1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiểu GNS3 và triển khai firewall ASA 5515 x

43 772 6

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 43
Dung lượng 2,82 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin.Vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Trong quá trình làm đồ án, được sự hướng dẫn tận tình của thầy Dương Thi Thu Hiền cùng với sự giúp đỡ của bạn bè, em đã có thêm nhiều điều kiện để tìm hiểu về mạng máy tính, về vấn đề an toàn trong mạng máy tính cũng như thiết bị Firewall ASA 5515X. Đó cũng là đề tài mà em muốn nghiên cứu và trình bày trong báo này.

Trang 1

LỜI MỞ ĐẦU

Hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu trong mọi hoạt độngliên quan đến việc ứng dụng công nghệ thông tin.Vai trò to lớn của việc ứng dụngCNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ mà thực sự

đã được xem như là giải pháp cho nhiều vấn đề Internet cho phép chúng ta truy cậptới mọi nơi trên thế giới thông qua một số dịch vụ Ngồi trước máy tính của mình bạn

có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tínhcủa bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước Dovậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm

Trong quá trình làm đồ án, được sự hướng dẫn tận tình của thầy Dương Thi ThuHiền cùng với sự giúp đỡ của bạn bè, em đã có thêm nhiều điều kiện để tìm hiểu vềmạng máy tính, về vấn đề an toàn trong mạng máy tính cũng như thiết bị FirewallASA 5515-X Đó cũng là đề tài mà em muốn nghiên cứu và trình bày trong báo này.Nội dung chính của báo cáo gồm 3 chương

Chương 1: Tổng quan về Firewall

Chương 2: Gới thiệu Firewall ASA và phần mềm GNS3

Chương 3: Triển khai các chính sách trên Firewall ASA 5515-X

Đề tài này đề cập đến một vấn đề khá lớn và tương đối phức tạp, đòi hỏi nhiềuthời gian và kiến thức về lý thuyết cũng như thực tế Do thời gian nghiên cứu chưađược nhiều và trình độ bản thân còn hạn chế nên báo cáo không tránh khỏi những saisót nhất định Em rất mong nhận được sự hướng dẫn, chỉ bảo của các thầy, cô để giúp

em bổ sung vốn kiến thức và có thể tiếp tục nghiên cứu đề tài nêu trên một cách tốthơn, hoàn chỉnh hơn

Em xin chân thành cám ơn!

