Tải bản đầy đủ - 0 (trang)
CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL

CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL

Tải bản đầy đủ - 0trang

2.1.2.2. Firewall phần mềm

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi

cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng cơng ty.Chúng có thể

hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ

định tuyến chỉ làm việc tốt trong mạng có qui mơ nhỏ. Firewall phần mềm cũng là một lựa

chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy

tính đi bất kỳ nơi nào.

2.2. Chức năng Firewall:

Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành

hay một quốc gia, và Internet. Vai trò chính là bảo mật thơng tin, ngăn chặn sự truy nhập

khơng mong muốn từ bên ngồi (Internet) và cấm truy nhập từ bên trong (Intranet) tới một

số địa chỉ nhất định trên Internet.

FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của

một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET FIREWALL - INTERNET).



Hình 2.1 - Firewall

Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet.Nó nhận dạng

và bỏ qua các thơng tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ. Nếu bạn cài đặt

Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn cơng khơng

thể phát hiện ra máy tính.

2.3. Các loại Firewall và cơ chế hoạt động:

2.3.1. Packet Filtering Firewall

Là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngồi mạng có

kiểm sốt. Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là

router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng. Mơ hình này

hoạt động theo nguyên tắc lọc gói tin. Ở kiểu hoạt động này các gói tin đều được kiểm tra



địa chỉ nguồn nơi chúng xuất phát.Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục

được kiểm tra với các luật đã đặt ra trên router.

Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ xử

lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai hay

bị cấm.Đây chính là hạn chế của kiểu Firewall này vì nó khơng đảm bảo tính tin cậy.

Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị.Khi

một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập

để vào bên trong mạng.



Hình 2.2 - Packet



filtering router



2.3.1.1. Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm

của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế loc packet đã được bao gồm

trong mỗi phần mềm router.

2.3.1.2. Hạn chế

Do làm việc dựa trên header của packet, rõ ràng là bộ lọc packet khơng kiểm sốt được

nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành

động với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu.



2.3.2. Application-proxy firewall

Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì

kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu

cầu kết nối. Nếu việc kiểm tra thành cơng, có nghĩa là các trường thông tin đáp ứng được

các luật đặt ra trên



Firewall



Firewall sẽ tạo mộ



cầu kết nối cho gói



tin đi qua.



thì



Hình 2.3 - Application level gateway

2.3.2.1. Ưu điểm



 Khơng có chức năng chuyển tiếp các gói tin IP.

 Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì

ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy cập

được bởi các dịch vụ.

 Đưa ra công cụ cho phép ghi lại quá trình kết nối.

2.3.2.2. Nhược điểm

 Tốc độ xử lý khá chậm.

 Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ u cầu từmạng

ngồi rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập.

 Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi

dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall (Ftp proxy,

Http proxy).



2.3.3. Circuit Level Gateway

Là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng

đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động

xử lý hay lọc packet nào.

Hình bên dưới cho thấy, cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà

không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tuc telnet nào.Cổng vòng sao

chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngồi (outside

connection).Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các nhà

quản trị mạng thật sự tin tưởng những người dùng bên trong.



Hình 2.4 - Circuit level gateway



2.4. Kiến trúc của Firewall:

2.4.1. Bastion host:

+ Gồm một Packet Filtering và một bastion host



+ Thực hiện bảo vệ mạng ở tầng mạng và tầng ứng dụng

+ Cấu hình và hoạt động Packet Filtering :

+ Đối với luồng thông tin từ Internet, chỉ các gói tin IP với địa chỉ đích là bastion host mới

được phép đi vào trong

+ Đối với luồng thơng tin từ bên trong, chỉ các gói tin IP xuất phát từ bastion host mới được

phép đi ra ngoài

+ Packet Filtering cho phép bastion host mở kết nối (hợp lệ) ra bên ngồi.

+ Packet Filtering có thể cho phép các internal hosts mở kết nối đến các host trên internet

đối với 1 số dịch vụ được phép hoặc cấm tất cả kết nối từ các internal hosts.



Hình 2.5. Kiến trúc Bastion Host

2.4.2. Screened Subnet

Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều

sâu, tăng cường sự an toàn cho Bastion host, tách bastion host khỏi các host khác người ta

đưa ra kiến trúc firewall có tên là Screened Subnet Host.

Kiến trúc Screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vào

phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng

bên ngồi, tách bastion host ra khỏi các host thơng thường khác. Kiểu screened subnet host

đơn giản bao gồm hai screened router:

– Router ngoài (Exterior router): Nằm giữa mạng ngoại vi và mạng ngồi có chức năng bảo

vệ cho mạng ngoại vi (Bastion host, interior router). Exterior router chống lại những sự tấn

công chuẩn như giả mạo địa chỉ IP và điều khiển truy cập tới Bastion host.Quy luật filtering

trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin bắt nguồn

từ Bastion host.

