TÌM HIỂU FIREWALL VÀ TRIỂN KHAI TRÊN MÃ NGUỒN MỞ

Chúng có thể đột nhập vào hệ thống mạng của bạn hoặc máy tính của bạn để ăn cắp các thông tin nhạy cảm, tấn công các website, ngăn chặn các kết nối, phá hủy hoặc làm sai lệnh dữ liệu.. N

BÁO CÁO ĐỒ ÁN MÔN HỌC

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT

KHOA CÔNG NGHỆ THÔNG TIN (chương trình kỹ sư chất lượng cao)

TÌM HIỂU VỀ FIREWALL VÀ TRIỂN KHAI

TRÊN MÃ NGUỒN MỞ

TP HCM , NGÀY 13 THÁNG 4 NĂM 2015

LỜI CẢM ƠN

Trong suốt thời gian học tập tại Khoa Đào tạo Chất lượng cao trường Đại Học

Sự Phạm Kỹ Thuật Tp Hồ Chí Minh, chúng em đã được các thầy cô trong khoa CNTT, Khoa Chất lượng cao giảng dạy nhiệt tình, truyền đạt nhiều kiến thức quý báu làm tiền đề cho quá trình nghiên cứu đề tài này

Ngoài ra cũng xin cám ơn những góp ý, chia sẻ và giúp đỡ từ một số anh chị, bạn bè trong quá trình nghiên cứu và triển khai

Đặc biệt chúng em xin cám ơn Cô Nguyễn Thị Thanh Vân đã tận tình chỉ bảo, hướng dẫn chúng em Cám ơn cô đã theo sát và định hướng cho chúng em trong suốt quá trình nghiên cứu đề tài Giúp chúng em có thể hoàn thành đúng tiến độ đề tài nghiên cứu này

Sau 4 tháng nghiên cứu và thực hiện thì đề tài “Tìm hiểu về firewall và triển khai trên mã nguồn mở” cũng đã hoàn thành Chúng em xin chân thành gửi

lời cảm ơn sâu sắc đến tất cả các thầy cô, bạn bè đã giúp đỡ, đóng góp ý kiến cho đề tài này

DANH MỤC HÌNH VẼ

Hình 1.1: Các lớp trong an toàn mạng -

Hình 1.2 - Firewall -

Hình 1.3: Phân loại Firewall -

Hình 1.4: Các kỹ thuật sử dụng trên firewall -

Hình 1.5: Packet Filters -

Hình 1.6: Circult-Level Gateways -

Hình 1.7:Application-Level Gateways -

Hình 1.8: Stateful MutilayerInspection Firewalls -

Hình 1.9: Kiến trúc Dual Homed Host -

Hình 1.10: Kiến trúc Screened host -

Hình 1.11: Kiến trúc Screened Subnet -

Hình 2.1: Quá trình phát triển của ClearOS -

Hình 2.2 : Giao diện chính ClearOS -

Hình 2.3 : Menu Network -

Hình 2.4: Menu Gateway -

Hình 2.5: Menu System -

Hình 2.5: Menu Report -

Hình 3.1: Mô hình thực tế -

Hình 3.2: Mô hình Demo -

Hình 3.3: Start Web Proxy và Content Filter -

Hình 3.3: Enabled Transparent Mode và Content Filter -

Hình 3.4: Thêm Domain Block -

Hình 3.5: Thêm từ khóa chặn -

Hình 3.6: Chỉnh sửa file weighted -

Hình 3.7: Restart dịch vụ dansguardian-av -

Hình 3.8: Test domain http://zing.vn -

Hình 3.8: Test domain http://vnexpress.net -

Hình 3.9: Cấu hình publish Webserver ra ngoài Internet -

Hình 3.10: Kiểm tra truy cập -

Hình 3.10: Cấu hình block một IP public Hình 3.11: Kiểm tra block

Hình 3.12: Cấu hình chặn tất cả SSH

Hình 3.13: Cấu hình cho phép 1 ip public SSH

Hình 3.14: Cấu hình cho phép 1 ip private SSH

Hình 3.15:Cấu hình chặn scan port

Hình 3.16: Kiểm tra với scan FIN

Hình 3.17: Kiểm tra với scan NULL

Hình 3.18: Kiểm tra với Scan XMAS

Hình 3.19: Rule chống SYN Flood

PHẦN MỞ ĐẦU Thực trạng và tính khả thi của đề tài

Năm 1997 Internet bắt đầu du nhập vào Việt Nam, từ những năm đầu đó Internet ở Việt Nam vẫn là một dịch vụ cao cấp và hạn chế đối với phần đông người dùng Trải qua hơn 10 năm phát triển đến nay Internet từ một dịch vụ cao cấp đã trở thành một dịch vụ bình dân, phổ biến trong mọi gia đình, công sở, trường học, làm thay đổi cuộc sống của người dân và xã hội ở Việt Nam Theo thống kê của website TT Internet

Việt Nam - VNNIC vào tháng 9 năm 2011 thì số người sử dụng Internet ở VN đã đạt 30.248.846, tỉ lệ dân số sử dụng Internet chiếm 34,79%, tổng số tên miền tiếng Việt

đã đăng ký là 237.342.Việc sử dụng Internet để phục vụ cho cuộc sống đã trở lên phổ

biến như giao tiếp với nhau qua email, sử dụng Internet để tra cứu thông tin phục vụ cho công việc hay học tập, sử dụng Internet để giải trí, giao lưu, kết bạn

Ngày 7/11/2006 Việt Nam gia nhập tổ chức thương mại thế giới WTO, từ đó Internet được nhìn nhận là công cụ mũi nhọn hỗ trợ, thúc đấy tích cực cho sự phát triển của nền kinh tế Đa số các doanh nghiệp và các tổ chức đều có hệ thống mạng và website

để quảng bá thương hiệu và sản phẩm (237.342 tên miền tiếng Việt và hàng triệu tên miền thương mại khác) Cùng với sự phát triển của Internet thì thương mại điện tử cũng phát triển theo Đối với các doanh nghiệp và tổ chức việc sử dụng thư điện tử (email), thanh toán trực tuyến (electronic payment), trao đổi dữ liệu điện tử, số hóa

dữ liệu, lưu trữ dự liệu, hỗ trợ cho công việc kinh doanh đã không còn quá xa lạ Ngoài ra, chính phủ và các tổ chức chính phủ khác cũng sử dụng Internet để thông báo, trao đổi, giao tiếp với người dân

Tóm lại, Internet và hệ thống mạng máy tính đã trở thành một phần không thể thiếu

để phục vụ cho cá nhân người dùng, cho các tổ chức, doanh nghiệp kinh tế và cả cho các tổ chức chính phủ

