Đồ án an toàn và bảo mật mạng hệ thống tường lửa firewall

Here comes your footerĐịnh nghĩa  Firewall là một kĩ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm

Firewall

Nhóm 3

 Đỗ Hoàng Chương MSSV: 06520049

 Nguyễn Thái Bình MSSV: 06520030

 Nguyễn Hải Long MSSV:06520265

 Bùi Tuấn Anh MSSV: 06520010

 Phan Thanh Vy MSSV:06520585

 Nguyễn Quốc Đại MSSV:06520065

Here comes your footer

Firewall

Here comes your footer

Định nghĩa

 Firewall là một kĩ thuật được tích hợp vào hệ thống mạng để

chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn

 Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin

tưởng (trusted network) khỏi các mạng không tin tưởng (unstrusted network)

Chức năng

 Firewall quyết định những dịch vụ nào từ bên trong được

phép truy cập từ bên ngoài, những người nào từ bên ngoài được truy cập đến các dịch vụ bên trong, và cả những dịch

vụ nào bên ngoài được phép truy cập bởi những người bên trong

 Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ

trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall

 Chỉ có những trao đổi nào được phép bởi chế độ an ninh

của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall

Here comes your footer

Cấu trúc

 Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định

tuyến (router) hoặc có chức năng router

 Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ

Thông thường là cá hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)

Cấu trúc

Here comes your footer

Hạn chế của Firewall

 Firewall không đủ thông minh như con người để có thệ đọc

hiểu từng loại thông tin và phân biệt nội dung tốt hay xấu của nó Firewall có thể ngăn chặn các nguồn thông tin không mong muốn nhưng phải xác định rõ thông số

 Firewall cũng không thể chống lại các cuộc tấn công bằng

dữ liệu (data – driver attacks) khi có một chương trình được chuyển theo email vượt qua Firewall và bắt đầu hoạt động trong mạng

Here comes your footer

Packet Filtering

Packet Filtering – Nguyên lý

 Bộ lọc packet cho phép hoặc từ chối mỗi packet mà nó nhận

được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một số luật lệ của lọc packet hay không Các luật lệ lọc packet này dựa trên packet header Đó là:

+ Địa chỉ IP nơi xuất phát (IP Souce Addresss) + Địa chỉ IP nơi đến (IP Destination Address) + Thông tin về giao thức (tập các luật) điều khiển gói (loại gói tin TCP, UDP, ICMP, IP tunnel)

+ Cổng TCP/UDP nơi xuất phát (TCP/UDP Souce port) + Cổng TCP/UDP nơi đến (TCP/UDP Destination port) + Dạng thông báo ICMP (ICPM messager type)

+ Giao diện packet đến (incomming interface of packet ) + Giao diện packet đi (outcomming interface of packet )

Here comes your footer

Packet Filtering – Nguyên lý

 Nếu luật lệ được thỏa mãn thì packet sẽ được chuyển qua

firewall nếu không packet sẽ bị loại bỏ

 Hơn nữa việc kiểm soát các cổng làm cho firewall có khả

năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ cho phép một số dịch vụ nào đó (FTP, SSH, HTTP … ) mới được chạy trên hệ thống mạng cục bộ (LAN)

Packet Filtering

Here comes your footer

Packet Filtering – Ưu điểm

 Tương đối đơn giản và tính dễ thực thi

 Nhanh và dễ sử dụng

 Chi phí thấp và ít ảnh hưởng đến performance của mạng.

 Rất hiệu quả trong việc block các kiểu riêng biệt của lưu

lượng, và đôi khi nó là một phần của hệ thống firewall tổng quan Ví dụ, telnet có thể dễ dàng được block bằng cách áp dụng một filter để block TCP cổng 23 (telnet)

Packet Filtering - Nhược điểm

 Việc định nghĩa các chế độ lọc packet là việc phức tạp, khi

đòi hỏi về sự lọc càng lớn thì các luật lệ về lọc càng dài và phức tạp => rất khó quản lý và điều khiển

 Bộ lọc gói không kiểm soát được nội dung thông tin của

packet Các packet chuyển qua vẫn có thể mang theo mã độc Một hacker khai thác một chỗ sai sót trong một chương trình Web server hoặc sử dụng một mật mã bất chính để thu được quyền điều khiển hoặc truy cập

 Packet Filter không thể thực hiện việc xác thực người dùng

Here comes your footer

Application Gateway

Application Gateway – Nguyên lý

 Đây là một loại thiết kế nhằm tăng cường chức năng kiểm

soát dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng

 Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy

service Proxy service là các bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng

 Nếu người quản trị mạng không cài đặt proxy cho ứng dụng

nào đó, thì dịch vụ tương ứng sẽ không được cung cấp, và

do đó không thể chuyển thông tin qua firewall

Here comes your footer

Application Gateway – Nguyên lý

 Một số cổng ứng dụng được xem như là một pháo đài

(bastion host):

- Bastion host luôn chạy các version an toàn (secure version) của các

phần mềm hệ thống (Operating systems)

- Chỉ những dịch vụ cho là cần thiết mới được cài trên basion host.

- Basion host có thể yêu cầu nhiều mức xác thực khác nhau, ví dụ: user

password hay smart card

- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định

- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ các chi tiết

lưu thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối.

