3.1.1. Nguyờn lý hoạt động
Khi núi đến việc lưu thụng dữ liệu giữa cỏc mạng với nhau thụng qua Firewall thỡ điều đú cú nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vỡ giao thức này làm việc theo thuật toỏn chia nhỏ cỏc dữ liệu nhận được từ cỏc ứng dụng trờn mạng, hay núi chớnh xỏc hơn là cỏc dịch vụ chạy trờn cỏc giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành cỏc gúi dữ liệu (data pakets) rồi gỏn cho cỏc paket này những địa chỉ để cú thể nhận dạng, tỏi lập lại ở đớch cần gửi đến, do đú cỏc loại Firewall cũng liờn quan rất nhiều đến cỏc Packet và những con số địa chỉ của chỳng.
Bộ lọc gúi cho phộp hay từ chối mỗi Packet mà nú nhận được. Nú kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đú cú thoả món một trong số cỏc luật lệ của lọc gúi hay khụng. Cỏc luật lệ lọc gúi này là dựa trờn cỏc thụng tin ở đầu mỗi Packet (Packet Header ), dựng để cho phộp truyền cỏc Packet đú ở trờn mạng. Đú là:
• Địa chỉ IP nơi xuất phỏt ( IP Source address) • Địa chỉ IP nơi nhận (IP Destination address)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phỏt (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thụng bỏo ICMP (ICMP message type)
• Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet đi (Outcomming interface of Packet)
Nếu luật lệ lọc gúi được thoả món thỡ Packet được chuyển qua Firewall. Nếu khụng Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall cú thể ngăn cản được cỏc kết nối vào cỏc mỏy chủ hoặc mạng nào đú được xỏc định, hoặc khoỏ việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ khụng cho phộp. Hơn nữa, việc kiểm soỏt cỏc cổng làm cho Firewall cú khả năng chỉ cho phộp một số loại kết nối nhất định vào cỏc loại mỏy chủ nào đú, hoặc chỉ cú những dịch vụ nào đú (Telnet, SMTP, FTP...) được phộp mới chạy được trờn hệ thống mạng cục bộ.
3.1.2. Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gúi
Ưu điểm:
• Đa số cỏc hệ thống Firewall đều sử dụng bộ lọc gúi. Một trong những ưu điểm của phương phỏp dựng bộ lọc gúi là chi phớ thấp vỡ cơ chế lọc gúi đó được bao gồm trong mỗi phần mềm Router.
• Ngoài ra, bộ lọc gúi là trong suốt đối với người sử dụng và cỏc ứng dụng, vỡ vậy nú khụng yờu cầu sự huấn luyện đặc biệt nào cả.
• Việc định nghĩa cỏc chế độ lọc gúi là một việc khỏ phức tạp; nú đũi hỏi người quản trị mạng cần cú hiểu biết chi tiết về cỏc dịch vụ Internet, cỏc dạng Packet Header, và cỏc giỏ trị cụ thể mà họ cú thể nhận trờn mỗi trường. Khi đũi hỏi vể sự lọc càng lớn, cỏc luật lệ về lọc càng trở nờn dài và phức tạp, rất khú để quản lý và điều khiển.
• Do làm việc dựa trờn Header của cỏc Packet, rừ ràng là bộ lọc gúi khụng kiểm soỏt được nội dung thụng tin của Packet. Cỏc Packet chuyển qua vẫn cú thể mang theo những hành động với ý đồ ăn cắp thụng tin hay phỏ hoại của kẻ xấu.
3.2. Cổng ứng dụng (Application–Level Gateway)
3.2.1. Nguyờn lý hoạt động
Đõy là một loại Firewall được thiết kế để tăng cường chức năng kiểm soỏt cỏc loại dịch vụ, giao thức được cho phộp truy cập vào hệ thống mạng. Cơ chế hoạt động của nú dựa trờn cỏch thức gọi là Proxy Service (dịch vụ đại diện). Proxy Service là cỏc bộ code đặc biệt cài đặt trờn cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng khụng cài đặt Proxy code cho một ứng dụng nào đú, dịch vụ tương ứng sẽ khụng được cung cấp và do đú khụng thể chuyển thụng tin qua Firewall. Ngoài ra, Proxy code cú thể được định cấu hỡnh để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưũi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khỏc.
Một cổng ứng dụng thường được coi như là một phỏo đài (Bastion Host), bởi vỡ nú được thiết kế đặt biệt để chống lại sự tấn cụng từ bờn ngoài. Những biện phỏp đảm bảo an ninh của một Bastion Host là:
Bastion Host luụn chạy cỏc version an toàn (secure version) của cỏc phần mềm hệ thống (Operating system). Cỏc version an toàn này được thiết kế chuyờn cho mục đớch chống lại sự tấn cụng vào hệ điều hành (Operating System), cũng như là đảm bảo sự tớch hợp Firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trờn Bastion Host, đơn giản chỉ vỡ nếu một dịch vụ khụng được cài đặt, nú khụng thể bị tấn cụng. Thụng thường, chỉ một số giới hạn cỏc ứng dụng cho cỏc dịch vụ Telnet, DNS, FTP, SMTP và xỏc thực user là được cài đặt trờn Bastion Host.
