LỜI MỞ ĐẦU 3
Phần 1: AN TOÀN THễNG TIN TRấN MẠNG (NTWORKSECURITY) 5
1. Tổng quan về an ninh, an toàn trờn mạng Internet (Internet Security). 5
2. Tại sao cần cú an ninh mạng ? 6
2.1. Thực tế về sự phỏt triển Internet. 6
2.2. Thực trạng an ninh trờn mạng ở Việt Nam trong thời gian qua. 7
3. Cỏc hỡnh thức tấn cụng trờn mạng Internet. 8
3.1. Tấn cụng trực tiếp. 8
3.2. Nghe trộm trờn mạng. 8
3.3. Giả mạo địa chỉ IP. 9
3.4. Vô hiệu hoá các chức năng của hệ thống. 9
3.5. Lỗi của người quản trị hệ thống. 10
3.6. Tấn công vào các yếu tố con người. 10
3.7. Một số kiểu tấn cụng khỏc. 11
4. Phõn loại kẻ tấn cụng. 11
5. Phương pháp chung ngăn chặn các kiểu tấn công. 12
6. Phương thức mó húa - bảo mật thụng tin. 14
6.1. Đặc điểm chung của các phương thức mó húa. 14
6.2. Các phương thức mó húa. 17
Phần 2: KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL 21
1. Lịch sử. 21
2. Định nghĩa FireWall. 23
3. Phõn loại FireWall. 24
4. Sự cần thiết của FireWall. 25
5. Chức năng chính của FireWall. 26
6. Cấu trỳc của FireWall. 27
7. Các thành phần của FireWall và cơ chế hoạt động. 27
8. Vai trũ của FireWall. 33
9. Phải chăng tường lửa rất dễ bị phá. 33
10. Những hạn chế của FireWall. 35
Phần 3: Mễ HèNH VÀ ỨNG DỤNG CỦA FIREWALL 36
1. Một số mụ hỡnh Firewall thụng dụng. 36
1.1. Packet filtering: 36
1.2. Dual-homed host: 38
1.3. Demilitarized Zone (Screened-subnet Firewall). 39
1.4. Proxy service: 41
2. Ứng dụng. 42
2.1. Quản lý xỏc thực (Authenti-cation). 42
2.2. Quản lý cấp quyền (Autho-rization). 43
2.3. Quản lý kế toỏn (Accounting management). 44
KẾT LUẬN 45
TÀI LIỆU THAM KHẢO 46
46 trang |
Chia sẻ: huong.duong | Lượt xem: 1266 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu An toàn thông tin trên mạng (networksecurity), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ẽ cỏc tài khoản của cỏc user truy cập.
Việc bảo mật thụng tin cỏ nhõn của người sử dụng truyền đi trờn mạng cũng là một vấn đề cần xem xột nghiờm tỳc. Ta khụng thể biết rằng thụng tin của chỳng ta gửi đi trờn mạng cú bị ai đú nghe trụm hoặc thay đổi nội dung thụng tin đú khụng hay sử dụng thụng tin của chỳng ta vào cỏc mục đớch khỏc. Để cú thể đảm bảo thụng tin truyền đi trờn mạng một cỏch an toàn, đũi hỏi phải thiết lập một cơ chế bảo mật.
Điều này cú thể thực hiện được thụng qua việc mó hoỏ dữ liệu trước khi gửi đi hoặc thiết lập cỏc kờnh truyền tin bảo mật. Việc bảo mật sẽ giỳp cho thụng tin được bảo vệ an toàn, khụng bị kẻ khỏc lợi dụng. Ngày nay, trờn Internet người ta đó sử dụng nhiều phương phỏp bảo mật khỏc nhau như sử dụng thuật toỏn mó đối xứng và mó khụng đối xứng (thuật toỏn mó cụng khai) để mó hoỏ thụng tin trước khi truyền đi trờn mạng Internet. Tuy nhiờn ngoài cỏc giải phỏp phần mềm hiện nay người ta cũn ỏp dụng cả cỏc giải phỏp phần cứng.
Một yếu tố chủ chốt để chống lại truy nhập bất hợp phỏp là yếu tố con người, chỳng ta phải luụn luụn giỏo dục mọi người cú ý thức trong việc sử dụng tài nguyờn chung Internet, trỏnh những sự cố làm ảnh hưởng tới nhiều người nhiều quốc gia. Bảo mật trờn mạng là cả một quỏ trỡnh đấu tranh tiềm ẩn nhưng đũi hỏi sự hợp tỏc của mọi người, của mọi tổ chức khụng chỉ trong phạm vi nhỏ hẹp của một quốc gia nào mà nú bao trựm trờn toàn thế giới.
