Tác dụng của tường lửa: một tường lửa có thể lọc lưu lượng từ các nguồn truy cập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể pháhoại hay làm tê liệt hệ thống của
Trang 1TRƯỜNG ĐẠI HỌC QUY NHƠN
KHOA CÔNG NGHỆ THÔNG TIN
−−−۩۩۩−−−
BÁO CÁO MÔN HỌC
AN TOÀN THÔNG TIN
Tên đề tài:
Hệ thống phòng thủ bằng bức tường lửa
(Firewall)
GVHD : TS NGUYỄN HỒNG QUANG
Quy Nhơn, tháng 02 năm 2018
Trang 2MỤC LỤC
1 Tường lửa là gì? 4
2 Các thành phần của Tường lửa 5
2.1 Packet filtering 5
2.2 Circuit-level firewalls 6
2.3 Application gateways 7
3 Cấu hình Packet Filter 8
4 Bảo mật và Hiệu suất của Bộ lọc gói tin 9
4.1 IP address spoofing 9
4.2 Tiny fragment attacks 10
5 Cổng mạng 11
6 Cổng tường lửa 12
7 Bộ lọc mức ứng dụng 13
8 Bastion Host 14
8.1 Khái niệm 14
8.2 Những đặc điểm của Bastion Host 14
8.3 Những biện pháp đảm bảo an ninh của một Bastion host 15
9 Cổng vòng (Circuit Level Gateway) 18
10 Dynamic Packet filters 19
11 Các kiểu topology trong mạng LAN 21
11.1 Mạng dạng hình sao (Star topology) 22
11.2 Mạng dạng vòng (Ring Topology) 23
11.3 Mạng dạng tuyến ( BUS topology) 24
12 IP spoofing 25
13 Quy tắc cổng ngoài 26
14 Các tuyến không đối xứng 29
15 Bộ lộc gói tin động có an toàn? 29
- So sánh với các gateway mạch, miễn là chiến lược thực hiện đơn giản 29
Trang 316.1 Hạn chế của tường lửa phân tán 30
17 Bộ lọc tường lửa ở đâu? 30
18 Lồng ghép bộ lọc gói dữ liệu động 30
19 Mỗi bảng giao diện được tư vấn bởi Bộ lọc gói động 30
Trang 41 Tường lửa là gì?
Tường lửa (Firewall) là một bức rào chắn giữa mạng nội bộ (local network)
với một mạng khác (chẳng hạn như Internet), điều khiển lưu lượng ra vào giữa hai mạng này Nếu như không có tường lửa thì lưu lượng ra vào mạng nội bộ sẽ khôngchịu bất kỳ sự điều tiết nào, còn một khi tường lửa được xây dựng thì lưu lượng ra vào sẽ do các thiết lập trên tường lửa quy định
Tác dụng của tường lửa: một tường lửa có thể lọc lưu lượng từ các nguồn
truy cập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể pháhoại hay làm tê liệt hệ thống của bạn Ngoài ra vì các nguồn truy cập ra vào giữamạng nội bộ và mạng khác đều phải thông qua tường lửa nên tường lửa còn có tácdụng theo dõi, phân tích các luồng lưu lượng truy cập và quyết định sẽ làm gì vớinhững luồng lưu lượng đáng ngờ như khoá lại một số nguồn dữ liệu không chophép truy cập hoặc theo dõi một giao dịch đáng ngờ nào đó
Do đó, việc thiết lập tường lửa là hết sức quan trọng, đặc biệt là đối vớinhững máy tính thường xuyên kết nối internet
Trang 52 Các thành phần của Tường lửa
- Địa chỉ IP nguồn (IP Source Address)
- Địa chỉ IP đích (IP Destination Address)
- Protocol (TCP, UDP, ICMP, IP tunnel)
- TCP/UDP source port
- TCP/UDP destination port
- Dạng thông báo ICMP (ICMP message type)
- Cổng gói tin đến (Incomming interface of packet)
- Cổng gói tin đi (Outcomming interface of packet)
Packet filtering routerNếu rules lọc gói được thỏa mãn thì packet được chuyển qua firewall, nếu không packet sẽ bị bỏ đi Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Ngoài ra, việc kiểm soát các
Trang 6cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó hoặc những dịch vụ nào đó (SSH, SMTP, FTP…) được phép mới chạy được trên hệ thống mạng cục bộ.
