Hacker sẽ xâm nhập vào nhiều máy tính và cài đặt các chương trình điều khiển từ xa và sẽ kích hoạtcác chương trình này vào cũng một thời điểm để tấn công một mục tiêu.Và Rất khó để có th
Trang 1Mục Lục
TỔNG QUAN VỀ TƯỜNG LỬA 2
1 Các mối nguy hiểm và cách phòng tránh 2
1.1.Các mối nguy hiểm 2
1.2 Các giải pháp bảo mật dành cho mạng máy tính 4
2 Firewall là gì? 6
2.1.Khái niệm 6
2.2 Chức năng 7
3 Cấu trúc và nguyên lý hoạt động 7
3.1 Cấu trúc 7
3.2 Nguyên lý hoạt động 7
3.2.1 Bộ lọc paket (Paket filterring router) 7
3.2.2 Cổng ứng dụng ( Application-level gateway hay proxy server ) 9
3.2.3 Cổng vòng ( Circuite level gateway ) 10
4 Ứng dụng và Cách thức vượt firewall 10
4.1.Ứng dụng 10
4.2 Vượt firewall 14
4.2.1 Sử dụng trang web trung gian 14
4.2.2 Thay đổi địa chỉ proxy của trình duyệt: 14
5 Một số loại firewall 15
5.1.Phân loại 15
5.2 Những kiến trúc cơ bản của firewall 22
Kết Luận 26
Tài liệu tham khảo 27
Trang 2TỔNG QUAN VỀ TƯỜNG LỬA
1 Các mối nguy hiểm và cách phòng tránh
1.1.Các mối nguy hiểm
Tấn công có mục tiêu và tấn công không có mục tiêu.
Sự khác nhau của hai kiểu tấn công này nằm ở mục đích của kẻ tấn công Kẻ tấn công có mụctiêu hắn sẽ tìm mọi cách để có thể đạt được mục đích của mình dù cho bạn có ngăn chặn nó như thế nào
đi chăng nữa Những cuộc tấn công không có mục tiêu thường không có chủ đích rõ ràng, những kẻ tấncông thường rà soát những hệ thống nào dễ tấn công và có nhiều lỗi hổng Nếu một hệ thống được bảo vệtốt thì kẻ tấn công sẽ từ bỏ và chuyển sang mục tiêu mới Khác với những cuộc tấn công không có mụctiêu, những cuộc tấn công có mục tiêu nguy hiểm hơn rất nhiều Bởi kẻ tấn công có nhiều mục đích để tấncông, có thể đó là tiền bạc, trả thù, được đối thủ của bạn thuê để phá hoại Những kẻ này sẽ tìm mọi cách
để tấn công bạn, dù cho bạn có bảo vệ đến đâu hắn cũng sẽ không từ bỏ Cách tốt nhất để chặn cuộc tấncông loại này là nhờ đến pháp luật
Virus, worm và trojan.
Virus máy tính (hay thường được gọi tắt là virus): là một chương trình hay một đoạn mã được
thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác như file, thư mục, ổđĩa Nó được sử dụng để đánh cắp các thông tin nhạy cảm, mở cửa sau cho tin tặc đột nhập hoặc chiếmquyền điều khiển máy tính Đặc điểm quan trọng của virus đó là nó không thể tự động lây lan mà ban đầu
nó cần sự tác động của con người để cho phép nó hoạt động
Worm (sâu máy tính): tương tự như virus nó cũng có khả năng tự nhân bản và lây lan Điểm đặc
biệt của nó là nó có thể lây lan qua hệ thống mạng còn virus thì không thể Nhiệm vụ chính của worm làphá hoại các mạng thông tin làm giảm khả năng hoạt động hay hủy hoại toàn bộ mạng đó Một điểm khácbiệt nữa của worm và virus đó là nó không cần sự tác động của con người mà vẫn có thể hoạt động được
Trojan: Là một chương trình tương tự như virus, chỉ khác là nó không thể tự nhân bản Trojan sẽ
ẩn mình vào một chương trình tin cậy nào đó và khi bạn thực thi chương trình đó thì trojan nó cũng đượckhởi động Mục đích chính của trojan là đánh cắp các thông tin cá nhân như password, số tài khoản vàgửi về cho kẻ phát tán hoặc cũng có thể "âm thầm" mở một kết nối cho tin tặc
Virus, worm và trojan có thể phòng chống bằng cách sử dụng firewall hoặc các phần mềm diệt
virus có tích hợp sẵn firewall
Nội dung độc hại và phần mềm độc hại.
