Đồ án Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội

bạn có thể cho phép đường truyền tới cổng 80 tới web server xác định trong mạng. Làm điều này, firewall lọc gói nghiên cứu gói ở địa chỉ đích trên tầng 3 và số cổng đích. Nếu phù hợp, firewall lọc gói cho phép truyền. Một vấn đề tiến đến firewall lọc gói không nghiên cứu nội dung thực sự của kết nối HTTP. Một trong những phương thức phổ biến nhất của hacking trong mạng là tìm thấy ưu thế ở những điểm yếu được tìm thấy trên web server. Firewall lọc gói không thể tìm thấy những tấn công này bởi vì chúng xảy ra qua kết nối TCP mà được cho phép. Cũng như thế, firewall lọc gói không thể tìm thấy và ngăn cản tấn công giao thức TCP/IP, như làm lụt TCP SYN và spoofing ip. Nếu firewall lọc gói cho phép lưu lượng tới web server nội bộ, nó không quan tâm loại lưu lượng là gì. Hacker có thể có những thuận lợi và làm lụt web server với TCP SYN ở cổng 80. Ví dụ khác, firewall lọc gói không thể tìm thấy tất cả các tấn công giả mạo IP. Nếu bạn cho phép truyền từ mạng ngoài như 201.1.1.0/24, firewall lọc gói chỉ kiểm tra địa chỉ nguồn IP trên gói, nó không thể tìm địa chỉ nguồn thực hay đích thực của gói. Hacker có thể có lợi dụng những điểm này để thực hiện tấn công DoS chống lại mạng nội bộ bởi làm lụt nó với lưu lượng cho phép từ địa chỉ nguồn cho phép. Có 2 phương thức tấn công, bao gồm giả mạo IP và DoS, thông thường có thể đối phó bởi xác thực lưu lượng từng luồng riêng lẻ trước khi cho nó qua firewall. Thật không may, firewall lọc gói chỉ kiểm tra thông tin tầng 3 và 4. Hành động xác thực yêu cầu firewall xử lý thông tin xác thực, mà xử lý ở tầng 7. Cuối cùng, firewall lọc gói thường hỗ trợ chức năng logging. Tuy nhiên, chức năng logging bị giới hạn chỉ với thông tin ở tầng 3, và 4. Nếu một ai đó đang thực hiện một kiểu tấn công web server nào đó trên cổng 80 và bạn đang đóng cổng 80, firewall lọc gói có thể log hành động deny, nhưng, không may, firewall không thể log dữ liệu tầng ứng dụng đã được đóng gói trên segment transport HTTP. Bởi vậy, nếu bạn là người quản trị, biết ai đó cố gắng truy xuất tới cổng 80 trên server, nhưng bạn không biết được người đó đang cố làm cái gì? I.4.1.5 Firewall lọc gói dùng để làm gì - Như hàng phòng thủ đầu tiên , router vành đai. - Khi chính sách bảo mật có thể được thực hiện hoàn chỉnh với lọc gói và không thực hiện xác thực. - Trong mạng SOHO mà yêu cầu bảo mật nhỏ và liên quan về giá Nhiều công ty sử dụng firewall lọc gói như hàng rào phòng thủ đầu tiên, với một số kiểu firewall chức năng đầy đủ đằng sau nó cung cấp bảo mật thêm vào. Như Cisco PIX firewall Nhiều mạng SOHO thuê những firewall lọc gói bởi vì sự đơn giản và giá khi so sánh với những firewall khác. SOHO được thích hợp với bảo mật cơ bản ở lý do giá. Bạn phải nhận ra, firewall lọc gói không cung cấp bảo mật hoàn chỉnh cho SOHO, nhưng chúng cung cấp cấp độ bảo mật tối thiểu để tránh khỏi tấn công và nhiều kiểu đe dọa mạng. I.4.2 Firewall stateful Không giống firewall lọc gói, firewall stateful lưu lại dấu vết của trạng thái kết nối: sau