- Firewall giúp bảo vệ mạng của bạn bằng cách ngăn chặn các cuộc tấn công từ các mạng ngoài hoặc kiểm soát lưu lượng mạng giữa các mạng khác nhau để đảm bảo an toàn cho các tài nguyên mạ
Trang 1ĐẠI HỌC SÀI GÒN KHOA CÔNG NGHỆ THÔNG TIN
HỌC PHẦN : AN TOÀN BẢO MẬT TRONG
HỆ THỐNG THÔNG TIN
ĐỀ TÀI :TÌM HIỂU VỀ FIREWALL
Thành viên nhóm 11 : Trần Văn Nghĩa – 3119410273
Nguyễn Ngọc Trọng – 3118412064 Nguyễn Tuyến Đạt – 3118412014
Tp Hồ Chí Minh, ngày 10 tháng 4 năm 2023
Trang 2MỤC LỤC
1 Tổng quan về Firewall 2
2 Giải pháp Firewall trên Linux và Windows 4
3 Ưu/nhược điểm khi sử dụng Firewall để bảo vệ hệ thống mạng 6
4 Sử dụng 2 cách đê tấn công Linux 7
5 Tấn công trên Windows 12
6 Tổng kết 14
7 Tài liệu tham khảo 14
Trang 31 Tổng quan về Firewall
1.1 Định Nghĩa:
- Firewall (tường lửa) là một phần mềm hoặc phần cứng được sử dụng để kiểm soát lưu lượng mạng giữa các mạng khác nhau
- Firewall giúp bảo vệ mạng của bạn bằng cách ngăn chặn các cuộc tấn công từ các mạng ngoài hoặc kiểm soát lưu lượng mạng giữa các mạng khác nhau để đảm bảo
an toàn cho các tài nguyên mạng
1.2 Chức năng:
Ngăn chặn các cuộc tấn công từ các mạng bên ngoài như virus, worm, trojan,
- Ngăn chặn các cuộc tấn công từ mã độc và phần mềm độc hại: Firewall có thể sử dụng các chính sách để chặn lưu lượng mạng đến các địa chỉ IP được biết là độc hại hoặc từ các quốc gia có tiềm năng gây nguy hiểm Firewall cũng có thể sử dụng các chức năng lọc nội dung để chặn các tập tin đính kèm bị nhiễm virus hoặc phần mềm độc hại từ email hoặc trang web
- Ngăn chặn các cuộc tấn công từ chối dịch vụ (DoS): Firewall có thể sử dụng các chính sách để chặn các cuộc tấn công từ chối dịch vụ bằng cách giới hạn số lượng kết nối từ một địa chỉ IP cụ thể hoặc chặn các gói tin có tính năng không hợp lệ hoặc không phù hợp
Kiểm soát lưu lượng truy cập từ các máy tính trên mạng nội bộ đến mạng bên ngoài hoặc truy cập vào các dịch vụ mạng:
- Ngăn chặn tấn công từ bên ngoài: Firewall có thể giúp bạn ngăn chặn các tấn công
từ bên ngoài, bao gồm các cuộc tấn công từ mạng Internet hoặc các máy tính trong cùng mạng LAN Ví dụ như phát hiện và chặn các cuộc tấn công từ DDoS (Distributed Denial of Service) hoặc các cuộc tấn công từ phía đối tác
- Kiểm soát truy cập vào các dịch vụ mạng: Firewall cho phép bạn kiểm soát truy cập vào các dịch vụ mạng như web, email, FTP, SSH, Telnet, và nhiều hơn nữa Bằng cách này, bạn có thể chặn những truy cập không đáng tin cậy hoặc giới hạn quyền truy cập vào các dịch vụ mạng nhất định
- Quản lý quyền truy cập: Firewall cho phép bạn quản lý quyền truy cập vào các tài nguyên mạng như các file, thư mục, máy tính, và các tài khoản người dùng Bằng
Trang 4cách này, bạn có thể giới hạn quyền truy cập vào các tài nguyên quan trọng và đảm bảo rằng chỉ có các người dùng được phép truy cập vào các tài nguyên nhất định
Giám sát và ghi lại các sự kiện mạng để phát hiện các hành vi đáng ngờ và các cuộc tấn công:
- Firewall có thể được cấu hình để giám sát và ghi lại các sự kiện mạng như lưu lượng truy cập đến mạng nội bộ hoặc các dịch vụ mạng, các giao thức được sử dụng, thời gian kết nối, địa chỉ IP nguồn và đích, và các thông tin khác Việc giám sát và ghi lại các sự kiện mạng này giúp phát hiện các hành vi đáng ngờ và các cuộc tấn công