6. Phương thức mó húa - bảo mật thụng tin.
Một trong những biện phỏp bảo mật thường sử dụng đú là ỏp dụng cỏc cơ chế mó hoỏ. Sau đõy sẽ phõn tớch một số cơ chế mó hoỏ đảm bảo tớnh an toàn và tin cậy dữ liệu thường được sử dụng trong cỏc dịch vụ trờn mạng Internet.
6.1. Đặc điểm chung của cỏc phương thức mó húa.
Trong cỏc phương thức mó húa, mỗi phương thức đều chủ yếu tập trung giải quyết 6 vấn đề chớnh như sau:
Authentication: Hoạt động kiểm tra tớnh xỏc thực một thực thể trong giao tiếp
Authorization: Hoạt động kiểm tra thực thể đú cú được phộp thực hiện những quyền hạn cụ thể nào.
Confidential: Tớnh bảo mật, xỏc định mức độ bảo mật đối với mỗi phương thức bảo mật.
Integrity: Tớnh toàn vẹn, kiểm tra tớnh toàn vẹn dữ liệu khi sử dụng mỗi phương thức bảo mật cụ thể.
Nonrepudiation: Tớnh khụng thể phủ nhận, xỏc định tớnh xỏc thực của chủ thể gõy ra hành động
Availability: Khả năng thực hiện phương thức bảo mật đú trong mụi trường và điều kiện thực tế.
a) Authentication:
Là hoạt động liờn quan đến kiểm tra tớnh đỳng đắn một thực thể giao tiếp trờn mạng. Một thực thể cú thể là một người, một chương trỡnh mỏy tớnh, hoặc một thiết bị phần cứng. Cỏc hoạt động kiểm tra tớnh xỏc thực được đỏnh giỏ là quan trọng nhất trong cỏc hoạt động của một phương thức bảo mật. Một hệ thống thụng thường phải thực hiện kiểm tra tớnh xỏc thực của một thực thể trước khi thực thể đú thực hiện kết nối với hệ thống. Cơ chế kiểm tra tớnh xỏc thực của cỏc phương thức bảo mật dựa vào 3 mụ hỡnh chớnh sau: Những thụng tin biết trước, những thụng tin đó cú và những thụng tin xỏc định tớnh duy nhất.
Với cơ chế kiểm tra dựa vào mụ hỡnh những thụng tin biết trước, đối tượng cần kiểm tra cần phải cung cấp những thụng tin mà chỳng biết. Vớ dụ như password, hoặc mó số thụng số cỏ nhõn pin (personal information number).
Với cơ chế kiểm tra dựa vào mụ hỡnh những thụng tin đó cú, đối tượng kiểm tra cần phải thể hiện những thụng tin mà chỳng sở hữu. Vớ dụ như private key, hoặc số thẻ tớn dụng.
Với cơ chế kiểm tra dựa vào mụ hỡnh những thụng tin xỏc định tớnh duy nhất, đối tượng kiểm tra cần phải cú những thụng tin để định danh tớnh duy nhất của mỡnh. Vớ dụ như thụng qua giọng núi hoặc fingerprint.
b) Authorization:
Là hoạt động kiểm tra tớnh hợp lệ cú được cấp phỏt thực hiện một hành động cụ thể hay khụng. Do vậy hoạt động này liờn quan đến cỏc dịch vụ cấp phỏt quyền truy cập, đảm bảo cho phộp hoặc khụng cho phộp truy nhập đối với những tài nguyờn đó được phõn quyền cho cỏc thực thể. Những hoạt động ở đõy cú thể là quyền đọc dữ liệu, viết, thi hành một chương trỡnh hoặc sử dụng một thiết bị phần cứng... Cơ chế thực hiện việc phõn quyền dựa vào 2 mụ hỡnh chớnh sau: Mụ hỡnh acl (access control list) và mụ hỡnh dựa trờn cơ chế thiết lập cỏc chớnh sỏch (policy).
