Đề cương quản trị mạng nâng cao (ĐHCQ)

4 CHƯƠNG I: TÔ ̉NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG MỤC TIÊU Học xong chương này sinh viên có thể: o Trình bày được một số nguy cơ và mục tiêu trong bảo mật hệ thống

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN

GIÁO TRÌNH QUẢN TRỊ

MẠNG NÂNG CAO TRÌNH ĐỘ ĐÀO TẠO: ĐẠI HỌC

NGÀNH ĐÀO TẠO: CÔNG NGHỆ THÔNG TIN

(INFORMATION TECHNOLOGY)

JULY 6, 2016

FIT-UTEHY (LƯU HÀNH NỘI BỘ)

MỤC LỤC

CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 4

1.1 Tổng quan về bảo mật mạng 4

1.1.1 Nguy cơ bảo mật trong mạng thông tin 4

1.1.2 Mục tiêu bảo mật 4

1.2 Tổng quan về AAA 5

1.2.1 Điều khiển truy nhập – Access Control 6

1.2.2 Xác thực 7

1.2.3 Kiểm tra quản lý – Auditing 17

1.3 Các thiết bị hạ tầng mạng 18

1.3.1 Tường lửa - Firewall 18

1.2.2 Bộ định tuyến – Router 19

1.2.3 Bộ chuyển mạch – Switch 19

1.2.4 Bộ cân bằng tải 19

1.2.5 Proxies 19

1.2.6 Cổng bảo vệ Web (Web Security Gateway) 20

1.2.7 Hệ thống phát hiện xâm nhập 20

CHƯƠNG 2: TƯỜNG LỬA - FIREWALL 21

2.1 Tổng quan về Firewall 21

2.1.1 Khái niệm về Firewall 21

2.1.2 Mục đích của Firewall 21

2.1.3 Phân loại FIREWALL 23

2.1.4 Mô hình kiến trúc của FIREWALL 27

2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables 33

2.2.1 ISA 2006 33

2

2.2.2 TMG 2010 39

2.2.3 Iptables 42

2.3 Tường lửa cứng ASA 45

2.3.1 Giới thiệu về ASA 45

2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng 46

CHƯƠNG 3: CÔNG NGHỆ VPN 55

3.1 Tổng quan về VPN 55

3.1.1 Khái niệm 55

3.1.2 Lợi ích của VPN 56

3.1.3 Chức năng của VPN 56

3.1.4 Các thành phần cần thiết tạo nên kết nối VPN 57

3.1.5 Phân loại VPN 57

3.2 Một số giao thức mã hóa trong VPN 59

3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) 60

3.2.2 Giao thức đường hầm điểm điểm - PPTP 62

3.2.2.1 PPP và PPTP 63

3.2.2.2 Cấu trúc gói của PPTP 64

3.2.2.3 Đường hầm 67

3.2.3 Giao thức đường hầm lớp 2 – L2TP 68

3.2.4 Giao thức IP Sec 73

CHƯƠNG 4: HỆ THỐNG MAIL SERVER 84

4.1 Tổng quan về hệ thống Email 84

4.1.1 Khái niệm và các thành phần của Email 84

4.1.2 Một số giao thức trong Email 88

4.2 MS.Exchange Server 2010 92

4.2.1 Giới thiệu về MS.Exchange Server 2010 92

4.2.2 Một số đặc điểm của MS.Exchange 2010 92

4.3 MailServer Mdaemon 96

CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG 98

5.1 Tổng quan về giám sát mạng 98

5.1.1 Khái niệm 98

5.1.2 Các lĩnh vực cần phải giám sát trong hệ thống mạng 99

5.2 Giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng 101

5.2.1 Giao thức quản lý mạng đơn giản – SNMP 101

5.2.2 Một số phần mềm giám sát mạng thường gặp 106

4

CHƯƠNG I: TÔ ̉NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ

TẦNG MẠNG

MỤC TIÊU

Học xong chương này sinh viên có thể:

o Trình bày được một số nguy cơ và mục tiêu trong bảo mật hệ thống công nghệ thông tin

o Hiểu và giải thích được một số phương thức chứng thực

o Trình bày và phân tích được ba yếu tố AAA trong bảo mật hệ thống

o Phân biệt được các thiết bị hạ tầng mạng thường gặp trong một hệ thống

mạng

o Rèn luyện tính tư duy logic

1.1 Tổng quan về bảo mật mạng

1.1.1 Nguy cơ bảo mật trong mạng thông tin

Nguy cơ bảo mật (Threat) - là một hoặc một chuỗi các sự kiện hoặc hành động nào đó có thể gây hại hoặc ảnh hưởng không tốt cho các mục tiêu bảo mật Thể hiện thực tế của nguy cơ bảo mật là một cuộc tấn công vào mạng

Lỗ hổng bảo mật (Vulnerability Security) – Là các “lỗi” của phần mềm hoặc hệ thống mà có thể bị kẻ tấn công lợi dụng, khai thác và ảnh hưởng tới an toàn thông tin của hệ thống

Chống nguy cơ làm sai lệch và thay đổi tình cờ trong các giao dịch tài chính

Xác nhận tính hợp pháp của các giao dịch của khách hàng

Bảo mật cho các số nhận dạng cá nhân (PIN)

Đảm bảo tính riêng tư cho khách hàng trong giao dịch

• Thương mại điện tử

Đảm bảo tính toàn vẹn trong giao dịch

Đảm bảo tính riêng tư cho doanh nghiệp

Cung cấp chữ ký điện tử (electronic signature) cho các giao dịch điện tử

Đảm bảo tính riêng tư, bí mật đối với các thông tin của khách hàng

• Chính phủ

Chống nguy cơ rò rỉ các thông tin nhạy cảm

Cung cấp chữ ký điện tử cho các tài liệu của chính phủ

• Các nhà cung cấp dịch vụ viễn thông công cộng

Giới hạn quyền truy cập vào các chức năng quản trị chỉ dành cho những người có đủ thẩm quyền

