Triển khai Firewall

Một phần của tài liệu Mật mã và An toàn thông tin trên mạng máy tính (Trang 90)

IV. Tường lửa (Firewall)

3. Triển khai Firewall

Trên thực tế, không có một công thức chung và chuẩn xác cho việc triển khai hệ thống tường lửa, bởi vì mỗi cơ quan, tổ chức có cơ sở hạ tầng mạng khác nhau và các

chính sách truy nhập mạng cũng là khác nhau. Vì vậy nội dung phần này của giáo trình chỉ đưa ra những điểm chú ý cơ bản nhất khi triển khai một hệ thống tường lửa.

a. Xác định các dịch vụ đang vận hành

Người quản trị cần có nhận thức đầy đủ về các mối nguy hiểm có thể xảy ra. Trong một số trường hợp, người quản trị đơn giản từ chối tất cả và chỉ cho có một số luật cho phép kết nối. Mặc dù việc giám sát thường dựa trên các dịch vụ và các đích đến, tuy nhiên các địa chỉ nguồn cũng rất quan trọng. Thậm chí nếu người quản trị chỉ cho phép một địa chỉ IP đáng tin cậy được phép kết nối, kẻ tấn công vẫn có thể giả mạo những địa chỉ này. Người quản trị có thể giảm các nguy cơ bằng việc ngăn chặn chặt chẽ các truy cập từ môi trường nhiều mối nguy hiểm như Internet, đối tác.

 Các kết nối từ bên ngoài:

Nếu công việc của công ty chỉ quan tâm đến các kết nối từ Việt Nam thì người quản trị cần hạn chế truy cập từ các quốc gia khác chẳng hạn như Russia và China. Ví dụ như việc ngăn chặn truy cập vào login.oscar.aol.com (152.163.242.24, 152.163.242.28, 152.163.241.120, 152.163.241.128) người quản trị có thể làm tê liệt AOL Instant Message.

 Kết nối nội bộ

Không phải tất cả các máy bên trong hệ thống mạng đều có nhu cầu ra Internet, và việc ngăn chặn việc truy cập ra ngoài của các máy, có thể giảm thiểu các rủi ro. Các máy tính cung cấp các dịch vụ Internet cho người dùng (như DNS, WWW, Email) cần phải được cho phép ra ngoài Internet, tuy nhiên người quản trị có thể hạn chế được những dịch vụ mà máy đó cung cấp. Chẳng hạn đối với các máy chủ mail, các kết nối chỉ cần thiết lập trên cổng 25, các kết nối đến các cổng khác không cần thiết. Vì vậy, nếu kẻ tấn công muốn phá hoại máy chủ mail, hắn chỉ có thể tấn công trên duy nhất một cổng 25 thay vì tất cả 65,536 cổng, và như vậy thì người quản trị dễ dàng phát hiện có các cuộc tấn công. Đối với máy chủ Web thì chỉ cho phép trả lời các kết nối từ cổng 80 (hoặc cổng 443 đối với SSL). Bằng việc hạn chế truy cập ra ngoài của các máy, người quản trị giảm thiểu rủi ro cho toàn bộ hệ thống và tăng cơ hội phát hiện ra các sự cố về bảo mật.

 Các dịch vụ

Có hàng ngàn dịch vụ, tuy nhiên chỉ có một số trong đó hay sử dụng và một số dịch vụ thuộc loại quá nguy hiểm cần được sự chú ý đặc biệt. Những vấn đề thường gặp nhất chính là các giao thức mạng thường được sử dụng nhiều như DHCP, DNS, SNMP, LPR, NFS, SMB, cung cấp việc quản trị cơ bản các mạng, hoặc các dịch vụ như chia sẻ và in ấn tập tin. Thế nên, nhà quản trị cần phải hiểu rõ và cấu hình để ngăn chặn các dịch vụ không cần thiết hoạt động.

b. Phân vùng mạng

Các thiết bị bảo mật đặt không đúng chỗ sẽ không phát huy hết tác dụng. Trong lĩnh vực bảo mật mạng, càng có nhiều tường lửa, thì việc cài đặt, triển khai, bảo trì càng tốn kém. Cho nên các nhà quản trị cần phải tiến hành chọn những vị trí cần thiết nhất để cài đặt tường lửa, thường ở những vị trí giao tiếp giữa 2 mạng với nhau. Đồng thời các nhà quản trị phải xem xét luồng dữ liệu nào cần được giám sát, càng nhiều các

luồng dữ liệu phức tạp, thì độ phức tạp của tập lệnh cũng tăng thêm, và cơ hội của kẻ tấn công sẽ bị giảm sút rất nhiều.

c. Thiết lập các quy tắc bảo mật trên tường lửa

Hầu hết các tường lửa đều sử dụng tập luật như một cơ chế để thực hiện việc kiểm soát bảo mật. Nội dung của các luật này quyết định chức năng thực sự của tường lửa.