khi kết nối được khởi tạo, truyền dữ liệu, hay kết thúc. Nhiều chuyên gia bảo mật không đồng ý chức năng firewall nằm trên tầng nào trong mô hình tham chiếu OSI: tầng 3, và 4 transport, hay 3,4,5 là thêm tầng session. Từ tầng transport, firewall stateful kiểm tra thông tin trong header của gói tầng 3 và segment tầng 4. Ví dụ, nó nhìn vào header TCP với SYN, RST, ACK, FIN, và những mã điều khiển khác để tìm trạng thái kết nối. Tuy nhiên, bởi vì tầng phiên thiết lập và hủy kết nối. Tầng truyền xử lý cơ chế kết nối thực sự. Một số nói firewall stateful hoạt động ở tầng 5, như trong hình 2-7. trong cũng trường hợp vậy, firewall stateful biết về kết nối và trạng thái của nó. Hình 2-7 firewall stateful và mô hình tham chiếu OSI I.4.2.1 Vấn đề với firewall lọc gói hình 2-8 là ví dụ, trong hình, firewall lọc gói có luật đặt trên cổng inbound của nó từ tình trạng Internet, mà một số lưu lượng bên ngoài gửi tới 200.1.1.10 bị từ chối. Như hình 2-8, khi 170.1.1.1 cố truy xuất tới 200.1.1.10, firewall lọc gói hủy truyền. Hình 2-8 ví dụ firewall lọc gói- khởi tạo kết nối Tuy nhiên, chuyện gì xảy ra nếu ai đó bên trong mạng, như 200.1.1.10, cố truy xuất tới thiết bị ngoài 170.1.1.1? cho rằng đây là yêu cầu http tới 170.1.1.1, mà có web server chay trên nó. HTTP sử dụng TCP, và TCP qua 3 bước bắt tay để thiết lập kết nối trước khi dữ liệu truyền: SYN, SYN/ACK, ACK. Khởi tạo, 200.1.1.1 gửi SYN để thiết lập kết nối. Với TCP và UDP, số cổng nguồn được chọn mà lớn hơn 1023. Đích là cổng 80, nói 170.1.1.1 rằng đây là yêu cầu HTTP cho web server. Khi firewall lọc gói nhận truyền trên cổng bên trong nó, nó kiểm tra để nhìn nếu lưu lượng cho 200.1.1.10 được phép để rời khỏi mạng. Trong trường hợp này, không có luật lọc nào ngăn cản điều này, bởi vậy lưu lượng 200.1.1.10 được gửi tới 170.1.1.1, 170.1.1.1 phản hồi lại với thông điệp SYN TCP của 200.1.1.10 với SYN/ACK bước thứ 2 trong 3 bước bắt tay. Được chỉ ra trong hình 2-9. Tuy nhiên, khi firewall lọc gói kiểm tra gói, nó tìm thấy rằng bởi vì địa chỉ đích là 200.1.1.10 là gói đã bị hủy, dựa theo luật lọc gói. Bởi vậy, kết nối không thể thiết lập tới web server bên ngoài, từ chối truy xuất web người dùng. Hình 2-9 ví dụ firewall lọc gói – xử lý phản hồi Để giải quyết vấn đề này với firewall lọc gói có 2 cách: I.4.2.2 Mở cổng - Mở cổng đích lớn hơn 1023 khi lưu lượng quay lại nguồn - Kiểm tra bit điều khiển TCP để tìm xem đây có phải là lưu trượng trả lại không? Với giải pháp đầu tiên. Trong trường hợp này, nguồn bắt đầu mở một cổng nguồn lớn hơn 1023, như 10,000 và sử dụng cổng đích của HTTP là 80. Bởi vậy, cho phép lưu lượng trả lại từ 170.1.1.1, firewall lọc gói cần luật mà cho phép cổng 10,000. Vấn đề với điều này là cổng nguồn đó có thể sử dụng một số cổng nguồn lớn hơn 1023. Bất cứ cái nào là dỗi và được chọn bởi hệ điều hành là một cái được gán. Bởi vậy, bạn được cho phép tất cả các cổng lớn hơn 1023 để cho phép lưu lượng trở lại tới 200.1.1.10 , như hình 2-10 Hình 2-10 vi dụ lọc gói –mở cổng Mở cổng lớn hơn 1023 không được giới thiệu thực hiện để cho phép