Tƣờng lửa hay firewall là kỹ thuật ngăn chặn các tấn công xâm nhập từ bên ngoài (mạng Internet) vào hệ thống bên trong (mạng LAN và server). Firewall thƣờng đƣợc lắp đặt trƣớc hoặc sau router, với vai trò bảo vệ cho toàn bộ hệ thống mạng bên trong. Nguyên tắc chung của các bức tƣờng lửa là điều khiển truy xuất mạng bằng cách giám sát tất cả các gói dữ liệu đƣợc gửi thông qua tƣờng lửa, và tuỳ vào các cài đặt trong chính sách bảo mật mà cho phép hoặc không cho phép chuyển tiếp các gói này đến đích.[4].
Chức năng của tƣờng lửa trên mạng là quản lý lƣu lƣợng vào/ra trên kết nối Internet và ghi lại các sự kiện diễn ra trên kết nối này phục vụ cho các mục đích an toàn mạng. Tuy nhiên, do bản chất của tƣờng lửa là giám sát lƣu lƣợng luân chuyển thông qua một kết nối giữa mạng nội bộ và mạng công cộng bên ngoài, cho nên tƣờng lửa không có khả năng giám sát và ngăn chặn các tấn công xuất phát từ bên trong mạng nội bộ. Có thể tóm tắt chức năng chủ yếu của tƣờng lửa nhƣ sau:
Separator: Tách rời giữa mạng nội bộ và mạng công cộng, ràng buộc tất cả các kết nối từ trong ra ngoài hoặc từ ngoài vào trong phải đi qua tƣờng lửa nhƣ một đƣờng đi duy nhất.
Restricter: Chỉ cho phép một số lƣợng giới hạn các loại lƣu lƣợng đƣợc phép xuyên qua tƣờng lửa, nhờ đó ngƣời quản trị có thể thực thi chính sách
bảo mật bằng cách thiết lập các quy tắc lọc gói tƣơng ứng gọi là các access rules.
Analyzer: Theo dõi (tracking) lƣu lƣợng luân chuyển qua tƣờng lửa, ghi lại các thông tin này lại (logging) theo yêu cầu của ngƣời quản trị để phục vụ cho các phân tích để đánh giá mức độ an toàn của hệ thống. Ngoài các chức năng cơ bản trên, một số bức tƣờng lửa còn có chức năng xác minh (authentication) đối với ngƣời sử dụng trƣớc khi chấp nhận kết nối.
2.4.1. Phân loại tƣờng lửa theo đặc tính kỹ thuật:
Tƣờng lửa có thể là một phần mềm chạy trên một máy tính nào đó với ít nhất là hai giao tiếp mạng (dual-home host), khi đó nó đƣợc gọi là firewall mềm. Các firewall mềm thông dụng hiện nay gồm: SunScreen, ISA server, Check point, Gauntlet, IPTables,…
Ngƣợc lại, chức năng tƣờng lửa cũng có thể đƣợc thực hiện trong một khối phần cứng riêng biệt và đƣợc gọi là firewall cứng. Các sản phầm firewall cứng điển hình hiện nay bao gồm: Cisco PIX, NetScreen firewalls, SonicWall appliances, WatchGuard Fireboxes, Nokia firewalls, Cyberoam Firewall- UTM,…
2.4.2. Phân loại firewall theo phạm vi bảo vệ:
Căn cứ vào phạm vi mà tƣờng lửa bảo vệ, có thể chia tƣờng lửa thành 2 nhóm riêng biệt: tƣờng lửa dành cho máy tính cá nhân (host firewalls) và tƣờng lửa dành cho mạng (network firewalls).
Host firewall thông thƣờng là các firewall mềm, đƣợc cài đặt trên máy cá nhân để bảo vệ cho máy cá nhân. Hệ điều hành Windows đã có tích hợp sẵn host firewall. Ngoài ra, các phần mềm antivirus chuyên nghiệp cũng có chức năng của host firewall nhƣ Norton Antivirus, McAfee, …
Network firewall có thể là firewall mềm hoặc firewall cứng, thƣờng đƣợc lắp đặt trƣớc hoặc sau bộ định tuyến (router) nhằm mục đích bảo vệ cho toàn hệ thống mạng.
2.4.3. Phân loại firewall theo cơ chế làm việc:
Tường lửa lọc gói (packet filtering firewall hay stateless firewall).
Nguyên lý của các bức tƣờng lửa lọc gói là đọc tất cả các thông tin trong tiêu đề của các gói dữ liệu IP luân chuyển qua bức tƣờng lửa, và dựa trên các thông tin này để quyết định chấp nhận (accept) hay loại bỏ gói dữ liệu (drop). Nhƣ vậy, khi thiết lập các quy tắc lọc gói của tƣờng lửa, ngƣời quản trị mạng phải căn cứ trên các thông tin sau đây:
- Địa chỉ IP, bao gồm địa chỉ IP của máy gửi và địa chỉ IP của máy nhận (source IP address và destination IP address).
