Slide Firewall tieu luan an ninh mang

=> Virus, worm và trojan có thể phòng chống bằng cách sử dụng firewall hoặc các phần mềm diệt virus có tích hợp sẵn firewall Các giải pháp bảo mật dành cho mạng máy tính • Vì không có m

FireWall OverView

2 Ngô Quốc Hiếu

4 Nguyễn Xuân Nam

3 Đào Đức Phúc Nhóm 8:

1 Trần Văn Đoàn

CÁC MỐI NGUY HIỂM VÀ CÁC PHÒNG

TRÁNHCác mối nguy hiểm

• Virus máy tính: là một chương trình hay một đoạn

mã được thiết kế để tự nhân bản và sao chép chính

nó vào các đối tượng lây nhiễm khác như file, thư

mục, ổ đĩa

• Worm (sâu máy tính): tương tự như virus nó cũng

có khả năng tự nhân bản và lây lan Điểm đặc biệt

của nó là nó có thể lây lan qua hệ thống mạng còn

virus thì không thể

•Trojan: Là một chương trình tương tự như virus, chỉ

khác là nó không thể tự nhân bản Trojan sẽ ẩn mình

vào một chương trình tin cậy nào đó và khi bạn thực

thi chương trình đó thì trojan nó cũng được khởi động

=> Virus, worm và trojan có thể phòng chống bằng

cách sử dụng firewall hoặc các phần mềm diệt virus

có tích hợp sẵn firewall

Các giải pháp bảo mật dành cho mạng máy tính

• Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành một lớp

"rào chắn" đối với các hoạt động xâm phạm

• Việc bảo vệ thông tin trên mạng chủ yếu là bảo

vệ thông tin được lưu trữ trong máy tính, đặc biệt

là trong các server mạng

CÁC GIẢI PHÁP BẢO MẬT

Các giải pháp bảo mật dành cho mạng máy tính

• Lớp bảo vệ trong cùng là quyền truy cập (Access Right) nhằm kiểm soát các tài nguyên (thông tin) của mạng và quyền hạn (người dùng có thể làm gì trên tài nguyên đó)

• Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy cập gồm username và password tương ứng (Login/Password)

• Lớp thứ ba sử dụng các phương pháp mã hóa (Encryption) Dữ liệu sẽ được mã hóa bằng một thuật toán nào đó để hạn chế việc dù lấy được dữ liệu nhưng tin tặc cũng chưa chắc có khả năng đọc nó

• Lớp thứ tư là lớp bảo vệ vật lý (Physical Protection) nghĩa là ta sẽ ngăn chặn các quyền truy cập vật lý vào hệ thống

• Lớp thứ năm (Firewall): Cài đặt các hệ thống firewall (firewall) nhằm ngăn chặn các thâm nhập trái phép, lọc các gói tin mà ta không muốn gửi đi hoặc nhận vào

Hình 1.1: Các lớp trong an toàn mạng

FIREWALL LÀ GÌ?

Khái niệm:

• Firewall là một kỹ thuật được tích hợp vào hệ

thống mạng để chống lại sự truy cập trái phép nhằm

bảo vệ các nguồn thông tin nội bộ cũng như hạn chế

sự xâm nhập vào hệ thống của một số thông tin khác

không mong muốn

• Firewall là một ứng dụng chạy giữa mạng cá nhân

và Internet

• Trong mọi trường hợp nó phải có ít nhất hai giao

tiếp mạng, một cho mạng mà nó bảo vệ, một cho

mạng công cộng bên ngoài như Internet

 Firewall cứng: Là những firewall được tích

hợp sẵn trên Router hoặc trên các thiết bị chuyên dụng

+ Hoạt tính cao hơn so với firewall mềm

+ Tốc độ xử lý nhanh hơn

+ Bảo mật cao hơn

+ Chi phí đắt hơn so với firewall mềm

 Firewall mềm: Là những firewall được cài sẵn

trên Server

+ Hoạt tính không cao bằng firewall cứng

+ Tốc độ xử lý chậm+ Có thể cài đặt dễ dàng trên các máy server

+ Chi phí thấp hơn so với firewall cứng

CHỨC NĂNG

Chức năng

 Quản lý và kiểm soát lưu lượng mạng

(Manage and Control network traffic).

