Các mô hình ứng dụng

Một phần của tài liệu nghiên cứu các vấn đề về kỹ thuật, công nghệ của isp (Trang 72 - 76)

1- Packet Filtering Firewall

Packet Filtering Firewall có thể là hình thức thông dụng và đơn giản nhất để tạo ra an ninh cho một site nhỏ và không phức tạp. Tuy nhiên nó có rất nhiều yếu điểm và không đợc để ý tới lắm nh các mô hình ứng dụng khác mô tả trong phần này. Về cơ bản, nó chỉ là một packet filtering router liên kết Internet với một site. Trên packet filtering router này đợc cài đặt các danh sách quy tắc, để ngăn chặn hoặc lọc các giao thức hay địa chỉ IP. Các sites thờng có quyền truy cập

trực tiếp vào Internet, trong khi hầu hết hoặc tất cả các các truy nhập vào sites từ Internet đều bị ngăn chặn. Tuy nhiên router có thể cho phép truy cập vào hệ thống và các dịch vụ một cách lựa chọn, phụ thuộc vào chính sách đợc thi hành trên router. Thờng là các dịch vụ vốn nguy hại nh NIS, NFS, và X Windows bị ngăn chặn.

Một packet filtering firewall phải chịu những bất lợi mà một packet filtering router có, tuy nhiên nó có thể trở thành quá tải, khi nhu cầu an ninh của một protected site trở nên phức tạp và ngiêm túc. Một vài yếu tố dới đây sẽ nói lên điều này.

Packet Filtering Firewall

- Khả năng Logging rất thấp, do đó ngời quản trị mạng rất khó nhận biết đợc router có đang bị lạm dụng hay đang bị tấn công hay không.

- Các quy tắc về lọc gói rất khó kiểm nghiệm một cách kỹ lỡng, và nh vậy site rất có thể có những trọng yếu mà cha hề đợc kiểm nghiệm qua

- Nếu nh các quy tắc đợc đặt ra quá phức tạp thì công việc quản trị rất rắc rối.

- Để có thể truy cập đợc từ Internet thì mỗi máy phải có riêng một bản copy về advanced authentication measures

Packet filtering router có thể thi hành một trong số các chính sách thiết kế (design policies). Tuy nhiên nếu nh router không lọc ở các cổng nguồn hay lọc các gói đến và đi thì rất khó để thực hiện chính sách thứ hai, ví dụ nh khớc từ mọi thứ, trừ khi đợc cấp phép. Nếu mục đích đặt ra là thực hiện chính sách an ninh thứ hai thì router phải có đợc một độ mềm dẻo vô cùng cao trong chiến lợc lọc của mình.

2- Dual homed gateway (hay Dual- or Tri-Homed Gateway, BaseStaion Host)

Dual-homed Gateway là phơng pháp khá phổ biến và tốt hơn so với packet filtering router firewall. Nó đợc xây dựng bởi một hệ thống với ít nhất hai giao diện mạng và tính năng gửi IP (IP forwarding) đợc gỡ bỏ, có nghĩa là host không có khả năng gửi các gói giữa hai mạng kết nối qua nó. Ngoài ra để tăng cờng an ninh có thể có thêm một packet filtering router đợc cài đặt ở phía kết nối vào Internet. Làm nh vậy sẽ tạo ra đợc một mạng con nội bộ (inner screened subnet) để có thể sử dụng cho việc đặt các hệ thống chuyên dụng.

Không giống nh Packet Filtering Firewall, Dual-homed Gateway là một bức tờng đầy đủ ngăn lu thông IP giữa Internet và mạng đợc bảo vệ. Các dịch vụ và quyền truy nhập do proxy server đảm nhiệm. Đây là một Firewall đơn giản nhng rất an toàn.

(Một số Dual-homed Gateway Firewalls không sử dụng các dịch vụ proxy mà đòi hỏi ngời dùng phải có tài khoản trên gateway mới có khả năng truy cập. Phơng thức ứng dụng này có nhiều nhợc điểm do phải duy trì các tài khoản trên firewall rất dễ tạo ra lỗi, tạo điều kiện thuận lợi cho hacker xâm nhập, cũng nh để hỗ trợ số lợng lớn ngời dùng đòi hỏi router phải có năng lực rất lớn – Phơng pháp này gọi là Base Station Firewall).

