2.1. Tường lửa
Tường lửa (firewall) là hệ thống gồm cả phần cứng và phần mềm làm nhiệm vụ ngăn chặn các truy nhập "không mong muốn" từ trong ra bên ngoài hoặc từ bên ngoài vào trong. Tường lửa thường được đặt ở cổng giao tiếp giữa hai hệ thống mạng, ví dụ giữa mạng trong nước và mạng quốc tế, giữa mạng nội bộ của doanh nghiệp và mạng Internet công cộng v.v... để lọc thông tin theo các nguyên tắc được định trước.
Các công ty lớn, các trung tâm nghiên cứu quan trọng cần tường lửa để loại bỏ các cuộc tấn công của tin tặc từ bên ngoài vào, hoặc để ngăn nhân viên của mình không gửi thông tin mật ra ngoài, hoặc đơn giản hơn là không cho nhân viên sử dụng dịch vụ chat hay xem Youtube trong giờ làm việc.
Hình 2.0.3 Mô hình firewall
- Mỗi phân vùng mạng kết nối với ít nhất một giao diện của Firewall và được gọi là một vùng (hay zone). Một Firewall thông thường có 03 zone mặc định là:
o Zone Trust kết nối với vùng mạng bên trong (còn gọi là zone Inside).
o Zone DMZ thường được kết nối với máy chủ.
o Zone UnTrust kết nối với vùng mạng ngoài (còn gọi là zone Outside).
Hình 2.0.4 Các zone mặc định của firewall
- Tùy theo nhu cầu sử dụng và số giao diện, số zone mà Firewall hỗ trợ, chúng ta có thể định nghĩa thêm một số zone mới, và định nghĩa các chính sách truy nhập giữa các zone tùy theo như cầu sử dụng. - Ngày nay, do nhu cầu sử dụng nhiều tính năng đồng thời trong cùng một thiết bị như tính năng Firewall, tính năng định tuyến, các tính năng phát hiện và ngăn chặn thâm nhập trái phép… người ta đã phát triển các sản phẩm tích hợp đồng thời các tính năng trên và cho ra đời dòng sản phẩm UTM (Unified Threat Management). UTM mang khá nhiều tính năng trong cùng một sản phẩm, như: Định tuyến, phòng chống virus (anti-virus, anti- spam), chặn lọc web (web filtering), kiểm tra và cảnh báo các tác nhân gây hại cho hệ thống (Prevention), bảo mật hệ thống với IPS và IDS… - Trong mạng LAN chuẩn tại đơn vị, sử dụng thiết bị Firewall làm trung
tâm của mạng, thực hiện các chức năng phân tách, kiểm soát truy nhập, ngăn chặn các truy nhập trái phép…Đồng thời nó cũng thực hiện chức năng định tuyến giữa các vùng mạng, NAT địa chỉ IP, cấp phát địa chỉ IP thông qua giao thức DHCP…
Ở đây chúng ta đề cập đến 3 công nghệ firewall, đó là: +Packet filtering
+Application layer Gateways +Stateful inspection
Packet filtering firewall làm việc ở tầng network của mô hình OSI. Nó được thiết kế để điều chỉnh nhanh chóng quá trình cho phép hoặc huỷ bỏ các gói tin đi qua.
Application layer gateway được thiết kế hoạt động ở tầng Application. Nó được thiết kế để phân tích từng gói tin đi qua đồng thời xác định xem kiểu dữ liệu của gói tin đó có truyền có hợp lệ hay không hay đó là ứng dụng đặc biệt làm hại quá trình truyền tin.
Stateful inspection firewall dùng để kiểm tra từng gói tin và xác minh xem đó có phải là những gói tin được trông đợi trong phiên truyền thông tin hiện tại hay không. Đây là kiểu firewall dùng trong tầng network, nhưng nó cũng có thể hoạt động tại các tầng transport, session, presentation và application.
A,Packet filtering firewall
Packet filtering firewall được cấu hình để cho phép hay ngăn cấm quá trình truy cập của các port hay địa chỉ IP cụ thể nào đó. Có hai cách giải quyết khi thiết lập hoạt động của Packet filtering firewall, đó là “allow by default” và “deny by default”. “Allow by default” cho phép tất cả các traffic đi qua loại trừ những traffic đặc biệt đã bị ngăn cấm. “Deny by defaul” ngăn chặn tất cả các traffic đi qua trừ những traffic rõ ràng đã được cho phép. Trên thực tế, deny by default được sử dụng rộng rãi bởi vì chúng ta chỉ cần cho những traffic cần thiết đi qua, những port lạ cần được ngăn chặn để tránh việc xâm nhập của kẻ phá hoại.
