Tìm hiểu Firewall

Chia sẻ: Danh Ngoc | Ngày: | Loại File: PDF | Số trang:63

0
132
lượt xem
66
download

Tìm hiểu Firewall

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Internet Firewall là một thiết bị ( phần cứng + phần mềm) giữa mạng của một tổ chức 1 công ty hay 1 quốc gia (Intranet) và Internet. Nó thực hiện vai trò bảo mật các thông tin internet từ thế giới internet bên ngoài

Chủ đề:
Lưu

Nội dung Text: Tìm hiểu Firewall

  1. An toμn th«ng tin trªn m¹ng 1.1 T¹i sao cÇn cã Internet Firewall HiÖn nay, kh¸i niÖm m¹ng toμn cÇu - Internet kh«ng cßn míi mÎ. Nã ®· trë nªn phæ biÕn tíi møc kh«ng cÇn ph¶i chó gi¶i g× thªm trong nh÷ng t¹p chÝ kü thuËt, cßn trªn nh÷ng t¹p chÝ kh¸c th× trμn ngËp nh÷ng bμi viÕt dμi, ng¾n vÒ Internet. Khi nh÷ng t¹p chÝ th«ng th−êng chó träng vμo Internet th× giê ®©y, nh÷ng t¹p chÝ kü thuËt l¹i tËp trung vμo khÝa c¹nh kh¸c: an toμn th«ng tin. §ã cïng lμ mét qu¸ tr×nh tiÕn triÓn hîp logic: khi nh÷ng vui thÝch ban ®Çu vÒ mét siªu xa lé th«ng tin, b¹n nhÊt ®Þnh nhËn thÊy r»ng kh«ng chØ cho phÐp b¹n truy nhËp vμo nhiÒu n¬i trªn thÕ giíi, Internet cßn cho phÐp nhiÒu ng−êi kh«ng mêi mμ tù ý ghÐ th¨m m¸y tÝnh cña b¹n. Thùc vËy, Internet cã nh÷ng kü thuËt tuyÖt vêi cho phÐp mäi ng−êi truy nhËp, khai th¸c, chia sÎ th«ng tin. Nh÷ng nã còng lμ nguy c¬ chÝnh dÉn ®Õn th«ng tin cña b¹n bÞ h− háng hoÆc ph¸ huû hoμn toμn. Theo sè liÖu cña CERT(Computer Emegency Response Team - “§éi cÊp cøu m¸y tÝnh”), sè l−îng c¸c vô tÊn c«ng trªn Internet ®−îc th«ng b¸o cho tæ chøc nμy lμ Ýt h¬n 200 vμo n¨m 1989, kho¶ng 400 vμo n¨m 1991, 1400 vμo n¨m 1993, vμ 2241 vμo n¨m 1994. Nh÷ng vô tÊn c«ng nμy nh»m vμo tÊt c¶ c¸c m¸y tÝnh cã mÆt trªn Internet, c¸c m¸y tÝnh cña tÊt c¶ c¸c c«ng ty lín nh− AT&T, IBM, c¸c tr−êng ®¹i häc, c¸c c¬ quan nhμ n−íc, c¸c tæ chøc qu©n sù, nhμ b¨ng... Mét sè vô tÊn c«ng cã quy m« khæng lå (cã tíi 100.000 m¸y tÝnh bÞ tÊn c«ng). H¬n n÷a, nh÷ng con sè nμy chØ lμ
  2. phÇn næi cña t¶ng b¨ng. Mét phÇn rÊt lín c¸c vô tÊn c«ng kh«ng ®−îc th«ng b¸o, v× nhiÒu lý do, trong ®ã cã thÓ kÓ ®Õn nçi lo bÞ mÊt uy tÝn, hoÆc ®¬n gi¶n nh÷ng ng−êi qu¶n trÞ hÖ thèng kh«ng hÒ hay biÕt nh÷ng cuéc tÊn c«ng nh»m vμo hÖ thèng cña hä. Kh«ng chØ sè l−îng c¸c cuéc tÊn c«ng t¨ng lªn nhanh chãng, mμ c¸c ph−¬ng ph¸p tÊn c«ng còng liªn tôc ®−îc hoμn thiÖn. §iÒu ®ã mét phÇn do c¸c nh©n viªn qu¶n trÞ hÖ thèng ®−îc kÕt nèi víi Internet ngμy cμng ®Ò cao c¶nh gi¸c. Còng theo CERT, nh÷ng cuéc tÊn c«ng thêi kú 1988- 1989 chñ yÕu ®o¸n tªn ng−êi sö dông-mËt khÈu (UserID- password) hoÆc sö dông mét sè lçi cña c¸c ch−¬ng tr×nh vμ hÖ ®iÒu hμnh (security hole) lμm v« hiÖu hÖ thèng b¶o vÖ, tuy nhiªn c¸c cuéc tÊn c«ng vμo thêi gian gÇn ®©y bao gåm c¶ c¸c thao t¸c nh− gi¶ m¹o ®Þa chØ IP, theo dâi th«ng tin truyÒn qua m¹ng, chiÕm c¸c phiªn lμm viÖc tõ xa (telnet hoÆc rlogin).
