CHƯƠNG 7: FIREWALL (MÔN AN TOÀN MẠNG)

Giới thiệu Bức tường lửa Firewall: nằm giữa 2 networks  Bảo vệ hệ thống  Cung cấp kết nối an toàn giữa các mạng inside outside  Ngăn chặn các người dùng/chương trình không có quyền

AN NINH MẠNG

Các thành phần cơ bản trong một hệ thống mạng an toàn tiêu biểu

Đặt vấn đề

Giới thiệu

 Bức tường lửa (Firewall): nằm giữa 2 networks

 Bảo vệ hệ thống

 Cung cấp kết nối an toàn giữa các mạng (inside <> outside)

 Ngăn chặn các người dùng/chương trình không có quyền truy cập vào private network/computer

 Cài đặt các chính sách bảo mật

 Kiểm soát luồng dữ liệu

 Từ mạng bên trong đi ra ngoài

 Từ bên ngoài đi vào mạng bên trong

Phân loại

 Phân loại dựa trên mô hình tầng mạng

 Tầng mạng – Bộ lọc gói tin (Firewalls Packet Filtering)

 Tầng ứng dụng – Cổng ứng dụng (Firewalls Aplication-Level Gateway or (Proxy))

 Tầng giao vận – Cổng vòng (Firewalls Circuit-Level Gateway)

 Statefull Multilayer Inspection Firewall (SIF): Kết hợp 3 loại tren

 Phân loại dựa trên trạng thái

 Tường lửa có trạng thái (Stateful firewall)

 Tường lửa phi trạng thái (Stateless firewall)

1-4: 4 chức năng của lọc gói đơn giản tĩnh (simple static hay stateless filtering)

Stateless Firewall

 Mỗi gói tin được kiểm tra một cách độc lập

 Không tham chiếu đến bất kỳ gói tin nào trước đó đã vượt qua

được tường lửa.

 Không duy trì bất kỳ trạng thái kết nối nào

 Ví dụ:

 Allow all traffic inbound with destination port 80

 Deny all traffic from 192.168.1.0/24 on the external interface

 Đơn giản, kém bảo mật hơn so với Statefull firewall

Statefull Firewall

 Bao gồm tính năng của Stateles FW, cộng them với…

 Các gói tin được kiểm tra như là một luồng (stream).

o Việc quyết định cho phép một gói tin được qua tường lửa hay không phụ thuộc vào các gói

đã được qua trước đó

 Phân tích gói tin đi vào để kiểm tra tính xác thực của gói tin nhằm đảm

bảo rằng gói tin không bị thay đổi trong quá trình truyền tải

 Lưu thông tin mức kết nối (connection - level)

Bộ lọc gói tin – Packet Filtering

 Hoạt động ở lớp mạng của mô hình OSI, hoặc lớp IP của mô hình TCP/IP.

 Loại tường lửa đầu tiên và đơn giản nhất

 Kết nối trực tiếp giữa mạng bên trong và mạng bên ngoài

 Mỗi gói tin được kiểm tra trước khi cho qua firewall

 Stateless

Packet Filtering

 Dựa trên các trường trong phần đầu của IP, TCP hay UDP

 Các thông tin đó là:

 Địa chỉ IP xuất phát (IP source address)

 Địa chỉ IP nơi nhận (IP destination address)

 Giao thức sử dụng (TCP, UDP, ICMP…)

 Cổng nguồn TCP/UDP

 Cổng đích TCP/UDP

 Giao diện packet đến

 Giao diện packet đi

 Không kiểm soát được dữ liệu từ lớp 4 trở nên

 Không hỗ trợ tính năng xác thực người dùng

 Không ngăn chặn tấn công giả mạo địa chỉ

 Mức an ninh thấp

Một số Packet Filtering

 Router ACLs

 IP Chains

 ipf (Unix), ipfw (FreeBSD / Mac OS X), pf (Open

BSD), iptables (Ubuntu / Linux)

