đồ án bảo mật tường lửa ASTARO

1.1. KHÁI NIỆM VỀ FIREWALL 1.1.1. Firewall là gì? Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống cuả một số thông tin khác không mong muốn. Cũng có thể hiểu rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network). Một cách vắn tắt, tường lửa (firewall) là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng. Tường lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Nếu là phần cứng, nó chỉ bao gồm duy nhất bộ định tuyến (router). Bộ định tuyến có các tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP (IP Address ố là sơ đồ địa chỉ hoá để định nghĩa các trạm (host) trong liên mạng). Quy trình kiểm soát cho phép bạn định ra những địa chỉ IP có thể kết nối với mạng của bạn và ngược lại. Tính chất chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc truy nhập không hợp pháp căn cứ trên địa chỉ nguồn. 1.1.2. Sự ra đời của Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).

CHƯƠNG I: TỔNG QUAN VỀ FIREWALL

1.1 KHÁI NIỆM VỀ FIREWALL

1.1.1 Firewall là gì?

Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống cuả một số thông tin khác không mong muốn Cũng có thể hiểu rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network)

Một cách vắn tắt, tường lửa (firewall) là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng Tường lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước

Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai Nếu là phần cứng, nó chỉ bao gồm duy nhất bộ định tuyến (router) Bộ định tuyến có các tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP (IP Address ố là sơ đồ địa chỉ hoá để định nghĩa các trạm (host) trong liên mạng) Quy trình kiểm soát cho phép bạn định ra những địa chỉ IP có thể kết nối với mạng của bạn và ngược lại Tính chất chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc truy nhập không hợp pháp căn cứ trên địa chỉ nguồn

1.1.2 Sự ra đời của Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn

Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một

cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network)

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,

tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET

- FIREWALL - INTERNET)

Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn Ví dụ như một mạng cục bộ sử dụng Firewall để ngăn cách phòng máy và hệ thống mạng ở tầng dưới

Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet không xâm nhập được vào máy tính

Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet Nó nhận dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ Nếu bạn cài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn công không thể phát hiện ra máy tính

Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để kiểm tra các

dữ liệu Một lời khuyên là nên sử dụng firewall cho bất kỳ máy tính hay mạng nào có kết nối tới Internet Đối với kết nối Internet băng thông rộng thì Firewall càng quan trọng, bởi

vì đây là loại kết nối thường xuyên bật (always on) nên những tin tặc sẽ có nhiều thời gian hơn khi muốn tìm cách đột nhập vào máy tính Kết nối băng thông rộng cũng thuận lợi hơn cho tin tặc khi được sử dụng để làm phương tiện tiếp tục tấn công các máy tính khác

1.1.3 Mục đích của Firewall

Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền giám sát các

dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của bất cứ gói

dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ cho phép

Các giải pháp Firewall là thực sự cần thiết, xuất phát từ chính cách thức các dữ liệu

di chuyển trên Internet Giả sử gửi cho người thân của mình một bức thư thì để bức thư

đó được chuyển qua mạng Internet, trước hết phải được phân chia thành từng gói nhỏ Các gói dữ liệu này sẽ tìm các con đường tối ưu nhất để tới địa chỉ người nhận thư và sau

đó lắp ráp lại (theo thứ tự đã được đánh số trước đó) và khôi phục nguyên dạng như ban đầu Việc phân chia thành gói làm đơn giản hoá việc chuyển dữ liệu trên Internet nhưng

có thể dẫn tới một số vấn đề Nếu một người nào đó với dụng ý không tốt gửi tới một số gói dữ liệu, nhưng lại cài bẫy làm cho máy tính của không biết cần phải xử lý các gói dữ liệu này như thế nào hoặc làm cho các gói dữ liệu lắp ghép theo thứ tự sai, thì có thể nắm quyền kiểm soát từ xa đối với máy tính của và gây nên những vấn đề nghiêm trọng Kẻ nắm quyền kiểm soát trái phép sau đó có thể sử dụng kết nối Internet của để phát động các cuộc tấn công khác mà không bị lộ tung tích của mình

Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn Chức năng kiểm soát các

dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet

Hình 1.1 Firewall được đặt ở giữa mạng riêng và mạng công cộng

Một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao diện chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện riêng là phía mà chứa các dữ liệu được bảo vệ Trên một Firewall có thể có nhiều giao diện riêng tuỳ thuộc vào

số đoạn mạng cần được tách rời Ứng với mỗi giao diện có một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng chung và mạng riêng

Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó khăn Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN, máy chủ xác thực hoặc máy chủ DNS Tuy nhiên như bất kì một thiết bị mạng khác, nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều Do đó, một Firewall không nên chạy nhiều dịch vụ

Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, lớp thứ nhất là bộ định tuyến ở mức định tuyến sẽ cho phép hoặc bị từ chối các địa chỉ IP nào đó và phát hiện những gói tin bất bình thường Firewall xem những cổng nào là được phép hay từ chối Firewall đôi lúc cũng hữu ích cho những đoạn mạng nhỏ hoặc địa chỉ IP riêng lẻ Bởi vì bộ định tuyến thường làm việc quá tải, nên việc sử dụng bộ định tuyến để lọc ra bộ định tuyến IP đơn, hoặc một lớp địa chỉ nhỏ có thể tạo ra một tải trọng không cần thiết

Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong muốn Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt để

từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS

Hình 1.2 Mạng gồm có Firewall và các máy chủ

Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được an toàn

Nhiều nhà quản trị mạng không nghĩ rằng Firewall hoạt động như một thiết bị mạng phức tạp Người ta quan tâm nhiều đến việc giữ lại những lưu lượng không mong muốn đến mạng riêng, ít quan tâm đến việc giữ lại những lưu lượng không mong muốn đến mạng công cộng Nên quan tâm đến cả hai kiểu của tập các quy luật bảo vệ Nếu một

kẻ tấn công muốn tìm cách xâm nhập vào một máy chủ, chúng không thể sử dụng máy chủ đó để tấn công vào các thiết bị mạng ở xa

Để bảo vệ và giúp cho các lưu lượng bên trong đoạn mạng các nhà quản lý thường chạy hai bộ Firewall, bộ thứ nhất để bảo vệ toàn bộ mạng, và bộ còn lại để bảo vể các

Nhiều lớp Firewall cũng cho phép các nhà quản trị an toàn mạng kiểm soát tốt hơn những dòng thông tin, đặc biệt là các cơ sở bên trong và bên ngoài công ty phải xử lý các thông tin nhảy cảm Các hoạt động trao đổi thông tin có thể cho phép trên phần nào đó của mạng thì có thể bị giới hạn trên những vùng nhạy cảm hơn.

Hình 1.3 Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật

Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ

mạng Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.

1.1.4.2 Firewall phần mềm

Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) và bạn có thể tải về từ mạng Internet

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với

bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào

Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME và Windows

2000 Chúng là một lựa chọn tốt cho các máy tính đơn lẻ Các công ty phần mềm khác làm các tường lửa này Chúng không cần thiết cho Windows XP bởi vì XP đã có một tường lửa cài sẵn

* Ưu điểm:

- Không yêu cầu phần cứng bổ sung

- Không yêu cầu chạy thêm dây máy tính

- Một lựa chọn tốt cho các máy tính đơn lẻ

* Nhược điểm:

- Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí

- Việc cài đặt và và đặt cấu hình có thể cần để bắt đầu

- Cần một bản sao riêng cho mỗi máy tính

1.2 CHỨC NĂNG CỦA FIREWALL

FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong

- Tính toàn vẹn

- Tính kịp thời

Tài nguyên hệ thống

Danh tiếng của công ty sở hữu các thông tin cần bảo vệ

1.2.2 Firewall bảo vệ chống lại những vấn đề gì?

FireWall bảo vệ chống lại những sự tấn công từ bên ngoài

1.2.2.1 Chống lại việc Hacking

Hacker là những người hiểu biết và sự dụng máy tính rất thành thạo và là những người lập trình rất giỏi Khi phân tích và khám phá ra các lổ hổng hệ thống nào đó, sẽ tìm

ra những cách thích hợp để truy cập và tấn công hệ thống Có thể sử dụng các kỹ năng khác nhau để tấn công vào hệ thống máy tính Ví dụ có thể truy cập vào hệ thống mà không được phép truy cập và tạo thông tin giả, lấy cắp thông tin Nhiều công ty đang lo ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker Vì vậy, để tìm ra các phương pháp để bảo vệ dữ liệu thì Firewall có thể làm được điều này

