Nó được nối trực tiếp đến một hệ riêng biệt trên mạng – proxy server hay gateway mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này. Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập.
Chương 3
NGUYÊN TẮC HOẠT ĐỘNG CỦA CÁC LOẠI FIREWALL 3.1. HOẠT ĐỘNG CỦA FIREWALL “MỀM”
Như đã nói trong chương 1 của phần này, Firewall “mềm” là các ứng dụng có tính chất điều khiển lưu thông giữa các mạng hay giữa 1 hệ thống với Internet. Một trong những firewall mềm đơn giản và được sử dụng rộng rãi hiện nay là ISA Server 2004. Các sản phẩm firewall mềm khác đều có những đặc điểm hoạt động chung nhất tương tự như ISA và phần này tôi sẽ giới thiệu chi tiết về phần mềm này là một điển hình của firewall mềm:
Đặc điểm của ISA Server 2006
Các đặc điểm của ISA Server 2006 là:
- Cung cấp tính năng Multi – Networking: Kĩ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con, … Unique per – network policies: đặc điểm của multi – networking được cung cấp trong ISA cho phép bảo vệ hệ thống mạng cục bộ bằng cách giới hạn truy xuất của các Client ra bên ngoài Internet, chỉ cho phép các Client bên ngoài truy xuất các server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất vào mạng nội bộ.
o Stateful inspection of all traffic: cho phép giám sát tất cả các lưu lượng mạng.
o NAT and Route network relationships: Cung cấp kĩ thuật NAT và định tuyến dữ liệu cho các mạng con.
o Network template: Cung cấp các mô hình mẫu về một số kiến trúc mạng, kèm theo một số luật cần thiết cho các network template tương ứng.
- Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN Network) và các truy cập từ xa, ghi nhận log, quản lý session cho từng VPN Server, thiết lập chính sách truy
cập cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác.
- Cung cấp một số kĩ thuật bảo mật và thiết lập tường lửa cho hệ thống như Authentication, Publish Server.
- Cung cấp một số kĩ thuật Cache thông minh để tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web Proxy để chia sẻ cung cấp Web.
- Cung cấp một số tính năng quản lý như: giám sát lưu lượng, reporting qua Web, export và import cấu hình từ XML,…
Application Layer – Filtering (ALF): là một trong những đặc điểm mạnh của
ISA Server 2006, không giống như packet filtering firewall truyền thống, ISA 2006 có thể thao tác sâu hơn như có thể lọc gói tin trong tầng ứng dụng.
3.2. HOẠT ĐỘNG CỦA FIREWALL “CỨNG”3.2.1. Cơ chế lọc gói tin (packet filtering) 3.2.1. Cơ chế lọc gói tin (packet filtering)
Cơ chế lọc gói tin của firewall cứng như dòng ASA, PIX của CISCO dựa trên hoạt động của Access Control List (ACL) hay còn gọi là danh sách điều khiển truy nhập. Vậy nguyên tắc hoạt động của ACL như thế nào.
ACL định nghĩa ra các luật được sử dụng để ngăn chặn các gói tin lưu thông trên mạng. Một ACL là tập hợp của nhiều câu lệnh (statements) liên tiếp dùng để so sánh với các thông tin điều khiển trong trường header của gói tin IP, thông qua đó mà thiết bi firewall thực hiện một trong 2 hành vi là chặn gói tin lại hoặc cho phép đi qua.
Danh sách điều khiển truy nhập IP (IP access control lists) khiến bộ định tuyến hủy bỏ những gói tin dựa trên những tiêu chí đặt ra của người quản trị mạng. Mục đích là để ngăn chặn những lưu lượng không được phép lưu thông trên mạng đó có thể là ngăn chặn kẻ phá hoại tấn công vào mạng nội bộ của công ty hay chỉ đơn giản là người sử dụng truy nhập vào tài nguyên hệ thống mà họ không nên và không được phép vào. ACL luôn đóng vai trò quan trọng trong chiến lược kiểm soát an ninh của công ty.
3.2.2. Một số đặc điểm ACL:
- Gói tin có thể bị lọc khi chúng đi vào hoặc đi vào một cổng, trước khi được định tuyến.
- Gói tin có thể bị lọc khi chúng đi ra khỏi một cổng, sau khi được định tuyến. - Từ chối (Deny) là một thuật ngữ dùng để nói rằng gói tin bị chặn lại hay bị lọc
(filtered), còn cho phép (Permit) thì có nghĩa là gói tin không bị lọc mà được phép đi qua.
