Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall

Chính vì vậycông việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trênthế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng vàphát triển nhan

Giáo viên phụ trách: Ths Đào Thị Phương Thúy

LỜI MỞ ĐẦU

Ngày nay, việc duy trì hệ thống mạng nội bộ hoạt động ổn định, nhanhchóng, an toàn và tin cậy đang là vấn đề được các tổ chức và doanh nghiệp đặc biệtquan tâm Trong đó, yếu tố an toàn mạng luôn được đặt lên hàng đầu Chính vì vậycông việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trênthế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng vàphát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai tháctiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thựchiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được cáchành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự pháttriển cho các tổ chức kinh doanh… Nắm bắt được nhu cầu của các tổ chức vàdoanh nghiệp, một số tập đoàn công nghệ thông tin và truyền thông hàng đầu trênthế giới đã đưa ra nhiều giải pháp bảo mật cũng như các Firewall (cả phần cứng lẫnphần mềm) để bảo vệ môi trường mạng được trong sạch và an toàn

Hiện nay, các tổ chức và doanh nghiệp chọn cho mình cách bảo vệ hệ thốngmạng của họ bằng nhiều cách khác nhau như sử dụng Router Cisco, dùng tường lửaMicrosoft như ISA … Tuy nhiên những thành phần kể trên tương đối tốn

kém Vì vậy để tiết kiệm chi phí và có một tường lửa bảo vệ hệ thống mạng bêntrong (mạng nội bộ) khi mà chúng ta giao tiếp với hệ thống mạng bên ngoài(Internet) thì Firewall mã nguồn mở là một giải pháp tương đối hiệu quả đối vớingười dùng

Đồ án tốt nghiệp đã “ tìm hiểu giải pháp an ninh mạng với FireWall ”nhằm mục đích tìm hiểu sâu sắc về cơ chế hoạt động của nó Sau đó áp dụng vàothực tiễn giúp tăng cường an ninh mạng nội bộ cho các công ty, doanh nghiệp.Giúp dữ liệu cá nhân của các nhân, công ty luôn nằm trong vùng an toàn Quản

lí điều tiết lưu lượng mạng một cách hợp lí để tránh lãng phí tài nguyên và giảmchi phí về an ninh mạng một cách tối đa

Em cũng xin chân thành cảm ơn các thầy cô giáo trong trường Đại Học TháiBình đã hết lòng dạy bảo chúng em trong những năm học Đại Học, giúp chúng em

có những kiến thức và kinh nghiệm quý báu trong chuyên môn và cuộc sống, giúpchúng em bước những bước đi đầu tiên trong hành trang vào đời

Cuối cùng, em xin chân thành cảm ơn gia đình và bạn bè, đã luôn tạo điềukiện, quan tâm, giúp đỡ, động viên em trong suốt quá trình học tập và hoànthành đồ án tốt nghiệp

Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tàiliệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽkhông tránh khỏi những thiếu sót, chúng em rất mong nhận được sự chỉ bảo góp

ý thắng thắn từ phía hội đồng và các bạn

Thái Bình, tháng 5 năm 2021

Sinh Viên

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

Giảng viên

(Ký, ghi rõ họ tên)

NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN 1

Giảng viên (Ký, ghi rõ họ tên) NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN 2

Giảng viên (Ký, ghi rõ họ tên)

MỤC LỤC

LỜI MỞ ĐẦU 1

LỜI CẢM ƠN 2

MỤC LỤC 5

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ AN NINH MẠNG 7 I.1 AN TOÀN THÔNG TIN MẠNG 7

I.1.1 Một số khái niệm 7

I.1.2 Nhu cầu an toàn thông tin 7

I.2 AN NINH MẠNG 8

I.3 PHÂN LOẠI TẤN CÔNG PHÁ HOẠI THÔNG TIN 8

I.3.1 Tấn công vào máy chủ hoặc máy trạm độc lập (Standalone workstation or server) 8

I.3.2 Tấn công bằng cách phá mật khẩu 9

I.3.3 Virus và worm 9

I.3.4 Tấn công bộ đệm (buffer attack) 10

I.3.5 Tấn công từ chối dịch vụ 11

I.3.6 Tấn công định tuyến nguồn (source routing attack) 12

I.3.7 Tấn công giả mạo 13

I.3.8 Tấn công sử dụng e-mail 13

I.3.9 Quét cổng 14

I.3.10 Tấn công không dây 14

I.4 CÁC BIỆN PHÁP PHÁT HIỆN KHI BỊ TẤN CÔNG 15

I.5 CÔNG CỤ AN NINH MẠNG 16

I.5.1 Thực hiện an ninh mạng từ cổng truy nhập dùng tường lửa 16

I.5.2 Mã hóa thông tin 16

CHƯƠNG II: TỔNG QUAN VỀ FIREWALL 18

II.1 LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL. 18 II.2 ĐỊNH NGHĨA FIREWALL 20

II.3 NHIỆM VỤ CHÍNH CỦA FIREWALL 21

II.4 CÁC KIẾN TRÚC FIREWALL CƠ BẢN 22

II.4.1 Packet Filtering – Bộ lọc gói tin 22

II.4.2 Application Gateway – Cổng ứng dụng 24

II.4.3 Circuit Level Gate – Cổng mạch 26

II.4.4 FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL) 27 II.5 KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 28