  3. 1.2 B¹n muèn b¶o vÖ c¸i g×? NhiÖm vô c¬ b¶n cña Firewall lμ b¶o vÖ. NÕu b¹n muèn x©y dùng firewall, viÖc ®Çu tiªn b¹n cÇn xem xÐt chÝnh lμ b¹n cÇn b¶o vÖ c¸i g×. 1.2.1 D÷ liÖu cña b¹n Nh÷ng th«ng tin l−u tr÷ trªn hÖ thèng m¸y tÝnh cÇn ®−îc b¶o vÖ do c¸c yªu cÇu sau: B¶o mËt: Nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, qu©n sù, chÝnh s¸ch vv... cÇn ®−îc gi÷ kÝn. TÝnh toμn vÑn: Th«ng tin kh«ng bÞ mÊt m¸t hoÆc söa ®æi, ®¸nh tr¸o. TÝnh kÞp thêi: Yªu cÇu truy nhËp th«ng tin vμo ®óng thêi ®iÓm cÇn thiÕt. Trong c¸c yªu cÇu nμy, th«ng th−êng yªu cÇu vÒ b¶o mËt ®−îc coi lμ yªu cÇu sè 1 ®èi víi th«ng tin l−u tr÷ trªn m¹ng. Tuy nhiªn, ngay c¶ khi nh÷ng th«ng tin nμy kh«ng ®−îc gi÷ bÝ mËt, th× nh÷ng yªu cÇu vÒ tÝnh toμn vÑn còng rÊt quan träng. Kh«ng mét c¸ nh©n, mét tæ chøc nμo l·ng phÝ tμi nguyªn vËt chÊt vμ thêi gian ®Ó l−u tr÷ nh÷ng th«ng tin mμ kh«ng biÕt vÒ tÝnh ®óng ®¾n cña nh÷ng th«ng tin ®ã. 1.2.2 Tμi nguyªn cña b¹n Trªn thùc tÕ, trong c¸c cuéc tÊn c«ng trªn Internet, kÎ tÊn c«ng, sau khi ®· lμm chñ ®−îc hÖ thèng bªn trong, cã thÓ sö dông c¸c m¸y nμy ®Ó phôc vô cho môc ®Ých cña m×nh nh− ch¹y c¸c ch−¬ng tr×nh dß mËt khÈu ng−êi sö dông, sö dông c¸c liªn kÕt m¹ng s½n cã ®Ó tiÕp tôc tÊn c«ng c¸c hÖ thèng kh¸c vv...
  4. 1.2.3 Danh tiÕng cña b¹n Nh− trªn ®· nªu, mét phÇn lín c¸c cuéc tÊn c«ng kh«ng ®−îc th«ng b¸o réng r·i, vμ mét trong nh÷ng nguyªn nh©n lμ nçi lo bÞ mÊt uy tÝn cña c¬ quan, ®Æc biÖt lμ c¸c c«ng ty lín vμ c¸c c¬ quan quan träng trong bé m¸y nhμ n−íc. Trong tr−êng hîp ng−êi qu¶n trÞ hÖ thèng chØ ®−îc biÕt ®Õn sau khi chÝnh hÖ thèng cña m×nh ®−îc dïng lμm bμn ®¹p ®Ó tÊn c«ng c¸c hÖ thèng kh¸c, th× tæn thÊt vÒ uy tÝn lμ rÊt lín vμ cã thÓ ®Ó l¹i hËu qu¶ l©u dμi.
  5. 1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×? Cßn nh÷ng g× b¹n cÇn ph¶i lo l¾ng. B¹n sÏ ph¶i ®−¬ng ®Çu víi nh÷ng kiÓu tÊn c«ng nμo trªn Internet vμ nh÷ng kÎ nμo sÏ thùc hiÖn chóng? 1.3.1 C¸c kiÓu tÊn c«ng Cã rÊt nhiÒu kiÓu tÊn c«ng vμo hÖ thèng, vμ cã nhiÒu c¸ch ®Ó ph©n lo¹i nh÷ng kiÓu tÊn c«ng nμy. ë ®©y, chóng ta chia thμnh 3 kiÓu chÝnh nh− sau: 1.3.1.1 TÊn c«ng trùc tiÕp Nh÷ng cuéc tÊn c«ng trùc tiÕp th«ng th−êng ®−îc sö dông trong giai ®o¹n ®Çu ®Ó chiÕm ®−îc quyÒn truy nhËp bªn trong. Mét ph−¬ng ph¸p tÊn c«ng cæ ®iÓn lμ dß cÆp tªn ng−êi sö dông-mËt khÈu. §©y lμ ph−¬ng ph¸p ®¬n gi¶n, dÔ thùc hiÖn vμ kh«ng ®ßi hái mét ®iÒu kiÖn ®Æc biÖt nμo ®Ó b¾t ®Çu. KÎ tÊn c«ng cã thÓ sö dông nh÷ng th«ng tin nh− tªn ng−êi dïng, ngμy sinh, ®Þa chØ, sè nhμ vv.. ®Ó ®o¸n mËt khÈu. Trong tr−êng hîp cã ®−îc danh s¸ch ng−êi sö dông vμ nh÷ng th«ng tin vÒ m«i tr−êng lμm viÖc, cã mét tr−¬ng tr×nh tù ®éng ho¸ vÒ viÖc dß t×m mËt khÈu nμy. mét tr−¬ng tr×nh cã thÓ dÔ dμng lÊy ®−îc tõ Internet ®Ó gi¶i c¸c mËt khÈu ®· m· ho¸ cña c¸c hÖ thèng unix cã tªn lμ crack, cã kh¶ n¨ng thö c¸c tæ hîp c¸c tõ trong mét tõ ®iÓn lín, theo nh÷ng quy t¾c do ng−êi dïng tù ®Þnh nghÜa. Trong mét sè tr−êng hîp, kh¶ n¨ng thμnh c«ng cña ph−¬ng ph¸p nμy cã thÓ lªn tíi 30%. Ph−¬ng ph¸p sö dông c¸c lçi cña ch−¬ng tr×nh øng dông vμ b¶n th©n hÖ ®iÒu hμnh ®· ®−îc sö dông tõ nh÷ng vô tÊn c«ng ®Çu tiªn vμ vÉn ®−îc tiÕp tôc ®Ó chiÕm quyÒn truy nhËp. Trong mét sè tr−êng hîp ph−¬ng ph¸p nμy cho phÐp
