Báo cáo Firewall
Trang 11
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ
TRUYỀN THÔNG
Báo Cáo Bài Tập Lớn
Giảng Viên Hướng Dẫn : PGS.Nguyễn Linh Giang Sinh Viên : Trương Văn Tam : 20122370 Hoàng Hữu Hợi : 20121772
Nguyễn Huy Lăng : 20121966 Phan Thị Thùy Dung : 20135239
Hà Nội,12 tháng 11 năm 2015
Trang 22
MỤC LỤC
CHƯƠNG I: TỔNG QUAN VỀ TƯỜNG LỬA 3
I KHÁI NIỆM 3
II CÁC CHỨC NĂNG CỦA FIREWALL 3
III NHIỆM VỤ CỦA FIREWALL 4
IV PHÂN LOẠI FIREWALL 5
1 Firewall mềm 5
2 Firewall cứng 5
V NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL 5
CHƯƠNG II: CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL 7
I BỘ LỌC GÓI 7
1 Nguyên lý hoạt động 7
2 Ưu Điểm của bộ lọc gói 7
3 Nhược Điểm của bộ lọc gói 7
II CỔNG ỨNG DỤNG 8
1 Nguyên lý hoạt động 8
2 Ưu Điểm của cổng ứng dụng 9
3 Nhược điểm … 9
III CỔNG VÒNG 9
CHƯƠNG III: NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL 10
I DUAL-HOMED HOST 10
II KIẾN TRÚC SCREENED HOST 11
III KIẾN TRÚC SCREENED SUBNET HOST 13
IV SỬ DỤNG NHIỀU BASTION HOST 15
V KIẾN TRÚC GHÉP CHUNG ROUTER TRONG VÀ ROUTER NGOÀI……….17
VI KIẾN TRÚC GHÉP CHUNG BASITION HOST VÀ ROUTER NGOÀI……….18
Trang 33
CHƯƠNG I: TỔNG QUAN VỀ TƯỜNG LỬA
I KHÁI NIỆM
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập của một số truy cập không mong muốn vào hệ thống
Hình 1: Mô hình tường lửa
II CÁC CHỨC NĂNG CỦA FIREWALL
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet
và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet
Cho phép hoặc cấm các dịch vụ truy cập ra ngoài
Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong
Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập
Kiểm soát người dùng và việc truy cập của người dùng
Kiểm soát nội dung thông tin lưu chuyển trên mạng
Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem luồng lưu lượng này có đạt chuẩn hay không Nếu đạt, nó được định tuyến giữa các mạng, ngược lại, lưu lượng sẽ bị hủy
Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng
Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào mạng riêng và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép
Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng, đây được gọi là lọc địa chỉ Firewall cũng có thể lọc các loại lưu lượng đặc biệt của mạng và được gọi là lọc giao thức
Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho Hacker nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ
Trang 44
bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất định nhằm để Hacker tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa hơn, các họat động của kẻ tấn công có thể được ghi lại và theo dõi
III NHIỆM VỤ CỦA FIREWALL
1 Bảo vệ thông tin:
Bảo vệ các dữ liệu quan trọng trong hệ thống mạng nội bộ
Bảo vệ tài nguyên hệ thống
2 Phòng thủ các cuộc tấn công:
Ngoài việc bảo vệ các thông tin từ bên trong hệ thống, Firewall còn có thể chống lại các cuộc tấn công từ bên ngoài vào như:
Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông tin về hệ thống của bạn như tài khoản và password đăng nhập Firewall có khả năng phát hiện và ngăn chặn kịp thời các tấn công theo kiểu tấn công này
Firewall cũng có khả năng phát hiện và ngăn chặn các chương trình Sniff (Chương trình có khả năng chụp lại các gói tin khi nó được truyền đi trên mạng) mà Hacker thường sử dụng để lấy các thông tin đang được truyền
đi trên mạng
Ngoài ra, Firewall còn có nhiều chức năng kiểm tra, lọc các lưu lượng vào/ra hệ thống, bảo vệ an toàn các thông tin từ bên trong và ngăn chặn các cố gắng thâm nhập từ bên ngoài vào hệ thống
Trang 55
IV PHÂN LOẠI FIREWALL
1 Firewall mềm
Đặc điểm:
Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng
Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)
Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
2 Firewall cứng
Đặc điểm:
Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)
Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)
Firewall cứng không thể kiểm tra được nột dung của gói tin
Ví dụ Firewall cứng: NAT (Network Address Translate)
V NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL
Khi một gói tin được chuyển tải trên mạng, nó được chia nhỏ thành các gói (packet) Mỗi gói sẽ được gán một địa chỉ để có thể đến đích, sau đó được nhận dạng và tái lập lại ở đích Các địa chỉ được lưu trong phần đầu của gói tin (header) và Firewall sẽ dựa vào Header của gói tin để lọc