c) Confidential:
Đỏnh giỏ mức độ bảo mật, hay tớnh an toàn đối với mỗi phương thức bảo mật, mức độ cú thể phục hồi dữ liệu từ những người khụng cú quyền đối với dữ liệu đú. Cú thể bảo mật dữ liệu theo kiến trỳc end-to-end hoặc link-by-link. Với mụ hỡnh end-to-end, dữ liệu được bảo mật trong toàn bộ quỏ trỡnh xử lý, lưu truyền trờn mạng. Với mụ hỡnh link-by-link dữ liệu chỉ được bảo vệ trờn cỏc đường truyền vật lý.
d) Integrity:
Tớnh toàn vẹn: Hoạt động này đỏnh giỏ khả năng sửa đổi dữ liệu so với dữ liệu nguyờn thủy ban đầu. Một phương thức bảo mật cú tớnh toàn vẹn dữ liệu khi nú đảm bảo cỏc dữ liệu mó húa khụng thể bị thay đổi nội dung so với tài liệu gốc (khi đó đượcg giải mó) và trong trường hợp những kẻ tấn cụng trờn mạng sửa đổi nội dung dữ liệu đó mó húa thỡ khụng thể khụi phục lại dạng ban đầu của dữ liệu.
e) Nonreputation:
Tớnh khụng thể phủ nhận: Xỏc định tớnh xỏc thực của chủ thể gõy ra hành động cú thực hiện bảo mật. (vớ dụ chữ ký điện tử sử dụng trong hệ thống mail cho phộp xỏc định chớnh xỏc đối tượng "ký"- người gửi message đú.)
f) Availability:
Đỏnh giỏ tớnh thực thi của một phương thức bảo mật. Phương thức bảo mật đú phải cú khả năng thực hiện trong thực tế đối với cỏc hệ thống mỏy tớnh, dữ liệu và thực hiện với cỏc tài nguyờn phần cứng, phần mềm. Đồng thời phải đảm bảo cỏc yờu cầu về tốc độ tớnh toỏn, khả năng chuyển đổi, tớnh tương thớch giữa cỏc hệ thống khỏc nhau.
6.2. Cỏc phương thức mó húa.
a. Phương thức mó húa dựng khoỏ bớ mật (secret key crytography).
Sơ đồ sau đõy minh hoạ quỏ trỡnh làm việc của phương thức mó hoỏ sử dụng khoỏ bớ mật:
Encrytion
Plaintext
Ciphertext
Decrytion
Private key
Plaintext
Phương thức mó húa đối xứng
Đõy là phương thức mó hoỏ đối xứng: Message ở dạng Plaintext (dạng đọc được) được mó hoỏ sử dụng Private Key (khoỏ mà chỉ cú người mó hoỏ mới biết được) tạo thành Message được mó hoỏ (Ciphertext). Ở phớa nhận, Message mó hoỏ được giải mó cựng với Private Key mó hoỏ ban đầu thành dạng Plaintext.
Điểm chỳ ý của phương phỏp mó hoỏ này là việc sử dụng khoỏ bớ mật cho cả quỏ trỡnh mó hoỏ và quỏ trỡnh giải mó. Do đú, nhược điểm chớnh của phương thức này là cần cú quỏ trỡnh trao đổi khoỏ bớ mật, dẫn đến tỡnh trạng dễ bị lộ khoỏ bớ mật.
Cú hai loại mó hoỏ đối xứng như sau: Mó hoỏ theo từng khối và mó hoỏ theo bits dữ liệu.
Cỏc thuật toỏn mó hoỏ đối xứng theo từng khối dữ liệu (block cipher) thực hiện chia Message ở dạng Plaintext thành cỏc khối (vớ dụ 64 bits hoặc 2n bits), sau đú tiến hành mó hoỏ từng khối này. Đối với khối cuối cựng nếu khụng đủ 64 bits sẽ được bự thờm phần dữ liệu đệm (padding). Bờn nhận sẽ thực hiện giải mó theo từng khối.
Mó hoỏ theo từng bits dữ liệu (stream ciphers).
Bảng sau đõy mụ tả một số phương phỏp mó hoỏ đối xứng sử dụng khoỏ bớ mật:
Tên thuật toán
Chế độ mã hoá
Chiều dài khoá
DES
Theo khối
56
IDEA
Theo khối
128
RC2
Theo khối
2048
RC4
Theo bit
2048
RC5
Theo khối
2048
Để khắc phục điểm hạn chế của phương phỏp mó hoỏ đối xứng là quỏ trỡnh trao đổi khoỏ bớ mật, người ta đó sử dụng phương phỏp mó hoỏ phi đối xứng sử dụng một cặp khoỏ tương ứng với nhau gọi là phương thức mó hoỏ phi đối xứng dựng khoỏ cụng khai (public-key crytography).
b. Phương thức mó húa dựng khoỏ cụng khai (public-key crytography).