trả lại luồng từ kết nối gốc. Bạn đang tạo một lỗ hổng bảo mật lớn trong firewall mà sẽ làm tất cả các loại tấn công vào thiết bị nội bộ. I.4.2.3 Kiểm tra bit điều khiển của TCP Điều quan tâm thứ 2 là kiểm tra thông tin tầng truyền về kết nối để tìm ra xem nó có phải là phần kết nối tồn tại, cho phép lưu lượng trở lại 200.1.1.1 với TCP, đây có thể được làm bởi kiểm tra cờ điều khiển trong header segment TCP. Điều này chỉ trong bảng 2-4 và được định nghĩa trong RFC 793, chú ý rằng nhiều mã, phổ biến được gọi flags, có thể được tìm thấy trong cùng header segment, như SYN, ACK, hay FIN và ACK bảng 2-4 Thông tin điều khiển TCP Trong trường hợp này, firewall lọc gói không những kiểm tra địa chỉ nguồn và đích cho kết nối TCP, nó cũng kiểm tra mã bit để tìm ra đây có phải lưu lượng được khởi tạo từ một thiết bị hay lưu lượng được gửi trả lại yêu cầu, ví dụ, khi người dùng bên trong 200.1.1.10 gửi TCP SYN, bạn biết rằng 170.1.1.1 sẽ phản hồi với SYN và ACK trong TCP segment header. Bởi vậy, nếu bạn biết loại cờ điều khiển phản hồi của TCP sử dụng, bạn có thể cấu hình firewall lọc gói để cho phép lưu lượng này, được chỉ ra trong hình 2-11: Hình 2-11 ví dụ firewall lọc gói- ví dụ mã điều khiển truyền Hai vấn đề tồn tại với kiểm tra bit điều khiển ở tầng truyền: - Không phải tất cả giao thức tầng truyền hỗ trợ bit điềukhiển. - Bit điều khiển điều khiển bằng tay có thể cho phép hacker đưa gói tin qua firewall lọc gói Một trong những vấn đề lớn nhất của firewall lọc gói kiểm tra mã điều khiển, trong tập giao thức TCP/ IP, TCP có mã điều khiển, nhưng UDP thì không. Bởi vậy, cho kết nối UDP, không biết điều này bắt đầu thế nào, giữa, hay cuối của kết nối, trừ khi kiểm tra dữ liệu được đóng gói trong segment UDP. Vấn đề khác, thậm chí giao thức tầng truyền mà hỗ trợ mã điều khiển, như TCP, những mã điều khiển này có thể được làm bằng tay. Ví dụ, router lọc gói trong hình 2-11 cho phép lưu lượng tới 200.1.1.1 nếu chứa đựng mã điều khiển, như SYN, ACK, đặt trong header TCP. Giả sử dữ liệu đó là thông tin phản hồi mà 200.1.1.10 yêu cầu từ thiết bị bên ngoài, như 170.1.1.10. Tuy nhiên, firewall lọc gói không thể phân biệt giữa phản hồi hợp lý và phản hồi giả. Với phản hồi giả, hacker phát đi đoạn TCP với chứa đựng cờ mã thiết lập, cố đạt được truy xuất qua firewall. Firewall lọc gói, không thể phân biệt giữa hai kiểu lưu lượng. Bởi vì, thông số Cisco thiết lập cho mở rộng TCP ACL kiểm tra cờ mã và cho phép trả lại lưu lượng tới mạng. Tuy nhiên, hacker có thể làm bằng tay lưu lượng trả về, làm dễ bị tấn công do thám, và từ chối dịch vụ. I.4.2.4 Bảng trạng thái Không giống firewall lọc gói, firewall stateful sử dụng cơ chế lưu giữ đường đi trạng thái kết nối. Nhìn hình 2-12 và hình 2-13 cho minh họa này hình 2-12 sử dụng cùng mạng được nói tới trong đoạn trên với firewall lọc gói. Trong ví dụ này, firewall lọc gói được đặt lại bởi firewall stateful, nhưng luật lọc thì không thay đổi một số lưu lượng được gửi tới 200.1.1.10 bị hủy Hình 2-12 ví dụ lọc firewall stateful –phần 1 Hình 2-13 Ví dụ lọc firewall