Qui tắc viết luật Mỗi luật có dạng

Ví dụ về bảo vệ mạng với Firewall

Luật đối với các ICMP Packets

 ICMP cho phép kiểm tra kết nối mạng cũng như các thông tin liên

về các vấn đề kết nối gặp phải

 Các luật này đặc biệt quan trọng, bởi gói tin ICMP có thể dễ dàng bị

giả mạo bị

ICMP Packet-Filter Rules

Các luật cho phép truy cập Web

 Các luật cần phủ cả 2 lưu lượng HTTP trên cổng TCP 80

cũng như lưu lượng Secure HTTP (HTTPS) trên cổng TCP 443

Luật cho phép DNS

 Luật cho phép các client bên ngoài truy cập máy tính trong mạng

của bạn sử dụng các cổng TCP,UDP giống nhau.

Luật cho phép E-Mail

Phức tạp, bởi có nhiều giao thức khác nhau được dùng

◦ Đối với inbound mail transport

◦ Post Office Protocol version 3 (POP3)

◦ Internet E-mail Access Protocol version 4 (IMAP4)

◦ Đối với outbound mail transport

◦ Simple Mail Transfer Protocol (SMTP)

◦ Để tra cứu địa chỉ e-mail

◦ Lightweight Directory Access Protocol (LDAP)

◦ Các dịch vụ mail dựa trên web

◦ HyperText Transport Protocol (HTTP)

Luật cho POP3 và SMTP E-Mail

Cổng mức mạch (Circuit-Level Gateway)

 Đơn giản chỉ là chuyển tiếp các kết nối TCP mà không thực hiện bất kì một hành động xử lý hay lọc gói nào.

 Nguyên lý hoạt động

1) Thiết lập hai kết nối TCP: một giữa cổng và máy bên trong, một giữa cổng và

máy bên ngoài.

Cổng mức mạch (Circuit-Level Gateway)

 Nguyên lý hoạt động

2) Khi hai kết nối được thiết lập, cổng mức mạch sẽ thực hiện sao chép,

chuyển tiếp đoạn dữ liệu TCP từ kết nối bên trong sang kết nối bên ngoài (và ngược lại) mà không cần kiểm tra nội dung dữ liệu

3) Cổng xác định một phiên làm việc hợp lệ nếu cờ SYN, ACK và

sequence number trong quá trình bắt tay giữa các kết nối là hợp lệ

TCP three way handshake (Bắt tay 3 bước)

Cổng mức mạch (Circuit-Level Gateway)

Quá trình làm việc

1) Máy bên trong yêu cầu một dịch vụ, Gateway chấp nhận yêu cầu đó

2) Thay mặt máy bên trong, cổng mở kết nối đến máy bên ngoài và

giám sát chặt chẽ quá trình bắt tay TCP Quá trình bắt tay liên quan đến việc trao đổi gói tin chứa cờ (SYN hay ACK)

3) Cổng xác thực máy bên trong và máy bên ngoài là thành phần một

phiên làm việc, cổng sao chép và chuyển tiếp dữ liệu giữa hai kết nối.

Cổng mức mạch (Circuit-Level Gateway)

Quá trình làm việc …

4) Cổng duy trì một bảng thiết lập kết nối, dữ liệu được phép đi qua nếu

thuộc một trong các phiên làm việc có trong bảng.

5) Khi phiên làm việc kết thúc, cổng mức mạch xóa bản ghi kết nối của

phiên làm việc đó.