Phương thức mó húa dựng khoỏ cụng khai được phỏt minh bởi Whitfield Diffie và Martin Mellman vào năm 1975. Phương thức mó húa này sử dụng 2 khúa là Public key và Private key cú cỏc quan hệ toỏn học với nhau. Trong đú Private key được giữ bớ mật và khụng cú khả năng bị lộ do khụng cần phải trao đổi trờn mạng. Public key khụng phải giữ bớ mật và mọi người đều cú thể nhận được khoỏ này. Do phương thức mó húa này sử dụng 2 khúa khỏc nhau, nờn người ta gọi nú là phương thức mó húa phi đối xứng. Mặc dự Private key được giữ bớ mật, nhưng khụng giống với "secret key" được sử dụng trong phương thức mó húa đối xứng sử dụng khoỏ bớ mật do Private key khụng được trao đổi trờn mạng.
Public key và Private key tương ứng của nú cú quan hệ toỏn học với nhau và được sinh ra sau khi thực hiện cỏc hàm toỏn học. Nhưng cỏc hàm toỏn học này luụn thoả món điều kiện là sao cho khụng thể tỡm được Private key từ Public key và ngược lại. Do đú, một cặp khoỏ Public key và Private key tương ứng được gọi là key pair.
Do cú mối quan hệ toỏn học với nhau, một message được mó húa bằng Public key chỉ cú thể giải mó được bằng Private key tương ứng. Một Message được mó húa bằng Private key chỉ cú thể giải mó được bằng Public Key tương ứng của nú.
Thuật toỏn public key cú tớnh thuận nghịch nếu nú cú khả năng sử dụng cả cho bảo mật và ký điện tử. Nú là khụng cú tớnh thuận nghịch nếu chỉ cú khả năng ký. Với cỏc thuật toỏn bất thuận nghịch, private key chỉ cú thể mó húa plaintext (tức là quỏ trỡnh ký) mà khụng cú khả năng giải mó ciphertext. Một loại khỏc của thuật toỏn mó húa public-key là hoặc khụng thể mó húa hoặc khụng thể ký; thuật toỏn này được gọi là thuật toỏn key exchange (thuật toỏn chuyển đổi khúa).
Thuật toỏn public-key dựa trờn mối quan hệ toỏn học giữa public key và private key. Bảng sau đõy liệt kờ cỏc thuật toỏn public-key thụng dụng như sau:
Tên Thuật toán
Type
Nền tảng toán học
DSA
Digital signature
Thuật toán rời rạc
RSA
Digital signature, Key Exchange
Tìm thừa số
DSA (digital signature algorithm), phương thức mó húa này được ra đời từ chuẩn DSS (digital signature standard), được giới thiệu vào năm 1994. DSA chỉ cú thể ký vào một message; nú khụng thể dựng cho mó húa bảo mật và key exchange.
RSA là tờn của 3 nhà toỏn học đó tỡm ra phương thức mó húa này, đú là Rivest, Shamir và Adleman. RSA là thuật toỏn public-key thụng dụng nhất từ trước tới nay. RSA cú thể sử dụng cả cho mó húa, ký, và key exchange. Chiều dài của key cú thể thay đổi, thụng thường trong phạm vi từ 512 đến 2048 bits. Việc lựa chọn chiều dài key phải đảm bảo cõn bằng giữa tốc độ tớnh toỏn và độ phức tạp của phương thức mó húa.
Encrytion
Public key
Plaintext
Ciphertext
Decrytion
Plaintext
Private key
Phương thức mó húa phi đối xứng
Giả sử A muốn gửi cho B một Message được mó húa theo phương thức Public-key. A sử dụng Public key của B để mó húa Plaintext tạo thành Ciphertext (A cú thể nhận được Public key của B do Public key là khoỏ cụng khai). Sau đú Ciphertext này được chuyển tới B, ở phớa nhận B sử dụng Private key của mỡnh để giải mó Ciphertext và đọc được Message ban đầu của A.