stateful- phần 2 Giả thiết rằng 170.1.1.1 gửi lưu lượng tới 200.1.1.10, như chỉ ra trong hình 2-12, lưu lượng này bị bỏ. Bây giờ giả thiết rằng 200.1.1.10 mở kết nối web tới 170.1.1.1 được chỉ ra trong phần đáy của hình 2-12. Khi 200.1.1.10 làm điều này, nó sử dụng đọa TCP với cổng nguồn của 10,000 và cổng đích của 80. Nó sử dụng cờ SYN trong trường điều khiển. Khi firewall stateful nhận lưu lượng này, đầu tiên kiểm tra để xem có kết nối nào 200.1.1.10 được cho phép ra ngoài. Trong trường hợp này, không có luật lọc ngăn cản điều này. Không giống như firewall lọc gói, nó chỉ hướng gói tới 170.1.1.1, firewall stateful thêm luật lọc vào cấu hình. Thông tin này được thêm vào tới đỉnh của luật lọc đã tồn tại hay được đặt vào bảng trạng thái. Bảng này được dùng để lưu giữ đường đi của trạng thái kết nối. Tiến trình thực hiện trong hình 2-13 Sau khi 170.1.1.1 nhận yêu cầu kết nối, nó phản hồi tới 200.1.1.1 với SYN/ACK. Khi đoạn này hướng tới firewall stateful. Đầu tiên Firewall nhìn bảng trạng thái để xem kết nối có tồn tại hay không. Sau khi nó xử lý luật lọc trên cổng. Trong ví dụ này, chỉ một bảng được sử dụng, nhưng toàn bộ kết nối được đặt ở đỉnh. Bởi vì thông tin kết nối được thêm khi 200.1.1.1 khởi tạo kết nối, firewall stateful biêt phản hồi đó từ 170.1.1.1 TCP cổng 10,000 là phần của kết nối tồn tại, bởi vậy, đó cho phép lưu lượng hình 2-13 Một lợi thế của tiến trình stateful là khi hoàn thành kết nối, thiết bị nguồn và đích hủy kết nối và firewall stateful thông báo điều này bởi kiểm tra cờ điều khiển header TCP và rời kết nối từ bảng kết nối hay là bảng luật lọc. Bởi vậy, khi so sánh firewall lọc gói và firewall stateful, firewall stateful có nhiều thông minh hơn bởi vì chúng hiểu trạng thái kết nối, khởi tạo kết nối, truyền dữ liệu, hay hoàn tất kết nối. Cơ bản, firewall stateful chứa tập hợp lớn chức năng lọc gói. I.4.2.5 Ưu điểm của firewall stateful Firewall stateful có những ưu điểm hơn so với firewall lọc gói là: - Firewall stateful nhận biết trạng thái kết nối. - Firewall stateful không phải mở một dải cổng lớn để cho phép giao tiếp. - Firewall stateful ngăn cản nhiều loại tấn công DoS hơn so với firewall lọc gói và có nhiều logging mạnh. Đầu tiên, firewall stateful nhận biết về các trạng thái kết nối, firewall stateful thường xây dựng bảng trạng thái và sử dụng bảng này để cho phép chỉ lưu lượng gửi lại từ danh sách kết nối hiện tại trong bảng trạng thái. Sau khi kết nối bị di chuyển từ bảng trạng thái, không có lưu lượng từ thiết bị ngoài của kết nối này được phép. Bởi vậy, những kiểu kết nối này khó giả mạo hơn. Thay vì, với HTTP, kết nối tồn tại ngắn, bởi vậy nếu hacker chú ý đến kết nối thì kết nối đã bị hủy và khi hacker tạo số cổng và TCP giả mạo và địa chỉ IP giả mạo, dữ liệu bị dừng lại bởi vì toàn bộ kết nối đã bị di chuyển. Tuy nhiên, nếu đây là kết nối telnet, có thể là vài phút hay vài giờ trước, hacker có thể thử giả mạo kết nối. Để làm điều này, hacker không chỉ phải giả mạo số cổng trong segment tầng truyền, nhưng hacker cũng phải giả mạo thông tin địa chỉ IP, đây