- Mỗi proxy đều độc lập với các proxy khác trên Basion host

Application Gateway

Here comes your footer

Application Gateway – Ưu điểm

 Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ

trên mạng

 Cho phép người quản trị mạng điều khiển được những dịch

vụ nào cho phép

 Cổng ứng dụng kiểm tra độ xác thực rất tốt, và nó có nhật

ký ghi lại các thông tin về truy nhập hệ thống

 Luật lệ filtering (lọc) cho cổng ứng dụng dễ dàng cấu hình

và kiểm tra hơn bộ lọc packet

Application Gateway – Nhược điểm

 Yêu cầu các user biến đổi (modify) thao tác, hoặc modify

phần mềm đã cài đặt trên máy client cho truy cập vào các dịch vụ proxy

 Ví dụ: telnet truy cập qua cổng ứng dụng đòi hỏi hai bước

để nối với máy chủ chứ không phải một bước.Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng là trong suốt, bằng cách cho user chỉ ra máy đích chứ không phải ứng dụng trên cổng telnet

 Yêu cầu tài nguyên để xử lý khá cao và làm giảm

performance của mạng

Here comes your footer

Circuit Level Gateway

Circuit Level Gateway – Nguyên lý

 Cổng vòng là một chức năng đặc biệt có thể thực hiện được

thông qua cổng ứng dụng Cổng vòng chỉ đơn giản là chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất

cứ hành động xử lý hay lọc packet nào

 Cổng vòng chỉ chuyển tiếp kết nối qua firewall mà không

thực hiện lọc hay điều khiển các thủ tục telnet nào

 Cổng vòng làm việc như một sợi dây, sao chép các byte

giữa kết nối bên trong (inside conection) và kết nối bên ngoài (outside conection) Tuy nhiên vì sự kết nối này trên firewall nên nó che dấu mạng nội bộ

Here comes your footer

Circuit Level Gateway – Nguyên lý

 Một kết nối được xem là hợp lệ phải dựa vào các yếu tố sau:

- Địa chỉ IP và/hoặc cổng đích

- Địa chỉ IP và/hoặc cổng nguồn

- Thời gian trong ngày (time of day)

- Giao thức (protocol)

- Người dùng (user)

- Mật khẩu (password)

 Mỗi phiên trao đổi dữ liệu đều được kiểm tra và giám sát Tất

cả các luồng lưu lượng đều bị cấm trừ khi một phiên được

mở

Circuit Level Gateway

Here comes your footer

Circuit Level Gateway – Ưu điểm

 Ưu điểm lớn nhất là một Basion host có thể cấu hình như

một hỗn hợp cung cấp cổng ứng dụng cho kết nối đến, và cổng vòng cho kết nối đi Điều này làm cho hệ thống firewall

dễ dàng sử dụng cho người trong mạng nội bộ muốn truy cập trực tiếp ra internet, trong khi vẫn cung cấp chức năng firewall để bảo vệ mạng nội bộ tránh sự tấn công bên ngoài

 Circuit Level Filtering có ưu điểm nổi trội hơn so với Packet

Filter Nó khắc phục được sự thiếu sót của giao thức UDP đơn giản và dể bị tấn công

Circuit Level Gateway – Nhược điểm

 Bất lợi của Circuit Level Filtering là hoạt động ở lớp

Transport và cần có sự cải tiến đáng kể của việc cài đặt để cung cấp các chức năng truyền tải (chẳng hạn như Winsock)

Here comes your footer

Các ví dụ Firewall

Các ví dụ Firewall

Here comes your footer

Các ví dụ Firewall

FIREWALL TRÊN LINUX - IPTABLES

Here comes your footer

IPTables

Giới thiệu IPTables

 Một trong những firewall thông dụng nhất chạy trên Linux là

Iptables Một sô chức năng của Iptables:

- Tích hợp tốt với Linux kernel, để cải thiện sự tin cậy và tốc độ chạy Iptables.

- Quan sát kỹ tất cả các gói dữ liệu Điều này cho phép firewall theo dõi mỗi một

kết nối thông qua nó, và dĩ nhiên là xem xét nội dung của từng luồng dữ liệu

để từ đó tiên liệu thành hành động kế tiếp của các giao thức Điều này rất quan trọng trong việc hỗ trợ các giao thức FTP, DNS…

- Lọc gói trên dựa trên địa chỉ MAC và các cờ trong TCP header Điều này giúp ngăn chặn việc tấn công bằng cách sử dụng các gói dị dạng (malformed packet) và ngăn chặn việc truy cập từ nội bộ đến một mạng khác bất chấp IP của nó.

- Ghi chép hệ thống (System logging) cho phép việc điều chỉnh mức độ của báo

cáo

- Hỗ trợ việc tích hợp các chương trình Web proxy chẳng hạn như Squid.

- Ngăn chặn các kiểu tấn công từ chối dịch vụ

Here comes your footer

Firewall – Attack - Defense

 Các kĩ thuật phát hiện tường lửa

- Quét bằng các tool như Nmap và Nessus

Here comes your footer

Firewall

Cám ơn sự theo dõi của các bạn