II.6 PHÂN LOẠI 29

II.6.1 Phân loại theo tầng giao thức 29

II.6.2 Phân loại theo đối tượng sử dụng 31

II.6.3 Phân loại theo công nghệ tường lửa 32

II.7 NHỮNG NHƯỢC ĐIỂM VÀ HẠN CHẾ FIREWALL 36

CHƯƠNG III: CÁC HỆ THỐNG TƯỜNG LỬA HIỆN NAY 37

III.1 Software Firewalls 37

III.2 Appliance Firewalls 38

III.3 Integrated firewalls 39

III.4 So sánh các hệ thống tường lửa phổ biến 39

CHƯƠNG IV: THIẾT KẾ XÂY DỰNG MÔ PHỎNG MỘT HỆ THỐNG FIREWALL 41

IV.1 Firewall PFSENSE 41

IV.1.1 Giới thiệu PFSENSE 41

IV.1.2 Một số chức năng chính của FireWall PFSense 42

IV.1.3 Lợi ích mà pfSense đem tới 44

IV.1.4 Cài đặt PfSense trên máy ảo 45

IV.2 THỰC NGHIỆM FIREWALL TRÊN PFSENSE 51

IV.2.1 Phát biểu bài toán 51

IV.2.2 Mô hình thực nghiệm 51

IV.3 Cấu hình Pfsense 52

IV.3.1.Cấu hình cơ bản Pfsense 52

IV.3.2 Cấu hình Squid và SquidGuard trên Pfsense 58

III.3.3 Kết quả thực nhiệm 67

KẾT LUẬN 69

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN

VÀ AN NINH MẠNG

I.1 AN TOÀN THÔNG TIN MẠNG

Ngày nay với sự phát triển bùng nổ của công nghệ, hầu hết các thông tincủa doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhàcung cấp, tài chính, mức lương nhân viên đều được lưu trữ trên hệ thống máytính Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng caocủa môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin củamình cho nhiều đối tượng khác nhau qua Internet hay Intranet Việc mất mát, rò

rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty

và quan hệ khách hàng.

I.1.1 Một số khái niệm.

An toàn thông tin: Bảo mật + toàn vẹn + khả dụng + chứng thực

An toàn máy tính: tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chốnghacker

An toàn mạng: các phương tiện bảo vệ dữ liệu khi truyền chúng

An toàn Internet: các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập cácmạng liên kết với nhau Mục đích của đồ án là tập trung vào an toàn Internetgồm các phương tiện để bảo vệ, chống, phát hiện, và hiệu chỉnh các phá hoại antoàn khi truyền và lưu trữ thông tin

I.1.2 Nhu cầu an toàn thông tin.

An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây Trước kiahầu như chỉ có nhu cầu an toàn thông tin, nay đòi hỏi thêm nhiều yêu cầu mớinhư an ninh máy chủ và trên mạng

Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính

và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấpgiấy phép được quyền sử dụng các tài liệu mật đó

Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thôngtin lưu trữ Nhu cầu an toàn rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc

Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn thôngtin

Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo

vệ dữ liệu khi truyền Trong đó có cả các phương tiện phần mềm và phần cứng,đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra

I.2 AN NINH MẠNG.

Luật an ninh mạng định nghĩa: An ninh mạng là sự đảm bảo hoạt độngtrên không gian mạng không gây hại đến an ninh quốc gia, trật tự, an toàn xãhội, quyền và lợi ích hợp pháp của tổ chức, cá nhân

Mục đích chính an ninh mạng:

− Bảo đảm an toàn thông tin tại máy chủ

− An toàn thông tin trên đường truyền

I.3 PHÂN LOẠI TẤN CÔNG PHÁ HOẠI THÔNG TIN.

I.3.1 Tấn công vào máy chủ hoặc máy trạm độc lập (Standalone workstation or server)

Cách đơn giản nhất để tấn công một hệ điều hành là lợi dụng một máy tínhđang ở trạng thái đăng nhập (logged-on) của một người nào đó khi người đó bỏ rangoài hoặc bận làm việc khác Máy trạm hoặc máy chủ không được bảo vệ theocách này là mục tiêu dễ nhất để tấn công khi không có người xung quanh Đôi khicác máy chủ cũng là các mục tiêu tấn công, vì quản trị viên hoặc người điều hành

máy chủ cũng có thể đi ra ngoài bỏ lại máy chủ trong trạng thái đăng nhập vớimột tài khoản có đặc quyền của quản trị viên mà bất cứ ai cũng có thể sử dụng.Thậm chí cả những máy chủ đặt trong các phòng máy được khoá cẩn thận, thìmáy chủ này cũng trở thành một mục tiêu tấn công cho bất cứ ai vào đượcphòng đó, những người này có thể là những lập trình viên, những nhà quản lý,thợ điện, nhân viên bảo trì, …

I.3.2 Tấn công bằng cách phá mật khẩu.

Quá trình truy trập vào một hệ điều hành có thể được bảo vệ bằng một tàikhoản người dùng và mật khẩu Những kẻ tấn công có rất nhiều cách khác phứctạp hơn để tìm mật khẩu truy nhập Kẻ tấn công có trình độ đều biết rằng luôn cónhững tài khoản người dùng quản trị chính, ví dụ như tài khoản Administratortrong các hệ điều hành Windows, tài khoản root trong các hệ điều hành Unix vàLinux, tài khoản Admin trong NetWare và các tài khoản đặc quyền Admin tronghiều hành Mac OS X(MacOS) Những kẻ tấn công sẽ cố gắng đăng nhập bằngcác tài khoản này một cách cục bộ hoặc từ trên mạng, bằng chương trình Telnetchẳng hạn Telnet là một giao thức trong tầng ứng dụng của mô hình TCP/IP chophép truy nhập và cấu hình từ xa từ trên mạng hoặc trên Internet Nếu một kẻ tấncông tìm kiếm một tài khoản để truy nhập, thì kẻ đó phải sử dụng hệ thống tênmiền DNS trong một mạng kết nối với Internet để tìm những ra được những têntài khoản có thể Sau khi tìm ra được tên tài khoản người dùng, kẻ tấn công này

sẽ sử dụng một phần mềm liên tục thử các mật khẩu khác nhau có thể như(Xavior, Authforce và Hypnopaedia) Phần mềm này sẽ tạo ra các mật khẩubằng cách kết hợp các tên, các từ trong từ điển và các số

I.3.3 Virus và worm.

