Chương 3: Tường lửa

3.1 Giới thiệu tt• Tường lửa, cổng an ninh vòng ngoài security-edge gateway là sự kết hợp giữa phần cứng và phần mềm nhằm tăng cường an ninh, ngăn chặn các truy nhập bất hợp pháp giữa

Network Security

Lương Trần Hy Hiến

Chương 3: Tường lửa

Presenter:

Lương Trần Hy Hiến

hienlth@hcmup.edu.vn

Router / Switch

3.1 Giới thiệu

• From Webopedia.com, a firewall is defined as “A

system designed to prevent unauthorized access to

or from a private network Firewalls can be

implemented in both hardware and software , or a

combination of both Firewalls are frequently used

to prevent unauthorized Internet users from

accessing private networks connected to the

Internet, especially intranets All messages entering

or leaving the intranet pass through the firewall,

3.1 Giới thiệu (tt)

• Tường lửa, cổng an ninh vòng ngoài

(security-edge gateway) là sự kết hợp giữa phần cứng và

phần mềm nhằm tăng cường an ninh, ngăn

chặn các truy nhập bất hợp pháp giữa hai mạng

có mức độ tin tưởng khác nhau VD: Mạng công

cộng với mạng nội bộ, DMZ với mạng riêng,…

• Làm việc trên cơ sở tập luật mà quản trị mạng

3.1 Giới thiệu (tt)

• Chính sách an ninh của tường lửa:

– Cấm thâm nhập bất hợp pháp từ bên ngoài – Chỉ cho phép truy nhập từ các địa điểm ấn định, cho một số người dùng, thực hiện các hoạt động nhất định.

• Một trong những thách thức của tường lửa là

xác định chính sách an ninh phù hợp với yêu cầu cài đặt nhưng vẫn đảm bảo an toàn hệ thống.

3.1 Giới thiệu (tt)

• Vị trí đặt tường lửa

3.1 Giới thiệu (tt)

• Các nguyên tắc thiết kế tường lửa:

– Mạng được cô lập tốt, chống tấn công hiệu quả – Dễ tinh chỉnh, gia cố, mở rộng các chức năng tường lửa – Đảm bảo quyền hợp thức, truy nhập thông suốt

Vai trò tường lửa

• Làm được

- Kiểm soát luồng dữ

liệu đi qua nó

Tầng hoạt động?

• Firewall hoạt động ở những lớp nào trong mô

hình OSI ???

3.2 Các kiểu tường lửa

• Tùy đặc điểm hệ thống, yêu cầu sử dụng… tường

lửa được cài đặt theo nhiều kiểu khác nhau

• Phân loại tường lửa (tương đối):

– Lọc gói cổng vào (gateway), bộ định tuyến kiểm tra (screening router)

– Thanh tra trạng thái (stateful inspection firewall) – Ủy nhiệm ứng dụng (application proxies firewall) – Canh phòng (guard firewall)

– Bảo vệ cá nhân (personal firewall)

a Tường lửa lọc gói

• Dạng tường lửa cơ bản, giám sát các gói tin truy

nhập mạng căn cứ vào các địa chỉ gửi-nhận, giao

thức truyền (HTTP, Telnet…)

Nguyên tắc hoạt động

• Thông tin Header gói tin cần kiểm tra:

– Địa chỉ IP nơi xuất phát ( IP Source address) – Địa chỉ IP nơi nhận (IP Destination address) – Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) – Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) – Cổng TCP/UDP nơi nhận (TCP/UDP destination port) – Giao diện Packet đến (Incomming interface of Packet) – Giao diện Packet đi (Outgoing interface of Packet)

Tường Lửa lọc gói - packet filter

• Ưu điểm :

– Tất cả firewall đều có thành phần này.

– Tốc độ xử lý tương đối nhanh, vì chỉ thao tác trên Header của gói tin và cụ thể là IP, Port.

• Hạn chế :

– Không kiểm soát được nội dung gói tin.

– Khi yêu cầu lọc càng lớn thì bộ luật trở nên dài dòng, phức tạp.

The Role of the Rules File

Screening Router

b Tường lửa thanh tra trạng thái

• Stateful Packet Filter Firewalls

b Tường lửa thanh tra trạng thái

• Kiểm tra trạng thái thông tin, thanh tra

tính hợp lệ của các gói tin

• Các gói tin bất thường tiềm ẩn tấn công:

– Thiếu địa chỉ gửi (tấn công nặc danh)

– Quá ngắn, quá nhiều (tấn công gây nhiễu)

– Trùng lắp, trống rỗng (tấn công dội lũ)…

b Tường lửa thanh tra trạng thái

• Lưu lại dấu kết nối giữa các host, network

– Lưu vết trạng thái kết nối vào file “state table”

– Cho phép gói dữ liệu từ Internet đi qua chỉ khi nào có host nội bộ đã gửi yêu cầu trước đó.

ín

c Tường lửa ủy nhiệm ứng dụng

• Còn được gọi Application-Proxy Gateways.