- Các logic lọc hay thứ tự của các luật lọc được cấu hình trong các danh sách điều khiển truy nhập (ACLs).
- Kết thúc mỗi ACL nếu các lưu lượng đi qua không thỏa mãn một điều kiện nào trong các logic của ACL thì tất cả sẽ bị từ chối tức là sẽ không được phép đi qua cổng đó.
3.2.3. Phân loại ACL
Có 2 loại ACL cơ bản: danh sách điều khiển truy nhập cơ bản và danh sách điều khiển truy nhập mở rộng (Standard ACL và Extended ACL). Standard ACL có cấu trúc đơn giản dễ thực hiện trong khi đó Extended ACL cócấu trúc phức tạp và khó thực hiện hơn.
3.2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control Lists) Lists)
Chỉ có ngăn chặn gói tin dựa trên thông tin về địa chỉ IP đích (IP source address) trong trường header của gói tin IP. (adsbygoogle = window.adsbygoogle || []).push({});
Hoạt động của standard ACL như sau, giả sử là ACL được đặt trên Router 1 với cổng vào của lưu lượng là cổng S1 còn cổng ra là cổng E0.
1. Khi gói tin IP vào cổng S1, địa chỉ IP nguồn của gói tin đó sẽ được so sánh với các luật đặt ra trong câu lệnh ACL, liệu rằng ứng với địa chỉ nguồn đó thì gói tin sẽ được phép đi qua hay chặn lại.
2. Nếu có một gói tin nào đó thỏa mãn (phù hợp) điều kiện của một cây lệnh được định nghĩa trong ACL, thì gói tin sẽ được cho phép đi qua hoặc bị chặn lại.
3. Nếu không có một sự phù hợp nào xảy ra ở bước 2 thì, lại quay trở lại bước 1 và 2 cho đến khi tìm được một điều kiện thỏa mãn.
4. Nếu kiểm tra xong với tất cả các câu lệnh mà vẫn không thỏa mãn với một điều kiện nào thì gói tin đó sẽ bị từ chối (deny).
3.2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists) Lists)
Extended ACL vừa có những điểm tương tự vừa khác so với Standard ACL. Cũng như Standard ACL, bạn có thể cho phép áp đặt Extended ACL lên cổng theo chiều đi vào hoặc đi ra của gói tin. IOS của firewall cũng so sánh gói tin với các lệnh theo thứ tự lần lượt của các câu lệnh đó. Nếu câu lệnh đầu tiên mà thỏa mãn thì nó sẽ dừng việc so sánh với các lệnh còn lại ở trong list và xác định ngay hành động cần tiến hành với gói tin đó. Tất cả các tính năng này cũng đều giống với cách xử sự của Standard ACL.
Điểm khác nhau chủ yếu giữa 2 loại này là extended ACL có thể sử dụng nhiều thông tin điều khiển trong trường header để so sánh hơn là standard ACL. Standard ACL chỉ kiểm tra được địa chỉ IP nguồn thì Extended còn sử dụng được thêm cả địa chỉ IP đích, địa chỉ cổng, loại ứng dụng, địa chỉ MAC, loại giao thức…Điều này làm cho Extended ACL có thể kiểm tra và lọc được nhiều lưu lượng với độ chính xác và an toàn cao hơn. Tuy nhiên nó cũng khó thực hiện hơn vì phức tạp hơn Standard ACL rất nhiều.
Loại ACL Các tham số có thể so sánh Standard ACL và Extandard ACL Địa chỉ IP nguồn
Phần địa chỉ IP nguồn sử dụng wildcard mark chỉ ra địa chỉ mạng nguồn.