Virus là một chương trình gắn trong các ổ đĩa hoặc các tệp và có khả năngnhân bản trên toàn hệ thống Một số virus có thể phá hoại các tệp hoặc ổ đĩa, còn

một số khác chỉ nhân bản mà không gây ra một sự phá hoại thường trực nào.Một số virus hoặc e-mail chứa các hướng dẫn cách xoá một tệp được cho là mộtvirus nguy hiểm – nhưng thực chất tệp này lại là một tệp hệ thống Nếu làm theo

“cảnh báo” này có thể sẽ mắc phải các lỗi hệ thống hoặc có thể cài đặt lại tệp đó

Worm (sâu mạng) là một chương trình nhân bản không ngừng trên cùngmột máy tính hoặc gửi chính nó đến các máy tính khác trong mạng Sự khácnhau giữa Worm (sâu mạng) và Virus là Worm (sâu mạng) tiếp tục tạo các tệpmới, còn virus thì nhiễm ổ đĩa hoặc tệp rồi ổ đĩa hoặc tệp đó sẽ nhiễm các ổ đĩahoặc các tệp khác Worm (sâu mạng) là một chương trình có vẻ là hữu ích và vôhại, nhưng thực tế lại gây hại cho máy tính của người dùng Worm (sâu mạng)thường được thiết kế để cho phép kẻ tấn công truy nhập vào máy tính mà nóđang chạy hoặc cho phép kẻ tấn công kiểm soát máy tính đó Ví dụ, các Worm(sâu mạng) như Trojan.Idly, B02K và NetBus là các Worm (sâu mạng) đượcthiết kế để cho phép kẻ tấn công truy nhập và điều khiển một hệ điều hành Cụthể, Trojan.Idly được thiết kế để chuyển cho kẻ tấn công tài khoản người dùng

và mật khẩu để truy nhập máy tính nạn nhân

I.3.4 Tấn công bộ đệm (buffer attack).

Rất nhiều hệ điều hành sử dụng bộ đệm (buffer) để lưu dữ liệu cho đến khi

nó sẵn sàng được sử dụng Giả sử, một máy chủ với một kết nối tốc độ cao đangtruyền dữ liệu đa phương tiện tới một máy trạm trên mạng, và máy chủ truyềnnhanh hơn máy trạm có thể nhận Khi đó giao diện mạng của máy trạm sẽ sử dụngphần mềm lưu tạm (đệm) thông tin nhận được cho đến khi máy trạm sẵn sàng xử lý

nó Các thiết bị mạng như switch cũng sử dụng bộ đệm để khi lưu lượng mạng quátải nó sẽ có chỗ để lưu dữ liệu cho đến khi chuyển tiếp xong dữ liệu đến đích Tấncông bộ đệm là cách mà kẻ tấn công lừa cho phần mềm đệm lưu trữ nhiều thông tintrong bộ đệm hơn kích cỡ của nó (trạng thái này gọi là tràn bộ đệm)

Phần thông tin thừa đó có thể là một phần mềm giả mạo sau đó sẽ truy nhập vàomáy tính đích.

I.3.5 Tấn công từ chối dịch vụ.

Tấn công từ chối dịch vụ (DoS) được sử dụng để can thiệp vào quá trìnhtruy nhập đến một máy tính, một trang web hay một dịch vụ mạng bằng cáchlàm tràn dữ liệu mạng bằng các thông tin vô ích hoặc bằng các frame hay packetchứa các lỗi mà một dịch vụ mạng không nhận biết được Ví dụ, một tấn côngdịch vụ có thể nhắm vào các dịch vụ truyền thông dùng giao thức HTTP hoặcgiao thức FTP trên một trang web Mục đích chính của tấn công DoS là chỉ làmsập một trang cung cấp thông tin hoặc làm tắt một dịch vụ chứ không làm hạiđến thông tin hoặc các hệ thống

Nhiều khi một tấn công DoS vào một hệ điều hành được thực hiện trongchính mạng nội bộ mà hệ điều hành đó được cài đặt Kẻ tấn công giành quyềntruy nhập với tài khoản Administrator của Windows 2003 Server và dừng cácdịch vụ trên máy trạm và máy chủ, làm cho người dùng không thể truy nhập vàomáy chủ đó Tệ hại hơn, kẻ tấn công có thể gỡ bỏ một dịch vụ hoặc cấu hình đểcấm dịch vụ đó Một cách khác đó là làm đầy ổ đĩa trên các hệ thống không càiđặt chức năng Disk quota (hạn ngạch đĩa) làm cho các ổ đĩa bị tràn bởi các tệp.Vấn đề này trước đây thường xảy ra đối với các hệ thống máy chủ không có cáctuỳ chọn quản lý hạn ngạch đĩa

Một kẻ tấn công từ xa (không khởi tạo tấn công từ trong mạng cục bộ) có thểthực hiện một dạng tấn công đơn giản đó là làm tràn dữ liệu mạng một hệ thốngbằng nhiều gói tin Ví dụ, chương trình Ping of Death sử dụng tiện ích Ping cótrong các hệ điều hành Windows và Unix để làm tràn dữ liệu mạng một hệ thốngbằng các gói tin quá cỡ, ngăn chặn truy nhập tới hệ thống đích Ping là một tiện ích

mà người dùng mạng và các quản trị viên thường sử dụng để kiểm tra kết nối mạng

rất nhiều máy tính khác gửi đi các gói tin tấn công Các gói tin tấn công có thểnhắm vào một trang web, một máy đích hay nhiều máy tính có thể tấn công nhiềumáy đích Kiểu tấn công này được gọi là tấn công từ chối dịch vụ phân tán DdoS.

I.3.6 Tấn công định tuyến nguồn (source routing attack).