Nội dung độc hại chính là những nội dung văn bản được viết ra nhằm những mục đích bất chính.
Thông thường thì nó yêu cầu người dùng làm một hành động gì đó để cho phép tin tặc tiếp cận với hệthống của bạn Những hành động này khá là đơn giản ví dụ như yêu cầu bạn nhấp một link nào đó để truycập tới một website hay yêu cầu bạn đọc một email Kịch bản chung của nội dung độc hại đó là cố gắng
"lừa" bạn kiến bạn vô tình hoặc cố ý cho phép nội dung đó được thực hiện
Malware (Malicious và Software) là một từ dùng để chỉ chung các phần mềm có tính năng gây
hại nó bao gồm cả virus, worm, trojan, spyware, adware, keylogger, rootkit
Trang 3Tấn công từ chối dịch vụ (Denial of Service)
Có thể mô tả DoS như một hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào
đó truy cập và sử dụng dịch vụ đó Nó bao gồm cả việc làm tràn ngập mạng, làm mất kết nối tới dịchvụ mà mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu cầu từ clien DoS là kẻ tấncông sẽ chiếm dụng một lượng tài nguyên mạng như băng thông, bộ nhớ để làm mất khả năng xử lý cácyêu cầu dịch vụ từ client
DDoS là một biến thể của DoS, sự khác biệt giữa chúng chính là số lượng máy tính tham gia tấn
công Hacker sẽ xâm nhập vào nhiều máy tính và cài đặt các chương trình điều khiển từ xa và sẽ kích hoạtcác chương trình này vào cũng một thời điểm để tấn công một mục tiêu.Và Rất khó để có thể chống lạiDDoS, cách hiệu quả đó là tăng băng thông đường truyền, sử dụng firewall để lọc bớt các lưu lượng nguyhiểm
Zombie: Ta có thể hiểu Zombie là một máy tính đã bị nhiễm bệnh và chịu sự kiểm soát của một
kẻ tấn công nào đó Một zombie PC vẫn có thể hoạt động bình thường mà không hề phát hiện ra rằng nó
đã bị kiểm soát Tin tặc có thể sẽ sử dụng zombie vào mục đích tấn công DoS Cách phòng chống đối vớicác zombie đó là dùng firewall để chặn những máy tính bị nhiễm bệnh Tuy nhiên điều này có thể làmảnh hưởng tới người dùng bởi họ thực sự có nhu cầu truy cập hệ thống mạng Cách tốt nhất là tìm cách gỡ
bỏ zombie và đưa máy tính về trạng thái ban đầu
Sự tổn hại thông tin cá nhân
Thử tưởng tượng một ngày những thông tin cá nhân của bạn tràn ngập trên Internet từ tên tuổi, sốđiện thoại, email, địa chỉ hay những thông tin về tài chính khác như số tài khoản, mật khẩu bạn sẽ cảmthấy như thế nào? Tất nhiên bạn sẽ chẳng hề mong muốn điều này, tin tặc có thể lợi dụng những thông tinnày để lừa đảo, đánh cắp tài sản của bạn, nói chung sự tổn hại về thông tin cá nhân sẽ gây cho bạn nhữngphiền toái
Đối với doanh nghiệp hay các tổ chức sự tổn hại về thông tin còn nguy hiểm hơn Ví dụ những thông tinđộc quyền hoặc bí mật của công ty mà bạn cần giấu kín Bạn có một ý tưởng và xây dựng thành một côngtrình, bạn chuẩn bị công bố nó thì bất ngờ thấy đối thủ của mình công bố nó trước bạn Điều này tạo một
sự thiếu công bằng trong hoạt động kinh doanh, nghiên cứu Giải pháp được đưa ra đó là firewall sẽ phânloại và cô lập các hệ thống quan trọng Đối với vùng này firewall sẽ áp dụng những chính sách kiểm soáttruy cập chặt chẽ hơn
Social Engineering.
Social Engineering là kỹ thuật lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào đó nhắm
lấy cắp thông tin hoặc thuyết phục người đó làm một việc gì đó Chúng ta có thể xem tình huống sau đây
để rõ hơn
Attacker: “Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice”
Alice: “Xin chào, tôi là Alice”
Attacker: “Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điện cho cô sớm thế này…”Alice: “Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”
Attacker: “Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếu thông tin tạo account có vấnđề.”
Trang 4Alice: “Của tôi à à vâng.”
