ĐỒ ÁN TỐT NGHIỆP PFSENCE

Các lỗ hổng và điểm yếu của mạng a Các lỗ hổng của mạng Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phé

sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng.

Xác định được tầm quan trọng trong việc bảo mật hệ thống mạng của doanh

nghiệp nên em đã chọn và nghiên cứu đề tài “ Xây dựng tường lửa cho hệ thống mạng trường Đại học Điện Lực ” với mục đích tìm hiểu sâu sắc về cơ chế hoạt động

của nó cũng như p hát hiện ra những nhược điểm tìm giải pháp khắc phục những nhượcđiểm này để hệ thống mạng trong doanh nghiệp luôn được vấn hành trơn tru, an toàn

và hạn chế sự cố xảy ra

2 Mục đích nghiên cứu

Nghiên cứu về hệ thống firewall mã nguồn mở với PFSense

Triển khai hệ thống firewall mã nguồn mở với PFSense cho trường Đại học ĐiệnLực

3 Đối tượng và phạm vi nghiên cứu

Nghiên cứu mô hình hệ thống firewall mã nguồn mở với PFSense

Nghiên cứu triển khai hệ thống firewall mã nguồn mở với PFSense cho trườngĐại học Điện Lực

4 Phương pháp nghiên cứu

Dưới sự hướng dẫn của giảng viên hướng dẫn

Tìm hiểu các tài liệu liên quan về PFSense và các hệ thống firewall được triểnkhai với PFSense

Triển khai thực nghiệm trên mô hình hệ thống mạng để kiểm chứng lý thuyết đãnghiên cứu được

5 Ý nghĩa khoa học và thực tiễn của đề tài

- Ý nghĩa khoa học:

Cung cấp một bộ tài liệu học tập và tham khảo cho các khóa sau

- Chương 1: Tổng quan và giải pháp an toàn – An ninh mạng.

- Chương 2: Tổng quan về firewall PFSense

- Chương 3: Cài đặt và triển khai firewall PFSense

Đầu tiên em xin chân thành cảm ơn Ths Phạm Đức Hồng - người đã trực tiếphướng dẫn và định hướng giúp em có thể nhanh chóng tiếp cận, nắm bắt kiến thức vàhoàn thành đề tài này.

Em xin chân thành cảm tới toàn thể thầy cô giáo khoa Công Nghệ Thông Tin trường Đại học Điện Lực đã truyền đạt nhiều kinh nghiệm và kiến thức quý báu cho

-em trong suốt quá trình học tập tại trường

Em xin gửi lời cảm ơn tới t rường Đại học Điện Lực, vì đã tạo điều kiện thuận lợicho em trong suốt quá trình học tập tại trường

Em xin gửi lời cảm ơn đến những người thân trong gia đình, bạn bè đã động viên

và tạo mọi điều kiện giúp chúng em trong quá trình học tập cũng như trong cuộc sống.Mặc dù em đã cố gắng hết sức để hoàn thành đồ án tốt nghiệp này, nhưng vìtham khảo ở nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức còn nhiều hạn chế,

do đó không thể tránh khỏi những thiếu sót Em rất mong nhận được sự thông cảm vàđóng góp, chỉ bảo tận tình của quý thầy cô và các bạn để đồ án ngày càng hoàn thiệnhơn

Một lần nữa em xin gửi lời cảm ơn chân thành nhất!

