2.2.2.1. FireWall kiểu bộ lọc gói:
Là kiểu FireWall dùng các bộ lọc gói trên cơ sở các quy tắc truy cập: - Địa chỉ nguồn
- Địa chỉ đích
- Ứng dụng hoặc giao thức
- Số của cổng nguồn (Source Port) - Số của cổng đích (Destination Port)
Lọc gói, công nghệ Firewall nguyên thủy, thƣờng là một chức năng đƣợc tích hợp sẵn trong các router, nó kiểm soát lƣu thông dựa vào thông tin lớp mạng và lớp vận chuyển chứa trong trƣờng mào đầu (header) của các gói dữ liệu. Các thông tin này bao gồm:
- Địa chỉ IP và số của cổng nguồn - Địa chỉ IP và số của cổng đích
- Giao thức sử dụng (ví dụ: TCP, UDP, ICMP)
Những thông tin này đƣợc dùng làm tiêu chí của các quy tắc truy cập. Các quy tắc này đƣợc tổ chức thành một vài “kiểu lọc” và mỗi kiểu điều khiển lƣu thông đến FireWall qua một giao diện xác định. Bảng sau đây là một ví dụ về chính sách lọc gói.
Máy tính của tôi Máy tính khác
Hành động Tên Cổng Tên Cổng Chú giải
Ngăn chặn * * Microsoft.com * Ngăn chặn mọi thứ từ MS Cho phép My- Getway 25 * * Cho phép các e-mail đến Bảng: 1 Chính sách lọc gói
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ Ưu điểm: Giá thành thấp, CPU overhead thấp
Nhược điểm: Chỉ dựa vào thông tin của lớp mạng và lớp vận chuyển; Cấu hình “tĩnh” các cổng TCP hoặc UDP là mở cho các tin tặc (hacker) khai thác. Do nhƣợc điểm nhƣ vậy nên FireWall kiểu bộ lọc gói đã dần dần đƣợc thay thế bắng các công nghệ FireWall an toàn hơn. Tuy nhiên, trên thực tế hiện vẫn còn nhiều router vẫn dùng công nghệ lọc gói. Ngày nay, bất cứ mạng riêng nào thƣờng xuyên kết nối với Internet cũng cần những cơ chế tƣờng lửa mạnh hơn cơ chế lọc gói kiểu “tĩnh” nói trên.
2.2.2.2. FireWall kiểu cổng ứng dụng hay còn gọi là máy chủ
FireWall kiểu cổng ứng dụng hay còn gọi là máy chủ, đây là một công nghệ truyền thống khác của FireWall. Mọi kết nối giũa hai mạng đƣợc thực hiện qua một chƣơng trình ứng dụng gọi là Proxy (ủy nhiệm). Các Proxy là riêng biệt theo ứng dụng hoặc giao thức. Chỉ có giao thức mà đƣợc cấu hình theo các Proxy nói riêng mới đƣợc phép đi qua FireWall, mọi lƣu thông khác đều bị loại trừ.
Ưu điểm của FireWall kiểu cổng ứng dụng:
- Rất an toàn nếu dùng kết hợp với một FireWall lọc gói thông minh. - Các proxy đƣợc thiết kế tốt tạo ra bảo mật rất tốt.
Nhược điểm của FireWall kiểu cổng ứng dụng:
- Cần nhiều sức mạnh của CPU.
- Yêu cầu máy tính chủ chất lƣợng cao. - Hệ điều hành của máy chủ dễ bị tấn công. - Không trong suốt đối với ngƣời dùng. - Đắt tiền.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
2.2.2.3. FireWall kiểu kiểm duyệt trạng thái
Còn gọi là FireWall kiểu lọc gói động, đây là những FireWall an toàn nhất có thể có hiện nay. Với công nghệ FireWall thế hệ thứ 3, thƣờng đƣợc gọi là “lọc gói động”, có thể hiểu đƣợc dữ liệu trong các gói tin từ lớp mạng (các trƣờng mào đầu) tới lớp ứng dụng; theo dõi trang thái của các phiên liên lạc.