Firewall loại này thực hiện thêm một chính sách an ninh thứ hai, khớc từ mọi dịch vụ, trừ khi các dịch vụ này đợc cho phép. Nh vậy chỉ những dịch vụ mà tồn tại proxy cho nó mới đợc phép qua. Do khả năng gửi IP bị gỡ bỏ, nên các gói từ Internet không có khả năng vào đợc mạng bảo vệ. Nh vậy ngời ta đạt đợc một tính riêng t cao. Các hệ thống trên Internet không thể chuyển gói trực tiếp đến mạng bảo vệ. Tên và địa chỉ IP của mạng bảo vệ không bị lộ ra cho mạng Internet bên ngoài, bởi lẽ Firewall không cung cấp các thông tin về DNS ra bên ngoài.

Một dual-homed gateway đơn giản cung cấp dịch vụ ủy nhiệm cho Telnet và FTP, và dịch vu e-mail tập trung. Firewall chấp nhận mail từ mọi site sau đó vận chuyển tới site systems. Bởi vì nó sử dụng a host system, firewall có thể chứa phần mềm cho đòi hỏi ngời sử dụng phải cung cấp các thông tin truy nhập. Firewall có thể Logging truy cập và các cố gắng truy nhập nhằm phát hiệm ra các hành động của kẻ xâm nhập

Dual-homed gateway Firewall cũng nh screened subnet firewall cung cấp khả năng tách ly giao thông giữa một Web server với các giao thông khác trong mạng. Web server có thể đợc đặt ở mạng con nằm giữa gateway và router.

Giả sử gateway cung cấp các dịch vụ proxy cần thiết cho Webserver (ví dụ ftp, gopher, http), router có thể ngăn cản quyền truy cập vào Internet và bắt buộc mội truy cập vào Internet phải qua Firewall. Nếu nh Server đợc cho phép trực tiếp vào Internet (sẽ kém an toàn hơn), tên và địa chỉ IP của server sẽ bị lộ ra ngoài thông qua DNS. Việc đặt Web server ở vị trí này sẽ làm tăng thêm an ninh, bởi lẽ mọi thâm nhập qua Web server vào mạng bảo vệ bị ngăn cản bởi dual-homed gateway.

Sự thiếu mềm dẻo của dual-homed gateway là nhợc điểm cho một số site. Chỉ những dịch vụ mà proxy tồn tại mới có thể qua đợc còn tất cả các dịch vụ khác đều bị chặn lại. Nh vậy những hệ thông cần truy cập phải đợc đặt ở phía Internet. Tuy nhiên một router có thể đặt thêm vào để tạo ra một mạng con giữa gateway và router. Và nh vậy các hệ thống đòi hỏi những dịch vụ riêng có thể đặt đợc ở đây. Vấn đề này sẽ đợc giải thích thêm ở phần Screened Subnet Firewall.

Một lu ý quan trọng khác an ninh cho host system sử dụng cho firewall phải ở mức cao nhất. Bởi lẽ nếu nh sử dụng các dịch vụ hoặc các kỹ thuật yếu nhợc ở trên host có thể dẫn đến việc bị xâm nhập. Nếu nh Firewall bị lạm dụng, một kẻ xâm nhập có thể làm hỏng firewall và thực hiện việc phá hoại, ví dụ nh đặt lại IP routing.

3- Screened host firewall

Screened host firewall mềm dẻo hơn dual-home gateway firewall, tuy nhiên sự mềm dẻo này lại làm suy yếu đi công tác an ninh. Screened host firewall thờng là thích hợp cho các sites nơi mà vấn đề mềm dẻo đợc đặt ra, cao hơn so với dual-homed gateway firewall.

Screened host firewall phối hợp packet-filtering router với một application gateway đợc đặt ở phía bảo vệ của router. Application Gateway chỉ cần một giao diện mạng. Các dịch vụ ủy nhiệm trên Application Gateway chuyển các dịch vụ nh Telnet FTP, v...v tới site system. Router làm nhiệm vụ lọc (screened) các giao thức nguy hại, không cho chúng tới đợc application gateway và site system. Nó loại bỏ hay chấp nhận các giao thông ứng dụng theo các quy tắc sau.

- Giao thông của các ứng dụng từ các Internet tới application gateway đợc chấp nhận - Tất cả các giao thông khác từ Internet sites bị loại bỏ.