1.2.2.2 Chống lại việc sửa đổi mã

Khả năng này xảy ra khi một kẻ tấn công sửa đổi, xóa hoặc thay thế tính xác thực của các đoạn mã bằng cách sử dụng virus, worm và những chương trình có chủ tâm Khi tải file trên internet có thể dẫn tới download các đọan mã có dã tâm, thiếu kiến thức về bảo mật máy tính, những file download có thể thực thi những quyền theo mục đích của những người dùng trên một số trang website

1.2.2.3 Từ chối các dịch vụ đính kèm

Từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công Lời đe dọa tới tính liên tục của hệ thống mạng là kết quả từ nhiều phương thức tấn công giống như làm tràn ngập thông tin hay là sự sửa đổi đường đi không được phép Bởi thuật ngữ làm tràn ngập thông tin, là một người xâm nhập tạo ra môt số thông tin không xác thực để gia tăng lưu lượng trên mạng và làm giảm các dịch vụ tới người dùng thực sự Hoặc một kẻ tấn công có thể ngắm ngầm phá hoại hệ thống máy tính và thêm vào phần mềm có dã tâm, mà phần mềm này sẽ tấn công hệ thống theo thời gian xác đinh trước

dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack

Cách thứ hai: là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống)

1.2.2.5 Nghe trộm

Có thể biết được tên, mật khẩu, các thông tin truyền qua mạng thông qua các chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng

1.2.2.6 Vô hiệu hoá các chức năng của hệ thống (Deny service)

Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiện các chức năng được thiết kế Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng

1.2.2.7 Lỗi người quản trị hệ thống

Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống Đối với người dùng cá nhân, không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân Qua đó, tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn

1.2.2.8 Yếu tố con người

Với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật

hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker

* Ngoài ra thì còn dùng Firewall để chống lại sự “ giả mạo địa chỉ IP “

1.3 MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL

Kiến trúc của hệ thống sử dụng Firewall như sau:

Server Server

Server Computer Computer Computer

Computer Computer

Router

Computer

The Internet

Internet router

1.4.1 Packet Filtering Firewall

Đây là kiểu Firewall thông dụng hoạt động dựa trên mô hình OSI mức mạng

Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng Mô hình này hoạt động theo nguyên tắc lọc gói tin Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên router

Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ

xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai hay bị cấm Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy

Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập để vào bên trong mạng

Firewall kiểu packet filtering chia làm hai loại:

- Packet filtering firewall: Hoạt động tại lớp mạng (Network Layer) của mô hình OSI Các luật lọc gói tin dựa trên các trường trong IP header, transport header, địa chỉ IP nguồn và địa chỉ IP đích …

NetworkSecurity perimeter

Packetfilteringrouter

Hình 1.5 Packet filtering firewall

- Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình OSI Mô hình này không cho phép các kết nối end to end

outsideconnection

insideconnection

Circuit levelgateway

Hình 1.6 Circuit level gateway

1.4.2 Application-proxy firewall

Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin đi qua

* Ưu điểm:

- Không có chức năng chuyển tiếp các gói tin IP

- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall

- Đưa ra công cụ cho phép ghi lại quá trình kết nối

* Firewall kiểu Application- proxy chia thành hai loại:

- Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer) trong

mô hình TCP/IP

outside connection

inside connection

Application level gateway TELNET

HTTP SMTP FTP

Hình 1.7 Application-proxy firewall

- Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được tính năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp mạng và kiểm tra nội dung các gói tin tại lớp ứng dụng Loại Firewall này cho phép các kết nối trực tiếp giữa client và host nên giảm thiểu được lỗi, nó cung cấp các tính năng bảo mật cao và trong suốt đối với End Users

1.5 MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL

1.5.1 Có cần Firewall ?

Giải quyết đến thực thi vấn đề Firewall sẽ không xảy ra nếu không nghiên cứu và phân tích Giải quyết đến vấn đề thực thi Firewall sẽ dựa những đòi hỏi phải định danh và

những tổ chức khác Tạo ra những Firewall dựa vào quy mô nhỏ, những ý nghĩa không thể tạo ra được bởi lổ hổng an ninh và cơ chế gây ra những vấn đề mạng lưới nhiều hơn là thực hiện Firewall.

