VII. Giải pháp bảo mật
I.4.4 Firewall dịch địa chỉ
Dịch địa chỉ được phát triển để dùng với 2 lý do: - Nó mở rộng số địa chỉ IP.
- Nó ẩn thiết kế địa chỉ mạng.
Lý do chính mà dịch địa chỉ RFC và địa chỉ riêng được phát triển để đối phó với sự hết dần địa chỉ đã được nhận ra vào giữa 1990.
Dịch địa chỉ nguồn và đích và số cổng trong gói IP hay header segment TCP/UDP. Chức năng của firewall dịch địa chỉ ở tầng 3, 4 của mô hình tham chiếu OSI chỉ trong hình 2-19
Hình 2-19. Firewall dịch địa chỉ và mô hình tham chiếu OSI
Giải thích lý do ẩn thiết kế mạng a. Tiến trình lọc
Hầu hết mọi người cho rằng dịch địa chỉ sử dung để dịch địa chỉ private sang public, bởi vậy, bạn có thể ngạc nhiên cách bạn sử dụng dịch địa chỉ như chức năng bảo mật. Xem hình 2-20 hình là hữu ích của dịch địa chỉ cho bảo vệ mạng. trong ví dụ, hai web server có gán địa chỉ private là 192.16.12.2. bởi vì địa chỉ IP private không thể định tuyến trên mạng công cộng, địa chỉ public phải được kết hợp với 2 thiết bị này và server DNS cần để gửi địa chỉ public trả lời truy vấn DNS cho địa chị của những thiết bị này.
Hình 2-20 ví dụ firewall dịch địa chỉ
ATF định nghĩa nguyên tắc dịch. Lưu lượng heading tới 200.1.1.2 được dịch thành 192.168.11.2 , lưu lượng tới 200.1.1.3 được dịch thành 192,168.12.1. Tiến trình này phục vụ 2 chức năng. Đầu tiên, người ngoài không giải mã cái gì về cấu trúc địa chỉ IP mạng. Người đó chỉ biết rằng 200.1.1.2 và 200.1.1.3 địa chỉ có thể tới được và xuất hiện trên cùng đoạn. Người ngoài không biết rằng những server web này trên 2 đoạn mạng vật lý đằng sau 2 router khác nhau.
Thứ 2, lưu lượng được gửi tới thiết bị khác trong mạng không thể bị hướng tới nó trừ khi nó được dịch, nhớ rằng thiết bị mạng nội bộ của bạn đang sử dụng địa chỉ private. Nếu người ngoài gửi lưu lượng tới địa chỉ 192.168.x.x, nhà cung cấp dịch vụ của anh ta sẽ hủy nó. Nếu người ngoài gửi lưu lượng với địa chỉ public trên nó, chỉ địa chỉ public được liệt kê trong bảng dịch cho phép dịch nơi để dữ liệu có thể hướng tới tài nguyên nội bộ. Ví dụ , không có con đường mà 170.1.1.1 có thể tới được web server C bởi vì không có dịch trong ATF.
Dịch địa chỉ cũng có thể sử dụng để giới hạn lưu lượng rời khỏi mạng. Xem hình 2-20. Trong ví dụ này, nếu web server A gửi dữ liệu tới địa chỉ
170.1.1.1 khi gói được nhận bởi ATF, firewall nhìn bảng dịch của nó và nhìn thấy địa chỉ này được dịch thành 200.1.1.2 và được chuyển tới Internet. Tuy nhiên, có vấn đề nếu web server C cố gửi dữ liệu tới 170.1.1.1 khi ATF nhìn gói những gói này từ web server C, nó nhìn bảng dịch của nó và không tìm thấy cái phù hợp. Ở điểm này, ATF có thể có một trong 2 hành động sau
- Hủy gói - Chuyển gói
Với ATF, bạn xác định giới hạn truy xuất Internet cho những thiết bị mà không được liệt kê trong bảng dịch. Nếu firewall chuyển gói nhưng không thực hiện dịch địa chỉ, nhưng khi những gói này được nhận bởi ISP. Bởi vậy, chúng là địa chỉ private, ISP sẽ hủy chúng.
