• Firewall khụng đủ thụng minh như con người để cú thể đọc hiểu từng loại thụng tin và phõn tớch nội dung tốt hay xấu của nú. Firewall chỉ cú thể ngăn chặn sự xõm nhập của những nguồn thụng tin khụng mong muốn nhưng phải xỏc định rừ cỏc thụng số địa chỉ.
• Firewall khụng thể ngăn chặn một cuộc tấn cụng nếu cuộc tấn cụng này khụng “đi qua” nú. Một cỏch cụ thể, Firewall khụng thể chống lại một cuộc tấn cụng từ một đường dial–up, hoặc sự dũ rỉ thụng tin do dữ liệu bị sao chộp bất hợp phỏp lờn đĩa mềm.
• Firewall cũng khụng thể chống lại cỏc cuộc tấn cụng bằng dữ liệu (data–drivent attack). Khi cú một số chương trỡnh được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đõy.
• Firewall khụng thể làm nhiệm vụ rà quột virus trờn cỏc dữ liệu được chuyển qua nú, do tốc độ làm việc, sự xuất hiện liờn tục của cỏc virus mới và do cú rất nhiều cỏch để mó húa dữ liệu, thoỏt khỏi khả năng kiểm soỏt của Firewall (một Vớ Dụ là cỏc virus mỏy tớnh)
Chương 2: Những kiến trúc cơ bản của Firewall
Dưới đõy sẽ đưa ra một số kiến trỳc Firewall cơ bản, cỏc kiến trỳc khỏc cú thể mở rộng từ kiến trỳc này tựy theo cấu trỳc kết nối của mạng.
2.1. Kiến trỳc Dual – homed Host
Hỡnh 36: Sơ đồ kiến trỳc Dual–homed Host
Dual–homed Host là hỡnh thức xuất hiện đầu tiờn trong cuộc đấu để bảo vệ mạng nội bộ. Dual–homed Host là một mỏy tớnh cú hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet).
Hệ điều hành của Dual–homed Host được sửa đổi để chức năng chuyển cỏc gúi tin (Packet forwarding) giữa hai giao tiếp mạng này khụng hoạt động. Để làm việc được với một mỏy trờn Internet, người dựng ở mạng cục bộ trước hết phải login vào Dual–homed Host, và từ đú bắt đầu phiờn làm việc.
Ưu điểm của Dual–homed Host:
• Cài đặt dễ dàng, khụng yờu cầu phần cứng hoặc phần mềm đặc biệt.
• Dual–homed Host chỉ yờu cầu cấm khả năng chuyển cỏc gúi tin, do vậy, thụng thường trờn cỏc hệ Unix, chỉ cần cấu hỡnh và dịch lại nhõn (Kernel) của hệ điều hành là đủ.
Nhược điểm của Dual–homed Host:
• Khụng đỏp ứng được những yờu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường.
• Khụng cú khả năng chống đỡ những cuộc tấn cụng nhằm vào chớnh bản thõn nú, và khi Dual–homed Host đú bị đột nhập, nú sẽ trở thành đầu cầu lý tưởng để tấn cụng vào mạng nội bộ.
Đỏnh giỏ về kiến trỳc Dual–homed Host:
Để cung cấp dịch vụ cho những người sử dụng internal network cú một số giải phỏp như sau:
Kết hợp với cỏc Proxy Server cung cấp những Proxy Service
Cấp cỏc account cho user trờn mỏy dual–homed host này và khi mà người sử dụng muốn sử dụng dịch vụ từ Internet hay dịch vụ từ external network thỡ họ phải logging in vào mỏy này.
Nếu dựng phương phỏp cấp account cho user trờn mỏy dual– homed host thỡ user khụng thớch sử dụng dịch vụ phiền phức như vậy, vỡ mỗi lần họ muốn sử dụng dịch vụ thỡ phải loging in vào mỏy khỏc (dual homed host) khỏc với mỏy của họ đõy là vấn đề rất là khụng trong suốt với người sử dụng.
Nếu dựng Proxy Server : Khú cú thể cung cấp được nhiều dịch vụ cho người sử dụng vỡ phần mềm Proxy Server và Proxy Client khụng phải loại dịch vụ nào cũng cú sẵn. Hoặc khi số dịch vụ cung cấp nhiều thỡ khả năng đỏp ứng của hệ thống cú thể giảm xuống vỡ tất cả cỏc Proxy Server đều đặt trờn cựng một mỏy.
