Đồ án Bảo mật mạng bằng công nghệ Firewall

y chế giới hạn quyền truy cập các tài nguyên mạng đồng nghĩa với việc bảo vệ ở mức vật lý các thiết bị mạng không bị xâm phạm bởi các nhân viên không được phép. Điều này cũng cho phép bảo vệ hệ thống mạng khỏi các Hacker, kẻ tấn công, kể xâm nhập trực tiếp vào thiết bị và thay đổi cấu hình. Tùy thuộc vào cấp độ bảo mật khác nhau mà các nhân viên sẽ có quyền truy cập vào phòng chứa thiết bị mạng khác nhau. Tất cả các thiết bị mạng đều phải được đảm bảo an toàn từ các Core router, hệ thống cáp, modem, máy chủ, các hosts, thiết bị lưu trữ, v.v.v… Nhằm tăng tối đa khả năng bảo vệ, các thiết bị mạng này phải được tập trung vào một vị trí và phải có hệ thống bảo vệ như khóa cửa, hệ thống báo trộm, hệ thống báo cháy, hệ thống điều hòa nhiệt độ, hệ thống cung cấp nguồn điện dự phòng, v.v.v… 3.1.2. Bảo mật sử dụng bức tường lửa Bức tường lửa (Firewall) sẽ cho phép chúng ta lọc, ngăn chặn hay cho phép gói tin đi qua dựa trên địa chỉ nguồn, đích hay các dịch vụ đang sử dụng. Các firewall sẽ chia hệ thống mạng ra làm nhiều vùng khác nhau và việc truy cập từ vùng này sang vùng khác sẽ được kiểm soát chặt chẽ. Việc sử dụng bức tường lửa vào những vị trí thích hợp sẽ giúp ngăn chặn tối đa khả năng truy cập trái phép của các hacker . Hình 1.15 Bảo mật sử dụng bức tường lửa Hiện nay, có rất nhiều hướng giải pháp để xây dựng hệ thống tường lửa, được chia ra làm 2 nhóm sau: Giải pháp dùng phần cứng và Giải pháp dùng phần mềm. Giải pháp dùng phần cứng là dùng thiết bị Firewall phần cứng chuyên dụng hay còn gọi là “Firewall cứng”. Trong số này có hai nhà cung cấp nổi tiếng hàng đầu thế giới là PIX của Cisco và Netscreen của Junifer. Giải pháp dùng phần mềm là dùng các phần mềm có chức năng Firewall hay còn gọi là “Firewall mềm”. Nhà cung cấp sản phẩm Firewall mềm hàng đầu trên thế giới hiện nay là Checkpoint của Nokia. Việc sử dụng Firewall “cứng” hay “mềm” còn tuỳ thuộc rất nhiều vào vị trí của các firewall này cũng như các thiết bị mạng đang được sử dụng trong hệ thống. Chi tiết hơn về việc sử dụng loại nào tại vị trí nào tôi sẽ trình bày chi tiết trong phần II của đồ án này . Hệ thống giám sát, cảnh báo và ngăn chặn xâm nhập IPS Chúng ta biết rằng các Firewall chỉ có khả năng ngăn chặn theo các dịch vụ và địa chỉ đích, địa chỉ nguồn. Xong khi một số dịch vụ bắt buộc phải mở như: WEB, Mail, các ứng dụng…sẽ tạo điều kiện cho hackers tấn công, và khi hacker tấn công ngay trên chính các dịch này thì firewall hoàn toàn mất tác dụng. Một trong những phương thức sử dụng để rò quét và ngăn chặn những hành động này là sử dụng IPS (Instrusion Prevention System). IPS được phát triển lên từ IDS (Instrusion Detection System) Là hệ thống phát hiện các hành vi tấn công xâm nhập mạng. Nó “bắt” các gói tin lưu thông trong mạng để phân tích và đưa ra các cảnh báo và đóng vai trò như là “camera” theo dõi trong mạng. Cũng giống IDS, IPS là hệ thống giám sát thời gian thực an ninh mạng nhằm nhanh chóng phát hiện, nhận dạng các cuộc tấn công nguy hiểm từ bên ngoài và ngay lập tức cảnh báo với người quản trị thông qua e-mail, tin nhắn, hay ghi nhận lại. Hơn thế nữa, hệ thống còn có thể tự động phản hồi lại các cuộc tấn công như chặn đứng các gói dữ liệu nguy hiểm, cập nhật vào các chính sách cho Firewall, Router hay Switch. Hệ thống giám sát được phân loại dựa trên phương pháp giám sát (monitoring method) gồm : Network Base IPS (NIPS)& Host Base IPS (HIPS) và Application