- Ví dụ, firewall có thể được cấu hình để giám sát lưu lượng truy cập đến máy chủ web và ghi lại các thông tin như địa chỉ IP nguồn, địa chỉ IP đích, giao thức được sử dụng, thời gian kết nối, và lưu lượng dữ liệu được truyền tải Nếu firewall phát hiện một lưu lượng truy cập đến máy chủ web có sự khác biệt đáng kể so với các lưu lượng truy cập trước đó, firewall có thể cảnh báo người quản trị để kiểm tra xem có sự cố gì xảy ra hoặc có nghi ngờ về một cuộc tấn công
1.3 Các loại firewall
- Firewall phần cứng: được tích hợp trực tiếp vào một thiết bị mạng, chẳng
hạn như router hoặc switch
- Firewall phần mềm: được cài đặt trên một máy tính hoặc máy chủ để kiểm
soát lưu lượng mạng
- Tuy nhiên, việc sử dụng firewall không đảm bảo tuyệt đối cho an ninh mạng,
nó chỉ là một trong các phương tiện để đối phó với các mối đe dọa mạng Để tăng cường an ninh mạ
1.4 Cách thức hoạt động firewall
- Firewall hoạt động như một bức tường ở giữa mạng nội bộ và Internet, kiểm soát lưu lượng mạng qua các cổng kết nối
o Khi một máy tính trong mạng nội bộ muốn truy cập vào Internet, dữ liệu
sẽ được gửi đến firewall trước Firewall sẽ xem xét và kiểm tra dữ liệu này để xác định liệu nó có hợp lệ và an toàn hay không Nếu dữ liệu được
Trang 5xác nhận là an toàn, firewall sẽ cho phép nó đi tiếp và kết nối với Internet Nếu không, dữ liệu sẽ bị từ chối và không được truyền tiếp
o Tương tự, firewall cũng giám sát lưu lượng mạng đến mạng nội bộ Khi một gói tin được gửi đến mạng nội bộ, firewall sẽ kiểm tra nó để xác định liệu nó có đến từ một nguồn an toàn hay không Nếu gói tin được xác định là an toàn, firewall sẽ cho phép nó đi tiếp đến đích Nếu không, firewall sẽ từ chối gói tin đó và bảo vệ mạng khỏi các mối đe dọa tiềm tàng
o Ngoài ra, firewall còn có thể kiểm soát truy cập vào các dịch vụ và ứng dụng trên mạng nội bộ, giúp ngăn chặn các cuộc tấn công từ bên ngoài và đảm bảo tính bảo mật của hệ thống mạng
- Firewall sử dụng các quy tắc được cấu hình trước đó để quyết định cho phép hoặc từ chối các kết nối mạng
- Firewall có thể sử dụng nhiều phương pháp để kiểm tra và giám sát các gói dữ liệu, bao gồm kiểm tra địa chỉ IP, kiểm tra các cổng kết nối và phân tích nội dung
2 Giải pháp Firewall trên Linux và Windows
Linux:
Trên Linux, có nhiều phần mềm tường lửa khác nhau có sẵn để sử dụng Trong đó, iptables
là một trong những tường lửa phổ biến nhất trên Linux Dưới đây là một số giải pháp để cấu hình firewall trên Linux:
- Thông thường trên linux đã có sẵn firewall đó là iptables nhưng nó chưa được cấu hình sau đây là một số cấu hình để ngăn chặn việc tấn công
Lệnh : sudo iptables -A INPUT -s 172.16.48.129 -j DROP
Ngăn chặn các kết nối TCP với máy chủ và chặn lưu lượng gửi đi
Cú pháp là iptables:
sudo iptables -A OUTPUT -s 172.16.48.129 -j DROP
Trang 6Chặn tất cả lưu lượng chuyển tiếp
sudo iptables -A FORWARD -s [IP] -j DROP
Chặn các kết nối TCP.172.16.48.129
sudo iptables -A INPUT -p tcp -s 172.16.48.129 -j DROP
Chặn thăm dò cổng
sudo iptables -A INPUT -p icmp -s 172.16.48.129 -j DROP
Thêm một rule vào tường lửa nếu như lưu lượng truy cập có ip là như trên thì
sẽ bị chặn
Lệnh để xem tất cả các rule : sudo iptables -L
Lệnh clear tất cả rule : sudo iptables -F