Một khuyết điểm cơ bản của hai mụ hỡnh trờn nữa là: khi mà mỏy dual –homed host núi chung cũng như cỏc Proxy Server bị đột nhập vào. Người tấn cụng (attacker) đột nhập vào được qua nú thỡ lưu thụng bờn trong internal network bị attacker này thấy hết điều này thỡ hết sức nguy hiểm . Trong cỏc hệ thống mạng dựng Ethernet hoặc Token Ring thỡ dữ liệu lưu thụng trong hệ thống cú thể bị bất kỳ mỏy nào nối vào mạng đỏnh cắp dữ liệu cho nờn kiến trỳc trờn chỉ thớch hợp với một số mạng nhỏ .
2.2. Kiến trỳc Screened Host
Kiến trỳc này kết hợp 2 kỹ thuật đú là Packet Filtering và Proxy Services.
Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng Proxy Server, bắt người sử dụng nếu muốn dựng dịch vụ thỡ phải kết nối đến Proxy Server mà khụng được bỏ qua Proxy Server để nối trực tiếp với mạng bờn trong/bờn ngoài (internal/external network), đồng thời cú thể cho phộp Bastion Host mở một số kết nối với internal/external host.
Proxy Service: Bastion Host sẽ chứa cỏc Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server.
Hỡnh 37: Sơ đồ kiến trỳc Screened Host
Đỏnh giỏ một số ưu, khuyếtđiểm chớnh của kiến trỳc Screened Host
Kiến trỳc screened host hay hơn kiến trỳc dual–homed host ở một số điểm cụ thể sau: Dual–Homed Host: Khú cú thể bảo vệ tốt vỡ mỏy này cựng lỳc cung cấp nhiều dịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nờn giữ ớt chức năng nếu cú thể được (mỗi phần tử nờn giữ ớt chức năng càng tốt), cũng như tốc độ đỏp ứng khú cú thể cao vỡ cựng lỳc đảm nhận nhiều chức năng.
Screened Host: Đó tỏch chức năng lọc cỏc gúi IP và cỏc Proxy Server ở hai mỏy riờng biệt. Packet Filtering chỉ giữ chức năng lọc gúi nờn cú thể kiểm soỏt, cũng như khú xảy ra lỗi (tuõn thủ qui tắc ớt chức năng). Proxy Servers được đặt ở mỏy khỏc nờn khả năng phục vụ (tốc độ đỏp ứng) cũng cao.
Cũng tương tự như kiến trỳc Dual–Homed Host khi mà Packet Filtering system cũng như Bastion Host chứa cỏc Proxy Server bị đột nhập vào (người tấn cụng đột nhập được qua cỏc hàng rào này) thỡ lưu thụng của internal network bị người tấn cụng thấy.
Từ khuyết điểm chớnh của 2 kiến trỳc trờn ta cú kiến trỳc thứ 3 sau đõy khắc phục được phần nào khuyết điểm trờn .
Hỡnh 38: Sơ đồ kiến trỳc Screened Subnet Host
Với kiến trỳc này, hệ thống này bao gồm hai Packet–Filtering Router và một Bastion Host (hỡnh 38). Kiến trỳc này cú độ an toàn cao nhất vỡ nú cung cấp cả mức bảo mật: Network và Application trong khi định nghĩa một mạng perimeter network. Mạng trung gian (DMZ) đúng vai trũ như một mạng nhỏ, cụ lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hỡnh sao cho cỏc hệ thống trờn Internet và mạng nội bộ chỉ cú thể truy nhập được một số giới hạn cỏc hệ thống trờn mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là khụng thể được.
Với những thụng tin đến, Router ngoài (Exterior Router) chống lại những sự tấn cụng chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nú chỉ cho phộp hệ thống bờn ngoài truy nhập Bastion Host. Router trong (Interior Router) cung cấp sự bảo vệ thứ hai bằng cỏch điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thụng bắt đầu từ Bastion Host.
Với những thụng tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nú chỉ cho phộp cỏc hệ thống bờn trong truy nhập Bastion. Quy luật Filtering trờn Router ngoài yờu cầu sử dụng dịch vụ Proxy bằng cỏch chỉ cho phộp thụng tin ra bắt nguồn từ Bastion Host.
Ưu điểm:
• Kẻ tấn cụng cần phỏ vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong. • Bởi vỡ Router ngoài chỉ quảng bỏ DMZ Network tới Internet, hệ thống mạng nội bộ là khụng thể nhỡn thấy (invisible). Chỉ cú một số hệ thống đó được chọn ra trờn DMZ là được biết đến bởi Internet qua routing table và
• Bởi vỡ Router trong chỉ quảng cỏo DMZ Network tới mạng nội bộ, cỏc hệ thống trong mạng nội bộ khụng thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bờn trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy.