Ưu điểm:
– Đa số các hệ thống firewall đều được sử dụng bộ lọc gói tin Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói
đã có sẵn trong các router
– Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng
vì vậy nó không yêu cầu người sử dụng phải thao tác gì cả
Nhược điểm:
– Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet, các dạng packet header Khi yêu cầu về lọc gói tin càng lớn, các rules càng trở nên phức tạp
do đó rất khó quản lý và điều khiển
– Do làm việc dựa trên header của các packet nên bộ lọc không kiểm soát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu
2.2 Circuit-level firewalls
Circuit Level Gateway – cổng vòng – là một chức năng đặc biệt có thể thựchiện bởi một cổng ứng dụng Cổng vòng đơn giản chỉ là chuyển tiếp các kết nốiTCP mà không thực hiện bất kì một hành động xử lý hay lọc gói nào
Hình sau minh họa một hành động sử dụng kết nối telnet qua cổng vòng.Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiệnmột sự kiểm tra, lọc hay điều khiển các thủ tục telnet nào Cổng vòng làm việc nhưmột sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và cáckết nối bên ngoài (outside connection) Tuy nhiên vì sự kết nối này xuất hiện từ hệthống firewall nên nó che dấu thông tin về mạng nội bộ
Trang 7Circuit Level GatewayCổng vòng thường được sử dụng cho những kết nối ra ngoài Ưu điểm lớnnhất là một Bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổngứng dụng cho những kết nối đến và cổng vòng cho các kết nối đi Điều này làmcho hệ thống firewall dễ dàng sử dụng cho người dùng trong mạng nội bộ muốntrực tiếp truy câp tới các dịch vụ internet, trong khi vẫn cung cấp chức năng bảo vệmạng nội bộ từ những sự tấn công bên ngoài.
2.3 Application gateways
Đây là một loại firewall được thiết kế dể tăng cường chức năng kiểm soátcác loại dịch vụ, giao thức truy cập vào hệ thống mạng Cơ chế hoạt động của nódựa trên cách thức gọi là proxy service Proxy service là các bộ code đặc biệt càiđặt trên cổng ra (gateway) cho từng ứng dụng Nếu người quản trị mạng không càiđặt proxy service cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không đượccung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code
có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngườiquản trị cho là chấp nhận được trong khi từ chối những đặc điểm khác
Application gatewayMột cổng ứng dụng thường được coi như là một Bastion host bởi vì nó đượcthiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo
an ninh của một Bastion host là:
– Bastion host luôn chạy các version an toàn (secure version) của các phầnmềm hệ điều hành (Operating system) Các version an toàn này được thiết kếchuyên cho mục đích chống lại sự tấn công vào hệ điều hành (Operating system)cũng như là đảm bảo sự tích hợp firewall
– Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được càiđặt trên Bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nókhông thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các
Trang 8dịch vụ telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastionhost.
– Bastion host có thể yêu cầu nhiều mức độ khác nhau ví dụ như username
và password hay smart card
Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số các máychủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxychỉ đúng với một số máy chủ trên toàn hệ thống
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của dữ liệumạng đi qua nó Điều này có nghĩ là bộ lệnh và đặc điểm thiết lập cho mỗi proxychỉ đúng với một số máy chủ trên toàn hệ thống
Mỗi proxy đều độc lập với các proxy khác trên Bastion host Điều này chophép dễ dàng cài đặt một proxy mới hay tháo gỡ một proxy
Ưu điểm:
– Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào cóthể truy cập bởi các dịch vụ
– Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhậy ký ghichép lại thông tin về truy cập hệ thống
– Rule lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với bộlọc gói
Nhược điểm: Cần phải có sự cấu hình trên máy user để user truy cập vào
các dịch vụ proxy Ví dụ telnet
3 Cấu hình Packet Filter
- Khi cấu hình Packet Filter trên Firewall chúng ta cần lưu ý cách thức cấuhình như sau:
+ Chỉ định các gói cho phép trong các biểu thức logic + Viết lại các biểu thức theo cú pháp được nhà cung cấp hỗ trợ+ Quy tắc chung khi thiết lập Rule đó là: Đặc quyền ít nhất+ Tất cả những gì không cho phép rõ ràng đều bị cấm
Trang 9+ Loại bỏ nó tất cả những Rule không cần thiết.