Bastion Host cú thể yờu cầu nhiều mức độ xỏc thực khỏc nhau, Vớ Dụ như user password hay smart card.
• Mỗi Proxy được đặt cấu hỡnh để cho phộp truy nhập chỉ một sồ cỏc mỏy chủ nhất định. Điều này cú nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi Proxy chỉ đỳng với một số mỏy chủ trờn toàn hệ thống.
• Mỗi Proxy duy trỡ một quyển nhật ký ghi chộp lại toàn bộ chi tiết của giao thụng qua nú, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất cú ớch trong việc tỡm theo dấu vết hay ngăn chặn kẻ phỏ hoại.
• Mỗi Proxy đều độc lập với cỏc proxies khỏc trờn Bastion Host. Điều này cho phộp dễ dàng quỏ trỡnh cài đặt một Proxy mới, hay thỏo gỡ mụt Proxy đang cú vấn để.
Vớ Dụ một người dựng bờn ngoài (gọi là Outside Client) muốn sử dụng dịch vụ Telnet để kết nối vào hệ thống mạng qua mụt Bastion Host cú Telnet Proxy. Quỏ trỡnh xảy ra như sau:
1. Outside Client Telnets đến Bastion Host. Bastion Host kiểm tra password, nếu hợp lệ thỡ outside Client được phộp vào giao diện của Telnet Proxy. Telnet Proxy cho phộp một tập nhỏ những lệnh của Telnet, và quyết định những mỏy chủ nội bộ nào outside Client được phộp truy nhập.
2. Outside Client chỉ ra mỏy chủ đớch và Telnet Proxy tạo một kết nối của riờng nú tới mỏy chủ bờn trong, và chuyển cỏc lệnh tới mỏy chủ dưới sự uỷ quyền của outside Client. Outside Client thỡ tin rằng Telnet Proxy là mỏy chủ thật ở bờn trong, trong khi mỏy chủ ở bờn trong thỡ tin rằng Telnet Proxy là Client thật.
3.2.2. Ưu điểm và hạn chế
Ưu điểm:
• Cho phộp người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trờn mạng, bởi vỡ ứng dụng Proxy hạn chế bộ lệnh và quyết định những mỏy chủ nào cú thể truy nhập được bởi cỏc dịch vụ.
• Cho phộp người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phộp, bởi vỡ sự vắng mặt của cỏc Proxy cho cỏc dịch vụ tương ứng cú nghĩa là cỏc dịch vụ ấy bị khoỏ.
• Cổng ứng dụng cho phộp kiểm tra độ xỏc thực rất tốt, và nú cú nhật ký ghi chộp lại thụng tin về truy nhập hệ thống. (adsbygoogle = window.adsbygoogle || []).push({});
• Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hỡnh và kiểm tra hơn so với bộ lọc gúi.
Hạn chế:
• Yờu cầu cỏc users biến đổi (modify) thao tỏc, hoặc modify phần mềm đó cài đặt trờn mỏy Client cho truy nhập vào cỏc dịch vụ Proxy. Vớ Dụ, Telnet truy nhập qua cổng ứng dụng đũi hỏi hai bước để nối với mỏy chủ chứ khụng phải là một bước thụi. Tuy nhiờn, cũng đó cú một số phần mềm Client cho phộp ứng dụng trờn cổng ứng dụng là trong suốt, bằng cỏch cho phộp user chỉ ra mỏy đớch chứ khụng phải cổng ứng dụng trờn lệnh Telnet.
3.3. Cổng vũng (Circuit–Level Gateway)
Cổng vũng là một chức năng đặc biệt cú thể thực hiện đươc bởi một cổng ứng dụng. Cổng vũng đơn giản chỉ chuyển tiếp (relay) cỏc kết nối TCP mà khụng thực hiện bất kỳ một hành động xử lý hay lọc gúi nào.
Hỡnh 42 minh hoạ một hành động sử dụng nối Telnet qua cổng vũng. Cổng vũng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà khụng thực hiện một sự kiểm tra, lọc hay điều khiển cỏc thủ tục Telnet nào. Cổng vũng làm việc như một sợi dõy, sao chộp cỏc byte giữa kết nối bờn trong (inside connection) và cỏc kết nối bờn ngoài (outside connection). Tuy nhiờn, vỡ sự kết nối này xuất hiện từ hệ thống Firewall, nú che dấu thụng tin về mạng nội bộ.
