Firewall lọc gói

Một phần của tài liệu Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng công thương Hà Nội (Trang 32 - 37)

VII. Giải pháp bảo mật

I.4.1 Firewall lọc gói

Kiểu firewall đơn giản nhất là firewall lọc gói. Firewall lọc gói thường là router mà có khả năng lọc một số nội dung trên gói. Thông tin mà firewall lọc gói có thể nghiên cứu bao gồm thông tin ở tầng 3 thỉnh thoảng là tầng 4, như trong hình 2-5. Ví dụ, Cisco router vơi ACL chuẩn có thể lọc thông tin ở tầng 3, và Cisco router với ACL mở rộng có thể lọc thông tin ở tầng 3, và 4.

Hình 2-5 firewall lọc gói và mô hình tham chiếu OSI

Bởi vì TCP/IP là giao thức truyền thông chuẩn trong thực tế trong mạng ngày nay. Hầu hết firewall lọc gói hỗ trợ ít nhất là giao thức này. Tuy nhiên, firewall lọc gói có thể hỗ trợ thêm giao thức khác, bao gồm IPX, Apple Talk, thông tin địa chỉ MAC tầng 2 và thông tin bridging. Router Cisco với hỗ trợ nhiều giao thức cho chuẩn và ACL mở rộng.

I.4.1.1 Hoạt động lọc

Khi thực hiện lọc gói, luật lọc gói được định nghĩa trên firewall. Những luật này sử dụng để tìm kiếm gói nào có nội dung phù hợp với luật thì cho phép qua còn không thì từ bỏ. Khi lưu lượng bị hủy, hai hành động xảy ra: là thông báo người gửi về dữ liệu bị hủy hoặc bỏ qua mà không có sự thông báo. Đây là điều quan trọng khi thực hiện giải pháp firewall. Với lựa chọn đầu tiên, người dùng biết rằng lưu lượng được lọc bởi firewall. Nếu đây là người sử dụng bên trong cố truy xuất tài nguyên bên trong. Người dùng có thể gọi người quản trị và thảo luận về vấn đề này. Người quản trị sau đó thay đổi nguyên tắc lọc để cho phép người dùng truy xuất nếu người dùng có đặc quyền phù hợp. Nếu firewall lọc gói không gửi trở lại thông điệp, người dùng không có ý kiến hỏi tại sao kết nối không thiết lập và phải tiêu tốn nhiều thời gian hơn để giải quyết vấn đề.

I.4.1.2 Thông tin lọc

Firewall lọc gói có thể lọc với những kiểu thông tin sau: - Địa chỉ nguồn và đích ở tầng 3.

- Thông tin giao thức tầng 3. - Thông tin giao thức ở tầng 4. - Cổng gửi và nhận lưu lượng.

Ví dụ, cisco router sử dụng lọc thông điệp ICMP tầng 3, hay địa chỉ IP nguồn và đích tầng 3 và số cổng TCP tầng 4. bảng 2-2 đưa ra một số thứ mà firewall lọc gói có thể lọc

Hình 2-6. Thông tin lọc gói TCP/IP

Như vậy, có thể sử dụng nhiều thông tin, khi quyết định lọc gói trên firewall lọc gói. Như nghiên cứu bảng lọc mà firewall lọc gói trên router chẳng hạn sử dụng trong hình 2-6. bảng 2-3 chỉ luật lọc gói trên router. Cho rằng những luật này hoạt động trên cổng WAN kết nối tới Internet như lưu lượng đến cổng.

Bảng 2-3 Bảng lọc gói

I.4.1.3 Những điểm thuận lợi của lọc gói

Firewall lọc gói có hai thuận lợi chính:

- Chúng dễ dàng phù hợp trên hầu hết các trường ở gói tầng 3 và header segment tầng 4, cung cấp nhiều mềm dẻo trong chính sách bảo mật.

Bởi vì firewall lọc gói chỉ nghiên cứu thông tin tầng 3, và 4, nhiều sản phẩm định tuyến hỗ trợ kiểu lọc gói này, điều này bao gồm router Cisco với sử dụng chuẩn và mở rộng ACLs. Phụ thuộc mô hình router mà bạn mua, bạn có thể so sánh với lọc của bạn tới tốc độ rất cao.

Bởi vì router thường ở vành đai của mạng, cung cấp truy xuất MAN, WAN, bạn có thể sử dụng lọc gói để cung cấp thêm một lớp bảo mật. Những router này thường được gọi là router vành đai hay router ranh giới, và chúng được chỉ ra ở hình 2-6. thậm chí với lọc tầng 3 và 4 đơn giản. Firewall lọc gói có thể cung cấp bảo vệ chống lại nhiều kiểu tấn công, bao gồm những kiểu tấn công từ chối dịch vụ DoS, và có thể lọc những luồng không cần thiết và không mong muốn. Điều này cho phép firewall nội bộ đối phó với kiểu đe dọa khác và tấn công khác mà firewall lọc gói không thể tìm thấy hay đối phó.