Các FireWall kiểu kiểm duyệt trạng thái mở và đóng các cổng theo kiểu động (các điểm kết nối theo ứng dụng) trên cơ sở các chính sách truy cập. (FireWall kiểm tra các chính sách để xác nhận tính hợp lệ của máy tính gửi dữ liệu và cho phép lƣu thông chuyển tới mạng công cộng).
Ưu điểm của FireWall kiểu kiểm duyệt trạng thái:
- Giám sát trạng thái của mọi luồng dữ liệu.
- Làm cho các bộ lọc thích nghi một cách động trên cơ sở các chính sách và các quy tắc.
- Dễ thích nghi với các ứng dụng Internet mới. - Trong suốt đối với ngƣời dùng.
- Không cần nhiều sức mạnh của CPU.
Nhược điểm của FireWall kiểm duyệt trạng thái:
- Cần có chƣơng trình client mới.
- Sự sẵn có mã nguồn đối với nhiều nền tảng khác nhau có thể gây ảnh hƣởng tới chính sách bảo mật[11].
2.2.3. Những đe dọa FireWall không thể chống lại
Virus và các chương trình Trojan horse
FireWall không thể chống lại các virus hoặc các chƣơng trình trojan horse. Hiển nhiên thấy rằng các virus có thể làm mà không đếm xỉa đến việc có sử dụng FireWall hay không. Một FireWall không thể biết đƣợc (không cần thiết) bên trong gói tin có nội dung nhƣ thế nào. Việc chống lại virus là do
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
ý thức ngƣời sử dụng, có tuân theo những quy tắc tối thiểu cho việc chống virus hay không.
Giả sử đối phƣơng tìm cách cài vào trong hệ thống mạng đƣợc bảo vệ một phần mềm gián điệp nhằm chuyển thông tin đến một số nơi thu nhận thông tin trái phép đã xác định trƣớc hoặc phần mềm này cho phép đối phƣơng can thiệp vào trong hệ thống. Vì lí do phần mềm gián điệp ở trong hệ thống mạng đƣợc bảo vệ và nếu đối phƣơng ở bên ngoài cũng giả mạo một địa chỉ hợp pháp thì chắc chắn FireWall sẽ cho phép phần mềm nối ra ngoài. Tấn công này rất nguy hiểm.
Tấn công từ bên trong
Vai trò chính của FireWall là chặn thông tin từ bên ngoài đi tới. Việc tấn công từ bên trong, việc phát hiện ra và ngăn chặn không phải là điều dễ dàng. Chỉ trong trƣờng hợp mạng đƣợc chia càng nhỏ, sự tấn công giữa các bộ phận vì thế có thể giảm xuống. Một điều hiển nhiên là những tấn công từ bên trong thƣờng gây thiệt hại nghiêm trọng hơn rất nhiều và khó phát hiện hơn các tấn công từ bên ngoài. Đây là vấn đề tin cậy nội bộ.
FireWall không phản ứng với tấn công sửa đổi nội dụng dữ liệu và đưa thêm tin xấu
FireWall không có cơ chế kiểm tra nội dung thông tin của các gói tin nên nó không thể biết đƣợc nội dung đó có gì. Nếu gói tin đó có nội dung xấu thì FireWall vẫn cho đi vào mạng đƣợc bảo vệ.
Tấn công phát ngược lại (replay) có thể đánh lừa được FireWall
Ví dụ nhƣ một kênh đã đƣợc sát thực và mã hóa, hacker sẽ không thể giả danh để đánh lừa và truy cập vào server. Tuy nhiên chúng chỉ cần thu các gói tin hoặc thông tin trao đổi giữa client và server, sau đó sử dụng các gói tin hoặc thông tin client đã phát đi để truyền tiếp lần nữa đến server để đánh lừa server. Hầu hết các thông tin mà hacker phát ngƣợc lại đã đƣợc FireWall chấp
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
nhận nên nó không phân biệt đƣợc các thông tin này và vẫn cho đi vào mạng đƣợc bảo vệ.