- Router loại bỏ các lu thông khác từ phía trong, trừ khi nó đến từ application gateway.

Không giống nh dual-homed gateway firewall, application gateway chỉ cần có một giao diện mạng và không đòi hỏi một mạng con riêng biệt giữa application gateway và router. Điều đó làm cho Firewall trở nên mềm dẻo, nhng lại không an toàn bằng bởi router đợc phép chuyển các dịch vụ “tin cậy” quanh application gateway và trực tiếp tới site system. Các dịch vụ “tin cậy” này có khả năng là các dịch vụ mà cho nó không tồn tại dịch vụ ủy quyền. Tin cậy ở trong nghĩa là sự mạo hiểm khi sử dụng các dịch vụ này là chấp nhận đợc. Ví dụ một trong các dịch vụ có sự mạo hiểm không cao là NTP. NTP có thể chấp nhận chuyển qua router tới site system. Trong cấu hình này, firewall sử dụng một sự pha trộn bởi hai chính sách, tỷ lệ pha trộn phụ thuộc vào bao nhiêu và loại nào của dịch vụ đợc chuyển thẳng tới site system.

Screened host firewall

Sự mềm dẻo nữa của screened host firewall là nguyên nhân cho hai mối quan tâm khác. Thứ nhất, bây giờ tồn tại hai hệ thống, router và application gateway. Cả hai hệ thống này đều đợc phải cài đặt một cách cẩn thận. Nh đã nêu ở trên, việc cài đặt các quy tắc cho router có thể sẽ trở nên rất phức tạp, rất khó khăn để thử nghiệm và rất dễ mắc sai lầm để có thể dẫn tới các lỗ hổng trên router. Tập hợp của các quy tắc này không đợc phức tạp hơn tập hợp cho các sites thông dụng sử dụng packet filtering firewall.

Bất lợi thứ hai là chính sự mềm dẻo này đã mở ra khả năng chính sách an ninh bị vi phạm. Vấn đề này không phải là vấn đề lớn đối với dual-homed gateway firewall, bởi lẽ theo phơng diện kỹ thuật thì không thể chuyển giao thông qua dual-homed gateway nếu nh dịch vụ ủy quyền không tồn tại.

4- Screen subnet firewall

Screened subnet firewall (adsbygoogle = window.adsbygoogle || []).push({});

Screened subnet firewall là một biến thể của dual-homed gateway và screened host firewall. Nó có thể sử dụng để đặt mỗi thành phần của firewall vào một hệ thống riêng biệt. Do đó có khả năng đạt đợc thông lợng cao và độ mềm dẻo cao, tuy nhiên nó sẽ đánh mất đi sự đơn giản. Thế nhng mỗi hệ thống thành phần của firewall lại đứng ra để thực hiện một công việc đợc riêng, do đó việc cài đặt hệ thống bớt phức tạp đi.

Trong Screened subnet firewall, 2 router đợc sử dụng để tạo ra một mạng con nội bộ, còn gọi là DMZ, nơi đặt application gateway. Ngoài ra vùng không có chiến sự này có thể chứa đựng thêm các thành phần khác nh Web server, MODEM pool và các hệ thống đòi hỏi việc kiểm soát quyền truy cập ở mức cao. Router nối với Internet là chốt điểm để chuyển giao thông thỏa mãn các quy tắc sau:

- Giao thông ứng dụng từ application gateway tới Internet, cho phép - Giao thông e-mail từ e-mail server tới Internet, cho phép

- Giao thông ứng dụng từ Internet tới application gateway, cho phép - Giao thông e-mail từ Internet tới e-mail server, cho phép

- FTP, Gopher, và các giao thông khác từ Internet tới Web server, cho phép - Các giao thông khác bị chặn

Router bên ngoài hạn chế truy cập vào Internet cho các hệ thống đã định trong screened subnet, và ngăn chặn tất cả các giao thông khác có nguồn gốc từ các hệ thống không đợc chỉ định kết nối, nh MODEM pool, Web server, và sites systems tới Internet. Router này ngoài ra còn đợc sử dụng cho việc ngăn chặn các gói nh NFS, NIS hay các giao thức dễ bị tấn công khác tới hoặc bắt nguồn từ các host trong screened subnet