Bộ lọc gói tin có khả năng cho phép hay từ chối mỗi gói tin mà nó nhận được Nó kiểm tra toàn bộ đọan dữ liệu để quyết định xem đoạn dữ liệu đó
có thỏa mãn một trong số các luật của lọc gói tin hay không Các luật lọc gói tin này sẽ dựa trên các thông tin ở đầu mỗi gói tin (Header), Header của gói tin bao gồm các thông tin như sau:
Version: Phiên bản của IP, hiện tại chúng ta đang sử dụng IP phiên bản 4 (Ipv4)
IP Header Length: Độ dài của IP header là 32 bits
Type of Service (ToS): Loại dịch vụ
Size of Datagram: Kích thước của gói tin được tính bằng byte, bao gồm kích thước của Header và kích thước của Data (dữ liệu)
Identification: Dấu hiện nhận dạng, trường hợp này được sử dụng để lắp ghép các phân đoạn khi tất cả các gói tin đã đến đích
Trang 66
Flag: Là một trong ba cờ được sử dụng để điều khiển, định tuyến cho một gói tin và báo cho người nhận biết gói tin có bao nhiêu phần
Time To Live: Chỉ ra số lượng Hops hoặc liên kết mà gói tin có thể đi qua
và được sử dụng để tránh quá trình lặp lại của gói tin (tránh cho gói tin chạy vô hạn)
Protocol: Giao thức truyền tin (TCP, UDP, ICMP, …
Header Checksum: Mục này được sử dụng để kiểm tra xem tổng số gói tin
mà người gởi có bằng tổng số gói tin mà người nhận nhận được không Nếu không bằng nhau, nó sẽ báo lỗi và yêu cầu người gửi gửi lại (nếu sử dụng giao thức TCP); ngược lại, nó sẽ hủy gói tin nếu sử dụng giao thức UDP
Source Address: Địa chỉ nơi xuất phát
Destination Address: Địa chỉ nơi nhận
Source port: Cổng nguồn
Destination port: Cổng đích
Options: Tùy chọn này không được sử dụng
Nếu gói tin thỏa các luật đã được thiết lập trước của Firewall, gói tin đó được chuyển qua, ngược lại, gói tin sẽ bị hủy Việc kiểm soát các cổng sẽ cho phép Firewall kiểm soát một số loại kết nối nhất định mới được vào mạng cục bộ
Do việc kiểm tra dựa trên Header của các gói tin nên bộ lọc không kiểm soát được nội dung thông tin của gói tin đó Vì vậy các gói tin chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của Hacker
Trang 77
CHƯƠNG II: CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL
I BỘ LỌC GÓI
1 Nguyên lý hoạt động
Bộ Packet filtering router của Firewall hoạt động dựa trên giao thức TCP/IP và dựa theo thuật toán băm các dữ liệu nhận được từ các kho dữ liệu trên mạng thành các gói dữ liệu (data packets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng
Bộ lọc packet có quyền cho phép hay từ chối gói tin mà nó nhận Nó checkout toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu này có thoả mãn một trong số các luật lệ của bộ lọc packet này hay không Các luật lệ của bộ lọc packet này được dựa trên các thông tin ở mào đầu mỗi packet (packet header sau đó upload lên mạng Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP ( ICMP message type)
Giao diện packet đến ( incomming interface of packet)
Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet đạt yêu cầu thì packet được phép qua Firewall Nếu không packet sẽ bị drop Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc block việc
cố gắng kết nối vào hệ thống mạng nội bộ từ những địa chỉ khả nghi Hơn nữa, việc kiểm soát các port làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ như telnet, SMTP, FTP… mới được phép hoạt động
2 Ưu Điểm của bộ lọc gói
Đa số các hệ thống cấu trúc Firewall đều sử dụng bộ lọc packet Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router
Ngoài ra, bộ lọc packet là trong suốt đối với người dùng và các ứng dụng,
vì vậy nó không yêu cầu các buổi training đặc biệt nào cả
3 Nhược Điểm của bộ lọc gói
Trang 88
Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu sâu vể các dịch vụ Internet, các dạng format packet header, tác dụng của mỗi trường Khi đòi hỏi lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản trị và điều khiển
Firewall làm việc dựa trên header nên bộ lọc không thể kiểm soát được gói tin, đơn giản là sẽ dễ bị lỗ hổng và bị tấn công
II CỔNG ỨNG DỤNG
Cổng ứng dụng là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng
1 Nguyên lý hoạt động
Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào
đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall Ngoài ra, proxy code có thể được định cấu hình để
hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host) bởi vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:
Bastion host luôn chạy các version an toàn của các phần mềm hệ thống.Các phiên bản an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào phần mềm hệ thống, cũng như là đảm bảo sự tích hợp Firewall
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt,
nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống
Trang 99
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại
Mỗi proxy đều độc lập với các proxy khác trên bastion host Điều này giúp
dễ dàng cài đặt và thao tác
2 Ưu Điểm của cổng ứng dụng
Toàn quyền cho người quản trị Khả năng chứng thực khá tốt, và nó có nhật
ký ghi chép lại thông tin về truy nhập hệ thống
So với bộ lọc packet thì nó dễ dàng cấu hình và kiểm tra hơn
3 Nhược điểm
Mất thời gian và khó khăn để thao tác
III CỔNG VÒNG
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào
Cổng vòng làm việc như một sợi dây,copy các byte liên kết bên trong (inside connection) và các kết nối bên ngoài (outside connection)
Firewall xuất hiện dùng để che giấu thông tin nội bộ cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi người dùng bên trong được tin tưởng
Ưu điểm lớn nhất là một bastion host là một hỗn hợp cung cấp Cổng ứng dụng cho kết nối Inbound và cổng vòng cho kết nối Outbound Điều này làm cho người dùng dễ sử dụng các ứng dụng những vẫn đảm bào tính bào mật
Trang 1010
CHƯƠNG III: NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL
I DUAL-HOMED HOST
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual –homed host
Một mấy tính được gọi là dual-homed host nếu nó có ít nhất hai network interface,
có nghĩa là máy đó có gắn 2 card mạng giao tiếp với hai mạng khác nhau, do dó máy tính đóng vai trò là router mềm Kiến trúc dual-homed host rất đơn giản , máy dual-homed host ở giữa một bên được kết nối internet và bên còn lại kết nối với mạng nội bộ (mạng cần được bảo vệ )
Hình 2: Mô hình kiến trúc dual-homed host
Dual- Homed host chỉ có thể cung cấp các dịch vụ bằng chính sách ủy quyền (proxy) hoặc cho phép user đăng nhập trực tiếp vào dual-homed host Mọi giao tiếp từ một host trong nội bộ và host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất
1 Ưu điểm của Dual-homed host:
Cài đặt dễ dàng , không yêu cầu phần cứng hoặc phần mềm đặc biệt
Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin , do đó trên các hệ điều hành linux chỉ cần cấu hình lại hệ điều hành nhân là đủ
Trang 1111
2 Nhược điểm của Dual-homed host:
Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như phần mềm mới được tung ra thị trường
Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân của dual-homed host, và khi dual- homed host bị đột nhập nó sẽ trở thành nơi lý tưởng để tấn công vào mạng nội bộ, người tấn công (attacker)
sẽ thấy được toàn bộ lưu lượng trên mạng
3 Đánh giá về kiến trúc dual-homed host:
Để cung cấp dịch vụ cho người sử dụng trong mạng có một số giải pháp như sau :
Kết hợp với các proxy server cung cấp các proxy service
Cấp các account cho người sử dụng trên máy dual-homed host, cho người dùng vì không phải dịch vụ nào cũng có phần mềm proxy server và proxy client Mặt khác, khi số dịch vụ cung cấp nhiều thì khác năng đáp ứng của
hệ thống bị giảm xuống vì tất cả các proxy server đều đặt trên cùng một máy
Nếu dùng phương pháp account cho người sử dụng trên máy dual-homed host thì người sử dụng không thích vì mỗi lần họ muốn sử dụng dịch vụ phải đăng nhập vào máy dual-homed host
II KIẾN TRÚC SCREENED HOST
Screened host có cấu trúc ngược lại với cấu trúc dual-homed host Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ và một router tách rời với mạng bên ngoài Kiến trúc này kết hợp hai kĩ thuật đó là packet filtering và proxy service Packet filtering được cài trên router Bastion host được đặt bên trong mạng nội bộ và nó là hệ thống duy nhất mà những host trên internet có thể kết nối tới, bất kì một hệ thống ngoài nào cố gắng truy nhập vào hệ thống hoặc các dịch
vụ bên trong đều phải kết nối tơi host này Vì thế Bastion host cần được duy trì ở chế đọ bảo mật cao, packet filterring cũng cho phép bastion host có thể mở kết nối
ra bên ngoài