FireWall hoàn toàn bất lực trước tấn công cướp kênh truyền (Hijacking):
Kẻ tấn công sẽ cƣớp các kết nối đã khởi tạo giữa client và server, thậm chí chúng có thể cƣớp cả kênh đã xác thực giữa client và server nếu kênh đó không mã hóa. Giả sử chúng muốn đóng giả là client, đối phƣơng sẽ bẻ kết nối từ client đến server thành kết nối từ hacker đến server, khi này máy hacker đóng giả có định danh là máy client. FireWall sẽ không kiểm tra đƣợc sự giả mạo này, còn server vẫn chấp nhận kết nối mới.
Hình 3: Tấn công cƣớp kênh truyền
FireWall có thể bị đánh lừa bởi tấn công bởi bên thứ ba:
Đối phƣơng không tấn công trực tiếp vào tài nguyên hay các dịch vụ của ta cung cấp, nhƣng chúng mạo danh sử dụng các tài nguyên của một bên thứ 3 mà chúng ta tin tƣởng để làm bàn đạp. Khi này FireWall không đề phòng vì nó tin tƣởng bên thứ 3 là an toàn.
Mọi thông tin tấn công theo phƣơng pháp xác thực giả mạo phía client đều đƣợc FireWall cho đi qua:
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Bằng cách nào đó hacker tìm cách thu trộm các thông tin của nạn nhân nhƣ tên ngƣời sử dụng và mật khẩu, sau đó sử dụng chúng để giả mạo kết nối đến server. Ví dụ hacker thu trộm mật khẩu đã đƣợc mã hóa của client và gửi nguyên bản đến server mà không cần giải mã để đánh lừa server. Trƣờng hợp này FireWall không chống đƣợc vì các thông tin trên đều đã đƣợc FireWall chấp nhận trƣớc đó.
FireWall không chống lại được tấn công kéo theo dữ liệu khi truyền:
Đây là dạng tấn công có liên quan đến giữ liệu đƣợc truyền theo một giao thức. Ví dụ nhƣ virus, bom thƣ kèm theo thƣ điện tử hoặc có thể lấy cắp số thẻ tín dụng khi khách hàng thanh toán qua mạng. Nếu nhƣ bom thƣ đƣợc đính kèm thƣ thì FireWall không thể kiểm soát nội dung mà vẫn cho bức thƣ này đi vào mạng đƣợc bảo vệ.
FireWall không thể kiểm soát được những thông tin không đi qua nó:
Ví dụ nhƣ một ngƣời sử dụng modem quay số kết nối trực tiếp với bên ngoài thì FireWall không thể kiểm soát đƣợc những thông tin này.
FireWall không chống lại được tấn công thu trộm thông tin trên kênh truyền:
Việc xây dựng một phần mềm thu trộm mọi gói tin khi trao đổi giữa trạm A và trạm B khi truyền qua mạng là khá đơn giản, đối phƣơng đánh cắp giữ liệu mà không cần đột nhập vào máy đƣợc bảo vệ. Nếu các gói tin này không đƣợc mã hóa hoặc mã hóa yếu thì đối phƣơng đã có nội dung chúng cần.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Hình 4: Tấn công thu trộm thông tin trên kênh truyền
Có thể nói FireWall bảo vệ đƣợc rất nhiều nhƣng không phải là tất cả. Một sự an ninh tin cậy chỉ có thể có đƣợc khi kết hợp FireWall với nhiều yếu tố khác, đặc biệt là ý thức bảo vệ của bản thân ngƣời sử dụng hệ thống. Không nên cho rằng, khi cài đặt thành công một FireWall là mạng máy tính đã hoàn toàn yên ổn. Điều này giống nhƣ khi ta tin rằng chỉ cần ngƣời bảo vệ là có thể tránh khỏi mọi vụ trộm trong tòa nhà[7].
