2.2.1. Tường lửa
2.2.1.1. Vai trò của tường lửa trong kiểm soát truy cập
Là thành phần dùng để tạo ra một rào cản giữa hệ thống mạng bên trong và mạng bên ngoài không tin cậy. Nó có chức năng tương tự như một bức tường lửa vật lý. Nó cố gắng ngăn chặn các cuộc tấn công làm mất an toàn tới hệ thống mạng bên trong.
2.2.1.2. Phân loại tường lửa
Tường lửa được phân loại theo 2 tiêu chí [12]: 1/. Tường lửa là phần cứng:
Là loại tường lửa được tích hợp trên các thiết bị phần cứng như Router. Chúng có những đặc điểm sau:
+ Không linh hoạt như tường lửa là phần mềm (Khó khăn trong việc bổ sung thêm các chức năng mới ví dụ như các tập luật).
+ Hoạt động ở tầng thấp hơn tường lửa mềm. + Không kiểm tra được nội dung gói tin. 2/. Tường lửa là phần mềm.
Là các loại tường lửa được cài đặt tại máy chủ mạng. Đặc điểm của tường lửa là phần mềm như sau:
+ Hoạt động ở tầng cao hơn tường lửa là phần cứng.
+ Có thể kiểm tra được nội dung gói tin thông qua các từ khóa.
2.2.1.3. Cấu tạo và ứng dụng của tường lửa
Tường lửa gồm các thành phần sau [2]:
+ Bộ lọc định tuyến gói tin (packet – filtering router). + Cổng ứng dụng (Application – level gateway). + Cổng vòng (circuit – level gateway).
1/. Bộ lọc định tuyến gói tin
+ Tường lửa hoạt động chặt chẽ với giao thức TCP/IP. Ngoài ra tường lửa còn liên quan đến gói tin và địa chỉ của gói tin đó.
+ Bộ lọc định tuyến cho phép hoặc không cho phép mỗi gói tin mà nó kiểm duyệt vào bên trong mạng nội bộ.
+ Tường lửa sẽ kiểm tra toàn bộ dữ liệu để xác định xem các gói tin trong bản tin có phù hợp với tập luật đã đề ra. Tuy nhiên các luật cũng phải dựa vào thông tin ở đầu mỗi gói tin dùng để cho phép các gói tin được vận chuyển qua mạng. Cụ thể như:
- Địa chỉ IP của máy xuất phát. - Địa chỉ IP của máy đích đến.
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP Tunnel) - Cổng TCP/IP nơi xuất phát.
- Cổng TCP/IP nơi đích đến. - Dạng thông báo ICMP. - Giao diện của gói đến.
- Giao diện của gói được gửi đi.
Nếu gói tin thỏa mã các tập luật thì tường lửa cho phép nó đi qua. Ngược lại, gói tin sẽ bị chặn tại đây. Ngoài ra tường lửa còn cho phép kiểm soát các cổng vào, ra. Nhờ thế mà tường lửa có thể chặn hoặc cho phép một hoặc nhiều kết nối cụ thể ví dụ như: ICMP, HTTP, HTTPS, FTP … tới máy chủ.
Ưu điểm
+ Bộ lọc gói tin được sư dụng rộng rãi trên các loại tường lửa. Ưu điểm của loại này là chi phí thấp ví nó được tích hợp sẵn vào thiết bị phần cứng (router).
Nhược điểm:
+ Việc cấu hình phức tạp, lọc nhiều, các tập luật thường dài và phức tạp. + Vì kiểm soát header của các gói tin nên bộ lọc không thể kiểm soát được nội dung gói tin nên nó có thể chứa các yếu câu trái phép.
2/. Cổng ứng dụng.
Loại tường lửa này được xây dựng để kiểm soát các loại dịch vụ, giao thức được phép truy cập vào hệ thống mạng – được gọi là Proxy service.
Proxy service là các bộ mã lệnh đặc biệt được cài đặt trên cổng cho từng ứng dụng. Cổng ứng dụng được coi như là một pháo đài (bastion host) – Nó có thể chống lại sự tấn công từ bên ngoài.
Bastion host chạy các phiên bản an toàn của phần mềm hệ thống. Các phiên bản này được thiết kế với mục đích là dùng để chống lại sự tấn công từ bên ngoài vào trong mạng ngoài ra nó cũng đảm bảo sự phù hợp của tường lửa.
Chỉ một số những dịch vụ cần thiết được kiểm soát như: telnet, SMTP, FTP, xác thực người sử dụng… mới cần thiết cài trên Bastion host.
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, hoặc là mật khẩu của người dùng hoặc là thẻ thông minh.