Trong định tuyến nguồn, người gửi gói sẽ xác định chính xác tuyến đường

mà gói sẽ đi qua để đến được đích Thực chất, định tuyến nguồn chỉ sử dụngtrong các mạng token ring và để gỡ rối các lỗi mạng Ví dụ, tiện ích gỡ rốiTraceroute trong các hệ điều hành Windows, UNIX, Mac OS và NetWare sửdụng định tuyến nguồn để xác định tuyến đường mà gói tin đi từ một điểm tớimột điểm khác trên một mạng

Trong tấn công định tuyến nguồn, kẻ tấn công sửa đổi địa chỉ nguồn vàthông tin định tuyến làm cho gói tin có vẻ như đến từ một địa chỉ khác, ví dụ mộtđịa chỉ tin cậy để truyền thông trên một mạng Ngoài việc đóng giả làm một ngườitin cậy trong mạng, kẻ tấn công còn có thể sử dụng định tuyến nguồn để thăm dòthông tin của một mạng riêng, ví dụ một mạng được bảo vệ bởi một thiết bị mạng

sử dụng chức năng chuyển đổi địa chỉ (NAT) NAT(Network Address Translation)

có thể chuyển đổi địa chỉ IP của gói tin từ một mạng riêng thành một địa chỉ IPkhác được sử dụng trên mạng công cộng hay mạng Internet – đây là kỹ thuật vừa đểbảo vệ định danh của các máy tính trong một mạng riêng vừa để bỏ qua yêu cầu sửdụng các địa chỉ IP duy nhất trên toàn cầu trên mạng riêng

* Chú ý: Những kẻ tấn công có thể lách được một thiết bị NAT bằng cách sửdụng một dạng định tuyến nguồn gọi là làm sai lệch bản ghi định tuyến nguồn(LSRR – Loose Source Record Route) Dạng định tuyến này không xác địnhmột tuyến đầy đủ cho gói tin, mà chỉ một phần – ví dụ, một hoặc hai chặng(hop) hay thiết bị mạng trong tuyến đi qua thiết bị NAT

I.3.7 Tấn công giả mạo.

Tấn công giả mạo làm cho địa chỉ nguồn của gói tin bị thay đổi làm cho

có vẻ như được xuất phát từ một địa chỉ (máy tính) khác Sử dụng tấn công giảmạo, kẻ tấn công có thể truy nhập được vào một hệ thống được bảo vệ

Tấn công định tuyến nguồn cũng được coi là một dạng tấn công giả mạo.Ngoài ra, tấn công DoS làm tràn dữ liệu mạng một máy đích bằng các gói tin cóđịa chỉ nguồn giả mạo cũng là một dạng tấn công giả mạo

I.3.8 Tấn công sử dụng e-mail.

Một cuộc tấn công e-mail có vẻ như xuất phát từ một nguồn thân thiện,hoặc thậm chí là tin cậy như: một công ty quen, một người thân trong gia đìnhhay một đồng nghiệp Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụngmột tài khoản e-mail mới để gửi e-mail phá hoại đến người nhận Đôi khi một e-mail được gửi đi với một tiêu đề hấp dẫn như “Congratulation you’ve just wonfree software Những e-mail phá hoại có thể mang một tệp đính kèm chứa mộtvirus, một Worm (sâu mạng) hay một trojan horse Một tệp đính kèm dạng vănbản word hoặc dạng bảng tính có thể chứa một macro (một chương trình hoặcmột tập các chỉ thị) chứa mã độc Ngoài ra, e-mail cũng có thể chứa một liên kếttới một web site giả

Tấn công có tên Ganda được thực hiện dưới dạng một e-mail và tệp đínhkèm được gửi đi dưới rất nhiều dạng khác nhau, nhưng nó luôn mang một thôngbáo kêu gọi một hành động như “Stop Nazis” hoặc “Save kittens - Hãy cứu lấy lũmèo con” Khi người dùng mở tệp đính kèm, Worm (sâu mạng) Ganda sẽ đượckích hoạt Ngoài việc tạo ra các tệp, Worm (sâu mạng) này còn can thiệp vào cáctiến trình đã khởi động, ví dụ các tiến trình của phần mềm diệt virus và bức tườnglửa Một ví dụ khác là một e-mail giả được gửi cho các người dùng của một công tyđăng ký web site nổi tiếng trên internet, yêu cầu người nhận cung cấp tên, địa

chỉ và thông tin thẻ tín dụng lấy cớ là cập nhật các bản ghi của công ty Nhưngmục đích thực của nó là bí mật thu thập dữ liệu về thẻ tín dụng.

I.3.9 Quét cổng.

Truyền thông bằng giao thức TCP/IP sử dụng các cổng TCP hoặc cổngUDP nếu giao thức UDP được sử dụng cùng với giao thức IP Cổng TCP hoặcUDP là một con đường để truy nhập hệ thống đích, thông thường nó liên quanđến một dịch vụ, một tiến trình hay một chức năng nhất định Một cổng tương tựnhư một mạch ảo kết nối giữa 2 dịch vụ hoặc 2 tiến trình truyền thông với nhaugiữa 2 máy tính hoặc 2 thiết bị mạng khác nhau Các dịch vụ này có thể là FTP,e-mail, … Có 65535 cổng trong giao thức TCP và UDP Ví dụ, dịch vụ DNSchạy trên cổng 53, FTP chạy trên cổng 20

Sau khi một kẻ tấn công đã biết được một hoặc nhiều địa chỉ IP của các hệthống đang sống (tồn tại) trên mạng, kẻ tấn công sẽ chạy phần mềm quét cổng

để tìm ra những cổng quan trọng nào đang mở, những cổng nào chưa được sửdụng Có 2 phần mềm quét cổng thông dụng đó là Nmap và Strobe Nmapthường được sử dụng để quét các máy tính chạy hệ điều hành Unix/Linux, ngoài

ra còn một phiên bản được sử dụng cho các máy chủ và máy trạm Windows.Một cách để ngăn chặn truy nhập thông qua một cổng mở là dừng các dịch vụhoặc các tiến trình hệ điều hành không sử dụng hoặc chỉ cấu hình khởi động cácdịch vụ một cách thủ công bằng chính hiểu biết của mình

I.3.10 Tấn công không dây.