Base IPS (AIPS): Host Base IPS dùng để giám sát một máy tính, một host nào đó, đặc biệt là các máy chủ. Network Base IPS dùng để giám sát tất cả các dòng dữ liệu lưu thông trên mạng và so sánh với các mẫu nhận dạng nguy hiểm đã được thông báo trước. Network IPS cho hệ thống mạng của doanh nghiệp có thể được đặt tại một mạng nào đó kết nối trực tiếp đến Firewall sao cho tất cả các dòng dữ liệu sẽ được phân tích và có hành động thích hợp. Application Base IPS dùng để giám sát các ứng dụng . Hình 1.16 . Các loại IPS 3.1.3. Bảo mật sử dụng lọc gói dữ liệu Một hệ thống an ninh mạng thông minh cho các doanh nghiệp không chỉ có các thiết bị bảo mật và giám sát mà chính những thiết bị mạng cũng có khả năng bảo mật. Khả năng lọc gói dữ liệu có thể ứng dụng hoàn hảo cho các thành phần này như router, tường lửa, máy chủ có thể được cấu hình chấp nhận hoặc loại bỏ các gói dữ liệu không hợp lệ dựa trên địa chỉ hay các dịch vụ. Phương pháp này có thể ngăn chặn hay hạn chế đến tối đa các truy cập trái phép vào tài nguyên mạng như đánh cắp thông tin hay tấn công từ chối dịch vụ (DoS). Cơ chế hoạt động của phương pháp này dựa trên các gói dữ liệu và có hành động thích hợp là: Cấm các loại gói dữ liệu xác định và chấp nhận tất cả các gói dữ liệu còn lại. Chấp nhận các loại gói dữ liệu xác định và cấm tất cả các gói dữ liệu còn lại. Các thiết bị mạng Cisco cũng hỗ trợ phương pháp lọc gói dữ liệu này thông qua các danh sách điều khiển truy cập – access control lists (ACLs). ACL cho phép các dòng dữ liệu trên mạng dễ dàng quản lý hơn bao giờ hết dựa trên địa chỉ , các giao thức, các cổng nguồn và đích. Hình 1.17. Bảo mật sử dụng lọc gói dữ liệu 3.1.4. Bảo mật sử dụng các phương pháp mã hóa Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: Mã hoá sử dụng khoá riêng (Symmetric-key encryption) và mã hoá sử dụng khoá công khai (Public-key encryption) Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trước. Mã bí mật thì sử dụng để giải mã gói tin. Ví dụ: Bạn tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được thay bằng C, và B sẽ được thay bằng D. Bạn đã nói với người bạn khoá riêng là Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư. Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người nhận (public key). Máy tính nhận sử dụng khoá riêng của nó (private key) tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử dụng khoá bí mật này để giải mã dữ liệu Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạn mã hoá đựợc hầu hết mọi thứ. Sau đây là 2 ứng dụng điển hình của bảo mật sử dụng kĩ thuật mã hóa: Giao thức bảo mật IPSec ( Internet Protocol Security Protocol) IPSec cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như: Từ router đến router Từ firewall đến router Từ PC đến router Từ PC đến server Bảo mật sủ dụng kết nối kênh riêng ảo VPN (Virtual Private Network ) Một trong những biện pháp mã hóa dữ liệu đối với những người dùng từ xa là sử dụng công nghệ VPN nhằm tăng cường khả năng bảo mật cho dữ liệu được truyền trên mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Hình 1.18 . Kết nối từ xa sử dụng VPN Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang hàng Site-to-Site),ta cần một số thành phần nhất định để hình thành VPN, bao gồm: Phần mềm máy trạm cho mỗi người dùng xa Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall) Các máy chủ VPN sử dụng cho dịch vụ quay số Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN ở xa truy nhập Trung tâm quản lý mạng