Cùng với sự phát triển đó và những lợi ích mà Internet và máy tính đem lại, nó cũng tạo ra những nguy cơ và rủi ro cho nền kinh tế và xã hội hiện đại Các vấn đề về truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống đã trở thành mối lo

ngại cho các nhà quản lý ở bất kỳ một quốc gia nào từ các cơ quan, bộ, ngành đến từng doanh nghiệp, đơn vị hay cá nhân người dùng

Theo TS Vũ Quốc Khánh, GĐ TT Ứng cứu khẩn cấp máy tính VNCERT đánh giá:

"Năm 2011 đã xuất hiện các xu hướng tội phạm và sự cố an ninh về mạng, tấn công trên mạng ngày càng tinh vi hơn, phát triển có tổ chức, có quy mô và có sự phối hợp

cả trong và ngoài nước Có các định hướng về mặt tấn công thu lợi tài chính, phá hoại các dịch vụ Không ít mã độc trên thế giới đã nhanh chóng lan truyền đến Việt Nam"

Tin tặc Việt Nam phát triển với tốc độ nhanh hơn bao giờ hết cả về quy mô, tính chuyên nghiệp, trình độ kỹ thuật và cả tiềm lực về tài chính Điều đáng báo động là

sự phá hoại của tin tắc hiện nay không nhằm mục đích trục lợi cá nhân hay khoe khoang nữa mà đã chuyển sang hướng tấn công các tổ chức doanh nghiệp kinh tế và đặc biệt hơn nữa là hạ tầng công nghiệp quốc gia

Thời gian gần đây một loạt các website của các cơ quan nhà nước và doanh nghiệp bị hacker tấn công như website của Viện khoa học thanh tra chính phủ bị hack vào tháng 4/2007, tên miền của công ty P.A Vietnam bị cướp vào tháng 7/2008, website của Techcombank vào tháng 7/2008 Năm 2010, cuộc tấn công đình đám nhất chính là cuộc tấn công vào hệ thống điện tử của báo Vietnamnet, cuộc tấn công diễn ra nhiều tháng và nhiều lần với các hình thức tấn công khác nhau Cũng trong năm này thì hơn

1000 website lớn ở Việt Nam bị tấn công Các hình thức tấn công thì rất đa dạng từ thay đổi giao diện, đánh cắp các thông tin nhạy cảm ở trong website, tấn công làm tê liệt website đó Mới đây nhất là cuộc tấn công đánh cắp tên miền diadiem.com và vozforums.vn xảy ra vào tháng 10/2011

Từ những số liệu và cảnh báo trên nên vấn đề bảo vệ an ninh mạng ngày càng nóng bỏng hơn nữa Đối với cá nhân người dùng việc bảo vệ thông tin cá nhân của mình trước những kẻ đánh cắp Đối với tổ chức chính phủ, sở ban ngành, doanh nghiệp bảo

vệ hệ thống mạng của mình về dữ liệu, về thông tin khách hàng, về website, về tài

chính, về uy tín Chính vì lý do đó chúng em chọn đề tài "Tìm hiểu về Firewall và

triển khai trên mã nguồn mở" nhằm mục đích nghiên cứu về một giải pháp an toàn

cho mạng máy tính

Mục đích và nhiệm vụ nghiên cứu

Trước khi tìm hiểu chúng em cũng hiểu rằng không có một giải pháp nào là toàn diện cho an ninh mạng, một hệ thống dù vững chắc tới đâu rồi cũng sẽ bị vô hiệu hóa bởi những kẻ tấn công Vì không thể có một giải pháp an toàn tuyệt đối nên để bảo vệ thông tin trên mạng máy tính thì cần xây dựng nhiều "lớp" bảo vệ khác nhau

Và Firewall là lớp ngoài cùng của hệ thống đó Mục đích của đề tài là:

Tìm hiểu các mối đe dọa đối với một hệ thống mạng máy tính

Tìm hiểu về các khái niệm cơ bản của firewall

Nghiên cứu về các công nghệ firewall và cách làm việc của chúng

Giới thiệu một số sản phẩm firewall đang được sử dụng trên thị trường và cách là việc của chúng

Demo triển khai sản phẩm firewall trên mã nguồn mở

Đối tượng nghiên cứu

Tìm hiểu kiến thức lý thuyết về các loại firewall, cách phân loại chúng một cách tổng quan Các thành phần tạo lên một firewall và cách làm việc của chúng

Tìm hiểu về các loại firewall trên nền tảng mã nguồn mở Linux, cách làm việc, những

ưu nhược điểm so với các sản phẩm khác

Tìm hiểu về các kiến trúc Firewall, một số mô hình dành cho hệ thống mạng

Sản phẩm ClearOS triển khai trên nền tảng Linux

Phạm vi nghiên cứu

Tập trung vào cách thức hoạt động của các loại firewall

Triển khai thành công ClearOS cho một mô hình mạng cỡ nhỏ, tạo các rule theo các

tình huống khác nhau, phân tích và giải thích ý nghĩa

Ngoài thế giới thật chúng ta phải đối mặt với kẻ không tuân thủ luật pháp, dùng mọi biện pháp để ăn cắp hay xâm phạm thông tin cá nhân hay tài sản của người khác Tương tự vậy, trên hệ thống mạng cũng tồn tại những kẻ muốn đánh cắp thông tin cá nhân, dữ liệu hay phá hoại hệ thống của bạn Ngoài những mục đích tấn công cá nhân, những kẻ này còn coi đó là một cách để kiếm sống Chúng có thể đột nhập vào hệ thống mạng của bạn hoặc máy tính của bạn để ăn cắp các thông tin nhạy cảm, tấn công các website, ngăn chặn các kết nối, phá hủy hoặc làm sai lệnh dữ liệu Những

kẻ này có nhiều mục đích khác nhau từ những mục đích cá nhân như trả thù, khoe khoang kiến thức hay những động cơ nguy hiểm hơn như tiền bạc, phá hoại đối thủ, chính trị

Chúng ta không thể đoán được lúc nào các cuộc tấn công sẽ xảy ra vì thế biện pháp tốt nhất đó chính là "phòng ngừa" Tương tự như trong thế giới thật chúng ta xây rào chắn, mua khóa, thuê vệ sĩ để bảo vệ thì trên hệ thống mạng chúng ta có thể triển khai các giải pháp bảo mật như chứng thực, cấp quyền, xây dựng firewall, xây dựng hệ thống giám sát

Tóm lại: Những thông tin, dữ liệu nhạy cảm luôn là miếng mối béo bở để những kẻ

tấn công trục lợi Bởi vậy khi xây dựng hệ thống mạng bất kỳ bạn cần phải quan tâm

