví dụ như bức tường lửa PIX của Cisco...
- Hệ điều hành an toàn nhờ gia cố an toàn và cải tạo đối với hệ điều hành mà có, nhìn từ các sản phẩm hiện có thì vấn đề gia cố và cải tạo đối với lõi hệ điều hành an toàn chủ yếu được tiến hành ở những mặt sau đây:
+ Bỏ việc điều động sử dụng hệ thống nguy hiểm. + Hạn chế quyền hạn chấp hành mệnh lệnh. + Thủ tiêu chức năng chuyển phát IP. + Kiểm tra mỗi một cửa nối phân nhóm.
+ Dùng số thứ tự (serial number) nối tiếp ngẫu nhiên. + Giữ lại module lọc phân nhóm.
+ Thủ tiêu chức năng dẫn đường động thái. + Dùng nhiều lõi an toàn.
3.5.3. Kỹ thuật cân bằng phụ tải
Phụ tải của bộ phục vụ cân bằng, là do nhiều bộ phục vụ cung cấp dịch vụ ứng dụng giống nhau cho các thuê bao bên ngoài mạng lưới. Khi có một yêu cầu cổng mạng lưới bên ngoài đến bức tường lửa, thì bức tường lửa có thể̉ dùng phép tính cân bằng
được định ra để xác định yêu cầu đó là do bộ phục vụ nào hoàn thành. Nhưng đối với thuê bao, những điều đó đều là trong suốt.
3.6. Sự kết hợp các biện pháp kỹ thuật
Giải pháp đúng đắn để xây dựng 1 firewall hiếm khi chỉ dựa trên 1 kỹ thuật riêng lẻ . Nó thường là 1 sự kết hợp các kỹ thuật để giải quyết các vấn đề khác nhau . Vấn đề nào ta cần giải quyết phụ thuộc vào các dịch vụ mà ta muốn cung cấp cho user và mức độ rủi ro mà ta có thể chấp nhận . Kỹ thuật nào ta sử dụng để giải quyết các vấn đề phụ thuộc vào mức độ tài chính , thời gian , cũng như chuyên môn .
Chương 4
CÁC PHƯƠNG PHÁP TRIỂN KHAI FIREWALL
4.1. CHỨC NĂNG PHÂN VÙNG CỦA FIREWALL TRONG THIẾT KẾ AN NINH MẠNG NINH MẠNG
Trong thiết kế an ninh mạng có 3 loại mạng cơ bản cần xét tới đó là: mạng phía trong hay mạng nội bộ (inside network), mạng phía ngoài (outside network) và một loại mạng
nữa không có tính bắt buộc đó là vùng phi quân sự hay còn gọi là vùng đệm DMZ (demilitarized zone). Firewall là một thiết bị có chức năng chia tách hay liên kết giữa các vùng này. Một firewall có thể là một router có chạy một tập các tính năng firewall hay là một máy chủ có chạy các dịch vụ firewall và cũng có thể là một thiết bị chuyên dụng như là dòng PIX firewall của CISCO, đó là các thiết bị chỉ chạy duy nhất các dịch vụ firewall không giữ thêm chức năng khác như chuyển mạch, định tuyến ….
Hình vẽ sau minh họa 3 vùng cơ bản trong thiết kế an ninh mạng và các vị trí đặt firewall.
Hình 2.17. Kiến trúc 3 vùng cơ bản trong thiết kế an ninh mạng
Một firewall phân tách các khu vực ra làm 3 vùng an ninh. Một thiết bị firewall thông thường có 3 hoặc hơn 3 giao diện LAN: mỗi giao diện dành cho một mạng bên trong và một mạng bên ngoài , và một dành cho DMZ. Các firewall trước đây dùng cho các tổ chức có quy mô nhỏ và hoặc khu vực dành cho người làm việc ở xa thì có thể chỉ có 2 giao diện để ngăn cách mạng bên trong với mạng bên ngoài
4.1.1. Mạng bên trong(Inside Network)
Mạng bên trong ý nói tới mạng riêng, nằm trong nội bộ của một tổ chức hay doanh nghiệp. Nó có thể là một hoặc nhiều mạng bao gồm tất cả các máy trạm
(workstations) và các máy chủ (servers) chỉ dùng trong phạm vi nội bộ, không chia sẻ với bên ngoài. Các thiết bị được coi là đáng tin cậy (trusted) và cần có được bảo vệ với thế giới bên ngoài (outside world).
Thông thường khu vực mạng bên trong nằm dưới sự quản trị phân quyền và hoạt động dưới một chính sách bảo mật chung của tổ chức. Một firewall thường được sử dụng để ngăn cách giữa khu vực mạng bên trong với bên ngoài, nhưng cũng có thể nó phân tách một khu vực nội bộ với các khu vực khác trong mạng nội bộ nhu cầu an ninh gia tăng được yêu cầu cho khu vực đó. Ví dụ như một trường học có thể đặt firewall giữa mạng của sinh viên với mạng của các khoa.