Mỗi proxy chỉ kiểm soát được một máy chủ trên toàn hệ thống.
Mỗi Proxy có cơ chế ghi lại nhật ký việc trao đổi thông tin qua nó, việc kết nối hoặc thời gian kết nối. Vì thế mà khi xảy ra tấn công chúng ta có thể lần theo dấu vết kẻ tấn công hoặc ngăn chặn việc phá hoạt tài nguyên hệ thống.
Các proxy độc lập với nhau, không ảnh hưởng tới nhau khi một trong số các proxy gặp vấn đề.
Ưu điểm
+ Kiểm soát được các dịch vụ mạng đã được sử dụng và kiểm soát được các dịch vụ hoạt động trên máy chủ. Vì nếu không cài đặt proxy thì dịch vụ đó không hoạt động được.
+ Có được đầy đủ nhật ký truy nhập vào hệ thống của mạng bên ngoài. + Việc cấu hình các tập luật đơn giản hơn, dễ kiểm tra hơn so với bộ lọc gói tin.
Nhược điểm
Đòi hỏi thao tác phức tạp ở phía máy trạm, yêu cầu phải thay đổi các phần mềm đã cài đặt phía máy trạm.
Hình 2.3. Mô hình minh họa nguyên tắc hoạt động của cổng ứng dụng
3/. Cổng vòng.
Là một chức năng đặc biệt có thể thực hiện bởi cổng ứng dụng. Nó chỉ thực hiện nhiệm vụ là chuyển tiếp các kết nối TCP qua tường lửa chứ không thực hiện bất kỳ hành động xử lý hoặc lọc gói tin nào.
Với đặc điểm này, cổng vòng có vai trò che dấu thông tin trong mạng nội bộ (chỉ sử dụng nó khi đã có sự tin tưởng mức độ an toàn từ mạng nội bộ).
Hình 2.4. Mô hình minh họa nguyên tắc hoạt động của cổng vòng
Ưu điểm
+ Người trong mạng nội bộ sử dụng thuận tiện các dịch vụ internet mà vẫn duy trì được hệ thống tường lửa – ngăn chặn được các hiểm họa từ bên ngoài.
2.2.2. Mạng riêng ảo
2.2.2.1. Vai trò của mạng riêng ảo.
Mạng riêng ảo không phải là một khái niệm độc lập mà nó là sự kết hợp của các công nghệ để đảm bảo một kết nối đường hầm thông qua mạng công cộng khi việc truyền dữ liệu trên mạng công cộng là không đáng tin ậy hoặc không an toàn.
Nó tạo ra một kết nối an toàn dựa trên môi trường mạng công cộng giữa các cá nhân với cá nhân hoặc giữa cá nhân với tổ chức hoặc giữa các tổ chức với nhau.
2.2.2.2. Cơ chế bảo vệ dữ liệu của mạng riêng ảo.
Mạng riêng ảo sử dụng các phương pháp mã hóa để bảo vệ dữ liệu. Sau khi có kết nối. Mạng riêng ảo sử dụng cơ chế đường hầm để đóng gói dữ liệu đã được mã hóa thành một đường hầm an toàn có công khai tiêu đề và có thể vận chuyển thông qua mạng công cộng. Các gói tin đó được đảm bảo toàn vẹn dữ liệu trong quá trình truyền.
Bản thân mạng riêng ảo không hỗ trợ cơ chế xác thực người dùng ở mức độ cao. Người dùng chỉ cần nhập tên truy nhập và mật khẩu mà phía VPN server cung cấp thì có thể có được quyền truy cập vào mạng riêng ảo từ xa và không an toàn.
2.2.2.3. Một số mô hình mạng riêng ảo phổ biến
Trên thực tế hiện nay có nhiều mô hình mạng riêng ảo khác nhau. Tuy nhiên, sử dụng mô hình này thì tùy thuộc vào đặc điểm và bài toán cụ thể. Dưới đây là một số mô hình mạng riêng ảo [6]:
1/. Mạng riêng ảo truy cập từ xa.
Đây là một kết nối Local – to – Host cho cá nhân sử dụng thiết bị truy cập từ xa (máy tính PC, laptop hoặc điện thoại di động…) có nhu cầu kết nối vào mạng của tổ chức hoặc công ty. Đây là mô hình mạng riêng ảo an toàn vì các kết nối được mã hóa theo cách riêng của người dùng và tổ chức.
2/. Mạng riêng ảo nội bộ.
Là mô hình mạng riêng ảo dùng để kết nối nhiều điểm truy cập từ xa vào mạng cố định (Kết nối Lan – to – Lan)
3/. Mạng riêng ảo mở rộng.