Hình 2.0.5 Sơ đồ làm việc của Packet Filttering
Packet filtering firewall có những mặt lợi nhưng cũng có nhiều mặt hạn chế. Cái lợi đầu tiên của nó là tốc độ xử lý. Khi các gói tin đi qua, chỉ có phần header là được kiểm tra và các quy tắc kiểm tra cũng rất đơn giản nên tốc độ xử lý là rất cao. Ngoài ra, Packet filtering firewall cũng rất dễ dàng sử dụng. Việc thiết lập cấu hình cho nó là tương đối dễ dàng và việc đóng hay mở các port cũng được thực hiện một cách nhanh chóng. Một ưu điểm của Packet filtering firewall là nó có tính trong suốt đối với các thiết bị mạng.
Các gói tin có thể đi qua nó mà không phải gửi hay nhận thêm bất kì một phần thông tin nào cả. Ngày nay hầu hết các router đều có chức năng như là một Packet filtering firewall. Việc này có thể thực hiện nhờ cấu hình ACLs trên các cổng của router.
Packet filtering firewall chỉ kiểm tra phần header chứ không kiểm tra nội dung của gói tin. Đây chính là ngòi nổ cho sự phá hoại từ bên trong, khi mà các gói tin có header hợp pháp đã được firewall cho đi qua một cách dễ dàng.
B,Application layer gateways
Đây còn được gọi là Apllication filtering. Nó có nhiều tính năng nổi trội hơn so với Packet filtering firewall. Application layer Gateways kiểm tra toàn bộ gói tin và việc lọc bỏ gói tin được dựa trên các quy luật đặc trưng, rành mạch hơn.
Hình 2.0.6 Application Layer Gateway
Ở đây, router kết nối ra Internet (hay còn gọi là exterior router-router ngoại vi) sẽ đưa tất cả các traffic nhận vào đến application gateway. Các router bên trong (interior router) sẽ chỉ nhận các gói tin được chuyển tủ application gateway. Như vậy là application gateway có khả năng kiểm soát việc phân phối của các dịch vụ mạng đi ra hay đi vào hệ thống mạng. Khi đó chỉ những user nào được cho phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có thể thiết lập kết nối với host bên trong.
Application layer Gateways sử dụng các quy tắc phức tạp hơn Packet filtering để xác định tính hợp lệ của các gói tin muốn đi qua nó, do đó tăng tính an toàn cho hệ thống. Tuy nhiên chính điều này lại tạo ra sự hạn chế của công nghệ này. Tất cả các gói tin đi qua nó đều bị tháo rời ra, dựa trên
các quy luật phức tạp để kiểm tra toàn bộ gói tin nhằm xác định tính xác thực của gói tin, do đó tốc độ xử lý là thấp hơn nhiều so với Packet filtering.
C,Stateful inspection
Đây là công nghệ kết hợp giữa 2 công nghệ nói trên. Nó tìm cách khắc phục những nhược điểm còn lại của Packet filtering và Application layer Gateways. Stateful inspection cung cấp sư nhận biết ở lớp ứng dụng cho firewall nhưng lại không phải tháo rời gói tin. Như vậy Stateful inspection hoạt động nhanh hơn Application layer Gateways và có khả năng bảo mật cao hơn Packet filtering.
D,Một số mô hình mạng được triển khai bằng firewall
Hình 2.0.7 Mô hình triển khai Firewall
Thông thường các firewall được đặt tại vị trí đường biên, giữa mạng bên trong và thế giới bên ngoài. Tại vị trí này, firewall có thể kiểm soát các traffic(lưu lượng dữ liệu) từ bên trong đi ra cũng như từ bên ngoài đi vào.
Hình 2.0.8 Mô hình triền khai kết hợp Firewall nhiều tầng
Để tăng độ an toàn cho hệ thống, chúng ta có thể tăng tính chất bảo vệ của firewall bằng cách sử dụng mô hình firewall nhiều tầng để chúng bổ xung và phối kết hợp với nhau. Bằng cách này chúng ta vừa tăng tính bảo mật cho mạng vừa hạn chế được các yếu điểm của firewall. Thông qua việc cấu hình firewall phù hợp với từng dạng firewall sử dụng và tính chất các
dịch vụ mà firewall đó bảo vệ mà ta có một hệ thống có chất lương tốt hơn. Những phần quan trọng và mang tính chất quyết định thì nên đặt ở phía trong của hệ thống vì khi đó muốn truy cập vào các phần này phải đi qua nhiều lớp firewall, như thế độ an toàn sẽ tăng lên.