và chính sách VPN Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau: Bảo mật (Security) Tin cậy (Reliability) Dễ mở rộng, nâng cấp (Scalability) Quản trị mạng thuận tiện (Network management) Quản trị chính sách mạng tốt (Policy management) 3.1.5. Bảo mật sử dụng xác thực, cấp quyền truy nhập và thống kê. Bảo mật dùng xác thực (Authentication) Phương thức bảo mật dùng xác thực được ứng dụng vào hệ thống mạng cho phép nhận dạng người dùng muốn truy xuất các ứng dụng dịch vụ mạng và làm nhiệm vụ cho phép hay hạn chế truy cập. Với phương thức bảo mật này, người dùng sẽ có login ID và password để khai báo cho các máy chủ bảo mật khi có nhu cầu truy xuất tài nguyên hệ thống, các login ID và password này sau đó sẽ được kiểm tra bởi một máy chủ chạy dịch vụ xác thực như RADIUS, TACACS, TACACS+. Cấp quyền truy cập (Authorization) Kết hợp với phương thức bảo mật dùng xác thực, phương pháp cấp quyền truy cập có thể định nghĩa và quản lý người dùng truy cập đến mức độ nào trong tài nguyên hệ thống như các thư mục, các tập tin, v.v.v… Các tổ chức doanh nghiệp nên cấp quyền truy cập hệ thống cho các thành viên dựa trên yêu cầu cần thiết tối thiểu khi có nhu cầu thực sự sao cho quyền truy cập là thấp nhất nhằm làm tăng tối đa độ bảo mật, an toàn dữ liệu. Ngoài ra, để dễ dàng quản lý thì việc cấp quyền còn phải dựa trên sự đồng nhất, giống nhau của người dùng nhằm tạo ra các nhóm người dùng có quyền truy xuất dữ liệu như nhau. Thống kê (Accouting) Hệ thống thống kê (accouting) có thể thu thập hoạt động dữ liệu, thống kê, báo cáo các truy cập từ phía người dùng là đặc biệt cần thiết. Phương pháp này cho phép người quản trị dễ dàng xác định các xâm phạm có thể xảy ra, nhanh chóng khắc phục sự cố và truy cứu trách nhiệm do tất cả các thông tin người dùng truy nhập tài nguyên mạng đều được lưu lại dưới nhiều dạng tập tin khác nhau như .txt, .xls, v.v.v… Những thông tin thu thập được từ người dùng bao gồm cả login ID, số lần truy nhập, các quyền truy cập đã có và các quyền truy cập mới. 3.2. CÁC CHÍNH SÁCH CHUNG CHO CON NGƯỜI Trong mọi hoàn cảnh thì con người vẫn là yếu tố quyết định cho sự thành công của chiến lược chung và trong công tác bảo mật cũng không nằm ngoài quy luật đó. Con người ở đây ý nói tới toàn bộ nhân viên của tổ chức doanh nghiệp, bất kì ai cũng phải ý thức được trách nhiệm của mình đối với an ninh cho hệ thống thông tin của công ty ,và nghiêm túc thực hiện những chính sách (Policies) chung của công ty đề ra. Sau đây là một số chính sách chung điển hình trong môi trường doanh nghiệp: Xác định các tài nguyên và thành phần cần bảo vệ. Phân tích các mối đe dọa có thể dẫn tới mất an toàn về thông tin. Phân tích cụ thể về mức độ và yêu cầu bảo mật đối với từng thành phần. Lên kế hoạch tổng thể cho việc thực hiện an ninh mạng. Định nghĩa các chính sách về bảo mật. Lên kế hoạch cho việc áp dụng các chính sách bảo mật trong toàn ngân hàng. Thực hiện chính sách đối với người dùng, lãnh đạo và các nhân viên kỹ thuật. Đào tạo cho người dùng, lãnh đạo và các nhân viên kỹ thuật. Triển khai về phương diện kỹ thuật và thực hiện các quá trình bảo mật theo kế hoạch. Thử nghiệm và cập nhật các lỗi nếu có những vấn đề tồn tại. Tiến hành các quá trình ghi lại thông tin, đọc các thông tin, các cảnh báo để tiếp tục cập nhật và thay đổi các chính sách bảo mật cho phù hợp và lặp lại các bước để đưa các chính sách mới vào hoạt động. Vì các phương thức tấn công và mối đe dọa đối với hệ thống liên