đến việc làm như thế nào để bảo vệ những thông tin, những dữ liệu quan trọng đó

Các mối nguy hiểm

Tấn công có mục tiêu và tấn công không có mục tiêu

Sự khác nhau của hai kiểu tấn công này nằm ở mục đích của kẻ tấn công Kẻ tấn công

có mục tiêu hắn sẽ tìm mọi cách để có thể đạt được mục đích của mình dù cho bạn có ngăn chặn nó như thế nào đi chăng nữa Đây chính là điểm nguy hiểm hơn rất nhiều

so với một cuộc tấn công không có mục tiêu đơn thuần

Những cuộc tấn công không có mục tiêu thường không có chủ đích rõ ràng, những kẻ tấn công thường rà soát những hệ thống nào dễ tấn công và có nhiều lỗi hổng Nếu một hệ thống được bảo vệ tốt thì kẻ tấn công sẽ từ bỏ và chuyển sang mục tiêu mới, những kẻ tấn công này thường có ít kiến thức hoặc mục đích nhằm khoe khoang là chính Điều này làm cho việc ngăn chặn nó dễ dàng hơn rất nhiều

Khác với những cuộc tấn công không có mục tiêu, những cuộc tấn công có mục tiêu nguy hiểm hơn rất nhiều Bởi kẻ tấn công có nhiều mục đích để tấn công, có thể đó là tiền bạc, trả thù, được đối thủ của bạn thuê để phá hoại Những kẻ này sẽ tìm mọi cách để tấn công bạn, dù cho bạn có bảo vệ đến đâu hắn cũng sẽ không từ bỏ Chính

vì lí do đó nên nó khá là nguy hiểm, bạn cần phải luôn đề phòng vì rất có thể ngày hôm nay bạn chặn được cuộc tấn công đó nhưng ngày hôm sau kẻ tấn công sẽ sử dụng những thủ đoạn tinh vi và nguy hiểm hơn Cách tốt nhất để chặn cuộc tấn công loại

này là nhờ đến pháp luật Virus, worm và trojan

Virus máy tính (hay thường được gọi tắt là virus) là một chương trình hay một đoạn

mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác như file, thư mục, ổ đĩa Ban đầu nó được viết ra nhằm mục đích chứng tỏ khả năng lập trình nên có một số hành động như xóa dữ liệu, làm treo máy tính hay thực hiện các trò đùa khó chịu Ngày nay thì nó được sử dụng để đánh cắp các thông tin nhạy cảm, mở cửa sau cho tin tặc đột nhập hoặc chiếm quyền điều khiển máy tính Đặc điểm quan trọng của virus đó là nó không thể tự động lây lan mà ban đầu nó cần

sự tác động của con người để cho phép nó hoạt động

Worm (sâu máy tính): tương tự như virus nó cũng có khả năng tự nhân bản và lây

lan Điểm đặc biệt của nó là nó có thể lây lan qua hệ thống mạng còn virus thì không

thể Nhiệm vụ chính của worm là phá hoại các mạng thông tin làm giảm khả năng hoạt động hay hủy hoại toàn bộ mạng đó Một điểm khác biệt nữa của worm và virus

đó là nó không cần sự tác động của con người mà vẫn có thể hoạt động được Từ những đặc điểm đó khiến cho worm nguy hiểm hơn nhiều so với các virus truyền thống bởi vì nó có thể lây lan sang hàng trăm, hàng ngàn máy tính

Trojan: Là một chương trình tương tự như virus, chỉ khác là nó không thể tự nhân

bản Trojan sẽ ẩn mình vào một chương trình tin cậy nào đó và khi bạn thực thi chương trình đó thì trojan nó cũng được khởi động Mục đích chính của trojan là đánh cắp các thông tin cá nhân như password, số tài khoản và gửi về cho kẻ phát tán hoặc cũng

có thể "âm thầm" mở một kết nối cho tin tặc

Virus, worm và trojan có thể phòng chống bằng cách sử dụng firewall hoặc các phần

mềm diệt virus có tích hợp sẵn firewall Nội dung độc hại và phần mềm độc hại

Nội dung độc hại chính là những nội dung văn bản được viết ra nhằm những mục đích bất chính Thông thường thì nó yêu cầu người dùng làm một hành động gì đó để cho phép tin tặc tiếp cận với hệ thống của bạn Những hành động này khá là đơn giản ví

dụ như yêu cầu bạn nhấp một link nào đó để truy cập tới một website hay yêu cầu bạn đọc một email Những hành động tưởng chừng như đơn giản nhưng thực ra bạn đã thực hiện một hành động rất là nguy hiểm đó là vô tình cho phép nội dung độc hại ảnh hưởng tới hệ thống của bạn Kịch bản chung của nội dung độc hại đó là cố gắng

"lừa" bạn kiến bạn vô tình hoặc cố ý cho phép nội dung đó được thực hiện Thông thường nội dung độc hại sẽ thực hiện các chức năng như truy cập/phá hoại dữ liêu hay cài đặt virus, worm, trojan hay mở cổng hậu

Malware (Malicious và Software) là một từ dùng để chỉ chung các phần mềm có

tính năng gây hại nó bao gồm cả virus, worm, trojan, spyware, adware, keylogger, rootkit

Cách phòng chống nội dung độc hại và phần mềm độc hại đó là sử dụng tưởng lửa để giám sát việc trao đổi thông tin trên mạng, cảnh báo người dùng trước những nguy hại kết hợp với sử dụng phần mềm diệt virus, worm, trojan

Tấn công từ chối dịch vụ (Denial of Service)

Có thể mô tả DoS như một hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó Nó bao gồm cả việc làm tràn ngập mạng, làm mất kết nối tới dịch vụ mà mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu cầu từ client DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn Thực chất của DoS là

kẻ tấn công sẽ chiếm dụng một lượng tài nguyên mạng như băng thông, bộ nhớ để làm mất khả năng xử lý các yêu cầu dịch vụ từ client

DDoS là một biến thể của DoS, sự khác biệt giữa chúng chính là số lượng máy tính tham gia tấn công Hacker sẽ xâm nhập vào nhiều máy tính và cài đặt các chương trình điều khiển từ xa và sẽ kích hoạt các chương trình này vào cũng một thời điểm

để tấn công một mục tiêu Cách thức này có thể huy động đến hàng trăm thậm chí hàng ngàn máy tình cùng tham gia tấn công (hacker chuẩn bị trước) Chính vì lẽ đó

nó khá nguy hiểm và có thể tiêu tốn băng thông một cách nháy mắt

Rất khó để có thể chống lại DDoS, cách hiệu quả đó là tăng băng thông đường truyền,

sử dụng firewall để lọc bớt các lưu lượng nguy hiểm

bỏ zombie và đưa máy tính về trạng thái ban đầu

Sự tổn hại thông tin cá nhân

Thử tưởng tượng một ngày những thông tin cá nhân của bạn tràn ngập trên Internet từ tên tuổi, số điện thoại, email, địa chỉ hay những thông tin về tài chính khác như số tài khoản, mật khẩu bạn sẽ cảm thấy như thế nào? Tất nhiên bạn sẽ chẳng hề mong

muốn điều này, tin tặc có thể lợi dụng những thông tin này để lừa đảo, đánh cắp tài sản của bạn, nói chung sự tổn hại về thông tin cá nhân sẽ gây cho bạn những phiền toái