Đỏnh giỏ về kiến trỳc Screened Subnet Host:
Đối với những hệ thống yờu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng đồng thời cũng như khả năng theo dừi lưu thụng của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữ cỏc người dựng trong hệ thống cần được bảo vệ thỡ kiến trỳc cơ bản trờn phự hợp.
Để tăng độ an toàn trong internal network, kiến trỳc screen subnet ở trờn sử dụng thờm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thụng bờn trong internal network. Tỏch biệt internal network với Internet.
Sử dụng 2 Screening Router : Exterior Router và Interior Router.
Áp dụng qui tắc dư thừa cú thể bổ sung thờm nhiều mạng trung gian (DMZ hay perimeter network) càng tăng khả năng bảo vệ càng cao.
Ngoài ra, cũn cú những kiến trỳc biến thể khỏc như: sử dụng nhiều Bastion Host, ghộp chung Router trong và Router ngoài, ghộp chung Bastion Host và Router ngoài.
2.4. Sử dụng nhiều Bastion Host
Do cỏc yờu cầu về tốc độ đỏp ứng (performance) và dư thừa (redundancy), cũng như tỏch biệt cỏc Servers khỏc nhau.
Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bờn trong (internal user), như dịch vụ SNMP Server, Proxy Servers …
Sử dụng 1 Bastion Host khỏc cung cấp dịch vụ cho Internet hoặc những người sử dụng bờn ngoài (external user) sẽ sử dụng. Như là Anonymous FTP Server mà Server này những người sử dụng bờn trong (local users) khụng truy xuất đến.
Hỡnh 39: Sơ đồ kiến trỳc sử dụng 2 Bastion Host
Với cỏch này thỡ tốc độ đỏp ứng cho những người sử dụng bờn trong (local user) một phần nào đú khụng bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người sử dụng bờn ngoài (external users).
Cũng cú thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nào đú để tăng tốc độ đỏp ứng (performance), nhưng việc này cũng khú cõn bằng tải giữa cỏc Server trừ khi đoỏn trước được mức độ sử dụng.
Việc sử dụng kỹ thuật dư thừa để đảm bảo tớnh sẵn sàng cao của hệ thống, để khi mà một Bastion Host hỏng thỡ cú cỏi khỏc thay thế. Nhưng chỉ cú một số loại dịch vụ trợ giỳp dạng này: DNS Server, SMTP Server, ... cú thể dựng nhiều Bastion Host làm DNS Server , SMTP Server. Khi một Bastion Host hỏng hoặc quỏ tải, những yờu cầu về DNS Server và SNMP sẽ được dựng qua Bastion Host khỏc như là một fallback system.
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khỏc nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khỏc nhau.
Sử dụng nhiều Bastion Host cho cỏc Server khỏc nhau để khi mà một Server nào đú bị đột nhập vào hay bị hỏng thỡ Server khỏc vẫn hoạt động tốt. Vớ Dụ : Tỏch HTTP Server và FTP Server trờn 2 mỏy riờng biệt.
2.5. Kiến trỳc ghộp chung Router trong (Interior Router) và Router ngoài (Exterior Router)
Hỡnh 40: Sơ đồ kiến trỳc ghộp chung Router trong và Router ngoài
Kiến trỳc này gần giống với Screened Host trong trường hợp khi mà exterior/interior Router bị đột nhập vào thỡ lưu thụng trong mạng bờn trong sẽ bị lộ ra bờn ngoài nhưng tốt hơn Screened Host đú là nú cũng sử dụng thờm một mạng bờn ngoài. Mạng bờn ngoài sẽ chứa cỏc Server cú thể nối ra Internet mà nếu cỏc Server này bị đột nhập thỡ lưu thụng của mạng bờn trong cũng khụng bị lộ ra bờn ngoài. Kiến trỳc này cũng gần giống với Screened Subnet nhưng mà exterior Router và interior Router được ghộp chung nờn nú giảm đi số lớp bảo vệ. Núi chung, kiến trỳc ghộp chung interior Router và exterior Router ở trung gian giữa hai kiến trỳc này.
2.6. Kiến trỳc ghộp chung Bastion Host và Router ngoài (Exterior Router)
Kiến trỳc này sử dụng cho mạng chỉ cú một đường nối dựng nghi thức SLIP hoặc PPP ra Internet.
Hỡnh 41: Sơ đồ kiến trỳc ghộp chung Bastion Host và Router ngoài
Kiến ghộp chung Bastion Host và Router ngoài (Exterior Router) này gần giống với Screened Subnet. Nú cho tốc độ đỏp ứng thường thấp nhưng mà vẫn cú thể chấp nhận được do tốc độ đường truyền thấp, chức năng lọc của Router ngoài ớt, chức năng lọc gúi chủ yếu là Router trong.