Attacker: “Tôi thông báo với cô về việc server mail vừa bị sập tối qua, và chúng tôi đang cố gắng phụchồi lại hệ thống mail Vì cô là người sử dụng ở xa nên chúng tôi xử lý trường hợp của cô trước tiên.”Alice: “Vậy mail của tôi có bị mất không?”
Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà Nhưng vì chúng tôi là nhân viên phòng dữliệu, và chúng tôi không được phép can thiệp vào hệ thống mail của văn phòng, nên chúng tôi cần cópassword của cô, nếu không chúng tôi không thể làm gì được.”
Alice: “Password của tôi à? uhm ”
Attacker: “Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi không được hỏi về vấn đề này, nhưng
nó được viết bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạnnhân)
Attacker: “Username của cô là AliceDxb phải không? Phòng hệ thống đưa cho chúng tôi username và sốđiện thoại của cô, nhưng họ không đưa password cho chúng tôi Không có password thì không ai có thểtruy cập vào mail của cô được, cho dù chúng tôi ở phòng dữ liệu Nhưng chúng tôi phải phục hồi lại mailcủa cô, và chúng tôi cần phải truy cập vào mail của cô Chúng tôi đảm bảo với cô chúng tôi sẽ không sửdụng password của cô vào bất cứ mục đích nào khác.”
Alice: “Uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”
Attacker: “Cám ơn sự hợp tác của cô Chúng tôi sẽ phục hồi lại mail của cô trong vài phút nữa.”Alice: “ Có chắc là mail không bị mất không?”
Attacker: “Tất nhiên là không rồi Chắc cô chưa gặp trường hợp này bao giờ, nếu có thắc mắc gì thì hãyliên hệ với chúng tôi Cô có thể tìm số liên lạc ở trên Internet.”
Alice: “Cảm ơn.”
Attacker: “Chào cô.”
Do bản chất của cuộc tấn công này là dựa vào sự ảnh hưởng và niềm tin nên nó không thể phòng chốngbằng firewall được
Các hướng tấn công mới như khi một lỗ hổng bảo mật được phát hiện và công bố, nó sẽ được khai thácmột cách ngay lập tực Nếu các nhà cung cấp không thể tung ra một bản vá hoặc đưa ra một giải phápthích hợp, hệ thống có thể sẽ dễ dàng bị tấn công và khai khác Điều này vô tình làm cho một phần mềmthông thường không có “mục đích xấu” trở thành mục tiêu của các kẻ tấn công Và từ đây kẻ tấn công cóthể thông qua ứng dụng đó khai thác hệ thống của bạn
1.2 Các giải pháp bảo mật dành cho mạng máy tính.
Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải phải sử dụng đồng thờinhiều mức bảo vệ khác nhau tạo thành một lớp "rào chắn" đối với các hoạt động xâm phạm Việc bảo vệthông tin trên mạng chủ yếu là bảo vệ thông tin được lưu trữ trong máy tính, đặc biệt là trong các servermạng Hình sau sẽ mô tả các lớp bảo vệ thông dụng hiện nay để bảo vệ thông tin tại các trạm của mạng
Trang 5 Lớp thứ tư là lớp bảo vệ vật lý (Physical Protection) nghĩa là ta sẽ ngăn chặn các quyền truy cậpvật lý vào hệ thống
Lớp thứ năm (Firewall): Cài đặt các hệ thống firewall (firewall) nhằm ngăn chặn các thâm nhậptrái phép, lọc các gói tin mà ta không muốn gửi đi hoặc nhận vào
Trong phạm vi nghiên cứu của đề tài, chúng ta sẽ chỉ nghiên cứu đến lớp bảo vệ thứ năm đó làfirewall Firewall và mã nguồn mở Mỗi doanh nghiệp, tổ chức hay cá nhân đều có nhu cầu bảo vệ thôngtin của mình Họ có thể lựa chọn nhiều giải pháp xây dựng firewall khác nhau để phục vụ cho mục đíchcủa mình Firewall thì có rất nhiều loại từ loại firewall cứng, firewall mềm, các sản phẩm thương mại haycác sản phẩm mã nguồn mở khác Việc lựa chọn triển khai một sản phẩm firewall nào tùy thuộc vào nhiềuyếu tố khác nhau như kinh phí, yêu cầu về tính bảo mật của doanh nghiệp cá nhân đó, hiệu quả kinh tế,trình độ người quản trị, số lượng thông tin cần bảo vệ
Những ưu điểm của firewall dựa trên mã nguồn mở đó là:
Trước tiên nó là một dạng FOSS nên có những ưu thế như mã mở, cộng đồng người sử dụng lớnnên bạn hoàn toàn có thể nhận được sự giúp đỡ một cách dễ dàng, phát triển liên tục