là tiến trình khó nếu hacker muốn thông tin này gửi lại tới máy tính. Thậm chí, khi nguồn hay đích thật hoàn thành kết nối, firewall stateful dời toàn bộ. Thứ 2, firewall stateful không yêu cầu dãy số cổng lớn để cho phép gửi lại luồng trở lại mạng bạn. Bảng trạng thái sử dụng để tìm kiếm nếu đây là lưu lượng gửi lại, mặt khác, bảng lọc được dùng để lọc lưu lượng. Thứ 3, sử dụng bảng trạng thái, firewall stateful có thể ngăn cản nhiều tấn công lọai DoS hơn so với firewall lọc gói. Thêm nữa, firewall stateful có thể log nhiều thông tin hơn với firewall lọc gói, như khi kết nối được thiết lập , nó up bao lâu, và khi nào thì nó down. I.4.2.6 Hạn chế của firewall stateful Tuy firewall stateful là một công cụ tốt , nhưng vẫn có những nhược điểm sau: - Chúng cấu hình phức tạp - Không ngăn cản được tấn công tầng ứng dụng - Không hỗ trợ xác thực kết nối người dùng - Không phải giao thức nào cũng chứa đựng thông tin trạng thái - Một số ứng dụng mở nhiều kết nối, một số sử dụng số cổng động để thêm kết nối. - Thêm phần phức tạp trong việc duy trì bảng trạng thái Như firewall lọc gói hầu hết việc lọc được làm bởi các luật thiết lập với thông tin tầng 3, 4. Thêm vào, bởi vì firewall stateful thật sự chỉ xử lý thông tin ở tầng 3, 4, 5, không thể tìm thấy tấn công ở tầng ứng dụng hay thực hiện một số kiểu xác thực người dùng cho phép thiết lập kết nối. I.4.2.7 Vấn đề firewall stateful: giao thức nonstateful Để giải quyết vấn đề này, firewall stateful đưa ra giao thức nonstateful. Giao thức mà định nghĩa tiến trình từ thiết lập, duy trì và hủy kết nối được gọi là stateful, cơ chế được định nghĩa như cách những tiến tình này thực hiện. TCP là ví dụ về giao thức stateful. Tuy nhiên, không phải tất cả các giao thức đều là stateful: UDP, ICMP và …ví dụ, UDP không định nghĩa tiến trình cho cách thiết lập, duy trì, và hủy bỏ kết nối, điều này được định nghĩa dựa trên ứng dụng. Ví dụ đơn giản là phân tích DNS: nguồn thường yêu cầu DNS phân giải tên miền, và server DNS trả lời với phản hồi là địa chỉ IP cho tên miền. Trong ví dụ này, để giữ dấu vết của trạng thái kết nối rất đơn giản: firewall stateful tìm kiếm yêu cầu DNS, thêm toàn bộ bảng trạng thái để cho phép nó phản hồi, và di dời toàn bộ khi server DNS gửi phản hồi. Không phải tất cả ứng dụng UDP là đơn giản thế, tuy nhiên. Trong hầu hết ứng dụng này, nhiều gói được gửi giữa nguồn và đích thường ở tốc độ liên tục. Hầu hết giải pháp firewall stateful đối với lưu lượng UDP khi stateful bởi gán bộ định thời gian cho những kết nối này trong bảng trạng thái. Ví dụ, firewall stateful có thể sử dụng thời gian là 30 giây, nếu sau 30 giây không có lưu lượng UDP được nhìn thấy đi vào bảng trạng thái, firewall stateful sẽ di dời nó. Vấn đề chính với cách tiếp cận này là nếu hacker gửi gói giả mạo tới mạng, nó sẽ giữ mục trong bảng vô hạn. Bởi vậy, hacker phải rất nhanh bởi vì hầu hết kết nối UDP là tạm thời. Giống như UDP, ICMP cũng có vấn đề, ví dụ đơn giản như test ping. Phụ thuộc vào chương trình ping, nó có thể phát sinh 1,3,5 hay thậm chí 10 yêu cầu kiểm