-Mỗi Rule được khi thiết lập sẽ có dạng như sau:
Ví dụ: Giả sử chúng ta muốn cho phép gửi thư đến (SMTP, cổng 25) nhưng
chỉ cho máy gateway Cũng giả sử rằng thư từ một số trang web cụ thểSPIGOT sẽ bị chặn
Hạn chế ở đây được xác định là chỉ dựa trên số cổng của máy chủ bênngoài, mà người quản trị không có cách kiểm soát Bây giờ một kẻ thù cóthể truy cập vào bất kỳ máy nội bộ và cổng bằng cách bắt đầu cuộc gọi củamình từ cổng 25 trên máy bên ngoài
ACK biểu thị các gói tin là một phần của một cuộc trò chuyện đangdiễn ra Các gói không có ACK là các thông điệp thiết lập kết nối, mà chúng
ta chỉ cho phép từ các máy chủ nội bộ
4 Bảo mật và Hiệu suất của Bộ lọc gói tin
4.1 IP address spoofing
Khi một máy tính ở bên ngoài hệ thống mạng của bạn “giả vờ” là một máytính đáng tin cậy trong hệ thống, hành động này của kẻ tấn công được gọi là IPSpoofing
Để truy cập vào hệ thống mạng của bạn, máy tính bên ngoài phải “giành”được một địa chỉ IP tin cậy trên hệ thống mạng Vì vậy kẻ tấn công phải sử dụngmột địa chỉ IP nằm trong phạm vi hệ thống mạng của bạn Hoặc cách khác là kẻtấn công có thể sử dụng một địa chỉ IP bên ngoài nhưng đáng tin cậy trên hệ thốngmạng của bạn
Trang 10Các địa chỉ IP có thể được hệ thống tin tưởng là bởi vì các địa chỉ này có cácđặc quyền đặc biệt trên các nguồn tài nguyên quan trọng trên hệ thống mạng.
Một số cách tấn công khác nhau của IP Spoofing?
- Tấn công dữ liệu hoặc thiết lập các lệnh tồn tại trên dòng dữ liệu đangđược chuyển đổi giữa một client và ứng dụng Server (máy chủ)
- Tấn công dữ liệu hoặc các lệnh trong kết nối mạng ngang hàng peer)
(peer-to-Tuy nhiên kẻ tấn công cũng phải thay đổi bảng định tuyến (routing table)trên hệ thống mạng Việc thay đổi bảng định tuyến (routing table) trên hệ thốngmạng cho phép kẻ tấn công có được thông tin liên lạc 2 chiều Với mục đích này,
kẻ tấn công “nhắm” vào tất cả bảng định tuyến (routing table) thành địa chỉ IP giảmạo
Một khi bảng định tuyến (routing table) đã thay đổi, những kẻ tấn công bắtđầu nhận tất cả các dữ liệu được chuyển từ hệ thống mạng đến địa chỉ IP giả mạo.Thậm chí những kẻ giả mạo này có thể phản hồi lại các gói dữ liệu giống như mộtngười dùng tin cậy
4.2 Tiny fragment attacks
Một cuộc tấn công Tiny fragment attacks là quá trình chia nhỏ một gói tin
Internet Protocol (IP) đơn thành nhiều gói có kích thước nhỏ hơn Mỗi liên kết
Trang 11mạng có một kích thước đặc trưng của tin nhắn có thể được truyền đi, được gọi làđơn vị truyền tải tối đa (MTU) Nếu kích thước gói dữ liệu được thực hiện đủ nhỏ
để bắt buộc một số trường tiêu đề TCP của gói tin TCP vào đoạn dữ liệu thứ hai,các quy tắc lọc xác định các mẫu cho các trường này sẽ không khớp Nếu việc thựchiện lọc không thực thi một kích thước phân mảnh tối thiểu, gói tin không đượcphép có thể được truyền vì nó không đạt được kết quả phù hợp trong bộ lọc
Mỗi mô-đun Internet phải có khả năng chuyển tiếp một gói tin gồm 68 byte
mà không bị phân mảnh thêm nữa Đó là bởi vì một tiêu đề Internet có thể lên đến
60 octet, và đoạn nhỏ nhất là 8 octet Các cuộc tấn công phân mảnh IP (tấn công)
sử dụng giao thức phân mảnh trong IP như một vector tấn công
- Port cũng có phân chia làm Internal và External - Số hiệu từ 1 -> 65535
6 Tường lửa - Bộ lọc Gói Stateful
- Bộ lọc gói truyền thống không kiểm tra ngữ cảnh lớp cao hơn, tức là kếthợp các gói trả lại với lưu lượng đi ra Bộ lọc gói Stateful đáp ứng nhu cầu này, nókiểm tra mỗi gói IP trong ngữ cảnh, theo dõi các phiên máy khách-máy chủ và
Trang 12kiểm tra mỗi gói hợp lệ Do đó có thể phát hiện được các gói tin giả mạo không cóngữ cảnh.