Cổng vũng thường được sử dụng cho những kết nối ra ngoài, nơi mà cỏc nhà quản trị mạng thật sự tin tưởng những người dựng bờn trong. Ưu điểm lớn nhất là một Bastion Host cú thể được cấu hỡnh như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vũng cho cỏc kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới cỏc dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn cụng bờn ngoài.
Chương 4: Hệ thống Packet Filtering 4.1. Giới thiệu về Packet Filtering
Firewall cú thể được hiện thực ở những lớp khỏc nhau của Protocol stack. Hai dạng thụng dụng được hiện thực là ở lớp ứng dụng bởi “Forwarding application Firewall” và ở lớp mạng bởi “Filtering Router”. Một cỏch tổng quỏt là Firewall cú thể hiện thực ở bất kỳ lớp nào của Protocol stack cũng như bất kỳ bộ Protocol nào. Nhưng do Firewall thường được dựng để bảo vệ hệ thống mạng mỏy tớnh được nối vào Internet, mà nghi thức giao tiếp trờn Internet là TCP/IP nờn trong phần này sẽ trỡnh bày dạng Firewall ở lớp IP.
Hỡnh 43: Sơ đồ làm việc của Packet Filtering
Hệ thống Packet Filtering (Packet Filtering System) là một hệ thống sử dụng cỏch lọc (filter) cỏc Packet vào/ra khỏi mạng để bảo vệ hệ thống mạng.
Để truyền thụng tin từ mạng này sang mạng khỏc, thụng tin cần truyền đi phải được chia nhỏ thành những gúi, và những gúi này được gửi đi riờng biệt. Bằng việc chia nhỏ thụng tin thành từng gúi mà nhiều mỏy cú thể dựng chung một kờnh truyền thụng. Trong hệ thống mạng IP, những gúi thụng tin này được gọi là Packet. Tất cả dữ liệu truyền trờn mạng IP đều ở dạng Packet.
Trong việc kết nối nhiều mạng mỏy tớnh lại với nhau, thiết bị cơ bản được dựng là Router. Router cú thể là phần cứng đặc biệt chuyờn biệt làm Router hoặc nú cú thể là một phần mềm chạy trờn những mỏy UNIX hoặc PC (MS–DOS, Windows, … ). Những Packet đi qua một liờn mạng (mạng của nhiều mạng), thường xuất phỏt từ mỏy gửi đến Router này, Router này sẽ gửi Packet đến Router khỏc đến khi nào Packet đến mỏy đớch cuối cựng.
Chức năng cơ bản của Router là nhận và gửi mỗi Packet nú nhận được. Nú phải quyết định làm thế nào để gửi Packet hướng đến mỏy đớch cuối cựng của nú. Thụng thường thỡ mỗi Packet khụng mang những thụng tin giỳp Router trong việc tỡm đuờng, ngoại trừ địa chỉ IP của mỏy mà Packet sẽ đến. Thụng tin trong Packet chỉ ra cho Router biết nơi nào nú sẽ đến, mà khụng cung cấp cho Router biết làm thế nào để đến đớch. Router trao đổi thụng
tin với mỗi Router khỏc dựng giao thức định tuyến (Routing Protocol) như “Routing Information Protocol (RIP) và Open Shortest Path First (OSPF) để xõy dựng bảng routing (routing table) trong bộ nhớ để tỡm đường gửi Packet hướng đến nơi đến của nú. Để gửi một Packet đi, Router so sỏnh địa chỉ đến của Packet với những điểm vào trong routing table để xỏc định đường đi đến đớch cho Packet. Thụng thường nếu khụng cú đường đi đến một nơi nào đú, Router sẽ dựng một con đường mặc định, thường là gửi Packet đến Router thụng minh hơn hoặc gửi Packet ra Internet.
Để xỏc định làm thế nào để gửi Packet đến nơi đến cuối của nú, một Router thụng thường chỉ dựa vào địa chỉ mỏy đến để gửi Packet đi. Một Packet Filtering Router cũn phải thực hiện thờm một việc khỏc là liệu Packet này cú được cho phộp để gửi đi hay khụng? Để biết được liệu Router cú thể được gửi Packet đi hay khụng, thường thỡ nú dựa vào chớnh sỏch bảo vệ đó được cấu hỡnh trước, và thường chớnh sỏch bảo vệ này là một tập hợp cỏc qui tắc gọi là “Filtering rules”.