Đảm bảo dịch vụ luôn sẵn sàng

Bảo vệ tính riêng tư cho các thuê bao

• Các mạng riêng và mạng doanh nghiệp

Bảo vệ tính riêng tư cho doanh nghiệp và cá nhân

Đảm bảo khả năng xác nhận bản tin

• Tất cả các mạng

Bảo vệ dữ liệu chống lại sự xâm nhập bất hợp pháp

1.1.2.2 Theo kỹ thuật thực hiện

• Tính bí mật (confidentiality)

Đảm bảo chỉ những người có thẩm quyền mới xem được dữ liệu khi truyền đi hoặc lưu giữ

• Tính toàn vẹn của dữ liệu (data integrity)

Phát hiện được bất cứ sự thay đổi nào trong dữ liệu trong khi truyền hoặc lưu giữ

Xác nhận được ai là người tạo ra hoặc thay đổi dữ liệu

• Tính kế toán (accountability)

Xác định trách nhiệm với bất kỳ sự kiện thông tin nào

• Tính sẵn sàng (availability)

Các dịch vụ phải luôn sẵn sàng đáp ứng nhu cầu sử dụng của người dùng

• Truy cập có điều khiển (controlled access)

Chỉ những thực thể có đủ thẩm quyền mới có thể truy cập các dịch vụ hoặc thông tin

1.2 Tổng quan về AAA

AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm tra quản lý– Auditing ) là một nhóm các quá trình được sử dụng để bảo vệ dữ liệu, thiết bị, tính bí mật của các thuộc tính và thông tin AAA cung cấp:

- Tính bí mật (Confidentiality): Một trong những mục tiêu quan trọng nhất của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu Điều này có nghĩa là dữ liệu hay thông tin của người nào thì chỉ người đó được biết và những người khác không được quyền can thiệp vào Trong thực tế, ở những khu vực riêng của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận sự miễn vào” cũng là một hình thức bảo vệ tính riêng tư Đối với dữ liệu truyền để bảo vệ tính riêng tư (Confidentiality) thì dữ liệu thường được mã hóa hay sử dụng các giao thức truyền thông an tòan như SSH, SSL…

6

Hình 1.1: Mục tiêu của bảo mật hệ thống

- Tính toàn vẹn (Integrity): Mục tiêu thứ hai trong bảo mật thông tin là bảo vệ tính toàn vẹn cho dữ liệu Nhằm bảo đảm khi dữ liệu truyền đi không bị thay đổi bởi một tác nhân khác, ví dụ: khi một email quan trọng được gởi đi thì thường được áp dụng các thuật toán bảo vệ tính tòan vẹn như chữ ký số nhằm ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên

- Tính sẵn dùng (Availability) : Các nội dung hay dữ liệu phải luôn sẵn sàng để người dùng có thể truy cập và sử dụng nếu được phép Ví dụ đối với một trang Web phải luôn đảm bảo hoạt đông 24h/1ngày và 7ngày /1tuần để cho người dùng có thể truy cập bất cứ lúc nào

Để đạt được mục tiêu bảo mật AAA đối với dữ liệu và tài nguyên chúng ta cần phải thực hiện ba công việc chính sau đây:

1.2.1 Điều khiển truy nhập – Access Control

Quá trình điều khiển truy cập là rất quan trọng Điều khiển truy cập định nghĩa cách thức người dùng và hệ thống liên lạc như thế nào và theo cách nào Hay nói cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ thống, bao gồm dữ liệu, và do đó bảo vệ thông tin khỏi những truy cập trái phép Điều khiển truy cập bao gồm 3 loại sau:

 Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) là một mô hình tĩnh sử dụng để thiết lập, xác định trước những quyền truy cập cho các tệp trên hệ thống Người quản trị hệ thống thiết lập quyền truy cập với những tham

số và kết hợp chúng với một tài khoản, các tệp hay các tài nguyên của hệ thống MAC sử dụng các nhãn để xác định mức độ quan trọng và áp dụng cho các đối tượng Khi một người dùng cố gắng truy cập vào một đối tượng, nhãn sẽ được kiểm tra để xác định truy cập được phép xảy ra hay bị từ chối Khi sử dụng phương thức điều khiển truy cập này, tất cả các đối tượng đều phải có một nhãn

để xác định quyền truy cập

 Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động

dựa trên định danh của người dùng, trong mô hình này người dùng được gán quyền truy cập với các đối tượng như file, folder thông qua danh sách truy cập (ACL), dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng (creator)

 Điều khiển truy cập dựa trên vai trò: Role – Based Access Control (RBAC) :

RBAC họat động dựa trên công việc của người dùng Người dùng được cấp quyền tùy theo vai trò và công việc đây là mô hình rất thích hợp cho các môi trường làm việc mà nhân sự có nhiều thay đổi

1.2.2 Xác thực

Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định được ai đang truy cập vào hệ thống, và đó có là một người sử dụng hợp lệ hay không Yếu tố xác thực là phần thông tin dùng để xác thực hoặc xác minh nhân dạng (identity) của một người Hệ thống xác thực hay phương thức xác thực dựa trên năm yếu tố sau:

 Những gì bạn biết Ví dụ mật khẩu, mã PIN (Personal Identification Number)

 Những gì bạn có Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ thông minh, hay các thiết bị dùng để định danh

 Những gì là chính bạn Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA

 Những gì bạn làm Ví dụ: một hành động hay chuỗi hành động cần phải thực hiện để hoàn thành xác thực

 Một nơi nào đó bạn ở Ví dụ như dựa vào vị trí đang ở của bạn (hiện nay nhiều hệ thống sử dụng tính toán di động, nên yếu tố xác thực này ít được sử dụng)

Trên thực tế, nếu chỉ dùng một yếu tố để xác thực, độ an toàn sẽ không cao bằng kết hợp nhiều yếu tố với nhau Cũng giống như căn nhà, cửa chính nên được khóa bằng nhiều ổ khóa Nếu lỡ may chúng ta đánh rơi một chiếc chìa khóa, hay kẻ trộm

có thể bẻ gãy một ổ khóa, thì vẫn còn đó những ổ khóa khác, đủ làm nản lòng hoặc chí ít là làm mất thời gian của kẻ trộm hơn khi phá cửa