Hà Nội, tháng 1 năm 2015Sinh viên thực hiệnNguyễn Xuân Công

DANH MỤC HÌNH ẢNH

DANH MỤC TỪ VIẾT TẮT

CHƯƠNG 1 TỔNG QUAN VÀ GIẢI PHÁP VỀ AN TOÀN – AN NINH

MẠNG 1

1.1 Tổng quan về an toàn – an ninh mạng 1

1.1.1 An toàn mạng là gì 1

1.1.2 Các đặc trưng kỹ thuật của an toàn mạng 2

1.1.3 Đánh giá về sự đe dọa, các điểm yếu của hệ thống và các kiểu tấn công .3

1.1.4 Một số giải pháp dùng cho trường đại học 9

1.2 Giải pháp an toàn – an ninh mạng với firewall 11

1.2.1 Khái niệm 11

1.2.2 Chức năng 13

1.2.3 Các thành loại firewall và cơ chế hoạt động .14

1.2.4 Kiến trúc cơ bản của firewall 16

1.2.5 Các thành phần của firewall và cơ chế hoạt động 22

1.2.6 Kỹ thuật firewall 25

1.2.7 Những hạn chế của firewall 26

1.3 Kết luận 27

CHƯƠNG 2 TỔNG QUAN VỀ FIREWALL PFSENSE 28

2.1 Giới thiệu firewall PFSense 28

2.2 Một số chức năng chính của firewall PFSense 29

2.2.1 Aliases 29

2.2.2 Rules (Luật) 30

2.2.3 Firewall Schedules 31

2.2.4 Nat 32

2.2.5 Traffic shaper 32

2.3 Một số dịch vụ của firewall PFSense 33

2.3.1 Captive Portal 33

2.3.2 DHCP Server 34

2.3.3 DHCP Relay 35

2.3.4 Load Balancer 36

2.3.5 Một số chức năng khác 36

2.4 Kết luận 36

CHƯƠNG 3 CÀI ĐẶT VÀ TRIỂN KHAI FIREWALL PFSENSE 38

3.1 Khảo sát nhu cầu sử dụng và cơ sở vật chất hiện tại 38

3.1.1 Nhu cầu sử dụng 38

3.1.2 Cơ sở vật chất và hệ thống mạng trường Đại học Điện Lực 38

3.2 Mô hình bảo mật hiện nay tại trường Đại Học Điện Lực 40

3.2.1 Các yêu cầu cho Computer Room 40

3.2.2 Vị trí 40

3.2.3 Thiết kế kiến trúc 41

3.2.4 Thiết kế điện 41

3.3 Cài đặt firewall PFSense cho hệ thống mạng trường Đại học Điện Lực 42

3.3.1 Mô hình triển khai 42

3.3.2 Cài đặt hệ thống PFSense 44

3.4 Cấu hình firewall PFSense 45

3.4.1 Cấu hình card mạng cho firewall PFSense 45

3.4.2 Cấu hình Captive Portal 47

3.4.3 Aliases 48

3.4.4 Nat 49

3.4.5 Rule 49

3.4.6 Cấm web theo địa chỉ và download 51

3.4.8 Public webserver 55

3.5 Kiểm tra và tối ưu hệ thống 57

3.6 So sánh PFSense với firewall khác 57

3.6.1 So sánh PFSense với ISA Server: 57

3.6.2 So sánh PFSense với firewall cứng 57

3.7 Kết luận 58

KẾT LUẬN 59

DANH MỤC TÀI LIỆU THAM KHẢO 60

Hình 1.1 Sơ đồ mạng cho trường học 9

Hình 1.2 Sơ đồ mạng cho trường đại học cỡ vừa 10

Hình 1.3 Sơ đồ mạng nhiều tường lửa 10

Hình 1.4 Sơ đồ mạng trường ĐH SPKT Hưng Yên 11

Hình 1.5 Mô hình tường lửa đơn giản 12

Hình 1.6 Sơ đồ làm việc của Packet Filtering .14

Hình 1.7 Kiến trúc Dual – homed Host 16

Hình 1.8 Kiến trúc Screened Host 18

Hình 1.9 Kiến trúc Screened Subnet 19

Hình 1.10 Vùng DMZ được tách riêng với mạng nội bộ .21

Hình 1.11 Sơ đồ kiến trúc sử dụng 2 Bastion Host .21

Hình 1.12 Lọc gói tin 22

Hình 1.13 Cổng mạch 25

Hình 2.1 Biểu tượng của PFSense 28

Hình 2.2 Mô hình triển khai PFSense cho trường học 29

Hình 2.3 Chức năng Firewal: Aliases 29

Hình 2.4 Thiết lập Firewall: Aliases 30

Hình 2.5 Chức năng Firewall: Rules 30

Hình 2.6 Thiết lập chức năng Firewall Schedules 31

Hình 2.7 Chức năng firewall Schedules 31

Hình 2.8 Chức năng NAT 32

Hình 2.9 Chức năng Traffic Shaper 32

Hình 2.10 Chức năng Virtual IPs 32

Hình 2.11 Dịch vụ Captive Portal 34

Hình 2.12 Chạy dịch vụ DHCP Server 35

Hình 2.13 Tính năng cấp IP động 35

Hình 2.15 Dịch vụ DHCP Relay 35

Hình 2.16 Dịch vụ Load Balancer 36

Hình 3.1 Mô hình triển khai thực tế 42

Hình 3.2 Mô hình triển khai giả lập 43

Hình 3.5 Cài đặt VLANs 44

Hình 3.6 Màn hình đăng nhập 45

Hình 3.7 Interface WAN 46

Hình 3.9 Interface DMZ 47

Hình 3.10 Khai báo DNS Server 47

Hình 3.11 Captive Portal 47

Hình 3.12 Tạo user cho captive portal 48

Hình 3.13 Aliases Network Google 48

Hình 3.14 Nat 49

Hình 3.15 Tạo Rule cho vào mạng 50

Hình 3.16 Vào mạng khi rule cho phép 50

Hình 3.17 Tạo Rule không cho vào mạng 51

Hình 3.18 Kết quả cấm vào mạng 51

Hình 3.19 Cấm web theo domains or IP-addresses 52

Hình 3.20 Kết quả cấm web theo domains or IP-addresses 52

Hình 3.21 Cấm download theo định dạng file 53

Hình 3.22 Kết quả cấm download theo định dạng file 53

Hình 3.23 Cài đặt băng thông tải 54

Hình 3.24 Cài đặt băng thông upload 54

Hình 3.25 Cấu hình public webserver 55

Hình 3.26 Cấu hình Nat public webserver 56

Hình 3.27 Truy cập web server từ mạng ngoài 56

CARP Commom Address Redundancy Protocol

HTTP Hypertext Transfer Protocol

OSI Open Systems Interconnection

PPTP Point-to-Point Tunneling Protocol

SMTP Simple Mail Transfer Protocol

CHƯƠNG 1 TỔNG QUAN VÀ GIẢI PHÁP VỀ AN TOÀN – AN NINH

MẠNG1.1 Tổng quan về an toàn – an ninh mạng

1.1.1 An toàn mạng là gì

Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa lýkhác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau Do đặc điểmnhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thôngtin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấp bách An toàn mạng cóthể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm: dữliệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụngtương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩmquyền tương ứng

An toàn mạng bao gồm:

Xác định chính sách, các khả năng nguy cơ xâm phạm mạng, các sự cố rủi ro đốivới các thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng.Đánh giá nguy cơ tấn công của các Hacker đến mạng, sự phát tán virus… Phảinhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạtđộng, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng

Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cầnthiết cho việc điều khiển hệ thống và các thành phần mạng Đánh giá các nguy cơ, các

lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc Xác địnhnhững nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, sâu gián điệp, nguy

cơ xóa, phá hoại CSDL, ăn cắp mật khẩu, … nguy cơ đối với sự hoạt động của hệthống như nghẽn mạng, nhiễu điện tử Khi đánh giá được hết những nguy cơ ảnhhưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo

an ninh mạng

Sử dụng hiệu quả các công cụ bảo mật (ví dụ như firewall) và những biện pháp,chính sách cụ thể chặt chẽ

Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và vi phạm chủđộng Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội dung và luồngthông tin có bị trao đổi hay không Vi phạm thụ động chỉ nhằm mục đích nắm bắtđược thông tin Vi phạm chủ động là thực hiện sự biến đổi, xóa bỏ hoặc thêm thông tinngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại Các hoạt động vi

phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn hiệu quả Trái lại,

vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn

1.1.2 Các đặc trưng kỹ thuật của an toàn mạng

- Tính xác thực (Authentification): Kiểm tra tính xác thực của một thực thể

giao tiếp mạng Một thực thể có thể là một người sử dụng, một chương trình máy tính,hoặc một thiết bị phần cứng Các hoạt động kiểm tra tính xác thực được đánh giá làquan trọng nhất trong các hoạt động của một phương thức bảo mật Một hệ thốngmạng thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể

đó thực hiện kết nối với hệ thống Cơ chế kiểm tra tính xác thực của các phương thứcbảo mật dựa vào 3 mô hình chính sau:

 Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ nhưpassword, hoặc mã số thông tin cá nhân PIN

 Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phảithể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tíndụng

 Kiểm tra dựa vào mô hình những thông tin xác đinh tính duy nhất, đối tượngkiểm tra cần phải có những thông tin để định danh tính duy nhất của mình, ví dụ thôngqua giọng nói, dấu vân tay, chữ ký…

- Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên

mạng được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu khi cần thiết bất cứkhi nào, trong hoàn cảnh nào Tính khả dụng nói chung dùng tỉ lệ giữa thời gian hệthống được sử dụng bình thường với thời gian quá trình hoạt động để đánh giá Tínhkhả dụng cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt thực thể, khống chếtiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡng bức),khống chế lưu lượng (chống tắc nghẽn), không chế chọn đường (cho phép chọn đườngnhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sự kiện phát sinh trong

hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tươngứng)

- Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ

cho các thực thể hay quá trình không được ủy quyền biết hoặc không để cho đối tượngxấu lợi dụng Thông tin chỉ cho phép thực thể được ủy quyền sử dụng Kỹ thuật bảomật thường là phòng ngừa dò la thu nhập, phòng ngừa bức xạ, tăng bảo mật thông tin(dưới sự khống chế của khóa mã), bảo mật vật lý (sử dụng phương pháp bảo mật vật lý

để bảo đảm tin tức không bị tiết lộ)

- Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được ủy

quyền thì không thể tiến hành được, tức là thông tin trên mạng khi đang được lưu giữhoặc trong quá trình truyền dẫn đảm bảo không bị xóa bỏ, sửa đổi, giả mạo, làm rốiloạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoạikhác Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm: sự

cố thiết bị, sai mã, bị con người tác động, virus máy tính …

Một số phương pháp đảm bảo tính toàn vẹn thông tin trên mạng:

 Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép,…Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hóa

 Phương pháp phát hiện sai và sửa sai Phương pháp sửa sai mã hóa đơn giảnnhất và thường dùng là phép kiểm tra chẵn lẻ

 Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin

 Chữ ký điện tử: bảo đảm tính xác thực của thông tin

 Yêu cầu cơ quan quản lý hoặc trung gian chứng minh chân thực của thông tin

- Tính khống chế (Accountlability): Là đặc tính về năng lực khống chế truyền

bá và nội dung vốn có của tin tức trên mạng

- Tính không thể chối cãi (Nonrepulation): Trong quá trình giao lưu tin tức

trên mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất

cả các thực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết

đã đư ợc thực hiện

1.1.3 Đánh giá về sự đe dọa, các điểm yếu của hệ thống và các kiểu tấn công.

1.1.3.1 Đánh giá về sự đe dọa

Về cơ bản có 4 mối đe dọa đến vấn đề bảo mật mạng như sau:

- Đe dọa không có cấu trúc (Unstructured threats)

- Đe dọa có cấu trúc (Structured threats)

- Đe dọa từ bên ngoài (External threats)

- Đe dọa từ bên trong (Internal threats)

a) Đe dọa không có cấu trúc

Những mối đe dọa thuộc dạng này được tạo ra bởi những hacker không lànhnghề, họ thật sự không có kinh nghiệm Những người này ham hiểu biết và muốndownload dữ liệu từ mạng Internet về Họ thật sự bị thúc đẩy khi nhìn thấy những gì

mà họ có thể tạo ra

b) Đe dọa có cấu trúc

Hacker tạo ra dạng này tinh tế hơn dạng unstructured rất nhiều Họ có kỹ thuật và

sự hiểu biết về cấu trúc hệ thống mạng Họ thành thạo trong việc làm thế nào để khaithác những điểm yếu trong mạng Họ tạo ra một hệ thống có “cấu trúc” về phươngpháp xâm nhập xâu vào trong hệ thống mạng

Cả hai dạng có cấu trúc và không có cấu trúc đều thông qua Internet để thực hiệntấn công mạng

c) Đe dọa từ bên ngoài

Xuất phát từ Internet, những người này tìm thấy lỗ hổng trong hệ thống mạng từbên ngoài Khi các công ty bắt đầu quảng bá sự có mặt của họ trên Internet thì cũng làlúc hacker rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệu và phá hủy hệ thống mạng

d) Đe dọa từ bên trong

Mối đe dọa này thực sự rất nguy hiểm bởi vì nó xuất phát từ ngay trong chính nội

bộ, điển hình là nhân viên hoặc bản thân những người quản trị Họ có thể thực hiệnviệc tấn công một cách nhanh gọn và dễ dàng vì họ am hiểu cấu trúc cũng như biết rõđiểm yếu của hệ thống mạng