Tùy thuộc vào kiến trúc nền của tường lửa, luật của tường lửa có thể có nhiều thông tin khác nhau. Tuy nhiên hầu hết các luật đều có những trường tối thiểu như sau:

- Địa chỉ nguồn của gói tin, nghĩa là, địa chỉ lớp 3 của hệ thống máy tính hoặc thiết bị mà gói tin bắt đầu từ đó (ví dụ một địa chỉ IP như 192.168.1.1)

- Địa chỉ đích của gói tin, nói cách khác, địa chỉ lớp 3 của hệ thống máy tính hoặc thiết bị mà gói tin đang đi đến (ví dụ 192.168.1.2)

- Kiểu kết nối, nói cách khác, giao thức mạng được sử dụng để thực hiện giao tiếp giữa hệ thống nguồn và hệ thống đích hoặc các thiết bị, thường là Ethernet ở lớp 2 và IP tại lớp 3.

- Thông tin về giao tiếp nào của router mà gói tin đi đến và giao tiếp nào mà gói tin sẽ đi ra, đôi khi thông tin là cần thiết với router có số giao tiếp mạng là 3 hoặc nhiều hơn.

- Hành động, như từ chối (Deny) hoặc cho phép (Permit) gói tin, hoặc Hủy bỏ (Drop) gói tin. Gói tin bị hủy bỏ thì sẽ không có sự phản hồi tới người gửi như trong trường hợp gói tin bị từ chối.

Người dùng nên nhận thức rằng luật của tường lửa có xu hướng trở nên ngày càng phức tạp hơn. Các thông tin trong luật tường lửa tăng lên so với phiên bản đầu tiên của tường lửa. Các yêu cầu mới của doanh nghiệp hoặc người dùng thường tạo ra những thay đổi này, nhưng chúng cũng đồng thời phản ánh các quan điểm, chính sách trong các cơ quan, đơn vị. Chúng ta nên xây dựng các luật tường lửa càng cụ thể càng tốt dựa vào các truy cập mà các luật này kiểm soát. Các luật được tạo ra càng đơn giản càng tốt sao cho dễ quản lý, để đảm bảo rằng chúng ta không vô tình tạo ra các lỗ hổng

Chính sách mặc định đối với tường lửa là cần phải chặn tất cả mọi gói tin và kết nối trừ khi kiểu truy cập và kết nối đã được cho phép một cách cụ thể. Cách tiếp cận này an toàn hơn các cách tiếp cận khác thường hay được sử dụng: cho phép tất cả kết nối theo mặc định và sau đó ngăn cấm các kết nối cụ thể nào đó. Các luật tường lửa phải luôn luôn ngăn cấm các kiểu kết nối như sau:

- Truy cập từ hệ thống nguồn không xác thực với địa chỉ đích là chính địa chỉ của tường lửa. Kiểu truy cập này thường điển hình là các dò quét hoặc tấn công trực tiếp vào tường lửa. Nhưng cũng có ngoại lệ điển hình đối với luật này đó là trường hợp tường lửa chấp nhận việc truyền mail (SMTP với cổng 25). Trong trường hợp này, tường lửa phải cho phép truy cập đi tới chính nó, nhưng chỉ với cổng 25.

- Truy cập từ bên ngoài với địa chỉ nguồn cố thể hiện là gói tin bắt nguồn từ một mạng phía sau tường lửa. Kiểu truy cập này thường là hình thức giả mạo (spoofing)

- Các truy cập từ bên ngoài sử dụng giao thức ICMP (Internet Control Message Protocol). Bởi vì ICMP có thể được sử dụng để ánh xạ mạng phía sau một số tường lửa nhất định, cho nên ICMP không nên được phép từ Internet, hoặc từ bất kỳ mạng bên ngoài không tin cậy.

- Các truy cập từ bên ngoài với địa chỉ nguồn nằm trong dải địa chỉ dành riêng, được định nghĩa trong RFC 1918. RFC 1918 dành riêng các địa chỉ sau cho mạng nội bộ:

+ 10.0.0.0 to 10.255.255.255 (LớpA) + 172.16.0.0 to 172.31.255.255 (Lớp B) + 192.168.0.0 to 192.168.255.255 (Lớp C)

Các truy cập từ ngoài với các địa chỉ nguồn này điển hình là dấu hiệu của tấn công từ chối dịch vụ DoS, với cờ TCP SYN. Một số tường lửa có tính năng chống lại các tấn công này, nhưng từ kiểu truy cập cụ thể cần phải được ngăn chặn bởi các luật.

- Truy cập vào mạng bên trong từ hệ thống nguồn không xác thực sử dụng SNMP (Simple Network Management Protocol). Truy cập kiểu này là một dấu hiệu cho thấy kẻ xâm nhập đang dò quét mạng, nhưng cũng có một số ít lý do mà tổ chức muốn cho phép kết nối SNMP từ bên ngoài; trong nhiều trường hợp, truy cập này phải bị ngăn cấm.

