3 Chương III – Mạng WAN và thiết kế mạng WAN
3.2 Thiết kế mạng WAN
3.2.2.3 Một số công cụ triển khai mô hình an toàn-an ninh
Hệ thống tường lửa 3 phần(Three-Part Firewall System)
• Tường lửa là gì?
Tường lửa là một cơng cụ phục vụ cho việc thực hiện an ninh - an tồn mạng từ vịng ngồi, nhiệm vụ của nó như là hệ thống hàng rào vịng ngồi của cơ sở cần bảo vệ. Khi kết nối hai hay nhiều phần tử của WAN, chẳng hạn kết nối một NOC với với nhiều POP, khi đó nguy cơ mất an ninh tại các điển kết nối là rất lớn, tường lửa là công cụ được chọn đặt tại các điểm kết nối đó.
Tường lửa trong tiếng Anh là Firewall, là ghép của 2 từ fireproof và wall nghĩa là ngăn không cho lửa cháy lan. Trong xây dựng, tường lửa được thiết kế để giữ không cho lửa lan từ phần này của toà nhà sang phần khác của toà nhà khi có hoả hoạn. Trong cơng nghệ mạng, tường lửa được xây dựng với mục đích tương tự, nó ngăn ngừa các hiểm hoạ từ phía cộng đồng
Bé Läc Bé Läc
các mạng công cộng hay mạng INTERNET, hay tấn công vào một mạng nội bộ (internal network) của một công ty, hay một tổ chức khi mạng này kết nối qua mạng công cộng, hay INTERNET.
• Chức năng của hệ thống tường lửa:
Tường lửa đặt ở cổng vào/ra của mạng, kiểm soát việc truy nhập vào/ra mạng nội bộ để ngăn ngừa tấn công từ phía ngồi vào mạng nội bộ.
Tường lửa phải kiểm tra, phát hiện, dị tìm dấu vết tất cả các dữ liệu đi qua nó để làm cơ sở cho các quyết định (cho phép, loại bỏ, xác thực, mã hoá, ghi nhật ký,..) kiểm sốt các dịch vụ của mạng nó bảo vệ.
Để đảm bảo mức độ an ninh - an toàn cao, tường lửa phải có khả năng truy nhập, phân tích và sử dụng các thông tin về truyền thông trong cả 7 tầng và các trạng thái của các phiên truyền thơng và các ứng dụng. Tường lửa cũng phải có khả năng thao tác các các dữ liệu bằng các phép toán logic, số học nhằm thực hiện các yêu cầu về an ninh - an toàn. Tường lửa bao gồm các thành phần: các bộ lọc hay sàng lọc.
Gateway Cỉng Vào/ra
Mạng trong M¹ng Ngồi
Mơ h×nh t−êng lưa
Hình 3-22: Mơ hình logic của tường lửa
131
Tường lửa chính là cổng (gateway) vào/ra của một mạng nội bộ (mạng trong), trên đó có đặt 2 bộ lọc vào/ra để kiểm soát dữ liệu vào/ra mạng nội bộ.
Xác định vị trí đặt tường lửa trong hệ thống mạng hiện đại.
Theo truyền thống thì tường lửa được đặt tại vị trí vào/ra mạng nội bộ (mạng được bảo vệ) với mạng cơng cộng(mạng ngồi), hay mạng internet ( internet, khi kết nối với internet).
Ngày nay trong một tổ chức khi kết nối WAN có thể kết nối đoạn mạng khác nhau, và do yêu cầu về an ninh - an toàn của các đoạn mạng đó khác nhau. Khi đó tường lửa sẽ được đặt ở vị trí vào/ra của các đoạn mạng cần
bảo vệ. Dưới đây các đoạn mạng 1, 5, 7 cần bảo vệ. M¹ng12 FW M¹ng 1 M¹ng 4 FW FW M¹ng 3 M¹ng 5 M¹ng 6 FW M¹ng17
Hình 3-23: Vị trí đặt tường lửa trên mạng
Dữ liệu vào/ra mạng nội bộ với mạng ngoài đều đi qua tường lửa, do đó tường lửa có thể kiểm sốt và đảm bảo dữ liệu nào là có thể được chấp nhận (acceptable) cho phép vào/ra mạng nội bộ.