Phần 2: KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL
1. Lịch sử.
Cụng nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn cũn là một cụng nghệ khỏ mới mẻ theo khớa cạnh kết nối và sử dụng trờn toàn cầu. í tưởng đầu tiờn được đó hỡnh thành sau khi hàng loạt cỏc vụ xõm phạm nghiờm trọng đối với an ninh liờn mạng xảy ra vào cuối những năm 1980. Năm 1988, một nhõn viờn tại trung tõm nghiờn cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chỳng ta đang bị một con VIRUS Internet tấn cụng! Nú đó đỏnh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và NASA Ames." Con virus được biết đến với tờn Sõu Morris này đó được phỏt tỏn qua thư điện tử và khi đú đó là một sự khú chịu chung ngay cả đối với những người dựng vụ thưởng vụ phạt nhất. Sõu Morris là cuộc tấn cụng diện rộng đầu tiờn đối với an ninh Internet. Cộng đồng mạng đó khụng hề chuẩn bị cho một cuộc tấn cụng như vậy và đó hoàn toàn bị bất ngờ. Sau đú, cộng đồng Internet đó quyết định rằng ưu tiờn tối cao là phải ngăn chặn khụng cho một cuộc tấn cụng bất kỳ nào nữa cú thể xảy ra, họ bắt đầu cộng tỏc đưa ra cỏc ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng Internet cú thể trở lại an toàn.
Năm 1988, bài bỏo đầu tiờn về cụng nghệ tường lửa được cụng bố, khi Jeff Mogul thuộc Digital Equipment Corp. phỏt triển cỏc hệ thống lọc đầu tiờn được biết đến với tờn cỏc tường lửa lọc gúi tin. Hệ thống khỏ cơ bản này đó là thế hệ đầu tiờn của cỏi mà sau này sẽ trở thành một tớnh năng kỹ thuật an toàn mạng được phỏt triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiờn cứu tại phũng thớ nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đó phỏt triển thế hệ tường lửa thứ hai, được biến đến với tờn cỏc tường lửa tầng mạch (circuit level firewall). Cỏc bài bỏo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phũng thớ nghiệm AT&T và Marcus Ranum đó mụ tả thế hệ tường lửa thứ ba, với tờn gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall). Nghiờn cứu cụng nghệ của Marcus Ranum đó khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiờn. Sản phẩm này đó được Digital Equipment Corporation's (DEC) phỏt hành với tờn SEAL. Đợt bỏn hàng lớn đầu tiờn của DEC là vào ngày 13 thỏng 9 năm 1991 cho một cụng ty húa chất tại bờ biển phớa Đụng của Mỹ.
Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiờn cứu của họ về lọc gúi tin và đó phỏt triển một mụ hỡnh chạy được cho cụng ty của chớnh họ, dựa trờn kiến trỳc của thế hệ tường lửa thứ nhất của mỡnh. Năm 1992, Bob Braden và Annette DeSchon tại Đại học Nam California đó phỏt triển hệ thống tường lửa lọc gúi tin thế hệ thứ tư. Sản phẩm cú tờn “Visas” này là hệ thống đầu tiờn cú một giao diện với màu sắc và cỏc biểu tượng, cú thể dễ dàng cài đặt thành phần mềm cho cỏc hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ cỏc hệ điều hành đú. Năm 1994, một cụng ty Israel cú tờn Check Point Software Technologies đó xõy dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đú là FireWall-1. Một thế hệ thứ hai của cỏc tường lửa proxy đó được dựa trờn cụng nghệ Kernel Proxy. Thiết kế này liờn tục được cải tiến nhưng cỏc tớnh năng và mó chương trỡnh cơ bản hiện đang được sử dụng rộng rói trong cả cỏc hệ thống mỏy tớnh gia đỡnh và thương mại. Cisco, một trong những cụng ty an ninh mạng lớn nhất trờn thế giới đó phỏt hành sản phẩm này năm 1997.
Thế hệ FireWall-1 mới tạo thờm hiệu lực cho động cơ kiểm tra sõu gúi tin bằng cỏch chia sẻ chức năng này với một hệ thống ngăn chặn xõm nhập.
2. Định nghĩa FireWall.
Thuật ngữ FireWall cú nguồn gốc từ một kỹ thuật thiết kế trong xõy dựng để ngăn chặn, hạn chế hoả hoạn. Trong Cụng nghệ mạng thụng tin, FireWall là một kỹ thuật được tớch hợp vào hệ thống mạng để chống lại sự truy cập trỏi phộp nhằm bảo vệ cỏc nguồn thụng tin nội bộ cũng như hạn chế sự xõm nhập vào hệ thống của một số thụng tin khỏc khụng mong muốn.
Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) được đặt giữa mạng của một tổ chức, một cụng ty, hay một quốc gia (Intranet) và Internet.
Trong một số trường hợp, Firewall cú thể được thiết lập ở trong cựng một mạng nội bộ và cụ lập cỏc miền an toàn. Vớ dụ như mụ hỡnh dưới đõy thể hiện một mạng cục bộ sử dụng Firewall để ngăn cỏch phũng mỏy và hệ thống mạng ở tầng dưới.
3. Phõn loại FireWall.
Firewall được chia làm 2 loại:
Firewall cứng.
Firewall mềm.
FireWall cứng: Là những firewall được tớch hợp trờn Router.
Đặc điểm của FireWall cứng:
Khụng được linh hoạt như Firewall mềm: (Khụng thể thờm chức năng, thờm quy tắc như firewall mềm).
Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport).
Firewall cứng khụng thể kiểm tra được nột dung của gúi tin.
Vớ dụ FireWall cứng: NAT (Network Address Translate).
FireWall mềm: Là những Firewall được cài đặt trờn Server.
Đặc điểm của FireWall mềm:
Tớnh linh hoạt cao: Cú thể thờm, bớt cỏc quy tắc, cỏc chức năng.
Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
Firewal mềm cú thể kiểm tra được nội dung của gúi tin (thụng qua cỏc từ khúa).
Vớ dụ về FireWall mềm: Zone Alarm, Norton Firewall…
4. Sự cần thiết của FireWall.
Nếu mỏy tớnh của bạn khụng được bảo vệ, khi bạn kết nối Internet, tất cả cỏc giao thụng ra vào mạng đều được cho phộp, vỡ thế hacker, trojan, virus cú thể truy cập và lấy cắp thụng tin cỏ nhõn cuả bạn trờn mỏy tớnh. Chỳng cú thể cài đặt cỏc đoạn mó để tấn cụng file dữ liệu trờn mỏy tớnh. Chỳng cú thể sử dụng mỏy tớnh cuả bạn để tấn cụng một mỏy tớnh của gia đỡnh hoặc doanh nghiệp khỏc kết nối Internet. Một Firewall cú thể giỳp bạn thoỏt khỏi gúi tin hiểm độc trước khi nú đến hệ thống của bạn.
5. Chức năng chớnh của FireWall.
Chức năng chớnh của Firewall là kiểm soỏt luồng thụng tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dũng thụng tin giữa mạng bờn trong (Intranet) và mạng Internet. Cụ thể là:
Cho phộp hoặc cấm những dịch vụ bờn trong truy nhập ra ngoài (từ Intranet ra Internet).
Cho phộp hoặc cấm những dịch vụ bờn ngoài truy nhập vào trong (từ Internet vào Intranet).
Theo dừi luồng dữ liệu mạng giữa Internet và Intranet.
Kiểm soỏt địa chỉ truy nhập, cấm địa chỉ truy nhập.
Kiểm soỏt người sử dụng và việc truy nhập của người sử dụng.
Kiểm soỏt nội dung thụng tin, thụng tin lưu chuyển trờn mạng.
Ngăn ngừa khả năng tấn cụng từ cỏc mạng ngoài.
Xõy dựng Firewall là một biện phỏp khỏ hữu hiệu, nú cho phộp bảo vệ và kiểm soỏt hầu hết cỏc dịch vụ do đú được ỏp dụng phổ biến nhất trong cỏc biện phỏp bảo vệ mạng. Thụng thường, một hệ thống Firewall là một cổng (gateway) giữa mạng nội bộ giao tiếp với mạng bờn ngoài và ngược lại.
6. Cấu trỳc của FireWall.
FireWall bao gồm :
Một hoặc nhiều hệ thống mỏy chủ kết nối với cỏc bộ định tuyến (router) hoặc cú chức năng router. Cỏc phần mềm quản lớ an ninh chạy trờn hệ thống mỏy chủ. Thụng thường là cỏc hệ quản trị xỏc thực (Authentication), cấp quyền (Authorization) và kế toỏn (Accounting).
Cỏc bức tường lửa bảo vệ cỏc tài nguyờn trờn mạng, cơ quan khụng cho những người khụng được phộp trờn Internet rộng lớn truy nhập.