2.3. Các kỹ thuật mã hoá
2.3.1. Tổng quan về mã hóa:
Mã hóa là phƣơng pháp để biến thông tin (phim ảnh, văn bản, hình ảnh) từ định dạng bình thƣờng sang dạng thông tin không thể hiểu đƣợc nếu không có phƣơng tiện giải mã. Mã hóa đã xuất hiện từ rất sớm, đƣợc con ngƣời tâm chung nghiên cứu. Cho đến nay nghiên cứu mã hóa đã trở thành một ngành là mật mã học.
Mục đích mã hóa là giúp ngƣời gửi, gửi thông điệp đến ngƣời nhận đƣợc bảo đảm bí mật không để ngƣời khác biết đƣợc. Trong quá trình gửi tin thông tin đƣợc truyền trong môi trƣờng mạng phức tạp khó kiểm soát và tin tắc có thể bắt đƣợc các gói tin trên môi trƣờng truyền tin.
Vậy để thông tin đƣợc dữ bí mật thì thông tin phải đƣợc mã hóa để không thể đọc đƣợc phòng trƣờng hợp tin tặc đánh cắp đƣợc trong môi trƣờng
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
truyền tin. Cho dù tin tặc có thể bắt đƣợc các gói tin cũng không thể đọc đƣợc thông tin.
Khi đến ngƣời nhận thông tin cần phải đƣợc giải mã trở lại để trở thành bản rõ ban đầu để ngƣời nhận hiểu đƣợc thông tiệp của ngƣời gửi.
Phát triển cùng với lịch sử loài ngƣời mã hóa đƣợc chia thành 02 giai đoạn là mã hóa cổ điển (trƣớc 1970) và mã hóa hiện đại (từ 1970 đến nay).
Ở mã hóa cổ điển con ngƣời cố gắng tìm một cách để bảo vệ thông tin, tránh việc thông tin bị giải mã khi ngƣời khác có đƣợc chúng. Các cách áp dụng đó thƣờng dùng một số cách đơn giản và có thể dễ dàng bị giải mã nếu thông tin về cách thức che giấu bị lộ hoặc bị suy đoán. Đƣợc áp dụng nhiều trong lĩnh vực quân đội. Các phƣơng pháp mã hóa cổ điển đã đƣợc áp dụng nhƣ các loại mật mã thay thế nhƣ mật mã Ceasar, mật mã Playfair, mật mã Hill, mật mã Vigenere hoặc các loại mật mã hoán vị nhƣ mật mã rail-fence.
Ví dụ: Mã hóa văn bản gốc có nội dung là “CAO HOC K10B” với mã là dịch vòng 1 đơn vị đối với bảng mã ASCII.
Bản rõ là chuỗi: C A O H O C K 1 0 B
Biến đổi bản rõ ra mã ASCII ta đƣợc: 43 41 4F 20 48 4F 43 20 4B 31 30 42
Dịch vòng bản rõ 1 đơn vị ta có bản mã: 44 42 50 21 49 50 44 21 4C 32 31 43
Hiển thị bảng mã dƣới dạng chuỗi: D B P ! I P D ! L 2 1 C
Ngƣời ngửi sẽ gửi chuỗi đã đƣợc mã hóa: D B P ! I P D ! L 2 1 C
Ngƣời nhận giải mã sẽ thu đƣợc bản rõ là: C A O H O C K 1 0 B
Sự cần thiết phải có các phƣơng pháp mã hóa an toàn hơn đã đƣợc đáp ứng bằng việc áp dụng các kết quả nghiên cứu của toán học. Sự thay đổi về phƣơng pháp mã hóa cũng nhƣ độ an toàn của các hệ mã mới đã đƣa lịch sử của mật mã học sang trang mới. Các hệ mật mã với khóa mã đối xứng đã góp phần to lớn trong việc củng cố vai trò của mật mã học trong các ứng dụng của con ngƣời. Đƣa mật mã đến với cả các ứng dụng trong cuộc sống đời thƣờng
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
của con ngƣời, mật mã không còn chỉ đƣợc nhắc đến nhiều trong lĩnh vực quân sự. Ứng của mật mã học đã trở thành một công cụ cần thiết cho mọi ngƣời, cần thiết cho các hoạt động thƣờng ngày. Các phƣơng pháp mã hóa khác nhau có những ƣu, nhƣợc điểm khác nhau. Khi sử dụng các phƣơng pháp mã hóa, ngƣời dùng sẽ cân nhắc để lựa chọn phƣơng pháp mã hóa thích hợp nhất đối với mình.