Mô hình này tương tự như mô hình mạng riêng ảo cục bộ nhưng phạm vi của nó rộng hơn nhiều. Được sử dụng để kết nối các đối tác kinh doanh với nhau để làm việc với dữ liệu an toàn.
2.2.2.4. Phân loại mạng riêng ảo
1/. Mạng riêng ảo có sử dụng tường lửa.
Đây là loại mạng riêng ảo có kèm theo tường lửa để hạn chế quyền truy cập vào mạng nội bộ. Các tính năng có thể của mô hình này: dịch địa chỉ, xác thực người dùng, báo cáo thời gian thực và nhật ký kết nối.
2/. Mạng riêng ảo trên phần cứng.
Là loại mạng riêng ảo có khả năng cho phép tốc độ mạng cao, hiệu suất tốt hơn độ tin cậy cao hơn. Nhưng giá thành đắt hơn các loại khác.
3/. Mạng riêng ảo trên phần mềm.
Loại này linh hoạt trong cách quản lý các giao dịch. Loại này phù hợp với trường hợp khi điểm cuối không được kiểm soát bởi các bên tương đương.
4/. Mạng riêng ảo có sử dụng giao thức SSL.
Loại mạng riêng ảo cho phép người dùng kết nối thông qua một trình duyệt web. Giao thức SSL (Secure Sokets Layer) hoặc giao thức TLS (Transport Layer Security) dùng để mã hóa các kết nối giữa các trình duyệt web và các thiết bị Mạng riêng ảo SSL. Ưu điểm của loại này là người dùng không phải cài đặt hoặc cung cấp các phần mềm nào liên quan.
2.2.2.5. Một số công nghệ đường hầm trong mạng riêng ảo
Công nghệ đường hầm sử dụng nhiều giao thức khác nhau và mỗi giao thức có các cơ chế mã hóa khác nhau và mức độ bảo mật khác nhau. Tùy từng nhu cầu sử dụng mà người dùng lựa chọn các giao thức cho phù hợp. Dưới đây là một số giao thức quan trọng [6]:
1/. Giao thức IPsec
Dùng để chuyển giao thông tin an toàn ở lớp thứ 3 của OSI thông qua mạng công cộng không an toàn. IPsec cho phép hệ thống lựa chọn và đàm phám một giao thức an ninh cần thiết, thuật toán và khóa bí mật được sử dụng trong các dịch vụ được yêu cầu. Ngoài ra IPsec cung cấp dịch vụ chứng thực cơ bản, toàn vẹn dữ liệu và mã hóa để bảo vệ dữ liệu trước việc truy cập trái phép.
2/. Giao thức PPTP
Là giao thức được xây dựng phía trên của giao thức PPP (PPP là một đa giao thức). Người dùng từ xa có thể truy cập vào mạng riêng thông qua PPTP bằng quay số ISP cục bộ. PPTP kết nối vào mạng đích bằng cách tạo ra một mạng ảo cho mỗi người dùng từ xa. PPTP cho phép một phiên PPP với giao thức non-TCP/IP để được đường hầm thông qua một mạng IP.
Cơ chế xác thực được sử dụng cho các kết nối PPP được hỗ trợ trong kết nối mạng riêng ảo PPTP bao gồm: EAP, MS-CHAP, CHAP, SPAP, PAP.
3/. Giao thức L2TP
Là sự kết hợp của PPTP và Cisco L2F. L2TP được sử dụng như một giao thức đường hầm để gói gọn PPP. Kết nối L2TP có cơ chế xác thực giống như các kết nối PPP, như là EAP, MS-CHAP, CHAP, SPAP, PAP. L2TP đường hầm được
thực hiện thông qua nhiều cấp độ. Các dữ liệu PPP được gói gọn trong một phần đầu của PPP và một phần đầu của L2TP.
Các gói tin L2TP đóng gói được thêm bao bọc trong một tiêu đề UDP với các cổng nguồn và cổng đích. Các gói tin cuối cùng được đóng gói với một IP header chứa các địa chỉ IP nguồn và đích của các VPN client và VPN server
Hình 2.6. Các cấp độ đóng gói phần header
Do L2TP có mức độ bảo mật thấp, vì thế nó thường được sử dụng kết hợp với IPsec và gọi là L2TP/IPsec. Khi L2TP đang chạy trên IPsec, dịch vụ bảo mật được cung cấp bởi IPsec, AH và ESP. Tất cả các điều khiển L2TP và dữ liệu xuất hiện như là đồng nhất các gói dữ liệu IP tới hệ thống IPsec.