Lệnh lưu lại config : sudo netfilter-persistent save && sudo netfilter-persistent
reload
Windows:
- Windows có một tường lửa tích hợp sẵn được gọi là Windows Firewall, tuy nhiên còn nhiều giải pháp tường lửa khác nhau cho Windows Dưới đây là một số giải pháp tường lửa phổ biến trên Windows:
- Windows Firewall: Đây là tường lửa tích hợp sẵn trong Windows và được kích hoạt mặc định Nó cho phép bạn cấu hình quy tắc tường lửa để kiểm soát luồng dữ liệu đi vào và ra khỏi máy tính của bạn
- ZoneAlarm: ZoneAlarm là một giải pháp tường lửa bảo vệ toàn diện cho Windows, với tính năng bảo mật tiên tiến như bảo vệ chống lại các cuộc tấn công mạng, bảo vệ đối với các kết nối Internet, giám sát các ứng dụng và quản lý các quy tắc tường lửa
Trang 7- Norton Firewall: Norton Firewall cung cấp bảo vệ chống lại các cuộc tấn công mạng, giám sát các kết nối Internet, quản lý các ứng dụng và các quy tắc tường lửa Nó cũng cung cấp tính năng bảo vệ trình duyệt web và chống lại các mối đe dọa trực tuyến
- McAfee Firewall: McAfee Firewall cũng là một giải pháp tường lửa toàn diện cho Windows, cung cấp bảo vệ đối với các cuộc tấn công mạng, giám sát các kết nối
Internet, quản lý các ứng dụng và các quy tắc tường lửa Nó cũng cung cấp tính năng bảo vệ trình duyệt web và chống lại các mối đe dọa trực tuyến
- Comodo Firewall: Comodo Firewall là một giải pháp tường lửa miễn phí cho Windows, cung cấp bảo vệ đối với các cuộc tấn công mạng, giám sát các kết nối Internet, quản lý các ứng dụng và các quy tắc tường lửa Nó cũng cung cấp tính năng bảo vệ trình duyệt web và chống lại các mối đe dọa trực tuyến
- Tuy nhiên, khi sử dụng giải pháp tường lửa bên thứ ba, bạn nên lưu ý về hiệu suất và tính tương thích với hệ thống của mình Nếu không chắc chắn, bạn nên tham khảo ý kiến của các chuyên gia hoặc nhà sản xuất
3 Ưu/nhược điểm khi sử dụng Firewall để bảo vệ hệ thống mạng.
Ưu điểm của việc sử dụng Firewall để bảo vệ hệ thống mạng
- Ngăn chặn các cuộc tấn công từ bên ngoài: Firewall giúp chặn các cuộc tấn công từ bên ngoài hệ thống mạng, giúp bảo vệ dữ liệu và các tài nguyên quan trọng của doanh nghiệp khỏi các mối đe dọa từ Internet
- Kiểm soát truy cập vào hệ thống mạng: Firewall cho phép người quản trị hệ thống kiểm soát quyền truy cập vào hệ thống mạng bằng cách thiết lập các quy tắc và chính sách bảo mật
- Ngăn chặn các phần mềm độc hại: Firewall có thể phát hiện và ngăn chặn các phần mềm độc hại như virus, sâu máy tính và phần mềm gián điệp từ việc truy cập vào
hệ thống mạng
- Giảm thiểu rủi ro bảo mật: Firewall giúp giảm thiểu rủi ro bảo mật bằng cách giới hạn quyền truy cập vào hệ thống mạng và ngăn chặn các cuộc tấn công từ bên ngoài
Nhược điểm
Trang 8- Không thể ngăn chặn hoàn toàn các cuộc tấn công: Firewall có thể giúp ngăn chặn nhiều cuộc tấn công, nhưng không thể ngăn chặn hoàn toàn các cuộc tấn công từ bên ngoài
- Có thể gây ảnh hưởng đến hiệu suất mạng: Nếu Firewall được cấu hình quá chặt chẽ, nó có thể gây ảnh hưởng đến hiệu suất mạng và làm giảm tốc độ truy cập Internet
- Có thể gây nhầm lẫn với các lỗi bảo mật: Một Firewall không được cấu hình chính xác có thể gây ra các lỗ hổng bảo mật và làm tăng nguy cơ cho việc tấn công vào
hệ thống mạng
4 Sử dụng 2 cách đê tấn công
4.1 Loại tấn công đầu tiên là tấn công Attack-router
