Bài tiểu luận môn An ninh mạng 1 Nhóm 20 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TIỂU LUẬN MÔN AN NINH MẠNG THÔNG TIN TÊN ĐỀ TÀI HỆ THỐNG TƯỜNG LỬA (FIREWALL) Bài tiểu luận môn An ninh mạng 2 Phân côn[.]
Trang 11 Nhóm 20
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TIỂU LUẬN
MÔN: AN NINH MẠNG THÔNG TIN
TÊN ĐỀ TÀI: HỆ THỐNG TƯỜNG LỬA (FIREWALL)
Trang 3
3
MỤC LỤC MỞ ĐẦU………4
DANH MỤC THUẬT NGỮ VIẾT TẮT……… 5
DANH MỤC HÌNH……… 6
NỘI DUNG………
CHƯƠNG I: TỔNG QUAN VỀ FIREWALL……… 7
1.Khái niệm, chức năng, phân loại………7
2.Nguyên lý hoạt động……… 9
3.Ứng dụng………10
CHƯƠNG II: NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL…………
1.Dual- homed Host……… 11
2.Kiến trúc Screened Host……….12
3.Kiến trúc Screened Subnet Host………13
4.Sử dụng nhiều Bastion Host……….14
5.Kiến trúc ghép chung Router trong và Router ngoài………16
6.Kiến trúc ghép chung Bastion Host và Router ngoài……… 16
CHƯƠNG III.CÁC THÀNH PHẦN VÀ CƠ CHẾ HOẠT ĐỘNG CỦA FIREWALL………
1.Bộ lọc gói (Packet Filtering)……… 17
2.Cổng ứng dụng(Application – Level Gateway)……….20
3.Cổng vòng(Circuit- Level Gateway)……… 22
CHƯƠNG IV.KẾT LUẬN……… 23
CHƯƠNG V.TÀI LIỆU THAM KHẢO……… 23
Trang 4
nó cũng đem lại một số vấn đề không nhỏ về an ninh mạng và đánh cắp dữ liệu Điều này thường xảy ra khi bạn không có chế độ an ninh tốt cho máy tính tính của mình và nó có thể bị tấn công bất kì lúc nào mà không hề báo trước Do vậy, an ninh mạng là một vấn đề quan trọng đã được cả thế giới đặc biết quan tâm và nghiên cứu
Firewall đã được tạo ra để đảm bảo an toàn cho máy tính của bạn ở dạng phần mềm và nhiều máy tính doanh nghiệp ở dạng phần cứng Nó sẽ tiến hành lọc những dịch vụ được truy cập và không được truy cập để đảm bảo an toàn thông tin cho máy tính của bạn
2.Mục đích và phạm vi của tiểu luận
Nếu máy tính không được bảo vệ, khi kết nối Internet, tất cả các hoạt động ra vào mạng đều được cho phép , vì thế hacker,virus có thể truy cập và lấy cắp thông tin cá nhân trên máy tính Vì thế hệ thống Firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn Bài tiểu luận cũng nghiên cứu về các thiết kế cơ bản của Firewall và cơ chế hoạt động của nó
3.Phương pháp nghiên cứu
Thực hiện nghiên cứu qua người sử dụng và các tài liệu
Trang 55
DANH MỤC THUẬT NGỮ VIẾT TẮT
LAN Local Area Network Mạng máy tính cục bộ WAN Wide Area Network Mạng diện rộng
NAT Network Address Translation Kỹ thuật đổi địa chỉ IP
này sang IP khác ASA Adaptive Security Appliance Thiết bị bảo mật chống
virus DMZ Demilitarized Zone Khu bảo mật
IP Internet Protocol Địa chỉ đơn nhất các
thiết bị điện tử sử dụng TCP Transmission Control Protocol Giao thức điều khiển
truyền vận UDP User Datagram Protocol Giao thức cốt lõi
DNS Domain Name System Hệ thống phân giải tên
miền SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư
tín đơn giản ICMP Internet Control Message Protocol Giao thức thông điệp
điều khiển Internet
Trang 66
DANH MỤC HÌNH
Hình Nội dung
Hình 1 Mô hình tổng quan Firewall
Hình 2 Firewall với các doanh nghiệp
Hình 3 Sơ đồ kiến trúc Dual–homed Host
Hình 4 Sơ đồ kiến trúc Screened Host
Hình 5 Sơ đồ kiến trúc Screened Subnet Host Hình 6 Sơ đồ kiến trúc sử dụng 2 Bastion Host Hình 7 Sơ đồ kiến trúc ghép chung Router trong
và Router ngoài Hình 8 Sơ đồ kiến trúc ghép chung Bastion Host
và Router ngoài Hình 9 Giao diện Packet
Hình 10 Kết nối qua cổng vòng(Circuit–Level