I.4.1.4 Hạn chế của firewall lọc gói

Mặc dù với những điểm thuận lợi, firewall lọc gói có những điểm không thuận lợi:

- Chúng cấu hình phức tạp

- Không ngăn cản tấn công tầng ứng dụng

- Chúng dễ bị ảnh hưởng bởi những kiểu tấn công giao thức TCP/IP - Chúng không hỗ trợ xác thực kết nối người dùng

- Chúng giới hạn khả năng logging

Một điểm không thuận lợi của firewall lọc gói bao gồm tạo và duy trì luật thiết lập. Như TCP/IP, bạn phải làm quen với hoạt động của giao thức TCP/IP khác nhau và những trường trong header của chúng, bao gồm IP, TCP, UDP, ICMP. Không biết điều này, bạn vô tình có thể block đường tuyền mà bạn tưởng là cho phép, hay cho phép đường truyền mà tưởng là block. Cũng với tình huống đó, nếu không quan tâm tới cấu hình của bạn, bạn có thể tạo nhiều vấn đề cho

bản thân. Cộng vào, một số thay đổi mà bạn thật sự phải làm để hoàn toàn kiểm tra để đảm bảo cấu hình thích hợp.

Firewall lọc gói không thể ngăn cản tất cả các kiểu tấn công, ví dụ, bạn có thể cho phép đường truyền tới cổng 80 tới web server xác định trong mạng. Làm điều này, firewall lọc gói nghiên cứu gói ở địa chỉ đích trên tầng 3 và số cổng đích. Nếu phù hợp, firewall lọc gói cho phép truyền. Một vấn đề tiến đến firewall lọc gói không nghiên cứu nội dung thực sự của kết nối HTTP. Một trong những phương thức phổ biến nhất của hacking trong mạng là tìm thấy ưu thế ở những điểm yếu được tìm thấy trên web server. Firewall lọc gói không thể tìm thấy những tấn công này bởi vì chúng xảy ra qua kết nối TCP mà được cho phép.

Cũng như thế, firewall lọc gói không thể tìm thấy và ngăn cản tấn công giao thức TCP/IP, như làm lụt TCP SYN và spoofing ip. Nếu firewall lọc gói cho phép lưu lượng tới web server nội bộ, nó không quan tâm loại lưu lượng là gì. Hacker có thể có những thuận lợi và làm lụt web server với TCP SYN ở cổng 80. Ví dụ khác, firewall lọc gói không thể tìm thấy tất cả các tấn công giả mạo IP. Nếu bạn cho phép truyền từ mạng ngoài như 201.1.1.0/24, firewall lọc gói chỉ kiểm tra địa chỉ nguồn IP trên gói, nó không thể tìm địa chỉ nguồn thực hay đích thực của gói. Hacker có thể có lợi dụng những điểm này để thực hiện tấn công DoS chống lại mạng nội bộ bởi làm lụt nó với lưu lượng cho phép từ địa chỉ nguồn cho phép.

Có 2 phương thức tấn công, bao gồm giả mạo IP và DoS, thông thường có thể đối phó bởi xác thực lưu lượng từng luồng riêng lẻ trước khi cho nó qua firewall. Thật không may, firewall lọc gói chỉ kiểm tra thông tin tầng 3 và 4. Hành động xác thực yêu cầu firewall xử lý thông tin xác thực, mà xử lý ở tầng 7. Cuối cùng, firewall lọc gói thường hỗ trợ chức năng logging. Tuy nhiên, chức năng logging bị giới hạn chỉ với thông tin ở tầng 3, và 4. Nếu một ai đó đang thực hiện một kiểu tấn công web server nào đó trên cổng 80 và bạn đang đóng cổng 80, firewall lọc gói có thể log hành động deny, nhưng, không may, firewall không thể log dữ liệu tầng ứng dụng đã được đóng gói trên segment transport

HTTP. Bởi vậy, nếu bạn là người quản trị, biết ai đó cố gắng truy xuất tới cổng 80 trên server, nhưng bạn không biết được người đó đang cố làm cái gì?

I.4.1.5 Firewall lọc gói dùng để làm gì

- Như hàng phòng thủ đầu tiên , router vành đai.

- Khi chính sách bảo mật có thể được thực hiện hoàn chỉnh với lọc gói và không thực hiện xác thực.

- Trong mạng SOHO mà yêu cầu bảo mật nhỏ và liên quan về giá Nhiều công ty sử dụng firewall lọc gói như hàng rào phòng thủ đầu tiên, với một số kiểu firewall chức năng đầy đủ đằng sau nó cung cấp bảo mật thêm vào. Như Cisco PIX firewall

Nhiều mạng SOHO thuê những firewall lọc gói bởi vì sự đơn giản và giá khi so sánh với những firewall khác. SOHO được thích hợp với bảo mật cơ bản ở lý do giá. Bạn phải nhận ra, firewall lọc gói không cung cấp bảo mật hoàn chỉnh cho SOHO, nhưng chúng cung cấp cấp độ bảo mật tối thiểu để tránh khỏi tấn công và nhiều kiểu đe dọa mạng.

Một phần của tài liệu Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng công thương Hà Nội (Trang 32 - 37)

Tải bản đầy đủ (PDF)

(100 trang)