Đối với doanh nghiệp hay các tổ chức sự tổn hại về thông tin còn nguy hiểm hơn Ví

dụ những thông tin độc quyền hoặc bí mật của công ty mà bạn cần giấu kín Bạn có một ý tưởng và xây dựng thành một công trình, bạn chuẩn bị công bố nó thì bất ngờ thấy đối thủ của mình công bố nó trước bạn Điều này tạo một sự thiếu công bằng trong hoạt động kinh doanh, nghiên cứu

Giải pháp được đưa ra đó là firewall sẽ phân loại và cô lập các hệ thống quan trọng Đối với vùng này firewall sẽ áp dụng những chính sách kiểm soát truy cập chặt chẽ hơn

Social Engineering

Social Engineering là kỹ thuật lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhắm lấy cắp thông tin hoặc thuyết phục người đó làm một việc gì đó

Chúng ta có thể xem tình huống sau đây để rõ hơn

Attacker: “Chào bà, tôi là Bob, tôi muốn nói chuyện với cô

Alice” Alice: “Xin chào, tôi là Alice”

Attacker: “Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho

cô sớm thế này…”

Alice: “Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”

Attacker: “Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấn đề.”

Alice: “Của tôi à à vâng.”

Attacker: “Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng

tôi đang cố gắng phục hồi lại hệ thống mail Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.”

Alice: “Vậy mail của tôi có bị mất không?”

Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà Nhưng vì chúng tôi

là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệ thống

mail của văn phòng, nên chúng tôi cần có password của cô, nếu không

chúng tôi không thể làm gì được.”

Alice: “Password của tôi à? uhm ”

Attacker: “Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được

hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)

Attacker: “Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho

chúng tôi username và số điện thoại của cô, nhưng họ không đưa password cho

chúng tôi Không có password thì không ai có thể truy cập vào mail của cô được, cho

dù chúng tôi ở phòng dữ liệu Nhưng chúng tôi phải phục hồi lại mail của cô, và chúng tôi cần phải truy cập vào mail của cô Chúng tôi đảm bảo với cô chúng

tôi sẽ không sử dụng password của cô vào bất cứ mục đích nào khác.”

Alice: “Uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”

Attacker: “Cám ơn sự hợp tác của cô Chúng tôi sẽ phục hồi lại mail của cô

trong vài phút nữa.”

Alice: “ Có chắc là mail không bị mất không?”

Attacker: “Tất nhiên là không rồi Chắc cô chưa gặp trường hợp này bao giờ, nếu

có thắc mắc gì thì hãy liên hệ với chúng tôi Cô có thể tìm số liên lạc ở trên Internet.” Alice: “Cảm ơn.”

Do bản chất của cuộc tấn công này là dựa vào sự ảnh hưởng và niềm tin nên nó không thể phòng chống bằng firewall được Cách tốt nhất là bạn nên đào tạo cho người dùng

và nhân viên của mình cảnh giác trước những mối nguy hiểm này

Các hướng tấn công mới

Khi một lỗ hổng bảo mật được phát hiện và công bố, nó sẽ được khai thác một cách ngay lập tực Nếu các nhà cung cấp không thể tung ra một bản vá hoặc đưa ra một giải pháp thích hợp, hệ thống có thể sẽ dễ dàng bị tấn công và khai khác Nếu bạn là một quản trị viên, cách hiệu quả để đối phó với kiểu tấn công mới này là bạn phải đảm bảo hệ thống của bạn luôn luôn được cập nhật đầy đủ và nhanh chóng nhất các bản vá

Ứng dụng được thiết kế kém bảo mật và an toàn

Một ứng dụng có thể được lập trình kém khiến cho kẻ tấn công có thể dễ dàng khai thác những lỗ hổng Cũng có thể kiến thức của người lập trình kém, vi phạm các nguyên tắc thiết kế làm cho ứng dụng đó dễ dàng được khai thác Điều này vô tình làm cho một phần mềm thông thường không có “mục đích xấu” trở thành mục tiêu của các kẻ tấn công Và từ đây kẻ tấn công có thể thông qua ứng dụng đó khai thác

hệ thống của bạn

Các giải pháp bảo mật dành cho mạng máy tính

Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành một lớp "rào chắn" đối với các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin được lưu trữ trong máy tính, đặc biệt là trong các server mạng Hình sau sẽ mô tả các lớp bảo vệ thông dụng hiện nay để bảo vệ thông tin tại các trạm của mạng

Hình 1.1: Các lớp trong an toàn mạng

Lớp bảo vệ trong cùng là quyền truy cập (Access Right) nhằm kiểm soát các

tài nguyên (thông tin) của mạng và quyền hạn (người dùng có thể làm gì trên tài nguyên đó) Việc kiểm soát được thực hiện trên cả partion, thư mục và tới tập tin Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy cập gồm username và

password tương ứng (Login/Password) Đây là một phương pháp bảo vệ phổ

biến vì nó khá đơn giản, ít tốn kém và lại có hiệu quả khá cao Người quản trị sẽ

có trách nhiệm quản lý, kiểm soát hoạt động của người sử dụng khác nhau tùy theo thời gian và không gian

Lớp thứ ba sử dụng các phương pháp mã hóa (Encryption) Dữ liệu sẽ được

mã hóa bằng một thuật toán nào đó để hạn chế việc dù lấy được dữ liệu nhưng tin tặc cũng chưa chắc có khả năng đọc nó

Lớp thứ tư là lớp bảo vệ vật lý (Physical Protection) nghĩa là ta sẽ ngăn chặn

các quyền truy cập vật lý vào hệ thống Ví dụ như không cho phép người không có

B ứ c tư ờ ng l ử a ( Firewall )

Mã hóa d ữ li ệ u (Data Encryption) Đăng nh ậ p/M ậ t kh ẩ u (Login/Password) Quy ề n truy c ậ p (Access Right) Thông tin (Infomation)

nhiệm vụ vào phòng đặt máy tính, yêu cầu truy cập từ xa, sử dụng khóa để bảo vệ phòng máy tính, hệ thống chuông báo động khi phát hiện có truy cập vật lý

Lớp thứ năm (Firewall): Cài đặt các hệ thống firewall (firewall) nhằm ngăn

chặn các thâm nhập trái phép, lọc các gói tin mà ta không muốn gửi đi hoặc nhận vào