Router bên trong cho phép giao thông từ và tới các hệ thông trong screened subnet thỏa mãn các qui tắc sau:

- Giao thông ứng dụng từ application gateway tới site system, cho phép - Giao thông e-mail từ e-mail server tới site system, cho phép

- Giao thông ứng dụng từ application gateway từ site system, cho phép - Giao thông e-mail từ site system tới e-mail server, cho phép

- FTP, Gopher, và các giao thông khác từ site system tới Web server, cho phép - Các giao thông khác bị chặn

Bởi vì không có site system nào có thể đụng tới từ Internet và ngợc lại giống nh dual-homed gateway firewall. Sự khác biệt lớn nhất là các router đợc sử dụng nhằm hớng giao thông tới các hệ thống riêng, do đó việc sử dụng application gateway nh một dual-homed gateway bị loại trừ. Lu lợng thông tin luân chuyển lớn hơn so với việc sử dụng router nh một gateway cho mạng bảo vệ (protected subnet). Screened subnet firewall rất thích hợp cho các sites với lu lợng giao thông lớn và các sites với vận tốc cao.

Hai router cung cấp thêm sự an toàn bởi một kẻ muốn tấn công vào site system cần phải phá đổ đợc cả hai router. Application gateway, e-mail server và Web server là những hệ thống duy nhất có thể nhận biết đợc từ Internet. Tên của các hệ thống khác đợc giữ kín. Application gateway có thể sử dụng các ứng dụng các phần mềm xác thực để xác nhận mọi kết nối tới. Nh đã nêu trên, có nhiều công việc phải thực hiện khi cài đặt, nhng với việc sử dụng các hệ thống riêng biệt cho application gateway và packet filters làm cho công việc cài đặt đơn giản hơn và dễ quản trị hơn.

Screened subnet firewall, cũng nh screened host firewall có thể trở nên mềm dẻo hơn nhờ việc cho phép các dịch vụ “tin cậy” qua lại giữa Internet và site systems. Tuy nhiên, sự mềm dẻo này có thể lại mở ra cánh cửa đi ngợc lại với chính sách an ninh, và nh thế sẽ làm suy yếu đi tác dụng của Firewall. Trong nhiều trờng hợp, dual-home gateway firewall đợc a chuộng hơn, bởi vì chính sách không thể bị làm suy yếu. (Dual-homed gateway chỉ cho phép các dịch vụ mà cho nó dịch vụ ủy nhiệm tồn tại). Tuy nhiên nếu nh lu lợng chuyển giao và sự mềm dẻo đợc đặt lên trớc thì screened subnet firewall sẽ phù hợp hơn.

Để có thể luân chuyển dịch vụ giữa Internet và các site system trong trờng hợp các site system cần thiết phải làm nh vậy, ngời ta có thể đặt các hệ thống này trực tiếp ở screened subnet. Ví dụ một site không cho phép giao thông của X Windows hay NFS giữa Internet và site systems, có thể đặt hệ thống cần truy cập vào screened subnet. Hệ thống này vẫn duy trì truy cập vào site systems bằng cách kết nối qua application gateway và chỉnh lại router bên trong nếu cần thiết. Đấy không phải là một giải pháp tốt nhất, nhng đó là một sự lựa chọn cho các site đòi hỏi nhu cầu an ninh ở cấp cao.

Screened subnet firewall có hai nhợc điểm. Thứ nhất, firewall không thể thực hiện đợc việc luân chuyển các dịch vụ “tin cậy” xung quanh application gateway, và nh vậy sẽ là vi phạm chính sách. Điều đó cũng đúng cho screened host firewall, tuy nhiên screened subnet firewall có thể cung cấp khả năng đặt các hệ thống có nhu cầu truy cập trực tiếp tới các dịch vụ “tin cậy” vào screened subnet. Với screened host firewall các dịch vụ “tin cậy” đã qua đợc application gateway sẽ đạt tới đợc site system.

Nhợc điểm thứ hai là các router đóng vai trò quan trọng hơn trong việc bảo vệ an ninh, mà theo ta đã biết packet filtering router rất khó cài đặt và lỗi trong khi cài đặt có thể dẫn đến những lỗ hổng an ninh lớn.

Một phần của tài liệu nghiên cứu các vấn đề về kỹ thuật, công nghệ của isp (Trang 72 - 76)

(102 trang)