- Máy A là Apple Macbook Pro mở trình duyệt web và ḿn xem trang web từ máy chủ web www.avoidwork.com . Hành động này bắt đầu bằng việc Máy A gửi yêu cầu xem trang web này thông qua tường lửa trên Internet và đến máy chủ web.
- Tường lửa nhìn thấy yêu cầu bắt nguồn từ Máy chủ A và đích đến là trang www.avoidwork.com .
• Tường lửa ghi lại (theo dõi) yêu cầu gửi đi và hy vọng rằng câu trả lời sẽ chỉ đến từ máy chủ web www.avoidwork.com .
• Điểm đánh dấu phiên được đặt trong bảng trạng thái phiên của tường lửa theo dõi quá trình giao tiếp từ đầu đến ći.
• Các sớ liệu kết nối, chẳng hạn như thời gian mở và vv, cũng được đặt với điểm đánh dấu trong bản ghi bảng trạng thái phiên được duy trì bởi tường lửa cho cuộc hội thoại này.
- Máy chủ web Elimwork.com trả lời yêu cầu trang web từ Máy A, sau đó được truyền trở lại qua Internet và tới tường lửa.
90 - Tường lửa kiểm tra bảng trạng thái phiên của nó để xem liệu các sớ liệu được duy trì cho phiên này có khớp với kết nối ra không. Nếu tất cả các chi tiết kết nới được lưu trữ khớp chính xác, tường lửa sẽ cho phép lưu lượng truy cập vào.
Firewall hoạt động ở các lớp khác nhau trong mơ hình mạng TCP/IP, ở mỗi lớp firewall sử dụng các chuẩn khác nhau để hạn chế lưu lượng. Lớp thấp nhất mà firewall hoạt động là lớp 3. Trong mơ hình OSI đây là lớp mạng. Trong mơ hình TCP/IP đây là lớp IP (Internet Protocol). Lớp này có liên quan tới việc định tuyến các gói tới đích của chúng. Ở lớp này, một firewall có thể xác định rằng một gói từ một nguồn đáng tin cậy, nhưng khơng xác định gói chứa những gì. Ở lớp transport, firewall biết một ít thơng tin về gói và có thể cho phép hoặc từ chối truy cập dựa vào các tiêu chuẩn. Ở lớp ứng dụng, firewall biết nhiều về những gì đang diễn ra và có sự lựa chọn trong việc gán quyền truy cập.
Circuit level firewall: data link layer (firewall hoạt động ở lớp liên kết dữ liệu): Khi một máy tính được bảo vệ bắt đầu một cuộc trò chuyện với một máy tính
từ xa, lưu lượng bị chặn bởi Circuit level firewall, chuyển tiếp yêu cầu. Khi lưu lượng truy cập trở lại tường lửa, các bảng bên trong được kiểm tra để thiết lập nếu nó cần chuyển tiếp đến một máy tính được bảo vệ hoặc nếu đó là một cuộc trò chuyện khơng được u cầu.
Ưu điểm chính của loại tường lửa này là chỉ trả lại lưu lượng truy cập từ các cuộc hội thoại được khởi tạo từ phía sau tường lửa mới được phép thơng qua. Vì khơng có kết nới trực tiếp giữa máy tính được bảo vệ và mạng bên ngồi, mọi cuộc hội thoại khơng được nhận dạng sẽ bị hủy. Tuy nhiên, điều này cũng có thể là một bất lợi vì bất kỳ thứ gì được u cầu bởi máy tính được bảo vệ sẽ được nhận ngay cả khi đó là nội dung độc hại. Các bộ định tuyến SOHO, thường được sử dụng cho các kết nối băng thông rộng tại nhà, thường cung cấp tường lửa cấp mạch thông qua NAT hoặc PAT.
91
Packet filtering firewall: network layer (firewall hoạt động tại lớp mạng):
Tường lửa hoạt động ở lớp mạng là lần đầu tiên được phát triển và có lẽ được các quản trị viên mạng hiểu rõ nhất. Chúng hoạt động bằng cách kiểm tra từng gói dựa trên một tập hợp các quy tắc được xác định. Các quy tắc này thường liên quan đến:
- Địa chỉ IP nguồn và đích - Cổng nguồn và đích
- Giao thức tại lớp vận chuyển hoặc lớp mạng (IP, TCP, UDP, ICMP, v.v.) - Giao diện vật lý
- Hướng (đi vào hoặc đi ra) - Trạng thái gói.