1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol)

Phương pháp xác thực PAP dựa trên hai yếu tố chính: tên đăng nhập/mật khẩu(username/password) là cách thông dụng nhất để kiểm tra một người dùng có được quyền đăng nhập hoặc có quyền sử dụng tài nguyên hoặc hệ thống hay không Các ứng dụng thực tế của cơ chế này có rất nhiều như việc đăng nhập máy tính trên màn hình logon, đăng nhập hộp thư điện tử…

8

Hình 1.2: Xác thực sử dụng PAP Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của

họ sẽ được chuyển đến một cơ sở dữ liệu để tìm và so sánh vơi các bản ghi (record) trên hệ thống, nếu có sự trùng lặp xảy ra thì đây là người dùng hợp lệ và được đăng nhập hệ thống Trong trường hợp ngược lạ sẽ bị hệ thống từ chối cho phép truy cập Những thuận lợi của phương pháp này là cơ chế họat động đơn giản, dễ ứng dụng Nhưng kém an toàn vì các thông tin như Username & Password được gởi đi dưới dạng văn bản thông thường (clear text) theo các giao thức không mã hóa như Telnet, FTP, HTTP, POP dễ dàng bị bắt lấy (bằng việc sử dụng các phần mềm sniffer như Cain, Ethercap, IMSniff, Password ACE Sniff ) và sẽ bị xem trộm

1.2.2.2 Kerberos

Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa (Cleartext) là thông tin nhạy cảm (username/password) dễ dàng bị đánh cắp bằng các phương pháp nghe lén (Sniffer), tấn công phát lại (Replay attack) hay người đàn ông ở giữa (Man in the middle), vì vậy một hệ thống xác thực mạnh mẽ và an toàn

đã được nghiên cứu bởi học viện MIT(Massachusetts Institute of Technology) trong

dự án Athena và ứng dụng thành công là Kerberos trên các hệ thống Windows 2000/2003/2008/2012, Linux, Unix Mặc dù đây là một hệ thống họat động độc lập không phụ thuộc vào nền của hệ thống nhưng cần có những sự tinh chỉnh riêng để

có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ chẳng hạn SAMBA Với đặc tính này, người dùng chỉ cần chứng thực một lần với Trung tâm phân phối khóa (KDC – Key Distribution Center ) và sau đó có thể sử dụng tất cả các dịch vụ khác đã được tin cậy (trust) theo những quyền hạn thích hợp

mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà mình sử dụng Ví dụ trong mô hình Windows Server 2008 Active Directory, sau khi tham gia và đăng nhập domain các domain user có thể sử dụng các dịch vụ chia sẻ trên

mạng như File hay Print Server mà không cần phải cung cấp tên đăng nhập và mật

khẩu (username và password) khi kết nối đến các máy chủ này như khi họat động

trong môi trường WorkGroup Đây là một ưu điểm lớn của việc ứng dụng Kerberos

nói chúng hay mô hình mạng sử dụng Active Directory nói riêng

Các thành phần chính và cơ bản của một hệ thống kerberos:

Client: Người dùng (user), dịch vụ (service), máy (machine)

KDC : Trung tâm phân phối khóa (Key Distribution Center)

Máy chủ tài nguyên hoặc máy chủ lưu trữ

Hình 1.3: Các thành phần chính của hệ thống chứng thực Kerberos

Để hiểu rõ về cơ chế làm việc của kerberos, chúng ta hãy xét một phiên chứng

thực khi một người dùng đăng nhập vào hệ thống để sử dụng các dịch vụ của hệ

thống đó Bao gồm các bước sau đây:

1 Subject (client –máy khách hay còn gọi là người dùng) cung cấp thông tin

đăng nhập Ví dụ: username và password

2 Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data

Encryption Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC

3 KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket

(TGT— là giá trị hash của password do người dùng (subject) cung cấp với giá trị

timestamp chỉ định thời gian sống (lifetime) của phiên truy cập Giá trị TGT này sẽ

được mã hóa và gửi về cho client)

10

4 Client nhận TGT Tại thời điểm này, người dùng (subject) xem như đã được

chứng thực trong mô hình Kerberos

5 Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu

Service Ticket (ST) sẽ được gởi đến KDC

6 KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ

KDC sẽ cấp ST cho client, giá trị ST này cũng kèm theo một timestame quy định

thời gian sử dụng

7 Client nhận ST từ KDC

8 Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ

printer server

9 Network server (ex Print server) sẽ xác nhận ST Nếu hợp lệ, một kênh truyền

thông sẽ được khởi tạo với client Tại thời điểm này Kerberos sẽ không can thiệp

vào quá trình họat động của client và server nữa

Hình 1.4: Quá trình chứng thực bằng kerberos

Với cơ chế quản lý chứng thực tập trung và có khả năng mở rộng, Kerberos mang lại hiệu quả cao cho các mô hình mạng lớn Trên hệ thống Windows OS, các bạn có thể áp dụng Kerberos cho tổ chức của mình bằng cách triển khai hệ thống Active Directory

1.2.2.3 Challenge Handshake Authentication Protocol (CHAP)

CHAP là giao thức chứng thực được dùng chủ yếu trong các kết nối dial -up (thường là PPP) với mục đích cung cấp một cơ chế truyền thông an tòan cho quá trình đăng nhập của người dùng CHAP sử dụng one-way hash để bảo vệ passwords

và tiến hành xác thực lại (reauthenticates)với các client một cách định kỳ

Hình 1.5: Mô hình xác thực CHAP

Để hổ trợ quá trình đăng nhập và giúp cho client/server có thể xác thực lẫn nhau CHAP khởi tạo một tiến trình xác thực của riêng nó theo trình tư như mô tả dưới đây:

1 Sau khi người dùng nhập các thông tin đăng nhập và gởi đến server (client / server đều sử dụng CHAP), CHAP sẽ tiến hành chức năng one-way hash (MD5, SHA1) dựa trên password được cung cấp của người dùng (subject) Sau đó sẽ chuyển username và giá trị hash đến máy chủ xác thưc(authentication server)