• Thông thường, các gói tin chỉ được kiểm tra header,

phần dữ liệu ít được quan tâm

• Phần lớn các ứng dụng phức tạp thường có lỗi, sẽ

rất nguy hiểm nếu cài đặt cho các user đặc quyền

• Bastion host là loại tường lửa tạo ứng dụng giả, mô

phỏng các tác động của ứng dụng khi đáp ứng yêu

cầu từ user

• Hoạt động ở tầng ứng dụng của mô hình OSI, proxy

c Tường lửa ủy nhiệm ứng dụng

• Có khả năng xác thực :

– UserID và Password – Hardware hoặc Software Token – Source Address

– Biometric

• Những ưu điểm :

– Extensive Logging Capabilities – Enforcement of Authentication

d Tường lửa canh phòng

• Pha trộn nhiều kỹ thuật khác nhau, nguyên tắc hoạt

động của guard firewall là:

– Tiếp nhận, phân tích các đơn thể giao thức dữ liệu – Đồng dạng các đơn thể giao thức dữ liệu, chuyển giao (dữ liệu + giao thức) cho các dịch vụ hệ thống

• Căn cứ vào quyền hạn, sự ủy nhiệm người dùng,

guard firewall quyết định dịch vụ nào sẽ tiếp nhận và

xử lý dữ liệu

• Không có ranh giới rõ ràng giữa guard và proxy

e Tường lửa cá nhân

• Trang bị cho người dùng lẻ hệ tường lửa đơn giản

bảo vệ truy nhập mạng với chi phí thấp

• Độc lập với tường lửa hệ thống mạng, tường lửa cá

nhân là ứng dụng chạy ở máy trạm che chắn các

luồng tin nguy hiểm đến từ mạng như virus, worm,

trojan horse, ActiveX, Java applet…

• Sử dụng kết hợp phần mềm quét virus và tường lửa

cá nhân là phương án hiệu quả thiết thực

• Các tường lửa cá nhân phổ biến: Norton Personal

Ví dụ cấu hình firewall

• Hệ thống sử dụng bộ định tuyến kiểm tra

đặt giữa mạng LAN và liên kết mạng ngoài

Phương án đề xuất

• Sử dụng proxy firewall bảo vệ mạng LAN

Giải pháp tăng cường

• Bổ sung bộ định tuyến kiểm tra giữa LAN

và proxy gateway

3.3 Các thành phần cơ bản của Rule

• Rule là chính sách mà Firewall sử dụng để kiểm

tra gói tin đi qua nó

• Các thành phần cơ bản của Rule là :

– Source Address – Destination Address – Protocol

– Source Port – Destination Port – User

– Source Address : địa chỉ nguồn

• Deny : không chấp nhận và gởi thông báo lỗi

3.3 Các thành phần cơ bản của Rule

3.3 Các thành phần cơ bản của Rule

3.4 Các mô hình

• Windows Firewall

• Linux Firewall

Windows Firewall

• Hệ tường lửa cá nhân do Microsoft thiết kế cho máy

sử dụng hệ điều hành Windows

• Các yêu cầu liên lạc từ bên ngoài vào mạng sẽ bị

Windows Firewall (WF) ngăn chặn

• Khi các ứng dụng mạng yêu cầu thực thi (popup,

messenger, multi-player network game, ActiveX,

Java applet…), WF sẽ chất vấn user để có quyết

định xử lý thích ứng

• Nếu user từ chối, WF sẽ khóa các yêu cầu tương tự

Sử dụng Windows Firewall

• Để gia tăng độ linh hoạt, Windows cho phép user

cấu hình các tính năng WF theo tùy chọn

• Thiết lập tùy chọn bừa, trả lời hù họa sẽ làm WF

Bạn set deny ICMP và

HTTP trên firewall đối

Linux Firewall

• Thực hiện chức năng Packet filter (lọc

theo thông tin trong header).

• Sử dụng iptables

( http://www.iptables.org )

– Là giao diện của netfilter – Cú pháp chung: iptables <mô tả>

-F Xoá mọi rule trong một chain hoặc

trong mọi chain -Z Đặt counter về không cho một chain

Một số rule (IpTables)

Tùy chọn: Mô tả:

-X Xoá chain tự tạo

-P Thay đổi chính sách của chain

-E Đổi tên chain

-p Giao thức

-s Địa chỉ/mặt nạ nguồn

-d Địa chỉ/mặt nạ đích

-i Tên input (tên Ethernet)

-o Tên Output (tên Ethernet)

đó -V Phiên bản Packet

3.5 DMZ

• Mạng trung gian, nằm giữa mạng công

cộng và mạng riêng.

• Các dịch vụ được truy xuất cả từ bên

ngoài mạng công cộng lẫn phía trong

được đặt tại khu vực này.

– Web Server – Mail Server

3.5 DMZ (tt)

3.5 DMZ (tt)

Bastion host

• Là máy tính được thiết kế để chịu các

cuộc tấn công từ bên ngoài.

• Được cài đặt các dịch vụ với quyền và tài

nguyên tối thiểu.

• Đặt phía ngoài tường lửa hoặc trong vùng

DMZ.

Bài tập

• So sánh tường lửa của các hãng nổi tiếng

Check Point, NetScreen và Cisco

• Tìm hiểu Dual-Homed Host/Screened Host

 DMZ Screened Subnet

3.6 Tổng kết

• Firewall là gì ?

• Firewall làm được gì ?

• So sánh các loại Firewall ?

• Các thành phần cơ bản của RULE ?

• Các mô hình thông dụng của Firewall?

Tham khảo

• Nội dung “Firewall”, chương 5, Bài giảng

An ninh Mạng, Trương Minh Nhật Quang,

ĐH CNTT.

• Bài giảng Firewall, Nguyễn Phan Anh, ĐH

KHTN.

• Bài giảng An ninh Mạng, Võ Văn Khang

(soạn khi dạy ở Đại học CNTT)