Báo cáo thực tập tốt nghiệp tìm hiểu firewall

Nhữ á động bất hợp pháp lên thông tin v i mụ đí làm tổn thất, sai lạc, lấy cắp các t p lưu ữ tin, sao chép các thông tin mật, giả mạo ườ được phép sử dụng thông tin trong các mạng máy t

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HCM

CƠ SỞ MIỀN TRUNG – KHOA CÔNG NGHỆ

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HCM

CƠ SỞ MIỀN TRUNG – KHOA CÔNG NGHỆ

ầu tiên, tôi xin gửi lời cảm ơ â à đến thầ đ

ú đỡ k đ ng ý là giả ư ng dẫn th c tập của tôi tại Công ty trách nhi m hữu hạ ử – Không những thế, trong quá trình th c tập thầ đ ỉ bảo à ư ng dẫn tận tình cho tôi những kiến thức lý thuyết cách giải quyết vấ đề, đặt câu hỏi Thầ luô ười truyề động l c trong tôi, giúp tôi hoàn thành tố đoạn th c tập tốt nghi p Cho phép tôi gửi lời cảm ơ sâu sắ đến Công ty trách nhi m hữu hạ ử –

đ ạo m đ ều ki n thuận lợ ú ô oà à đoạn th c tập tốt nghi p

1 n n:

………

………

………

………

………

2 n : ………

………

………

………

3 năn n m n: ………

………

………

………

4 n : N n : ………

Đ M: ………

……… n à n năm

Giản n ướng dẫn

MỞ ẦU 1

Ầ 2

Ầ 3

ƯƠ : ỔNG QUAN V FIREWALL 3

á m: 3

ứ : 3

â loạ : 4

r ll ứ : 4

r ll mềm: 4

u lí oạ độ ủ r ll: 5

ụ ủ r ll: 6

r ll ảo á ì? 6

r ll ảo ố lạ á ? 6

ƯƠ : ỮNG THIẾT KẾ Ơ ẢN CỦA FIREWALL 8

2.1 Dual-homed Host: 8

2.2 Kiến trúc Screened Host: 8

2.3 Kiến trúc Screened Subnet Host 9

2.4 Sử dụng nhiều Bastion Host: 10

2.5 Kiến trúc ghép chung Router trong và Router ngoài: 11

2.6 Kiến trúc ghép chung Bastion Host và Router ngoài: 12

ƯƠ : Ầ Ơ Ế HOẠ NG CỦA FIREWALL 14

3.1 Bộ l c gói (Packet Filtering): 14

3.1.1 Nguyên lý hoạ động: 14

Ưu đ ểm và hạn chế của h thống Firewall sử dụng bộ l c Packet: 15

3.2 Cổng ứng dụng (Application-Level Gateway): 15

u lí oạ độ : 15

Ưu đ ểm à ạ ế: 16

3.3 Cổng vòng (Circuit-level gateway) : 16

4.1 Gi i thi u: 17

4.2 Giải pháp firewall cho doanh nghi p nhỏ: 17

4.2.1 ISA Server Enterprise 2000, ISA Server Enterprise 2004 : 17

4.2.2 Sonicwall PRO 2040: 18

ế lậ mộ r ll o o : 18

à đặ ấu ì r ll : 20

4.4.1 Tìm hiểu về phần mềm ISA Server 2004 Firewall : 20

à đặt ISA Server 21

KẾT LUẬN 23

TÀI LI U THAM KHẢO 24

CDTH13QN Trang 1

Ở ĐẦU

An toàn thông tin là nhu cầu rất quan tr đối v á â ũ ư đối

v i xã hội và các quốc gia trên thế gi i Mạng máy tính an toàn thông được tiế à ô qu á ươ á ật lý và hành chính Từ khi ra

đờ o đến nay mạ má í đ đ m lại hi u quả vô cùng to l n trong tất cả

á lĩ c củ đời sống Bên cạ đ ười sử dụng phả đối mặt v i các hiểm h a do thông tin trên mạng của h bị tấn công An toàn thông tin trên mạng máy tính bao g m á ươ á ằm bảo v thông tin đượ lưu ữ và truyền trên mạng An toàn thông tin trên mạng máy tính

là mộ lĩ đ đượ qu âm đặc bi đ ng thờ ũ là một công vi c hết sứ k k à ức tạp Th c tế đ ứng tỏ rằng có một tình trạng rất

đá lo ại khi bị tấn công thông tin trong quá trình xử lý, truyề à lưu giữ thông tin Nhữ á động bất hợp pháp lên thông tin v i mụ đí làm tổn thất, sai lạc, lấy cắp các t p lưu ữ tin, sao chép các thông tin mật, giả mạo