2 Authentication server so sánh username với cơ sở dữ liệu chứa tài khoản cùng với giá trị hash để xác nhận người dùng có hợp lệ hay không

3 Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với

cơ sở dữ liệu trên server thì server sẽ truyền một chuổi thử thách(challenge) đến client

4 Client đáp ứng dựa trên chalenge string và phản hồi đền server

5 Server phản hồi lại client

12

7 Nếu tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép

truyền thông với server

Hình 1.6: Minh họa quá trình xác thực của CHAP Một khi client đã được chứng thực, CHAP sẽ gởi các chuổi ký tự thử thách với thời gian ngẫu nhiên và client có nhiệm vụ phản hồi lại các chuỗi này với các đáp ứng thích hợp nếu không kết nối sẽ tự động ngắt Việc kiểm tra kết nối thông qua các challenge string này giúp cho quá trình truyền thông không bị ảnh hưởng bởi các dạng tấn công cướp phiên(Session Hijacking)

1.2.2.4 Thẻ bài – Token

Token hay thẻ bài là một thành phần vật lý như thẻ thông minh(smartcard) lưu giữ các thông tin xác thực của người dùng Trong các thẻ bài này sẽ chứa các thông tin như mã PIN của người dùng, thông tin và mật mã đăng nhập Chứng thực bằng thẻ bài được cung cấp bởi phần cứng hoặc phần mềm Quá trình chứng thực khi sử dụng thẻ bài bao gồm một số bước:

 Khởi đầu, tại một thời điểm bạn phải có một giá trị thẻ bài ngẫu nhiên(có thể được sinh ra bởi phần cứng, hoặc phần mềm thông qua một thuật toán nào đó)

 Người dùng khi đăng nhập vào hệ thống sẽ phải điền giá trị thẻ bài tại thời điểm

Hình 1.7: Xác thực sử dụng thẻ bài

1.2.2.5 Sinh trắc học – Biometric

Phương pháp xác thực dựa trên sinh trắc học là một phương pháp xác thực an toàn nhất nhưng cũng tôn kém nhất Phương pháp này sẽ xác thực người dùng dựa trên dấu vân tay, mắt, giọng nó hay khuôn mặt của người dùng

Người ta chia phương thức xác thực bằng sinh trắc học ra làm các loại sau:

 Xác thực bằng khuôn mặt

 Xác thực bằng quét con ngươi mắt

 Dấu vân tay

 Nhận dạng bằng giọng nói

14

Hình 1.8: Xác thực bằng sinh trắc học

Hình 1.9: Xác thực bằng dấu vân tay

Hình 1.10: Xác thực bằng bàn tay

Hình 1.11: Xác thực bằng mống mắt

Hình1.12: Nhận dạng bằng khuôn mặt

Hình 1.13: Nhận dạng bằng giọng nói

1.2.2.7 Chứng thực đa nhân tố - Multi factor Authentication

Là phương thức xác thực dựa trên 2 hay nhiều yếu tố của đối tượng Một ví dụ điển hình của cơ chế xác thực này là khi các bạn muốn rút tiền từ các trạm ATM thì chúng ta cần có ít nhất 2 thành phần để máy ATM xác thực đó là thẻ ATM và mã PIN đăng nhập của bạn (sử dụng 2 nhân tố đó là những gì bạn có – Thẻ ATM và những gì bạn biết – PIN)

Hình 1.15: Chứng thực đa nhân tố

Khi sử dụng phương thức này hệ thống sẽ trải qua nhiều bước xử lý để chứng thực người dùng Sử dụng phương thức này thì an toàn hơn khi sử dụng chứng thực một nhân tố Tuy nhiên thời gian xử lý của hệ thống thường lâu và đôi khi gây khó chịu với người dùng

1.2.2.8 Đa chứng thực – Mutual Authentication

Mutual Authentication là một kỹ thuật xác thực mà cả hai phía đều có thể xác nhận lẫn nhau , đầu tiên một dịch vụ hay tài nguyên sẽ xác nhận các thông tin của client hay người dùng, máy trạm Sau đó client sẽ xác nhận các đặc tính của máy chủ hay nơi cung cấp dịch vụ

Hình 1.16: Đa chứng thực Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của mình cho các dịch vụ thiếu tin cậy

1.2.3 Kiểm tra quản lý – Auditing

Auditing cung cấp các phương thức để theo dõi, ghi lại các hoạt động ở trên mạng và trong hệ thống, và xác định xem tài khoản người dùng nào hoặc tài nguyên nào đang hoạt động

 Kiểm tra hệ thống: Việc kiểm tra phải xảy ra khi mà bạn đã hiểu hoàn toàn các tiến trình đang chạy trên hệ thống Khi bạn tạo ra các thủ tục để kiểm tra, bạn phải ghi lại, giám sát các sự kiện theo dõi việc sử dụng và truy nhập cả được ủy quyền và không được ủy quyền Bạn phải xác định rõ là cần kiểm tra dịch vụ nào, kiểm tra việc đăng nhập thành công, kiểm tra việc truy xuất vào một tài nguyên…để có các phương thức, thủ tục thực hiện cho hợp lý

 Ghi lại (logging): Được cung cấp hầu hết trên các mạng và các hệ thống bao gồm việc ghi lại một phần hay tất cả các hoạt động các sự kiện của tài nguyên Việc ghi lại này thường được sủ dụng để phân tích những vấn đề của hệ thống,

và nó cũng rất có ích trong việc tìm kiếm sự phát sinh về bảo mật

1.3.1 Tường lửa - Firewall

Tường lửa là một trong những thiết bị đầu tiên bảo vệ trong hệ thống mạng

Có nhiều loại tường lửa khác nhau, chúng có thể là các hệ thống độc lập hay được tích hợp vào trong một số thiết bị khác như máy chủ hoặc Router Chúng ta

có thể tìm thấy các giải pháp về tường lửa ở trên thị trường như là tường lửa cứng hay tường lửa mềm Nhiều loại tường lửa có thể là các phần mềm được đính kèm và sẵn có trên các máy chủ hay máy trạm Mục đích cơ bản của tường lửa là ngăn chặn giữa mạng này với mạng khác Chức năng chính của tường lửa bao gồm một trong những chức năng sau