1.1.3.2 Các lỗ hổng và điểm yếu của mạng

a) Các lỗ hổng của mạng

Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch

vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy cập không hợp lệ vào hệthống Các lỗ hổng tồn tại trong các dịch vụ như: Sendmail, Web,… và trong hệ điềuhành mạng hoặc trong các ứng dụng

Các lỗ hổng bảo mật trên hệ thống được chia như sau:

Lỗ hổng loại C: Cho phép thực hiện các phương thức tấn công theo kiểu từ chốidịch vụ DoS (Denial of Services) Mức độ nguy hiểm thấp, chỉ ảnh hưởng đến chấtlượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hủy dữ liệu hoặcchiếm quyền truy nhập

DoS là hình thức tấn công sử dụng giao thức ở tầng Internet trong bộ giao thứcTCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháptruy nhập hay sử dụng hệ thống Một số lượng lớn các gói tin được gửi tới Servertrong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là Server đápứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới

Một ví dụ điển hình của phương thức tấn công DoS là vào một số website lớnlàm ngưng trệ hoạt động của website này như: vietnamnet, bkav …

Lỗ hổng loại B: Cho phép người sử dụng có thêm các quyền trên hệ thống màkhông cần kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, những lỗ hổng loại này

thường có trong các ứng dụng trên hệ thống, có thể dẫn đến lộ thông tin yêu cầu bảomật.

Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người

sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một sốquyền hạn nhất định

Một số lỗ hổng loại B thường xuất hiện trong các ứng dụng như lỗ hổng của trìnhSendmail trong hệ điều hành Unix, Linux … hay lỗi tràn bộ đệm trong các chươngtrình viết bằng C

Những chương trình viết bằng C thường sử dụng bộ đệm – là một vùng trong bộnhớ sử dụng để lưu trữ dữ liệu trước khi xử lý Những người lập trình thường sử dụngvùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữliệu Ví dụ: người sử dụng viết chương trình nhập trường tên người sử dụng; qui địnhtrường này dài 20 ký tự Do đó họ sẽ khai báo:

Char first_name [20];

Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập dữliệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự, sẽxảy ra hiện tượng tràn vùng đệm và kết quả là 15 ký tự dư thừa sẽ nằm ở một ví tríkhông kiểm soát được trong bộ nhớ Đối với những kẻ tấn công có thể lợi dụng lỗhổng này để nhập vào những ký tự đặc biệt để thực hiện một số lệnh đặc biệt trên hệthống Thông thường, lỗ hỏng này thường được lợi dụng bởi những người sử dụng trên

hệ thống để đạt được quyền root không hợp lệ

Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế đượccác lỗ hổng loại B

Lỗ hổng loại A: Cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thốngbất hợp pháp Lỗ hổng loại này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống.Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mậtcủa hệ thống Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếukém hoặc không kiểm soát được cấu hình mạng

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm

sử dụng; người quản trị nếu không hiếu sâu về dịch vụ và phần mềm sử dụng sẽ có thể

bỏ qua những điểm yếu này

Đối với hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin

về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trìnhphiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Sendmail,…

b) Ảnh hưởng của các lỗ hổng bảo mật trên mạng Internet

Phần trên đã trình bày một số trường hợp có những lỗ hổng bảo mật, những kẻtấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thànhmột chuỗi mắt xích những lỗ hổng.

Ví dụ: Một kẻ phá hoại muốn xâm nhập vào hệ thống mà anh ta không có tàikhoản truy nhập hợp lệ trên hệ thống đó Trong trường hợp này, trước tiên kẻ phá hoại

sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng cáccông cụ dò tìm thông tin trên hệ thống để đạt được quyền truy nhập vào hệ thống; saukhi mục tiêu thứ nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên

hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn.Tuy nhiên, không phải bất kỳ lỗ hổng nào cũng nguy hiểm đến hệ thống Có rấtnhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng, hầu hết trong số đó là các lỗhổng loại C và không đặc biệt nguy hiểm đối với hệ thống Ví dụ: khi những lỗ hổng

về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn

bộ hệ thống Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhómtin sẽ đưa ra một số phương pháp để khắc phục hệ thống

1.1.3.3 Các kiểu tấn công

Tấn công trực tiếp

Những cuộc tấn công trực tiếp thường được sử dụng trong giai đoạn đầu đểchiếm được quyền truy nhập bên trong Một số phương pháp tấn công cổ điển là dòtìm tên người sử dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện vàkhông đòi hỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể dựa vàonhững thông tin mà chúng biết như tên người dùng, ngày sinh, địa chỉ, số nhà v.v… đểđoán mật khẩu dựa trên một chương trình tự động hóa về việc dò tìm mật khẩu Trongmột số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điềuhành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếmquyền truy nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công cóđược quyền của người quản trị hệ thống

Nghe trộm

Việc nghe trộm thông tin trên mạng có thể đem lại những thông tin có ích nhưtên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộmthường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệthống, thông qua các chương trình cho phép Những thông tin này cũng có thể dễ dànglấy được từ Internet

Giả mạo địa chỉ

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năngdẫn đường trực tiếp Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạngbên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc mộtmáy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà cácgói tin IP phải gửi đi

Vô hiệu các chức năng của hệ thống

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng

mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiệnđược tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thôngtin trên mạng Ví dụ sử dụng lệnh “ping” với tốc độ cao nhất có thể, buộc một hệthống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này,không còn các tài nguyên để thực hiện những công việc có ích khác

Lỗi của người quản trị hệ thống

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi củangười quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng đểtruy nhập vào mạng nội bộ

Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người

sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệthống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phươngpháp tấn công khác Với kiểu tấn công này không một thiết bị nào có thể ngăn chặnmột cách hiệu quả, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về nhữngyêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi

Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệnào và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nângcao được độ an toàn của hệ thống bảo vệ

1.1.3.4 Các biện pháp phát hiện hệ thống bị tấn công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụđều có những lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống không những nghiêncứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệthống có dấu hiệu tấn công hay không Một số biện pháp cụ thể:

- Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treo bằng

những thông báo lỗi không rõ ràng Khó xác định nguyên nhân do thiếu thông tin liênquan Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu khôngphải nghĩ đến khả năng máy tính bị tấn công

- Kiểm tra các tài khoản người dùng mới lạ, nhất là các tài khoản có ID bằng

không

- Kiểm tra sự xuất hiện của các tập tin lạ Người quản trị hệ thống nên có thói

quen đặt tên tập tin theo mẫu nhất định để dễ dàng phát hiện tập tin lạ

- Kiểm tra thời gian thay đổi trên hệ thống.

- Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tài nguyên và

các tiến trình đang hoạt động trên hệ thống

- Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp.

- Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường

hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụnghợp pháp không kiểm soát được

- Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không

cần thiết

- Kiểm tra các phiên bản của sendmail, ftp, … tham gia các nhóm tin về bảo mật

để có thông tin về lỗ hổng bảo mật của dịch vụ sử dụng

Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với

hệ thống

1.1.3.5 Thực hiện an ninh – an toàn từ cổng truy nhập dùng tường lửa

Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sáchđồng ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng Tường lửa cóthể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng làngười như họ đã khai báo trư ớc khi cấp quyền truy nhập tài nguyên mạng

Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn mạng vàthiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thểđảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thờitường lửa còn hạn chế lưu lượng và điểu khiển lưu lượng chỉ cho phép chúng đếnnhững nơi chúng được phép đến

1.1.3.6 Mã hóa thông tin

Mật hóa (Cryptography) là quá trình chuyển đổi thông tin gốc sang dạng mã hóa.

Có hai cách tiếp cận để bảo vệ thông tin bằng mật mã: theo đường truyền và từ đến-nút (End-to-End)

nút-Trong cách thứ nhất, thông tin được mã hóa để bảo vệ đường truyền giữa hai nútkhông quan tâm đến nguồn và đích của thông tin đó Ưu điểm của cách này là có thể bímật được luồng thông tin giữa nguồn và đích và có thể ngăn chặn được toàn bộ các viphạm nhằm phân tích thông tin trên mạng Nhược điểm là vì thông tin chỉ được mãhóa trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt

Ngược lại, trong cách thứ hai, thông tin được bảo vệ trên toàn đường đi từ nguồntới đích Thông tin được mã hóa ngay khi được tạo ra và chỉ được giải mã khi đếnđích Ưu điểm của tiếp cận này là người sử dụng có thể dùng nó mà không ảnh hưởng

gì tới người sử dụng khác Nhược điểm của phương pháp này là chỉ có dữ liệu người

sử dụng được mã hóa, còn thông tin điều khiển phải giữ nguyên để có thể xử lý tại cácnút

1.1.4 Một số giải pháp dùng cho trường đại học

Với các trường đại học việc trang bị một mạng tác nghiệp vừa phải đảm bảo anninh an toàn, vừa phải phù hợp chi phí, dễ triển khai và bảo trì là điều cần thiết Ở đâychúng ta đưa ra giải pháp dùng một thiết bị PC đa chức năng làm tường lửa để bảo vệvành đai, chạy IDS để cảnh báo tấn công, chạy NAT để che cấu trúc logic của mạng,chạy VPN để hỗ trợ bảo mật kết nối xa

Hình 1.1 Sơ đồ mạng cho trường họcVới các trường đại học vừa thì sơ đồ trên phù hợp với các chi nhánh của họ Còntại trung tâm mạng có thể thực hiện sơ đồ an ninh nhiều tầng như sau:

Hình 1.2 Sơ đồ mạng cho trường đại học cỡ vừa

Mô hình mạng trường học sử dụng nhiều tường lửa và server

Hình 1.3 Sơ đồ mạng nhiều tường lửa

Mô hình mạng cụ thể của trường ĐH SPKT Hưng Yên

Hình 1.4 Sơ đồ mạng trường ĐH SPKT Hưng Yên

1.2 Giải pháp an toàn – an ninh mạng với firewall

1.2.1 Khái niệm

Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngănchặn, hạn chế hỏa hoạn Trong công nghệ thông tin, firewall là một kỹ thuật được tíchhợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thôngtin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thế hiểufirewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng

Thông thường firewall được đặt giữa mạng bên trong (Intranet) của một công ty,

tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngănchặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tớimột số địa chỉ nhất định trên Internet

Hình 1.5 Mô hình tường lửa đơn giảnMột cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bênngoài vào mạng cũng như nh ững kết nối không hợp lệ từ bên trong ra firewall thựchiện việc loại bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu đặttrước.

Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai

Firewall cứng: Có thể là những thiết bị firewall chuyên dụng của hãng Cisco

hoặc Juniper, hay những firewall được tích hợp trên Router

Đặc điểm của firewall cứng:

 Không được linh hoạt như firewall mềm (khó thêm chức năng, thêm quy tắcnhư firewall mềm)

 Firewall cứng hoạt động ở tầng thấp hơn firewall mềm (Tầng Network và tầngTransport trong mô hình OSI)

 Firewall cứng không thể kiểm tra được nội dung của gói tin

Firewall mềm: Là những chương trình, hệ điều hành có chức năng firewall được

cài đặt trên Server

Đặc điểm của firewall mềm:

 Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

 Firewall mềm hoạt động ở tầng cao hơn firewall cứng (Tầng ứng dụng trong môhình OSI)

 Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từkhóa)

(*) Ưu điểm và hạn chế.