 Xác thực truy cập (Authenticate Access)

 Hoạt động như một thiết bị trung gian (Act

as an intermediary)

 Bảo vệ tài nguyên (Protect Resources)

 Ghi lại và báo cáo các sự kiện (Record and

CẤU TRÚC

Cấu trúc

Firewall bao gồm:

 Một hoặc nhiều hệ thống máy chủ kết nối với

các bộ định tuyến (router) hoặc là có chức năng

router

 Các phần mềm quản lý an ninh chạy trên hệ

thông máy chủ Thông thường là các hệ quản trị

NGUYÊN LÝ HOẠT ĐỘNG

Nguyên lý hoạt động:

 Bộ lọc paket (Paket filterring router):

+) Firewall hoạt động chặt chẽ với giao thức TCI/IP chúng chia nhỏ các dữ

liệu nhận được thành các gói dữ liệu

+) Mỗi gói được so sánh với tập hợp các tiêu chí trước khi được chuyển

+) Việc định nghĩa các chế độ lọc package là một việc khá phức tạp

+) bộ lọc packet không kiểm soát được nôi dung thông tin của packet Hình 3.1 Mô hình OSI 7

+) Chỉ những dịch vụ mà người quản trị mạng cho

là cần thiết mới được cài đặt trên bastion host

+) Bastion host có thể yêu cầu nhiều mức độ xác

thực khác nhau

+) Mỗi proxy được đặt cấu hình để cho phép truy

nhập chỉ một sồ các máy chủ nhất định

+) Mỗi proxy duy trì một quyển nhật ký

+) Mỗi proxy đều độc lập với các proxies khác trên

Nhược điểm:

+) Yêu cầu các users thay đổi thao tác, hoặc

thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy

• Cổng vòng thường được sử dụng cho những kết

nối ra ngoài, nơi mà các quản trị mạng thật sự tin

tưởng những người dùng bên trong

• Một bastion host có thể được cấu hình như là một

hỗn hợp cung cấp cổng ứng dụng cho những kết

nối đến, và cổng vòng cho các kết nối đi

ỨNG DỤNG

 Ứng dụng

• Quản lý và kiểm soát lưu lượng mạng:

+) Chức năng đầu tiên và cơ bản nhất mà tất cả

các firewall đều phải thực hiện được đó là quản lý và

kiểm soát lưu lượng mạng Điều này có nghĩa là nó

sẽ phải biết được những gói tin nào đi qua nó, có

những kết nối nào thông qua nó

+) kiểm soát các gói tin vào ra và các kết nối với

hệ thống của bạn Firewall sẽ làm điều này bằng

cách kiểm tra các gói dữ liệu và giám sát các kết

nối đang được thực hiện

• Kiểm tra gói tin (Packet Inspection):

+) là quá trình chặn và xử lý dữ liệu trong một gói tin nhằm xác định liệu cho nên cho phép hoặc từ chối gói tin đó theo những chính sách truy cập đã được xác định

+) Việc kiểm tra gói tin sẽ phải được thực hiện trên

mọi hướng (cả hướng ra và hướng vô) và trên mọi interface, các quy tắc kiểm soát truy cập phải được

áp dụng cho mọi gói tin đi qua nó

+) Giả sử chúng ta có hai máy tính sử dụng giao thức

TCP/IP muốn giao tiếp với nhau thì chúng sẽ phải thiết

lập một vài kết nối với nhau Kết nối này nhằm mục đích

- Thứ nhất là hai máy có thể định danh nhau, điều

này đảm bảo rằng hệ thống của bạn không cung cấp dữ

liệu cho một máy tính không tham gia kết nối

- Thứ hai nó được sử dụng để xác định cách thức

mà hai máy tính liên lạc với nhau, ở đây nghĩa là nó sẽ

sử dụng connection-oriented (TCP) hay connectionless

(UDP và ICMP)

+) Cấu trúc của một kết nối có thể giúp ta xác

định trạng thái truyền thông giữa hai máy tính

• Stateful Packet Inspection :