  6. kÎ tÊn c«ng cã ®−îc quyÒn cña ng−êi qu¶n trÞ hÖ thèng (root hay administrator). Hai vÝ dô th−êng xuyªn ®−îc ®−a ra ®Ó minh ho¹ cho ph−¬ng ph¸p nμy lμ vÝ dô víi ch−¬ng tr×nh sendmail vμ ch−¬ng tr×nh rlogin cña hÖ ®iÒu hμnh UNIX. Sendmail lμ mét ch−¬ng tr×nh phøc t¹p, víi m· nguån bao gåm hμng ngμn dßng lÖnh cña ng«n ng÷ C. Sendmail ®−îc ch¹y víi quyÒn −u tiªn cña ng−êi qu¶n trÞ hÖ thèng, do ch−¬ng tr×nh ph¶i cã quyÒn ghi vμo hép th− cña nh÷ng ng−êi sö dông m¸y. Vμ Sendmail trùc tiÕp nhËn c¸c yªu cÇu vÒ th− tÝn trªn m¹ng bªn ngoμi. §©y chÝnh lμ nh÷ng yÕu tè lμm cho sendmail trë thμnh mét nguån cung cÊp nh÷ng lç hæng vÒ b¶o mËt ®Ó truy nhËp hÖ thèng. Rlogin cho phÐp ng−êi sö dông tõ mét m¸y trªn m¹ng truy nhËp tõ xa vμo mét m¸y kh¸c sö dông tμi nguyªn cña m¸y nμy. Trong qu¸ tr×nh nhËn tªn vμ mËt khÈu cña ng−êi sö dông, rlogin kh«ng kiÓm tra ®é dμi cña dßng nhËp, do ®ã kÎ tÊn c«ng cã thÓ ®−a vμo mét x©u ®· ®−îc tÝnh to¸n tr−íc ®Ó ghi ®Ì lªn m· ch−¬ng tr×nh cña rlogin, qua ®ã chiÕm ®−îc quyÒn truy nhËp. 1.3.1.2 Nghe trém ViÖc nghe trém th«ng tin trªn m¹ng cã thÓ ®−a l¹i nh÷ng th«ng tin cã Ých nh− tªn-mËt khÈu cña ng−êi sö dông, c¸c th«ng tin mËt chuyÓn qua m¹ng. ViÖc nghe trém th−êng ®−îc tiÕn hμnh ngay sau khi kÎ tÊn c«ng ®· chiÕm ®−îc quyÒn truy nhËp hÖ thèng, th«ng qua c¸c ch−¬ng tr×nh cho phÐp ®−a vØ giao tiÕp m¹ng (Network Interface Card-NIC) vμo chÕ ®é nhËn toμn bé c¸c th«ng tin l−u truyÒn trªn m¹ng. Nh÷ng th«ng tin nμy còng cã thÓ dÔ dμng lÊy ®−îc trªn Internet.
  7. 1.3.1.3 Gi¶ m¹o ®Þa chØ ViÖc gi¶ m¹o ®Þa chØ IP cã thÓ ®−îc thùc hiÖn th«ng qua viÖc sö dông kh¶ n¨ng dÉn ®−êng trùc tiÕp (source-routing). Víi c¸ch tÊn c«ng nμy, kÎ tÊn c«ng göi c¸c gãi tin IP tíi m¹ng bªn trong víi mét ®Þa chØ IP gi¶ m¹o (th«ng th−êng lμ ®Þa chØ cña mét m¹ng hoÆc mét m¸y ®−îc coi lμ an toμn ®èi víi m¹ng bªn trong), ®ång thêi chØ râ ®−êng dÉn mμ c¸c gãi tin IP ph¶i göi ®i. 1.3.1.4 V« hiÖu ho¸ c¸c chøc n¨ng cña hÖ thèng (denial of service) §©y lμ kÓu tÊn c«ng nh»m tª liÖt hÖ thèng, kh«ng cho nã thùc hiÖn chøc n¨ng mμ nã thiÕt kÕ. KiÓu tÊn c«ng nμy kh«ng thÓ ng¨n chÆn ®−îc, do nh÷ng ph−¬ng tiÖn ®−îc tæ chøc tÊn c«ng còng chÝnh lμ c¸c ph−¬ng tiÖn ®Ó lμm viÖc vμ truy nhËp th«ng tin trªn m¹ng. VÝ dô sö dông lÖnh ping víi tèc ®é cao nhÊt cã thÓ, buéc mét hÖ thèng tiªu hao toμn bé tèc ®é tÝnh to¸n vμ kh¶ n¨ng cña m¹ng ®Ó tr¶ lêi c¸c lÖnh nμy, kh«ng cßn c¸c tμi nguyªn ®Ó thùc hiÖn nh÷ng c«ng viÖc cã Ých kh¸c. 1.3.1.5 Lçi cña ng−êi qu¶n trÞ hÖ thèng §©y kh«ng ph¶i lμ mét kiÓu tÊn c«ng cña nh÷ng kÎ ®ét nhËp, tuy nhiªn lçi cña ng−êi qu¶n trÞ hÖ thèng th−êng t¹o ra nh÷ng lç hæng cho phÐp kÎ tÊn c«ng sö dông ®Ó truy nhËp vμo m¹ng néi bé. 1.3.1.6 TÊn c«ng vμo yÕu tè con ng−êi KÎ tÊn c«ng cã thÓ liªn l¹c víi mét ng−êi qu¶n trÞ hÖ thèng, gi¶ lμm mét ng−êi sö dông ®Ó yªu cÇu thay ®æi mËt khÈu, thay ®æi quyÒn truy nhËp cña m×nh ®èi víi hÖ thèng, hoÆc thËm chÝ thay ®æi mét sè cÊu h×nh cña hÖ thèng ®Ó thùc hiÖn c¸c ph−¬ng ph¸p tÊn c«ng kh¸c. Víi kiÓu tÊn c«ng nμy
  8. kh«ng mét thiÕt bÞ nμo cã thÓ ng¨n chÆn mét c¸ch h÷u hiÖu, vμ chØ cã mét c¸ch gi¸o dôc ng−êi sö dông m¹ng néi bé vÒ nh÷ng yªu cÇu b¶o mËt ®Ó ®Ò cao c¶nh gi¸c víi nh÷ng hiÖn t−îng ®¸ng nghi. Nãi chung yÕu tè con ng−êi lμ mét ®iÓm yÕu trong bÊt kú mét hÖ thèng b¶o vÖ nμo, vμ chØ cã sù gi¸o dôc céng víi tinh thÇn hîp t¸c tõ phÝa ng−êi sö dông cã thÓ n©ng cao ®−îc ®é an toμn cña hÖ thèng b¶o vÖ. 1.3.2 Ph©n lo¹i kÎ tÊn c«ng Cã rÊt nhiÒu kÎ tÊn c«ng trªn m¹ng toμn cÇu – Internet vμ chóng ta còng kh«ng thÓ ph©n lo¹i chóng mét c¸ch chÝnh x¸c, bÊt cø mét b¶n ph©n lo¹i