4/. Giao thức SSL/TLS
SSL/TLS là một giao thức tầng vận chuyển (transport layer) có sử dụng cổng TCP 443. Có một số tính năng mã hóa được cung cấp bởi SSL/TLS và bao gồm: bảo mật, tính toàn vẹn, và chữ ký số. Không giống như IPsec, Ở đây hai bên giao tiếp đồng ý với chức năng mã hóa SSL/TLS sử dụng bộ mã hoá để xác định tập hợp các chức năng mã hóa cho một khách hàng và máy chủ để sử dụng khi giao tiếp.
Một cổng SSL VPN có thể xác thực bản thân cho người sử dụng Web sử dụng một chứng chỉ máy chủ SSL ký bởi một CA đáng tin cậy (Certification Authority), để người dùng có thể xác minh rằng chúng ta đang nói chuyện với một máy chủ tin cậy thông qua trình duyệt của mình. Trong thực tế, một số SSL VPN có thể sử dụng một số giấy chứng nhận tự ký được bình thường không đáng tin cậy trong hầu hết các trình duyệt web. Trong trường hợp này, người sử dụng có thể cần thêm chứng chỉ máy chủ SSL VPN của danh sách riêng của người sử dụng chứng chỉ tin cậy, hoặc chấp nhận để tin tưởng chứng chỉ mặc định
2.2.2.5. Một số hạn chế và nguy cơ của mạng riêng ảo.
1/. Bị tin tặc tấn công.
Một máy client có thể bị tấn công hoặc là trung gian cho một cuộc tấn công. Kẻ xâm nhập trái phép lợi dụng lỗi hoặc cấu hình sai của một client hoặc sử dụng một công cụ tấn công để tấn công.
2/. Xác thực người dùng.
Mạng riêng ảo không cung cấp tính năng xác thực người dùng đủ tin cậy. Điều này khiến việc cập phép cho client truy cập vào mạng riêng ảo không đủ tin cậy.
3/. Nguy cơ phía người dùng
Bản thân client khi kết nối vào mạng riêng ảo bị tấn công (có thể nhiễm virus/malware, phần mềm gián điệp) thì nó sẽ nhanh chóng lây lan nhanh trong các mạng nếu hệ thống chống đỡ không hiệu quả.
4. Cấp quyền truy cập không đúng
Một số client khi truy cập vào mạng riêng ao không được cấp đúng quyền truy cập hoặc cung cấp nhiều hơn quyền đáng có. Điều đó cũng là nguy cơ mất an toàn trong mạng riêng ảo.
5. Khả năng tương thích giữa các phần mềm.
Không phải lúc nào các phần mềm phía Client và Server cũng tương thích với nhau. Đó cũng là những hạn chế của các loại mạng riêng ảo phụ thuộc vào cài đặt phần mềm thứ ba.
2.2.2.6. Một số chính sách tăng cường mức độ bảo vệ các hệ thống thông tin
Hiện nay nguy cơ mất an toàn cho các hệ thống thông tin là rất cao. Vì vậy, chỉ áp dụng đơn nhất một mô hình nào cũng đều không mang tính an toàn cao. Dưới đây là một số chính sách kết hợp các phương pháp khác nhau [6]:
1/. Kết hợp mạng riêng ảo với sử dụng tường lửa.
2/. Kết hợp mạng riêng ảo với hệ thống phát hiện và ngăn chặn truy cập trái phép IDS/IPS để theo dõi các cuộc tấn công hiệu quả hơn.
3/. Máy Server và Client cần được cài phần mềm diệt virus để ngăn chặn sự lây lan virus hoặc malware.
4/. Cần có hệ thống xác thực trước khi cấp phép truy cập vào mạng riêng ảo. 5/. Thường xuyên kiểm tra các file log để phát hiện các cuộc tấn công từ bên ngoài. 6/. Cần có đội ngũ quản trị mạng có trình độ cao, cung cấp cho đội ngũ nhân viên những kiến thức cơ bản để đảm bảo rằng họ đang làm việc trong môi trường an toàn nhất.
7/. Kiểm soát chặt chẽ việc phân phối, cấp quyền truy cập vào mạng riêng ảo. 8/. Không được chia sẻ đường hầm để truy cập Internet hay bất kỳ mạng không an toàn nào khác trong khi kết nối mạng riêng ảo. Nếu có thì phải sử dụng hệ thống phát hiện xâm nhập IDS để phát hiện bất kỳ cuộc tấn công nào đang diễn ra hoặc nguy cơ sẽ bị tấn công.
9. Hạn chế những truy cập không cần thiết vào mạng nội bộ và có cơ chế kiểm soát hiệu quả.
2.2.3. Hệ thống phát hiện và ngăn chặn truy cập trái phép IDS/IPS