 Ưu điểm:

Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trongkhi cho phép người sử dụng hợp pháp truy nhập tự do mạng bên ngoài

Firewall còn là một điểm quan trọng trong chính sách kiểm soát truy nhập Nó là

“cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọicuộc trao đổi thông tin, điểm xuất phát và đích, thời gian,…

Firewall có thể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu

từ bên ngoài nhằm dự bá o khả năng bị tấn công trước khi cuộc tấn công xẩy ra

 Hạn chế:

Firewall không thể đọc hiểu từng loại thông tin và phân tích nội dung của nó.firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin đã xác địnhtrước

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không

“đi qua” nó, như là sự dò rỉ thông tin do dữ liệu sao chép bất hợp pháp lên đĩa mềm.Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data – driventattack) Khi có một số chương trình được chuyền theo thư điện tử, vượt qua firewallvào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua

nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nh iều cách

để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall

Tuy nhiên, firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

1.2.2 Chức năng

Chức năng chính của firewall là kiểm soát luồng thông tin giữa Intranet (mạngbên trong) và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa Intranet vàmạng Internet Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (Từ Intranet ra Internet).

- Cho phép hoặc cấm những dịch vụ từ ngoài truy nhập vào trong (từ Internet vào

Intranet)

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng Kiểm soát nội

dung thông tin lưu chuyển trên mạng

Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó đạtchuẩn hay không Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy.Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào Nó cũng có thể quản lý việctruy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng Nó có thể được sử dụng

để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻtấn công hoặc người không được phân quyền đột nhập firewall có thể lọc các gói tin

dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng Điều này còn được gọi làlọc địa chỉ firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng Điều nàyđược gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưulượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet firewallcũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.

1.2.3 Các thành loại firewall và cơ chế hoạt động.

Một firewall chuẩn bao gồm một hay nhiều các loại sau đây:

Bộ lọc gói (Packet – Fileter)

Cổng ứng dụng (Application – level Gateway hay Proxy Server)

Cổng vòng (Circuite level Gateway)

a) Bộ lọc gói (Packet Filtering)

 Nguyên lý hoạt động:

Hình 1.6 Sơ đồ làm việc của Packet Filtering

Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được Nó kiểm tra toàn

bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật

lệ của lọc gói hay không Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗiPacket (Packet Header), dùng để cho phép truyền các Packet đó ở trên mạng Đó là:Địa chỉ IP nơi xuất phát (IP Source address)

Địa chỉ IP nơi nhận (IP Destination address)

Những thủ rục truyền tin (TCP, UDP, ICMP, IP tunnel)

Cổng TCP/UDP nơi xuất phát (TCP/UDP souree port)

Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

Dạng thông báo ICMP (ICMP message type)

Giao diện Packet đến (Incomming interface of Packet).

Giao diện Packet đi (Outcomming interface of Packet)

 Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc gói Một trong những ưu điểmcủa phương pháp dùng bộ lọc gói là ch i phí thấp vì cơ chế lọc gói đã được bao gồmtrong mỗi phần mềm Router

Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy

nó không yêu cầu sự huấn luyện đặc biệt nào cả

Một cổng ứng dụng thường được coi như là một pháo đài (bastion Host), bởi vì

nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảmbảo an ninh của một Bastion Host là:

Bastion Host luôn chạy các version an toàn (secure version) của các phần mềm

hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mụcđích chống lại sự tấn công vào hệ điều hành (Operatin g System), cũng như là đảm bảo

Mỗi Proxy đều độc lập với các proxies khác trên Bastion Host Đi ều này chophép dễ dàng quá trình cài đặt một Proxy mới, hay tháo gỡ một Proxy đang có vấn đề

 Ưu điểm

Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng Proxy hạn chế bộ lệnh và quyết định những máy chủ nào có t hểtruy nhập được bởi các dịch vụ.

Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chéplại thông tin về truy nhập hệ thống

 Hạn chế

Yêu cầu các users biến đổi (modify) thao tác, hoặc modify phần mềm đã cài đặttrên máy Client cho truy nhập vào các dịch vụ Proxy Ví Dụ, Telnet truy nhập quacổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi.Tuy nhiên, cũng đã có một số phần mềm Client cho phép ứng dụng trên cổng ứngdụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứngdụng trên lệnh Telnet

1.2.4 Kiến trúc cơ bản của firewall

1.2.4.1 Kiến trúc Dual – homed Host

Hình 1.7 Kiến trúc Dual – homed HostDual-homed Host là hình thức xuất hiện đầu tiên trong việc bảo vệ mạng nội bộ.Dual-homed Host là một máy tính có hai giao tiếp mạng (Network interface): một nốivới mạng cục bộ và một nối với mạng ngoài (Internet)

Hệ điều hành của Dual-home Host được sửa đổi để chức năng chuyển các gói tin(Packet forwarding) giữa hai giao tiếp mạng này không hoạt động Để làm việc đượcvới một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual-homed Host, và từ đó bắt đầu phiên làm việc

Ưu điểm của Dual-homed Host:

- Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.

- Dual-homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông

thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành

là đủ

Nhược điểm của Dual-homed Host:

- Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như

những hệ phần mềm mới được tung ra thị trường

- Không có khả năng chống đỡ những đợt tấn công nhằm vào chính bản thân nó,

và khi Dual-homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn côngvào mạng nội bộ

Đánh giá về kiến trúc Dual-homed Host:

Để cung cấp dịch vụ cho những người sử dụng mạng nội bộ có một số giải phápnhư sau:

- Kết hợp với các Proxy Server cung cấp những Proxy Service.