7. Cỏc thành phần của FireWall và cơ chế hoạt động.
Một FireWall chuẩn bao gồm một hay nhiều thành phần sau:
Bộ lọc packet (Packet filtering router).
Cổng ứng dụng (Application level gateway hay proxy server).
Cổng vũng (Circuite level gateway).
Bộ lọc packet (Paket filtering router).
Nguyờn lý hoạt động:
Khi núi đến việc lưu thụng dữ liệu giữa cỏc mạng với nhau thụng qua Firewall thỡ điều đú cú nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Vỡ giao thức này làm việc theo thuật toỏn chia nhỏ cỏc dữ liệu nhận được từ cỏc ứng dụng trờn mạng, hay núi chớnh xỏc hơn là cỏc dịch vụ chạy trờn cỏc giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành cỏc gúi dữ liệu (data pakets) rồi gỏn cho cỏc paket này những địa chỉ để cú thể nhận dạng, tỏi lập lại ở đớch cần gửi đến, do đú cỏc loại Firewall cũng liờn quan rất nhiều đến cỏc packet và những con số địa chỉ của chỳng.
Bộ lọc packet cho phộp hay từ chối mỗi packet mà nú nhận được. Nú kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đú cú thoả món một trong số cỏc luật lệ của lọc packet hay khụng. Cỏc luật lệ lọc packet này là dựa trờn cỏc thụng tin ở đầu mỗi packet (packet header), dựng để cho phộp truyền cỏc packet đú ở trờn mạng. Đú là:
Địa chỉ IP nơi xuất phỏt ( IP Source address).
Địa chỉ IP nơi nhận (IP Destination address).
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
Cổng TCP/UDP nơi xuất phỏt (TCP/UDP source port).
Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
Dạng thụng bỏo ICMP ( ICMP message type).
Giao diện packet đến ( incomming interface of packet).
Giao diện packet đi ( outcomming interface of packet).
Nếu luật lệ lọc packet được thoả món thỡ packet được chuyển qua Firewall. Nếu khụng packet sẽ bị bỏ đi. Nhờ vậy mà Firewall cú thể ngăn cản được cỏc kết nối vào cỏc mỏy chủ hoặc mạng nào đú được xỏc định, hoặc khoỏ việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ khụng cho phộp. Hơn nữa, việc kiểm soỏt cỏc cổng làm cho Firewall cú khả năng chỉ cho phộp một số loại kết nối nhất định vào cỏc loại mỏy chủ nào đú, hoặc chỉ cú những dịch vụ nào đú (Telnet, SMTP, FTP...) được phộp mới chạy được trờn hệ thống mạng cục bộ.
Ưu điểm:
Đa số cỏc hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương phỏp dựng bộ lọc packet là chi phớ thấp vỡ cơ chế lọc packet đó được bao gồm trong mỗi phần mềm router.
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và cỏc ứng dụng, vỡ vậy nú khụng yờu cầu sự huấn luyện đặc biệt nào cả.
Hạn chế:
Việc định nghĩa cỏc chế độ lọc package là một việc khỏ phức tạp, đũi hỏi người quản trị mạng cần cú hiểu biết chi tiết vể cỏc dịch vụ Internet, cỏc dạng packet header, và cỏc giỏ trị cụ thể cú thể nhận trờn mỗi trường. Khi đũi hỏi vể sự lọc càng lớn, cỏc luật lệ vể lọc càng trở nờn dài và phức tạp, rất khú để quản lý và điều khiển.
Do làm việc dựa trờn header của cỏc packet, rừ ràng là bộ lọc packet khụng kiểm soỏt được nụi dung thụng tin của packet. Cỏc packet chuyển qua vẫn cú thể mang theo những hành động với ý đồ ăn cắp thụng tin hay phỏ hoại của kẻ xấu.
Cổng ứng dụng (Application Level Gateway).
Nguyờn lý hoạt động:
Đõy là một loại Firewall được thiết kế để tăng cường chức năng kiểm soỏt cỏc loại dịch vụ, giao thức được cho phộp truy cập vào hệ thống mạng. Cơ chế hoạt động của nú dựa trờn cỏch thức gọi là Proxy service. Proxy service là cỏc bộ code đặc biệt cài đặt trờn gateway cho từng ứng dụng. Nếu người quản trị mạng khụng cài đặt proxy code cho một ứng dụng nào đú, dịch vụ tương ứng sẽ khụng được cung cấp và do đú khụng thể chuyển thụng tin qua Firewall. Ngoài ra, proxy code cú thể được định cấu hỡnh để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưũi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khỏc.