+) là một cơ chế lọc gói thông minh, nó

có thể nhận dạng và theo dõi *state* của

một connection bằng cách lưu trữ tất cả các thông tin về connection đó, từ lúc khởi tạo cho đến khi kết thúc vào một "table"

+) nó sẽ sử dụng "table" này để kiểm tra các gói tin tương tự, ví dụ nếu máy chủ

không gửi một gói SYN thì không thể tự

nhiên có một gói ACK được trả lời được

ỨNG DỤNG

 Ứng dụng

• Hoạt động như một thiết bị trung gian

+) Nhu cầu kết nối Internet là một nhu cầu thiết

thực và không thể thiếu đối với mỗi doanh nghiệp

Tuy nhiên việc cho phép các máy tính nội bộ trong

hệ thống mạng của bạn kết nối trực tiếp ra ngoài

mạng Internet sẽ đem lại nhiều nguy hiểm

+) Người sử dụng có thể bị lợi dụng để

download về các phần mềm hay nội dung độc hại

gây nguy hiểm cho hệ thống mạng của bạn

+) Giải pháp được đưa ra đó là thay vì cho các

máy tính nội bộ kết nối trực tiếp ra ngoài ta sẽ xây

dựng firewall thành một thiết bị có nhiệm vụ “thay

mặt” các máy tính nội bộ đi ra ngoài Internet Lúc

này firewall hoạt động như một Proxy Server

• Quy trình làm việc của nó như sau:

Khi một client đi ra ngoài Internet, ví dụ ở đây là muốn truy cập website http://www.abc.com thì thay vì client sẽ gửi một request tới webserver đó

nó sẽ gửi yêu cầu tới Proxy Server Proxy Server

sẽ tiếp nhận yêu cầu đó và nếu nó hợp lệ nó sẽ xử

lý yêu cầu đó Lúc này Proxy sẽ thay mặt client đi

ra ngoài Internet lấy thông tin website http://www.abc.com về Thông tin được lấy về sẽ được Proxy Server kiểm tra sau đó nó mới được trả lại cho client Các máy tính nội bộ sẽ không nhận thấy sự khác biệt khi có Proxy Server, nó gần như là trong suốt

MỘT SỐ LOẠI FIREWALL

 Phân Loại

• Personal Firewalls

+) Đây là loại firewall được thiết kế để bảo vệ

duy nhất một máy tính trước các truy cập trái

phép Hiện nay nó đã được phát triển nên rất

nhiều và tích hợp nhiều chức năng đáng giá hơn

như diệt virus, diệt các phần mềm độc hại, phát

- Cảnh báo người dùng về những mối nguy hại

- Giám sát và điều tiết tất cả các ứng dụng sử

dụng internet

• Network firewall

+) Được thiết kế để bảo vệ toàn bộ một hệ

thống mạng máy tính Đây chính là điểm khác biệt quan trọng giữa network firewall và personal firewall

+) số lượng máy tính mà network firewall cần

bảo vệ lớn hơn rất nhiều so với số máy tính

mà personal firewall cần bảo vệ

+) Network firewall cung cấp cho doanh

nghiệp một sự linh hoạt và an toàn tối đa cho

hệ thống mạng của họ Hiện này network firewall đã được phát triển lên nhiều bằng cách tích hợp nhiều tính năng mới hơn như khả năng phát hiện xâm nhập, khả năng đọc gói tin sauu hơn

MỘT SỐ LOẠI FIREWALL

 Phân Loại

• Server-based firewall

+) Là một loại software firewall được cài đặt trên

một hệ điều hành mạng (Network Operating

System) và có chức năng của một firewall Nó có

thể được triển khai trên các nền tảng sau đây:

• Apple Mac OS X

• UNIX (Solaris, HP-UX, IBM-AIX)

• GNU/Linux

• Microsoft Windows NT

+) Nhược điểm của nó do được cài đặt trên một

hệ điều hành nên nó phụ thuộc vào hệ điều hành

đó Nếu hệ điều hành đó đó tồn tại có nhiều lỗ

hổng bảo mật thì kẻ tấn công có thể khai thác

những lỗ hổng đó để tấn công chính firewall đó

+) Một nhược điểm nữa là do hệ điều hành

được viết ra để thực hiện nhiều chức năng khác chứ không chuyên biệt để cài firewall lên