- Cấp các account cho user trên máy dual-homed host này và khi mà người sử

dụng muốn sử dụng dịch vụ từ Internet hay dịch vụ từ external network thì họ phảilogging in vào máy này

Nếu dùng phương pháp cấp account cho user trên máy dual-homed host thì userkhông thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụng dịch vụthì phải logging in vào máy khác (dual-homed host) khác với máy của họ đây là vấn đềrất không thuận tiện với người sử dụng

Nếu dùng Proxy Server: khó có thể cung cấp được nhiều dịch vụ cho người sửdụng vì phần mềm Proxy Server và Proxy Client không phải loại dịch vụ nào cũng cósẵn Hoặc khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống có thểgiảm xuống vì tất cả các Proxy Server đều đặt trên cùng một máy

Một khuyết điểm cơ bản của hai mô hình trên nữa là : khi mà máy dual-homedhost nói chung cũng như các Proxy Server bị đột nhập vào Người tấn công (attacker)đột nhập vào được qua nó thì lưu thông bên trong mạng nội bộ bị attacker này thấy hếtđiều này thì hết sức nguy hiểm Trong các hệ thống mạng dùng Ethernet hoặc TokenRing thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máy nào nối vào mạng đánhcắp dữ liệu cho nên kiến trúc này chỉ thích hợp với một số mạng nhỏ

1.2.4.2 Kiến trúc Screend Host

Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services

Packet Filtering: Lọc một số dịch vụ mà hệ thống muốn cung cấp sử dụng ProxyServer, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến Proxy Server

mà không được bỏ qua Proxy Server để nối trực tiếp với mạng bên trong/bên ngoài(internal/external network), đồng thời có thể cho phép Bastion Host mở một kết nốivới internal/external host

Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ

hệ thống cung cấp cho người sử dụng qua Proxy Server

Hình 1.8 Kiến trúc Screened Host

Đánh giá một số ưu, khuyết điểm chính của kiến trúc Screened Host

Kiến trúc screened host hay hơn kiến trúc dual-homed host ở một số điểm cụ thểsau:

Dual-Home Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch

vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu cóthể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứng khó cóthể cao vì cùng lúc đảm nhiệm nhiều chức năng

Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máyriêng biệt Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng nhưkhó xảy ra lỗi (tuân thủ qui tắc ít chức năng) Proxy Servers được đặt ở máy khác nênkhả năng phục vụ (tốc độ đáp ứng) cũng cao

Cũng tương tự như kiến trúc Dual-Homed Host khi mà hệ thống Packet Filteringcũng như Bastion Host ch ứa các Proxy Server bị đột nhập vào (người tấn công độtnhập được qua các hàng rào này) thì lưu thông của mạng nội bộ bị người tấn côngthấy

Từ khuyết điểm chính của hai kiến trúc trên ta có kiến trúc thứ ba sau đây khắcphục phần nào khuyết điểm trên.

1.2.4.3 Kiến trúc Screened Subnet Host

Hình 1.9 Kiến trúc Screened SubnetVới kiến trúc này, hệ thống này bao gồm hai Packet-Filtering Router và mộtBastion Host Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật:Network và Application trong khi định nghĩa một mạng perimeter network Mạngtrung gian (DMZ) đóng vai trò của một mạng nhỏ, cô lập đặt giữa Internet và mạngnội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạngnội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sựtruyền trực tiếp qua mạng DMZ là không thể được

Và những thông tin đến, Router ngoài (Exterior Router) chống lại những sự tấncông chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ Nó chỉ chophép hệ thống bên ngoài truy nhập Bastion Host Router trong (Interior Router) cungcấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với nhữngtruyền thông bắt đầu từ Bastion Host

Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ

Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion Quy luật Filtering trênRouter ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra bắtnguồn từ Bastion Host

Ưu điểm:

- Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host, và Router

trong

- Bởi vì Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạng

nội bộ là không thể nhìn thấy (invisible) Chỉ có một số hệ thống đã đư ợc chọn ra trênDMZ là được biết đến bởi Internet qua bảng thông tin định tuyến và trao đổi thông tinđịnh tuyến DNS (Domain Name Server)

- Bởi vì Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thống

trong mạng nội bộ không thể truy nhập trực tiếp vào Internet Điều này đảm bảo rằngnhững user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy

Đánh giá về kiến trúc Screened Subnet Host:

Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiềungười sử dụng đồng thời cũng như kh ả năng theo dõi lưu thông của mỗi người sử dụngtrong hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệthì kiến trúc cơ bản trên phù hợp

Để tăng độ an toàn trong mạng nội bộ, kiến trúc screened subnet ở trên sử dụngthêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bêntrong mạng nội bộ Tách biệt mạng nội bộ với Internet

Sử dụng 2 Screening Router: Router ngoài và Router trong

Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ vàperimeter network) càng tăng khả năng bảo vệ càng cao

Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host,ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Router ngoài

1.2.4.4 Kiến trúc Screened Subnet Host

DMZ (khu vực phi quân sự) là một vùng mạng trung lập giữa mạng nội bộ vàmạng internet, là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào

và chấp nhận các rủi ro tấn công từ internet Hệ thống firewall này có độ an toàn caonhất vì nó cung cấp cả mức bảo mật network và application

Hình 1.10 Vùng DMZ được tách riêng với mạng nội bộ.

