t ấn công mạ ng khi ối WAN hế năo?
3.2.2.3Một số công cụ triển khai mô hình an toăn-an ninh
Hệthốngtườnglửa3phần(Three-PartFirewallSystem)
Ớ Tườnglửalăgì?
Tường lửa lă một công cụ phục vụ cho việc thực hiện an ninh - an toăn mạng từvòngngoăi,nhiệmvụcủanónhưlăhệthốnghăng răovòngngoăi của cơ sởcần bảo vệ. Khi kết nối hai hay nhiềuphần tử của WAN, chẳng hạn kết nối một NOC với với nhiều POP, khi đó nguy cơ mất an ninh tại câc điểnkếtnốilă rấtlớn,tườnglửală côngcụđược chọnđặttạicâc điểm kếtnốiđó.
Tường lửa trong tiếng Anh lă Firewall, lă ghĩp của 2 từ fireproof vă wall nghĩa lă ngăn không cho lửa chây lan. Trong xđy dựng, tường lửa được thiết kế để giữkhông cho lửalantừ phầnnăy củatoă nhăsang phần khâc của toă nhă khi có hoả hoạn. Trong công nghệ mạng, tường lửa được xđy dựngvớimụcđắchtươngtự,nóngănngừacâchiểmhoạtừphắacộngđồng câc mạng công cộng hay mạng INTERNET, hay tấn công văo một mạng nội bộ (internal network) của một công ty, hay một tổ chức khi mạng năy kếtnốiquamạngcôngcộng,hay INTERNET.
Ớ Chứcnăngcủahệthốngtườnglửa:
Tường lửa đặt ở cổng văo/ra của mạng, kiểm soât việc truy nhập văo/ra mạngnộibộđểngănngừatấncôngtừphắangoăivăomạngnộibộ.
Tườnglửaphải kiểmtra,phât hiện,dòtìm dấuvếttấtcảcâc dữliệuđiqua nó để lăm cơ sở cho câc quyết định (cho phĩp, loại bỏ, xâc thực, mê hoâ, ghinhậtký,..)kiểmsoâtcâcdịchvụcủamạngnóbảovệ.
Để đảmbảomứcđộan ninh-antoăncao,tường lửaphảicókhảnăngtruy nhập, phđntắchvăsửdụngcâcthôngtinvề truyềnthôngtrongcả7tầngvă câc trạngthâicủacâcphiắntruyềnthông văcâcứngdụng.Tườnglửacũng phải cókhả năngthao tâccâc câcdữ liệubằng câcphĩp toân logic,sốhọc nhằm thực hiện câc yắu cầu về an ninh -an toăn. Tườnglửa bao gồm câc thănhphần:câcbộlọchaysănglọc.
Gateway CưngVộo/ra MỰngtrong MỰngNgoội ra Vộo BĩLô BĩLô
Mềhừnht−ắnglỏa
Hình3-22:Môhìnhlogiccủatườnglửa
131
Tường lửa chắnh lă cổng (gateway) văo/ra của một mạng nội bộ (mạng trong), trắn đócó đặt2 bộlọc văo/rađể kiểmsoâtdữ liệuvăo/ra mạngnội bộ.
Xâcđịnhvịtrắđặttườnglửatronghệthốngmạnghiệnđại.
Theo truyền thống thì tường lửa được đặt tại vị trắ văo/ra mạng nội bộ (mạng được bảo vệ) vớimạng công cộng(mạng ngoăi), hay mạng internet (internet,khikếtnốivớiinternet).
Ngăy nay trong một tổ chức khi kết nối WAN có thể kết nối đoạn mạng khâc nhau, vă doyắu cầu vềan ninh -an toăncủa câc đoạn mạngđó khâc nhau. Khi đó tường lửa sẽ được đặt ởvị trắ văo/ra của câc đoạn mạng cần bảovệ.Dướiđđycâcđoạnmạng1,5,7cầnbảovệ.
MỰng12 FW MỰng1 MỰng4 FW FW MỰng 3 MỰng5 MỰng6 FW MỰng17 Hình3-23:Vịtrắđặttườnglửatrắnmạng
Dữ liệu văo/ra mạng nội bộ với mạng ngoăi đều đi qua tường lửa, do đó tườnglửacóthểkiểmsoâtvăđảmbảodữliệunăolăcóthểđượcchấpnhận (acceptable)chophĩpvăo/ramạngnộibộ.