Trong phạm vi nghiên cứu của đề tài, chúng ta sẽ chỉ nghiên cứu đến lớp bảo

vệ thứ năm đó là firewall

Firewall và mã nguồn mở

Mỗi doanh nghiệp, tổ chức hay cá nhân đều có nhu cầu bảo vệ thông tin của mình Họ

có thể lựa chọn nhiều giải pháp xây dựng firewall khác nhau để phục vụ cho mục đích của mình Firewall thì có rất nhiều loại từ loại firewall cứng, firewall mềm, các sản phẩm thương mại hay các sản phẩm mã nguồn mở khác Việc lựa chọn triển khai một sản phẩm firewall nào tùy thuộc vào nhiều yếu tố khác nhau như kinh phí, yêu cầu về tính bảo mật của doanh nghiệp cá nhân đó, hiệu quả kinh tế, trình độ người quản trị,

số lượng thông tin cần bảo vệ Trong các phần tiếp theo chúng ta sẽ nghiên cứu kỹ hơn về từng loại firewall khác nhau mà ta đã đề cập tới

Những ưu điểm của firewall dựa trên mã nguồn mở đó là:

 Trước tiên nó là một dạng FOSS nên có những ưu thế như mã mở, cộng đồng người sử dụng lớn nên bạn hoàn toàn có thể nhận được sự giúp đỡ một cách dễ dàng, phát triển liên tục

 Dựa trên nền tảng các hệ điều hành *nix Ưu điểm của các hệ điều hành này

so với các hệ điều hành khác đã được chứng minh qua thời gian, hiểu quả và tính bảo mật của nó

 Chi phí để chi trả cho firewall dựa trên mã nguồn mở gần như bằng không, bạn

có thể download trực tiếp trên trang chủ và sử dụng cũng như có thể trả tiền để nhận được sự support tốt hơn từ nhà sản xuất

 Đáp ứng được các công nghệ tiên tiến như lọc gói theo trạng thái, proxy, ngoài

ra còn có thể kết hợp nhiều tính năng khác như VPN, DHCP phần này chúng

ta sẽ thảo luận sâu hơn ở những phần tiếp theo của bài báo cáo

Firewall là gì?

Ý tưởng về một bức tường để tránh những kể xâm nhập đã có từ hàng ngàn năm nay

Ví dụ, hơn 2000 năm trước người Trung Quốc đã xây Vạn Lý Trường Thành nhằm bảo vệ họ trước những bộ lạc láng giềng từ phương Bắc Hay một ví dụ thứ hai đó là các vị vua châu Âu đã xây dựng lâu đài với những bức tường cao và hào (moats) nhằm bảo vệ họ và những đối tượng của họ, cả từ quân xâm lược và cả từ những băng nhóm

có ý định cướp bóc

Thuật ngữ “Firewall” được sử dụng sớm nhất bởi Lightoler vào năm 1764 để mô tả

một bức tường tách các bộ phận của một tòa nhà ra khỏi những nơi dễ cháy (ví dụ như nhà bếp ) Nó là một rào cản vật lý ngăn chặn hoặc làm chậm lại quá trình lan rộng của đám cháy ra khắp tòa nhà nhằm giảm thiểu thiệt hại về cả mạng sống và tài sản

Tuy nhiên chúng ta không nghiên cứu về firewall trong xây dựng mà vấn đề chúng ta quan tâm ở đây là firewall trong một thiết lập hiên đại hơn đó là mạng máy tính (Computer Networks) Tiền thân của firewall trong an ninh mạng là một thiết bị định tuyến (router) được sử dụng vào cuối những năm 1980 để tách các mạng ra với nhau

Hình 1.2 - Firewall

Lưu ý: Bạn có thể đọc được nhiều khái niệm về firewall từ một số quyển sách và một

số website trên mạng Điều cần lưu ý ở đây là không có một thuật ngữ cố định cho việc miêu tả một bức firewall (The thing to note here is that there is no fixed

terminology for the description of firewalls.) RFC 2196

Firewall có thể làm gì?

Trước khi tìm hiểu về cách hoạt động của firewall chúng ta cần phải hiểu rõ rằng firewall có thể làm gì và không thể làm gì Tất cả các firewall đều có một số đặc điểm chung và chức năng giúp chúng ta có thể xác định những việc mà firewall có thể làm được

Về cơ bản firewall phải có khả năng thực hiện các nhiệm vụ sau:

Quản lý và kiểm soát lưu lượng mạng ( Manage and Control network traffic)

Xác thực truy cập (Authenticate Access)

Hoạt động như một thiết bị trung gian (Act as an intermediary) Bảo vệ tài nguyên (Protect Resources)

Ghi lại và báo cáo các sự kiện (Record and report on events)

Tất nhiên firewall cũng chỉ là một giải pháp bảo vệ ở lớp ngoài nên không phải nó có thể làm được tất cả mọi thứ được Một số điểm mà firewall không thể làm được như:

Firewall không đủ thông minh như con người để đọc hiểu các thông tin và phân tích nó tốt hay xấu Nó chỉ có thể chặn thông tin khi đã được xác định rõ các thông số

Firewall không thể chặn một cuộc tấn công nếu cuộc tấn công đó không

"đi qua" nó Nói chung nó sẽ không thể ngăn chặn sự dò rỉ thông tin khi

mà dữ liệu bị sao chép một cách vật lý

Nó cũng không thể kiêm luôn nhiệm vụ quét virus trên dữ liệu do tốc độ

xử lý, sự xuất hiện liên tục của các loại virus và những cách mã hóa dữ liệu để che dấu virus nhằm qua mặt firewall

Tuy nhiên nó vẫn là một giải pháp hữu hiệu được sử dụng phổ biến hiện nay

Quản lý và kiểm soát lưu lượng mạng

Chức năng đầu tiên và cơ bản nhất mà tất cả các firewall đều phải thực hiện được đó

là quản lý và kiểm soát lưu lượng mạng Điều này có nghĩa là nó sẽ phải biết được những gói tin nào đi qua nó, có những kết nối nào thông qua nó Đồng thời nó sẽ kiểm soát các gói tin vào ra và các kết nối với hệ thống của bạn Firewall sẽ làm điều này

bằng cách kiểm tra các gói dữ liệu và giám sát các kết nối đang được thực hiện Sau

đó dựa vào kết quả kiểm tra gói tin và các kết nối bị giám sát đó nó sẽ đưa ra quyết định cho phép hay từ chối truy cập

Kiểm tra gói tin (Packet Inspection): là quá trình chặn và xử lý dữ liệu trong một

gói tin nhằm xác định liệu cho nên cho phép hoặc từ chối gói tin đó theo những chính sách truy cập đã được xác định Quá trình này có thể dựa vào bất kỳ yếu tố nào hoặc tất cả các yếu tố sau đây để đưa ra quyết định lọc gói đó hay không

Phần Header của gói tin (sequence number, checksum, data flags, payload infomation và những thông tin khác)