Các mạng không dây thường rất dễ bị tấn công, vì rất khó để biết được ngườinào đó đã xâm hại đến mạng này Đôi khi các tấn công trên mạng không dây cònđược gọi là war-drives, vì kẻ tấn công có thể lái xe lòng vòng quanh một khu vực,dùng một máy tính xách tay để thu thập các tín hiệu không dây Tuy

nhiên, kẻ tấn công cũng có thể làm điều đó bằng cách đi bộ hoặc ở một nơi nào

đó với chiếc máy tính xách tay của mình

Hai thành phần quan trọng được sử dụng trong các tấn công không dây làmột card mạng không dây và một ăng ten đa hướng, có thể thu tín hiệu từ tất cảcác hướng Một thành phần khác đó là phần mềm war-driving được sử dụng đểbắt và chuyển đổi các tín hiệu từ ăng ten qua card mạng không dây Các tấncông không dây thường được thực hiện bằng cách quét rất nhiều kênh sử dụngcho các truyền thông không dây

I.4 CÁC BIỆN PHÁP PHÁT HIỆN KHI BỊ TẤN CÔNG.

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch

vụ đều có những lỗ hổng bảo mật tiềm tàng Người quản trị hệ thống không nhữngnghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện phápkiểm tra hệ thống có dấu hiệu tấn công hay không Một số biện pháp cụ thể:

− Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treo bằngnhững thông báo lỗi không rõ ràng Khó xác định nguyên nhân do thiếu thông tinliên quan Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếukhông phải nghĩ đến khả năng máy tính bị tấn công

− Kiểm tra các tài khoản người dùng mới lạ, nhất là các tài khoản có ID bằng không

− Kiểm tra sự xuất hiện của các tập tin lạ Người quản trị hệ thống nên có thói quen đặt tên tập tin theo mẫu nhất định để dễ dàng phát hiện tập tin lạ

− Kiểm tra thời gian thay đổi trên hệ thống

− Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống

− Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp

− Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòngtrường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà

- Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ

I.5 CÔNG CỤ AN NINH MẠNG.

I.5.1 Thực hiện an ninh mạng từ cổng truy nhập dùng tường lửa.

Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiện chínhsách đồng ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng Tườnglửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng

họ đúng là người như đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng

Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạnmạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khácnhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệtốt hơn, đồng thời tường lửa còn hạn chế lưu lượng và điểu khiển lưu lượng chỉcho phép chúng đến những nơi chúng được phép đến

I.5.2 Mã hóa thông tin.

Mã hóa (Cryptography) là quá trình chuyển đổi thông tin gốc sang dạng

mã hóa Có hai cách tiếp cận để bảo vệ thông tin bằng mật mã: theo đườngtruyền và từ nút-đến-nút (End-to-End)

Trong cách thứ nhất, thông tin được mã hóa để bảo vệ luồng thông giữa hainút không quan tâm đến nguồn và đích của thông tin đó Ưu điểm của cách này là

có thể bí mật được luồng thông tin giữa nguồn và đích và có thể ngăn chặn đượctoàn bộ các vi phạm nhằm phân tích thông tin trên mạng Nhược điểm là vì thông

tin chỉ được mã hóa trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt.

Ngược lại, trong cách thứ hai, thông tin được bảo vệ trên toàn đường đi từnguồn tới đích Thông tin được mã hóa ngay khi được tạo ra và chỉ được giải mãkhi đến đích Ưu điểm của tiếp cận này là người sử dụng có thể dùng nó màkhông ảnh hưởng gì tới người sử dụng khác Nhược điểm của phương pháp này

là chỉ có dữ liệu người sử dụng được mã hóa, còn thông tin điều khiển phải giữnguyên để có thể xử lý tại các nút

CHƯƠNG II: TỔNG QUAN VỀ FIREWALL

II.1 LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL.

Công nghệ Firewall bắt đầu xuất hiện vào cuối những năm 1980 khiInternet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụngtrên toàn cầu Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâmphạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980.Năm 1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại Californiagửi một bản ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bịmột con VIRUS Internet tấn công! Nó đã đánh Berkeley, UC San Diego,Lawrence Livermore, Stanford, và NASA Ames." Con virus được biết đến vớitên Sâu Morris này đã được phát tán qua thư điện tử và khi đó đã là một sự khóchịu chung ngay cả đối với những người dùng vô thưởng vô phạt nhất SâuMorris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet Cộng đồngmạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã hoàn toàn bịbất ngờ Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phảingăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầucộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm chomạng Internet có thể trở lại an toàn

Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết

đến với tên các tường lửa lọc gói tin(packet filtering firewall ) Hệ thống khá cơ

bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật

an toàn mạng được phát triển cao Từ năm 1980 đến năm 1990, hai nhà nghiên cứu

tại phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát

triển thế hệ tường lửa thứ hai, được biết đến với tên các tường lửa tầng mạch

(circuit level firewall) Các bài báo của Gene Spafford ở Đại học Purdue, Bill

Cheswick ở phòng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ

tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall) Nghiên cứu công

nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiên Sản phẩm này đã được Digital Equipment Corporation's (DEC) phát hành

với tên SEAL Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm

1991 cho một công ty hóa chất tại bờ biển phía Đông của Mỹ

Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ

về lọc gói tin và đã phát triển một mô hình chạy được cho công ty của chính họ,

dựa trên kiến trúc của thế hệ tường lửa thứ nhất của mình Năm 1992, Bob

Braden và Annette DeSchon tại Đại học Nam California đã phát triển hệ thống

tường lửa lọc gói tin thế hệ thứ tư Sản phẩm có tên “Visas” này là hệ thống đầutiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặtthành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows vàMac/OS của Apple và truy nhập từ các hệ điều hành đó Năm 1994, một công tyIsrael có tên Check Point Software Technologies đã xây dựng sản phẩm nàythành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1 Một thế hệ thứ haicủa các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy Thiết kế nàyliên tục được cải tiến nhưng các tính năng và mã chương trình cơ bản hiện đangđược sử dụng rộng rãi trong cả các hệ thống máy tính gia đình và thương mại.Cisco, một trong những công ty sản xuất thiết bị mạng lớn nhất trên thế giới đãphát hành sản phẩm này năm 1997

Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin

bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập.