Extandard ACL Địa chỉ IP đích
Phần địa chỉ IP đích sử dụng wildcard mark chỉ ra địa chỉ mạng đích
Loại giao thức (TCP, UDP, ICMP, IGRP, IGMP, và các giao thức khác) Cổng nguồn
Cổng đích
All TCP flows except the first IP TOS
IP precedence (quyền ưu tiên) Một số ví dụ về Extended ACL và logic thực hiện của nó
Câu lệnh ACL Điều kiện thỏa mãn
access-list 101 deny ip any host 10.1.1.1
Từ chối tất cả các gói tin IP có địa chỉ nguồn bất kì đi đến máy có địa chỉ là 10.1.1.1
access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23
Từ chối bất kì gói tin đóng gói TCP có địa chỉ IP đích bất kì nhưng địa chỉ cổng lớn hơn 1023 đi đến máy
10.1.1.1 trên cổng 23. access-list 101 deny tcp any host
10.1.1.1 eq 23
Từ chối bất kì gói tin chạy giao thức TCP đi đến máy có địa chỉ 10.1.1.1 trên cổng 23
access-list 101 deny tcp any host 10.1.1.1 eq telnet
Từ chối bất kì gói tin chạy TCP telnet vào máy có địa chỉ 10.1.1.1
access-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 any
Từ chối bất kì gói tin chạy giao thức UDP xuất phát từ mạng 1.0.0.0/24 với
địa chỉ cổng nguồn nhỏ hơn 1023 đi đến bất kì đâu
3.2.4. Ứng dụng ACL (adsbygoogle = window.adsbygoogle || []).push({});
Các phần mềm IOS trong các thiết bị định tuyến hay firewall cứng áp đặt các logic lọc của ACL khi các gói tin đi vào hoặc đi ra một cổng nào đó trên thiết bị đó. Hay nói cách khác, IOS liên kết một IOS với một cổng và dành riêng cho những lưu lượng vào hay ra trên cổng đó. Sau khi chọn được bộ định tuyến hay firewall mà ta muốn đặt ACL tiếp đó phải chọn cổng, cũng như chiều các gói tin đi ra hay đi vào cổng để áp logic lọc vào đó.
Hình 2.11. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau
Cấu hình mặc định của các thiết bị firewall là đối với cổng có chiều đi vào thì mức an toàn là 100 (đó là mức an toàn cao nhất), còn cổng có chiều đi ra thì mức an toàn là 0 (mức an toàn kém nhất ). Không có gì an toàn bằng mạng nội bộ và cũng không có gì kém an toàn hơn là mạng phía ngoài. Sau khi cấu hình cơ chế phiên dịch địa chỉ, thì mặc định tất cả các giao tiếp theo hướng đi ra còn theo chiều từ nơi có mức an toàn hơn ra đến nơi có mức an toàn kém hơn còn tất cả các lưu lượng từ nơi có mức an toàn kém hơn đi đến nơi có mức an toàn cao hơn thì đều bị cấm.
Quy tắc xử sự của ACL dựa trên một cổng theo 1 chiều, tức là ứng với một cổng theo chiều đi ra hoặc đi vào thì áp được 1 ACL.
ACL trên cổng cho phép hoặc từ chối gói tin khởi tạo theo chiều đi vào hay đi ra trên cổng đó.
ACL chỉ cần mô tả gói tin khởi tạo của ứng dụng; không cần biết đến các gói tin quay trở lại của ứng dụng đó, điều này dựa trên cơ sỏ của cơ chế bắt tay 3 bước.
Nếu không có một ACL nào được áp lên một cổng của firewall thì ở cổng đó sẽ áp dụng chính sách mặc định là:
• Các gói tin đi ra được cho phép • Các gói tin đi vào bị cấm
• ACL sử dụng câu lệnh “ access-list” để cho phép hoặc chặn lưu lượng trên mạng. Sau đây là những quy tắc để thiết kế và thực hiện các ACL
Khi lưu lượng đi từ vùng có độ an toàn cao hơn sang vùng có độ an toàn thấp hơn thì: • ACL được dùng để ngăn chặn lưu lượng có chiều đi ra (outbound traffic) • Địa chỉ nguồn dùng để so sánh của ACL phải là địa chỉ thực của 1 máy trạm ở trên mạng
Khi đi từ nơi có mức an toàn thấp hơn sang nơi có mức an toàn cao hơn thì: • ACL sẽ chặn các lưu thông có chiều đi vào (inbound traffic)
• Địa chỉ đích dùng để so sánh của câu lệnh ACL phải là địa chỉ được phiên dịch thành địa chỉ IP global tức là địa chỉ có thể sử dụng trên mạng trên Internet.
Có một điều lưu ý là: ACL luôn luôn được kiểm tra trước khi thực hiện quá trình phiên dịch địa chỉ trên các thiết bị firewall.