1.5.2 Firewall điều khiển và bảo vệ gì ?

Để tạo ra một Firewall thì phải định danh cho được chức năng nào của Firewall sẽ cần để thực hiện Nó sẽ điều khiển truy cập đến từ mạng lưới nào, hay nó sẽ bảo vệ những dịch vụ và người sử dụng nào

Firewall điều khiển gì ?

- Truy cập vào mạng

- Truy cập ngoài mạng

- Truy cập trong những mạng lưới bên trong, những lĩnh vực hay những công trình kiến trúc

- Truy cập những nhóm đặt trưng, nhũng người sử dụng hoặc địa chỉ

- Truy cập đến những tài nguyên cụ thể hoặc những dịch vụ

Firewall cần bảo vệ cái gì?

- Những mạng lưới hoặc bộ điều khiển đặc biệt

- Dịch vụ đặc biệt

- Thông tin riêng tư hoặc công cộng

- Người sử dụng

Sau khi nhận ra được Firewall cần để bảo vệ và điều khiển cái gì, quyết định điều

gì có thể xảy ra liên tục với sự bảo vệ và điểu khiển này Điều gì sẽ xảy ra khi người sử dụng truy cập đến những trang mà không có quyền truy cập Điều này sẽ xảy ra nếu dịch

vụ không được bảo vệ và thông tin không được bảo mật tốt Có phải sự rủi ro của việc điều khiển hoặc bảo vệ đủ cho bước kế tiếp trong ước lượng thì cần phải có giải pháp Firewall

1.6 NHỮNG HẠN CHẾ CỦA FIREWALL

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ xấu ở bên trong thì sao Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói,

mã hoá dữ liệu Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật nào Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật Một nhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp

1.7 VAI TRÒ CỦA UTM TRONG BẢO MẬT MẠNG:

1.7.1 Công nghệ UTM:

UTM là chữ viết tắt của Unified Threat Management, UTM là một giải pháp bảo

mật toàn diện đã được chuẩn hoá trong lĩnh vực bảo mật mạng máy tính (Network Security) kể từ năm 2004 Giải pháp UTM đã được ứng dụng rộng rãi cho các tổ chức hay công ty như là một giải pháp “Người gác cửa và phòng thủ cho mạng máy tính” (Network Security Gateway) chống lại các mối hiểm nguy hay hacker trên mạng Internet và mạng nội bộ

Theo lý thuyết thì Firewall UTM (Unified Threat Management) là bao gồm tất cả các tính năng tường lửa (Firewall) được tập trung vào một thiết bị duy nhất (thuật ngữ gọi

là Firewall Single UTM Appliance), và thực hiện rất nhiều tính năng như: bảo mật mạng (Network Firewalling), ngăn ngừa và phòng chống xâm nhập (Network Intrusion Prevention), IPS - Intrusion Prevention System, IDS - Intrusion Detection System, theo mẫu (UTM Appliance) hoặc tự động nhận biết xâm nhập, phòng chống Spam (Anti-spam gateway), VPN - Virtual Private Network( Mạng riêng ảo), SSL VPN, tính năng lọc nội dung Internet (Content Filtering), cân bằng tải mạng máy tính (Load Balancing), quản lý băng thông mạng (QoS, Bandwitdh managerment) và cuối cùng là báo cáo cũng như cảnh báo tất cả về tình trạng an toàn của mạng máy tính

Hiện nay có một số nhà cung cấp thiết bị Firewall UTM nổi tiếng như Firewall O2SECURITY, Firewall Cisco, Juniper.v.v Giải pháp Firewall UTM được hỗ trợ cho tất

cả các doanh nghiệp từ nhỏ đến lớn (SMB đến Enterprise )