II.2 ĐỊNH NGHĨA FIREWALL.

Firewall theo tiếng việt có nghĩa là bức tường lửa Dùng để ngặn chặn và

bảo vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker.Firewall là một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữliệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộnghơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạngnội bộ của công ty.

Hình 1.1: Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet

Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thônghành” của bất kì gói dữ liệu đi vào hoặc đi ra Nó chỉ cho phép những gói dữliệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ Vì vậy màFirewall rất cần thiết cho việc đảm bảo an toàn trên hệ thống mạng

II.3 NHIỆM VỤ CHÍNH CỦA FIREWALL.

Firewall hỗ trợ máy tính kiểm soát luồng thông tin giữa Intranet và Internet,Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài,những người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giớihạn truy cập những dịch vụ bên ngoài của những người bên trong hệ thống.

Sau đây là một số nhiệm vụ chính của Firewall:

• Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ

• Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong

• Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài

• Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho

phép)

• Kiểm soát truy cập của người dùng

• Quản lý và kiểm soát luồng dữ liệu trên mạng

• Firewall hoạt động như một Proxy trung gian

• Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật

• Cân bằng tải: bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều

• Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn

muốn Ví dụ như: Facebook, Messenger, Skype, Zalo…

II.4 CÁC KIẾN TRÚC FIREWALL CƠ BẢN.

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quafirewall thì điều đó có nghĩa rằng firewall hoạt động kết hợp chặt chẽ với giaothức TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệunhận được từ các ứng dụng trên mạng, hay chính xác hơn là các dịch vụ chạytrên các giao thức (Telnet, SMTP, DSN, SMNP, NFS, ) thành các gói dữ liệu(data packets) rồi gán cho các packet này những địa chỉ để có thể được địnhtuyến, nhận dạng và tái lập lại ở đích cần gửi đến, do đó các loại firewall cũngliên quan rất nhiều đến các packet và những con số địa chỉ của chúng Ngày nayFirewall được xây dựng dựa trên cơ sở bộ lọc gói (packet filter), trên cổng ứngdụng (Application gateway), kĩ thuật giám sát trạng thái (Stateful inspecting) vàmột số firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự) Trong phầnnày sẽ trình bày 3 kiến trúc firewall cơ bản dựa theo sư phân loại đó

II.4.1 Packet Filtering – Bộ lọc gói tin.

Bộ lọc gói tin cho phép hay từ chối gói tin mà nó nhận được Nókiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏamãn một trong các số các luật hay không Các luật này dựa trên các thôngtin ở packet header (tiêu đề gói tin) bao gồm các thông tin sau:

− Địa chỉ IP nguồn (IP Source Address)

− Địa chỉ IP đích (IP Destination Address)

− Protocol (TCP, UDP, ICMP, IP tunnel)

− Dạng thông báo ICMP (ICMP message type)

− Cổng gói tin đến (Incomming interface of packet)

− Cổng gói tin đi (Outcomming interface of packet)

Hình 1.2: Packet Filtering

Nếu các luật lọc gói được thỏa mãn thì packet được chuyển quafirewall, nếu không packet sẽ bị bỏ đi Nhờ vậy mà firewall có thể ngăn cảnđược các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặckhóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không chophép Ngoài ra, việc kiểm soát các cổng làm cho firewall có khả năng chỉcho phép một số loại kết nối nhất định vào các loại máy chủ nào đó hoặcnhững dịch vụ nào đó (SSH, SMTP, FTP…) được phép mới chạy được trên

Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng vì vậy nó không yêu cầu người sử dụng phải thao tác gì cả

Nhược điểm:

Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏingười quản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet,

các dạng packet header Khi yêu cầu về lọc gói tin càng lớn, các rulescàng trở nên phức tạp do đó rất khó quản lý và điều khiển.

− Do làm việc dựa trên header của các packet nên bộ lọc không kiểmsoát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mangtheo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

II.4.2 Application Gateway – Cổng ứng dụng.

Đây là một loại firewall được thiết kế để tăng cường chức năng kiểmsoát các loại dịch vụ, giao thức truy cập vào hệ thống mạng Cơ chế hoạt động của

nó dựa trên cách thức gọi là proxy service Proxy service là các bộ code đặc biệt càiđặt trên cổng ra (gateway) cho từng ứng dụng Nếu người quản trị mạng không càiđặt proxy service cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cungcấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thểđược định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quảntrị cho là chấp nhận được trong khi từ chối những đặc điểm khác

Hình 1.3: Application Gateway

Một cổng ứng dụng thường được coi như là một Bastion Host (máychủ) bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài

Những biện pháp đảm bảo an ninh của một Bastion Host (máy chủ)là:

− Bastion Host (máy chủ) luôn chạy các phiên bản an toàn (secureversion) của các phần mềm hệ điều hành (Operating system) Các version an toànnày được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành(Operating system) cũng như là đảm bảo sự tích hợp firewall

− Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới đượccài đặt trên máy chủ, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nókhông thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho cácdịch vụ telnet, DNS, FTP, SMTP và xác thực tài khoản người dùng là được cài đặttrên máy chủ

− Máy chủ có thể yêu cầu nhiều mức độ khác nhau ví dụ như tài khoản

và mật khẩu hay thẻ thông minh (thẻ từ)

− Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số cácmáy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗiproxy chỉ đúng với một số máy chủ trên toàn hệ thống

− Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của

dữ liệu mạng đi qua nó Điều này có nghĩ là bộ lệnh và đặc điểm thiết lập cho mỗiproxy chỉ đúng với một số máy chủ trên toàn hệ thống

− Mỗi proxy đều độc lập với các proxy khác trên Bastion Host (máychủ) Điều này cho phép dễ dàng cài đặt một proxy mới hay tháo gỡ một proxy

Ưu điểm:

− Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy cá nhânnào có thể truy cập bởi các dịch vụ

− Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật kýghi chép lại thông tin về truy cập hệ thống

− Các tập luật lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn

so với bộ lọc gói

Nhược điểm:

− Cần phải có sự cấu hình trên máy user để user truy cập vào các dịch

vụ proxy Ví dụ telnet

II.4.3 Circuit Level Gate – Cổng mạch.