Trang 2

MỤC LỤC

LỜI MỞ ĐẦU i

MỤC LỤC ii

DANH MỤC HÌNH ẢNH iv

CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL 1

1.1 Sơ lược về Firewall 1

1.2 Phân loại Firewall 2

1.2.1 Firewall cứng 2

1.2.2 Firewall mềm 3

1.3 Kiến trúc Firewall 6

1.3.1 Kiến trúc Dual – homed Host 6

1.3.2 Kiến trúc Screened Host 7

1.3.3 Kiến trúc Screened Subnet Host 9

1.3.4 Sử dụng nhiều Bastion Host 10

1.3.5 Kiến trúc ghép chung Router trong (Interior Router) và Router ngoài (Exterior Router) 12

1.3.6 Kiến trúc ghép chung Bastion Host và Router ngoài (Exterior Router) 12

1.4 Các thành phần và cơ chế hoạt động 13

1.4.1 Bộ lọc paket (Paket filtering router) 13

1.4.2 Cổng ứng dụng (application-level getway) 15

1.4.3 Cổng vòng (circuit-Level Gateway) 16

CHƯƠNG 2 : TIỀM HIỀU FIREWALL ASA VÀ PHẦN MỀM GNS3 18

2.1 Giới thiệu sơ lược ASA 5515 18

2.2 Giới thiệu phần mềm GNS3 21

2.3 Hướng dẫn sử dụng GNS3 22

2.3.1 Hướng dẫn cài đặt GNS3 22

2.3.2 Mô hình bài toán mẫu thực hiện trên GNS3 29

2.3.3 Chi tiết các bước cấu hình trên GNS3 30

CHƯƠNG 3:TRIỂN KHAI CÁC CHÍNH SÁCH TRÊN FIREWALL ASA 5515-X 34

3.1 Mô hình bài toán 34

Trang 3

3.2 Các bước cấu hình 34

3.2.1 Cấu hình trên Router 1 34

3.2.2 Cấu hình trên Router 2 34

3.2.3 Cấu hình trên ASA 35

KẾT LUẬN 37

TÀI LIỆU THAM KHẢO 38

Trang 4

DANH MỤC HÌNH ẢNH

Hinh 1.1 mô hinh Firewall cơ bản 2

Hinh 1.3 Zone Alarm 4

Hinh 1.3 mô hinh Firewall mềm 4

Hình 1.4 Windows Firewall 5

Hình 1.5 Sơ đồ kiến trúc Dual–homed Host 6

Hình 1.6 Sơ đồ kiến trúc Screened Host 8

Hình 1.7 Sơ đồ kiến trúc Screened Subnet Host 9

Hình 1.8 Sơ đồ kiến trúc sử dụng 2 Bastion Host 11

Hình 1.9 Sơ đồ kiến trúc ghép chung Router trong và Router ngoài 12

Hình 1.10 Sơ đồ kiến trúc ghép chung Bastion Host và Router ngoài 13

Hình 1.11 Bộ lọc gói tin trên Firewall 14

Hình 1.12 Kết nối qua cổng vòng 17

Hình 2.1 Cisco Firewall ASA 5515-X 18

Hình 2.2 Thông số cơ bản ASA 5515-X 18

Hình 2.3 GNS3 Cisco 22

Hình 2.4Cài đặt Wincap: 23

Hình 2.5 cài đặt WinPcap 24

Hình 2.5 đang cai WinPcap 24

Hình 2.6 Cài GNS3 25

Hình 2.7 Cài đặt dynamic and dynagen 25

Hinh 2.8 Hoàn Thành cài đặt 26

Hình 2.9 Kiểm tra GNS3 26

Hinh 2.10 Kiểm đường dẫn GNS3 27

Hinh 2.11 Hoàn thành cài phần mềm 28

Hinh 2.12 Giao diện GNS3 29

Hinh 2.13 mồ hình bài toán 30

Hinh 3.14 mô hình trên GNS3 30

Hinh 2.15 cấu hinh IP cho PC1 31

Hinh 2.16 cấu hinh IPcho PC2 31

Hinh 2.17 cấu hình PC3 31

Hinh 2.18 cấu hinh IP cho PC4 32

Trang 5

Hinh2.19 cấu hinh R1 32

Hinh 3.30 cấu hình R2 32

Hinh 3.21 ping PC1 cho PC3 33

Hình 3.1 Mô hình thực hiện 34

Trang 6

CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL

1.1 Sơ lược về Firewall

- Firewall là một thiết bị – hay một hệ thống – điều khiển truy cập mạng, nó cóthể là phần cứng hoặc phần mềm hoặc kết hợp cả hai

- Firewall thường được đặt tại mạng vành đai để đóng vai trò như cổng nối(gateway) bảo mật giữa một mạng tin cậy và mạng không tin cậy, có thể giữa Internet

và Internet hoặc giữa mạng của doanh nghiệp chủ với mạng của đối tác

Một số ưu điểm của Firewall

+ Firewall được thiết kế để ngăn chặn tất cả các lưu lượng không được phép và chophép các lưu lượng được phép đi qua nó, bảo vệ tài nguyên

• Sừ dụng quy tắc kiểm soát truy cập

• Kiêm tra trạng thái gói tin

• Dùng application proxies

+Ghi nhận báo cáo sự kiện trong mạng: ta có thể nghi nhận các sự kiện của Firewallbằng nhiều cách nhừng hầu hết các Firewall sử dụng hai phương pháp chính là syslog

và proprietaly logging formamt

+Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Internet vàInternet, Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Internet) vàmạng Internet :là việc đâu tiên và cơ bản nhất mà tất cả các firewall đều có là quản lý

và kiểm soát luồng dũa liệu trên mạng, firewall kiểm tra các gói tin giám sát các kếtnối đang thực hiện và sau đó lọc các kết nối dựa trên kêt quả kiểm tra gói tin và các kếtnối được giám sát, kiêm tra gói tin có thể dựa trên các thông tin sau

Trang 7

+ Xác thực quyền truy cập: Firewall co thể có thể xác định quyền truy cập bằng nhiêu

cơ cấu khác nhau

• Thư nhất firewall có có quyền yêu cầu username và password của ngườidùng khi người dùng truy cập

• Thứ hai firewall có thể xác thực người dùng bằng certificates và publickey

• Thứ ba firewall có thể dùng pre-shared keys (PSKs) để xác thực ngườidùng

Những hạn chế của Firewall

Tuy firewall co những ưu điểm nhưng vẫn tồn tại một số hạn chế sau

- Firewall không bảo vệ chống lại các cuộc tấn công bỏ qua tường lửa vdmột hệ thống bên trong có khả năng dial-out kết nối với ISP hoạc mạngLAN bên trong có thể cung cấp một modem pool có khả năng dial-in chocác nhân viên di động hay các kiểu tấn công dạng social engineeringnhằm đếm đối tượng là các người dùng trong mạng