Lọc gói tin: Cho phép hay từ chối gói tin đi qua dựa vào địa chỉ (các loại ứng dụng) của gói tin mà không phân tích nội dung cụ thể của gói tin Ví dụ không cho phép giao thức Telnet đi qua thì tường lửa sẽ chặn cổng 23

Tường lửa Proxy: Thường sẽ đứng ở giữa và xử lý những yêu cầu từ mạng cần được bảo vệ với những mạng khác Tường lửa Proxy kiểm tra dữ liệu và đưa

ra những quyết định dựa vào những luật được thiết lập trên nó Một tường lửa Proxy tiêu chuẩn thường sử dụng hai card mạng tách rời hai mạng khác nhau để tăng cường bảo mật cho hệ thống

Tường lửa kiểm tra trạng thái của gói tin (SPI- Statefull Packet Inspection): Với công nghệ SPI, hệ thống tường lửa không chỉ dựa vào các thông số trong Header như địa chỉ IP, TCP port, UDP Port mà nó còn dựa trên cả thông số

Sequence và các flag code (mã cờ) Việc kết hợp kiểm tra mào đầu và xét xem gói tin có thuộc kết nối mới hay thuộc một kết nối đã được thiết lập từ trước sẽ giúp lọc một cách hiệu quả hơn

1.3.2 Bộ định tuyến – Router

Tính năng chính của bộ định tuyến là được sử dụng để kết nối hai hay nhiều mạng với nhau Bộ định tuyến là một thiết bị thông minh, chúng có thể lưu những thông tin về các mạng mà chúng kết nối trực tiếp tới Hầu hết, các bộ định tuyến có thể cấu hình để hoạt động như một tường lửa lọc gói tin (dựa vào các ACL mà người quản trị cấu hình) Bộ định tuyến là thiết bị đầu tiên của hệ thống bảo vệ mạng và chúng phải được cấu hình để cho phép duy nhất lưu lượng mà được người quản trị ủy quyền

1.3.3 Bộ chuyển mạch – Switch

Switch là thiết bị đa cổng làm tăng hiệu năng hoạt động của hệ thống mạng Switch thường chứa ít thông tin về hệ thống mạng như bảng địa chỉ MAC Thông thường trong mạng LAN, việc sử dụng Switch mang lại hiệu quả cao hơn

về bảo mật(so với Hub) và hiệu năng chuyển mạch tốt hơn(so với Router)

1.3.4 Bộ cân bằng tải

Thiết bị Cân bằng tải dùng để chuyển “tải” từ một thiết bị này tới một thiết

bị khác Thông thường các thiết bị cân bằng tải có thể là một máy chủ, nhưng thuật ngữ này có thể được sử dụng cho một ổ đĩa cứng, CPU, hoặc hầu như bất

kỳ thiết bị nào muốn dùng để tránh quá tải Cân bằng tải giữa nhiều máy chủ làm giảm thời gian xử lý, tối đa hóa băng thông đi qua, và cho phép phân bổ tài nguyên hệ thống tốt hơn Thiết bị cân bằng tải có thể là một giải pháp phần mềm hoặc phần cứng và nó thường được tích hợp vào trong một số thiết bị như router, tường lửa, thiết bị NAT Một ví dụ phổ biến nhất của thiết bị Cân bằng tải là tách các lưu lượng dành cho một trang web sau đó luân chuyển đến các máy chủ khi chúng trở nên có sẵn

1.3.5 Proxies

Proxy là một máy chủ làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo

sự an toàn cho việc truy cập của người dùng Trong hệ thống mạng, việc sử dụng Proxy giúp người dùng truy cập web nhanh hơn và an toàn hơn (do proxy có sử dụng bộ nhớ đệm) Có thể lợi dụng Proxy để truy cập một số trang web mà nhà cung cấp dịch vụ không cho vào

20

1.3.6 Cổng bảo vệ Web (Web Security Gateway)

Một trong những thuật ngữ thông dụng và mới nhất là cổng bảo vệ Web Cổng bảo vệ Web hoạt động như Proxy (với tính năng cache sử dụng) được tích hợp thêm phần mềm bảo vệ ở bên trong Tùy thuộc vào các nhà cung cấp khác nhau, Cổng bảo vệ Web có thể tích hợp một bộ quét virus tiêu chuẩn để kiểm tra những gói tin đến và giám sát những lưu lượng đi ra của người dùng

1.3.7 Hệ thống phát hiện xâm nhập

Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là phần mềm chạy trên máy trạm hoặc trên các thiết bị mạng để giám sát và theo dõi các hoạt động mạng Bằng cách sử dụng một IDS, một quản trị mạng có thể cấu hình

hệ thống để hồi đáp giống như một hệ thống báo động IDS có thể được cấu hình

để kiểm tra các bản ghi hệ thống, quan sát các hoạt động mạng đáng ngờ, và ngắt kết nối phiên nếu xuất hiện vi phạm thiết lập mà người quản trị đưa ra Trên thị trường, nhiều nhà sản xuất đang bán IDS tích hợp với tường lửa và phương thức này cho thấy nhiều hứa hẹn Tường lửa có thể ngăn chặn nhiều cuộc tấn công phổ biến, nhưng tường lửa không đủ khả năng để báo cáo và giám sát toàn bộ lưu lượng mạng

CHƯƠNG 2: TƯỜNG LỬA - FIREWALL

MỤC TIÊU

Học xong chương này sinh viên có thể:

o Trình bày được khái niệm và nhiệm vụ của tường lửa trong hệ thống mạng

o Giải thích được nguyên lý hoạt động của tường lửa

o Triển khai, cài đặt, cấu hình và quản lý một tường lửa mềm/cứng cơ

bản_ISA/TMG, Iptables, ASA

o Tư vấn cho khách hàng lắp đặt một hệ thống tường lửa

o Rèn luyện khả năng tư duy logic

2.1 Tổng quan về Firewall

2.1.1 Khái niệm về Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng

có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network)