Circuit Level Gateway là một chức năng đặc biệt có thể thực hiệnbởi một cổng ứng dụng Cổng mạch đơn giản chỉ là chuyển tiếp các kết nối TCP

mà không thực hiện bất kì một hành động xử lý hay lọc gói nào

Hình sau minh họa một hành động sử dụng kết nối telnet qua cổngmạch Cổng mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà khôngthực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục telnet nào Cổng mạchlàm việc như một sợi dây, sao chép các byte giữa kết nối bên trong và các kếtnối bên ngoài Tuy nhiên vì sự kết nối này xuất hiện từ hệ thống firewall nên nóche dấu thông tin về mạng nội bộ

Hình 1.4: Circuit Level Gateway

Cổng vòng thường được sử dụng cho những kết nối ra ngoài Ưuđiểm lớn nhất là một Bastion Host (máy chủ) có thể được cấu hình để cung cấpcổng ứng dụng cho những kết nối đến và cổng vòng cho các kết nối đi Điều nàylàm cho hệ thống firewall dễ dàng sử dụng cho người dùng trong mạng nội bộmuốn trực tiếp truy cập tới các dịch vụ internet, trong khi vẫn cung cấp chứcnăng bảo vệ mạng nội bộ từ những sự tấn công bên ngoài

II.4.4 FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST

1 Dạng thứ nhất là máy phòng thủ có hai card mạng.

Trong đó có một nối với hệ thống bên trong ( mạng nội bộ ) và card còn lạinối với bên ngoài mạng Internet Đây là dạng tường lửa có từ rất sớm, nó yêu cầungười sử dụng bên trong phải kết nối với tường lửa trước khi làm việc với mạngbên ngoài Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạngbên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tựnhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài

2 Dạng thứ hai là máy phòng thủ có một card mạng.

Nó được nối trực tiếp đến một hệ riêng biệt trên mạng – proxy serverhay gateway mức úng dụng Gateway này cung cấp điều khiển vào ra Bộ địnhtuyến (rounter) có nhiều chức năng trong cấu hình này Nó không chỉ địnhhướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối vớiInternet hoặc không cho phép kết nối Kiến trúc screening subnet còn bổ sungthêm tầng an toàn để tách mạng nội bộ với Internet Lý do để làm việc này làtránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập

II.5 KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering)

Một trong những vấn đề với proxy server là nó phải đánh giá một lượnglớn thông tin trong một lượng lớn các gói dữ liệu Ngoài ra, phải cài đặt từngproxy cho mỗi ứng dụng Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí.Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh vớicác gói “tin cậy” đã biết

Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọithứ về yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích Cách “nhớ”này được gọi là lưu trạng thái Khi hệ thống bên ngoài phản hồi yêu cầu của bạn,firewall server so sánh các gói nhận được với trạng thái đã lưu để xác địnhchúng được phép vào hay không

Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đivào hay đi ra khỏi mạng thì thông tin được đưa vào 1 bảng gọi là bảng “statefulsession flow table”.

Bảng này còn được gọi là bảng trạng thái, nó bao gồm những thông

tin về địa chỉ nguồn, địa chỉ đích, địa chỉ cổng, thông tin về số hiệu gói tin TCP

và cờ dấu thêm vào mỗi kết nối TCP hay UDP, các kết nối này đều liên kết với 1phiên nào đó Thông tin này tạo ra các đối tượng kết nối và do đó các gói tin đivào hoặc đi ra được so sánh với các phiên trong “bảng phiên có trạng thái” Dữliệu chỉ được phép đi qua firewall nếu đã tồn tại một kết nối tương ứng xác nhận

sự luân chuyển đó

II.6 PHÂN LOẠI.

II.6.1 Phân loại theo tầng giao thức.

➢ Packet-filtering router (Tường lửa lọc gói tin)

Packet-filtering router áp dụng một bộ quy tắc để mỗi gói tin IP vào và

ra và sau đó là chuyển tiếp hay loại bỏ gói tin Router thường được cấu hình

để lọc các gói tin theo cả hai hướng (từ trong và ngoài vào mạng nội bộ).Quy tắc lọc dựa trên các thông tin chứa trong một gói tin mạng (packet):

- Địa chỉ IP nguồn (Source IP address): Địa chỉ IP của hệ thống là

nguồn gốc của các gói tin (sender) Ví dụ: 192.178.1.1

- Địa chỉ IP đích (Destination IP address): Địa chỉ IP của hệ thống mà gói tin IP đang cần được chuyển tới Ví dụ 192.168.1.2

- Địa chỉ nguồn và đích của tầng giao vận: gói tin là TCP hay UDP, port number, xác định các ứng dụng như SNMP hay TELNET

- IP protocol field: Xác định giao thức vận chuyển

- Interface: Đối với một router có nhiều port, các gói tin sẽ đến từ

interface nào và đi đến interface nào

Packet-filtering thường được thiết lập là một danh sách các quy tắc dựa trên phù hợp cho các trường trong IP header hoặc TCP header Nếu có

tương ứng với một trong các quy tắc, quy tắc này sẽ được gọi để xác định xem

sẽ chuyển tiếp hay loại bỏ các gói tin Nếu không phù hợp với bất kỳ một quy tắc nào thì hành động mặc định sẽ được thực hiện Hai hành động được mặc

định đó là: Default = discard: gói tin sẽ bị cấm và bị loại bỏ

Default = forward: gói tin được cho phép đi qua

Tuy nhiên, default discard thường được dùng hơn Vì như vậy, banđầu, mọi thứ đều bị chặn và các dịch vụ phải được thêm vào trong từng trườnghợp cụ thể Chính sách này rõ ràng hơn cho người dùng, những người mà không

am hiểu nhiều lắm về firewall Còn cách thứ hai thì liên quan đến vấn đề bảomật nhiều hơn, đòi hỏi người quản trị phải thường xuyên kiểm tra để có phảnứng với những kiểu đe dọa mới

Application-Level gateway có xu hướng an toàn hơn packet-filteringrouter Thay vì cố gắng để đối phó với hàng loạt kết hợp có thể có từ việc cấm

vài ứng dụng cho phép Ngoài ra, nó rất dễ dàng cho ghi lại và theo dõi tất cảcác lưu lượng đến ở tầng ứng dụng.