6 Cổng tường lửa
Tường lửa chạy tập hợp các chương trình proxy và bộ lọc proxy sẽ lọc cácgói tin gửi đến, gửi đi Tất cả lưu lượng truy cập đến trực tiếp vào tường lửa và tất
cả lưu lượng đi ra phải đi ra từ tường lửa
Tất cả các chính sách đi qua Proxy đều được nhúng vào trong các Proxyserver
Có tất cả 2 loại Proxies/Gateways:
- Một loại được điều chỉnh cho các loại dịch vụ http, ftp, smtp, v.v
- Một loại làm việc ở mức TCP
Trang 137 Bộ lọc mức ứng dụng
Có 2 mức cơ bản đó như sau:
- Có toàn quyền truy cập vào giao thức
+ Yêu cầu người dùng yêu cầu dịch vụ từ proxy
+ Proxy xác nhận yêu cầu là hợp pháp
+ Sau đó hành động yêu cầu và trả về kết quả cho người dùng
- Cần các dịch vụ Proxy chuyên biệt cho từng ứng dụng như:
+ E.g., SMTP (E-Mail)
+ NNTP (Net news)
+ DNS (Domain Name System)
+ NTP (Network Time Protocol)
+ Những dịch vụ khác chưa hỗ trợ
Trang 148 Bastion Host
8.1 Khái niệm
Bastion host là những máy mà ở đó, công tác bảo vệ nó được cán bộ quản trịmạng đặc biệt quan tâm Một cổng ứng dụng thường được coi như là một pháo đài(bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bênngoài
8.2 Những đặc điểm của Bastion Host
- Internet có thể“nhìn thấy” bastion host Trong trường hợp bastion host làcổng ra vào mạng của chúng ta như G ngoài, tất cả các kết nối vào hệ thống máychủ của chúng ta đều phải đi qua Bastion host và dĩ nhiên, tất cả Internet đều có thểkết nối với máy này
- Bastion host ít khi được bảo vệ bởi thiết bị khác chống lại các tấn côngthông qua mạng Trong nhiều trường hợp nhiệm vụ bản thân bastion là bảo vệ máykhác
- Bastion phải có khả năng tự bảo vệ Các quản trị viên phải thiết kế Bastionhost sao cho khó có thể“bẻ” khóa để xâm nhập vào nhất Đặc biệt, các nguy cơ bịxâm nhập tới quyền root phải giảm xuống tối thiểu
- Bastion host luôn được giả thiết là bị xâm nhập Do Bastion host là nhữnglớp phòng thủ đầu tiên, nên nó có nguy cơ bị xâm nhập lớn nhất Trong các thiết kế
Trang 15firewall, chúng ta phải luôn đánh giá được mức độ thiệt hại cũng như khả năngphục hồi bastion host một khi nó bị xâm nhập.
- Hoạt động của bastion host cần được kiểm soát chặt chẽ nhất Các quản trịviên phải chú ý tới hệ thống log, các công cụ kiểm tra tính toàn vẹn của hệ thốngtập tin của Bastion host để phát hiện sớm nhất các ý định xâm nhập, hay việc xâmnhập các máy này
8.3 Nh ng bi n pháp đ m b o an ninh c a m t Bastion host ững biện pháp đảm bảo an ninh của một Bastion host ện pháp đảm bảo an ninh của một Bastion host ảm bảo an ninh của một Bastion host ảm bảo an ninh của một Bastion host ủa một Bastion host ột Bastion host
Bastion host luôn chạy các version an toàn (secure version) của các phầnmềm hệ thống (Operating system) Các version an toàn này đợc thiết kế chuyêncho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sựtích hợp firewall
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặttrên bastion host, đơn giản chỉ vì nếu một dịch vụ không đợc cài đặt, nó không thể
bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch
vụ Telnet, DNS, FTP, SMTP và xác thực user là đợc cài đặt trên bastion host
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nhưuser password hay smart card Mỗi proxy được đặt cấu hình để cho phép truy nhậpchỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểmthiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giaothông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có íchtrong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại
Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này chophép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấnđể
Ưu điểm
Cho phép ngời quản trị mạng hoàn toàn điều khiển đợc từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào cóthể truy nhập đợc bởi các dịch vụ