Chương 3: Các thành phần của Firewall và cơ chế hoạt động
Một Firewall chuẩn bao gồm một hay nhiều cỏc thành phần sau đõy: • Bộ lọc gúi (Packet–Filter)
• Cổng ứng dụng (Application–level Gateway hay Proxy Server) • Cổng mạch (Circuite level Gateway)
3.1. Bộ lọc gúi (Packet Filter) 3.1.1. Nguyờn lý hoạt động 3.1.1. Nguyờn lý hoạt động
Khi núi đến việc lưu thụng dữ liệu giữa cỏc mạng với nhau thụng qua Firewall thỡ điều đú cú nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vỡ giao thức này làm việc theo thuật toỏn chia nhỏ cỏc dữ liệu nhận được từ cỏc ứng dụng trờn mạng, hay núi chớnh xỏc hơn là cỏc dịch vụ chạy trờn cỏc giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành cỏc gúi dữ liệu (data pakets) rồi gỏn cho cỏc paket này những địa chỉ để cú thể nhận dạng, tỏi lập lại ở đớch cần gửi đến, do đú cỏc loại Firewall cũng liờn quan rất nhiều đến cỏc Packet và những con số địa chỉ của chỳng.
Bộ lọc gúi cho phộp hay từ chối mỗi Packet mà nú nhận được. Nú kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đú cú thoả món một trong số cỏc luật lệ của lọc gúi hay khụng. Cỏc luật lệ lọc gúi này là dựa trờn cỏc thụng tin ở đầu mỗi Packet (Packet Header ), dựng để cho phộp truyền cỏc Packet đú ở trờn mạng. Đú là:
• Địa chỉ IP nơi xuất phỏt ( IP Source address) • Địa chỉ IP nơi nhận (IP Destination address)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phỏt (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thụng bỏo ICMP (ICMP message type)
• Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet đi (Outcomming interface of Packet)
Nếu luật lệ lọc gúi được thoả món thỡ Packet được chuyển qua Firewall. Nếu khụng Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall cú thể ngăn cản được cỏc kết nối vào cỏc mỏy chủ hoặc mạng nào đú được xỏc định, hoặc khoỏ việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ khụng cho phộp. Hơn nữa, việc kiểm soỏt cỏc cổng làm cho Firewall cú khả năng chỉ cho phộp một số loại kết nối nhất định vào cỏc loại mỏy chủ nào đú, hoặc chỉ cú những dịch vụ nào đú (Telnet, SMTP, FTP...) được phộp mới chạy được trờn hệ thống mạng cục bộ.
3.1.2. Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gúi
Ưu điểm:
• Đa số cỏc hệ thống Firewall đều sử dụng bộ lọc gúi. Một trong những ưu điểm của phương phỏp dựng bộ lọc gúi là chi phớ thấp vỡ cơ chế lọc gúi đó được bao gồm trong mỗi phần mềm Router.
• Ngoài ra, bộ lọc gúi là trong suốt đối với người sử dụng và cỏc ứng dụng, vỡ vậy nú khụng yờu cầu sự huấn luyện đặc biệt nào cả.
• Việc định nghĩa cỏc chế độ lọc gúi là một việc khỏ phức tạp; nú đũi hỏi người quản trị mạng cần cú hiểu biết chi tiết về cỏc dịch vụ Internet, cỏc dạng Packet Header, và cỏc giỏ trị cụ thể mà họ cú thể nhận trờn mỗi trường. Khi đũi hỏi vể sự lọc càng lớn, cỏc luật lệ về lọc càng trở nờn dài và phức tạp, rất khú để quản lý và điều khiển.
• Do làm việc dựa trờn Header của cỏc Packet, rừ ràng là bộ lọc gúi khụng kiểm soỏt được nội dung thụng tin của Packet. Cỏc Packet chuyển qua vẫn cú thể mang theo những hành động với ý đồ ăn cắp thụng tin hay phỏ hoại của kẻ xấu.
3.2. Cổng ứng dụng (Application–Level Gateway)
3.2.1. Nguyờn lý hoạt động
Đõy là một loại Firewall được thiết kế để tăng cường chức năng kiểm soỏt cỏc loại dịch vụ, giao thức được cho phộp truy cập vào hệ thống mạng. Cơ chế hoạt động của nú dựa trờn cỏch thức gọi là Proxy Service (dịch vụ đại diện). Proxy Service là cỏc bộ code đặc biệt cài đặt trờn cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng khụng cài đặt Proxy code cho một ứng dụng nào đú, dịch vụ tương ứng sẽ khụng được cung cấp