đó nên không có gì đảm bảo rằng nó sẽ đạt hiệu suất tối đa

+) nó khá thích hợp cho môi trường doanh

nghiệp vừa và nhỏ do những ưu điểm về giá

cả, quản trị dễ dàng và đáp ứng đủ các nhu cầu

KIẾN TRÚC MÔ HÌNH FIREWALL

DUAL HOMED HOST

• Là hình thức xuất hiện đầu tiên

trong cuộc đấu để bảo vệ mạng

nội bộ

• Là một máy tính có hai giao

tiếp mạng

• Để làm việc được với một máy

trên Internet, người dùng ở mạng

cục bộ trước hết phải login vào

Dual– homed Host, và từ đó

bắt đầu phiên làm việc

DUAL HOMED HOST

• Cấp các account cho user trên máy dual–

homed host này-> gây phiền phức cho user

• Kết hợp với các Proxy Server cung cấp những Proxy Service -> khó có thể cung cấp

• Dễ bị tấn công nên chỉ thích hợp khi dùng với mạng nhỏ

mềm mới được tung ra thị trường

• Không có khả năng chống tấn công

nhằm vào chính bản thân nó

SCREENED HOST

•Kết hợp 2 kỹ thuật đó là Packet

Filtering và Proxy Services

•Kiến trúc screened host hay hơn

kiến trúc dual– homed host khi đã

tách chức năng lọc các gói IP và các

Proxy Server ở hai máy riêng biệt

•Cũng tương tự như kiến trúc

Dual–Homed Host khi mà Packet

Filtering system cũng như Bastion

Host chứa các Proxy Server bị đột

nhập vào thì lưu thông của internal

network bị người tấn công thấy

SCREENED SUBNET HOST

yêu cầu cung cấp dịch vụ nhanh,

an toàn cho nhiều người sử dụng

•Kẻ tấn công cần phá vỡ ba tầng

bảo vệ: Router ngoài, Bastion Host

và Router trong

•Router trong chỉ quảng cáo

DMZ Network tới mạng nội bộ, các

hệ thống trong mạng nội bộ không

thể truy nhập trực tiếp vào Internet

•Router ngoài chỉ quảng bá DMZ

Network tới Internet, hệ thống

mạng nội bộ là không thể nhìn thấy

PROXY SERVER

•Chúng ta sẽ xây dựng Firewall theo kiến trúc

application-level gateway, theo đó một chương

trình proxy được đặt ở gateway cách một mạng

bên trong tới Internet

•Bộ chương trình proxy được phát triển dựa

trên bộ công cụ xây dựng Internet Firewall TIS

•Bộ chương trình được thiết kế để chạy trên

Unix sử dụng TCP/IP với giao diện socket

Berkeley

•Bộ chương trình proxy được thiết kế cho một

số cấu hình firewall, theo các dạng cơ bản:

dual-home gateway, screened host gateway và

screened subnet gateway

vài 3 con virus

mà đòi hại t ak?

KẾT LUẬN

•Tường lửa ngày nay đóng một vai trò quan trọng

trong việc bảo vệ mạng cuả một tổ chức nào đó tránh

được danh sách gần như vô tận các cuộc tấn công

đến từ internet Sự lựa chọn tường lửa cũng thường

quyết định cách các vịt trí từ xa kết nối với các hệ

thống trung tâm để truy cập vào các tài nguyên cần

thiết hoặc đẻ thực hiện các nhiệm vụ quan trọng dẽ

dàng như thế nào

•Không có cánh cửa bảo vệ nào có thể chống

được hoàn toàn kẻ trộm lọt vào nhà cả, nhưng nếu

cánh cửa đó có khoá tốt, ngôi nhà đó có tường cao

bao quanh và chủ nhà nuôi nhiều chó dữ, kẻ trộm sẽ

khó lòng lọt vào hơn Vì thế Firewall chỉ là một công

cụ bảo vệ hệ thống mạng máy tính, và nó cần phải

được kèm theo với rất nhiều biện pháp an toàn khác