Chuẩn bị 2 máy ảo linux trong đó 1 một được config 1 server nginx 1 máy sẽ được config một số thư viện để hỗ trợ cho việc tấn công
-> việc tấn công này chủ yếu tấn công vào service cho nên cpu và disk không có hiện tượng tăng,chỉ có ram là tăng vì quá trình này làm cho service xử lý quá nhiều lượng yêu cầu dẫn đến sập service
Các bước thực hiện:
Máy linux 1( máy tấn công):
Cài đặt bằng câu lệnh sau :sudo apt-get install slowhttptest
sudo slowhttptest -c 50000 -H -g -o slowhttp -i 10 -r 200 -t GET -u http://172.16.48.130 -x
24 -p 3
sử dụng câu lệnh trên để tấn công attack-router với method GET và domain là
http://172.16.48.130
trong đó -c 50000 là tạo ra 50000 connection
H là mode slow header
g là tạo số liệu thống kê tại vị trí chạy lệnh
Trang 9o là lưu số liệu thống kê vào 2 file có lên là slowhttp.html và slowhttp.csv
i là khoảng thời gian dữ liệu tính toán tính bằng giây
r là tạo 200 kết nối trên mỗi giây
t là phương thức tấn công get hoặc post
u là đối tượng bị tấn công
x là random độ dài của max length truyền trong header
p là thời gian timeout trên 1 request
Đây là hình ảnh server bị tấn công
và cpu và disk không tăng
Sau khi sử dụng firewall
Trang 10- Thông thường trên linux đã có sẵn firewall đó là iptables nhưng nó chưa được cấu hình sau đây là một số cấu hình để ngăn chặn việc tấn công
Lệnh : sudo iptables -A INPUT -s 172.16.48.129 -j DROP
Ngăn chặn các kết nối TCP với máy chủ và chặn lưu lượng gửi đi
Cú pháp là iptables:
sudo iptables -A OUTPUT -s 172.16.48.129 -j DROP
Chặn tất cả lưu lượng chuyển tiếp
sudo iptables -A FORWARD -s [IP] -j DROP
Chặn các kết nối TCP.172.16.48.129
sudo iptables -A INPUT -p tcp -s 172.16.48.129 -j DROP
Chặn thăm dò cổng
sudo iptables -A INPUT -p icmp -s 172.16.48.129 -j DROP
Thêm một rule vào tường lửa nếu như lưu lượng truy cập có ip là như trên thì
sẽ bị chặn
Lệnh để xem tất cả các rule : sudo iptables -L
Lệnh clear tất cả rule : sudo iptables -F
Lệnh lưu lại config : sudo netfilter-persistent save && sudo netfilter-persistent
reload
kết qủa khi sử dụng firewall:
Trang 11không thể tiếp tục được công việc tấn công bằng attack-router tại vì bị từ chối tất cả các request trước khi đi vào server
phía server thì đương nhiên sẽ không bị gì
4.2 Loại tấn công thứ 2 ddos vào server làm cho server quá tải
Sử dụng Low orbit ion cannon
Và nhập ip
Trang 12Như hình ảnh bên dưới ta gửi đi một lượng request lớn tới server bằng tcp thông qua ip của máy chủ
về phía mấy chủ thì hiện tượng cpu và ram đều tăng cao
Trang 13Sau khi dùng firewall
Ta không thể gửi được request tới server này về phía server thì vẫn chạy bình thường
Trang 145 Tổng kết
- Firewall là một giải pháp quan trọng để bảo vệ mạng máy tính khỏi các cuộc tấn công mạng Các loại firewall, cách thức hoạt động, tính năng và lợi ích của firewall đã được đề cập trong mục lục này, cùng với các lưu ý quan trọng khi triển khai firewall
- Qua 2 cách tấn công và sử dụng giải pháp giúp ta hiểu rõ hơn về firewall
- Hiểu được cách thức hoạt động , ưu điểm và nhược điểm
6 Tài liệu tham khảo
- Tìm hiểu về tường lửa
o https://www.youtube.com/watch?v=-qAwVZOhe-k&t=234s
o https://longvan.net/tuong-lua-la-gi-tac-dung-cua-tuong-lua.html
- Cách thức tấn công:
https://www.youtube.com/watch?v=sQRu-J3f_Kw