firewalls, instrution detection and prevention

Hình 1.1: Mô hình tường lửa đơn giảnMột cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bênngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra.. F

Mục lục

1 Firewalls 2

1.1 Khái niệm Firewall 2

1.1.1 Giới thiệu 2

1.1.2 Firewall cho mạng 4

1.2 Chức năng 4

1.3 Cấu trúc 5

1.4 Các thành phần của Firewall và cơ chế hoạt động 5

1.4.1 Các thành phần 5

1.4.2 Cơ chế hoạt động của Firewalls 6

1.5 Các loại Firewall 10

1.6 Kỹ thuật Firewall 10

1.7 Hạn chế của Firewall 11

1.8 Một số mô hình Firewall 12

1.8.1 Packet – Filtering Router ( Bộ trung chuyển có lọc gói) 12

1.8.2 Screened Host Firewall 13

1.8.3 Demilitarized Zone (khu vực phi quân sự hoá - DMZ) hay Screened-subnet Firewall 15

1.8.4 Proxy server 16

2 Instrution Detection and Prevention Systems 19

2.1 Tổng quan về phát hiện xâm nhập và ngăn chặn xâm nhập 19

2.2 Hệ thống phát hiện xâm nhập IDS 19

2.2.1 Chức năng 19

2.2.2 Phân loại IDS 20

2.2.3 Ưu nhược điểm của hệ thống phát hiện xâm lấn IDS 21

2.3 Hệ thống ngăn chặn tấn công xâm nhập IPS 21

2.3.1 Phân loại IPS 22

2.3.2 Ưu điểm và hạn chế của IPS 23

2.4 Kết luận 23

có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tintưởng.

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,

tổ chức, ngành hay một quốc gia và Internet Vai trò chính là bảo mật thông tin, ngănchặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tớimột số địa chỉ nhất định trên Internet

Hình 1.1: Mô hình tường lửa đơn giản

Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bênngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra Firewall thựchiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu địnhtrước

Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai

 Firewall cứng : Là những firewall được tích hợp trên Router.

Đặc điểm của Firewall cứng:

-Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêmquy tắc như firewall mềm)

-Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầngTransport)

-Firewall cứng không thể kiểm tra được nột dung của gói tin

Ví dụ Firewall cứng : NAT (Network Address Translate)

 Firewall mềm : Là những Firewall được cài đặt trên Server

Đặc điểm của Firewall mềm:

-Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

-Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

-Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).

Ví dụ Firewall mềm : Zone Alarm, Norton Firewall

1.1.2 Firewall cho mạng

Một tường lửa mạng là một hệ thống hoặc cụm các hệ thống được sử dụng đểđiều khiển việc truy cập giữa 2 mạng : một mạng tin tưởng (trusted network) và mộtmạng không tin tưởng ( untrusted network) sử dụng các luật hoặc bộ lọc được cấu hìnhtrước

Các tường lửa có thể được tạo ra do một hoặc nhiều router, một hoặc nhiều hệthống máy chủ đang chạy ứng dụng Firewall, hoặc là các thiết bị phần cứng có cungcấp dịch vụ Firewall hoặc là một sự kết hợp của các bộ phận ấy Có nhiều cách khácnhau trong thiết kế hệ thống tường lửa phụ thuộc vào tính năng, kiến trúc, giá cả

Do đó để có được một giải pháp tường lửa hoạt động hiệu quả trong một tổ chứcthì việc quan trọng là phải hiểu các giải pháp tường lửa khác nhau có thể hoặc khôngthể làm gì

1.2 Chức năng

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet vàInternet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) vàmạng Internet

- Cho phép hoặc cấm các dịch vụ truy cập ra ngoài

- Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập

- Kiểm soát người dùng và việc truy cập của người dùng

- Kiểm soát nội dung thông tin lưu chuyển trên mạng

Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lưu lượng giữa hai mạng

để xem luồng lưu lượng này có đạt chuẩn hay không Nếu đạt, nó được định tuyếngiữa các mạng, ngược lại, lưu lượng sẽ bị hủy

Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào Nó cũng

có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng

Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào mạngriêng và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép

Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng củachúng, đây được gọi là lọc địa chỉ Firewall cũng có thể lọc các loại lưu lượng đặc biệtcủa mạng và được gọi là lọc giao thức

Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm choHacker nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ bản, nó pháthiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất địnhnhằm để Hacker tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xahơn, các họat động của kẻ tấn công có thể được ghi lại và theo dõi

1.4 Các thành phần của Firewall và cơ chế hoạt động

1.4.1 Các thành phần

Firewall chuẩn gồm một hay nhiều các thành phần sau đây :

Bộ lọc packet (packet- filtering router)

Cổng ứng dụng (application-level gateway hay proxy server)

Cổng mạch (circuite level gateway)

1.4.2 Cơ chế hoạt động của Firewalls

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theothuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chínhxác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …)thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ có thể nhậndạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiềuđến các packet và những con số địa chỉ của chúng

Hình 1.2: Lọc gói tin

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số cácluật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ởđầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng Baogồm:

• Địa chỉ IP nơi xuất phát (Source)

• Địa chỉ IP nơi nhận ( Destination)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

• Cổng TCP/UDP nơi xuất phát

• Cổng TCP/UDP nơi nhận

• Dạng thông báo ICMP

• Giao diện packet đến

• Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đóđược chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổng làm choFirewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vàođược hệ thống mạng cục bộ

-Đa số các hệ thống Firewall đều sử dụng bộ lọc packet Một trong những ưu

điểm của phương pháp dùng bộ lọc packet là đảm bảo thông qua của lưu lượng mạng

-Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó

không yêu cầu sự huấn luyện đặc biệt nào cả

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt độngcủa nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền) Proxy service là các

bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạngkhông cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không đượccung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code (mã

uỷ nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng màngười quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi

vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện phápđảm bảo an ninh của một bastion host là :

- Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệthống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đíchchống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall.

- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặttrên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó không thể bị tấncông Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS,FTP, SMTP và xác thực user là được cài đặt trên bastion host

- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như userpassword hay smart card

- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủnhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉđúng với một số máy chủ trên toàn hệ thống

- Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giaothông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trongviệc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

- Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này chophép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang cóvấn để

- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên

mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thểtruy nhập được bởi các dịch vụ

- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào

cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là cácdịch vụ ấy bị khoá

- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi chép

lại thông tin về truy nhập hệ thống

- Luật lệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so

với bộ lọc packet

 Hạn chế:

Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên máyclient cho truy nhập vào các dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứng dụngđòi hỏi hai bước đê nối với máy chủ chứ không phải là một bước Tuy nhiên, cũng đã

có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằngcách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet

Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứngdụng Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳmột hành động xử lý hay lọc packet nào

Hình 1.3 minh hoạ một hành động sử dụng nối telnet qua cổng mạch Cổng mạchđơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra,lọc hay điều khiển các thủ tục Telnet Cổng mạch làm việc như một sợi dây, sao chépcác byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outsideconnection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên nó che dấuthông tin về mạng nội bộ

out out out

in in in

Circuit-level Gateway

Hình 1.3: Cổng mạch

Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trịmạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastionhost có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết

nối đến và cổng mạch cho các kết nối đi Điều này làm cho hệ thống bức tường lửa dễdàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới cácdịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội

bộ từ những sự tấn công bên ngoài

1.5 Các loại Firewall

Firewall lọc gói thường là một bộ định tuyến có lọc Khi nhận một gói dữ liệu,

nó quyết định cho phép qua hoặc từ chối bằng cách thẩm tra gói tin để xác định quytắc lọc gói dựa vào các thông tin của header để đảm bảo quá trình chuyển phát IPFirewall cổng mạng hai ngăn là loại firewall có hai cửa nối đến mạng khác Ví dụmột cửa nối tới một mạng bên ngoài không tín nhiệm còn một cửa nối tới một mạngnội bộ có thể tín nhiệm Đặc điểm lớn nhất của firewall này là gói tin IP bị chặn lại.Firewall che chắn (Screening) máy chủ bắt buộc có sự kết nối tới tất cả máy chủbên ngoài với máy chủ kiên cố, không cho phép kết nối trực tiếp với máy chủ nội bộ.Firewall che chắn máy chủ là do bộ định tuyến lọc gói và máy chủ kiên cố hợp thành

Hệ thống Firewall có cấp an toàn cao hơn so với hệ thống Firewall lọc góithôngthường vì nó đảm bảo an toàn tầng mạng (lọc gói) và tầng ứng dụng (dịch vụ đạilý)

Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng con dùng hai bộđịnh tuyến lọc gói và một máy chủ kiên cố, cho phép thiết lập hệ thống Firewall antoàn nhất, vì nó đảm bảo chức năng an toàn tầng ứng dụng

1.6 Kỹ thuật Firewall

Lọc khung (Frame Filtering): Hoạt động trong hai tầng của mô hình OSI, có thể

lọc, kiểm tra được mức bit và nội dung của khung tin Trong tầng này các khung dữliệu không tin cậy sẽ bị từ chối ngay trước khi vào mạng

Lọc gói (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng

của mô hình OSI Lọc gói cho phép hay từ chối gói tin mà nó nhận được Nó kiểm tra

toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số cácquy định của lọc Packet hay không Các quy tắc lọc packet dựa vào các thông tin trongPacket header.

Nếu quy tắc lọc packet được thoả mãn thì gói tin được chuyển qua Firewall Nếukhông sẽ bị bỏ đi Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống hoặckhoá việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép

Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vìchỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định địachỉ sai hay bị cấm Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địachỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống Tuy nhiên

có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phụcnhược điểm trên, ngoài trường địa chỉ IP được kiểm tra còn có các thông tin khác đượckiểm tra với quy tắc được tạo ra trên Firewall, các thông tin này có thể là thời gian truynhập, giao thức sử dụng, cổng

Firewall kiểu Packet Filtering có hai loại :

a Packet filtering Firewall : Hoạt động tại tầng mạng của mô hình OSI haytầng IP trong mô hình TCP/IP Kiểu Firewall này không quản lý được các giao dịchtrên mạng

b Circuit level gateway : Hoạt động tại tầng phiên của mô hình OSI hay tầngTCP trong mô hình TCP/IP Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống vàngười dùng cuối (VD: kiêmt tra ID, mật khẩu) loại Firewall cho phép lưu vết trạngthái của người truy nhập

1.7 Hạn chế của Firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thôngtin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn sự xâmnhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông

số địa chỉ

Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không

"đi qua" nó Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ mộtđường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩamềm

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driventattack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewallvào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virustrên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của cácvirus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soátcủa firewall

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

1.8 Một số mô hình Firewall

1.8.1 Packet – Filtering Router ( Bộ trung chuyển có lọc gói)

Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering routerđặt giữa mạng nội bộ và Internet Một packe-filtering router có hai chức năng : chuyểntiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từchối truyền thông

The Internet

Bªn ngoµi Packet filtering

router

M¹ng néi bé Bªn trong

Hình 1.4: Packet-filtering router