2.2.Switch
Switch là thiết bị hoạt động trên tầng 2 của mô hình OSI (Datalink layer), đây là một thiết bị được dùng rộng rãi trên hầu hết các mô hình hệ thống mạng. Mỗi cổng của switch là một vùng xung đột (collision domain) nên sẽ tránh được đụng dộ khi mỗi cổng gửi thông tin đi. Ở switch băng thông cũng không bị chia sẻ như ở Hub. Tất cả các cổng của switch nằm trong 1 vùng quảng bá (broadcast domain), tức là khi có 1 gói tin mang địa chỉ broadcast tầng 3 đến switch thì tất cả các máy tính nối vào các cổng của switch đều phải xử lý gói tin đó. Các gói tin gửi giữa các máy tính trong cùng mạng LAN sẽ được switch định tuyến dựa trên địa chỉ MAC (Media Access Control). Trên mỗi switch có một bảng địa chỉ MAC được gọi là bảng CAM (Content Addressable Memory), dựa vào bảng này mà switch chuyển các gói tin đến đúng cổng đích. Mỗi card mạng có một địa chỉ MAC duy nhất đo đó mỗi PC sẽ chỉ tương ứng với 1 địa chỉ MAC duy nhất trong bảng CAM.
A,Mật khẩu truy nhập và cổng bảo vệ
Khi các cổng của switch không có biện pháp bảo vệ, bất kì người nào với 1 máy tính xách tay đều có thể kết nối vào mạng và có thể sử dụng tài nguyên của mạng. Một trong những cách ngăn chặn việc này đó là thiết lập Static MAC Address. Tức là gắn cho mỗi cổng của switch tương ứng với 1 địa chỉ MAC xác định. Khi đó chỉ có duy nhất máy tính có địa chỉ MAC như thế mới sử dụng được cổng này. Ta có thể cấu hình static MAC address theo các câu lệnh sau:
Switch(config)#mac-address-table static 0010.7a60.1982 interface fa0/5 vlan VLAN1
Sau câu lệnh này địa chỉ MAC 0010.7a60.1982 sẽ được gắn vào cổng số 5 của switch.
Việc đặt static MAC address đôi khi gây ra lỗi do địa chỉ MAC không chính xác và mất công xác định địa chỉ MAC của từng máy tính. Vấn đề này sẽ được giải quyết bằng việc cấu hình port sercurity trên switch. Địa chỉ MAC đầu tiên mà switch học được từ cổng được cấu hình sẽ được lấy. Ngoài ra chúng ta có thể cấu hình được số địa chỉ MAC tối đa sẽ được gắn cho 1 cổng.
Switch(config)#interface fa0/5 Switch(config-if)#port sercurity
Switch(config-if)#port sercurity max-mac-count 10 Switch(config-if)#port sercurity action shutdown|trap
Ở đây đã cấu hình port sercurity cho cổng số 5 của switch. Số 10 có ý nghĩa là có tối đa 10 địa chỉ MAC được gán cho port này. Trong dòng lệnh cuối cùng, nếu sau action là trap thì khi có xâm nhập bất hợp pháp vào port sercurity thì switch sẽ báo cho người quản trị biết, còn nếu là shutdown thì port này sẽ tự động treo không hoạt động nữa.
Khi có thay đổi trong mạng như là việc thêm, thay đổi hoặc bỏ các máy tính đi thì cần cấu hình lại và bỏ cấu hình cũ đi.
Việc đặt các password truy cập cũng phần nào chống lại được sự truy cập bất hợp pháp để điều khiển switch. Chúng ta có thể đặt password cho cổng consol, cho các phiên telnet…
Switch(config)#line configuration 0 Switch(config-line)#password neu
Switch(config-line)#login
Switch(config-line)#line vty 0 4 Switch(config-line)#password neu Switch(config-line)#login
Các câu lệnh trên đã đặt password cho cổng consol và các phiên telnet là neu. Muốn sử dụng thì cần phải nhập đúng password này. B,Mạng riêng ảo (VLAN)
Các phương pháp vừa trình bày chỉ đảm bảo an toàn dữ liệu cho thông tin đi qua switch một cách rất đơn giản. Để nâng cao tính bảo mật khi dùng switch ta có thể cấu hình VLAN (Virtual LAN) trên switch. Thực chất đây là việc chia mạng LAN thành các mạng LAN nhỏ hơn trên cùng 1 switch.
Điều này rất hữu ích cho công việc bảo mật nhất là đối với các doanh nghiệp có nhiều phòng ban hoạt động độc lập. Đối với mỗi phòng ban khác nhau ta sẽ lập thành các VLAN khác nhau. Việc chia nhỏ mạng LAN thành các VLAN sẽ làm tăng băng thông (do các vùng broadcast được chia nhỏ) do đó làm tăng tốc độ truyền dữ liệu.