ườ được phép sử dụng thông tin trong các mạng máy tính

ường lửa không chỉ là một dạng phần mềm ( ư ường lửa trên Windows), mà nó còn có thể là phần cứng chuyên dụng trong các mạng doanh nghi p Các ường lửa là phần cứng này giúp máy tính của các công ty có thể phân tích dữ li u r để đảm bảo rằng malware không thể thâm nhập vào mạng, kiểm soát hoạ động trên máy tính mà nhân viên của h đ sử dụ ũ

có thể l c dữ li u để chỉ cho phép một máy tính chỉ có thể lư t web, vô hi u hóa vi c truy cập vào các loại dữ li u khác

V i s ư ng dẫn tận tình của Thầ m đ oà à

à áo áo à u đ ố gắng hết sức tìm hiểu, â í ư ắc rằng không tránh khỏi những thiếu sót Nhóm em rất mong nhậ được s thông cảm

và góp ý của quý Thầy cô và các bạn

Em xin chân thành cảm ơn!

CDTH13QN Trang 3

HẦN NỘ NG C CHƯƠNG : TỔNG Q N Ề R 1.1 n m:

uậ ữ r ll u ố ừ mộ kỹ uậ ế kế ro xâ

để ặ , ạ ế ỏ oạ ro ô ô , r ll là

mộ kỹ uậ đượ í ợ ào ố mạ để ố s ru ậ rá é ,

ằm ảo á u ô ộ ộ à ạ ế s xâm â k ô mo muố ào ố r ll đượ m u ả ư là ủ o qu các “ ố ” để k ểm soá ấ ả á lu lưu ô ậ xuấ ể o õ

à k ru ậ ạ á ố à

á mạ r ố r ườ ị đ ữ kẻ ấ

ô ể ảo ữ l u ro ườ ườ r ll r ll ó

á ào đ để o é ườ ợ l đ qu à ặ lạ ữ ườ

1.2 C năn :

Chứ chính của Firewall là kiểm soát lu ng thông tin từ giữa Intranet và Internet Thiết lậ ơ ế đ ều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Cụ thể là:

o Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra

Internet)

CDTH13QN Trang 4

o Cho phép hoặc cấm những dịch vụ truy nhập vào trong (từ Internet

vào Intranet)

o Theo dõi lu ng dữ li u mạng giữa Internet và Intranet

o Kiểm soá địa chỉ truy nhập, cấm địa chỉ truy nhập

o Kiểm soá ười sử dụng và vi c truy nhập củ ười sử dụng

o Kiểm soát nộ u ô ô lưu u ển trên mạng

1 n :

1 .1 n :

ường lửa phần cứng là một l a ch n hợp lý nếu bạ đ á

phiên bả W o s rư đâ ều đ ểm truy cập (access point) không dây

sử dụng cho các mạ đì đều đượ đ ư i dạng tổng hợp tất

cả-trong-một, tích hợ á ường lửa phần cứng v i các broadband router Vi c

dùng mộ ường lửa cho h thống mạng của bạn có thể đơ ả ư c thêm

một máy trả lờ đ n thoạ ào đườ â đ n thoại của bạn Bạn chỉ cầ đặt

ường lửa vào kết nối Ethernet giữa modem cáp/DSL và máy tính của bạn

( ú i hầu hết các loạ ư ng lửa)

o Firewall cứng không thể kiểm r được nột dung của gói tin

Ví dụ Firewall c ng: NAT (Network Address Translate)

1 .2 m m:

Có rất nhiều nhà cung cấ ường lửa phần mềm mà bạn có thể sử dụng

nếu bạn dùng các phiên bả W o s rư đâ á à u ấ ũ á

CDTH13QN Trang 5

loạ ường lửa khác có thể sử dụ r W o s X ư đâ là nh sách một số nhà cung cấp:

o Internet Security Systems (ISS): BlackICE PC Protection

o Network Associates: McAfee Personal Firewall

o Symantec: Norton Personal Firewall

o Tiny Software: Tiny Personal Firewall

o Zone Labs: ZoneAlarm

Đặ ểm c a Firewall m m: Tính linh hoạ o ư là ể thêm, b t các

quy tắc, các chứ r ll mềm hoạ động tầ o ơ r ll ứng (tầng ứng dụng) Firewal mềm có thể kiểm r được nội dung của gói tin (thông qua các từ khóa)