tục thay đổi theo thời gian cho nên đây là công việc liên tục và thường xuyên. Trên đây là một số phương pháp bảo mật cơ bản nhất và hiệu quả nhất hiện đang được sử dụng rất rộng rãi trong mô hình truyền thông trên mạng. Mỗi phương pháp đều có những ưu nhược điểm khác nhau như sử dụng tường lửa thì có thể ngăn chặn được truy nhập bất hợp pháp với tốc độ tốt và hiệu năng cao. Tuy nhiên nó lại không thể ngăn chặn được các dữ liệu không đi qua firewall , không giám sát được các dữ liệu được mã hóa và không ngăn chặn được các dạng tấn công mới. Còn sử dụng IDS và IPS thì có thể nhận dạng được các loại tấn công mới dựa trên dấu hiệu hoạt động bất thường của hệ thống và có khả năng nhận ra được các cuộc tấn công từ bên trong tuy nhiên lại gặp phải vấn đề về hiệu năng và tỉ lệ cảnh báo sai là khá cao…Nhìn khái quát trong một bức tranh tổng thể thì mỗi phương pháp giữ một vai trò khác nhau ở các vị trí và nhiệm vụ khác nhau. Thông thường trong hệ thống thông tin của tổ chức cần phải sử dụng kết hợp hài hòa, hợp lý tùy theo nhu cầu bảo mật và khả năng tài chính của tổ chức đó. Phần II. CÔNG NGHỆ FIREWALL VÀ ỨNG DỤNG Như đã nói ở trên, việc sử dụng công nghệ bức tường lửa là một trong những phương pháp bảo mật được sử dụng rộng rãi nhất hiện nay. Vậy bức tường lửa là gì? được xây dựng dựa trên kĩ thuật gì, ứng dụng thực tế như thế nào…sẽ được nghiên cứu kĩ trong phần này. Để thuận tiện hơn cho việc diễn đạt, từ phần này tôi sẽ sử dụng thuật ngữ “firewall’ thay cho “bức tường lửa”. Chương I CÁC KHÁI NIỆM CƠ BẢN VỀ FIREWALL 1.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL Công nghệ Firewall bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên toàn cầu. Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm 1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và NASA Ames." Con virus được biết đến với tên Sâu Morris này đã được phát tán qua thư điện tử và khi đó đã là một sự khó chịu chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng Internet có thể trở lại an toàn. Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết đến với tên các tường lửa lọc gói tin(packet filtering firewall ). Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật an toàn mạng được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biết đến với tên các tường lửa tầng mạch (circuit level firewall). Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiên. Sản phẩm này đã được Digital Equipment Corporation's (DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho một công ty hóa chất tại bờ biển phía Đông của Mỹ. Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc gói tin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến trúc của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette DeSchon tại Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Năm 1994, một công ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. Một thế hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được cải tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng rộng rãi trong cả các hệ thống máy tính gia đình và thương mại. Cisco, một trong những công ty sản xuất thiết bị mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm 1997. Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập. 1.2. ĐỊNH NGHĨA FIREWALL Firewall theo tiếng việt có nghĩa là Bức Tường lửa . Dùng để ngặn chặn và bảo vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker. Firewall là một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của công ty. Hình 2.1 . Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” của bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ .Vì vậy mà Firewall rất cần thiết cho việc đảm bảo an toàn trên hệ thống mạng 1.3. PHÂN LOẠI FIREWALL 1.3.1. Firewall phần mềm: Là các ứng dụng chạy trên các hệ điều hành như Microsoft Window hay Mac/OS , đối với window XP đã được tích hợp sẵn. Firewall phần mềm thường không đắt tiền bằng phần cứng thậm chí còn được cho sử dụng miễn phí, so với Firewall phần cứng thì Firewall phần mềm linh động hơn nó có thể chạy tốt trên nhiều Hệ Điều Hành khác nhau. Một trong những Firewall phần mềm phổ biến là Zonealarm, ISA, Checkpoint… 1.3.2. Firewall phần cứng: Là các thiết bị phần cứng chuyên dụng có chức năng và mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn do không chiếm dụng tài nguyên hệ thống như Firewall phần mềm. Một trong những hãng chuyên cung cấp Firewall phần cứng là Linkksys và NetGar. Các sản phẩm firewall cứng được sử dụng rộng rãi hiện nay là dòng ASA, PIX của Cisco System và Netscreen của Juniper 1.4. CHỨC NĂNG CỦA FIREWALL Firewall thực hiện 3 chức năng điều khiển truy nhập (Access control), quản lý xác thực (Authentication) và ghi nhật ký truy nhập (activity logging). 1.4.1. Điều khiển truy nhập (Access Control) Như ở trên đã giới thiệu có hai loại tường lửa với 2 cách điều khiển truy nhập khác nhau là quy chế bộ lọc gói (packet filter) và chính sách người đại diện ứng dụng (proxy server) 1.4.1.1. Vị trí xảy ra quá trình xử lý gói Để hiểu được firewall hoạt động như thế nào thì trước hết hãy quan tâm đến đường đi của các gói tin sẽ dẫn đến firewall đó. Có 3 đường dẫn phổ biến mà một gói tin có thể đi qua tùy thuộc vào dạng tường lửa được cài đặt. Một gói tin có thể vựợt qua một tường lửa ở mức tầng ứng dụng, ở mức nhân hệ điều hành hoặc là mức card giao tiếp mạng. Hầu hết các tường lửa đều kiểm soát và cho phép các gói đi qua 3 mức này. Hình 2.2. Các vị trí có thể kiểm soát gói tin trong tầng giao thức Để có được tốc độ xử lý cao hơn ở các router, bộ lọc gói được thiết lập trên phần mở rộng của thiết bị trên card giao tiếp mạng với một bộ xử lý đặc biệt tối ưu quá trình xử lý các gói. Để lưu chứa ở đây với tốc độ cao bộ xử lý trên card giao tiếp mạng chỉ hỗ trợ những luật xử lý đơn giản như các phép so sánh nhị phân. Những dịch vụ khác không được hỗ trợ ở đây. Những router và những trạm luân chuyển gói khác thì quá trình lọc các gói tin thường diễn ra ở mức nhân hệ điều hành hơn là mức card giao tiếp mạng. Thông thường quá trình lọc được thực thi trên các bộ xử lý chuyên dụng cho phép tường lửa có thể thực hiện quá trình lọc và kiểm định một cách chuẩn xác, tinh xảo hơn là trên các card giao tiếp mạng tích hợp tính lọc. Hơn nữa quá trình xử lý các gói tại mức nhân hệ điều hành nhanh hơn ở mức tầng ứng dụng bởi vì quá trình lập lịch và tràn bộ nhớ được tránh. Tuy nhiên quá trình xử lý nhân thường đòi hỏi tất cả các thông tin cần thiết cho việc lọc gói phải được chứa trong bộ nhớ thay vì trên đĩa. Một gói phải được xử lý và được cho qua mà không cần phải đợi trên đĩa điều này sẽ làm hạn chế các dạng gói và số lượng các gói được xử lý ở mức này. Quá trình xử lý ở mức tầng ứng dụng có thể cung cấp một chính sách an ninh tốt nhất. Mức ứng dụng có thể truy cập đến tất cả các tài nguyên hệ thống bao gồm đĩa, card mạng, bộ nhớ, thư viện các chương trình và cả những tiến trình khác. Tầng ứng dụng là tầng trên cùng trong