Về mặt logic thì tường lửa là bộ tách, bộ hạn chế và bộ phân tích. Tường lửa là điểm thắt(choke point). Cơ chế này bắt buộc những kẻ tấn cơng từ phía ngồi chỉ có thể thâm nhập vào hệ thống qua một kênh rất hẹp (nơi này thể giám sát và điều khiển được). Cơ chế này hoạt động cũng tương tự như các trạm thu phí giao thông đặt tại các đầu cầu, hay các điểm kiểm soát vé vào cổng ở một sân vận động. Tuy nhiên cơ chế này có một yếu điểm là nó khơng thể ngăn chặn được những kẻ tấn công xâm nhập vào hệ thống bằng cách đi vịng qua nó, hay tấn cơng từ bên trong.
Các mối đe dọa mà tường lửa có thể chống lại được là:
132
Chống lại các cuộc thâm nhập từ xa đến các nguồn thông tin khi không được phép.
Từ chối các dịch vụ đưa thơng tin từ mạng ngồi vào mạng nội bộ với mục đích làm rối loạn hệ thống.
Quản lý được truy nhập ra mạng ngồi, do đó cấm được truy nhập từ mạng nội bộ ra ngoài khi cần thiết.
Bằng cơ chế xác thực chống lại sự giả danh để truy nhập mạng từ mạng ngoài vào.
Ngoài ra tường lửa cịn có khả năng trợ giúp cho người quan trị hệ thống như ghi nhật ký, điểu khiển truy nhập, phát hiện các thâm nhập đáng ngờ, có phản ứng khi có các trạng thái khả nghi, ...
Ngồi những ưu điểm đã liệt kê ở trên, thì tường lửa cũng có nhược điểm như tường lửa không chống được virút, không chống lại được tin tặc tấn cống từ cổng sau (backdoor)
Hình 3-24: Mơ hình hệ thống tường lửa 3 phần
Hệ thống phát hiện đột nhập mạng Giới thiệu
Như đã trình bầy ở phần trên công nghệ tường lửa không thể bảo vệ an ninh - an tồn mạng đầy đủ, nó chỉ là một phần trong mơ hình an ninh-an tồn khi kết nối WAN. Tường lửa không tự nhận ra được các cuộc tấn công và cũng không tự ngăn chặn được các cuộc tấn cơng đó. Có thể xem hệ thống tường lửa như hàng rào và hệ thống gác cổng vào/ra, khơng có khả năng phát hiện tin tặc tấn công, cũng không tự phản ứng được với các cuộc tấn cơng mà nó chưa biết trước .
133
Trong phần này chúng ta trình bầy một cơng cụ phục vụ an ninh - an tồn mạng thứ hai, đó là cơng nghệ phát hiện đột nhập, nó là công cụ bổ sung cho công cụ
tường lửa. Nếu tường lửa là các trạm gác, thì hệ thống phát hiện đột nhập được xem như hệ thống các camera/video theo dõi, giám sát và là hệ thống báo động. Nó thường được đặt ở ngay trong trạm gác "tường lửa", hay đặt ở các vị trí quan trọng bên trong của mạng, nhằm chủ động phát hiện ra dấu hiệu mất an ninh-an tồn, hay phát hiện ra các cuộc tấn cơng khơng biết trước.
Hệ phát hiện đột nhập mạng là gì?
Là hệ thống nhằm phát hiện ra việc sử dụng không hợp pháp tài nguyên hệ thống, phát hiện những hoạt động lạm dụng, tấn cơng vào hệ thống máy tính hoặc mạng máy tính. Hệ phát hiện đột nhập IDS (intrusion detection system) là hệ thống bao gồm phần mềm và phần cứng thực hiện việc theo dõi, giám sát, thu nhận thông tin từ các nguồn khác nhau, sau đó phân tích để phát hiện ra dấu hiệu (“signature”) của sự đột nhập (dấu hiệu của các hoạt động tấn công hay lạm dụng hệ thống), cảnh báo cho quản trị hệ thống, hay ra các quyết định phản ứng để phịng vệ. Nói một cách tổng quát IDS là hệ thống cho phép phát hiện các dấu hiệu làm hại đến tính bảo mật, tính tồn vẹn, và tính sẵn dùng của hệ thống máy tính hay hệ thống mạng máy tính làm cơ sở cho việc phản ứng lại, bảo đảm an ninh - an toàn hệ thống.