Về mặt logic thì tường lửa lă bộ tâch, bộ hạn chế vă bộ phđn tắch. Tường lửa lă điểm thắt(choke point). Cơ chế năy bắt buộc những kẻ tấn công từ phắangoăichỉcóthểthđmnhậpvăohệthốngquamộtkắnhrấthẹp(nơinăy thể giâmsâtvăđiều khiểnđược).Cơchếnăyhoạt độngcũngtươngtựnhư câc trạmthu phắgiao thông đặttại câcđầu cầu,hay câcđiểm kiểmsoât vĩ
văocổng ởmột sđnvậnđộng.Tuy nhiắncơchếnăycómộtyếuđiểmlănó không thểngănchặn được nhữngkẻtấncôngxđm nhậpvăo hệthốngbằng câchđivòngquanó,haytấncôngtừbắntrong.
Câcmốiđedọamătườnglửacóthểchốnglạiđượclă:
132
Chống lại câc cuộc thđm nhập từ xa đến câc nguồn thông tin khi không được phĩp.
Từchối câcdịchvụ đưathôngtintừmạngngoăivăo mạngnộibộvớimục đắchlămrốiloạnhệthống.
Quản lýđượctruy nhậpramạng ngoăi,dođócấmđược truy nhậptừmạng nộibộrangoăikhicầnthiết.
Bằng cơ chế xâc thực chống lại sự giả danh để truy nhập mạng từ mạng ngoăivăo.
Ngoăi ra tường lửa còn có khả năng trợ giúp cho người quan trị hệ thống như ghi nhật ký,điểu khiển truy nhập,phât hiện câc thđm nhập đâng ngờ, cóphảnứngkhicócâctrạngthâikhảnghi,...
Ngoăi những ưu điểm đê liệt kắ ởtrắn, thì tường lửa cũng có nhược điểm như tường lửa không chống được virút, không chống lại được tin tặc tấn cốngtừcổngsau(backdoor)
Hình3-24:Môhìnhhệthốngtườnglửa3phần
Hệthốngphâthiệnđộtnhậpmạng
Nhưđê trình bầyở phần trắncông nghệ tườnglửa không thểbảo vệ an ninh- an toăn mạng đầy đủ, nó chỉ lă một phần trong mô hình an ninh-an toăn khi kếtnối WAN.Tườnglửakhôngtựnhậnrađượccâccuộctấncôngvăcũngkhôngtựngăn chặnđược câc cuộctấn côngđó.Có thể xemhệthống tườnglửanhư hăng răovă hệ thống gâc cổng văo/ra, không có khả năng phât hiện tin tặc tấn công, cũng khôngtựphảnứngđượcvớicâccuộctấncôngmănóchưabiếttrước.
133
Trongphần năy chúng ta trình bầy một công cụ phục vụ an ninh - an toăn mạng thứ hai, đó lă công nghệ phât hiện đột nhập,nó lă công cụ bổ sung cho công cụ tường lửa. Nếu tường lửa lă câc trạm gâc, thì hệ thống phât hiện đột nhập được xem như hệ thống câc camera/video theo dõi,giâm sât vă lă hệ thống bâo động. Nóthường được đặtởngay trong trạmgâc "tườnglửa",hayđặt ởcâc vịtrắquan trọng bắn trong của mạng, nhằm chủ động phât hiện ra dấu hiệu mất an ninh-an toăn,hayphâthiệnracâccuộctấncôngkhôngbiếttrước.
Hệphâthiệnđộtnhậpmạnglăgì?
Lăhệthốngnhằm phâthiệnraviệc sửdụngkhônghợpphâp tăinguyắnhệ thống, phâthiện nhữnghoạt động lạmdụng,tấn côngvăo hệ thống mâytắnh hoặc mạng mâytắnh.Hệ phâthiện độtnhập IDS (intrusiondetectionsystem) lăhệ thốngbao gồm phầnmềmvăphầncứngthựchiệnviệctheodõi,giâmsât,thunhậnthôngtin từ câc nguồn khâc nhau, sau đó phđn tắch để phât hiện ra dấu hiệu (ỘsignatureỢ) của sự đột nhập (dấu hiệu của câc hoạt động tấn công hay lạm dụng hệ thống), cảnhbâo choquảntrị hệthống, hayracâc quyếtđịnh phảnứngđể phòng vệ.Nói một câchtổng quât IDS lăhệ thống cho phĩp phât hiện câc dấu hiệulăm hại đến tắnhbảo mật,tắnh toănvẹn,vă tắnhsẵndùng của hệthống mây tắnhhay hệ thống mạng mây tắnh lăm cơ sở cho việc phản ứng lại, bảo đảm an ninh - an toăn hệ thống.