cấu trúc phân tầng của giao thức mạng do đó nó không bị giới hạn bởi các tầng thấp hơn nó. 1.4.1.2. Hoạt động lọc gói (Packet Filtering) Hoạt động lọc các gói có thể diễn ra ở một trong 3 mức xử lý gói như trên đã trình bày nhưng nó thường được hỗ trợ ở mức card giao tiếp mạng hoặc mức nhân hệ điều hành. Một bộ lọc gói sẽ căn cứ vào phần địa chỉ IP chứa trong gói tin để quyết định xem gói đó có được cho phép vượt qua hay bị chặn lại. Gói được cho qua sẽ được chuyển đến trạm đích hoặc router tiếp theo. Gói bị chặn lại sẽ bị loại bỏ. 1.4.1.3. Luật lọc ( Filtering Rules) Bộ lọc sẽ kiểm tra 5 mảng thông tin trong khối IP ở phần đầu của gói tin các thông tin đó bao gồm : Field Perpose Source IP address Địa chỉ IP của trạm nguồn gửi gói tin Destination IP address Địa chỉ IP của trạm đích gói tin sẽ đi tới Upper Level Protocol Đó là TCP hoặc UDP TCP or UDP source port number Số hiệu cổng của trạm nguồn gửi gói ra TCP or UDP destination port number Số hiệu cổng của trạm đích sẽ nhận gói tin Hình 2.3. Các thông tin được sử dụng trong luật lọc của gói tin IP Khi có được các thông tin trên của các gói, bộ lọc sẽ so sánh chúng với một tập hợp các luật để đưa ra quyết định. Một luật lọc là sự kết hợp một giá trị hoặc miền giá trị của mỗi trường thông tin trên và quyết định sẽ được đưa ra nếu tất cả các thông tin của gói được so khớp với các thông tin của các luật. Một bộ lọc gói sẽ thực hiện việc kiểm tra sự hợp lệ của các gói rất đơn giản và rất nhanh chỉ bằng các phép so sánh nhị phân. Quyết định (cho phép hoặc cấm) sẽ được đưa ra ngay sau khi bộ lọc tìm thấy một luật nào đó hoàn toàn so khớp với thông tin mà nó có được về gói tin, do đó trật tự sắp xếp các luật cũng rất quan trọng nó góp phần làm cho quá trình lọc được nhanh hơn. Có một điều đáng quan tâm ở đây đó là danh sách luật là hữu hạn và ta không thể lường hết được các tình huống để đưa ra tất cả các luật được vì vậy phải có một luật mặc định ở đây để nếu như khi xem xét hết tất cả các luật trong danh sách luật rồi mà bộ lọc vẫn không thể đưa ra được quyết định thì luật mặc định này sẽ giúp bộ lọc đưa ra quyết định. Có 2 ý tưởng chủ đạo trong việc tạo ra luật mặc định này đó là hoặc là từ chối tất cả hoặc chấp nhận tất cả, có nghĩa là tất cả các gói có thông tin không thoả mãn tập luật thì bị từ chối cho qua hoặc chấp nhận cho qua hết. 1.4.1.4. Hoạt động của tường lửa người đại diện ứng dụng ( Proxy Application) Hình 2.4. Hoạt dộng của người đại diện ứng dụng Người sử dụng trước hết phải thiết lập một kết nối đến người đại diện ứng dụng trên tường lửa (1). Đại diện ứng dụng này sẽ tập hợp các thông tin liên quan đến mối liên kết và yêu cầu của người sử dụng ( 2). Tường lửa sẽ sử dụng thông tin này để quyết định liệu yêu cầu có được cho phép thực thi hay không. Nếu yêu cầu từ phía người dùng là thoả đáng thì người đại diện trên tường lửa sẽ tạo một kết nối khác từ tường lửa đến đích dự kiến (3). Sau đó người đại diện sẽ đóng vai trò như một con thoi để truyền tải dữ liệu giữa 2 mối kết nối (4 ) Có 2 điểm cần lưu ý ở đây là: – Thứ nhất, kết nối đầu tiên phải được thiết lập đến người đại diện trên tường lửa thay vì nối trực tiếp đến trạm mong muôn kết nối. – Thứ hai, người đại diên trên tường lửa phải có được địa chỉ IP của trạm đích. Trước khi người sử dụng hoặc một ứng dụng nào đó muốn kết nối đến người đại diên ứng dụng thì phải thiết lập kết nối đến tường lửa, kết nối này phải sử dụngphương pháp chuẩn để cung cấp tên hoặc địa ch