- Số cổng kết nối (port number), bao gồm cả cổng của máy gửi và cổng của máy nhận (source port và destination port).
- Giao thức kết nối (protocol), ví dụ TCP, UDP hay ICMP.
Tƣờng lửa lọc gói chỉ phân tích tiêu đề của gói IP, không phân tích nội dung gói và do đó không có khả năng ngăn chặn truy xuất theo nội dung dữ liệu.
Tƣờng lửa lọc gói hữu ích trong các trƣờng hợp muốn ngăn chặn một hoặc một số cổng xác định nào đó, từ chối một hoặc một số địa chỉ IP xác định hoặc một giao thức xác định nào đó (ví dụ ICMP). Trong thực tế, các tấn công xâm nhập thƣờng đƣợc thực hiện thông qua các cổng khác với các cổng dịch vụ phổ biến.
Tường lửa lớp ứng dụng (Application Layer gateway):
Hoạt động của tƣờng lửa lớp ứng dụng tƣơng tự nhƣ tƣờng lửa lọc gói, tức là cũng dựa trên việc phân tích các gói dữ liệu IP để quyết định có cho phép đi xuyên qua bức tƣờng lửa hay không. Điểm khác của tƣờng lửa lớp ứng dụng là nó có khả năng phân tích cả nội dung của gói dữ liệu IP (phần data payload), và do đó cho phép thiết lập các quy tắc lọc gói phức tạp hơn. Ví dụ, có thể chấp nhận lƣu lƣợng HTTP đi qua bức tƣờng lửa, tuy nhiên với những gói nào có chứa nội dung trùng với mẫu định trƣớc thì chặn lại.
Do đặc tính của tƣờng lửa lớp ứng dụng can thiệp trực tiếp vào tất cả các gói dữ liệu đi qua nó, nên nhìn dƣới góc độ truy xuất mạng, bức tƣờng lửa lớp ứng dụng trực tiếp thực hiện các giao dịch với mạng bên ngoài thay cho các
máy tính bên trong. Do vậy, tƣờng lửa lớp ứng dụng cũng còn đƣợc gọi là các phần mềm Proxy.
Kỹ thuật này có ích trong các trƣờng hợp cần quản lý nội dung truy cập của ngƣời sử dụng hoặc để nhận dạng dấu hiệu của một số loại phần mềm độc hại (virus, worm, trojan, …), ví dụ ngăn chặn ngƣời sử dụng tải các tập tin hình ảnh hoặc phim với kích thƣớc lớn.
Do phải phân tích toàn bộ cấu trúc gói dữ liệu để lấy thông tin nên nhƣợc điểm của tƣờng lửa lớp ứng dụng là yêu cầu năng lực xử lý mạnh, và là nơi có thể xảy ra tắc nghẽn tiềm năng của mạng.
Tường lửa kiểm soát trạng thái (stateful inspection firewall):
Là loại tƣờng lửa kết hợp cả hai nguyên lý làm việc của tƣờng lửa lọc gói và tƣờng lửa lớp ứng dụng. Tƣờng lửa kiểm soát trạng thái cho phép thiết lập các quy tắc lọc gói phức tạp hơn so với tƣờng lửa lọc gói, tuy nhiên không mất quá nhiều thời gian cho việc phân tích nội dung của tất cả các gói dữ liệu nhƣ trƣờng hợp tƣờng lửa lớp ứng dụng. Tƣờng lửa kiểm soát trạng thái theo dõi trạng thái của tất cả các kết nối đi qua nó và các gói dữ liệu liên quan đến từng kết nối. Theo đó, chỉ các các gói dữ liệu thuộc về các kết nối hợp lệ mới đƣợc chấp nhận chuyển tiếp qua tƣờng lửa, các gói khác đều bị loại bỏ tại đây. Tƣờng lửa kiểm soát trạng thái phức tạp hơn do phải tích hợp chức năng của cả 2 loại tƣờng lửa ở trên. Tuy nhiên, cơ chế thực hiện của tƣờng lửa này đã chứng tỏ đƣợc tính hiệu quả của nó và trong thực tế, các sản phẩm tƣờng lửa mới đều hỗ trợ kỹ thuật này.
2.5. Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập. Khác với bức tƣờng lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo cho ngƣời quản trị mạng.
IDS không thực hiện chức năng phân tách giữa mạng nội bộ và mạng công cộng nhƣ bức tƣờng lửa nên không gánh toàn bộ lƣu lƣợng qua nó và do đó không có nguy cơ làm tắc nghẽn mạng.
Intrusion (xâm nhập) đƣợc định nghĩa là bất kỳ một sự kiện hay hành vi nào tác động vào 3 thành phần cơ bản của một hệ thống an toàn là tính Bảo mật, tính Toàn vẹn và tính Khả dụng. IDS phát hiện dấu vết của tấn công bằng cách phân tích hai nguồn thông tin chủ yếu sau đây:
- Thông tin về các thao tác thực hiện trên máy chủ đƣợc lƣu trong nhật ký hệ thống (system log).