Lưu lượng heading tới mạng bạn và rời mạng, dịch vụ ATF như điểm điều khiển truy xuất. Như điểm điều khiển, điều khiển ATF lưu lượng thêm và rời bởi chức năng tự nhiên của nó: dịch địa chỉ, bởi vậy, bởi vì lưu lượng phải đi qua thiết bị để vào và ra khỏi mạng , nó trở nên dễ dàng hơn để tập trung chính sách bảo mật cũng như thực hiện.
Hai ví dụ sử dụng dịch địa chỉ mạng đơn giản: dịch một địa chỉ IP sang địa chỉ IP khác. Tuy nhiên, và có thể mở rộng dễ dàng tới bao gồm cổng TCP hay UDP trong tiến trình dịch, cho phép bạn giới hạn dịch cho ứng dụng xác định.
b. Uu điểm của firewall dịch địa chỉ
Ẩn thiết kế địa chỉ mạng.
Điều khiển lưu lượng vào và ra khỏi mạng. Cho phép sử dụng địa chỉ private.
ATF ẩn thiết kế địa chỉ IP. Có thể dễ dàng điều khiển lưu lượng như thêm hay rời khỏi mạng nếu thiết bị nội bộ của bạn sử dụng địa chỉ private.
c. Nhược điểm của firewall dịch địa chỉ
Có độ trễ bởi vì gói bằng tay.
Lưu vết và gỡ rối trở lên khó hơn.
Bởi vì, dịch địa chỉ phải thay đổi địa chỉ IP trong header IP, header check sum phải tính toán lại, nếu địa chỉ cổng dịch được thực hiện trên header segment TCP, hay UDP. Checksum trong những header này phải tính toán lại. Tiến trình trao đổi gói này và nội dung segment, cũng như tính toán lại checksum, nó là tiến trình mạnh và thêm độ trễ cho luồng dữ liệu. Thêm nữa, nhiều kết nối hơn mà bạn định nghĩa trong bảng địa chỉ, xa hơn nó tìm thấy phù hợp và nhiều tiến trình nó duy trì trong bảng.
Thứ 2 với dịch địa chỉ nó chính xác là không phải tất cả các giao thức, hay tất cả khi dịch địa chỉ được thực hiện trên nội dung gói hay segment. Một số ứng dụng gắn thông tin địa chỉ trong dữ liệu của segment TCP và UDP, với kiểu này không được dịch bởi ATF. Điều này tạo ra khả năng đưa ra ứng dụng multimedia và NetBIOS hiển nhiên cho gắn thông tin địa chỉ trong dữ liệu.
Thứ 3, với dịch địa chỉ là double-edged sword. Ẩn sơ đồ địa chỉ, bạn làm mạng bạn bảo mật hơn. Mặt khác, hacker có thể sử dụng điều làm lợi cho họ bởi ẩn thông tin địa chỉ của họ. Bởi vậy, khi bạn đang bị tấn công bởi một hacker, nó trở nên khó hơn cho bạn đề tìm đường ra kẻ phạm tội. Thêm nữa, gỡ rối là tiến trình không dễ khi đối phó với dịch địa chỉ vì bạn phải biết cả địa chỉ IP được gán với một thiết bị trên NIC của nó và địa chỉ nó được dịch khi cố tìm nguồn và đích của kết nối.
d. Ứng dụng của firewall dịch địa chỉ
ATF khác so với những kiểu firewall khác, như firewall gateway application, stateful firewall, packet-filtering. Firewall sau đó lọc lưu lượng dựa trên luật lọc mà bạn định nghĩa, cái có thể xác định. ATF là tiến trình lọc phổ biến bởi vì chúng có thể lọc chỉ thông tin địa chỉ và một số cổng. Bởi vậy, ATF thường được sử dụng trong tình huống sau:
Khi bạn có sơ đồ đánh địa chỉ IP private trong mạng nội bộ. Khi bạn cần phân thành nhiều mạng hơn.
Nếu bạn sử dụng địa chỉ IP riêng, bạn cần sử dụng một số kiểu thiết bị dịch địa chỉ để cho phép lưu lượng vào ra khỏi mạng. ATF cung cấp bảo mật cao khi thực hiện tiến trình này.
ATF cũng có thể phân thành 2 hay nhiều mạng và lưu lượng điều khiển giữa chúng sử dụng dịch địa chỉ dễ dàng. Điều này thường được làm khi dịch địa chỉ được yêu cầu. Ví dụ, một mạng có thể sử dụng để cung cấp địa chỉ private, hay hai mạng có thể sử dụng khoảng địa chỉ overlapping.