Một nhược điểm chính của loại này là chi phí xử lý bổ sung trên mỗikết nối Trong thực tế, có hai kết nối ghép giữa các người dùng đầu cuối, vớicác cổng ở điểm kết nối và gateway phải kiểm tra lưu lượng trên cả hai chiều

➢ Circuit-Level Gateway (Tường lửa cổng mạch)

Dạng thứ 3 của firewall đó là Circuit-level gateway Nó có thể là một hệthống độc lập hoặc có thể là một hoạt động chuyên biệt được thực hiện bởi mộtapplication-level gateway cho các ứng dụng nhất định Circuit-level gateway khôngcho phép một kết nối TCP end-to-end mà thay vào đó, gateway sẽ thiết lập hai kếtnối TCP, một là giữa nó và TCP user bên trong và một giữa nó và TCP user bênngoài Khi hai kết nối này được thiết lập, gateway sẽ chuyển tiếp các TCP segment

từ đầu cuối này đến đầu cuối khác mà không kiểm tra nội dung các segment này.Các chức năng bảo mật bao gồm việc xác định cho phép kết nối

Một điển hình của Circuit-level gateway là một tình huống mà trong

đó người quản trị hệ thống tin tưởng các user nội bộ Gateway có thể được cấuhình để hỗ trợ application-level hay dịch vụ proxy cho các kết nối bên trong vàchức năng circuit-level cho các kết nối bên ngoài Trong trường hợp này,gateway có thể phải chịu các chi phí kiểm tra các incoming data cho các chứcnăng bị cấm nhưng không chịu chi phí của outgoing data

II.6.2 Phân loại theo đối tượng sử dụng.

Firewall có thể được phân loại theo hai loại sau:

+ Personal firewall

Sự khác biệt chính giữa hai loại trên chính là số lượng host được firewall bảo

vệ Trong khi Personal firewall chỉ bảo vệ cho một máy duy nhất thì Network firewall lại bảo vệ cho một hệ thống mạng

➢ Personal Firewall (Tường lửa cá nhân)

Personal firewall được thiết kế để bảo vệ một máy trước nhữngtruy cập trái phép Trong quá trình phát triển, personal firewall đã được tíchhợp thêm nhiều chức năng bổ sung như theo dõi phần mềm chống virus, phầnmềm phát hiện xâm nhập để bảo vệ thiết bị Một số personal firewall phổ biếnnhư Cisco Security Agent, Microsoft Internet connection firewall, Symantecpersonal firewall…

Personal firewall rất hữu ích đối với người dùng gia đình và cá nhânbởi vì họ đơn giản chỉ cần bảo vệ từng máy tính riêng rẻ của họ nhưng đối với doanh nghiệp điều này lại gây bất tiện, khi số lượng host quá lớn thì chi phí

cho việc thiết lập, cấu hình và vận hành personal firewall là một điều cần phải xem xét

➢ Network firewall (Tường lửa mạng)

Network firewall được thiết kế để bảo vệ các host trong mạng trước

sự tấn công Một số ví dụ về appliance-based network firewall như Cisco PIX,Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’sEnterprise Firewall Và một số ví dụ về software-based firewall bao gồmCheck Point’s Firewall, Microsoft ISA Server, Linux-based IPTables

Cùng với sự phát triển của công nghệ, firewall dần được tích hợpnhiều tính năng mới như phát hiện xâm nhập, thiết lập kết nối VPN cũng

như nhiều sản phẩm firewall mới ra đời.

II.6.3 Phân loại theo công nghệ tường lửa.

Dựa vào công nghệ sử dụng trong firewall người ta chia firewall thành các loại như sau:

Personal firewallPacket filterNetwork Address Translations

Proxy firewallStateful firewallTransparent firewallVirtual firewall.

➢ Personal firewall: Được thiết kế để bảo vệ một host duy nhất, thường được

tích hợp sẵn trong các laptop, desktop…

➢ Packet filter: Là thiết bị được thiết kế để lọc gói tin dựa trên những đặc

điểm đơn giản của gói tin Packet filter tiêu biểu cho dạng staless vì nó không giữbảng trạng thái các kết nối và không kiểm tra trạng thái các kết nối.

Hình 1.6 : Simple Access List Sample Network

➢ Network Address Translations (NAT) firewall

Thực hiện chức năng chuyển đổi địa chỉ IP public thành địa chỉ IP private và ngược lại, nó cung cấp cơ chế che dấu IP của các host bên trong.

Hình 1.7: NAT firewall

➢ Circuit-level firewall

Hoạt động tại lớpsession của mô hình OSI, nó

giám sát các gói tin

“handshaking” đi qua firewall,

gói tin được chỉnh sửa sao cho

nó xuất phát từ circuit-level

firewall, điều này giúp che dấu

thông tin của mạng được bảo

OSI, nó đóng vai trò như

người trung gian giữa

hai thiết bị đầu cuối Khi

người dùng truy cập dịch

vụ ngoài Internet, proxy

đảm nhận việc yêu cầu

thay cho client và nhận

trả lời từ server

trên Internet và trả lời lại cho người dùng bên trong

Hình 1.9: Proxy firewall