- Firewall không bảo vệ chống lại các mối đe dọa trong nội bộ, vd nhưmột nhân viên cố ý hoặc vô tình hợp tác với kẻ tấn công bên ngoài

- Firewall không thể bảo vệ chống lại việc truy cập giữa các chương trình

bị nhiểm vius hoặc các tập tin, bởi sự đa dạng của các hệ điều hành vàcác ứng dụng được hổ trợ tư bên trong nội bộ

Hinh 1.1 mô hinh Firewall cơ bản

1.2 Phân loại Firewall

1.2.1 Firewall cứng

Firewall cứng: Là những firewall được tích hợp trên Router

+ một số loại Firewall Một số loại Firewall cứng như: ASA, PIX, Fortinet, Juniper…

Trang 8

+ Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)

- Firewall cứng không thể kiểm tra được nột dung của gói tin

Hình 1.2 Firewall cứng

1.2.2 Firewall mềm

- Firewall mềm: Là những Firewall được cài đặt trên Server hoặc là những phầnmềm riêng biệt Windows Firewall là Firewall mềm khá phổ biến và có trong tất cảcác máy tính chạy Windows

- Một số Firewall mềm như ISA server,Zone Alarm, Norton firewall,các phầnmềm antivirut hay các hệ điều hành đều có tính năng firewall…

+ Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).-Hoạt động ở tầng Application

-Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- vidu Firewall mềm: Zone Alarm, Noton Firewall

Trang 9

Hinh 1.3 Zone Alarm

Hinh 1.3 mô hinh Firewall mềm

Trang 10

Hình 1.4 Windows Firewall

Trang 11

1.3 Kiến trúc Firewall

1.3.1 Kiến trúc Dual – homed Host

Hình 1.5 Sơ đồ kiến trúc Dual–homed Host

• Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệmạng nội bộ Dual–homed Host là một máy tính có hai giao tiếp mạng: một nốivới mạng cục bộ và một nối với mạng ngoài (Internet)

• Hệ điều hành của Dual–homed Host được sửa đổi để chức năng chuyển các góitin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động Để làmviệc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phảilogin vào Dual–homed Host, và từ đó bắt đầu phiên làm việc

1.3.1.1 Ưu điểm của Dual–homed Host

• Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt

• Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thôngthường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành

là đủ

1.3.1.2 Nhược điểm của Dual–homed Host

• Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng nhưnhững hệ phần mềm mới được tung ra thị trường

Trang 12

• Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân

nó, và khi Dual–homed Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấncông vào mạng nội bộ

1.3.1.3 Đánh giá về kiến trúc Dual–homed Host

Để cung cấp dịch vụ cho những người sử dụng internal network có một số giảipháp như sau:

− Kết hợp với các Proxy Server cung cấp những Proxy Service

− Cấp các account cho user trên máy dual–homed host này và khi mà người sửdụng muốn sử dụng dịch vụ từ Internet hay dịch vụ từ external network thì họ phảilogging in vào máy này

Nếu dùng phương pháp cấp account cho user trên máy dual– homed host thìuser không thích sử dụng dịch vụ phiền phức như vậy, vì mỗi lần họ muốn sử dụngdịch vụ thì phải loging in vào máy khác (dual homed host) khác với máy của họ đây làvấn đề rất là không trong suốt với người sử dụng

Nếu dùng Proxy Server : Khó có thể cung cấp được nhiều dịch vụ cho người sửdụng vì phần mềm Proxy Server và Proxy Client không phải loại dịch vụ nào cũng cósẵn Hoặc khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống có thểgiảm xuống vì tất cả các Proxy Server đều đặt trên cùng một máy

Một khuyết điểm cơ bản của hai mô hình trên nữa là: khi mà máy dual –homedhost nói chung cũng như các Proxy Server bị đột nhập vào Người tấn công (attacker)đột nhập vào được qua nó thì lưu thông bên trong internal network bị attacker này thấyhết điều này thì hết sức nguy hiểm Trong các hệ thống mạng dùng Ethernet hoặcToken Ring thì dữ liệu lưu thông trong hệ thống có thể bị bất kỳ máy nào nối vàomạng đánh cắp dữ liệu cho nên kiến trúc trên chỉ thích hợp với một số mạng nhỏ

1.3.2 Kiến trúc Screened Host

Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services

• Packet Filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sửdụng Proxy Server, bắt người sử dụng nếu muốn dùng dịch vụ thì phải kếtnối đến Proxy Server mà không được bỏ qua Proxy Server để nối trực tiếpvới mạng bên trong/bên ngoài (internal/external network), đồng thời có thểcho phép Bastion Host mở một số kết nối với internal/external host

• Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một sốdịch vụ hệ thống cung cấp cho người sử dụng qua Proxy Server

Trang 13

Hình 1.6 Sơ đồ kiến trúc Screened Host

Đánh giá một số ưu, khuyết điểm chính của kiến trúc Screened Host

Kiến trúc screened host hay hơn kiến trúc dual–homed host ở một số điểm cụ thểsau:

Dual–Homed Host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiềudịch vụ, vi phạm qui tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năngnếu có thể được (mỗi phần tử nên giữ ít chức năng càng tốt), cũng như tốc độ đáp ứngkhó có thể cao vì cùng lúc đảm nhận nhiều chức năng

Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máyriêng biệt Packet Filtering chỉ giữ chức năng lọc gói nên có thể kiểm soát, cũng nhưkhó xảy ra lỗi (tuân thủ qui tắc ít chức năng) Proxy Servers được đặt ở máy khác nênkhả năng phục vụ (tốc độ đáp ứng) cũng cao

Cũng tương tự như kiến trúc Dual–Homed Host khi mà Packet Filtering systemcũng như Bastion Host chứa các Proxy Server bị đột nhập vào (người tấn công độtnhập được qua các hàng rào này) thì lưu thông của internal network bị người tấn côngthấy

Từ khuyết điểm chính của 2 kiến trúc trên ta có kiến trúc thứ 3 sau đây khắc phụcđược phần nào khuyết điểm trên

Trang 14

1.3.3 Kiến trúc Screened Subnet Host

Hình 1.7 Sơ đồ kiến trúc Screened Subnet Host

Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và mộtBastion Host Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật:Network và Application trong khi định nghĩa một mạng perimeter network Mạngtrung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạngnội bộ Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạngnội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sựtruyền trực tiếp qua mạng DMZ là không thể được

Với những thông tin đến, Router ngoài (Exterior Router) chống lại những sự tấncông chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ Nó chỉ chophép hệ thống bên ngoài truy nhập Bastion Host Router trong (Interior Router) cungcấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với nhữngtruyền thông bắt đầu từ Bastion Host

Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ

Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion Quy luật Filtering trênRouter ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra bắtnguồn từ Bastion Host

Ưu điểm:

• Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Routertrong

Trang 15

• Bởi vì Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống mạngnội bộ là không thể nhìn thấy (invisible) Chỉ có một số hệ thống đã được chọn ra trênDMZ là được biết đến bởi Internet qua routing table và DNS information exchange( Domain Name Server ).

• Bởi vì Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ thốngtrong mạng nội bộ không thể truy nhập trực tiếp vào Internet Điều nay đảm bảo rằngnhững user bên trong bắt buộc phải truy nhập Internet qua dịch vụ Proxy

Đánh giá về kiến trúc Screened Subnet Host:

Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiềungười sử dụng đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụngtrong hệ thống và dữ liệu trao đổi giữ các người dùng trong hệ thống cần được bảo vệthì kiến trúc cơ bản trên phù hợp

Để tăng độ an toàn trong internal network, kiến trúc screen subnet ở trên sử dụngthêm một mạng DMZ (DMZ hay perimeter network) để che phần nào lưu thông bêntrong internal network Tách biệt internal network với Internet

Sử dụng 2 Screening Router : Exterior Router và Interior Router

Áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ hayperimeter network) càng tăng khả năng bảo vệ càng cao

Ngoài ra, còn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host,ghép chung Router trong và Router ngoài, ghép chung Bastion Host và Router ngoài

1.3.4 Sử dụng nhiều Bastion Host

Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũngnhư tách biệt các Servers khác nhau

Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong(internal user), như dịch vụ SNMP Server, Proxy Servers …

Sử dụng 1 Bastion Host khác cung cấp dịch vụ cho Internet hoặc những người sửdụng bên ngoài (external user) sẽ sử dụng Như là Anonymous FTP Server mà Servernày những người sử dụng bên trong (local users) không truy xuất đến

Trang 16

Hình 1.8 Sơ đồ kiến trúc sử dụng 2 Bastion Host

Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user)một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những người

sử dụng bên ngoài (external users)

Cũng có thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nào đó đểtăng tốc độ đáp ứng (performance), nhưng việc này cũng khó cân bằng tải giữa cácServer trừ khi đoán trước được mức độ sử dụng

Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi

mà một Bastion Host hỏng thì có cái khác thay thế Nhưng chỉ có một số loại dịch vụtrợ giúp dạng này: DNS Server, SMTP Server, có thể dùng nhiều Bastion Host làmDNS Server , SMTP Server Khi một Bastion Host hỏng hoặc quá tải, những yêu cầu

về DNS Server và SNMP sẽ được dùng qua Bastion Host khác như là một fallbacksystem

Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiềumạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau

Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào

đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt Ví Dụ : Tách HTTPServer và FTP Server trên 2 máy riêng biệt

Trang 17

1.3.5 Kiến trúc ghép chung Router trong (Interior Router) và Router ngoài

(Exterior Router)

Sử dụng kiến trúc này thì cần tăng tốc độ của máy làm Router

Hình 1.9 Sơ đồ kiến trúc ghép chung Router trong và Router ngoài

Kiến trúc này gần giống với Screened Host trong trường hợp khi màexterior/interior Router bị đột nhập vào thì lưu thông trong mạng bên trong sẽ bị lộ rabên ngoài nhưng tốt hơn Screened Host đó là nó cũng sử dụng thêm một mạng bênngoài Mạng bên ngoài sẽ chứa các Server có thể nối ra Internet mà nếu các Server này

bị đột nhập thì lưu thông của mạng bên trong cũng không bị lộ ra bên ngoài Kiến trúcnày cũng gần giống với Screened Subnet nhưng mà exterior Router và interior Routerđược ghép chung nên nó giảm đi số lớp bảo vệ Nói chung, kiến trúc ghép chunginterior Router và exterior Router ở trung gian giữa hai kiến trúc này

1.3.6 Kiến trúc ghép chung Bastion Host và Router ngoài (Exterior Router)

Kiến trúc này sử dụng cho mạng chỉ có một đường nối dùng nghi thức SLIP hoặcPPP ra Internet

Trang 18

Hình 1.10 Sơ đồ kiến trúc ghép chung Bastion Host và Router ngoài

Kiến ghép chung Bastion Host và Router ngoài (Exterior Router) này gần giốngvới Screened Subnet Nó cho tốc độ đáp ứng thường thấp nhưng mà vẫn có thể chấpnhận được do tốc độ đường truyền thấp, chức năng lọc của Router ngoài ít, chức nănglọc gói chủ yếu là Router trong

1.4 Các thành phần và cơ chế hoạt động

Một FireWall hoàn chỉnh bao gồm các thành phần sau :

+ Bộ lọc packet (packet- filtering router)

+ Cổng ứng dụng (Application-level gateway hay proxy server)

+ Cổng mạch (Circuite level gateway)

1.4.1 Bộ lọc paket (Paket filtering router)

• Nguyên lý hoạt động

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewallthì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giaothức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trênmạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP,DNS, SMNP, NFS ) thành các gói dữ liệu (data pakets) rồi gán cho các paket nàynhững địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loạiFirewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

Trang 19

Hình 1.11 Bộ lọc gói tin trên Firewall

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số cácluật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ởđầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng

Đó là:

- Địa chỉ IP nơi xuất phát ( IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP ( ICMP message type)

- Giao diện packet đến ( incomming interface of packet)

- Giao diện packet đi ( outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall Nếukhông packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vàocác máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thốngmạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làmcho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máychủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mớichạy được trên hệ thống mạng cục bộ

• Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểmcủa phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao

Trang 20

gồm trong mỗi phần mềm router

- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vìvậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

1.4.2 Cổng ứng dụng (application-level getway)

• Nguyên lý hoạt động

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt độngcủa nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệtcài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxycode cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đókhông thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấuhình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho làchấp nhận được trong khi từ chối những đặc điểm khác

Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì

nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảmbảo an ninh của một bastion host là:

- Bastion host luôn chạy các version an toàn (secure version) của các phần mềm

hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mụcđích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợpfirewall

- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặttrên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bịtấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet,DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host

- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như userpassword hay smart card

Trang 21

- Mỗi proxy duy trì một quyển

- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủnhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉđúng với một số máy chủ trên toàn hệ thống

- Nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối,khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngănchặn kẻ phá hoại

- Mỗi proxy đều độc lập với các proxy khác trên bastion host Điều này cho phép

dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để

• Ưu điểm

- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thểtruy nhập được bởi các dịch vụ

- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nàocho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là cácdịch vụ ấy bị khoá

- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chéplại thông tin về truy nhập hệ thống

- Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn sovới bộ lọc packet

• Hạn chế

Yêu cầu các user thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máyclient cho truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứngdụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi Tuy nhiên,cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trongsuốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trênlệnh Telnet

1.4.3 Cổng vòng (circuit-Level Gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứngdụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiệnbất kỳ một hành động xử lý hay lọc packet nào

Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng Cổngvòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm

Ngày đăng: 13/06/2017, 12:15

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w