Việc kiểm tra gói tin sẽ phải được thực hiện trên mọi hướng (cả hướng ra và hướng vô) và trên mọi interface, các quy tắc kiểm soát truy cập phải được áp dụng cho mọi gói tin đi qua nó

Kết nối và trạng thái của kết nối (Connection và State)

Giả sử chúng ta có hai máy tính sử dụng giao thức TCP/IP muốn giao tiếp với nhau thì chúng sẽ phải thiết lập một vài kết nối với nhau Kết nối này nhằm mục đích

Thứ nhất là hai máy có thể định danh nhau, điều này đảm bảo rằng hệ thống của bạn không cung cấp dữ liệu cho một máy tính không tham gia kết nối Thứ hai nó được sử dụng để xác định cách thức mà hai máy tính liên lạc với nhau, ở đây nghĩa là nó sẽ sử dụng connection-oriented (TCP) hay connectionless (UDP và ICMP)

Cấu trúc của một kết nối có thể giúp ta xác định trạng thái truyền thông giữa hai máy tính

Ví dụ:

Nếu Bob hỏi John một câu hỏi, thì phản ứng thích hợp của John trong trường hợp này

là “trả lời câu hỏi của Bob” Như vậy ta có thể nói tại thời điểm Bob hỏi John thì trạng thái của cuộc đàm thoại này là “đang chờ đợi” một câu trả lời từ John

Việc xác định trạng thái của kết nối nhằm mục đích gì? Việc xác định trạng thái của kết nối và phản ứng tiếp theo mà máy tính sẽ làm giúp ta xây dựng một cơ chế lọc gói thông minh hơn Ví dụ firewall có thể giám sát trạng thái của một kết nối và đưa ra yêu cầu cho phép hay từ chối gói tin nào đó Một máy tính khi tạo một kết nối tới một máy tính đầu tiên nó gửi yêu cầu kết nối tới máy tính đó (SYN) Firewall biết rằng sau yêu cầu kết nối này thì máy tính đích sẽ phải trả về một yêu cầu phản hồi nào đó (ví dụ SYN/ACK) Việc xác định này được firewall thực hiện bằng cách lưu một bảng trạng thái theo dõi tất cả các kết nối đi qua nó từ khi kết nối được khởi tạo cho đến

khi kết thúc Nếu máy tính đích không trả về một phản hồi phù hợp với yêu cầu kết nối từ máy A hoặc phản hồi đó không hề có trong bảng trạng thái (State Table) thì gói tin đó sẽ bị hủy

Statefull Packet Inspection

Packet Inspection mặc dù có ưu điểm về tốc độ và khả năng kiểm soát các gói tin

theo yêu cầu cho trước khá tốt nhưng nó lại có một khuyết điểm khá nghiêm trọng

Ví dụ kẻ tấn công cố tình thay đổi các thông số và các tùy chọn trong packet nhằm

mục đích “đi qua firewall một cách hợp pháp”

Ví dụ:

Thông thường các bộ lọc gói tin sẽ drop tất cả các gói ICMP Echo Request tạo ra từ công cụ ping để tránh tình trạng DDoS hoặc bị thăm dò thông tin Tuy nhiên kẻ tấn công có thể sử dụng kỹ thuật ACK Scan Nmap, kỹ thuật này nghĩa là thay vì gửi một gói tin ICMP kẻ tấn công sẽ tạo một packet với flag ACK được active rồi gửi đến port

80 chẳng hạn Các Static Packet Filter khi kiểm tra gói tin sẽ thấy cờ ACK được active nên nó nghĩ rằng đây là packet trả lời cho SYN packet từ trước đó nên nó sẽ cho qua

Stateful Packet Inspection là một cơ chế lọc gói thông minh, nó có thể nhận dạng và

theo dõi *state* của một connection bằng cách lưu trữ tất cả các thông tin về

connection đó, từ lúc khởi tạo cho đến khi kết thúc vào một "table" Sau này nó sẽ sử dụng "table" này để kiểm tra các gói tin tương tự, ví dụ nếu máy chủ không gửi một

gói SYN thì không thể tự nhiên có một gói ACK được trả lời được

Firewall Authentiaction Access

Việc sử dụng cơ chế lọc gói tin đã giúp bạn hạn chế việc truy cập tài nguyên từ những nguồn không mong muốn Điều này đã hạn chế được phần nào mối nguy hiểm đối với tài nguyên của bạn Tuy nhiên, hay thử tưởng tượng kẻ tấn công sẽ giả mạo một địa chỉ IP nào đó đáng tin cậy nào đó và lúc đó hắn có thể đàng hoàng truy cập tài nguyên của bạn Lúc này bạn cần thêm một cơ chế nào đó giúp cho tài nguyên của bạn an toàn hơn.Firewall cung cấp cho bạn một cơ chế xác thực truy cập nhằm loại

bỏ những nguy cơ trên

Cơ chế xác thực đơn giản nhất đó là yêu cầu người dùng cung cấp username và password khi họ muốn truy cập tài nguyên của bạn Thông tin về username và password này phải được người quản trị tạo ra trên máy chủ cần truy cập từ trước đó Khi người dùng cố gắng truy cập vào một máy chủ nào đó, máy chủ đó sẽ thông báo yêu cầu người sử dụng nhập vào username và password trước khi kết nối Nếu đúng thì máy chủ sẽ cho phép kết nối ngược lại nếu sai thì kết nối sẽ hủy bỏ

Ưu điểm của cơ chế xác thực này là ngoài xác thực bạn hoàn toàn có thể áp dụng những chính sách bảo mật lên từng username riêng biệt (ví dụ cấp cho user đó có chỉ

có quyền đọc trong thư mục Data nhưng được phép tạo, xóa sửa tài liệu trong mục Chung)

Một cơ chế xác thực thứ hai đó là sử dụng Certificate và khóa công khai (Public Keys)

Ưu điểm của việc sử dụng cơ chế xác thực này so với xác thực bằng username và password đó là nó không cần đến sự can thiệp của người dùng Người dùng sẽ không cần phải vất vả nhập username và password nữa Hệ thống sẽ tạo ra một cặp khóa Private keys và Public key Cơ chế này khá hiệu quả khi triển khai trên quy mô lớn

Ngoài hai cơ chế xác thực trên thì người ta còn sử dụng một cơ chế xác thực khác nữa

đó là sử dụng Pre-shared key (PSKs) Khóa này đã được tạo ra từ trước và chia sẻ cho người dùng thông qua một kênh an toàn Ưu điểm của nó là ít phức tạp hơn so với việc xác thực bằng Certificate đồng thời nó cũng cho phép xác thực mà không cần sự can thiệp của người dùng Một nhược điểm của PSKs đó là nó hiếm khi thay đổi và được sử dụng chung nên nó có thể làm hỏng quá trình xác thực