Firewall UTM có ưu điểm là một dòng thiết bị tường lửa (Firewall) duy nhất có thể quản

lý cùng lúc nhiều hệ thống độc lập như phòng chống virus (anti virus), lọc, theo dõi và chặn nội dung Internet (Content Filtering), IPS, IDP, lọc spam theo yêu cầu (Spam filtering) Các tổ chức hay công ty rất dễ dàng ứng dụng và triển khai hệ thống bảo mật bằng Firewall UTM đa chức năng mà không phải gặp khó khăn nếu sử dụng hệ thống có nhiều Firewall riêng lẻ: Ví dụ hệ thống bảo mật có Firewall IPS, Anti-virus gateway, mail

gateway riêng.v.v thì người quản trị mạng phải quản lý từng thiết bị riêng lẻ rất mất thời gian và gặp nhiều khó khăn nếu hệ thống được cung cấp bởi nhiều hãng khác nhau Ngoài

ra như Firewall UTM của hãng O2 SECURITY có giao diện đồ hoạ rất thân thiện và dễ

sử dụng Bất cứ nhân viên quản trị mạng nào cũng có thể dễ dàng tìm hiểu và sử dụng so với các Firewall UTM khác việc sử dụng khá khó khăn hơn khi muốn tìm hiểu

1.7.2 Tại sao cần bảo mật tất cả trong một – UTM?

Ngày nay vấn đề an toàn thông tin đã và đang được quan tâm nhiều hơn trong các

cơ quan tổ chức, nhưng mặt khác “bên kia chiến tuyến” hacker vẫn không ngừng gia tăng các hành động tấn công phá hoại, đánh cắp thông tin bên cạnh sự bùng nổ lan tràn mã độc hại, sâu, virus, phần mềm gián điệp (spyware), thư rác, Nhiều loại tấn công đa dạng phát sinh cùng thời điểm, đồng thời chúng có sự kết hợp với nhau Để ứng phó, chúng ta cần xây dựng hệ thống phòng thủ bằng nhiều lớp công cụ bảo mật khác nhau như: tường lửa, chống virus/ phần mềm gián điệp (spyware), phát hiện và ngăn chặn tấn công xâm nhập

Tuy nhiên hệ thống với nhiều công cụ bảo mật độc lập có một số khó khăn như:Khó tích hợp, do sử dụng các công nghệ khác nhau từ các nhà sản xuất độc lập trong khi

hệ thống phải là một giải pháp đồng bộ tổng thể để có thể đối phó với nhiều tấn công khác nhau diễn ra đồng thời

Khó quản trị, vận hành và tốn nhiều nhân lực, vì phải quản lý nhiều thiết bị khác nhau, mỗi thiết bị cần được duy trì (cập nhật, vá lỗi) riêng

Trang bị nhiều sản phẩm, thiết bị bảo mật của các hãng độc lập thường rất đắt tiền

Chính vì vậy, một giải pháp quản lý thống nhất và tích hợp nhiều chức năng bảo mật - tất cả trong một, được gọi là UTM và là xu thế hiện nay để giải quyết những khó khăn trên UTM (Unified Thread Management) bao gồm các chức năng bảo mật cơ bản như: Tường lửa/mạng riêng ảo (VPN); phát hiện và ngăn chặn tấn công xâm nhập – IPS/IDS; nhúng chức năng phòng chống Virus và lọc, kiểm soát nội dung truy cập Web

UTM có nhiều ưu điểm như chi phí đầu tư thấp; quản trị đơn giản, các thành phần bảo mật đơn lẻ được cấu hình trong cùng một giao diện và có thể tương tác với nhau một cách trơn tru trong môi trường quản trị thống nhất.