tra lặp lại. sự khác nhau điều này, cách firewall stateful xử lý là giao thức nonstateful? Như với UDP, một giải pháp là sử dụng bộ định thời gian chờ, nhưng mục này trong bảng trạng thái có thể bị làm giả. Như vơí kết nối UDP, ICMP rất ngắn gọn. Bởi vậy giả kết nối này là không thể xảy ra. I.4.2.8 Vấn đề firewall stateful: kết nối nhiều ứng dụng Vấn đề khác mà firewall cần phải đối phó với ứng dụng mà mở thêm kết nối để truyền thông tin. Những điều này bao gồm FTP, multimedia, NetBIOS, và… FTP sử dụng như ví dụ ở đây, FTP hỗ trợ 2 mô hình khác nhau: - Chuẩn hay chủ động - Bị động Cả hai chế độ thiết lập kết nối TCP. Ví dụ của kết nối này được chỉ trong hình 2- 14. Với FTP ở chế độ bị động, ngay khi người dùng bên trong mạng thiết lập kết nối ra bên ngoài, bạn không có vấn đề: cả 2 kết nối ra ngoài được đặt trong bảng trạng thái, và lưu lượng trở lại cho những thông tin này được cho phép. Tuy nhiên, nếu thiết bị client ở bên ngoài firewall stateful, bạn cần xác định luật để cho phép kết nối cổng 21 được gọi là điều khiển kênh và luật lọc có thể mở rộng để cho phép kết nối thứ 2 kênh dữ liệu Hình 2-14 kết nối FTP Giao thức lọc gói có cùng vấn đề với người dùng bên ngoài và ftp bị động Với chuẩn FTP, nếu client là bên trong mạng và server bên ngoài, cả hai firewall stateful và firewall lọc gói phải đối phó với kết nối dữ liệu mà server FTP thiết lập tới client: bạn phải mở toàn bộ dải cổng để cho phép kết nối thứ 2 này. I.4.2.9 Vấn đề firewall stateful: kích thước của bảng trạng thái Khi Firewall stateful xây dựng và duy trì bảng trạng thái lớn, sẽ đặt gánh nặng lên khả năng xử lý của nó. Firewall stateful phải theo dõi nhiều kết nối hơn, và khả năng firewall stateful cần duy trì bảng. Không giống firewall stateful, firewall lọc gói thường có bảng lọc nhỏ, mà có ít ảnh hưởng tới tiến trình đang xử lý dữ liệu so với firerwall stateful có bảng trạng thái. I.4.2.10 Những việc firewall stateful có thể làm Bởi vì nó thông minh hơn so với lọc gói, firewall stateful thường sử dụng có các miền sau: - Như phương tiện chính cho phòng thủ. - Như một hàng rào thông minh đầu tiên của phòng thủ, router vành đai với khả năng stateful. - Nơi nhiều điều khiển chặt chẽ hơn về bảo mật so với lọc gói, không thêm vào giá quá cao. Hầu hết trường hợp, firewall stateful được sử dụng như phương tiện chính để phòng thủ bởi lọc lưu lượng không cần thiết. Ưu điểm chính của firewall stateful so với firewall lọc gói là xây dựng nguyên tắc lọc tạm thời cho lưu lượng được gửi lại từ kết nối đã hình thành. Trong một số trường hợp, sản phẩm định tuyến hỗ trợ chức năng stateful được sử dụng như vành đai chính cho phòng thủ, hoặc là thêm bảo mật cho router vành đai. Cũng như vậy, firewall stateful cung cấp nhiều điều khiển hơn so với firewall lọc gói, thường giá không quá đắt. Nếu quan tâm tới bảo mật, cần nhắc mua firewall stateful hay nâng cấp router mà hỗ trợ đặc điểm stateful để có những ưu điểm thông minh hơn lọc gói. I.4.3 Application gateway firewall Application gateway firewall, thường gọi là firewall proxy, lọc thông