Trong mọi hoàn cảnh thì con người vẫn là yếu tố quyết định cho sự thành công của chiến lược chung và trong công tác bảo mật cũng không nằm ngoài quy luật đó. Con người ở đây ý nói tới toàn bộ nhân viên của tổ chức doanh nghiệp, bất kì ai cũng phải ý thức được trách nhiệm của mình đối với an ninh cho hệ thống thông tin của công ty ,và nghiêm túc thực hiện những chính sách (Policies) chung của công ty đề ra. Sau đây là một số chính sách chung điển hình trong môi trường doanh nghiệp:
• Xác định các tài nguyên và thành phần cần bảo vệ.
• Phân tích các mối đe dọa có thể dẫn tới mất an toàn về thông tin.
• Phân tích cụ thể về mức độ và yêu cầu bảo mật đối với từng thành phần. • Lên kế hoạch tổng thể cho việc thực hiện an ninh mạng.
• Định nghĩa các chính sách về bảo mật.
• Lên kế hoạch cho việc áp dụng các chính sách bảo mật trong toàn ngân hàng.
• Thực hiện chính sách đối với người dùng, lãnh đạo và các nhân viên kỹ thuật.
• Đào tạo cho người dùng, lãnh đạo và các nhân viên kỹ thuật.
• Triển khai về phương diện kỹ thuật và thực hiện các quá trình bảo mật theo kế hoạch.
• Thử nghiệm và cập nhật các lỗi nếu có những vấn đề tồn tại.
• Tiến hành các quá trình ghi lại thông tin, đọc các thông tin, các cảnh báo để tiếp tục cập nhật và thay đổi các chính sách bảo mật cho phù hợp và lặp lại các bước để đưa các chính sách mới vào hoạt động. Vì các phương thức tấn công và mối đe dọa đối với hệ thống liên tục thay đổi theo thời gian cho nên đây là công việc liên tục và thường xuyên.
Trên đây là một số phương pháp bảo mật cơ bản nhất và hiệu quả nhất hiện đang được sử dụng rất rộng rãi trong mô hình truyền thông trên mạng. Mỗi phương pháp đều có những ưu nhược điểm khác nhau như sử dụng tường lửa thì có thể ngăn chặn được truy nhập bất hợp pháp với tốc độ tốt và hiệu năng cao. Tuy nhiên nó lại không thể ngăn chặn được các dữ liệu không đi qua firewall , không giám sát được các dữ liệu được mã hóa và không ngăn chặn được các dạng tấn công mới. Còn sử dụng IDS và IPS thì có thể nhận dạng được các loại tấn công mới dựa trên dấu hiệu hoạt động bất thường của hệ thống và có khả năng nhận ra được các cuộc tấn công từ bên trong tuy nhiên lại gặp phải vấn đề về hiệu năng và tỉ lệ cảnh báo sai là khá cao…Nhìn khái quát trong một bức tranh tổng thể thì mỗi phương pháp giữ một vai trò khác nhau ở các vị trí và nhiệm vụ khác nhau. Thông thường trong hệ thống thông tin của tổ chức cần phải sử dụng kết hợp hài hòa, hợp lý tùy theo nhu cầu bảo mật và khả năng tài chính của tổ chức đó.
CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG
Như đã nói ở trên, việc sử dụng công nghệ bức tường lửa là một trong những phương pháp bảo mật được sử dụng rộng rãi nhất hiện nay. Vậy bức tường lửa là gì? được xây dựng dựa trên kĩ thuật gì, ứng dụng thực tế như thế nào…sẽ được nghiên cứu kĩ trong phần này. Để thuận tiện hơn cho việc diễn đạt, từ phần này tôi sẽ sử dụng thuật ngữ “firewall’ thay cho “bức tường lửa”.
Chương I
CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL 1.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL
Công nghệ Firewall bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên toàn cầu. Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm 1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và NASA Ames." Con virus được biết đến với tên Sâu Morris này đã được phát tán qua thư điện tử và khi đó đã là một sự khó chịu chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng Internet có thể trở lại an toàn.
Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết đến với tên các tường lửa lọc gói tin(packet filtering firewall ). Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật an toàn mạng được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biết đến với tên các tường lửa tầng mạch (circuit level firewall). Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm AT&T và
Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng
(application layer firewall), hay tường lửa dựa proxy (proxy-based firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiên. Sản phẩm này đã được Digital Equipment Corporation's (DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho một công ty hóa chất tại bờ biển phía Đông của Mỹ.
Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc gói tin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến trúc của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette DeSchon tại Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Năm 1994, một công ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. Một thế hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được cải tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng rộng rãi trong cả các hệ thống máy tính gia đình và thương mại. Cisco, một trong những công ty sản xuất thiết bị mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm 1997.
Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập.
1.2. ĐỊNH NGHĨA FIREWALL
Firewall theo tiếng việt có nghĩa là Bức Tường lửa . Dùng để ngặn chặn và bảo vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker. Firewall là một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của công ty.
Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet
Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” của bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ .Vì vậy mà Firewall rất cần thiết cho việc đảm bảo an toàn trên hệ thống mạng
1.3. PHÂN LOẠI FIREWALL 1.3.1. Firewall phần mềm: 1.3.1. Firewall phần mềm:
Là các ứng dụng chạy trên các hệ điều hành như Microsoft Window hay Mac/OS
, đối với window XP đã được tích hợp sẵn. Firewall phần mềm thường không đắt tiền bằng phần cứng thậm chí còn được cho sử dụng miễn phí, so với Firewall phần cứng thì Firewall phần mềm linh động hơn nó có thể chạy tốt trên nhiều Hệ Điều Hành khác nhau. Một trong những Firewall phần mềm phổ biến là Zonealarm, ISA, Checkpoint…
1.3.2. Firewall phần cứng:
Là các thiết bị phần cứng chuyên dụng có chức năng và mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn do không chiếm dụng tài nguyên hệ thống như Firewall phần mềm. Một trong những hãng chuyên cung cấp Firewall phần cứng là Linkksys và NetGar. Các sản phẩm firewall cứng được sử dụng rộng rãi hiện nay là dòng ASA, PIX của Cisco System và Netscreen của Juniper
1.4. CHỨC NĂNG CỦA FIREWALL
Firewall thực hiện 3 chức năng điều khiển truy nhập (Access control), quản lý xác thực (Authentication) và ghi nhật ký truy nhập (activity logging).
1.4.1. Điều khiển truy nhập (Access Control)
Như ở trên đã giới thiệu có hai loại tường lửa với 2 cách điều khiển truy nhập khác nhau là quy chế bộ lọc gói (packet filter) và chính sách người đại diện ứng dụng (proxy server)
1.4.1.1. Vị trí xảy ra quá trình xử lý gói
Để hiểu được firewall hoạt động như thế nào thì trước hết hãy quan tâm đến
đường đi của các gói tin sẽ dẫn đến firewall đó. Có 3 đường dẫn phổ biến mà một gói tin có thể đi qua tùy thuộc vào dạng tường lửa được cài đặt. Một gói tin có thể vựợt qua một tường lửa ở mức tầng ứng dụng, ở mức nhân hệ điều hành hoặc là mức card giao tiếp mạng. Hầu hết các tường lửa đều kiểm soát và cho phép các gói đi qua 3 mức này.
Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức
Để có được tốc độ xử lý cao hơn ở các router, bộ lọc gói được thiết lập trên phần mở rộng của thiết bị trên card giao tiếp mạng với một bộ xử lý đặc biệt tối ưu quá trình xử lý các gói. Để lưu chứa ở đây với tốc độ cao bộ xử lý trên card giao tiếp mạng chỉ hỗ trợ những luật xử lý đơn giản như các phép so sánh nhị phân. Những dịch vụ khác không được hỗ trợ ở đây.
Những router và những trạm luân chuyển gói khác thì quá trình lọc các gói tin thường diễn ra ở mức nhân hệ điều hành hơn là mức card giao tiếp mạng. Thông thường quá trình lọc được thực thi trên các bộ xử lý chuyên dụng cho phép tường lửa có thể thực hiện quá trình lọc và kiểm định một cách chuẩn xác, tinh xảo hơn là trên các card giao tiếp mạng tích hợp tính lọc. Hơn nữa quá trình xử lý các gói tại mức nhân hệ điều hành nhanh hơn ở mức tầng ứng dụng bởi vì quá trình lập lịch và tràn bộ nhớ được tránh. Tuy nhiên quá trình xử lý nhân thường đòi hỏi tất cả các thông tin cần thiết cho việc lọc gói phải được chứa trong bộ nhớ thay vì trên đĩa. Một gói phải được xử lý và được cho qua mà không cần phải đợi trên đĩa điều này sẽ làm hạn chế các dạng gói và số lượng các gói được xử lý ở mức này.
Quá trình xử lý ở mức tầng ứng dụng có thể cung cấp một chính sách an ninh tốt nhất. Mức ứng dụng có thể truy cập đến tất cả các tài nguyên hệ thống bao gồm đĩa, card mạng, bộ nhớ, thư viện các chương trình và cả những tiến trình khác. Tầng ứng dụng là tầng trên cùng trong cấu trúc phân tầng của giao thức mạng do đó nó không bị giới hạn bởi các tầng thấp hơn nó.