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,

tổ chức, ngành hay một quốc gia, và mạng Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để kiểm tra và giám sát các lưu lượng đi qua

Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người

22

các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet

Thông thường, một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao diện chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện riêng là phía mà chứa các dữ liệu được bảo vệ Trên một Firewall có thể có nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời Ứng với mỗi giao diện có một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng chung và mạng riêng

Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó khăn Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN, máy chủ xác thực hoặc máy chủ DNS Tuy nhiên như bất kì một thiết bị mạng khác, nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều Do đó, một Firewall không nên chạy nhiều dịch vụ

Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong muốn Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt

để từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở

Hình 2.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng

sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS

Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được an toàn

2.1.3 Phân loại FIREWALL

2.1.3.1 Phân loại theo nguyên lý hoạt động

- Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên

trong mạng và bên ngoài mạng có kiểm soát

- Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các

máy khách và các host

Hình 2.2. Mạng gồm có Firewall và các máy chủ

24

a Packet Filtering Firewall

Đây là kiểu Firewall thông dụng hoạt động dựa trên lớp 3 trong mô hình OSI Firewall mức mạng thường hoạt động theo nguyên tắc lọc gói tin dựa các luật lệ về quyền truy cập mạng dựa trên mức mạng Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát Sau khi địa chỉ IP nguồn được xác định, nó

sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên Firewall

Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc

độ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai hay bị cấm Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy

Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập để vào bên trong mạng

Firewall kiểu packet filtering chia làm hai loại:

- Packet filtering firewall: Hoạt động tại lớp mạng (Network Layer) của mô hình OSI Các luật lọc gói tin dựa trên các trường trong IP header, transport header, địa chỉ IP nguồn và địa chỉ IP đích …

Network Security perimeter

Packet filtering router

- Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình OSI Mô hình này không cho phép các kết nối end to end

Hình 2.3. Packet filtering firewall

Hình 2.4. Circuit level gateway

outout

outsideconnection

insideconnection

Circuit levelgateway

b Application-proxy firewall

Khi một kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin đi qua

* Ưu điểm:

- Không có chức năng chuyển tiếp các gói tin IP

- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall

- Đưa ra công cụ cho phép ghi lại quá trình kết nối

* Nhược điểm:

- Tốc độ xử lý khá chậm

- Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập

- Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall (Ex Ftp proxy, Http proxy)

* Firewall kiểu Application- proxy chia thành hai loại:

inside connection

Application level gateway

TELNET

HTTP SMTP FTP

- Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được tính năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp mạng và kiểm tra nội dung các gói tin tại lớp ứng dụng Loại Firewall này cho phép các kết nối trực tiếp giữa client và host nên giảm thiểu được lỗi, nó cung cấp các tính năng bảo mật cao và trong suốt đối với End Users

2.1.3.2 Phân loại theo cấu tạo Firewall

a Firewall phần cứng

Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm

Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng

Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys (http://www.linksys.com) và NetGear (http://www.netgear.com) Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình

Hình 2.5. Application-proxy firewall

b Firewall phần mềm

Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) và có thể tải về từ mạng Internet

So với Firewall phần cứng, Firewall phần mềm cho phép người quản trị linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào

Từ các phiên bản Windows XP2 trở lên, Firewall đã được tích hợp sẵn trên hệ điều hành

* Ưu điểm:

- Không yêu cầu phần cứng bổ sung

- Không yêu cầu cha ̣y thêm dây máy tính

- Một lựa cho ̣n tốt cho các máy tính đơn lẻ

* Nhược điểm:

- Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí

- Việc cài đă ̣t và và đă ̣t cấu hình có thể cần để bắt đầu

- Cần mô ̣t bản sao riêng cho mỗi máy tính

2.1.4 Mô hình kiến trúc của FIREWALL

Kiến trúc thông thường của hệ thống sử dụng Firewall như sau:

28

Server Server

Server Computer Computer Computer

Computer Computer

Router

Computer

TheInternet

InternetrouterFIREWALL

Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau:

Hình 2.6. Kiến trúc của hệ thống sử dụng Firewall

Hình 2.7 Cấu trúc chung của một hệ thống Firewall

Trong đó:

- Screening Router: là chặng kiểm soát đầu tiên cho LAN

- DMZ: là vùng có nguy cơ bị tấn công từ internet

- Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật

- IF1 (Interface 1): là card giao tiếp với vùng DMZ

- IF2 (Interface 2): là card giao tiếp với vùng mạng LAN

- FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN ra internet là tự do Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server

- Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông qua Authentication server

- Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần)

Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt đối xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn Nhờ mô hình Firewall mà các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, mọi thôn tin trao đổi với internet đều được kiểm soát thông qua gateway

2.1.4.1 Kiến trúc Dual - Homed host (máy chủ trung gian)

Firewall kiến trúc kiểu homed host được xây dựng dựa trên máy tính homed host Một máy tính được gọi là Dual-homed host nếu có ít nhất hai Network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau

Dual-và như thế máy tính này đóng vai trò là router phần mềm Kiến trúc Dual-homed host rất đơn giản Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN)

Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host Mọi giao tiếp từ

2.1.4.2 Kiến trúc Screend Host

Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một router tách rời với mạng bên ngoài Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering

Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được cài trên router Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được phép kết nối Bất kỳ một hệ thống bên ngoài nào

cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này

Vì thế, Bastion host là host cần phải được duy trì ở chế độ bảo mật cao Packet Filtering cũng cho phép Bastion host có thể mở kết nối ra bên ngoài

Cấu hình của packet filtering trên screening router như sau :

Hình 2.8. Kiến trúc Dual - Homed host

- Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài thông qua một số dịch vụ cố định

- Không cho phép tất cả các kết nối từ host bên trong (cấm những host này sử dụng dịch vụ proxy thông qua Bastion host)

- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau

- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering

- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy

Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong Tuy nhiên trên thực tế thì kiến trúc Dual-homes host đôi khi cũng có lỗi mà cho phép một packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này) Hơn nữa, kiến trúc Dual-homes host thì

dễ dàng bảo vệ router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng

Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed host

So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion host thì không có cách nào để ngăn tách giữa Bastion host và các host còn lại bên trong mạng nội bộ Router cũng có một số điểm yếu là nếu router bị tổn thương, toàn bộ mạng sẽ bị tấn công

Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất

32

Remote User

User User User

2.1.4.3 Kiến trúc Screened Subnet

Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến trúc Firewall có tên là Screened subnet

Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác Kiểu Screen subnet đơn giản bao gồm hai screened router:

- Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại

vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép ngững gì outbound từ mạng ngoại vi Một số quy tắc packet filtering đặc biệt được cài ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn

ở mức cao Ngoài các quy tắc đó, các quy tắc khác cần giống nhau giữa hai router

- Router trong (Interior router còn gọi là choke router): nằm giữa mạng ngoại

vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài và mạng ngoại vi Nó không thực hiện hết các quy tắc packet filtering của toàn bộ firewall Các dịch vụ mà interior router cho phép giữa bastion host và mạng

Hình 2.9 Kiến trúc Screened host

nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bị tổn thương và thỏa hiệp với bên ngoài Chẳng hạn nên giới hạn các dịch vụ được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email server bên trong

Internet

Internal Network Interior Router

Perimeter Network Exterior Router

‘user’ bên trong mạng tổ chức truy cập một cách có chọn lọc đến các tài nguyên Internet và ‘user’ trên Internet có thể truy cập vào tài nguyên trong mạng tổ chức sao cho phù hợp với các ‘rule’ của ISA Server, chẳng hạn như máy chủ Web hoặc Mail của

tổ chức Có thể hình dung ISA Server được triển khai trên vành đai bao quanh mạng tổ

chức, là nơi kết nối mạng tổ chức với một mạng khác bên ngoài (như Internet)

ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức Trong hầu hết trường hợp, vành đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung

Hình 2.10. Kiến trúc Screened Subnet

Thậm chí cho dù ‘interal network’ an toàn hơn Internet, thì ba ̣n cũng không nên

có ý nghĩ sai lầm rằng, ba ̣n chỉ cần bảo vê ̣ vành đai ma ̣ng Để bảo vê ̣ ma ̣ng của ba ̣n mô ̣t

cách đầy đủ, ba ̣n phải va ̣ch ra kế hoa ̣ch bảo vê ̣ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho ma ̣ng của ba ̣n được an toàn, thâ ̣m chí trong trường hợp vành đai bị

“thủng” Nhiều cuô ̣c tấn công ma ̣ng gần đây như ‘virus’ và ‘worm’ đã tàn phá những

mạng có vành đai an toàn ISA Server là thiết yếu trong viê ̣c bảo vê ̣ vành đai ma ̣ng, nhưng ba ̣n đừng nghĩ, sau khi triển khai ISA Server thì viê ̣c của ba ̣n đã xong

Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các

‘traffic’ của mạng trên Internet Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì Ngoài ra, những gói tin trên mạng (‘network packet’) gửi qua Internet không được an toàn, bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất

kỳ ai đang chạy ‘packet sniffer’ trên một phân đoạn mạng Internet ‘Packet Sniffer’ là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các ‘traffic’ trên một

mạng, điều kiện để bắt được ‘traffic’ mạng là ‘packet sniffer’ phải kết nối được đến phân đoạn mạng giữa hai ‘router’

Internet là một phát minh khó tin và đầy quyến rũ Bạn có thể tìm kiếm trên mạng này nhiều thông tin hữu ích Bạn có thể gặp gỡ những người khác, chia sẽ với họ

sở thích của bạn và giao tiếp với họ Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập được Ví dụ, Internet không thể biết được ai

là một người dùng bình thường vô hại, ai là tội phạm mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet Điều đó có nghĩa là, không sớm thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho bất kỳ ai kết nối Internet Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website của

tổ chức, đó cũng có thể là kẻ xấu cố gắng ‘deface’ toàn bộ dữ liệu trên Website hoặc đánh cấp dữ liệu khách hàng từ tổ chức của bạn Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo mật cho nó là hầu như không thể Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet của bạn là xem tất cả ‘user’ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được chứng minh

ISA Server hoạt động như một tường lửa

Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng Firewall được cấu hình với những ‘rule’ lọc

‘traffic’, trong đó định nghĩa những loại ‘network traffic’ sẽ được phép đi qua Firewall

có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong

để bảo vệ một vùng đặc biệt trong mạng

Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng Chức năng chính của firewall trong trường hợp này là đảm bảo không có ‘traffic’ nào từ Internet có thể tới được ‘internal network’ của tổ chức trừ khi nó được cho phép Ví dụ, trong tổ chức bạn có một ‘internal Web Server’ cần cho ‘internet user’ có thể tới được Firewall có thể được cấu hình để cho phép các ‘traffic’ từ Internet chỉ được truy cập đến Web Server đó

Về mặc chức năng ISA Server chính là một firewall Bởi mặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các mạng mà nó làm Server, bao gồm

36

‘internal network’, vùng DMZ(*) và Internet ISA Server 2006 dùng 3 loại quy tắc lọc (‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering, stateful filtering và application-layer filtering

Packet Filtering – Lọc gói tin

Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng

‘network packet’ đi tới firewall Khi ‘packet’ đi tới giao tiếp mạng của ISA Server, ISA Server mở ‘header’ của ‘packet’ và kiểm tra thông tin (địa chỉ nguồn và đích, ‘port’ nguồn và đích) ISA Server so sánh thông tin này dựa vào các ‘rule’ của firewall, đã định nghĩa ‘packet’ nào được cho phép Nếu địa chỉ nguồn và đích được cho phép, và nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua firewall để đến đích Nếu địa chỉ và ‘port’ không chính xác là những gì được cho phép, ‘packet’ sẽ bị đánh rớt và không được đi qua firewall