Để phát hiện ra những dấu hiệu của sự đột nhập, IDS cần phân tích các hoạt động của hệ thống, đồng thời nó phải có khả năng chỉ ra hoạt động nào là hoạt động tấn công hoặc lạm dụng hệ thống. Đôi khi để phát hiện sự đột nhập cần phải kết hợp nhiều phương pháp phân tích và q trình phân tích cũng chia ra làm nhiều bước để phát hiện việc đột nhập đã vào chưa và ở mức độ nào (trước khi, trong khi, hay sau khi đã đột nhập thành công vào hệ thống?). Chẳng hạn một cuộc đột nhập bị phát hiện trước khi xảy ra thì người quản trị hệ thống sẽ dễ dàng ngăn chặn hoặc là cơ sở để giăng bẫy để bắt kẻ đột nhập khi chúng đột nhập và tấn công vào hệ thống (thu thập chứng cứ cho việc truy tố sau này). Nếu việc đột nhập được phát hiện trong khi đang xảy ra, hay thậm chí sau khi nó đã hồn thành, thì điều phải làm đầu tiên của người quản trị hệ thống là đánh giá mức độ gây hại và cô lập đoạn mạng bị tấn công.
Cơ sở để thực hiện phản ứng lại với những hoạt động gây hại thường là ghi các sự kiện ra một hay nhiều nhật ký hệ thống thuận tiện cho việc phân tích sau này. Hệ thống phát hiện đột nhập cũng có thể được cấu hình để báo động khi có dấu hiệu
tấn cơng được phát hiện (dấu hiệu này được lưu trong cơ sở dữ liệu các dấu hiệu về các cuộc tấn công đã được biết). Phản ứng lại với các hoạt động gây hại cũng có thể là ngăn chặn tin tặc truy nhập vào hệ thống hoặc cho phép truy nhập kèm theo giám sát chặt, hoặc kích hoạt hệ thống tường lửa ngăn chặn các tác nhân gây hại.
Những hoạt động đột nhập là những hoạt động xâm nhập vào hệ thống một cách có ý thức mà khơng được phép của chủ hệ thống, nhằm mục đích:
− Truy cập các thông tin không được phép. − Phá hoại thông tin.
− Phá hoại an ninh- an toàn hệ thống, làm cho hệ thống trở nên không tin
cậy hoặc không hoạt động được,....
Hình 3-25: đồ cấu trúc của một hệ thống phát hiện đột nhập
Người đột nhập trong cuộc xâm nhập vào một hệ thống một cách có ý thức được phân làm hai dạng: từ bên trong và từ bên ngoài. Những kẻ đột nhập từ bên ngồi là những người khơng có quyền truy nhập vào máy hay mạng. Những kẻ xâm nhập từ bên trong là những người dùng hợp pháp nhưng chỉ được cấp quyền hạn chế trong hệ thống. Họ hoạt động bằng cách cố gắng truy cập tới những phần mà họ không được phép truy nhập của hệ thống. Họ truy nhập vì tị mị hoặc để lấy trộm thơng tin không được phép.
Hệ phát hiện đột nhập là một hệ thống có các chức năng sau:
− Theo dõi, giám sát tồn mạng, thu nhận thơng tin từ nhiều nguồn khác
nhau của hệ thống.
phản ánh sự lạm dụng hệ thống hoặc những dấu hiệu phản ánh những hoạt động bất thường xảy ra trong hệ thống.
135
− Quản lý, phân tích hoạt động của người sử dụng hệ thống.
− Kiểm tra cấu hình hệ thống và phát hiện khả năng hệ thống có thể bị tấn cơng.
− Phân tích bằng thống kê để phát hiện những dấu hiệu thể hiện hoạt động bất thường của hệ thống.
− Quản lý nhật ký của hệ điều hành để phát hiện các hoạt đông vi phạm
quyền của các người dùng.
− Tổ chức tự động phản ứng lại những hành động đột nhập hay gây hại mà nó phát hiện ra, ghi nhận những kết quả của nó.
Hình 3-26: Các vị trí đặt hệ phát hiện đột nhập
Hệ thống phát hiện lỗ hổng an ninh
Hệ thống phát hiện lỗ hổ an ninh là hệ thống gồm các công cụ qt, và thử thăm dị tấn cơng mạng. Nó được người quản trị mạng dùng để phát hiện ra các lỗ hổng về an ninh an toàn trước khi đưa mạng vào hoạt động, và thường xuyên theo dõi để nâng cấp, vá các lỗ hỏng an ninh.