Ví dụ v Firewall m m: Zone Alarm, or o r ll…

1.4 N n n Firewall:

Firewall hoạ động chặt chẽ v i giao thức TCP/IP, vì giao thức này làm

vi c theo thuật toán chia nhỏ các dữ li u nhậ được từ các ứng dụng trên mạng,

í xá ơ là á ịch vụ chạy trên các giao thức (Telnet, SMTP, , , … à á ữ li u (data packets) r i gán cho các packet này nhữ địa chỉ có thể nhận dạng, tái lập lại đí ần gử đế , o đ các loạ r ll ũ l qu rất nhiều đến các packet và những con số địa chỉ của chúng Bộ l c packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ li u để quyế đị x m đoạn dữ li u đ thỏa mãn một trong số các luật l của l c packet hay không Các luật l l c packet này là d a trên các thông tin đầu mỗ k ( r , để cho phép truyề á k đ trên mạng Bao g m:

o ịa chỉ ơ xuất phát (Source)

Nếu packet thỏa các luật l đ được thiết lậ rư c của Firewall thì

k đ được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Vi c kiểm soát các cổng làm cho Firewall có khả g chỉ cho phép một số loại kết nối nhất

đị được phép m ào được h thống mạng cục bộ ũ lưu là o c kiểm tra d a trên header của các packet nên bộ l c không kiểm soá được nội dụng thông tin của packet Các packet chuyển qua vẫn có thể mang theo những

à đặ á đoạ m để tấn công file dữ li u trên máy tính Chúng có thể sử dụng máy tính cuả bạ để tấn công một máy tính củ đì oặc doanh nghi p khác kết nối Internet Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độ rư k đến h thống của bạn

1.5.1 ả ?

Nhi m vụ ơ ản của FireWall là bảo v những vấ đề sau :

o Dữ li u: Những thông tin cầ được bảo v do những yêu cầu về tính bảo mât, tính toàn vẹn và tính kịp thời

o Cách thứ nhấ là ươ á mật kh u tr c tiếp Thông

qu á ươ rì ìm mật kh u v i một số thông tin về ười

sử dụ ư à s , uổ , địa chỉ … à kết hợp v i thư n do ười dùng tạo ra, kẻ tấn công có thể được mật kh u của bạn Trong một số rường hợp khả à ô ể lên t i 30%

Ví dụ ư ươ rì ìm mật kh u chạy trên h đ ều hành

Unix có tên là *****

Có thể biế được tên, mật kh u, các thông tin chuyền qua mạng thông

qu á ươ rì o é đư ỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ á ô lưu ru ền qua mạng

 Giả m ịa chỉ IP:

à k r ườ á à để mạo danh là máy tính hợp pháp

nhằm chiếm quyề đ ều khiển trình duy t web trên máy tính bị tấn công

 Vô hi u hoá các ch năn a h th ng (deny service):

â là k ểu tấn công nhằm làm tê li t toàn bộ h thống không cho nó

th c hi n các chứ mà được thiết kế Kiểu tấn công này không thể

mì ều à đ ỏ ười quản trị mạng phải có kiến thức tốt về bảo mật

mạ để có thể giữ vững an toàn cho thông tin của h thố ối v ười dùng cá nhân, h không thể biết hết các thủ thuậ để t xây d ng cho mình một

r ll, ư ũ ểu rõ tầm quan tr ng của bảo mật thông tin cho

mỗ á â , qu đ tìm hiểu để biết một số cách phòng tránh những s tấn

ô đơ ản của các hacker Vấ đề là ý thứ , k đ ứ để phòng

tránh thì khả oà sẽ o ơ

CDTH13QN Trang 8

CHƯƠNG : NHỮNG TH ẾT Ế CƠ ẢN C R 2.1 Dual-homed Host:

Firewall kiến trúc kiểu Dual- om os được xây d ng d a trên máy tính dual-homed host Mộ má í được g i là dual-homed host nếu nó có ít nhấ ork rf , ĩ là má đ ắn hai card mạng giao tiếp

v i hai mạ k á u, o đ má í à đ r là rou r mềm Kiến trúc dual - homed host rấ đơ ản, máy dual - homed host giữa, một bên được nối v i internet và bên còn lại n i v i mạng nội bộ (mạng cầ được bảo

v )

G m á đặ đ ểm sau:

o Phải disable chứ rou ủa dual- om os để cấm hòan

oà lưu ông IP từ ngòai vào

o Các h thống bên trong và bên ngoài dual-homed host chỉ có thể liên lạc v i dual-homed host mà chúng không liên lạc tr c tiế được v i nhau

o Dual-homed host cung cấp dịch vụ thông qua proxy server hoặc login tr c tiếp vào dual-homed host