Dựa trên nền tảng các hệ điều hành *nix Ưu điểm của các hệ điều hành này so với các hệ điềuhành khác đã được chứng minh qua thời gian, hiểu quả và tính bảo mật của nó
Trang 6 Chi phí để chi trả cho firewall dựa trên mã nguồn mở gần như bằng không, bạn có thể downloadtrực tiếp trên trang chủ và sử dụng cũng như có thể trả tiền để nhận được sự support tốt hơn từnhà sản xuất
Đáp ứng được các công nghệ tiên tiến như lọc gói theo trạng thái, proxy, ngoài ra còn có thể kếthợp nhiều tính năng khác như VPN, DHCP phần này chúng ta sẽ thảo luận sâu hơn ở nhữngphần tiếp theo của bài báo cáo
Firewall cứng: Là những firewall được tích hợp sẵn trên Router hoặc trên các thiết bị chuyêndụng
+ Hoạt tính cao hơn so với firewall mềm
+ Tốc độ xử lý nhanh hơn
+ Bảo mật cao hơn
+ Chi phí đắt hơn so với firewall mềm
Firewall mềm: Là những firewall được cài sẵn trên Server
+ Hoạt tính không cao bằng firewall cứng
+ Tốc độ xử lý chậm, phụ thuộc hệ điều hành
+ Tiện lợi, có thể cài đặt dễ dàng trên các máy server
+ Đa dạng, chi phí thấp hơn so với firewall cứng
Trang 72.2 Chức năng
Tất cả các firewall đều có một số đặc điểm chung và chức năng giúp chúng ta có thể xác địnhnhững việc mà firewall có thể làm được Về cơ bản firewall phải có khả năng thực hiện các nhiệm vụ sau:
Quản lý và kiểm soát lưu lượng mạng ( Manage and Control network traffic)
Xác thực truy cập (Authenticate Access)
Hoạt động như một thiết bị trung gian (Act as an intermediary)
Bảo vệ tài nguyên (Protect Resources)
Ghi lại và báo cáo các sự kiện (Record and report on events)
3 Cấu trúc và nguyên lý hoạt động
Bộ lọc packet ( packetfiltering router ).
Cổng ứng dụng ( Application-level gateway hay proxy server ).
Cổng mạch ( Circuite level gateway ).
Trang 8Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu
để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói hay không Các luật lệlọc gói này là dựa trên các thông tin ở đầu mỗi Packet (Packet Header ), dùng để cho phép truyền cácPacket đó ở trên mạng Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP (ICMP message type)
Giao diện Packet đến (Incomming interface of Packet)
Giao diện Packet đi (Outcomming interface of Packet)
Nếu luật lệ lọc gói được thoả mãn thì Packet được chuyển qua Firewall Nếu không Packet sẽ bị
bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó đượcxác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa,việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào cácloại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy đượctrên hệ thống mạng cục bộ
Hình 3: Packet Filters
Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói
Trang 9Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp nó đòi hỏi người quản trị mạng cần
có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và các giá trị cụ thể mà họ có thểnhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rấtkhó để quản lý và điều khiển Do làm việc dựa trên Header của các Packet, rõ ràng là bộ lọc gói khôngkiểm soát được nội dung thông tin của Packet Các Packet chuyển qua vẫn có thể mang theo những hànhđộng với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu
3.2.2 Cổng ứng dụng ( Application-level gateway hay proxy server ).
Hình 4:Application-Level Gateways
Cổng ứng dụng được thiết kế như một pháo đài với những biện pháp đảm bảo an ninh
• Luôn chạy các version an toàn (secure version) của các phần mềm hệ thống
• Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host
• Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau
• Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định
• Mỗi proxy duy trì một quyển nhật ký
Trang 10• Mỗi proxy đều độc lập với các proxies khác trên bastion host
Ưu điểm:
• Cho phép người quản trị mạng điều khiển được từng dịch vụ trên mạng
• cho phép kiểm tra độ xác thực rất tốt
• Luật lệ lọc filltering dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet
Nhược điểm:
• Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy
nhập vào các dịch vụ proxy
3.2.3 Cổng vòng ( Circuite level gateway ).
Circuit-Level Gateways hoạt động ở mức session của mô hình OSI hoặc lớp TCP của mô hình TCP/IP Chúng giám sát việc “bắt tay” ( handshaking ) giữa các gói tin để xem xét phiên yêu cầu có hợp
lệ hay không Khi một thông tin nào đó được trao đổi với một máy tính ở xa, Circuit-Level Gateways có nhiệm vụ sửa đổi thông tin đó để chúng trông có vẻ như xuất phát từ Circuit-Level Gateways Nó làm việc như một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kế nối bên ngoài(outside connection) Điều này thật sự hữu dụng trong việc che giấu thông tin về một mạng nội bộ mà nó đang bảo vệ, tuy nhiên nhiệm vụ của CircultLevel gateways đơn giản là chuyển tiếp các packet nên có một hạn chế là không thực hiện lọc gói tin bên trong kết nối đó Circult-Level gateways thường được sử dụng cho những kết nối ra ngoài, nơi mà những người quản trị thật sự tin tưởng những người dùng bên trong mạng nội bộ
Trang 11Chức năng đầu tiên và cơ bản nhất mà tất cả các firewall đều phải thực hiện được đó là quản lý vàkiểm soát lưu lượng mạng Điều này có nghĩa là nó sẽ phải biết được những gói tin nào đi qua nó, cónhững kết nối nào thông qua nó Đồng thời nó sẽ kiểm soát các gói tin vào ra và các kết nối với hệ thống
của bạn Firewall sẽ làm điều này bằng cách kiểm tra các gói dữ liệu và giám sát các kết nối đang được
thực hiện Sau đó dựa vào kết quả kiểm tra gói tin và các kết nối bị giám sát đó nó sẽ đưa ra quyết địnhcho phép hay từ chối truy cập
Kiểm tra gói tin (Packet Inspection): là quá trình chặn và xử lý dữ liệu trong một gói tin nhằm
xác định liệu cho nên cho phép hoặc từ chối gói tin đó theo những chính sách truy cập đã được xác định.Quá trình này có thể dựa vào bất kỳ yếu tố nào hoặc tất cả các yếu tố sau đây để đưa ra quyết định lọc gói
Kết nối và trạng thái của kết nối (Connection và State)
Giả sử chúng ta có hai máy tính sử dụng giao thức TCP/IP muốn giao tiếp với nhau thì chúng sẽphải thiết lập một vài kết nối với nhau Kết nối này nhằm mục đích
Thứ nhất là hai máy có thể định danh nhau, điều này đảm bảo rằng hệ thống của bạnkhông cung cấp dữ liệu cho một máy tính không tham gia kết nối
Thứ hai nó được sử dụng để xác định cách thức mà hai máy tính liên lạc với nhau, ở đâynghĩa là nó sẽ sử dụng connection-oriented (TCP) hay connectionless (UDP và ICMP) Cấu trúc của một kết nối có thể giúp ta xác định trạng thái truyền thông giữa hai máy tính
Ví dụ: Nếu Bob hỏi John một câu hỏi, thì phản ứng thích hợp của John trong trường hợp này là “trả lời câu hỏi của Bob” Như vậy ta có thể nói tại thời điểm Bob hỏi John thì trạng thái của cuộc đàm thoại này
là “đang chờ đợi” một câu trả lời từ John Việc xác định trạng thái của kết nối nhằm mục đích gì? Việc
xác định trạng thái của kết nối và phản ứng tiếp theo mà máy tính sẽ làm giúp ta xây dựng một cơ chế lọcgói thông minh hơn Ví dụ firewall có thể giám sát trạng thái của một kết nối và đưa ra yêu cầu cho phéphay từ chối gói tin nào đó Một máy tính khi tạo một kết nối tới một máy tính đầu tiên nó gửi yêu cầu kếtnối tới máy tính đó (SYN) Firewall biết rằng sau yêu cầu kết nối này thì máy tính đích sẽ phải trả về mộtyêu cầu phản hồi nào đó (ví dụ SYN/ACK) Việc xác định này được firewall thực hiện bằng cách lưu mộtbảng trạng thái theo dõi tất cả các kết nối đi qua nó từ khi kết nối được khởi tạo cho đến khi kết thúc Nếumáy tính đích không trả về một phản hồi phù hợp với yêu cầu kết nối từ máy A hoặc phản hồi đó không
hề có trong bảng trạng thái (State Table) thì gói tin đó sẽ bị hủy
Statefull Packet Inspection.