Bảng kết nối: ID Session, Trạng thái (handshake, etablished, closing),

Cổng mức mạch (Circuit-Level Gateway)

 Mức an toàn cao hơn so với lọc gói tin

 Có thể triển khai với lượng lớn giao thức tầng trênmà không cần hiểu về thông tin tại giao thức đó

 Một khi kết nối được thiết lập, nó có thể cho phép gửi các mã độc hại trong gói tin

Cổng mức ứng dụng (Application Level)

 Hoạt động ở tầng ứng dụng

 Thiết kế nhằm tăng cường chức năng kiểm soát các loại dịch

vụ, giao thức được cho phép truy cập vào hệ thống mạng

Cổng mức ứng dụng (Application Level)

 Nguyên lý hoạt động

 Dựa trên các dịch vụ đại diện (Proxy service)

 Proxy service là các chương trình đặc biệt cài trên gateway cho từng ứng dụng.

ra theo 5 bước sau đây:

Cổng mức ứng dụng (Application Level)

Qui trình kết nối

◦ Bước 1: Máy trạm gửi yêu cầu tới máy chủ ở xa đến cổng ứng dụng

◦ Bước 2: Cổng ứng dụng xác thực người dùng Nếu xác thực thành công

chuyển sang bước 3, ngược lại quá trình kết thúc

◦ Bước 3: Cổng ứng dụng chuyển yêu cầu máy trạm đến máy chủ ở xa

◦ Bước 4: Máy chủ ở xa trả lời chuyển đến cổng ứng dụng

◦ Bước 5: Cổng ứng dụng chuyển trả lời của máy chủ ở xa đến máy trạm

Cổng mức ứng dụng (Application Level)

Ví dụ: Máy khách (client) muốn sử dụng dịch vụTELNET để kết nối vào

hệ thống mạng qua cổng ứng dụng (Telnet proxy) Quá trình diễn ra như sau:

 Client thực hiện dịch vụ telnet đến Telnet proxy, Telnet proxy kiểm trapassword Nếu hợp lệ thì client được phép vào giao diện của Telnet proxy.Telnet proxy sẽ cung cấp tập nhỏ lệnh của Telnet và quyết định những máy nội

bộ nào được phép truy cập

 Client chỉ ra máy nội bộ cần kết nối và Telnet proxy tạo một kết nối của riêng

nó tới máy nội bộ bên trong

 Thực hiện chuyển các lệnh tới máy nội bộ bên trong dưới sự ủy quyền củaclient, còn client thì tin rằng Telnet proxy chính là máy nội bộ thật ở bên trong,trong khi máy nội bộ bên trong thì tin rằng Telnet proxy chính là client thật

Kiểm tra độ xác thực rất tốt, ghi chép lại thông tin vềtruy cập hệ thống

 Luật lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với lọc gói tin

Cổng mức ứng dụng

 Gauntlet

 Symantec Enterprise Firewall…

Statefull Inspection Firewall (SIF)

Tổng hợp tính năng của 3 loại tường lửa trên

 Giống tường lửa lọc gói tin, hoạt động ở tầng mạng,lọc gói tin đi/đến dựa trên tham số: địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích

 Giống cổng mức mạch, xác định chính xác gói tin trong phiên làm việc SIF

xác nhận cờ ACK, SYN vàsequence number có hợp lệ không?

 SIF bắt chước cổng mức ứng dụng, SIF đưa gói tin lên tầng ứng dụng và kiểm tra em nội dung dữ liệu phù hợp với các luật trong chính sách an ninh của hệ

thống

Kiến trúc tường lửa

 Screening Router (Packet Filter)

 Dual Homed Host

 Screened Host

 Single-homed bastion host

 Dual-homed bastion host

 Kiến trúc Screened Subnet

Screening Router (Packet Filter)

 Đặt giữa mạng trong và ngoài để thực hiện lọc gói

 Cần có 2 interface: Internal và Extrenal

 ACL (Access Control List)

chỉ định các luật

được áp dụng

để chặn luồng gói tin

Screening Router (Packet Filter)

◦ Đưa ra các policy cấu hình phức tạp dẫn đến dễ mắc lỗi

Kiến trúc screening router thường được dùng trong các trường hợp như:

◦ Hệ thống mạng đã được bảo vệ bởi lớp khác bên trong (các host bên trong được bảo mật tốt)

◦ Số lượng giao thức không nhiều và không quan tâm đến nội dung các giao thức

◦ Cần tốc độ cao và khả năng dự phòng

Dual Homed Host

 Được xây dựng dựa trên Máy tính có ít nhất 2 NIC và được bảo vệ bởi tường

lửa

 Cần disable tính năng Routing and

Remote Access, để mạc định khóa luồng gói tin đi qua mạng

Dual Homed Host…

 Dual – homed host không có khả năng routing và con đường duy nhất giữa các mạng là thông qua chức năng tầng ứng dụng.