2.2 n ú S n H :

Trong kiến trúc này chứ ảo mậ í được cung cấp b i chức

k f l r ại screening router

CDTH13QN Trang 9

k f l r r s r rou r được setup sao cho bastion host là máy duy nhất trong internal network mà các host trên internet có thể m kết nối

đế k f l r ũ o é s o os m các kết nối(hợp pháp) ra bên ngoài(external network)

ường Packet filtering th c hi n các công vi ư s u :

o Cho phép các internal hosts m kết nố đế á os r r đối

v i một số dịch vụ được phép

o Cấm tất cả kết nối từ các internal hosts

k r đ ấ ô được vào bastion host thì không còn một rào chắn nào cho các internal hosts

2.3 n ú S n S n H

Thêm môt perim r ork để cô lập internal network v i internet

ư ậ k r đ ấ ô được vào bastion host vẫn còn một rào chắn nữa phả ượ qu là r or rou r á lưu ô ro r l ork được bảo v oà o s o đ ị“ ếm” á ịch vụ nào ít tin cậy và có khả ễ bị tấ ô ì để r m r ork s o os là đ ểm liên lạc cho các kết nối từ oà ào ư: ; , đối v i vi c truy cập các dịch vụ từ r l l s đế á s r r r r ì được

đ ều khiể ư s u :

o Set up packet filtering trên cả x r or à r or rou r để cho phép internal clients truy cập các servers bên ngoài một cách tr c tiếp

o u rox s r r r s o os để cho phép internal clients truy cập các servers bên ngoài một cách gián tiếp

CDTH13QN Trang 10

2.4 Sử ụn n n H :

V i mô hình này thì tố độ đá ứng cho nhữ ười sử dụng bên trong (local user) một phầ ào đ k ô ị ả ư ng b i những hoạ động của ười sử dụng bên ngoài mạng (external user)

CDTH13QN Trang 11

2.5 Ki n trúc ghép chung Router trong và Router ngoài:

Router phải cho phép áp dụng các luậ o k đ ô à đ r

trên mỗi interface

Do ghép chung router trong và router ngoài nên kiến trúc này làm giảm

đ l p bảo v mạng bên trong, có thể nói kiến trúc ghép chung router trong và

router ngoài nằm giữa kiến trúc Screened host và Screened Subnet host

CDTH13QN Trang 12

2.6 n ú n n H à R n à :

Kiến trúc này chỉ sử dụng cho mạng chỉ có mộ đường nối dùng giao

thức SLIP hoặc PPP ra internet

Kiểu ghép chung Bastion host và router ngoài (Exterior router) này gần

giống v i Screened Subnet Host Nó cho tố độ đá ứ ường thấ ư mà

vẫn có thể chấp nhậ được do tố độ đường truyền thấp, chứ l c của

router ngoài ít, chứ l c gói chủ yếu là router trong

CDTH13QN Trang 13

CDTH13QN Trang 14

CHƯƠNG : C C THÀNH HẦN À CƠ CHẾ H ẠT ĐỘNG C

FIREWALL .1 ọ ó ( k n ):

1.1 N n n :

đến vi lưu ô ữ li u giữa các mạng v i nhau thông

qu r ll ì đ ều đ ĩ rằng Firewall hoạ động chặt chẽ v i giao thức TCI/IP Vì giao thức này làm vi c theo thuật toán chia nhỏ các dữ li u nhậ được từ các ứng dụng trên mạ , í xá ơ là á ịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ

li u (data pakets) r i gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại đí ần gử đế , o đ á loạ r ll ũ l qu rất nhiều đến các packet và những con số địa chỉ của chúng

Bộ l c packet cho phép hay từ chối mỗi packet mà nó nhậ được Nó kiểm tra toàn bộ đoạn dữ li u để quyế đị x m đoạn dữ li u đ oả mãn một trong số các luật l của l c packet hay không Các luật l l c packet này là

d a trên các thông tin đầu mỗ k ( k r , để cho phép truyề á k đ trên mạ là:

o ịa chỉ ơi xuất phát (Source)

vi c truy cập vào h thống mạng nội bộ từ nhữ địa chỉ k ô o é ơ nữa, vi c kiểm soát các cổng làm cho Firewall có khả ỉ cho phép một số loại kết nối nhấ định vào các loại máy chủ ào đ , oặc chỉ có những dịch vụ

ào đ ( l , , được phép m i chạ được trên h thống mạng cục bộ