kiÓu nμy còng chØ nªn ®−îc xem nh− lμ mét sù giíi thiÖu h¬n lμ mét c¸ch nh×n rËp khu«n. 1.3.2.1 Ng−êi qua ®−êng Ng−êi qua ®−êng lμ nh÷ng kÎ buån ch¸n víi nh÷ng c«ng viÖc th−êng ngμy, hä muèn t×m nh÷ng trß gi¶i trÝ míi. Hä ®ét nhËp vμo m¸y tÝnh cña b¹n v× hä nghÜ b¹n cã thÓ cã nh÷ng d÷ liÖu hay, hoÆc bëi v× hä c¶m thÊy thÝch thó khi sö dông m¸y tÝnh cña ng−êi kh¸c, hoÆc chØ ®¬n gi¶n lμ hä kh«ng t×m ®−îc mét viÖc g× hay h¬n ®Ó lμm. Hä cã thÓ lμ ng−êi tß mß nh−ng kh«ng chñ ®Þnh lμm h¹i b¹n. Tuy nhiªn, hä th−êng g©y h− háng hÖ thèng khi ®ét nhËp hay khi xo¸ bá dÊu vÕt cña hä. 1.3.2.2 KÎ ph¸ ho¹i KÎ ph¸ ho¹i chñ ®Þnh ph¸ ho¹i hÖ thèng cña b¹n, hä cã thÓ kh«ng thÝch b¹n, hä còng cã thÓ kh«ng biÕt b¹n nh−ng hä t×m thÊy niÒm vui khi ®i ph¸ ho¹i. Th«ng th−êng, trªn Internet kÎ ph¸ ho¹i kh¸ hiÕm. Mäi ng−êi kh«ng thÝch hä. NhiÒu ng−êi cßn thÝch t×m vμ chÆn ®øng nh÷ng kÎ ph¸ ho¹i. Tuy Ýt nh−ng kÎ ph¸ ho¹i th−êng
  9. g©y háng trÇm träng cho hÖ thèng cña b¹n nh− xo¸ toμn bé d÷ liÖu, ph¸ háng c¸c thiÕt bÞ trªn m¸y tÝnh cña b¹n... 1.3.2.3 KÎ ghi ®iÓm RÊt nhiÒu kÎ qua ®−êng bÞ cuèn hót vμo viÖc ®ét nhËp, ph¸ ho¹i. Hä muèn ®−îc kh¼ng ®Þnh m×nh th«ng qua sè l−îng vμ c¸c kiÓu hÖ thèng mμ hä ®· ®ét nhËp qua. §ét nhËp ®−îc vμo nh÷ng n¬i næi tiÕng, nh÷ng n¬i phßng bÞ chÆt chÏ, nh÷ng n¬i thiÕt kÕ tinh x¶o cã gi¸ trÞ nhiÒu ®iÓm ®èi víi hä. Tuy nhiªn hä còng sÏ tÊn c«ng tÊt c¶ nh÷ng n¬i hä cã thÓ, víi môc ®Ých sè l−îng còng nh− môc ®Ých chÊt l−îng. Nh÷ng ng−êi nμy kh«ng quan t©m ®Õn nh÷ng th«ng tin b¹n cã hay nh÷ng ®Æc tÝnh kh¸c vÒ tμi nguyªn cña b¹n. Tuy nhiªn ®Ó ®¹t ®−îc môc ®Ých lμ ®ét nhËp, v« t×nh hay h÷u ý hä sÏ lμm h− háng hÖ thèng cña b¹n. 1.3.2.4 Gi¸n ®iÖp HiÖn nay cã rÊt nhiÒu th«ng tin quan träng ®−îc l−u tr÷ trªn m¸y tÝnh nh− c¸c th«ng tin vÒ qu©n sù, kinh tÕ... Gi¸n ®iÖp m¸y tÝnh lμ mét vÊn ®Ò phøc t¹p vμ khã ph¸t hiÖn. Thùc tÕ, phÇn lín c¸c tæ chøc kh«ng thÓ phßng thñ kiÓu tÊn c«ng nμy mét c¸ch hiÖu qu¶ vμ b¹n cã thÓ ch¾c r»ng ®−êng liªn kÕt víi Internet kh«ng ph¶i lμ con ®−êng dÔ nhÊt ®Ó gi¸n ®iÖp thu l−îm th«ng tin.
  10. 1.4 VËy Internet Firewall lμ g×? 1.4.1 §Þnh nghÜa ThuËt ng÷ Firewall cã nguån gèc tõ mét kü thuËt thiÕt kÕ trong x©y dùng ®Ó ng¨n chÆn, h¹n chÕ ho¶ ho¹n. Trong c«ng nghÖ m¹ng th«ng tin, Firewall lμ mét kü thuËt ®−îc tÝch hîp vμo hÖ thèng m¹ng ®Ó chèng sù truy cËp tr¸i phÐp nh»m b¶o vÖ c¸c nguån th«ng tin néi bé còng nh− h¹n chÕ sù x©m nhËp vμo hÖ thèng cña mét sè th«ng tin kh¸c kh«ng mong muèn. Còng cã thÓ hiÓu r»ng Firewall lμ mét c¬ chÕ ®Ó b¶o vÖ m¹ng tin t−ëng (trusted network) khái c¸c m¹ng kh«ng tin t−ëng (untrusted network). Internet Firewall lμ mét thiÕt bÞ (phÇn cøng+phÇn mÒm) gi÷a m¹ng cña mét tæ chøc, mét c«ng ty, hay mét quèc gia (Intranet) vμ Internet. Nã thùc hiÖn vai trß b¶o mËt c¸c th«ng tin Intranet tõ thÕ giíi Internet bªn ngoμi. 1.4.2 Chøc n¨ng Internet Firewall (tõ nay vÒ sau gäi t¾t lμ firewall) lμ mét thμnh phÇn ®Æt gi÷a Intranet vμ Internet ®Ó kiÓm so¸t tÊt c¶ c¸c viÖc l−u th«ng vμ truy cËp gi÷a chóng víi nhau bao gåm: • Firewall quyÕt ®Þnh nh÷ng dÞch vô nμo tõ bªn trong ®−îc phÐp truy cËp tõ bªn ngoμi, nh÷ng ng−êi nμo tõ bªn ngoμi ®−îc phÐp truy cËp ®Õn c¸c dÞch vô bªn trong, vμ c¶ nh÷ng dÞch vô nμo bªn ngoμi ®−îc phÐp truy cËp bëi nh÷ng ng−êi bªn trong. • §Ó firewall lμm viÖc hiÖu qu¶, tÊt c¶ trao ®æi th«ng tin tõ trong ra ngoμi vμ ng−îc l¹i ®Òu ph¶i thùc hiÖn th«ng qua Firewall.