Hệ mật mã hiện đại thƣờng gồm 5 thành phần (P, C, K, E, D)
Nội dung cần mã hóa thể hiện dƣới dạng bản rõ (P). Ngƣời gửi sử dụng qui tắc (E) và khóa (K) mã hoá bản rõ (P), kết quả thu đƣợc gọi là bản mã (EK (P) = C). Bản mã này đƣợc gửi đi trên một đƣờng truyền tới ngƣời nhận, sau khi nhận đƣợc bản mã (C) ngƣời nhận sử dụng qui tắc (D) và khóa (K) giải mã nó để hiểu đƣợc nội dung thông điệp gốc (DK’(C) = P) [4,Tr92].
Hệ mật mã hiện đại cần đảm bảo đƣợc yêu cầu đảm bảo tính bảo mật: ngăn không để ngƣời lạ thực hiện việc trích chọn, sửa đổi thông tin từ các bản mã đƣợc gửi trên các kênh truyền phổ biến (thƣờng không an toàn).
* Hệ mã hóa đối xứng
Nhƣ tên gọi của hệ mã hóa “đối xứng”. Công việc giải mã đƣợc tiến hành ngƣợc lại với mã hóa, giải mã bằng chính khóa đã dùng để mã hóa.
Mối trƣờng truyền tin
Bản rõ Bản mã Bản mã Bản rõ
Ngƣời gửi Ngƣời nhận
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Mục đích: ngƣời gửi thực hiện gửi thông điệp cho ngƣời nhận một cách bí mật không cho ngƣời ngoài biết.
Quá trình gửi: ngƣời gửi tiến hành mã hóa bản rõ bằng một khóa bí mật nào đó, sau đó gửi bản mã này đến ngƣời nhận.
Quá trình nhận: ngƣời nhận nhận đƣợc bản mã dùng chính khóa mà ngƣời gửi đã khóa để giải mã chi ra bản rõ có thể đọc đƣợc thông điệp.
Đi cùng với lịch sử đã có rất nhiều hệ mã hóa đối xứng nổi tiếng nhƣ:
Twofish, Serpent, Blowfish, CAST5, RC4, DES, Triple DES, và IDEA ... chúng đƣợc thiết kế và áp dụng hiểu quả trên thiết bị thông tin. Nhƣng do công nghệ liên tục phát triển các hệ mã hóa trên đã rần bộc lỗ những điểm yếu khiến tin tắc có thể khai thác để đọc đƣợc các thông tin mật.
Hiện nay các thuật toán trên đƣợc thay bằng thuật toán “Tiêu chuẩn mã hóa tiên tiến - AES” có độ bảo mật cao và chƣa phát hiện lỗ hổng bảo mật. AES hiện đang đƣợc cài đặt ở rất nhiều các thiết bị phần mềm, phần cứng trong hệ thống thông tin hiện nay.
Hệ mã hóa đối xứng có tốc độ nhanh, độ an toàn cao nhƣng có một
nhược điểm là thông báo khóa cho người nhận biết được khóa để thực hiện giải mã. Ta không thể mã hóa cả khóa vì nếu gửi khóa K bằng cách mã hóa dữ liệu khóa thì vẫn phải dùng một khóa khác K2 để thực hiện mã hóa, vậy