 Để dữ liệu ứng dụng đi qua firewall cần có phần mềm đặc biệt để

chuyển các yêu cầu ứng dụng giữa hai mạng được nối với nhau

(Application forwarder)

 Kiến trúc Dual – homed host được sử dụng trong trường hợp dữ liệu trao đổi ra bên ngòai ít và không quan trọng, không cung cấp các dịch vụ công cộng hoặc dữ liệu bên trong không quá quan trọng.

Screened Host

 Phối hợp giữa Screening Router và Bastion Host.

 Có 2 dạng:

 Single-homed bastion host

 Dual-homed bastion host

Single-homed bastion host

Single-homed bastion host…

 Gồm một Packet Filtering và một bastion host

 Thực hiện bảo vệ mạng ở tầng mạng và tầng ứng dụng

 Cấu hình và hoạt động Packet Filtering :

 Đối với luồng thông tin từ Internet, chỉ các gói tin IP với địa chỉ đích là bastion host mới được phép đi vào trong

 Đối với luồng thông tin từ bên trong, chỉ các gói tin IP xuất phát từ bastion host mới được phép đi ra ngoài

 Packet Filtering cho phép bastion host mở kết nối (hợp lệ) ra bên ngoài.

 Packet Filtering có thể cho phép các internal hosts mở kết nối đến các host trên internet đối với 1 số dịch vụ được phép hoặc cấm tất cả kết nối từ các internal

hosts.

Single-homed bastion host

 Ưu điểm

 An toàn hơn kiến trúc

Dual homed host và

Single-homed bastion host

 Nhược điểm

 Có thể bị bypass nếu Packet Filtering bị kiểm soát.

Dual – Homed Bation Host

Dual – Homed Bation Host

 Hệ thống được chia thành 2 vùng, outer zone và inner zone

Inner zone là vùng nội bộ, được cách biệt với hệ thống mạng bên ngoài và mọi liên lạc giữa inner zone với hệ thống bên ngoài đều phải thông qua

bastion host

 Outer zone có thể giao tiếp với hệ thống bên ngoài

 Khác biệt duy nhất của hệ thống này so với Single-homed Bastion Host:

ngăn cản tiếp xúc với mạng bên trong bằng kiến trúc vật lý chặn việc

Packet Filtering có bị qua mặt thì vẫn còn có sự bảo vệ của bastion host

 Ưu điểm:

◦ Ngăn cản tiếp xúc với mạng bên trong bằng kiến trúc vật lý (phân thành 2 vùng outer zone và inter zone)

Kiến trúc Screened Subnet

Kiến trúc Screened Subnet

 Thêm 1 perimeter network để cô lập internal network với internet

 Internal network được bảo vệ cho dù bastion host có bị chiếm vì vẫn còn có Interior Router

 Perimeter là nơi đặt các dịch vụ có độ tin cậy thấp và dễ bị tấn công

 Bastion host là điểm liên lạc cho các kết nối từ bên ngoài vào Truy cập từ các client ra bên ngoài có thể thông qua 2 router 1 cách trực tiếp (cấu hình interior

và exterior router) hoặc qua proxy server trên bastion host

 Hạn chế các dịch vụ mà Interior Router cho phép giữa bastion host và các

client –> giảm thiểu số máy bị tấn công một khi bastion host đã bị chiếm

 Exterior router cho phép tất cả lưu thông trong perimeter ra ngoài internet và ngăn chặn giả mạo địa chỉ

DMZ Screened Subnet