Stateful Filtering – Lọc trạng thái

Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với ‘network packet’ để dẫn đến quyết định có cho qua hay là không Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một ‘packet’ bên trong nội dung của những

‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (‘session’) TCP

Ví dụ, một ‘user’ trong ‘internal network’ có thể gửi một ‘request’ đến một Web Server ngoài Internet Web Server đáp lại ‘request’ đó Khi ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thông tin ‘TCP session’ (là một phần của ‘packet’) Firewall sẽ xác định rằng ‘packet’ thuộc về một ‘session’ đang hoạt động mà đã được khởi tạo bởi một ‘user’ trong ‘internal network’, vì thế ‘packet’ được chuyển đến máy tính của ‘user’ đó Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một máy tính bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không thuộc về một

‘session’ hiện hành đang hoạt động thì ‘packet’ sẽ đị đánh rớt

Application-Layer Filtering – Lọc lớp ứng dụng

ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một ‘packet’

có được cho phép hay là không ‘Application-layer filtering’ kiểm tra nội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua firewall hay không

‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua

Ví dụ, một ‘user’ trên Internet có thể yêu cầu một trang từ ‘internal Web Server’ bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol) Khi

‘packet’ đi tới firewall, ‘application filter’ xem xét kỹ ‘packet’ và phát hiện lệnh

“GET” ‘Application filter’ kiểm tra chính sách của nó để quyết định

Nếu một ‘user’ gửi một ‘packet’ tương tự đến Web Server, nhưng dùng lệnh

“POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra ‘packet’ ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và ‘packet’ bị đánh rớt

HTTP application filter’ được cung cấp cùng với ISA Server 2006 có thể kiểm tra bất

kỳ thông tin nào trong dữ liệu, bao gồm: ‘virus signature’, chiều dài của ‘Uniform Resource Location’ (URL), nội dung ‘page header’ và phần mở rộng của ‘file’ Ngoài

‘HTTP filter’, ISA Server còn có những ‘application filter’ khác dành cho việc bảo mật những giao thức và ứng dụng khác

Các ‘firewall’ mềm hiện nay xử lý lọc ‘packet’ và ‘stateful’ Tuy nhiên, nhiều

‘firewall’ không có khả năng thực hiện việc lọc lớp ứng dụng (‘application-layer’) Và

‘application-layer filtering’ đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng

Ví dụ, giả định rằng tất cả các tổ chức đều cho phép ‘HTTP traffic (port 80)’ từ

‘internal network’ đến Internet Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức ‘HTTP’ Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ ‘file’ như KazaA ‘HTTP traffic’ cũng có thể chứa ‘virus’ và

mã độc (‘malicious code’) Cách ngăn chặn những ‘network traffic’ không mong muốn, trong khi vẫn cho phép sử dụng ‘HTTP’ một cách phù hợp, chỉ có thể thực hiện được bằng việc triển khai một ‘firewall’ có khả năng lọc lớp ứng dụng ‘Application-layer

38

firewall’ có thể kiểm tra nội dung của các ‘packet’ và ngăn ‘traffic’ trên phương thức

‘HTTP’ (để ngăn ứng dụng) hoặc ‘signature’ (để ngăn ‘virus’, mã độc hại, hoặc ứng dụng) ISA Server chính xác là một loại ‘application-layer firewall’ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo vệ mạng

Hình 2.12 Sơ đồ triển khai VPN qua ISA

Vành đai ma ̣ng đã trở nên khó đi ̣nh nghĩa hơn theo như ki ̣ch bản trong hình 2

Kịch bản này cũng khiến viê ̣c bảo mâ ̣t kết nối Internet khó khăn hơn rất nhiều Cho dù

là vâ ̣y ISA Server được thiết kế để đem la ̣i sự an toàn theo yêu cầu ở vành đai mạng Ví

dụ, theo ki ̣ch bản trong hình 2, ISA Server có thể đem la ̣i sự an toàn cho vành đai, bằng

cách thực hiê ̣n các viê ̣c như sau:

 Cho phép truy câ ̣p nă ̣c danh đến Website dùng chung (‘public website’), trong khi đó lo ̣c ra mã đô ̣c ha ̣i nhắm đến viê ̣c gây ha ̣i Website

 Chứ ng thực ‘user’ từ tổ chức của đối tác trước khi gán quyền truy câ ̣p đến Website dù ng riêng (‘private website’)

 Cho phép truy câ ̣p VPN giữa những vùng đi ̣a lý khác nhau, nhờ đó ‘user’ ở chi nhánh văn phòng có thể truy câ ̣p đến tài nguyên trong ‘interal network’

 Cho phép nhân viên ở xa truy câ ̣p ‘internal Mail Server’, và cho phép ‘client’ truy cập VPN đến ‘internal File Server’

 Áp đă ̣c chính sách truy câ ̣p Internet của tổ chức hòng giới ha ̣n những giao thức được dùng tới ‘user’, và lo ̣c từng ‘request’ để chắc chắn ho ̣ chỉ đang truy câ ̣p đến các

tài nguyên Internet cho phép

2.2.2 TMG 2010

Microsoft Forefront Threat Management Gateway (TMG) 2010, một thế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mã độc hại khi truy cập Internet Hơn thế nữa, Microsoft Forefront TMG 2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client Security, Forefront Security for Exchange Server và Forefront Security for Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:

- Bảo vệ hệ thống đa dạng và hoàn thiện

- Phát hiện Virus, Malware và ngăn chặn tấn công

- Giao diện quản lý thân thiện và dễ dàng

- Giám sát hệ thống mạng được tăng cường

Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ra vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công

ty sử dụng Internet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác Nó cung cấp nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một, TMG cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật Web Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được chia ra làm 3 phần riêng biệt:

- Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta

- Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới,

chính là máy Forefront TMG

- External Network - là mạng Internet, như vậy mạng Internet được xem như

là một phần trong mô hình Forefront TMG mà thôi