4.2. Những chức năng của một Packet Filtering Router
Packet Filtering (hay việc lọc và giỏm sỏt cỏc Packet vào và ra khỏi mạng) cho phộp (hoặc khụng cho phộp) chỳng ta điều khiển trao đổi dữ liệu giữa một mạng cần được bảo vệ với Internet chủ yếu dựa trờn cỏc thụng tin sau:
Địa chỉ nơi xuất phỏt của dữ liệu Địa chỉ nơi dữ liệu sẽ đến
Nghi thức ở cấp ứng dụng được sử dụng để truyền dữ liệu
Hầu hết cỏc Packet filtering Router thực hiện việc lọc cỏc Packet khụng dựa trờn nội dung của dữ liệu. Packet Filtering Router thường sẽ cú những khả năng cú dạng như sau:
Khụng cho phộp bất cứ người nào dựng Telnet (một nghi thức cấp ứng dụng application Protocol) để login từ bờn ngoài vào hệ thống mạng cần bảo vệ.
Cho phộp bất cứ ai cú thể gửi e–mail dựng SMTP (một nghi thức ở cấp ứng dụng) cho cỏc user trong mạng cần bảo vệ hoặc ngược lại.
Mỏy cú địa chỉ X cú thể gửi tin tức cho chỳng ta dựng một nghi thức nào đú, nhưng những mỏy khỏc khụng cú được đặc quyền này.
Do Packet filter lọc cỏc gúi IP chủ yếu là dựa vào địa chỉ mỏy gửi và mỏy nhận cho nờn nú khụng thể cho phộp một user A nào đú được dựng dịch vụ Telnet mà user khỏc thỡ khụng. Packet filter cũng khụng cú khả năng cấm việc truyền file này mà khụng cho phộp việc truyền cỏc file khỏc.
Ưu điểm chớnh của Packet Filtering là khả năng tỏc dụng toàn cục của nú. Nú cung cấp khả năng bảo vệ tương đối cho toàn mạng mà chỉ đặt ở một nơi. Một vớ dụ cho thấy điều đú là việc cấm dịch vụ Telnet. Nếu chỳng ta cấm dịch vụ Telnet vào bằng cỏch tắt tất cả cỏc Telnet Server của chỳng ta cũng chưa hẳn là chỳng ta đó cấm hoàn toàn được dịch vụ Telnet từ bờn ngoài vỡ rằng cú thể cú một người nào đú trong cơ quan cài đặt một mỏy mới (hoặc cài đặt lại mỏy cũ) cú Telnet Server đang chạy. Nhưng mà nếu Telnet bị cấm bởi Packet Filtering Router thỡ mỏy mới được cài đặt này cũng được bảo vệ mặc dự Telnet
Server ở mỏy đú cú bật lờn hay khụng. Núi túm lại Packet Filtering Router cú thể bảo vệ toàn mạng ở một mức nào đú một cỏch triệt để.
Khả năng bảo vệ mạng ở một mức độ nào đú cú thể chỉ cần cung cấp bởi những Filtering Router. Nhờ Packet Filtering Router chỳng ta cú thể bảo vệ được việc tấn cụng hệ thống mạng ở dạng đỏnh lừa địa chỉ (address – spoofing attacks). Với dạng tấn cụng này, người tấn cụng vào hệ thống thường lấy địa chỉ mỏy cục bộ mà họ muốn tấn cụng làm địa chỉ nguồn của dữ liệu mà họ gửi đi. Chỉ cú Router mới biết được những Packet loại này đến từ mạng bờn ngoài (Internet) mà cú địa chỉ nguồn giống những địa trong mạng mà nú bảo vệ, nờn nú cú thể phỏt hiện ra kiểu đỏnh lừa địa chỉ này.
4.3. Ưu, nhượcđiểm của hệ thống Packet Filtering
Hệ thống sử dụng Packet Filtering Router cú những ưu điểm sau: (adsbygoogle = window.adsbygoogle || []).push({});
Một Filtering Router cú thể bảo vệ toàn cả mạng: Một ưu điểm quan trọng nhất của Packet Filtering đú là chỉ cần ở một vị trớ chiến lược mà Packet Filtering Router cú thể bảo vệ toàn bộ mạng. Nếu chỉ cú một Router nối mạng cần bảo vệ với Internet, thỡ chỉ cần một Filtering Router là cú thể bảo vệ toàn bộ mạng mà khụng phụ thuộc vào mức độ lớn nhỏ của mạng cần bảo vệ, mặc dự khả năng bảo vệ chỉ ở một mức nào đú mà thụi (việc bảo vệ mang tớnh toàn cục – global)
Packet Filtering System cú thể cấm hoặc cho phộp một số loại dịch vụ, hay một số địa chỉ IP của một số hệ thống nào đú.
Packet Filtering cú thể khụng ảnh hưởng đến user : Packet Filtering khụng cần thay đổi phần mềm Client hoặc thay đổi cấu hỡnh mỏy của Client, user cũng khụng cần phải huấn luyện để sử dụng hệ thống Packet filering mặc dự cú sự cộng tỏc của user thỡ vẫn tốt