Gateway)
Trang 77
CHƯƠNG I.TỔNG QUAN VỀ FIREWALL
1.Khái niệm,chức năng, phân loại
1.1.Khái niệm
Firewall dịch ra tiếng việt có nghĩa là tường lửa Nó là một hệ thống an ninh mạng Tường lửa tồn tại ở cả hai dạng phần cứng và phần mềm, được tích hợp bên trong hệ thống và nó hoạt động như một rào chắn Nó ngăn chặn sự truy nhập trái phép giữa vùng mạng không an toàn vào vùng mạng an toàn Ví dụ như mạng má tính cá nhân và mạng Internet
Hình 1: Mô hình tổng quan Firewall
1.2 Chức năng
Firewall có chức năng chính là kiểm soát luồng thông tin từ giữa Intranet ( mạng bên trong ) và Internet ( mạng bên ngoài ) Chúng phát hiện và tiến hành lọc những dịch vụ
Trang 8- Kiểm soát truy cập người dùng
- Quản lý kiểm soát nội dung thông tin và các gói lưu chuyển trên mạng
- Kiểm soát địa chỉ truy cập ( có thể cấm hoặc cho phép )
Hình 2:Firewall với các doanh nghiệp
Đặc điểm của Firewall cứng:
- Không được linh hoạt như Firewall mềm: không thể thêm chức năng, thêm quy tắc như Firewall mềm
- Hiệu quả cao trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho từng máy tính riêng lẻ
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (tầng Network và tầng Transport)
- Firewall cứng không thể kiểm tra nội dung của một gói tin
- Một số Firewall cứng thông dụng: NAT, Cisco ASA 5500,…
Trang 99
1.3.2 Firewall mềm
Firewall mềm là những Firewall được cài đặt trên các máy tính cá nhân
Đặc điểm của Firewall mềm:
- Tính linh hoạt cao: có thể thêm, bớt các quy tắc, các chức năng
- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (Tầng Applycation)
- Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa) • Một số Firewall mềm thông dụng: Microsoft ISA Server 2006, Norton Firewall,…
Có thể gói gọn lại là tường lửa phần cứng thì bảo vệ bên ngoài còn tường lửa phần mềm thì bảo vệ từng máy tính
2 Nguyên lý hoạt động của Firewall
Firewall hoạt động với giao thức TCI/IP Có thể hiểu đơn giản là khi một gói tin được chuyển tải trên mạng, nó được chia nhỏ thành các gói (packet) Mỗi gói sẽ được gán một địa chỉ để có thể đến đích Sau khi đến đích thì Firewall sẽ bắt đầu lọc các gói tin Địa chỉ được lưu ở đầu mỗi gói tin (header), Firewall dựa vào Header của gói tin để đọc
Bộ lọc gói tin có khả năng cho phép hay từ chối mỗi gói tin mà nó nhận được Nó kiểm tra toàn bộ đọan dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn các quy định của
bộ lọc gói tin hay không Các luật lọc gói tin này sẽ lấy thông tin từ đầu mỗi gói tin
(Header) Header của gói tin bao gồm các thông tin như sau:
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP (ICMP message type)
Giao diện packet đến (incomming interface of packet)
Trang 1010
Giao diện packet đi (outcomming interface of packet)
Nếu gói tin thỏa mãn các luật lọc gói tin ở trên thì gói tin đó được chuyển qua, ngược lại, gói tin sẽ bị hủy
3 Ứng dụng của Firewall
Firewall giúp bảo vệ dữ liệu và tài nguyên hệ thống trên máy tính của bạn
Những sự tấn công an ninh mạng từ bên ngoài nhắm vào máy tính là:
Chống lại Hacking: Hacker thường dùng cách này để giả làm máy tính hợp pháp sau đó
có thể chiếm quyền điều khiển trình duyệt web trên máy tính
Chống lại việc sửa đổi mã:
Từ chối các dịch vụ đính kèm:
Tấn công trực tiếp:
- Kẻ xấu đã dùng phương pháp dò mật khẩu trực tiếp Thông qua các chương trình
dò tìm mật khẩu với 1 số thông tin về ngày tháng năm sinh, tên tuổi và địa chỉ vv