Bằng cách xác thực truy cập, firewall đã bổ sung thêm một giải pháp để đảm bảo một kết nối có hợp pháp hay không Ngay cả khi gói tin đó vượt qua được cơ chế lọc gói tin nhưng không thể xác thực thì nó cũng bị hủy

Hoạt động như một thiết bị trung gian

Nhu cầu kết nối Internet là một nhu cầu thiết thực và không thể thiếu đối với mỗi doanh nghiệp Tuy nhiên việc cho phép các máy tính nội bộ trong hệ thống mạng của bạn kết nối trực tiếp ra ngoài mạng Internet sẽ đem lại nhiều nguy hiểm Người sử

dụng có thể bị lợi dụng để download về các phần mềm hay nội dung độc hại gây nguy hiểm cho hệ thống mạng của bạn

Giải pháp được đưa ra đó là thay vì cho các máy tính nội bộ kết nối trực tiếp ra ngoài

ta sẽ xây dựng firewall thành một thiết bị có nhiệm vụ “thay mặt” các máy tính nội

bộ đi ra ngoài Internet Lúc này firewall hoạt động như một Proxy Server

Quy trình làm việc của nó như sau:

Khi một client đi ra ngoài Internet, ví dụ ở đây là muốn truy cập website

http://www.abc.com thì thay vì client sẽ gửi một request tới webserver đó nó sẽ gửi yêu cầu tới Proxy Server Proxy Server sẽ tiếp nhận yêu cầu đó và nếu nó hợp lệ nó

sẽ xử lý yêu cầu đó Lúc này Proxy sẽ thay mặt client đi ra ngoài Internet lấy thông tin website http://www.abc.com về Thông tin được lấy về sẽ được Proxy Server kiểm tra sau đó nó mới được trả lại cho client

Các máy tính nội bộ sẽ không nhận thấy sự khác biệt khi có Proxy Server, nó gần như

là trong suốt

Lợi ích của Proxy Server đó là:

Cache: Tăng hiệu suất sử dụng dịch vụ mạng

Các Request được gửi ra ngoài Internet bằng địa chỉ IP của Proxy Server nên ngăn chặn các cuộc tấn công không hợp lệ vào các client từ Internet

Dữ liệu Response được gửi từ Internet về Proxy, sẽ được Proxy xử lý (kiểm tra có virus hay không, có thông tin gì độc hại hay không….) sau đó mới được chuyển về cho client

Bảo vệ tài nguyên mạng

Nhiệm vụ quan trọng nhất của firewall đó là bảo vệ tài nguyên mạng trước các mối

de dọa từ bên ngoài Tài nguyên mạng có thể là các máy tính cá nhân trong hệ thống nội bộ, cũng có thể là những Server của công ty như mail server, web server và quan trọng nhất là những dữ liệu bí mật của công ty Bạn có thể áp dụng việc lọc gói tin, kiểm soát truy cập, ngăn chặn kết nối trực tiếp hoặc áp dụng tất cả các cách trên để

bảo vệ tài nguyên của bạn Tuy nhiên bạn nên nhớ rằng firewall không phải là một giải pháp toàn diện nên đừng quá phụ thuộc vào nó

Ghi lại và báo cáo các sự kiện

Một thực tế đó là dù bạn có giỏi đến đâu, bạn có triển khai bao nhiêu biện pháp bảo mật đi chăng nữa thì cũng chưa chắc rằng hệ thống của bạn an toàn Bạn không thể ngăn chặn mọi cuộc tấn công hay những thứ độc hại xâm nhập vào hệ thống mạng của mình được Do đó bạn cần phải chuẩn bị để phòng chống những lỗ hổng mà firewall không thể ngăn chặn được

Do đó firewall cần phải có chức năng ghi chép lại tất cả các thông tin liên lạc vi phạm chính sách để báo lại với quản trị viên Quản trị viên sẽ dựa vào đây để phân tích tình hình và đưa ra giải pháp cụ thể Bạn có thể ghi lại các sự kiện bằng nhiều cách khác nhau nhưng hầu hết các firewall sử dụng một trong hai phương pháp đó là syslog hoặc một định dạng độc quyền nào đó.Những dữ liệu này sẽ được sử dụng thường xuyên

để phân tích các sự cố và nguyên nhân gây ra trong hệ thống mạng

Ngoài việc ghi lại các sự kiện firewall còn hỗ trợ khả năng cảnh báo khi chính sách bảo mật bị vi phạm như:

Giao diện thông báo: đây là cách đơn giản nhất để cảnh bảo khi có điều gì đó bất thường trong mạng Nhược điểm của nó là bạn phải thường xuyên theo dõi màn hình điều khiển để có thể cập nhật kịp thời các thông báo này

Cảnh báo SNMP giúp bạn theo dõi toàn bộ trạng thái của hệ thống mạng từ các thiết bị như router, switch, server đến thông tin chi tiết như CPU, bộ nhớ, băng thông

Sử dụng email để cảnh báo

Phân loại

Firewall có thể là một thiết bị phần cứng chuyên dụng hoặc có thể là một sản phẩm phần mềm được cài trên một máy chủ làm nhiệm vụ như một firewall hoặc cũng có thể là một ứng dụng được cài trên máy tính cá nhân Việc phân loại firewall có thể có nhiều cách khác nhau, tuy nhiên ta có thể phân loại nó thành một trong hai loại sau

Desktop hoặc Personal Firewall: Đây là loại firewall dành cho cá nhân và máy tính cá nhân, ta có thể liệt firewall của các phần mềm diệt virus vào nhóm này Network Firewall:

Sự khác nhau chính giữa hai loại firewall này đơn giản là số lượng máy tính mà nó bảo vệ

Hình 1.3: Phân loại Firewall

Personal Firewalls Đây là loại firewall được thiết kế để bảo vệ duy nhất một máy

tính trước các truy cập trái phép Hiện nay nó đã được phát triển nên rất nhiều và tích hợp nhiều chức năng đáng giá hơn như diệt virus, diệt các phần mềm độc hại, phát hiện xâm nhập Một số firewall cá nhân thương mại phổ biến như BlackICE, Cisco Security Agen Còn trong thị trường SOHO (Small Office/Home Office) thì có các sản phẩm như: Comodo Internet Security, Emsisoft Online Armor Premium, KIS, ZoneAlam Pro Firewall, Trend Micro Titanium Internet Security [1]

[1].http://personal-firewall-software-review.toptenreviews.com/

Vì dành cho người dùng cá nhân nên personal firewall phải tích hợp giải pháp kiểm soát tập trung, tích hợp nhiều chức năng, dễ sử dụng, ít cấu hình Những chức năng thường thấy ở personal firewall đó là:

Bảo vệ người dùng trước những xâm nhập trái phép

Cảnh báo người dùng về những mối nguy hại

Giám sát và điều tiết tất cả các ứng dụng sử dụng internet

Network firewall Được thiết kế để bảo vệ toàn bộ một hệ thống mạng máy tính Đây

chính là điểm khác biệt quan trọng giữa network firewall và personal firewall, số lượng máy tính mà network firewall cần bảo vệ lớn hơn rất nhiều so với số máy tính

mà personal firewall cần bảo vệ Chính vì lý do đó mà network firewall cần phải được thiết kế và xây dựng với những chức năng chuyên biệt hơn nhằm phục vụ tốt hơn

công viêc của nó

Network firewall cung cấp cho doanh nghiệp một sự linh hoạt và an toàn tối đa cho

hệ thống mạng của họ Hiện này network firewall đã được phát triển lên nhiều bằng cách tích hợp nhiều tính năng mới hơn như khả năng phát hiện xâm nhập, khả năng đọc gói tin sauu hơn Ngoài ra network firewall không chỉ kiểm soát giao thông mạng bằng cách nhìn vào thông tin ở Layer 3 hoặc Layer 4 mà nó có thể kiểm soát các dữ liệu cả ở tầng ứng dụng

Các sản phẩm Firewall (Firewall Products)

Trên thị trường hiện nay chúng ta có thể tìm thấy ba loại network firewall cơ bản sau:

Server-based, Appliance-based và Integrated

Server-based firewall là một loại software firewall được cài đặt trên một hệ điều

hành mạng (Network Operating System) và có chức năng của một firewall Nó có thể

được triển khai trên các nền tảng sau đây

• Apple Mac OS X

• UNIX (Solaris, HP-UX, IBM-AIX)

• GNU/Linux

• Microsoft Windows NT

Có thể kể đến một số firewall loại này như Microsoft ISA Server, Check Point NG, Gauntlet, iptable trên Linux hay FreeBSD hay bộ lọc gói pf trên OpenBSD Ưu điểm của loại firewall này là nó khá đa năng ví dụ như nó có thể được triển khai thành một

hệ thống DNS hay bộ lọc các spam mail Firewall loại này dễ dàng đảm nhiệm vai trò

đa năng hơn các thiết bị firewall cứng chuyên dụng khác Nó cũng dễ triển khai và quản trị cũng tương đối là dễ dàng

Tuy nhiên nhược điểm của nó do được cài đặt trên một hệ điều hành nên nó phụ thuộc

vào hệ điều hành đó Nếu hệ điều hành đó đó tồn tại có nhiều lỗ hổng bảo mật thì kẻ

tấn công có thể khai thác những lỗ hổng đó để tấn công chính firewall đó Khi quản trị một firewall loài này người quản trị cần phải cân nhắc việc cập nhật các bản vá của

hệ điều hành, liệu nó có tương thích với firewall chúng ta đang cài trên đó hay không Một nhược điểm nữa là do hệ điều hành được viết ra để thực hiện nhiều chức năng khác chứ không chuyên biệt để cài firewall lên đó nên không có gì đảm bảo rằng nó

sẽ đạt hiệu suất tối đa Cuối cùng có thể là sự không tương thích giữa firewall và hệ điều hành, nguyên nhân này do có nhiều software-firewall do một hãng khác viết ra chứ không phải do hãng cung cấp hệ điều hành

Nói chung nó khá thích hợp cho môi trường doanh nghiệp vừa và nhỏ do những ưu điểm về giá cả, quản trị dễ dàng và đáp ứng đủ các nhu cầu

Appliance-based firewall là một loại firewall dựa trên nền tảng phần cứng và được

thiết kế đặc biệt như một thiết bị firewall chuyên dụng Ngoài chức năng là firewall

nó còn một số chức năng thứ yếu khác Có thể kể tới một số sản phẩm như Cisco PIX, Jupiter's NetScreen Firewall hay Symantec Enterprise Firewall, các sản phầm của Nokia, Sonicwall Loại firewall này có một sự thống nhất từ phần cứng, hệ điều hành, đến phần mềm quản lý trên nó nên nó đạt được hiệu suất khá là cao Ngoài ra

nó thường là các sản phẩm thương mại nên bạn có thể dễ dàng nhận sự hỗ trợ từ nhà

sản xuất

Nhược điểm của nó là hạn chế những chức năng mà, nếu muốn bổ sung bạn cần phải mua và gắn thêm các thiết bị phần cứng khác Điều này khiến cho việc quản trị có thể trở nên khó khăn hơn

Cuối cùng là Integrated firewall đây là một thiết bị "đa năng" ngoài làm firewall thì

nó còn có thể đảm nhận nhiều chức năng khác như VPN, phát hiện phòng chống xâm nhập, chống spam mail Nói chung đây là một thiết bị All-in-one

Hiện nay sự phân biệt giữa Appliance-based firewall và Integrated firewall đã không còn rõ ràng như trước nữa bởi nhu cầu sử dụng và tính cạnh tranh Hầu hết cả hai loại này đều được tích hợp nhiều chức năng khác nhau Điều này không chỉ làm giảm số lượng thiết bị mà còn giảm chi phí triển khai và quản lý các thiết bị đó Các firewall tích hợp như Cisco ASA hay Tipping Point X505

Firewall Technologies

Trong phần này chúng ta sẽ tập trung vào các công nghệ được sử dụng trong các loại firewall khác nhau và cách nó làm việc như thế nào Ở hình 2 ta đã có một cái nhìn tổng quát về các loại firewall, tuy nhiên một loại firewall có thể sử dụng nhiều công nghệ khác nhau để tăng cao hiệu suất sử dụng Các công nghệ đó bao gồm:

• (Simple) Packet Filters

• Circuit-Level Firewalls

• Application-Level Firewalls

• Stateful Multilayer Inspection Firewall

Hình 1.4: Các kỹ thuật sử dụng trên firewall

Chú ý đây không phải là cách phân loại các loại firewall, các công nghệ này hoàn toàn

có thể được áp dụng trên cùng một loại firewall Dù cho firewall đó thuộc loại based firewall hay Appliance-based firewall hay loại Intergrated firewall thì nó cũng

Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không Các luật lệ lọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header ), dùng để cho phép truyền các Packet đó ở trên mạng Đó là:

• Địa chỉ IP nơi xuất phát ( IP Source address)

• Địa chỉ IP nơi nhận (IP Destination address)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

• Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

• Dạng thông báo ICMP (ICMP message type)

• Giao diện Packet đến (Incomming interface of Packet)

• Giao diện Packet đi (Outcomming interface of Packet)

Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall Nếu không Packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội

bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

Hình 1.5: Packet Filters Ưu

điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói

Ưu điểm:

Đa số các hệ thống Firewall đều sử dụng bộ lọc gói Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router