  11. • ChØ cã nh÷ng trao ®æi nμo ®−îc phÐp bëi chÕ ®é an ninh cña hÖ thèng m¹ng néi bé míi ®−îc quyÒn l−u th«ng qua Firewall. S¬ ®å chøc n¨ng hÖ thèng cña firewall ®−îc m« t¶ nh− trong h×nh 2.1 Intranet firewall Internet H×nh 2.1 S¬ ®å chøc n¨ng hÖ thèng cña firewall 1.4.3 CÊu tróc Firewall bao gåm: • Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi c¸c bé ®Þnh tuyÕn (router) hoÆc cã chøc n¨ng router. • C¸c phÇn mÒm qu¶n lý an ninh ch¹y trªn hÖ thèng m¸y chñ. Th«ng th−êng lμ c¸c hÖ qu¶n trÞ x¸c thùc (Authentication), cÊp quyÒn (Authorization) vμ kÕ to¸n (Accounting). Chóng ta sÏ ®Ò cËp kü h¬n c¸c ho¹t ®éng cña nh÷ng hÖ nμy ë phÇn sau. 1.4.4 C¸c thμnh phÇn cña Firewall vμ c¬ chÕ ho¹t ®éng Mét Firewall chuÈn bao gåm mét hay nhiÒu c¸c thμnh phÇn sau ®©y: • Bé läc packet ( packet-filtering router )
  12. • Cæng øng dông (application-level gateway hay proxy server ) • Cæng m¹ch (circuite level gateway) 1.4.4.1 Bé läc gãi tin (Packet filtering router) 1.4.4.1.1 Nguyªn lý: Khi nãi ®Õn viÖc l−u th«ng d÷ liÖu gi÷a c¸c m¹ng víi nhau th«ng qua Firewall th× ®iÒu ®ã cã nghÜa r»ng Firewall ho¹t ®éng chÆt chÏ víi giao thøc liªn m¹ng TCP/IP. V× giao thøc nμy lμm viÖc theo thuËt to¸n chia nhá c¸c d÷ liÖu nhËn ®−îc tõ c¸c øng dông trªn m¹ng, hay nãi chÝnh x¸c h¬n lμ c¸c dÞch vô ch¹y trªn c¸c giao thøc (Telnet, SMTP, DNS, SMNP, NFS...) thμnh c¸c gãi d÷ liÖu (data packets) råi g¸n cho c¸c packet nμy nh÷ng ®Þa chØ ®Ó cã thÓ nhËn d¹ng, t¸i lËp l¹i ë ®Ých cÇn göi ®Õn, do ®ã c¸c lo¹i Firewall còng liªn quan rÊt nhiÒu ®Õn c¸c packet vμ nh÷ng con sè ®Þa chØ cña chóng. Bé läc packet cho phÐp hay tõ chèi mçi packet mμ nã nhËn ®−îc. Nã kiÓm tra toμn bé ®o¹n d÷ liÖu ®Ó quyÕt ®Þnh xem ®o¹n d÷ liÖu ®ã cã tho¶ m·n mét trong sè c¸c luËt lÖ cña läc packet hay kh«ng. C¸c luËt lÖ läc packet nμy lμ dùa trªn c¸c th«ng tin ë ®Çu mçi packet (packet header), dïng ®Ó cho phÐp truyÒn c¸c packet ®ã ë trªn m¹ng. §ã lμ: • §Þa chØ IP n¬i xuÊt ph¸t ( IP Source address) • §Þa chØ IP n¬i nhËn (IP Destination address) • Nh÷ng thñ tôc truyÒn tin (TCP, UDP, ICMP, IP tunnel) • Cæng TCP/UDP n¬i xuÊt ph¸t (TCP/UDP source port) • Cæng TCP/UDP n¬i nhËn (TCP/UDP destination port) • D¹ng th«ng b¸o ICMP ( ICMP message type)
  13. • giao diÖn packet ®Õn ( incomming interface of packet) • giao diÖn packet ®i ( outcomming interface of packet) NÕu luËt lÖ läc packet ®−îc tho¶ m·n th× packet ®−îc chuyÓn qua firewall. NÕu kh«ng packet sÏ bÞ bá ®i. Nhê vËy mμ Firewall cã thÓ ng¨n c¶n ®−îc c¸c kÕt nèi vμo c¸c m¸y chñ hoÆc m¹ng nμo ®ã ®−îc x¸c ®Þnh, hoÆc kho¸ viÖc truy cËp vμo hÖ thèng m¹ng néi bé tõ nh÷ng ®Þa chØ kh«ng cho phÐp. H¬n n÷a, viÖc kiÓm so¸t c¸c