Đểphâthiệnranhữngdấuhiệucủasựđộtnhập,IDScầnphđntắchcâchoạtđộng củahệthống,đồng thờinóphải cókhảnăngchỉrahoạtđộngnăolăhoạtđộngtấn công hoặc lạm dụng hệ thống.Đôi khiđể phât hiện sựđột nhập cần phảikết hợp nhiều phương phâp phđn tắchvă quâ trình phđn tắchcũng chiara lăm nhiều bước để phâthiệnviệcđộtnhậpđêvăochưavăởmức độnăo (trướckhi,trong khi,hay sau khi đê đột nhập thănh công văo hệ thống?).Chẳng hạn một cuộc đột nhậpbị phât hiệntrướckhi xảy rathìngười quảntrị hệthống sẽdễdăng ngănchặn hoặc lă cơsở để giăng bẫy để bắt kẻ đột nhập khi chúng đột nhập vă tấn công văo hệ
thống (thuthập chứng cứcho việc truy tốsau năy).Nếu việc đột nhậpđược phât hiện trongkhi đang xảy ra, hay thậm chắ sau khi nó đê hoăn thănh, thì điều phải lăm đầu tiắn của người quản trị hệ thống lă đânh giâ mức độ gđy hại vă cô lập đoạnmạngbịtấncông.
Cơsởđểthựchiệnphảnứnglạivớinhữnghoạtđộnggđyhạithườnglăghicâcsự kiện ramột hay nhiềunhật kýhệ thống thuậntiện choviệc phđn tắchsau năy.Hệ thống phât hiện độtnhập cũng có thể được cấuhình để bâođộng khi có dấuhiệu
134
tấn công được phât hiện (dấu hiệunăy được lưu trongcơ sở dữ liệucâc dấu hiệu về câc cuộc tấn công đê được biết). Phản ứng lại vớicâc hoạt động gđy hạicũng có thể lă ngăn chặn tin tặctruy nhập văo hệ thống hoặc cho phĩp truy nhập kỉm theo giâmsât chặt,hoặckắchhoạthệ thốngtườnglửa ngănchặncâc tâcnhđn gđy hại.
Nhữnghoạtđộng độtnhập lănhữnghoạtđộng xđmnhậpvăo hệthống một câch cóýthứcmăkhôngđượcphĩpcủachủhệthống,nhằmmụcđắch:
− Truycậpcâcthôngtinkhôngđượcphĩp. − Phâhoạithôngtin.
− Phâ hoại an ninh- an toăn hệ thống, lăm cho hệ thống trở nắn không tin cậyhoặckhônghoạtđộngđược,....
Hình3-25:đồcấutrúccủamộthệthốngphâthiệnđộtnhập
Ngườiđột nhậptrongcuộc xđmnhập văomột hệ thốngmột câchcó ýthứcđược phđn lămhai dạng:từbắntrongvă từbắnngoăi. Nhữngkẻđột nhậptừbắn ngoăi lănhữngngười khôngcóquyềntruynhậpvăomâyhaymạng.Nhữngkẻxđmnhập từ bắn trong lănhững người dùnghợp phâp nhưng chỉ được cấp quyềnhạn chế
trong hệ thống.Họ hoạt động bằng câch cố gắng truy cập tới những phần mă họ không được phĩptruynhập củahệthống.Họtruy nhậpvìtòmòhoặc đểlấytrộm thôngtinkhôngđượcphĩp.
Hệphâthiệnđộtnhậplămộthệthốngcócâcchứcnăngsau:
− Theo dõi, giâm sât toăn mạng, thu nhận thông tin từ nhiều nguồn khâc nhaucủahệthống.
− Phđn tắch những thông tin đê nhận được, để phât hiện những dấu hiệu phảnânhsựlạmdụnghệthốnghoặcnhữngdấuhiệuphảnânhnhữnghoạt độngbấtthườngxảyratronghệthống.
135
− Quảnlý,phđntắchhoạtđộngcủangười sửdụnghệthống.
− Kiểm tracấu hình hệ thống vă phât hiện khả năng hệ thống có thể bịtấn công.
− Phđn tắch bằng thống kắ để phâthiện những dấu hiệu thể hiện hoạt động bấtthườngcủahệthống.
− Quản lý nhật ký của hệ điều hănh để phât hiện câc hoạt đông vi phạm quyềncủacâcngườidùng.
− Tổ chứctựđộng phản ứnglại nhữnghănh động đột nhậphay gđy hạimă nóphâthiệnra,ghinhậnnhữngkếtquảcủanó.
Hình3-26:Câcvịtrắđặthệphâthiệnđộtnhập
Hệthốngphâthiệnlỗhổnganninh
Hệ thống phât hiện lỗ hổ anninh lă hệ thống gồm câc công cụ quĩt,vă thử thăm dò tấncôngmạng.Nóđượcngườiquảntrịmạngdùng đểphâthiệnracâclỗhổng về an ninh an toăn trước khi đưa mạng văo hoạt động,vă thường xuyắn theo dõi đểnđngcấp,vâcâclỗhỏnganninh.