– Router trong (Interior router): Nằm giữa mạng ngoại vi va mạng nội bộ nhằm bảo vệ

mạng nội bộ và mạng ngoại vi. Nó khơng thực hiện hết các quy tắc packet filtering của toàn



bộ firewall. Các dịch vụ mà interior router cho phép giữa Bastion host và mạng nội bộ, giữa

bên ngồi và mạng nội bộ khơng nhất thiết phải giống nhau. Interior router chỉ cho phép các

hệ thống bên trong truy cập Bastion host.

Ưu điểm của Screened Subnet Host:

– Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngồi, Bastion Host và Router trong.

– Bởi vì router ngoài chỉ quảng bá Bastion host tới internet nên hệ thống mạng nội bộ khơng

thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến

bởi Internet qua routing table và DNS information exchange (Domain Name Server).

– Bởi vì router trong chỉ quảng bá Bastion host tới mạng nội bộ nên các hệ thống bên trong

mạng nội bộ không thể truy cập trực tiếp tới Internet. Điều này đảm bảo rằng những user

bên trong bắt buộc phải truy cập qua Internet qua dịch vụ Proxy.

– Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sử

dụng đồng thời nâng cao khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống

và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản

trên là phù hợp.

– Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụng

thêm một dạng ngoại vi (perimeter network) để che phần nào lưu thông bên trong internal

network, tách biệt internal network với internet.

Ngồi ra, còn có những kiến trúc biến thể khác như sử dụng nhiều Bastion host, ghép chung

router trong và router ngoài, ghép chung Bastion host và router ngoài.

2.4.3. Multi-homed host:

Mơ hình này ra đời do các u cầu về hiệu năng (performance) và dư thừa (redudancy) cũng

như tách biệt các Server khác nhau.

Sử dụng một Bastion host cung cấp những dịch vụ cho người dùng bên trong (internal user)

như dịch vụ SNMP, DNS, Proxy Server…

Sử dụng một Bastion host khác cung cấp dịch vụ cho người dùng ngoài Internet hoặc những

người dùng bên ngoài (external user), như dịch vụ FTP Server, Web Server…



Với mơ hình này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một

phần nào đó khơng bị ảnh hưởng bởi những hoạt động của người sử dụng bên ngoài mạng

(external user).

Chúng ta cũng có thể sử dụng nhiều Bastion host chỉ cung cấp một dịch vụ nào đó để tăng

tốc độ đáp ứng, nâng cao hiệu năng hoạt động.

Việc sử dụng nhiều Bastion host cho các server khác nhau để khi một server nào đó bị đột

nhập hoặc server bị hỏng thì server khác vẫn hoạt động tốt.



2.5. Vùng DMZ:

DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet.

- DMZ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp

nhận các rủi ro tấn công từ internet.

- Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP

- Có hai cách thiết lập vùng DMZ:

+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các

luồng thông tin vào mạng cục bộ.



Hình 2.6 DMZ đặt giữa 2 firewall

+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với

mạng cục bộ



Hình 2.7 DMZ đặt ở một nhánh riêng tách rời với mạng cục bộ



2.6. Các thế hệ Firewall

2.6.1. Thế hệ thứ 1: Lọc gói tin

Thế hệ đầu tiên của firewall là lọc gói tin, nó xác định địa chỉ mạng và port của gói tin và

xác định nếu gói tin có thể được cho qua hoặc bị chặn. Bài báo đầu tiên được công bố về

công nghệ tường lửa vào năm 1988, khi những kĩ sư từ DEC phát triển hệ thống lọc được

biết như firewall lọc gói tin. Hệ thống cơ bản này là thế hệ đầu tiên của thứ liên quan đến

tính năng an ninh mạng.

Hành động lọc gói tin bởi sự theo dõi “gói tin” được vận chuyển giữa máy tính và internet.

Nếu gói tin khơng trùng với tập luật lọc, gói tin sẽ bị loại bỏ (âm thầm loại bỏ) hoặc từ chối

nó (loại bỏ nó, và gửi “phản hồi lỗi” tới nguồn).Ngược lại, nếu gói tin trùng với một hoặc

nhiều hơn chương trình lọc, gói tin sẽ được phép cho qua.Kiểu lọc gói tin này khơng chú ý

đến việc gói tin là một phần của dòng dữ liệu sẵn có hoặc dữ liệu. Thay vào đó, nó lọc từng

gói tin chỉ dựa trên thơng tin của chính gói tin đó (phần lớn sử dụng sự kết hợp của nguồn

gói tin, đích, giao thức và dữ liệu TCP, UDP và số cổng). Giao thức TCP, UDP chiếm phần

lớn giao thức trên Internet.