tin ở tầng 3, 4, 5, 7 của mô hình tham chiếu OSI, được chỉ trong hình 2-15. Bởi vì firewall cổng ứng dụng xử lý thông tin ở tầng ứng dụng, hầu hết việc lọc và điều khiển firewall được làm ở phần mềm, cái mà cung cấp nhiều điều khiển lưu lượng hơn so với lọc gói hay firewall stateful Hình 2-15 firewall ứng dụng cổng và mô hình tham chiếu OSI I.4.3.1 Tiến trình xác thực Một trong những đặc điểm của application gateway firewall là chúng thường cho phép bạn xác thực yêu cầu kết nối trước khi cho phép lưu lượng tới tài nguyên bên trong hay bên ngoài. Điều này làm bạn xác thực yêu cầu sử dụng kết nối. Trong khi firewall lọc gói và firewall stateful chỉ kiểm tra thông tin tầng 3, 4, bởi vậy, có thể chỉ xác thực ở địa chỉ tầng 3 của thiết bị. Hình 2-16 chỉ ra ví dụ đơn giản của application gateway firewall sử dụng tiến trình xác thực. Trong ví dụ này, đầu tiên người dùng phải xác thực với firewall ứng dụng cổng. Điều này được làm bởi có người dùng mở kết nối đặc biệt, ví dụ một web browser kết nối tới firewall ứng dụng cổng. AGF hay server xác thực sau đó cho phép nhận dạng người dùng. Tiến trình xác thực thực hiện trong phần mềm ở tầng ứng dụng. Hình 2-16, xác thực cơ sở dữ liệu trên AGF và sử dụng username và password. Trong cơ sở dữ liệu này, AGF cho phép Richard truy xuất tới Webbrowser A sau khi xác thực thành công, nhưng nó sẽ không cho phép Richard truy xuất tới Web server B. Khi bạn nhìn ví dụ này, khi Richard cho phép, anh ta có thể truy xuất web server A, tuy nhiên, anh ta không thể truy xuất tới tài nguyên khác, trong hình 2-16, khi Richard cố gửi thông tin tới web server B, AGF hủy thông tin đó. Hình 2-16 Tiến trình xác thực AGF AGF có thể được sử dụng để xác thực cả kết nối vào trong và ra ngoài. I.4.3.2 Phương thức xác thực AGF có thể sử dụng nhiều phương thức xác thực để xác thực yêu cầu kết nối, bao gồm username và password, thông tin thẻ, địa chỉ nguồn tầng 3, và thông tin sinh trắc học. Thường thì, địa chỉ nguồn tầng 3 không sử dụng cho xác thực, trừ khi chúng được kết hợp với một số phương thức khác. Thông tin xác thực được lưu ở một vùng hay trên server bảo mật hay Server thư mục. Ví dụ của server bảo mật là ACS Cisco Secure. Ví dụ server thư mục bao gồm NDS Novell, Microsoft Active Directory, LDAP. Bạn không nên tin tưởng chỉ sử dụng nguồn tầng 3 để thực hiện xác thực bởi vì địa chỉ tầng 3 dễ ảnh hưởng tới giả mạo và tấn công lừa đảo. Nếu đang dùng xác thực username và password, AGF gợi ý cho sử dụng username và password. Sau đó nó tìm kiếm cho username và so sánh password với những gì người dùng đánh. Nếu cả hai giống nhau, username phù hợp. Một vấn đề với phương thức xác thực này là nếu username và password gửi qua kết nối không mã hóa, thông tin này dễ bị nghe trộm, hacker sau đó có thể sử dụng thông tin này thực thi tấn công giả mạo. Bởi vậy, thông tin này nên được mã hóa. Thường, điều này được làm qua giao thức SSL Sercure Socket Layer với kết nối web browser. Điều này có nghĩa rằng người phải mở kết nối HTTP SSL HTTPs tới AGF để thực hiện xác thực. Phương thức khác