Một cổng ứng dụng thường được coi như là một phỏo đài (Bastion host), bởi vỡ nú được thiết kế đặc biệt để chống lại sự tấn cụng từ bờn ngoài. Những biện phỏp đảm bảo an ninh của một Bastion host là:
Bastion host luụn chạy cỏc version an toàn (secure version) của cỏc phần mềm hệ thống (Operating system). Cỏc version an toàn này được thiết kế chuyờn cho mục đớch chống lại sự tấn cụng vào Operating System, cũng như là đảm bảo sự tớch hợp Firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trờn Bastion host, đơn giản chỉ vỡ nếu một dịch vụ khụng được cài đặt, nú khụng thể bị tấn cụng. Thụng thường, chỉ một số giới hạn cỏc ứng dụng cho cỏc dịch vụ Telnet, DNS, FTP, SMTP và xỏc thực user là được cài đặt trờn Bastion host.
Bastion host cú thể yờu cầu nhiều mức độ xỏc thực khỏc nhau. Vớ dụ như user password hay smart card.
Mỗi proxy được đặt cấu hỡnh để cho phộp truy nhập chỉ một sồ cỏc mỏy chủ nhất định. Điều này cú nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đỳng với một số mỏy chủ trờn toàn hệ thống.
Mỗi proxy duy trỡ một quyển nhật ký ghi chộp lại toàn bộ chi tiết của giao thụng qua nú, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất cú ớch trong việc tỡm theo dấu vết hay ngăn chặn kẻ phỏ hoại.
Mỗi proxy đều độc lập với cỏc proxy khỏc trờn Bastion host. Điều này cho phộp dễ dàng quỏ trỡnh cài đặt một proxy mới, hay thỏo gỡ mụt proxy đang cú vấn để.
Ưu điểm:
Cho phộp người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trờn mạng, bởi vỡ ứng dụng proxy hạn chế bộ lệnh và quyết định những mỏy chủ nào cú thể truy nhập được bởi cỏc dịch vụ.
Cho phộp người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phộp, bởi vỡ sự vắng mặt của cỏc proxy cho cỏc dịch vụ tương ứng cú nghĩa là cỏc dịch vụ ấy bị khoỏ.
Cổng ứng dụng cho phộp kiểm tra độ xỏc thực rất tốt, và nú cú nhật ký ghi chộp lại thụng tin về truy nhập hệ thống.
Luật lệ lọc Filltering cho cổng ứng dụng là dễ dàng cấu hỡnh và kiểm tra hơn so với bộ lọc packet.
Hạn chế:
Yờu cầu cỏc users thay đổi thao tỏc, hoặc thay đổi phần mềm đó cài đặt trờn mỏy client cho truy nhập vào cỏc dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đũi hỏi hai bước để nối với mỏy chủ chứ khụng phải là một bước thụi. Tuy nhiờn, cũng đó cú một số phần mềm client cho phộp ứng dụng trờn cổng ứng dụng là trong suốt, bằng cỏch cho phộp user chỉ ra mỏy đớch chứ khụng phải cổng ứng dụng trờn lệnh Telnet.
Cổng vũng (Circuit Level Gateway).
Cổng vũng là một chức năng đặc biệt cú thể thực hiện được bởi một cổng ứng dụng. Cổng vũng đơn giản chỉ chuyển tiếp (relay) cỏc kết nối TCP mà khụng thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
Hỡnh dưới đõy minh hoạ một hành động sử dụng nối telnet qua cổng vũng. Cổng vũng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà khụng thực hiện một sự kiểm tra, lọc hay điều khiển cỏc thủ tục Telnet nào.Cổng vũng làm việc như một sợi dõy,sao chộp cỏc byte giữa kết nối bờn trong (Inside connection) và cỏc kết nối bờn ngoài (Outside connection). Tuy nhiờn, vỡ sự kết nối này xuất hiện từ hệ thống firewall, nú che dấu thụng tin về mạng nội bộ.
Cổng vũng thường được sử dụng cho những kết nối ra ngoài, nơi mà cỏc quản trị mạng thật sự tin tưởng những người dựng bờn trong. Ưu điểm lớn nhất là một Bastion host cú thể được cấu hỡnh như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vũng cho cỏc kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người t
Các file đính kèm theo tài liệu này:
- 37352.doc