cæng lμm cho Firewall cã kh¶ n¨ng chØ cho phÐp mét sè lo¹i kÕt nèi nhÊt ®Þnh vμo c¸c lo¹i m¸y chñ nμo ®ã, hoÆc chØ cã nh÷ng dÞch vô nμo ®ã (Telnet, SMTP, FTP...) ®−îc phÐp míi ch¹y ®−îc trªn hÖ thèng m¹ng côc bé. 1.4.4.1.2 ¦u ®iÓm §a sè c¸c hÖ thèng firewall ®Òu sö dông bé läc packet. Mét trong nh÷ng −u ®iÓm cña ph−¬ng ph¸p dïng bé läc packet lμ chi phÝ thÊp v× c¬ chÕ läc packet ®· ®−îc bao gåm trong mçi phÇn mÒm router. Ngoμi ra, bé läc packet lμ trong suèt ®èi víi ng−êi sö dông vμ c¸c øng dông, v× vËy nã kh«ng yªu cÇu sù huÊn luyÖn ®Æc biÖt nμo c¶. 1.4.4.1.3 H¹n chÕ: ViÖc ®Þnh nghÜa c¸c chÕ ®é läc packet lμ mét viÖc kh¸ phøc t¹p, nã ®ßi hái ng−êi qu¶n trÞ m¹ng cÇn cã hiÓu biÕt chi tiÕt vÓ c¸c dÞch vô Internet, c¸c d¹ng packet header, vμ c¸c gi¸ trÞ cô thÓ mμ hä cã thÓ nhËn trªn mçi tr−êng. Khi ®ßi hái vÓ sù läc cμng lín, c¸c luËt lÖ vÓ läc cμng trë nªn dμi vμ phøc t¹p, rÊt khã ®Ó qu¶n lý vμ ®iÒu khiÓn. Do lμm viÖc dùa trªn header cña c¸c packet, râ rμng lμ bé läc packet kh«ng kiÓm so¸t ®−îc néi dung th«ng tin cña packet. C¸c packet chuyÓn qua vÉn cã thÓ mang theo nh÷ng
  14. hμnh ®éng víi ý ®å ¨n c¾p th«ng tin hay ph¸ ho¹i cña kÎ xÊu. 1.4.4.2 Cæng øng dông (application-level gateway) 1.4.4.2.1 Nguyªn lý §©y lμ mét lo¹i Firewall ®−îc thiÕt kÕ ®Ó t¨ng c−êng chøc n¨ng kiÓm so¸t c¸c lo¹i dÞch vô, giao thøc ®−îc cho phÐp truy cËp vμo hÖ thèng m¹ng. C¬ chÕ ho¹t ®éng cña nã dùa trªn c¸ch thøc gäi lμ Proxy service (dÞch vô ®¹i diÖn). Proxy service lμ c¸c bé ch−¬ng tr×nh ®Æc biÖt cμi ®Æt trªn gateway cho tõng øng dông. NÕu ng−êi qu¶n trÞ m¹ng kh«ng cμi ®Æt ch−¬ng tr×nh proxy cho mét øng dông nμo ®ã, dÞch vô t−¬ng øng sÏ kh«ng ®−îc cung cÊp vμ do ®ã kh«ng thÓ chuyÓn th«ng tin qua firewall. Ngoμi ra, proxy code cã thÓ ®−îc ®Þnh cÊu h×nh ®Ó hç trî chØ mét sè ®Æc ®iÓm trong øng dông mμ ng−ßi qu¶n trÞ m¹ng cho lμ chÊp nhËn ®−îc trong khi tõ chèi nh÷ng ®Æc ®iÓm kh¸c. Mét cæng øng dông th−êng ®−îc coi nh− lμ mét ph¸o ®μi (bastion host), bëi v× nã ®−îc thiÕt kÕ ®Æt biÖt ®Ó chèng l¹i sù tÊn c«ng tõ bªn ngoμi. Nh÷ng biÖn ph¸p ®¶m b¶o an ninh cña mét bastion host lμ: Bastion host lu«n ch¹y c¸c version an toμn (secure version) cña c¸c phÇn mÒm hÖ thèng (Operating system). C¸c version an toμn nμy ®−îc thiÕt kÕ chuyªn cho môc ®Ých chèng l¹i sù tÊn c«ng vμo Operating System, còng nh− lμ ®¶m b¶o sù tÝch hîp firewall. ChØ nh÷ng dÞch vô mμ ng−êi qu¶n trÞ m¹ng cho lμ cÇn thiÕt míi ®−îc cμi ®Æt trªn bastion host, ®¬n gi¶n chØ v× nÕu mét dÞch vô kh«ng ®−îc cμi ®Æt, nã kh«ng thÓ bÞ tÊn c«ng. Th«ng th−êng, chØ mét sè giíi h¹n c¸c øng dông cho c¸c dÞch vô Telnet, DNS, FTP, SMTP vμ x¸c thùc user lμ ®−îc cμi ®Æt trªn bastion host.