Hoạt động của lưu lượng HTTP đi vào vùng đệm DMZ
Trên hình vẽ người quản trị mạng cần cho phép người sử dụng trên mạng Internet truy cập vào các máy chủ Web công cộng của công ty. Máy chủ Web đó được đặt trên vùng DMZ được ngăn cách với các vùng còn lại trên mạng cục bộ bởi firewall. Theo cấu hình mặc định thì tất cả các truy nhập từ Internet vào các máy chủ trên vùng này đều bị từ chối. Để cấp quyền truy nhập cho người sử dụng trên Internet, người quản trị phải thực hiện 1 số bước sau:
• Cấu hình phiên dịch địa chỉ tĩnh cho các máy chủ Web, theo cách này thì địa chỉ thật của các máy chủ Web sẽ không bị nhìn thấy từ phía người sử dụng trên Internet.
• Cấu hình một ACL theo hướng đi vào để cho nó cấp quyền truy nhập vào các máy trạm hay các giao thức nào đó của mạng nội bộ.
• Áp ACL lên các cổng thích hợp
Cơ chế phiên dịch địa chỉ NAT (Network Address Translation)
Ra đời vào năm 1994, NAT đã trở thành một kĩ thuật phổ biến để tiết kiệm địa chỉ cho các trụ sở văn phòng và cũng là cách để dấu đi topo mạng của mình khi nhìn từ Internet. Francis and Egevang đã đưa ra một số khuyến nghị sử dụng về NAT (Request For Comments about NAT) .
Ngày nay NAT là công cụ chủ đạo để làm dịu đi sự thiếu thốn địa chỉ IP trên mạng Internet. Thông thường thì mạng nội bộ sử dụng các nhóm địa chỉ IP được định nghĩa trong RFC 1918. Vì các địa chỉ này được chỉ định dùng cho mục đích nội bộ hay là các địa chỉ dùng riêng, NAT được đặt ra để thỏa mãn nhu cầu kết nối trên Internet. Đôi lúc NAT được dùng để dành các địa chỉ nội bộ cho doanh nghiệp ví dụ để phòng khi thay đổi nhà cung cấp Internet.
NAT cho phép ngăn chặn các mạng phía bên ngoài không học được địa chỉ IP trong mạng nội bộ nằm ở phía sau firewall. NAT làm được điều này bằng cách phiên dịch những địa chỉ IP không có duy nhất trên mạng Internet (địa chỉ IP cục bộ ) thành các địa chỉ duy nhất (địa chỉ Global) được chấp nhận trên Internet trước khi các gói tin
Hình 2.13 . Quá trình phiên dich địa chỉ
Khi một gói tin IP được gửi từ một thiết bị ở mạng bên trong đi ra phía ngoài thì nó sẽ phải đi qua firewall được cấu hình để phiên dịch địa chỉ NAT. Nếu như địa chỉ của thiết bị không có sẵn trong bảng thì nó sẽ được phiên dịch. Một bản ghi mới sẽ được tạo ra cho thiết bị này và nó được gán một địa chỉ IP nằm trong 1 dải địa chỉ IP được ánh xạ (gọi là Pool). Pool địa chỉ ánh xạ này là những địa chỉ global. Sau khi quá trình phiên dịch diễn ra thì bảng chuyển đổi địa chỉ sẽ được cập nhật và các gói tin IP được chuyển đổi địa chỉ sẽ được chuyển đi. Trong suốt khoảng thời gian chờ cho phép thường mặc định là 3 giờ (userconfigurable timeout period) mà không có có gói tin nào được phiên dịch cho địa chỉ IP đó thì bản ghi đó sẽ bị xóa đi khỏi bảng và địa chỉ dùng để ánh xạ sẽ lại được để trống chờ cho một thiết bị nào đó từ phía trong đi ra ngoài.
Trong hình vẽ host 10.0.0.11 khởi tạo kết nối ra bên ngoài. Firewall phiên dịch địa chỉ nguồn thành 192.168.0.20. Các gói tin từ host 10.0.0.11 được từ phía ngoài vào với địa chỉ nguồn là 192.168.0.20. các gói tin trả lời lại host đó từ máy chủ phía bên ngoài tại địa chỉ 192.168.10.11 được đánh địa chỉ ánh xạ là 192.168.0.20.
3.3. Cấu hình NAT
3.3.1. Cấu hình NAT trên nhiều cổng
Hình 2.14 . Cấu hình NAT trên nhiều cổng
Khi cấu hình trên nhiều cổng, có 1 điều cần nhớ là mức độ bảo mật chỉ rõ xem là
(adsbygoogle = window.adsbygoogle || []).push({});