Phần III: Bức tờng lửa (Firewall)
4.3. Ưu, nhược điểm của hệ thống Packet Filtering
Hệ thống sử dụng Packet Filtering Router cú những ưu điểm sau:
• Một Filtering Router cú thể bảo vệ toàn cả mạng: Một ưu điểm quan trọng nhất của Packet Filtering đú là chỉ cần ở một vị trớ chiến lược mà Packet Filtering Router cú thể bảo vệ toàn bộ mạng. Nếu chỉ cú một Router nối mạng cần bảo vệ với Internet, thỡ chỉ cần một Filtering
Router là cú thể bảo vệ toàn bộ mạng mà khụng phụ thuộc vào mức độ lớn nhỏ của mạng cần bảo vệ, mặc dự khả năng bảo vệ chỉ ở một mức nào đú mà thụi (việc bảo vệ mang tớnh toàn cục – global)
• Packet Filtering System cú thể cấm hoặc cho phộp một số loại dịch vụ, hay một số địa chỉ IP của một số hệ thống nào đú.
• Packet Filtering cú thể khụng ảnh hưởng đến user : Packet Filtering khụng cần thay đổi phần mềm Client hoặc thay đổi cấu hỡnh mỏy của Client, user cũng khụng cần phải huấn luyện để sử dụng hệ thống Packet filering mặc dự cú sự cộng tỏc của user thỡ vẫn tốt hơn, đõy là tớnh trong suốt (tranparency) đối với user. Khi Filtering Router nhận được một Packet, xem xột và thấy nú thỏa món qui tắc bảo vệ, lỳc đú Router sẽ forward Packet đi như những Router thụng thường làm cho nờn khụng thấy rừ sự khỏc biệt giữa Filtering Router và Router thụng thường.
• Khả năng lọc chỉ dựa trờn địa chỉ IP và số port mà khụng dựa trờn user/ application mặc dự cú một số Packet Filtering system cho phộp lọc dựa trờn hostname nhưng khụng nờn đặc tả cỏc qui tắc để lọc dựa trờn hostname vỡ như vậy hệ thống sẽ bị tấn cụng bằng cỏch khỏc – Vớ Dụ làm tờ liệt DNS Server hoặt giả DNS Server để trả lời query tờn mỏy thành địa chỉ IP.
• Hiện nay cú nhiều Router cung cấp khả năng Packet Filtering: khả năng lọc gúi được nhiều nhà sản xuất phần cứng cũng như phần mềm hỗ trợ trong sản phẩm của họ, những sản phẩn thương mại cũng như miễn phớ trờn Internet.
Mặc dự Packet Filtering cú nhiều ưu điểm như ở trờn nhưng nú cũng cú một số nhược điểm sau:
• Đối với Packet Filtering System cú thể bị tấn cụng theo loại network denial of service attacks. Khi người tấn cụng biết hệ thống cú Packet filter, họ sẽ cố gắng làm tờ liệt hoạt động hệ thống nhờ cỏc kỹ thuật “message flooding”, “service overloading”. Message flooding là một dạng tấn cụng vào hệ thống làm tờ liệt hoạt động của hệ thống bằng cỏch gõy lũ dữ liệu hệ thống bị tấn cụng. Người tấn cụng thường gửi hàng loạt cỏc message vào hệ thống mà họ tấn cụng. Kết quả là hệ thống bị tấn cụng khụng cũn thời gian để xử lý những yờu cầu khỏc, đụi lỳc nú cú thể làm treo hệ thống bị tấn cụng. Dạng tấn cụng điển hỡnh của kiểu này là người tấn cụng cho thực hiện việc gửi hành loạt cỏc
mail–message vào hệ thống mà họ tấn cụng dẫn đến kết quả là mail– Server khụng cũn vựng nhớ để lưu những mail hay thụng tin khỏc, đõy là tỡnh trạng đĩa đầy.
• Những cụng cụ Packet Filtering hiện hành là khụng hoàn thiện: Mặc dự khả năng Packet Filtering được cung cấp bởi nhiều nhà cung cấp phần cứng cũng như phần mềm nhưng những sản phẩm này vẫn chưa được hoàn thiện. Những Packet Filtering thường cú một số hạn chế sau:
− Việc xỏc định qui tắc để lọc cỏc Packet thường khú thực hiện và cũng khú cấu hỡnh. Vỡ phải thực hiện việc chuyển chớnh sỏch bảo vệ thành một tập cỏc qui tắc lọc thường rất khú.
− Khi đó được cấu hỡnh thỡ việc kiểm tra cỏc luật lệ (rules) cũng khú khăn.
− Khả năng của nhiều sản phẩm Packet Filtering thường khụng hoàn thiện, cũng như khả năng trợ giỳp cho việc hiện thực một số dạng lọc gúi ở mức cao thường khú thực hiện, nhiều lỳc là khụng thể thực hiện được.
− Giống như bất kỳ những sản phẩm khỏc, những Packet Filtering cũng cú thể cú một số lỗi mà những lỗi này cú thể gõy ra một số kết quả khụng mong muốn. Những lỗi này cú thể gõy ra cho nú hoạt động sai, đú là nú cú thể cho phộp một số Packet nào đú đi qua thay vỡ cấm.
• Một số giao thức (Protocol) khụng thớch hợp với Packet Filtering, thậm chớ đối với những sản phẩm Packet Filtering hoàn hảo, chỳng ta cũng sẽ thấy rằng cú một số nghi thức mà những khả năng bảo vệ của Packet Filtering khụng thể bảo vệ mạng được hoặc là những dịch vụ sử dụng những Protocol loại này phải bị cấm. Những Protocol điển hỡnh cho dạng đú là cỏc Berkley “r” command (rcp, rlogin, rdist, rsh, .. .) và những RPC–based Protocol như NFS, NIS/YP.
• Một số chớnh sỏch bảo vệ khụng thể thực hiện được nhờ vào Packet Filtering: Qui tắc mà một Packet Filtering cho chỳng ta đặc tả cú thể khụng phự hợp với yờu cầu thực sự của chỳng ta. Khụng cú khả năng bảo vệ ở cấp application, khụng thể thay đổi hoạt động của một dịch vụ, khụng giỏm sỏt được từng chức năng trờn một dịch vụ cụ thể để cú thể cấm hoặc cho phộp một chức năng nào đú trờn dịch vụ nào đú (núi như vậy là tựy thuộc vào hiện thực của Packet Filtering System nhưng mà hầu hết cỏc khả năng cú thể làm được là như trờn) Packet Filtering cũng khụng cho phộp chỳng ta cấm hoặc cho phộp user này cú thể được sử dụng một dịch vụ nào đú nhưng mà user khỏc thỡ khụng được phộp.