Trang 12Packet Inspection mặc dù có ưu điểm về tốc độ và khả năng kiểm soát các gói tin theo yêu cầu
cho trước khá tốt nhưng nó lại có một khuyết điểm khá nghiêm trọng
Ví dụ kẻ tấn công cố tình thay đổi các thông số và các tùy chọn trong packet nhằm mục đích “đi qua firewall một cách hợp pháp” Ví dụ: Thông thường các bộ lọc gói tin sẽ drop tất cả các gói ICMP
Echo Request tạo ra từ công cụ ping để tránh tình trạng DDoS hoặc bị thăm dò thông tin Tuy nhiên kẻtấn công có thể sử dụng kỹ thuật ACK Scan Nmap, kỹ thuật này nghĩa là thay vì gửi một gói tin ICMP kẻtấn công sẽ tạo một packet với flag ACK được active rồi gửi đến port 80 chẳng hạn Các Static PacketFilter khi kiểm tra gói tin sẽ thấy cờ ACK được active nên nó nghĩ rằng đây là packet trả lời cho SYNpacket từ trước đó nên nó sẽ cho qua
Stateful Packet Inspection là một cơ chế lọc gói thông minh, nó có thể nhận dạng và theo dõi
*state* của một connection bằng cách lưu trữ tất cả các thông tin về connection đó, từ lúc khởi tạo cho
đến khi kết thúc vào một "table" Sau này nó sẽ sử dụng "table" này để kiểm tra các gói tin tương tự, ví dụ
nếu máy chủ không gửi một gói SYN thì không thể tự nhiên có một gói ACK được trả lời được
Firewall Authentiaction Access Việc sử dụng cơ chế lọc gói tin đã giúp bạn hạn chế việc truy
cập tài nguyên từ những nguồn không mong muốn Điều này đã hạn chế được phần nào mối nguy hiểmđối với tài nguyên của bạn Tuy nhiên, hay thử tưởng tượng kẻ tấn công sẽ giả mạo một địa chỉ IP nào đóđáng tin cậy nào đó và lúc đó hắn có thể đàng hoàng truy cập tài nguyên của bạn Lúc này bạn cần thêmmột cơ chế nào đó giúp cho tài nguyên của bạn an toàn hơn.Firewall cung cấp cho bạn một cơ chế xácthực truy cập nhằm loại bỏ những nguy cơ trên Cơ chế xác thực đơn giản nhất đó là yêu cầu người dùngcung cấp username và password khi họ muốn truy cập tài nguyên của bạn Thông tin về username vàpassword này phải được người quản trị tạo ra trên máy chủ cần truy cập từ trước đó Khi người dùng cốgắng truy cập vào một máy chủ nào đó, máy chủ đó sẽ thông báo yêu cầu người sử dụng nhập vàousername và password trước khi kết nối Nếu đúng thì máy chủ sẽ cho phép kết nối ngược lại nếu sai thìkết nối sẽ hủy bỏ
Ưu điểm của cơ chế xác thực này là ngoài xác thực bạn hoàn toàn có thể áp dụng những chínhsách bảo mật lên từng username riêng biệt (ví dụ cấp cho user đó có chỉ có quyền đọc trong thư mục Datanhưng được phép tạo, xóa sửa tài liệu trong mục Chung) Một cơ chế xác thực thứ hai đó là sử dụngCertificate và khóa công khai (Public Keys) Ưu điểm của việc sử dụng cơ chế xác thực này so với xácthực bằng username và password đó là nó không cần đến sự can thiệp của người dùng Người dùng sẽkhông cần phải vất vả nhập username và password nữa Hệ thống sẽ tạo ra một cặp khóa Private keys vàPublic key Cơ chế này khá hiệu quả khi triển khai trên quy mô lớn Ngoài hai cơ chế xác thực trên thìngười ta còn sử dụng một cơ chế xác thực khác nữa đó là sử dụng Pre-shared key (PSKs) Khóa này đãđược tạo ra từ trước và chia sẻ cho người dùng thông qua một kênh an toàn Ưu điểm của nó là ít phức tạphơn so với việc xác thực bằng Certificate đồng thời nó cũng cho phép xác thực mà không cần sự can thiệpcủa người dùng Một nhược điểm của PSKs đó là nó hiếm khi thay đổi và được sử dụng chung nên nó cóthể làm hỏng quá trình xác thực Bằng cách xác thực truy cập, firewall đã bổ sung thêm một giải pháp đểđảm bảo một kết nối có hợp pháp hay không Ngay cả khi gói tin đó vượt qua được cơ chế lọc gói tinnhưng không thể xác thực thì nó cũng bị hủy
Hoạt động như một thiết bị trung gian