là sử dụng ứng dụng Telnet đã mã hóa, như Secure Shell SSH. Thông tin sinh trắc học đảm bảo hơn so với username và password bởi vì username và password bị đoán dễ dàng hơn. Với sinh trắc học, một số đặc điểm cơ thể duy nhất ở một người, như vân tay hay quét võng mạc, được kiểm tra. Tuy nhiên, khi gửi thông tin này tới AGF, nó giống như username và password, là dễ bị ảnh hưởng bởi nghe trộm. Bởi vậy, kết nối bảo mật được sử dụng để truyền thông tin xác thực này. Tất cả phương thức xác thực, thì dấu hiệu thẻ là đảm bảo nhất. Dấu hiệu thẻ tạo password một lần, password mà được dùng chỉ một lần, sau khi password đã dụng , nó không dùng nữa. Ưu điểm của dấu hiệu thẻ là chúng không bị nghe trộm. Nếu hacker nghe trộm và nhìn thông tin dấu hiệu thẻ, nó là không sử dụng cho anh ta bởi vì nó sẽ có hết hiệu lực ở lần hacker cố sử dụng nó. Nhược điểm của dấu hiệu thẻ là chúng đắt để triển khai trên phạm vi rộng và khó để xử lý sự cố và thiết lập. I.4.4 Firewall dịch địa chỉ Dịch địa chỉ được phát triển để dùng với 2 lý do: - Nó mở rộng số địa chỉ IP. - Nó ẩn thiết kế địa chỉ mạng. Lý do chính mà dịch địa chỉ RFC và địa chỉ riêng được phát triển để đối phó với sự hết dần địa chỉ đã được nhận ra vào giữa 1990. Dịch địa chỉ nguồn và đích và số cổng trong gói IP hay header segment TCP/UDP. Chức năng của firewall dịch địa chỉ ở tầng 3, 4 của mô hình tham chiếu OSI chỉ trong hình 2-19 Hình 2-19. Firewall dịch địa chỉ và mô hình tham chiếu OSI Giải thích lý do ẩn thiết kế mạng a. Tiến trình lọc Hầu hết mọi người cho rằng dịch địa chỉ sử dung để dịch địa chỉ private sang public, bởi vậy, bạn có thể ngạc nhiên cách bạn sử dụng dịch địa chỉ như chức năng bảo mật. Xem hình 2-20 hình là hữu ích của dịch địa chỉ cho bảo vệ mạng. trong ví dụ, hai web server có gán địa chỉ private là 192.16.12.2. bởi vì địa chỉ IP private không thể định tuyến trên mạng công cộng, địa chỉ public phải được kết hợp với 2 thiết bị này và server DNS cần để gửi địa chỉ public trả lời truy vấn DNS cho địa chị của những thiết bị này. Hình 2-20 ví dụ firewall dịch địa chỉ ATF định nghĩa nguyên tắc dịch. Lưu lượng heading tới 200.1.1.2 được dịch thành 192.168.11.2 , lưu lượng tới 200.1.1.3 được dịch thành 192,168.12.1. Tiến trình này phục vụ 2 chức năng. Đầu tiên, người ngoài không giải mã cái gì về cấu trúc địa chỉ IP mạng. Người đó chỉ biết rằng 200.1.1.2 và 200.1.1.3 địa chỉ có thể tới được và xuất hiện trên cùng đoạn. Người ngoài không biết rằng những server web này trên 2 đoạn mạng vật lý đằng sau 2 router khác nhau. Thứ 2, lưu lượng được gửi tới thiết bị khác trong mạng không thể bị hướng tới nó trừ khi nó được dịch, nhớ rằng thiết bị mạng nội bộ của bạn đang sử dụng địa chỉ private. Nếu người ngoài gửi lưu lượng tới địa chỉ 192.168.x.x, nhà cung cấp dịch vụ của anh ta sẽ hủy nó. Nếu người ngoài gửi lưu lượng với địa chỉ public trên nó, chỉ địa chỉ public được liệt kê trong bảng dịch cho phép dịch nơi để dữ liệu có thể hướng tới tài nguyên nội bộ. Ví dụ , không có con đường mà 170.1.1.1 có thể tới được web server C bởi vì không có dịc