Khi đã cấu hình VLAN cho mạng LAN thì nếu như một VLAN bị tấn công nó sẽ không gây ảnh hưởng tới VLAN khác vì mỗi VLAN là một vùng broadcast domain riêng biệt.
Hình 2.0.9 Sơ đồ kết nối mạng VLAN
Tiện lợi của việc kết nối mạng cục bộ có rất nhiều như chia sẻ tài nguyên, dùng chung máy in ,chung kết nối Internet..., tối ưu hóa hiệu quả công việc kinh doanh, tiết kiệm thời gian, tiết kiệm chi phí xử lý dữ liệu, phân cấp quản lý và mật thông tin.... nhưng thực tế ít doanh nghiệp ý thức được ưu thế này.
Tìm kiếm những lý do để thuyết phục sử dụng VLAN, bạn có thể dẫn chứng về khả năng bảo mật của các hệ điều hành mạng. Ở cấp mạng ngang hàng (peer-to-peer nerwork), bạn có khả năng bảo mật bằng cách tạo các mật khẩu (password) cho mỗi tài nguyên chia sẻ cho các người dùng khác trên mạng (share-level security). Ở các mạng máy tính Khách - Chủ (client-server network), việc bảo mật an toàn hơn nhờ cơ chế bảo mật của máy chủ với các hệ điều hành mạng cao cấp hơn (như Microsoft Windows NT Server và Novell Netware server).
Do khả năng bảo mật dựa vào "tên & mật khẩu truy cập" (login name & password), mỗi người truy cập vào mạng đều phải cung cấp tên & mật khẩu. Tên và mật khẩu này đã được người quản trị mạng tạo sẵn (sau khi
riêng của mình) và ứng với mỗi tên khác nhau sẽ có những quyền truy cập khác nhau.
Tuy nhiên, tất cả các phương pháp bảo mật trên có thể dễ dàng bị vô hiệu hoặc lộ mật khẩu. Trong trường hợp đó, VLAN có thể được sử dụng. Với VLAN, mọi người sử dụng trong công ty sử dụng chung một LAN Switch nhưng một số cổng được "config" (thiết lập chế độ) hoạt động hoàn toàn độc lập với nhau.
Ví dụ: người dùng ở các cổng (port) 1,3,5,7,9 trong switch thuộc phòng Kế toán thì các máy tính có thể "tìm thấy nhau", các người dùng ở phòng kỹ thuật cũng có thể "tìm thấy nhau" ở các cổng 2,4,6,8,10. Không thể có chuyện một nhân viên kế toán được kết nối vào cổng số 3 lại có khả năng truy cập vào máy tính của phòng kỹ thuật ở cổng số 6 được.
Ví dụ minh họa: công ty A có 3 phòng là: Phòng Kỹ Thuật, Phòng Kinh Doanh & Phòng Kế Toán. Công ty muốn tạo lập một mạng máy tính gồm 3 phân mạng (LAN segment) là 3 mạng LAN ảo, do tính chất bảo mật của dữ liệu kinh doanh - kế toán nên 3 phân mạng này sẽ hoạt động độc lập với nhau.
Việc phân chia máy tính ở các phòng ban khác nhau thành 3 mạng con khác nhau như vậy có 2 tác dụng chính:
Thứ nhất là bảo mật thông tin: các máy tính ở phân mạng này sẽ không "thọc mạch" vào dữ liệu nằm trong các máy tính thuộc phân mạng khác được. Kỹ thuật tạo mạng ảo này sẽ làm "bó tay" ngay cả những người "tò mò" và "cao thủ" nhất. Tại sao "cao thủ" lại phải bó tay ? Đó là do việc phân chia các mạng ảo (virtual LAN) được thực hiện bởi phần cứng + phần dẻo (firmware là các chương trình "phần mềm" do các nhà sản xuất thiết bị phát triển nhằm điều khiển trực tiếp các thiết bị phần cứng do họ sản xuất.
Một số ví dụ đơn giản về firmware là BIOS trong máy tính, các chương trình điều khiển hoạt động của các điện thoại di động... nói chung: Firmware không hoạt động "ở mức quá thấp" nên không thể gọi là "phần mềm", nó cũng "không đủ cứng" để gọi là "phần cứng") do nhà sản xuất phần cứng của mạng như Hub/Switch cung cấp. Việc can thiệp và thay đổi dữ liệu của các "phần dẻo" (firmware) này thì hầu như không thể.
Thứ hai là tăng cường hiệu quả của mạng về tốc độ: mặc dù trong ví dụ sau tôi sử dụng một Switch Repotec 24-port nhưng do phân làm 3 mạng