- Lƣu lƣợng đang lƣu thông trên mạng.
Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm nhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất. Càng về sau, nhiều kỹ thuật mới đƣợc tích hợp vào IDS, giúp nó có khả năng dự đoán đƣợc tấn công và thậm chí phản ứng lại các tấn công đang diễn ra.
Hai thành phần quan trọng nhất cấu tạo nên hệ thống IDS là: Sensor (bộ cảm nhận) có chức năng chặn bắt và phân tích lƣu lƣợng trên mạng và các nguồn thông tin khác để phát hiện dấu hiệu xâm nhập. Hai là signature database là cơ sở dữ liệu chứa dấu hiệu (signature) của các tấn công đã đƣợc phát hiện và phân tích. Cơ chế làm việc của signature database giống nhƣ virus database trong các chƣơng trình antivirus, do vậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhận thƣờng xuyên cơ sở dữ liệu này.
2.5.1. Phân loại IDS theo phạm vi giám sát:
Dựa trên phạm vi giám sát, IDS đƣợc chia thành 2 lọai:
- Network- based IDS (NIDS):
Là những IDS giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu đang lƣu thông trên mạng. NIDS thƣờng đƣợc lắp đặt tại ngõ vào của mạng, có thể đứng trƣớc hoặc sau bức tƣờng lửa.
- Host-based IDS (HIDS):
Là những IDS giám sát hoạt động của từng máy tính riêng biệt. Do vậy, nguồn thông tin chủ yếu của HIDS ngoài lƣu lƣợng dữ liệu đến và đi từ máy
chủ còn có hệ thống dữ liệu nhật ký hệ thống (system log) và kiểm tra hệ thống.
2.5.2. Phân loại IDS theo kỹ thuật thực hiện:
Dựa trên kỹ thuật thực hiện, IDS cũng đƣợc chia thành 2 loại:
- Signature-based IDS: Signature-based IDS phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lƣu lƣợng mạng và nhật ký hệ thống. Kỹ thuật này đòi hỏi phải duy trì một cơ sở dữ liệu về các dấu hiệu xâm nhập (signature database), và cơ sở dữ liệu này phải đƣợc cập nhật thƣờng xuyên mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới.
- Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang tính thống kê) các hành vi hiện tại với hoạt động bình thƣờng của hệ thống để phát hiện các bất thƣờng (anomaly) có thể là dấu hiệu của xâm nhập. Ví dụ, trong điều kiện bình thƣờng, lƣu lƣợng trên một giao tiếp mạng của server là vào khoảng 25% băng thông cực đại của giao tiếp. Nếu tại một thời điểm nào đó, lƣu lƣợng này đột ngột tăng lên đến 50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công DoS.
Để hoạt động chính xác, các IDS loại này phải thực hiện một quá trình “học”, tức là giám sát hoạt động của hệ thống trong điều kiện bình thƣờng để ghi nhận các thông số hoạt động, đây là cơ sở để phát hiện các bất thƣờng về sau.
Trong thực tế, IDS là một kỹ thuật mới so với firewall, tuy nhiên, cho đến thời điểm này, với sự phát triển khá mạnh mẽ của kỹ thuật tấn công thì IDS vẫn chƣa thật sự chứng tỏ đƣợc tính hiệu quả của nó trong việc đảm bảo an toàn cho các hệ thống mạng. Một trong những phần mềm IDS phổ biến hiện nay là Snort. Đây là một sản phẩm NIDS mã nguồn mở với hệ thống signature database (đƣợc gọi là rule database) đƣợc cập nhật thƣờng xuyên bởi nhiều thành viên trong cộng đồng Internet.
2.6. Mã hóa
2.6.1. Tổng quan về mã hóa.
Mật mã (Encryption) là một kỹ thuật cơ sở quan trọng trong bảo mật thông tin. Nguyên tắc của mật mã là biến đổi thông tin gốc thành dạng thông tin bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới hiểu đƣợc. Một thực thể hợp lệ có thể là một ngƣời, một máy tính hay một phần mềm nào đó đƣợc phép nhận thông tin. Để có thể giải mã đƣợc thông tin mật, thực thể đó cần phải biết cách giải mã (tức là biết đƣợc thuật toán giải mã) và các thông tin cộng thêm (khóa bí mật).[4].
Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào đó đƣợc gọi là quá trình mã hoá (encryption). Quá trình biến đổi thông tin mật về dạng thông tin gốc ban đầu gọi là quá trình giải mã (decryption). Đây là hai quá trình không thể tách rời của một kỹ thuật mật mã bởi vì mật mã (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã (phục hồi lại) đƣợc thông tin đó. Do vậy, khi chỉ dùng thuật ngữ mật mã thì nó có nghĩa bao hàm cả mã hóa và giải mã.
Kỹ thuật mã hoá đƣợc chia thành hai loại: mã hoá dùng khoá đối xứng (symmetric key encryption) và mã hoá dùng khoá bất đối xứng (asymmetric key encryption).
Các thành phần của một hệ thống mã hoá: