b. Một số phương thức tấn công mạng
8.2.2 Tổng quan về hệ thống Firewall
Firewall là một hệ thống dùng để tăng cường khống chế truy xuất, phòng ngừa đột nhập bên ngoài vào hệ thống sử dụng tài nguyên của mạng một cách phi pháp. Tất cả thông tin đến và đi nhất thiết phải đi qua Firewall và chịu sự kiểm tra của bức tường lửa. Nói chung Firewall có 5 chức năng lớn sau:
1. Lọc gói dữ liệu đi vào/ra mạng lưới.
2. Quản lý hành vi khai thác đi vào/ra mạng lưới 3. Ngăn chặn một hành vi nào đó.
4. Ghi chép nội dung tin tức và hoạt động thông qua bức tường lửa. 5. Tiến hành đo thử giám sát và cảnh báo sự tấn công đối với mạng lưới. Ưu điểm và nhược điểm của bức tường lửa:
Ưu điểm chủ yếu của việc sử dụng Firewall để bảo vệ mạng nội bộ. Cho phép người quản trị mạng xác định một điểm khống chế ngăn chặn để phòng ngừa tin tặc, kẻ phá hoại, xâm nhập mạng nội bộ. Cấm không cho các loại dịch vụ kém an toàn ra vào mạng, đồng thời chống trả sự công kích đến từ các đường khác. Tính an toàn mạng được củng cố trên hệ thống Firewall mà không phải phân bố trên tất cả máy chủ của mạng. Bảo vệ những dịch vụ yếu kém trong mạng. Firewall dễ dàng giám sát tính an toàn mạng và phát ra cảnh bảo. Tính an toàn tập trung. Firewall có thể giảm đi vấn đề không gian địa chỉ và che dấu cấu trúc của mạng nội bộ. Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu. Firewall được sử dụng để quản lý lưu lượng từ mạng ra ngoài, xây dựng phương án chống nghẽn.
Nhược điểm là hạn chế dịch vụ có ích, vì để nâng cao tính an toàn mạng, người quản trị hạn chế hoặc đóng nhiều dịch vụ có ích của mạng. Không phòng hộ được sự tấn công của kẻ phá hoại trong mạng nội bộ, không thể ngăn chăn sự tấn công thông qua những con đường khác ngoài bức tường lửa. Firewall Internet không thể hoàn toàn phòng ngừa được sự phát tán phần mềm hoặc tệp đã nhiễm virus.
Các loại Firewall
Firewall lọc gói thường là một bộ định tuyến có lọc. Khi nhận một gói dữ liệu, nó quyết định cho phép qua hoặc từ chối bằng cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào các thông tin của Header để đảm bảo quá trình chuyển phát IP. Firewall cổng mạng hai ngăn là loại Firewall có hai cửa nối đến
mạng khác. Ví dụ một cửa nối tới một mạng bên ngoài không tín nhiệm còn một cửa nối tới một mạng nội bộ có thể tín nhiệm. Đặc điểm lớn nhất Firewall loại này là gói tin IP bị chặn lại. Firewall che chắn (Screening) máy chủ bắt buộc có sự kết nối tới tất cả máy chủ bên ngoài với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội bộ. Firewall che chắn máy chủ là do bộ định tuyến lọc gói và máy chủ kiên cố hợp thành. Hệ thống Firewall có cấp an toàn cao hơn so với hệ thống Firewall lọc gói thông thường vì nó đảm bảo an toàn tầng mạng (lọc gói) và tầng ứng dụng (dịch vụ đại lý). Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng con dùng hai bộ định tuyến lọc gói và một máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an toàn nhất, vì nó đảm bảo chức năng an toàn tầng mạng và tầng ứng dụng.
Kỹ thuật Fire wall Lọc khung (Frame Filtering):
Hoạt động trong tầng 2 của mô hình OSI, có thể lọc, kiểm tra được ở mức bit và nội dung của khung tin (Ethernet/802.3, Token Ring 802.5, FDDI,...). Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ chối ngay trước khi vào mạng Lọc gói (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng của mô hình OSI. Lọc gói cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các quy định của lọc Packet hay không. Các quy tắc lọc Packet dựa vào các thông tin trong Packet Header. Nếu quy tắc lọc Packet được thoả mãn thì gói tin được chuyển qua Firewall. Nếu không sẽ bị bỏ đi. Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Một số Firewall hoạt động ở tầng mạng (tương tự như một Router) thường cho phép tốc độ xử lý nhanh vì chỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên Router, không xác định địa chỉ sai hay bị cấm. Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra, còn có các thông tin khác được kiểm tra với các quy tắc được tạo ra trên Firewall, các thông tin này có thể là thời gian truy nhập, giao thức sử dụng, cổng ... Firewall kiểu Packet Filtering có 2 loại:
Packet filtering Fire wall: Hoạt động tại tầng mạng của mô hình OSI hay
tầng IP trong mô hình TCP/IP. Kiểu Firewall này không quản lý được các giao dịch trên mạng.
Circuit Level Gateway: Hoạt động tại tầng phiên (Session) của mô hình
OSI hay tầng TCP trong mô hình TCP/IP. Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối (VD: kiểm tra ID, mật khẩu...) loại Firewall cho phép lưu vết trạng thái của người truy nhập.
Kỹ thuật Proxy
Là hệ thống Firewall thực hiện các kết nối thay cho các kết nối trực tiếp từ máy khách yêu cầu.Proxy hoạt động dựa trên phần mềm. Khi một kết nối từ một người sử dụng nào đó đến mạng sử dụng Proxy thì kết nối đó sẽ bị chặn lại, sau đó Proxy sẽ kiểm tra các trường có liên quan đến yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các quy tắc đã đặt ra, nó sẽ tạo một cầu kết nối giữa hai node với nhau.
Ưu điểm của kiểu Firewall loại này là không có chức năng chuyển tiếp các gói tin IP, và có thể điểu khiển một cách chi tiết hơn các kết nối thông qua Firewall. Cung cấp nhiều công cụ cho phép ghi lại các quá trình kết nối. Các gói tin chuyển qua Firewall đều được kiểm tra kỹ lưỡng với các quy tắc trên Firewall, điều này phải trả giá cho tốc độ xử lý. Khi một máy chủ nhận các gói tin từ mạng ngoài rồi chuyển chúng vào mạng trong, sẽ tạo ra một lỗ hổng cho các kẻ phá hoại (Hacker) xâm nhập từ mạng ngoài vào mạng trong.
Nhược điểm của kiểu Firewall này là hoạt động dựa trên trình ứng dụng uỷ quyền (Proxy).