1.7.3 UTM không chỉ là tích hợp nhiều chức năng bảo mật

Nhiều hãng bảo mật trước kia chỉ chuyên về một lĩnh vực an toàn bảo mật thì nay đều mở rộng sản phẩm của mình thành giải pháp UTM theo trào lưu chung Đa số các sản phẩm, thiết bị UTM hiện nay đều do một hãng sản xuất UTM theo cách này vẫn được xem là giải pháp trọn gói “mỳ ăn liền” phù hợp cho các doanh nghiệp nhỏ hoặc có hệ thống mạng và yêu cầu bảo mật đơn giản, vì nó có một số hạn chế như:

Mỗi phân vùng mạng có yêu cầu mức độ bảo mật khác nhau và có thể chỉ cần có một số thiết bị riêng chuyên để bảo vệ theo chức năng cần thiết

Việc sử dụng sản phẩm UTM của một nhà sản xuất có nghĩa là bạn phó thác hoàn toàn hệ thống và dữ liệu của mình cho một công ty

Từng sản phẩm bảo mật chuyên biệt được thiết kế tốt hơn so với chức năng tương ứng của nó trong một sản phẩm UTM của một hãng Đối với những cơ quan tổ chức đòi hỏi mức độ an toàn bảo mật cao như khối tài chính - ngân hàng, viễn thông, nhà cung cấp dịch vụ - ISP thì việc dùng giải pháp UTM từ một nhà sản xuất sẽ gặp vấn đề về hiệu năng và thiếu tin tưởng độ an toàn bảo mật

CHƯƠNG II: GIỚI THIỆU ASTARO SECURITY GATEWAY

2.1 GIỚI THIỆU CHUNG

Giải pháp bảo mật Internet Astaro là

một giải pháp tích hợp các công nghệ bảo mật

tốt nhất nhằm cung cấp cho khách hàng một

giải pháp bức tường lửa “tất-cả-trong-một”

Giải pháp bảo mật Astaro bao gồm các công

nghệ sau:

Hệ điều hành được làm cứng tối ưu cho

công nghệ bảo mật (Hardened OS)

Công nghệ kiểm tra gói tin có khả năng nhận

biết tình trạng kết nối (Stateful packet inspection)

Công nghệ chống Spam mail, chống Virus tin học, kiểm soát truy cập (Anti-Spam; Anti-Virus; Surf protection – tùy chọn)

Công nghệ lọc toàn bộ nội dung gói tin (content filtering – tùy chọn)

Công nghệ làm proxy cho các ứng dụng quan trọng, tránh người dùng truy cập trực tiếp vào các máy chủ quan trọng (Application Proxies)

Công nghệ mã hóa IPSec hỗ trợ các kết nối VPN

Giải pháp bảo mật Astaro được thiết kế tối ưu cho vấn đề an ninh mạng mà không làm giảm tốc độ kết nối Internet của khách hàng Astaro cho phép các nhân viên làm việc bên ngoài văn phòng, các văn phòng chi nhánh, khách hàng và các đối tác kinh doanh… chia sẽ các thông tin quan trọng thông qua Internet một cách an toàn

2.2 CÁC TÍNH NĂNG CỦA ASTARO

Tự động cập nhật hệ thống hàng giờ, hàng ngày, hàng tuần đối với các hình thức tấn công mới trên mạng

Bảo đảm an toàn cho người dùng truy cập mạng Internet nhờ công nghệ nhận biết tình trạng của các kết nối (Stateful packet inspection)

Cho phép người dùng truy cập tài nguyên nội bộ từ xa một cách an toàn và tiết kiệm chi phí nhờ công nghệ mạng riêng ảo (VPN) từ người dùng đầu cuối đến mạng nội

bộ Client to LAN) hoặc từ mạng nội bộ đến mạng nội bộ (LAN to LAN)

Hỗ trợ tất cả các công nghệ mã hóa tiên tiến nhất: AES (Rijndael), 3DES, Blowfish hoặc Twofish

Cho phép nhà quản trị hệ thống quản lý và theo dõi (management and monitoring)

hệ thống từ xa thông qua chuẩn giao tiếp SNMP hoặc Syslog

Tạo dễ dàng và thuận tiện cho nhà quản trị thông qua giao diện quản lý đồ họa trực quan và bảo mật (WebAdmin, SSL secured)

Bảo mật hệ thống ở lớp ứng dụng đối với các ứng dụng quan trọng là: DNS, HTTP, POP3, SMTP và SOCKS

Bảo vệ hệ thống khỏi virus tin học (cơ sở dữ liệu được cập nhật hàng giờ) từ các luồng dữ liệu thông qua thư điện tử (POP3, SMTP)