Nhìn chung, các bộ lọc gói chỉ có thể cho phép hoặc chặn và ghi lưu lượng truy cập. Nội dung traffic không bị thay đổi. Khi một gói được nhận, nó được đánh giá theo một bộ quy tắc và một khi gói phù hợp với quy tắc, hành động được xác định sẽ được thực hiện. Điều này có nghĩa là thứ tự của các quy tắc là rất quan trọng vì kết quả khớp đầu tiên được tìm thấy sẽ xác định điều gì xảy ra với gói cụ thể đó. Các quy tắc được xác định dễ dàng bằng cách sử dụng logic đơn giản. Chẳng hạn, để chặn tất cả lưu lượng truy cập SMTP đến, một quy tắc có thể được xác định cho tất cả lưu lượng nguồn TCP đến mạng đích cục bộ khớp với cổng SMTP 25.
Lọc gói cũng có thể loại bỏ lưu lượng mạng khác. Ví dụ, nó có thể phù hợp với TCP hoặc UDP cụ thể cũng như ICMP ở lớp mạng hoặc IGMP.
Application firewall: application layer ( firwall hoạt động ở lớp ứng dụng):
Tường lửa hoạt động ở lớp ứng dụng kiểm tra lưu lượng ở mức cao hơn nhiều so với tường lửa truyền thớng. Chúng có thể là các thiết bị mạng được đặt nội tuyến, máy chủ proxy để xử lý lưu lượng truy cập cụ thể hoặc các ứng dụng đang chạy trên máy chủ để lọc lưu lượng truy cập đến một chương trình cụ thể. Tường lửa ở lớp ứng dụng hoạt động khác với các tường lửa hoạt động ở các lớp khác do cách dữ liệu
92 được truyền qua các mạng. Mỗi khối dữ liệu bao gồm hai phần, “header” và “payload”. Cuộc trò chuyện giữa các máy tính bao gồm nhiều khới dữ liệu này, được gọi là các gói. Một tường lửa lớp ứng dụng có thể kiểm tra payload cũng như tiêu đề và có thể xem xét một loạt các gói với nhau.
Một trong những tính năng chính của tường lửa lớp ứng dụng là cơ sở của nó để chặn bất kỳ gói tin nào khơng tn thủ tiêu chuẩn RFC cho giao thức đang được kiểm tra. Ví dụ: khai thác đới với máy chủ web sử dụng gói HTTP được thay đổi tinh vi sẽ bị chặn. Tường lửa lớp ứng dụng cũng có thể hoạt động như một bộ lọc nội dung: bằng cách kiểm tra tải trọng, các gói chứa Java ™, ActiveX® hoặc phần mềm độc hại có thể bị chặn. Nội dung thậm chí có thể được lắp lại và kiểm tra virus trước khi truyền cho người dùng cuối.
Trong hầu hết các chế độ, hoạt động của một tường lửa như vậy là trong suốt đối với người dùng, ngoại trừ độ trễ thời gian gây ra bởi việc giải mã gói hồn chỉnh. Với các thiết bị hiệu suất nhanh hơn và tới ưu hóa các bộ quy tắc, điều này hiếm khi là mối quan tâm, mặc dù các máy chủ proxy chuyên dụng trước đó yêu cầu cấu hình của các ứng dụng riêng lẻ.
Một thuật ngữ tương đối mới cho nội dung không mong ḿn có thể được lọc bởi tường lửa lớp ứng dụng là Anti–X. Điều này bao gồm một loạt các lĩnh vực khác nhau, bao gồm chống vi-rút, quảng cáo, gián điệp, phần mềm độc hại, sâu, thư rác và lừa đảo.
Các thiết bị proxy máy chủ / bộ đệm web truyền thớng đơi khi có thể cung cấp một sớ tính năng của tường lửa ứng dụng cũng như các lợi thế của nội dung bộ đệm. Tuy nhiên, hầu hết các tường lửa lớp ứng dụng cũng là các công cụ báo cáo tuyệt vời và có thể tạo ra nhiều nhật ký kiểm tốn kết hợp với các phương tiện để xác thực và cảnh báo theo thời gian thực. Thuật ngữ 'tường lửa ứng dụng' cũng có thể được sử dụng cho các ứng dụng chặn nội dung để kiểm tra độ tỉnh táo trước khi đưa nó đến
93 đích ći cùng. Qt URL là một ví dụ về một ứng dụng như vậy, giúp lọc các URL được truyền đến hệ thống IIS của Microsoft®.
3.3.3. Firewall cứng
Firewall cứng từ lâu đã được coi là một nền tảng tường lửa vượt trội. Những lý do chính cho điều này liên quan đến tốc độ: các nhà sản xuất phần cứng đã tăng tớc thơng lượng gói bằng cách sử dụng ASIC phần cứng và mã được tới ưu hóa. Tuy nhiên, với những tiến bộ trong nền tảng phần cứng hiện đại và các tính năng DPI bổ sung của tường lửa mới hơn, sự khác biệt về tốc độ đang thu hẹp.