4.1.2. Mạng bên ngoài (Outside Network)
Mạng bên ngoài là mạng nằm ở khu vực chung, không thuộc riêng mạng nội bộ của một tổ chức hay doanh nghiệp nào cả, bên ngoài khu vực mạng nội bộ. Khu vực đó còn được gọi là vùng không đáng tin cậy (untrusted area), nó bao gồm tất cả các thiết bị và các mạng không trực tiếp nằm trong phạm vi quản và các chính sách an ninh của tổ chức. Thông thường mạng bên ngoài bao gồm các router vùng biên, nhà cung cấp dịch vụ Internet, mạng Internet và tất cả các mạng gắn vào nó. Và các mối đe dọa về sự tấn công có thể đến từ bất cứ đâu trên khu vực này.
4.1.3. Vùng phi quân sự (Demilitarized Zone -DMZ)
Vùng phi quân sự được tạo nên bởi một hay nhiều mạng LAN bị cô lập, nó có thể là gồm nhiều tài nguyên máy chủ được dùng chung như là các máy chủ Web, máy chủ DNS và email. Các máy chủ này có thể được nhìn thấy từ thế giới bên ngoài. Và các máy chủ đươc chia sẻ này có thể gọi là các các máy trạm phòng thủ, các máy chủ phòng thủ (bastion hosts, bastion servers) hay thậm chí là các host để thí mạng (sacrificial hosts)
Các host phòng thủ này phải được bảo vệ và phải nhận được sự duy trì mức độ bảo mật cao nhất vì chúng rất dễ bị tấn công từ thế giới bên ngoài. Các máy chủ phòng thủ thông thường chỉ chạy một ứng dụng đặc biệt để chia sẻ và dùng chung, tất cả các dịch vụ khác bị dừng lại hoặc bị tắt đi.
Firewall phải được cấu hình để cho phép truy nhập từ thế giới bên ngoài vào vùng DMZ một cách tương đối dễ dàng nhưng điều chỉnh được, trong khi đó bảo vệ được khu vực mạng bên trong. Người sử dụng trong khu vực mạng nội bộ bị hạn chế truy nhập vào các máy chủ trong vùng DMZ và cũng có thể là giới hạn những phiên xuất phát từ mạng bên trong. Nhìn chung thì firewall ngăn cản sự truy nhập từ bên ngoài vào mạng bên trong. Và hầu hết các trường hợp các truy nhập từ bên ngoài đi vào đều bị khóa. Nhưng có một ngoại lệ đối với máy chủ e mail nếu nó nằm trong mạng nội bộ thay vì DMZ.
4.2. KIẾN TRÚC FIREWALL CƠ BẢN 4.2.1.Kiến trúc cơ bản
Trong kiến trúc firewall cơ bản, firewall có vai trò điều khiển lưu lượng từ trong mạng nội bộ (Inside Network) đi ra các mạng phía ngoài (Outside Network) và ngược lại.
Trong kiến trúc này firewall sử dụng cấu hình mặc định của nó là 3 cổng: một cổng nối với mạng phía trong có độ an toàn cao nhất, một cổng nối với vùng đệm DMZ có độ anh toàn thấp hơn và cổng thứ 3 có độ an toàn thấp nhất được nối với mạng ngoài. Và như đã nói ở trên thì mặc định tất cả lưu lượng đi từ cổng có độ an toàn cao hơn ra cổng có độ an toàn thấp hơn trên firewall đều được phép nhưng khi đi từ cổng có độ an toàn thấp đến cổng có độ an toàn cao thì đều bị cấm. Đôi khi có những ngoại lệ (Exception) là do chủ ý của người quản trị.
Trong kiến trúc trên các router ngăn cách giữa mạng trong với firewall và mạng ngoài với firewall không chỉ giữ vai trò định tuyến và là cửa ngõ đi ra khỏi mạng mà còn giữ vai trò là bộ lọc gói (Packet filtering) không có trạng thái hoặc có trạng thái. Các server trong vùng đệm DMZ không chỉ là các server cung cấp các ứng dụng giao tiếp với người trên Internet mà còn giữ vai trò là proxy server.
Hình 2.18 . Kiến trúc firewall cơ bản
Đây là cấu hình cơ bản nhất của một mạng thông thường khi giao tiếp với Internet, ở đây firewall có cấu hình mặc định là 3 cổng. Khi quy mô và số mạng trong vùng nội bộ tăng lên có nhu cầu bảo mật khác nhau thì ta sử dụng số cổng nhiều hơn với cấu hình độ bảo mật trên các cổng khác nhau. Không chỉ có thế firewall còn được sử dụng với các công nghệ bảo mật khác nhằm mang lại hiểu quả an toàn cao nhất. Sau đây ta xét kiến trúc an ninh mở rộng sử dụng firewall kết hợp với một công nghệ bảo mật khác.