và kết hợp với thư viện do người dùng tạo ra Trong 1 số trường hợp kẻ xấu có thể
dò ra mật khẩu của bạn với mức độ thành công lên đến 30%
- Kẻ xấu cũng có thể sử dụng lỗi của chương trình ứng ụng và bản thân hệ điều hành
đã bị tấn công trước đố để chiếm quyền truy cập
Nghe trộm: có thể biết được thông tin, mật khẩu thông qua các chương trình giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng
Vô hiệu hóa chức năng hệ thống (deny service): kẻ xấu tấn công nhằm làm tê liệt toàn
bộ hệ thống máy tính để nó không thực hiện được các chức năng mà nó được thiết kế Kiểu tấn công này không thể ngăn chặn do những phương tiện tấn công cũng chính là phương tiện để làm việc và truy nhập thông tin mạng
Lỗi người quản trị hệ thống: chúng ta đôi khi chủ quan không đề phòng và đã để lộ thông tin quan trọng cho hacker Người quản trị mạng cần trang bị cho mình những kiến thức tốt về bảo mật mạng để có thể bảo vệ an toàn mạng trước những vụ tấn công Đối với người dùng cá nhân thì cũng nên trang bị cho mình 1 Firewall để có thể chống lại những vụ tấn công đơn giản từ hacker
Trang 1111
CHƯƠNG II.NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL
1 Kiến trúc Dual – homed Host
Hình 3 : Sơ đồ kiến trúc Dual–homed Host
Dual–homed Host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài
Hệ điều hành của Dual–homed Host được sửa đổi để chức năng chuyển các gói tin giữa hai giao tiếp mạng này không hoạt động Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ đầu tiên phải đăng nhập vào Dual–homed Host
Ưu điểm của Dual–homed Host:
- Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt
- Có thể tách một mạng bên trong khỏi mạng tin cậy
- Không chuyển bất kì luồng dữ liệu nào, chặn hoàn toàn luồng dữ liệu giữa mạng trong và mạng ngoài không tin cậy
Trang 1212 Nhóm 20
Nhược điểm của Dual–homed Host:
- Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp
- Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ
- Hệ thống sẽ bị quá tải khi chạy nhiều ứng dụng
2 Kiến trúc Screened Host
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services
Packet Filtering: Lọc gói tin hoặc một số dịch vụ mà hệ thống muốn cung cấp sử dụng Proxy Server,người dùn nếu muốn sử dụng dịch vụ thì phải kết nối đến Proxy Server mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên ngoài, đồng thời
có thể cho phép Bastion Host mở một số kết nối với internal/external host, định tuyến hay chặn gói tin dựa vào các chính sách bảo mật
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server
Hình 4: Sơ đồ kiến trúc Screened Host
Trang 1313 Nhóm 20
Một số ưu, khuyết điểm chính của kiến trúc Screened Host
Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thể sau: Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ,
vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được, cũng như tốc độ đáp ứng không cao vì đảm nhận nhiều chức năng cùng lúc
Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát,khó xảy ra lỗi Proxy Servers được đặt ở máy khác nên khả năng đáp ứng cao
Cũng như Dual–Homed Host khi mà Packet Filtering system cũng như Bastion Host chứa các Proxy Server bị đột nhập vào thì lưu thông của internal network bị người tấn công thấy
3 Kiến trúc Screened Subnet Host
Hình 5: Sơ đồ kiến trúc Screened Subnet Host
Kiến trúc này bao gồm hai Packet–Filtering Router và một Bastion Host Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và Application