Firewall lọc gói tin làm việc chủ yếu trên 3 tầng đầu tiên trong mơ hình OSI, có nghĩa là

phần lớn việc làm giữa tầng mạng và tầng vật lý, với một phần ít lấy ở tầng vận chuyển để

tìm ra cổng nguồn và cổng địch. Khi một gói tin xuất phát từ người gửi và lọc qua firewall,



thiết bị sẽ check đến khớp bất kì luật lọc nào được cấu hình trong firewall và loại bỏ hoặc từ

chối những gói tin cho phù hợp.

2.6.2. Thế hệ thứ 2: Lọc “stateful”

Firewall sẽ theo dõi toàn bộ trạng thái của kết nối mạng đi qua nó. Firewall được lập trình

để phân biệt gói tin hợp lệ với nhiều loại kết nối khác nhau. Chỉ những gói tìn phù hợp với

những kết nối được xác định mới được cho qua, còn lại sẽ từ chối.

Firewall thế hệ thứ 2 đảm bảo hoạt động của thế hệ thứ nhất, những hoạt động lên tới tầng

4. Điều này đạt được bằng cách giữ lại gói tin cho đến khi đủ thơng tin để đưa ra đánh giá

về tình trạng của gói tin. Được biết những kiểm tra gói tin tồn trạng thái, nó ghi nhận lại

tồn bộ kết nối đi qua nó, và xác địch nơi mà gói tin bắt đầu kết nối mới, một phần các kết

nối đã có, hoặc khơng thuộc phần nào của bất kì kết nối nào.

Kiểm tra “stateful” được gói những lọc gói tin động, là một tính năng bảo mật thường được

sử dụng trong mạng doang nghiệp.

2.6.3. Thế hệ thứ 3: Tầng ứng dụng

Nó được biết tới như Firewall tầng ứng dụng trong suốt. Lợi ích chính của lọc tầng ứng

dụng là nó có thể hiểu được những ứng dụng và giao thức quan trọng như FTP, DNS,

HTTP.Rất hữu ích khi sử dụng để phát hiện những giao thức không mong muốn xâm nhập

qua firewall bơi những cổng được cho phép, hoặc phát hiện nếu giao thức đang bị lạm dụng

với bất kì cách nào.

Vào năm 2012, cái được họi là thế hệ tiếp theo của firewall (NGFW) khơng hơn gì là việc

“mở rộng” hoặc “đào sâu” sự kiểm tra ở tấng công ứng dụng.

IPS



2.7. Những hạn chế của Firewall

Firewall không đủ thông minh để có thể đọc hiểu từng loại thơng tin và phân tích nội

dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông

tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.



Firewall không thể ngăn chặn một cuộc tấn cơng nếu cuộc tấn cơng này khơng "đi

qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn cơng từ một đường

dial-up, hoặc sự rò rỉ thơng tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm.

Firewall cũng không thể chống lại các cuộc tấn cơng bằng dữ liệu (data-drivent

attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào

trong mạng được bảo vệ và bắt đầu hoạt động ở đây.

Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên

các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới

và do có rất nhiều cách để mã hóa dữ liệu, thốt khỏi khả năng kiểm sốt của Firewall.

Firewall có thể ngǎn chặn những kẻ xấu từ bên ngồi nhưng còn những kẻ xấu ở bên trong

thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.

Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp

với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói, mã hố

dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có chiều sâu là

vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật nào.Và cũng cần

nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật.Một nhân tố nữa hết sức quan

trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp.



CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT

3.1. Khái niệm Honeypot

3.1.1. Khái niệm

Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng

đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn

không cho chúng tiếp xúc với hệ thống thật.

Hệ thống tài nguyên thông tin có nghĩa là Honeypot có thể giả dạng bất cứ loại máy

chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ

trực tiếp tương tác với tin tặc và tìm cách khai thác thơng tin về tin tặc như hình thức tấn

cơng, cơng cụ tấn cơng hay cách thức tiến hành thay vì bị tấn cơng.

3.1.2. Mục đích

- Làm lệch hướng tin tặc ra khỏi hệ thống cần bảo vệ.

- Tập hợp thông tin về tin tặc và hành động của tin tặc.

- Lôi kéo tin tặc ở trên hệ thống dài hơn để đủ thời gian cho người quản trị



phản hồi



lại.



3.2. Phân loại Honeypot

Gồm hai loại chính: Tương tác thấp và Tương tác cao

- Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành. Mức độ rủi

ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.

- Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin

thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.



Hình 3.1 - Honeypots



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG 2: GIỚI THIỆU TỔNG QUAN VỀ FIREWALL

Tải bản đầy đủ ngay(0 tr)

×