4.2.2. Dual – Homed System
Hệ thống là một máy tính có ít nhất 2 card mạng được chỉ ra trong hình 2.19. Trường hợp này thì việc định tuyến giữa các side tương ứng với các side của card mạng được ngắt do vậy việc kiểm soát lưu lượng mạng hoàn toàn có thể được một các thủ công .Giả sử rằng hệ thống đang chạy WEB server .Nếu định tuyến bị ẩn thì các gói tin không thể được trao đổi giữa các mạng khác nhau được .Ví dụ ,nếu một vài bộ phận trong một tổ chức cần chia sẻ cùng 1 web server nhưng bạn không muốn tạo một bảng định tuyến giữa các bộ phận thì bạn có thể sử dụng cấu hình hệ thống này .Tuy nhiên
,các hacker có thể tấn công vào sơ hở này (nếu trường hợp các ứng dụng và bản vá lỗi chưa được cài đặt )
Hình 2.19. Hệ thống Dual – Homed có 2 card mạng
4.2.3. Kiến trúc Screen Host
Trường hợp này thì Router chỉ cho phép người dung Internet kết nối tới một hệ thống đã được định nghĩa trước trong pháo đài phòng ngự .Cổng getway sẽ đóng vai trò kiểm soát toàn bộ gói tin vào ra
Hình 2.20. Kiến trúc Screening Host
Router lọc tin sẽ làm việc rất nhiều trong cấu trúc này ,không chỉ làm việc với các gói tin để hướng chúng vào các hệ thống bên trong mạng mà nó còn cho phép hay không
cho phép mạng nội bộ mở kết nối với Internet .Bạn có thể cài đặt cấu hình này dựa trên yêu cầu bảo mật của hệ thống của bạn .Chapman và Zwicky đã lưu ý rằng cấu trúc này có thể bị hỏng vì nó cho phép các gói tin từ Internet vào mạng nội bộ ,không giống với Dual – Homed sẽ khóa tất cả gói tin từ mạng ngoài vào nội bộ
4.2.4. Kiến trúc Screeded Subnet
Trường hợp này tương tự với Screening Host ,ngoại trừ một lớp phụ của bảo mật được thêm vào giữa vùng ưu tiên và vùng nội bộ
hình 2.21. Kiến trúc Screened Subnet
Lý do cho cấu trúc này là để bảo vệ mạng nội bộ trong trường hợp pháo đài phòng ngự không thể chống lại được tấn công từ hacker
4.3. MÔ HÌNH FIREWALL PHỨC TẠP Sơ đồ bố trí firewall của bộ tài chính
Hình 2.20. Sơ đồ hạ tầng mạng bộ tài chính
Trong sơ đồ trên bộ tài chính đã sử dụng 2 hàng rào bảo vệ là 2 firewall đặt liên tiếp nhau FW1 và FW2. Firewall thứ nhất FW1 có 3 cổng làm nhiệm vụ điều khiển truy nhập của mạng bên trong ra Internet, firewall này vẫn sử dụng cấu hình 3 cổng mặc định. Firewall thứ 2 FW2 nằm sau FW1 có nhiệm vụ ngăn cách giữa các vùng có độ an
toàn khác nhau trong vùng nội mạng với cấu hình 4 cổng, trong đó có 3 cổng gắn với 3 mạng nội bộ khác nhau là GE3 đi ra khu vực trung tâm dữ liệu, nơi tập trung các server cho ngành tài chính có độ bảo mật cao nhất, GE4 đi ra mạng dành cho người sử dụng nội bộ có độ an toàn thấp hơn và FE2 đi ra khu vực mạng dành cho các server đóng vài trò quản lý. Cổng còn lại trên firewall này làm nhiệm vụ đi ra các mạng phía ngoài. Trong các vùng với độ an toàn khác nhau thì các cổng trên firewall cũng được cấu hình với mức độ an toàn tương ứng. Cũng giống như bộ tài chính techcombank là đơn vị hoạt động trong lĩnh vực tài chính có nhu cầu bảo mật rất cao. Ở đây ngoài việc sử dụng các sản phẩm firewall cứng như ASA của Cisco hay firewall mềm như Checkpoit của Nokia họ còn dùng kết hợp với IPS. Các thiết bị bảo mật đều được sử dụng sánh đôi để tạo nên cấu trúc dự phòng tin cậy.
Vậy tại sao ở đây lại sử dụng IPS kết hợp với firewall? Firewall là bức tường phòng thủ đầu tiên để chống lại các tấn công xâm nhập từ bên ngoài và thường là hệ thống đầu tiên mà những kẻ tấn công phải vượt qua . Không may là trong 1 số trường hợp Firewall có thể rất phức tạp dẫn đến khả năng cấu hình sai và việc này có thể làm cho hệ thống trở nên không được bảo vệ .
Do đó Firewall cần phải đi kèm với 1 số biện pháp bổ sung để có thể thực hiện tốt các chính sách an ninh của mình. Các hệ thống IPS ở đây được triển khai dưới hình thức các Gateway để phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của