Trang 1414 Nhóm 20
Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ Một DMZ được cấu hình để các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn hệ thống trên mạng DMZ, truyền trực tiếp qua mạng DMZ là không thể được
Với những luồng dữ liệu đến Router ngoài chống lại những sự tấn công chuẩn (ví dụ giả mạo IP), và điều khiển truy nhập tới DMZ Chỉ cho phép hệ thống bên ngoài truy nhập Bastion Host Router bên trong cung cấp lớp bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ Bastion Host
Với những luồng tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ Chỉ cho phép các hệ thống bên trong truy nhập Bastion Quy luật Filtering trên Router ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép dữ liệu ra bắt nguồn từ Bastion Host
Để tăng độ an toàn trong internal network, kiến trúc screen subnet ở trên sử dụng thêm một mạng DMZ để che phần lưu thông bên trong internal network Tách biệt internal network với Internet
Sử dụng 2 Screening Router: Exterior Router và Interior Router
Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian càng tăng khả năng bảo vệ càng cao
4 Sử dụng nhiều Bastion Host
Mô hình này ra đời các yêu cầu về hiệu suất và dư thừa, cũng như tách biệt các Servers khác nhau
Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong, như dịch vụ SNMP Server, Proxy Servers
Trang 1515 Nhóm 20
Sử dụng 1 Bastion Host khác cung cấp dịch vụ cho Internet hoặc những người sử dụng bên ngoài sẽ sử dụng Như là Anonymous FTP Server mà Server này những người sử dụng bên trong không truy xuất đến
Hình 6: Sơ đồ kiến trúc sử dụng 2 Bastion Host
Với cách này thì tốc độ đáp ứng cho nhữnglocal usermột phần nào đó không bị ảnh hưởng bởi hoạt động của những external users
Cũng có thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nào đó để tăng hiệu suất đáp ứng, nhưng việc này cũng khó cân bằng tải giữa các Server trừ khi đoán trước được mức độ sử dụng
Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi mà một Bastion Host hỏng thì có cái khác thay thế Nhưng chỉ có một số loại dịch vụ trợ giúp dạng này: DNS Server, SMTP Server, có thể dùng nhiều Bastion Host làm DNS Server, SMTP Server Khi một Bastion Host hỏng hoặc quá tải, những yêu cầu về DNS Server và SNMP sẽ được dùng qua Bastion Host khác như là một fallback system
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau
Trang 1616 Nhóm 20
Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt
5 Kiến trúc ghép chung Router trong và Router ngoài
Hình 7: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài
Kiến trúc này gần giống với Screened Host trong trường hợp khi mà exterior/interior Router bị đột nhập vào thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài nhưng tốt hơn Screened Host đó là nó cũng sử dụng thêm một mạng bên ngoài Mạng bên ngoài sẽ chứa các Server có thể nối ra Internet mà nếu các Server này bị đột nhập thì lưu thông của mạng bên trong cũng không bị lộ ra bên ngoài Kiến trúc này cũng gần giống với Screened Subnet nhưng mà exterior Router và interior Router được ghép chung nên nó giảm đi số lớp bảo vệ Nói chung, kiến trúc ghép chung interior Router và exterior Router
ở trung gian giữa hai kiến trúc này
Kiến trúc này đòi hỏi máy làm router phải có tốc độ cao
6 Kiến trúc ghép chung Bastion Host và Router ngoài