 Ưu điểm:

Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong.Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ làkhông thể nhìn thấy (invisible) Chỉ có một số hệ thống đã được chọn ra trên DMZ làđược biết đến bởi Internet qua routing table và DNS information exchange (DomainName Server)

1.2.4.5 Sử dụng nhiều Bastion Host

Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũngnhư tách biệt các Servers khác nhau

Hình 1.11 Sơ đồ kiến trúc sử dụng 2 Bastion Host

Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user)một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người

sử dụng bên ngoài (external user)

Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiềumạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau, khi mà mộtServer nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt

1.2.5 Các thành phần của firewall và cơ chế hoạt động

1.2.5.1 Thành phần

firewall chuẩn gồm một hay nhiều các thành phần sau đây:

- Bộ lọc gói tin (packet – filtering router)

- Cổng ứng dụng (application-level gateway hay proxy server)

- Cổng mạch (circuite level gateway)

1.2.5.2 Cơ chế hoạt động

 Bộ lọc gói tin

firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theothuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chínhxác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, NFS …) thànhcác gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ có thể nhận dạng,tái lập lại ở đích cần gửi đến, đó đó các loại firewall cũng liên quan rất nhiều đến cácpacket và những con số địa chỉ của chúng

Hình 1.12 Lọc gói tin

Bộ lọc gói tin cho phép hay từ chối mỗi gói tin mà nó nhận được Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số cácluật lệ của lọc gói tin hay không Các luật lệ lọc gói tin là dựa trên các thông tin ở đầumỗi gói tin (header), dùng để cho phép truyền các gói tin đó ở trên mạng Bao gồm:

- Địa chỉ IP nơi xuất phát (Source)

- Địa chỉ IP nơi nhận (Destination)

- Những giao thức truyền tin (TCP, UDP, ICMP, IP tunnel …)

- Cổng TCP/UDP nơi xuất phát.

- Cổng TCP/UDP nơi nhận

- Dạng thông báo ICMP

- Giao diện gói tin đến

- Giao diện gói tin đi

Nếu gói tin thỏa các luật lệ đã được thiết lập trước của firewall thì gói tin đượcchuyển qua, nếu không thỏa thì sẽ bị loại bỏ (drop) Việc kiểm soát các cổng làm chofirewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vàođược hệ thống mạng cục bộ

Ưu điểm:

- Đa số các hệ thống firewall đều sử dụng bộ lọc gói tin Một trong những ưu

điểm của phương pháp dùng bộ lọc gói tin là đảm bảo thông qua của lưu lượng mạng

- Bộ lọc gói tin là trong suốt đối với người dùng và các ứng dụng, vì vậy nó

không yêu cầu sự huấn luyện đặc biệt nào cả

Hạn chế:

Việc định nghĩa các chế độ bộ lọc gói tin là một việc khá phức tạp, nói đòi hỏingười quản trị mạng có hiểu biết chi tiết về các dịch vụ Internet, các dạng packetheader và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòi hỏi về sự lọccàng lớn, các luật lệ trở nên dài và phức tạp, rất khó để quản lý và điểu khiển

 Cổng ứng dụng

Đây là một loại firewall được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào mạng Cơ chế hoạt động của nódựa trên cách thức gọi là Proxy service (dịch vụ ủy quyền) Proxy service là các bộcode đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng khôngcài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cungcấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code (mã ủynhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng màngười quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi

vì nó được thiết kế đặc biệt chống lại sự tấn công từ bên ngoài Những biện pháp đảmbảo an ninh của một bastion host là:

- Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệ

thống (Operating System) Các version an toàn này được thiết kế chuyên cho mục đíchchống lại sự tấn công vào phần mềm hệ thống, cũng như đảm bảo sự tích hợp firewall

- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt

trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó khó có thể bị tấncông Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS,FTP, SMTP và xác thực user là được cài đặt trên bastion host

- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user

password hay smart card

- Mỗi proxy được cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất

định Điều này có nghĩa là bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng vớimột số máy chủ trên toàn hệ thống

- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của lưu lượng

qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìmtheo dấu vết hay ngăn chặn kẻ phá hoại

- Mỗi proxy đều độc lập với các proxies khác nhau trên bastion host Điều này

cho phép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang

có vấn đề

Ưu điểm:

- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên

mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thểtruy cập được bởi dịch vụ

- Cho phép người quản trị mạng hoàn toàn điểu khiển được những dịch vụ nào

cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là cácdịch vụ ấy bị khóa

- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi chép

lại thông tin về truy nhập hệ thống

- Luật lệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so

với bộ lọc gói tin

Hạn chế:

Yêu cầu các user thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên máyclient cho truy nhập vào các dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứng dụngđòi hỏi hai bước để nối với máy chủ chứ không phải là một bước Tuy nhiên, cũng đã

có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằngcách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet

 Cổng mạch

Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứngdụng Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳmột hành động xử lý hay lọc gói tin nào

Hình 1.13 minh họa một hành động sử dụng nối telnet qua cổng mạch Cổngmạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểmtra, lọc hay điều khiển các thủ tục telnet Cổng mạch làm việc như một sợi dây, saochép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài(outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên

nó che dấu thông tin về mạng nội bộ

Hình 1.13 Cổng mạchCổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trịmạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastionhost có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kếtnối đến và cổng mạch cho các kết nối đi Điều này làm cho hệ thống firewall dễ dàng

sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới dịch vụinternet, trong khi vẫn cung cấp chức năng firewall để bảo vệ mạng nội bộ từ những sựtấn công bên ngoài

1.2.6 Kỹ thuật firewall

Lọc khung (Frame Filtering): Hoạt động trong hai tầng dưới cùng của mô hìnhOSI, có thể lọc, kiểm tra được mức bit và nội dung của khung tin Trong tầng này cáckhung dữ liệu không tin cậy sẽ bị từ chối ngay khi vào mạng

Lọc gói tin (Packet Filtering): Kiểu firewall chung nhất là kiểu dựa trên tầngmạng của mô hình OSI Lọc gói cho phép hay từ chối gói tin mà nó nhận được Nókiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn mộttrong số các quy định của lọc gói tin hay không Các quy tắc lọc gói tin dựa vào cácthông tin trong phần mào đầu của gói tin