Thiết kế tường lửa

Thiết kế tường lửa

Tactical Perimeter Defense

Designing Firewall Thiết kế tường lửa

Mục tiêu

- Xem xét những nguyên tắc thiết kế tường lửa

- Tạo một chính sách tường lửa dựa trên những yếu tố

đã được cung cấp

- Tạo ra những quy tắc được cài đặt để lọc gói tin

- Mô tả chức năng của một máy chủ proxy

- Mô tả bastion host trong bảo mật mạng

- Mô tả chức năng của một honeypot trong một môi

trường mạng

Những thành phần của tường lửa

Từ chối hay chấp nhận truy cập dựa trên những điều luật được cấp phát bởi người quản trị mạng

Các dịch vụ:

– Network Address Translation (NAT)

– Đệm dữ liệu (Data caching)

– Hạn chế nội dung

Ví dụ về tường lửa đơn giản

Hai phương pháp sử dụng trong tường lửa

Những thứ tường lửa không làm được

Dò tìm virus

– Tường lửa không thể dò tìm virus,chúng ta phải luôn cài đặt phần mềm chống virus bên trong

Sai sót của nhân viên

– Nhân viên mở email/chương trình một cách vô tình

Tạo một chính sách tường lửa

Có 2 cách phổ biến:

- Cho phép mọi thứ trừ những cái bị cấm

- Ngăn cấm mọi thứ trừ những cái được cho phép (cách này thường được sử dụng hơn)

Chính sách tường lửa

Các khoản mục có thể có trong một chính sách bảo mật:

– Acceptable Use Statement

– Network Connection Statement

– Contracted Worker Statement

– Firewall Administrator Statement

Vị trí của các bộ lọc gói tin

Các điều luật (Rules)

Cần tham khảo chính sách tường lửa(firewall policy) trước khi cài đặt các điều luật

Có thể đặt các câu hỏi để có thể đưa ra các điều luật chẳng hạn:

• Những dịch vụ nào trên Internet được phép truy cập từ

Những điều cần xem xét về thiết bị lọc gói

• Giao tiếp mạng nào sẽ áp dụng các điều luật

• Hướng của gói tin

• Địa chỉ được sử dụng để ra quyết định (địa chỉ

nguồn, địa chỉ đích hay cả hai)

• Cổng được sử dụng để ra quyết định (cổng nguồn, cổng đích hay cả hai)

• Các giao thức ở tầng trên (trong mô hình

OSI).Luật này dựa trên UDP hay TCP?

Các quy luật được xây dựng cho firewall

Bit ACK Được cài đặt để trả lời các yêu cầu

Tường lửa có thể kiểm tra bit này để đảm bảo rằng gói tin là một trả lời truyền thông có nguồn gốc từ bên trong mạng

Bit ACK khiến tường lửa của chúng ta trở nên an

toàn hơn

Ví dụ cho điều luật số 4 có cài đặt thêm bit ACK:

Kiểm duyệt gói tin phi trạng thái và có

trạng thái

Có hai loại bộ lọc gói tin:

– Bộ lọc gói tin phi trạng thái

– Bộ lọc gói tin có trạng thái

Bộ lọc gói tin phi trạng thái

Đa số các bộ lọc gói tin đưa ra các quyết định dựa trên những thông tin quan trọng trong phần đầu của gói tin:

– Lọc địa chỉ IP

– Số hiệu cổng UDP/TCP

– Loại giao thức

– Sự phân mảnh

Bộ lọc gói tin có trạng thái

Tăng cường bảo mật bằng cách ghi nhớ trạng thái của những kết nối trong mạng và những phiên kết nối khi chúng đi qua bộ lọc

Không đưa ra quyết định đơn giản chỉ dựa trên phần tiêu đề của gói tin

Cấu trúc bộ lọc gói tin có trạng thái

Cách kẻ tấn công tránh bộ lọc gói tin

Những lỗ hổng bảo mật:

– Chỉ loại bỏ những phân đoạn được đánh dấu là

0 và để những phân đoạn khác đi qua

– Chỉ khóa những cổng theo chiều đi vào nhưng

mở những cổng đi ra

Tiến trình proxy

Những lợi ích của proxy

Ẩn máy khách

– Địa chỉ IP của máy khách không bao giờ xuất hiện trên Internet

Lọc nội dung

– Lọc được nội dung của gói dữ liệu

Đơn điểm đăng nhập

– Chỉ có một điểm tham chiếu để đăng nhập dữ liệu

Những vấn đề của proxy

Khi Proxy Server ngừng hoạt động

– Ảnh hưởng đến cả hệ thống, cần bảo vệ proxy server cẩn thận

Proxy cho mỗi dịch vụ

– Chắc chắn proxy vẫn an toàn cho mỗi dịch vụ được cộng thêm

Cấu hình mặc định

– Mất thời gian để thực hiện các quy luật và giới hạn

Bastion Host

Máy tính được cấu hình an toàn hơn nhiều so với bất

kỳ máy tính nào khác trong mạng

Tất cả các tùy chọn về bảo mật đi kèm với hệ điều hành được sử dụng một cách tối đa

Tất cả tài khoản, dịch vụ và ứng dụng được loại bỏ ngoại trừ những gì được coi là hoàn toàn cần thiết

Vị trí của một bastion host

Thiết lập một Bastion Host

• Loại bỏ các ứng dụng không được sử dụng

• Loại bỏ các dịch vụ không được sử dụng

• Loại bỏ các tài khoản người dùng không cần thiết

Tạo Bastion Host hoạt động như tường lửa

• Cài đặt lại hệ điều hành, format ổ đĩa trước

• Không sử dụng dual boot

• Loại bỏ những phần cứng không sử dụng như

Modem, card âm thanh…

• Sử dụng những phương pháp xác thực mạnh

• Sử dụng tiện ích kiểm tra những tập tin giả mạo như Tripwire

Khi Bastion Host bị tấn công

• Khôi phục lại dữ liệu đã sao lưu nhưng cách này không chắc là dữ liệu này đã bị lây nhiễm trước hay chưa

• Cách giải quyết tốt nhất là tạo lại bastion host từ đầu.Cách này thì tốn nhiều thời gian.

The Honeypot

Honeypot là gì?

– Máy tính được thiết kế để thu hút kẻ tấn công

Vị trí của Honeypot

Mục tiêu của Honeypot

• Cung cấp đủ sự thu hút để kẻ tấn công không tấn công các thiết bị khác.

– Các hacker sử dụng toàn lực để tấn công honeypot

• Tăng khả năng phát hiện và ứng phó sự cố

- Nếu nhận biết được những kẻ tấn công đang tấn công honeypot, chúng ta có thể chuẩn bị tốt hơn để phòng thủ

và ngăn chặn việc hệ thống bí tấn công.

Cấu hình Honeypot

Cung cấp hầu hết các dịch vụ thông thường như WWW,SMTP,POP3,Telnet…nhưng honeypot phải nới lỏng phân quyền,kiểm tra đăng nhập…

Nhóm sinh viên thực hiện

• Nhóm 22:

• Trần Triệu Hoàng Anh

• Võ Hoàng Tuấn

• Lê Huy Tiên Hội

• Tô Văn Tuấn

THE END