1.4.1.2. Hoạt động lọc gói (Packet Filtering)
Hoạt động lọc các gói có thể diễn ra ở một trong 3 mức xử lý gói như trên đã trình bày nhưng nó thường được hỗ trợ ở mức card giao tiếp mạng hoặc mức nhân hệ điều hành. Một bộ lọc gói sẽ căn cứ vào phần địa chỉ IP chứa trong gói tin để quyết định xem gói đó có được cho phép vượt qua hay bị chặn lại. Gói được cho qua sẽ được chuyển đến trạm đích hoặc router tiếp theo. Gói bị chặn lại sẽ bị loại bỏ.
1.4.1.3. Luật lọc ( Filtering Rules)
Bộ lọc sẽ kiểm tra 5 mảng thông tin trong khối IP ở phần đầu của gói tin các thông tin đó bao gồm :
Field Perpose
Source IP address Địa chỉ IP của trạm nguồn gửi gói tin
Destination IP address Địa chỉ IP của trạm đích gói tin sẽ đi tới
Upper Level Protocol Đó là TCP hoặc UDP
TCP or UDP source port number Số hiệu cổng của trạm nguồn gửi gói ra TCP or UDP destination port number Số hiệu cổng của trạm đích sẽ nhận gói tin
Hình 2.3. Các thông tin được sử dụng trong luật lọc của gói tin IP
Khi có được các thông tin trên của các gói, bộ lọc sẽ so sánh chúng với một tập hợp các luật để đưa ra quyết định. Một luật lọc là sự kết hợp một giá trị hoặc miền giá trị của mỗi trường thông tin trên và quyết định sẽ được đưa ra nếu tất cả các thông tin của gói được so khớp với các thông tin của các luật. Một bộ lọc gói sẽ thực hiện việc kiểm tra sự hợp lệ của các gói rất đơn giản và rất nhanh chỉ bằng các phép so sánh nhị phân. Quyết định (cho phép hoặc cấm) sẽ được đưa ra ngay sau khi bộ lọc tìm thấy một luật nào đó hoàn toàn so khớp với thông tin mà nó có được về gói tin, do đó trật tự sắp xếp các luật cũng rất quan trọng nó góp phần làm cho quá trình lọc được nhanh hơn.
Có một điều đáng quan tâm ở đây đó là danh sách luật là hữu hạn và ta không thể lường hết được các tình huống để đưa ra tất cả các luật được vì vậy phải có một luật mặc định ở đây để nếu như khi xem xét hết tất cả các luật trong danh sách luật rồi mà bộ lọc vẫn không thể đưa ra được quyết định thì luật mặc định này sẽ giúp bộ lọc đưa ra quyết định. Có 2 ý tưởng chủ đạo trong việc tạo ra luật mặc định này đó là hoặc là từ chối tất cả hoặc chấp nhận tất cả, có nghĩa là tất cả các gói có thông tin không thoả mãn tập luật thì bị từ chối cho qua hoặc chấp nhận cho qua hết.
1.4.1.4. Hoạt động của tường lửa người đại diện ứng dụng ( Proxy Application)
Hình 2.4. Hoạt dộng của người đại diện ứng dụng
Người sử dụng trước hết phải thiết lập một kết nối đến người đại diện ứng dụng trên tường lửa (1). Đại diện ứng dụng này sẽ tập hợp các thông tin liên quan đến mối liên kết và yêu cầu của người sử dụng ( 2). Tường lửa sẽ sử dụng thông tin này để quyết định liệu yêu cầu có được cho phép thực thi hay không. Nếu yêu cầu từ phía người dùng là thoả đáng thì người đại diện trên tường lửa sẽ tạo một kết nối khác từ tường lửa đến đích dự kiến (3). Sau đó người đại diện sẽ đóng vai trò như một con thoi để truyền tải dữ liệu giữa 2 mối kết nối (4 )
Có 2 điểm cần lưu ý ở đây là:
– Thứ nhất, kết nối đầu tiên phải được thiết lập đến người đại diện trên tường lửa thay vì nối trực tiếp đến trạm mong muôn kết nối.
– Thứ hai, người đại diên trên tường lửa phải có được địa chỉ IP của trạm đích. Trước khi người sử dụng hoặc một ứng dụng nào đó muốn kết nối đến người đại diên ứng dụng thì phải thiết lập kết nối đến tường lửa, kết nối này phải sử dụngphương