Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
2.1.1.6. Chớnh sỏch xõy dựng firewall.
Một số giải phỏp và nguyờn tắc cơ bản khi xõy dựng firewall
a. Quyền hạn tối thiểu (Least Privilege).
Nguyờn tắc này cú nghĩa là bất cứ một đối tƣợng nào bờn trong hệ thống chỉ nờn cú những quyền hạn nhất định.
b. Bảo vệ theo chiều sõu (Defense in Depth).
Lắp đặt nhiều cơ chế an toàn để cú thể hỗ trợ lẫn nhau. Vỡ vậy firewall đƣợc xõy dựng theo cơ chế cú nhiều lớp bảo vệ là hợp lý nhất.
c. Nỳt thắt (Choke Point).
Một nỳt thắt bắt buộc những kẻ đột nhập phải đi qua một ngừ hẹp mà ngƣời quản trị cú thể kiểm soỏt.
d. Điểm xung yếu nhất (Weakest Link).
Cần phải tỡm ra những điểm yếu của hệ thống để cú phƣơng ỏn bảo vệ, trỏnh đối tƣợng tấn cụng lợi dụng để truy cập trỏi phộp.
e. Hỏng trong an toàn (Fail-Safe Stance).
Nếu hệ thống đang hỏng thỡ phải hỏng theo một cỏch nào đú để ngăn chặn sự truy cập bất hợp phỏp tốt hơn là để cho kẻ tấn cụng lọt vào phỏ hệ thống.
f. Sự tham gia toàn cầu.
Cỏc hệ thống mạng phải cú biện phỏp bảo vệ an toàn. Nếu khụng, đối tƣợng truy cập bất hợp phỏp cú thể truy cập vào hệ thống này, sau đú truy cập sang hệ thống khỏc.
g. Tớnh đa dạng của việc bảo vệ.
Áp dụng nhiều biện phỏp bảo vệ thụng tin dữ liệu trong hệ thống mạng theo chiều sõu.
h. Tuõn thủ cỏc nguyờn tắc căn bản (Rule Base).
Thực hiện theo một số quy tắc nhất định, khi cú một gúi tin đi qua firewall thỡ phải dựa vào cỏc quy tắc đề ra để phõn tớch và lọc gúi tin.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
i. Xõy dựng chớnh sỏch an toàn (Security Policy).
Firewall phải đƣợc thiết kế, xõy dựng bằng một chớnh sỏch an toàn sẽ tạo ra đƣợc sức mạnh và hiệu quả. Một số chớnh sỏch an toàn nhƣ sau:
- Hạn chế những mỏy trong mạng nội bộ đƣợc truy cập internet.
- Thụng tin vào ra trong mạng nội bộ đều phải đƣợc xỏc thực và mó húa.
j. Thứ tự cỏc quy tắc trong bảng (Sequence of Rule Base)
Cần phải quan tõm đến thứ tự, cấp độ của quy tắc và trong đú cú một số quy tắc đặc biệt. Đa số cỏc firewall kiểm tra cỏc gúi tin một cỏch tuần tự và liờn tục, khi firewall nhận một gúi tin, nú sẽ kiểm tra gúi tin đú cú đỳng với nguyờn tắc hay khụng cho đến khi cú quy tắc nào thỏa món thỡ nú thực thi theo quy tắc đú.
k. Cỏc quy tắc căn bản (Rule Base).
- Khụng cú gúi tin nào cú thể đi qua đƣợc, bất kể gúi tin đú là gỡ. - Đầu tiờn cho phộp đi từ trong ra ngoài mà khụng cú hạn chế nào. - Hạn chế tất cả khụng cú phộp một sự xõm nhập nào vào firewall. - Khụng ai cú thể kết nối với firewall, bao gồm cả Admin, phải tạo ra một quy tắc để cho phộp Admin truy cập đƣợc vào firewall.
2.1.2. IP Security
2.1.2.1. Tổng quan
PSec (IP Security) bao gồm cỏc giao thức để bảo mật quỏ trỡnh truyền thụng tin trờn nền tảng Internet Protocol (IP). Gồm xỏc thực và/hoặc mó húa (Authenticating, Encrypting) cho mỗi gúi IP (IP Packet) trong quỏ trỡnh truyền thụng tin. Giao thức IPSec đƣợc làm việc tại tầng Network Layer của mụ hỡnh OSI – Hỡnh 3-6.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
2.1.2.2. Cấu trỳc bảo mật
Khi IPSec đƣợc triển khai, cấu trỳc bảo mật của nú gồm: Sử dụng cỏc giao thức cung cấp mật mó nhằm bảo mật gúi tin; Cung cấp phƣơng thức xỏc thực; Thiết lập cỏc thụng số mó húa.
Hỡnh 2.6. Mụ hỡnh OSI (Open System Interconnection) 2.1.2.3. Thực trạng
IPSec là một phần bắt buộc của Ipv6, cú thể đƣợc lựa chọn khi sử dụng Ipv4. Trong khi cỏc chuẩn đó đƣợc thiết kế cho cỏc phiờn bản IP giống nhau, phổ biến nhất hiện nay là ỏp dụng và triển khai trờn nền tảng Ipv4.
2.1.2.4. Thiết kế theo yờu cầu
IPSec đƣợc cung cấp bởi Transport Mode (End-to-End) đỏp ứng bảo mật giữa cỏc mỏy tớnh giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel Mode (Portal-to-Portal) cho cỏc giao tiếp giữa hai mạng với nhau và chủ yếu đƣợc sử dụng khi kết nối VPN. IPSec đó đƣợc giới thiệu và cung cấp cỏc dịch vụ bảo mật:
- Mó húa quỏ trỡnh truyền thụng tin; Đảm bảo tớnh nguyờn vẹn của dữ liệu; Đƣợc xỏc thực giữa cỏc giao tiếp; Chống quỏ trỡnh Replay trong cỏc phiờn bảo mật; Modes – Cỏc mode.
Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/
- Cú hai mode thực hiện IPSec đú là:
+ Transport Mode: Chỉ những dữ liệu giao tiếp cỏc gúi tin đƣợc mó húa và/hoặc xỏc thực.
+ Tunnel Mode: Tồn bộ gúi IP đƣợc mó húa và xỏc thực.
2.1.2.5. Mụ tả kỹ thuật
Cú hai giao thức cung cấp để bảo mật cho gúi tin của cả hai phiờn bản Ipv4 và Ipv6:
- IP Authentication Header: Giỳp đảm bảo tớnh toàn vẹn và cung cấp xỏc thực.
- IP Encapsolating Security Payload: Cung cấp bảo mật và cú thể lựa chọn cả tớnh năng Authentication và Integrity để đảm bảo tớnh toàn vẹn dữ liệu.
a. Giao thức Authentication Header (AH).
AH đƣợc sử dụng trong cỏc kết nối khụng cú tớnh đảm bảo dữ liệu. Là lựa chọn nhằm chống lại cỏc tấn cụng Replay Attack bằng cỏch sử dụng cụng nghệ tấn cụng Sliding Windows và Discarding Older Packets. Hỡnh 3-7 là mụ tả của AH.
Cỏc Model thực hiện:
- Next Header: Nhận dạng giao thức trong sử dụng truyền thụng tin. - Payload Length: Độ lớn của gúi tin AH.
- Reserved: Sử dụng trong tƣơng lai (đƣợc biểu diễn bằng cỏc số 0).