- Truy cập chứa thông tin IP Source Routing. Định tuyến là một cơ chế cho phép xác định tuyến đường đi của một kết nối mạng khi đi từ hệ thống nguồn tới hệ thống đích. Xét từ quan điểm về bảo mật, Source Routing có nguy cơ cho phép kẻ tấn công xây dựng gói tin mà có thể vượt qua sự kiểm soát của tường lửa. Trong hệ thống mạng ngày nay, IP Source Routing hiếm khi được sử dụng.

- Truy cập mạng chứa địa chỉ nguồn hoặc đích là 127.0.0.1 (localhost). Truy cập này thường là loại tấn công lên chính hệ thống tường lửa.

- Truy cập có chứa địa chỉ hướng quảng bá (directed broadcast). Kỹ thuật hướng quảng bá thường được dùng để khởi tạo tấn công phát tán quảng bá như SMURF. Kỹ thuật này cho phép hệ thống máy tính gửi một thông điệp quảng bá với địa chỉ nguồn khác địa chỉ của chính nó. Nói cách khác hệ thống gửi một thông điệp với địa chỉ nguồn giả mạo. Bất kỳ hệ thống nào trả lời thông điệp quáng bá sẽ gửi phản

hồi của nó tới hệ thống được xác định bởi địa chỉ nguồn hơn là chính hệ thống nguồn gửi thông điệp. Những gói tin này có thể được sử dụng để tạo ra lưu lượng mạng rất lớn và có thể làm cho một số website lớn nhất trên Internet ngừng hoạt động.

Một số loại tường lửa cũng có khả năng tích hợp xác thực người dùng vào trong các luật. Ví dụ, nhiều tường lửa có khả năng chặn truy cập tới hệ thống nào đó cho tới khi người dùng xác thực qua tường lửa. Việc xác thực này có thể được thực hiện cho kết nối từ bên trong hoặc từ bên ngoài tới tường lửa. Tường lửa với chức năng proxy cũng có thể tích hợp được với các hệ thống xác thực cao cấp. Hầu hết tường lửa đều hỗ trợ nhiều tùy chọn cho việc ghi log. Các tùy chọn này rất linh hoạt, có thể là chỉ là tạo ra các log đơn giản, hoặc đưa ra cảnh báo cho người dùng khi có một sự kiện nào đó xảy ra. Tùy thuộc vào cấu hình, các cảnh báo này cũng có nhiều tùy chọn như gửi email thông báo, hay gửi tin nhắn.

d. Xác định các qui tắc dịch địa chỉ (NAT)

Có ba phương thức chính với chuyển dịch địa chỉ mạng đó là: Chuyển dịch tĩnh (static), chuyển dịch ẩn - động (hiding) và chuyển dịch theo cổng (port).

e. Lựa chọn tường lửa

Sau khi đã có đầy đủ thông tin về thiết kế logic, các quy tắc bảo mật và quy tắc dịch địa chỉ, tổ chức phải lựa chọn sản phẩm tường lửa phù hợp nhất. Các yếu tố cần quan tâm khi lựa chọn sản phẩm tường lửa:

 Chọn tường lửa mềm hay tường lửa cứng

Tất cả các tường lửa đều là các phần mềm chạy trên một thiết bị phần cứng nào đó. Điểm chính để phân biệt một tường lửa thuộc dạng phần mềm hay cứng:

- Tường lửa mềm cài đặt được trên nhiều nền hệ điều hành khác nhau như Windows, Unix

- Tường lửa cứng có một hệ điều hành chuyên biệt để cài phần mềm tường lửa  Các tính năng quan trọng của tường lửa

Các tính năng sau đây cần được quan tâm:

- Thông lượng xử lý của tường lửa (firewall throughput). Thông số này rất quan trọng với một tường lửa. Nếu khả năng xử lý của tường lửa thấp hơn so với thông lượng dữ liệu truyền qua sẽ xảy ra các vấn đề như nghẽn mạch – tường lửa thành nút cổ chai trong mạng, mất kết nối, đứt kết nối,…

- Thông lượng xử lý của tường lửa trong điều kiện mạng thực tế.

- Thông lượng xử lý thấp nhất của tường lửa

- Số lượng kết nối xử lý đồng thời

- Số lượng kết nối thiết lập trong 1 giây

- Số lượng các giao diện mạng, bao nhiêu giao diện theo chuẩn FE, chuẩn Giga, chuẩn đồng hay quang; khả năng mở rộng tối đa lên như thế nào. Thông số này cho phép một tổ chức lựa chọn thiết bị phù hợp với sự phát triển mạng trong tương lai

- Các thông số về phần cứng khác như điều kiện môi trường hoạt động, thời gian giữa hai lần hỏng MTBF (Mean Time between Failure), công suất tiêu thụ điện, …

- Khả năng quản trị tập trung, tạo báo cáo cho nhiều tường lửa như thế nào?

- Khả năng chạy sẵn sàng cao (failover hay chia tải).  Các tính năng mềm

Các tính năng bảo mật bổ sung như caching cho web, lọc spam, lọc URL, chống virus?

 Chi phí.

Một phần của tài liệu Mật mã và An toàn thông tin trên mạng máy tính (Trang 90)

(168 trang)