Cisco cung cấp giải pháp phần cứng PIX, tường lửa lọc gói với sự kiểm tra trạng thái. Có một sớ tính năng DPI trong các phiên bản mới hơn giúp tăng cường các quy tắc có thể được tạo. Một sớ chức năng PIX gần đây đã được giới thiệu trong Cisco ASA. Có nhiều nhà cung cấp tường lửa phần cứng khác, bao gồm Trình quản lý lưu lượng truy cập không hợp lệ từ Foundry Networks®, các sản phẩm SSG và NetScreen từ Juniper®.
3.3.4. Firewall mềm
Có nhiều gói phần mềm có sẵn để cung cấp chức năng tường lửa trên một loạt các nền tảng. Có một sớ yếu tớ được đánh giá khi chọn giải pháp phần mềm nhưng điều quan trọng cần nhớ là tường lửa chỉ an tồn như hệ điều hành cơ bản và cấu hình của nó. Ngồi việc mua phần mềm, phần cứng sẽ cần được chỉ định một cách thích hợp. Cần xem xét đến số lượng CPU và bộ nhớ cũng như hiệu suất của bus kết nối các bộ điều hợp mạng. Chi phí bảo trì hàng năm cho phần mềm cần được tính vào ngân sách định kỳ, cùng với hỗ trợ và bảo trì nền tảng phần cứng.
Máy chủ Microsoft® ISA cung cấp chức năng proxy web, VPN endpoint termination và stateful DPI firewall. Phiên bản mới nhất của máy chủ Microsoft® ISA được phát hành năm 2006.
94 Máy chủ Microsoft® ISA của Microsoft tích hợp tớt với AD và nhiều quy tắc của nó có thể được liên kết với người dùng và máy tính AD để cung cấp sự phù hợp tốt hơn cho các chính sách bảo mật. Cân bằng tải mạng được bao gồm cùng với khả năng xuất bản các trang web an toàn đến các máy chủ IIS trong DMZ của tổ chức. Nó cũng dễ dàng hơn để tạo điều kiện cho các quy tắc tường lửa cho các dịch vụ như Outlook® Web Access.
Có hai phiên bản của Máy chủ ISA, standard và enterprise. Phiên bản enterprise cho doanh nghiệp hỗ trợ phân cụm và cân bằng tải trên nhiều Máy chủ ISA và yêu cầu Windows Server® 2003.
Có một loạt các hệ thớng tường lửa liên quan đến mã nguồn mở UNIX / Linux, tất cả đều chạy trên một hệ điều hành được cài đặt. Tuy nhiên, phần mềm này bị ảnh hưởng giống như các phần mềm khác về hiệu suất. NetFilter là tường lửa trong nhân Linux và cung cấp tường lửa bộ lọc gói, NAT, Theo dõi kết nới và các tính năng khác. IPTables là cơng cụ tạo ra các quy tắc được quản lý bởi NetFilter. IPTables đã thay thế IPChains từ Linux 2.2 (lần lượt thay thế ipfwadm trong Linux 2.0). IPTables vượt trội hơn nhiều so với IPChains vì nó cho phép mã tường lửa hoạt động theo cách thức theo dõi trạng thái của kết nối bằng cách sử dụng lớp theo dõi của NetFilter. IPFirewall (hoặc ipfw) là bộ lọc gói IP dựa trên FreeBSD® và Mac OS X có chức năng bổ sung của tính năng quản lý lưu lượng. IPFilter (hoặc ipf) được cài đặt theo mặc định trong Solaris 10, FreeBSD và NetBSD. Cả ipfw và ipf đều có sẵn dưới dạng các mơ-đun hạt nhân có thể tải hoặc có thể được bao gồm trong một kernel mới.
3.4. Bảo mật mạng không dây 3.4.1. Giới thiệu về mạng không dây 3.4.1. Giới thiệu về mạng không dây
Internet hiện là nhu cầu cơ bản của cuộc sống hàng ngày. Cùng với sự phát triển bùng nổ của điện thoại thông minh ngày càng tăng, nhu cầu về sử dụng các mạng không dây cũng ngày cùng bùng nổ. Khác với các mạng có dây truyền thớng khi
95 ḿn kết nối đến mạng cần phải nối với một dây dẫn truyền, mọi người trong mạng không dây không cần thiết phải nối với một dây dẫn, mọi người đều có quyền bình đẳng và cùng thấy các kết nới mạng wi-fi trong phạm vi kết nối. Tuy nhiên hầu hết các mạng này đều được bảo mật bằng mật khẩu để ngăn chặn các sự truy cập trái phép hoặc không mong muốn. Để truy cập vào mạng người dùng cần phải biết khóa bảo mật. Khi ḿn truy cập vào một mạng không dây mà không biết mật khẩu, mọi người thường tìm kiếm các cơng cụ bẻ khóa mật khẩu wi-fi để truy cập trái phép vào các mạng khơng dây đó. Hoặc trong một sớ trường hợp người dùng cũng có thể sử dụng những cơng cụ này để phân tích các gói tin nhằm kiểm tra những gì đang xảy ra trên mạng, hoặc giám sát hoạt động của các thành viên trong mạng. Bài viết này sẽ đề cập đến các cơng cụ bẻ khóa và khơi phục mật khẩu Wi-fi và cách thức sử dụng các công cụ này để tấn công vào mạng cũng như sử dụng để giám sát hoạt động của mạng.