Tăng tốc độ truy cập Internet (khoảng 50%) nhờ tích hợp sẵn công nghệ caching engine ngay bên trong bức tường lửa

Giúp nhà quản trị quản lý được băng thông truy cập Internet, tối ưu truy cập Internet cho các ứng dụng quan trọng nhờ tích hợp công nghệ QoS

Bảm bảo tính sẵn sàng 7x24 của hệ thống nhờ công nghệ dự phòng nóng standby High Availability)

(Hot-Tận dụng tối đa năng lực xử lý của hệ thống máy chủ phía sau bức tường lửa nhờ công nghệ phân chia tải động (Load balancing)

Kết nối trực tiếp với thiết bị ADSL với nghi thức truyền thông PPPoE và PPPoA

mà không phải qua phần mềm thứ 3

Giúp nhà quản lý kiểm soát được người dùng truy cập vào các trang web không mong muốn thông qua công cụ lọc nội dung trang web truy cập (URL Content Filtering)

CHƯƠNG III: MÔ HÌNH TRIỂN KHAI CỦA ASTARO

Web Server: http://www.nhom2.local

Mail Server: users@nhom2.local

3.1 CÀI ĐẶT VÀ CẤU HÌNH CÁC DỊCH VỤ

3.1.1 Network Security

• Tạo 3 Interface và cấu hình theo sơ đồ mạng trên:

Internal: Kết nối với cùng LAN (IP: 10.0.0.1/8)

External: Kết nối với modem ADSL (IP: 192.168.1.1/24 GW: 192.168.1.1)

Perimeter: Kết nối với vùng cài đặt các dịch vụ - DMZ (IP: 172.16.0.1/16)

• Cấu hình NAT và Packet Filter để Client trong vùng LAN có thể sử dụng được internet và các dịch vụ bên vùng DMZ

 Bước 1: Chọn Network Security  NAT Tab Masquerading  New masquerading

 Network: Internal (network)

 Interface: External

 Chọn Save

• Bước 2: Tạo Packet Filter

 Network Security  Packet Filter  Tab Rules  New rule

 Source: Internal (network) – tất cả các máy tính trong mạng LAN

 Service: HTTP – cho phép truy cập web với giao thức HTTP

 Destination: Any

 Kết quả:

• Bước 3: Kiểm tra Firewall có truy cập được internet chưa:

 Ping trang google.com:

Support  Tools  tạo ô Hostname/Address điền google.com

 Kết quả:

 Dùng máy Client1 kiểm tra Rule vừa tạo ở trên:

Máy client1 có IP: 10.0.0.3/8 đã truy cập được google.com

3.1.2 Webserver và Public web

• Cài đặt dịch vụ Webserver sử dụng ISS tích hợp trên Windows Server 2003

(Chi tiết xem video publicweb.avi)

 Trên máy DMZ chép source trang webserver vào thư mục wwwroot.

 Kiểm tra hoạt động của trang web trên máy DMZ

• Cấu hình DNS cho webserver, sử dụng máy Domain đã cài dịch vụ DNS

Bước 1: Mở dịch vụ DNS

 Start\Programes\Administrative Tools\DNS

Bước 2: Tạo mới 1 Alias (A)

 Điền tên (tên sẽ có đuôi “.tên domain”) và IP của máy webserver

(vd: 172.16.0.2):

VD: www.nhom2.local

 Check vào ô Create associated (PTR) record  Add Host

Bước 3: Tạo mới 1 Reverse Lookup Zones

 Chọn Reverse Lookup ZonesNew ZonesNext đến hộp thoại bên dưới

 Điền Network ID  Next

Bước 4: Tạo mới 1 Pointer (PTR)

 Right_Click vào Zones vừa tạo chọn New Pointer (PTR)

  Điền IP máy webserver

 Browse đến host name

đã tạo ở phần đầu

 Chọn Allow any authenticated…

 Chọn OK

(*) Có thể tạo thêm Alias (CNAME) nếu cần.

Bước 5: Cấu hình public web trên Firewall

 Trên thanh menu chọn Network Security  NAT  Chọn tab DNAT 

New NAT rule