  15. Bastion host cã thÓ yªu cÇu nhiÒu møc ®é x¸c thùc kh¸c nhau, vÝ dô nh− user password hay smart card. Mçi proxy ®−îc ®Æt cÊu h×nh ®Ó cho phÐp truy nhËp chØ mét så c¸c m¸y chñ nhÊt ®Þnh. §iÒu nμy cã nghÜa r»ng bé lÖnh vμ ®Æc ®iÓm thiÕt lËp cho mçi proxy chØ ®óng víi mét sè m¸y chñ trªn toμn hÖ thèng. Mçi proxy duy tr× mét quyÓn nhËt ký ghi chÐp l¹i toμn bé chi tiÕt cña giao th«ng qua nã, mçi sù kÕt nèi, kho¶ng thêi gian kÕt nèi. NhËt ký nμy rÊt cã Ých trong viÖc t×m theo dÊu vÕt hay ng¨n chÆn kÎ ph¸ ho¹i. Mçi proxy ®Òu ®éc lËp víi c¸c proxies kh¸c trªn bastion host. §iÒu nμy cho phÐp dÔ dμng qu¸ tr×nh cμi ®Æt mét proxy míi, hay th¸o gì m«t proxy ®ang cã vÊn ®Ó. VÝ dô: Telnet Proxy VÝ dô mét ng−êi (gäi lμ outside client) muèn sö dông dÞch vô TELNET ®Ó kÕt nèi vμo hÖ thèng m¹ng qua m«t bastion host cã Telnet proxy. Qu¸ tr×nh x¶y ra nh− sau: 1. Outside client telnets ®Õn bastion host. Bastion host kiÓm tra password, nÕu hîp lÖ th× outside client ®−îc phÐp vμo giao diÖn cña Telnet proxy. Telnet proxy cho phÐp mét tËp nhá nh÷ng lÖnh cña Telnet, vμ quyÕt ®Þnh nh÷ng m¸y chñ néi bé nμo outside client ®−îc phÐp truy nhËp. 2. Outside client chØ ra m¸y chñ ®Ých vμ Telnet proxy t¹o mét kÕt nèi cña riªng nã tíi m¸y chñ bªn trong, vμ chuyÓn c¸c lÖnh tíi m¸y chñ d−íi sù uû quyÒn cña outside client. Outside client th× tin r»ng Telnet proxy lμ m¸y chñ thËt ë bªn trong, trong khi m¸y chñ ë bªn trong th× tin r»ng Telnet proxy lμ client thËt. 1.4.4.2.2 ¦u ®iÓm:
  16. Cho phÐp ng−êi qu¶n trÞ m¹ng hoμn toμn ®iÒu khiÓn ®−îc tõng dÞch vô trªn m¹ng, bëi v× øng dông proxy h¹n chÕ bé lÖnh vμ quyÕt ®Þnh nh÷ng m¸y chñ nμo cã thÓ truy nhËp ®−îc bëi c¸c dÞch vô. Cho phÐp ng−êi qu¶n trÞ m¹ng hoμn toμn ®iÒu khiÓn ®−îc nh÷ng dÞch vô nμo cho phÐp, bëi v× sù v¾ng mÆt cña c¸c proxy cho c¸c dÞch vô t−¬ng øng cã nghÜa lμ c¸c dÞch vô Êy bÞ kho¸. Cæng øng dông cho phÐp kiÓm tra ®é x¸c thùc rÊt tèt, vμ nã cã nhËt ký ghi chÐp l¹i th«ng tin vÒ truy nhËp hÖ thèng. LuËt lÖ filltering (läc) cho cæng øng dông lμ dÔ dμng cÊu h×nh vμ kiÓm tra h¬n so víi bé läc packet. 1.4.4.2.3 H¹n chÕ: Yªu cÇu c¸c users biÕn ®æi (mod×y) thao t¸c, hoÆc mod×y phÇn mÒm ®· cμi ®Æt trªn m¸y client cho truy nhËp vμo c¸c dÞch vô proxy. VÝ dô, Telnet truy nhËp qua cæng øng dông ®ßi hái hai b−íc ®ª nèi víi m¸y chñ chø kh«ng ph¶i lμ mét b−íc th«i. Tuy nhiªn, còng ®· cã mét sè phÇn mÒm client cho phÐp øng dông trªn cæng øng dông lμ trong suèt, b»ng c¸ch cho phÐp user chØ ra m¸y ®Ých chø kh«ng ph¶i cæng øng dông trªn lÖnh Telnet. 1.4.4.3 Cæng vßng (circuit-Level Gateway) Cæng vßng lμ mét chøc n¨ng ®Æc biÖt cã thÓ thùc hiÖn ®−¬c bëi mét cæng øng dông. Cæng vßng ®¬n gi¶n chØ chuyÓn tiÕp (relay) c¸c kÕt nèi TCP mμ kh«ng thùc hiÖn bÊt kú mét hμnh ®éng xö lý hay läc packet nμo. H×nh 2.2 minh ho¹ mét hμnh ®éng sö dông nèi telnet qua cæng vßng. Cæng vßng ®¬n gi¶n chuyÓn tiÕp kÕt nèi telnet qua firewall mμ kh«ng thùc hiÖn mét sù kiÓm tra, läc hay
  17. ®iÒu khiÓn c¸c thñ tôc Telnet nμo.Cæng vßng lμm viÖc nh− mét sîi d©y,sao chÐp c¸c byte gi÷a kÕt nèi bªn trong (inside connection) vμ c¸c kÕt nèi bªn ngoμi (outside connection). Tuy nhiªn, v× sù kÕt nèi nμy xuÊt hiÖn tõ hÖ thèng firewall, nã che dÊu th«ng tin vÒ m¹ng néi bé. Cæng vßng th−êng ®−îc sö dông cho nh÷ng kÕt nèi ra ngoμi, n¬i mμ c¸c qu¶n trÞ m¹ng thËt sù tin t−ëng nh÷ng ng−êi dïng bªn trong. ¦u ®iÓm lín nhÊt lμ mét bastion host cã thÓ ®−îc cÊu h×nh nh− lμ mét hçn hîp cung cÊp Cæng øng dông cho nh÷ng kÕt nèi ®Õn, vμ cæng vßng cho c¸c kÕt nèi ®i. §iÒu nμy lμm cho hÖ thèng bøc t−êng löa dÔ dμng sö dông cho nh÷ng ng−êi trong m¹ng néi bé muèn trùc tiÕp truy nhËp tíi c¸c dÞch vô Internet, trong khi vÉn cung cÊp chøc n¨ng bøc t−êng löa ®Ó b¶o vÖ m¹ng néi bé tõ nh÷ng sù tÊn c«ng bªn ngoμi. out in out in out in outside host Inside host Circuit-level Gateway H×nh 2.2 Cæng vßng 1.4.5 Nh÷ng h¹n chÕ cña firewall Firewall kh«ng ®ñ th«ng minh nh− con ng−êi ®Ó cã thÓ ®äc hiÓu tõng lo¹i th«ng tin vμ ph©n tÝch néi dung tèt hay xÊu cña nã. Firewall chØ cã thÓ ng¨n chÆn sù x©m nhËp cña nh÷ng nguån th«ng tin kh«ng mong muèn nh−ng ph¶i x¸c ®Þnh râ c¸c th«ng sè ®Þa chØ. Firewall kh«ng thÓ ng¨n chÆn mét cuéc tÊn c«ng nÕu cuéc tÊn c«ng nμy kh«ng "®i qua" nã. Mét c¸ch cô thÓ, firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét
  18. ®−êng dial-up, hoÆc sù dß rØ th«ng tin do d÷ liÖu bÞ sao chÐp bÊt hîp ph¸p lªn ®Üa mÒm. Firewall còng kh«ng thÓ chèng l¹i c¸c cuéc tÊn c«ng b»ng d÷ liÖu (data-driven attack). Khi cã mét sè ch−¬ng tr×nh ®−îc chuyÓn theo th− ®iÖn tö, v−ît qua firewall vμo trong m¹ng ®−îc b¶o vÖ vμ b¾t ®Çu ho¹t ®éng ë ®©y. Mét vÝ dô lμ c¸c virus m¸y tÝnh. Firewall kh«ng thÓ lμm nhiÖm vô rμ quÐt virus trªn c¸c d÷ liÖu ®−îc chuyÓn qua nã, do tèc ®é lμm viÖc, sù xuÊt hiÖn liªn tôc cña c¸c virus míi vμ do cã rÊt nhiÒu c¸ch ®Ó m· hãa d÷ liÖu, tho¸t khái kh¶ n¨ng kiÓm so¸t cña firewall. 1.4.6 C¸c vÝ dô firewall 1.4.6.1 Packet-Filtering Router (Bé trung chuyÓn cã läc gãi) HÖ thèng Internet firewall phæ biÕn nhÊt chØ bao gåm mét packet-filtering router ®Æt gi÷a m¹ng néi bé vμ Internet (H×nh 2.3). Mét packet-filtering router cã hai chøc n¨ng: chuyÓn tiÕp truyÒn th«ng gi÷a hai m¹ng vμ sö dông c¸c quy luËt vÒ läc gãi ®Ó cho phÐp hay tõ chèi truyÒn th«ng. C¨n b¶n, c¸c quy luËt läc ®ù¬c ®Þnh nghÜa sao cho c¸c host trªn m¹ng néi bé ®−îc quyÒn truy nhËp trùc tiÕp tíi Internet, trong khi c¸c host trªn Internet chØ cã mét sè giíi h¹n c¸c truy nhËp vμo c¸c m¸y tÝnh trªn m¹ng néi bé. T− t−ëng cña m« cÊu tróc firewall nμy lμ tÊt c¶ nh÷ng g× kh«ng ®−îc chØ ra râ rμng lμ cho phÐp th× cã nghÜa lμ bÞ tõ chèi.
  19. Bªn ngoμi Packet filtering Bªn trong router M¹ng néi bé The Internet H×nh 2.3 Packet-filtering router ¦u ®iÓm: gi¸ thμnh thÊp (v× cÊu h×nh ®¬n gi¶n) trong suèt ®èi víi ng−êi sö dông H¹n chÕ: Cã tÊt c¶ h¹n chÕ cña mét packet-filtering router, nh− lμ dÔ bÞ tÊn c«ng vμo c¸c bé läc mμ cÊu h×nh ®−îc ®Æt kh«ng hoμn h¶o, hoÆc lμ bÞ tÊn c«ng ngÇm d−íi nh÷ng dÞch vô ®· ®−îc phÐp. Bëi v× c¸c packet ®−îc trao ®æi trùc tiÕp gi÷a hai m¹ng th«ng qua router , nguy c¬ bÞ tÊn c«ng quyÕt ®Þnh bëi sè l−îng c¸c host vμ dÞch vô ®−îc phÐp. §iÒu ®ã dÉn ®Õn mçi mét host ®−îc phÐp truy nhËp trùc tiÕp vμo Internet cÇn ph¶i ®−îc cung cÊp mét hÖ thèng x¸c thùc phøc t¹p, vμ th−êng xuyªn kiÓm tra bëi ng−êi qu¶n trÞ m¹ng xem cã dÊu hiÖu cña sù tÊn c«ng nμo kh«ng. NÕu mét packet-filtering router do mét sù cè nμo ®ã ngõng ho¹t ®éng, tÊt c¶ hÖ thèng trªn m¹ng néi bé cã thÓ bÞ tÊn c«ng. 1.4.6.2 Screened Host Firewall HÖ thèng nμy bao gåm mét packet-filtering router vμ mét bastion host (h×nh 2.4). HÖ thèng nμy cung cÊp ®é b¶o mËt
  20. cao h¬n hÖ thèng trªn, v× nã thùc hiÖn c¶ b¶o mËt ë tÇng network( packet-filtering ) vμ ë tÇng øng dông (application level). §ång thêi, kÎ tÊn c«ng ph¶i ph¸ vì c¶ hai tÇng b¶o mËt ®Ó tÊn c«ng vμo m¹ng néi bé. Bªn trong Bªn ngoμi Packet filtering Bastion host router m¸y néi bé The Internet Information server H×nh 2.4 Screened host firewall (Single- Homed Bastion Host) Trong hÖ thèng nμy, bastion host ®−îc cÊu h×nh ë trong m¹ng néi bé. Qui luËt filtering trªn packet-filtering router ®−îc ®Þnh nghÜa sao cho tÊt c¶ c¸c hÖ thèng ë bªn ngoμi chØ cã thÓ truy nhËp bastion host; ViÖc truyÒn th«ng tíi tÊt c¶ c¸c hÖ thèng bªn trong ®Òu bÞ kho¸. Bëi v× c¸c hÖ thèng néi bé vμ bastion host ë trªn cïng mét m¹ng, chÝnh s¸ch b¶o mËt cña mét tæ chøc sÏ quyÕt ®Þnh xem c¸c hÖ thèng néi bé ®−îc phÐp truy nhËp trùc tiÕp vμo bastion Internet hay lμ chóng ph¶i sö dông dÞch vô proxy trªn bastion host. ViÖc b¾t buéc nh÷ng user néi bé ®−îc thùc hiÖn b»ng c¸ch ®Æt cÊu h×nh bé läc cña router sao cho chØ chÊp nhËn nh÷ng truyÒn th«ng néi bé xuÊt ph¸t tõ bastion host.
Đồng bộ tài khoản