3.4.1.1. Ưu Điểm
Tính tiện lợi, di động: Cho phép người dùng truy xuất tài nguyên trên mạng
Internet ở bất kỳ nơi đâu trong khu vực được triển khai (công viên, nhà hay văn phòng), điều này rất khó đới với mạng Internet có dây vì khó triển khai ngay lập tức, khơng cơ động, khó đới với nhiều khu vực khơng kéo dây được, mất nhiều thời gian, tiền của..v.v...Tính di động này sẽ tăng năng xuất và tính kịp thời thỏa mãn những nhu cầu thông tin mà mạng Internet hữu tuyến khơng thể có được.
Tính hiệu quả: Người dùng có thể duy trì kết nới mạng Internet khi họ đi từ nơi
này đến nơi khác trong phạm vi vùng phủ sóng của mạng Internet khơng dây (trong một tòa nhà, một khu vực nhất định).
Tiết kiệm chi phí lâu dài: Việc thiết lập hệ thớng mạng Internet không dây ban
đầu chỉ cần 1 Accesspoint và Accesspoint này có kết nới với Internet thơng qua Switch hoặc Modem. Nhưng từ 1 Accesspoint này rất nhiều máy tính có thể truy cập
96 Internet, tiết kiệm chi phí rất nhiều so với phải kéo dây trong mạng Internet hữu tuyến, chi phí dài hạn có lợi nhất trong mơi trường động cần phải di chuyển và thay đổi thường xuyên, các chi phí về thời gian tồn tại của mạng Internet hữu tuyến có thể thấp hơn đáng kể so với mạng Internet không dây.
Khả năng mở rộng: Mạng Internet khơng dây có thể đáp ứng tức thì khi gia tăng
số lượng người dùng (điều khơng thể đới với mạng Internet có dây vì phải lắp đặt thêm thiết bị,…).
Tính linh hoạt: Dễ dàng bổ xung hay thay thế các thiết bị tham gia mạng mà
khơng cần phải cấu hình lại tồn bộ topology mạng
3.4.1.2. Nhược điểm
Bảo mật: Môi trường kết nối Internet khơng dây là khơng khí -> khả năng bị tấn
công của người dùng là rất cao.
Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động
tớt trong phạm vi vài chục mét, ngồi phạm vi đó các thiết bị truy cập Internet khơng thể nhận được tín hiệu hoặc nhận được tín hiệu thì rất yếu, ngắt qng khơng đảm bảo .
Chất lượng: Vì mạng Internet khơng dây sử dụng sóng vơ tuyến để truyền thơng
nên việc bị nhiễu, tín hiệu bị giảm do tác động của các thiết bị khác ( lò vi sóng....) là khơng tránh khỏi.
Tốc độ: Tốc độ của mạng Internet không dây (1 – 125 Mbps) rất chậm so với
mạng sử dụng cáp (100 Mbps đến hàng Gbps).
3.4.2. Các mối đe dọa
Mạng không dây là các mạng kết nối không sử dụng dây dẫn vật lý được thiết kế dựa trên các chuẩn IEEE 802.11 được IEEE (Viện Kỹ sư Điện và Điện tử) đưa ra cho các mạng tùy biến không dây (Wireless ad-hoc network) hoặc mạng cơ sở. Trong
97 đó các mạng cơ sở là các mạng có một hoặc nhiều điểm truy cập phới hợp lưu lượng giữa các nút còn các mạng adhoc là các mạng khơng có điểm truy cập chung; mỗi nút kết nối với nhau theo kiểu ngang hàng.
Về cơ bản có hai loại lỗ hổng tồn tại trong mạng LAN không dây. Một là lỗ hổng do cấu hình kém và một là do mã hóa kém. Cấu hình kém có ngun nhân là do quản trị viên có trách nhiệm quản lý mạn thiết lập các mật khẩu yếu, không thiết lập bảo mật bảo mật, sử dụng cấu hình mặc định và những thứ liên quan đến người dùng khác. Mã hóa kém có liên quan đến vấn đề các khóa bảo mật được sử dụng để bảo