MỤC LỤC
LỜI CÁM ƠN . . . . 1
LỜI CAM ĐOAN
MỤC LỤC . . . . 2
MỞ ĐẦU . . . . 4
CHƯƠNG I CÁC VẤN ĐỀ VỀ AN NINH MẠNG . . 6
I. Kế hoạch bảo mật . . . . 6
II. Những nền tảng khác nhau . . . 7
III. Mục tiêu bảo mật . . 7
IV. Xác định chính sách bảo mật . . . 9
IV.1. Chính sách kinh doanh và b ảo mật . . 10
IV.2. Con người . 10
IV.3. Lu ật lệ . . 10
IV.4. Thay đổi chính sách quản lý. 11
IV.5.Khôi phục sau thảm họa. . . 11
V.Những yếu kém trong bảo mật mạng. . . 12
V.1. Yếu kém trong giao thức mạng. . . 12
V.2. Yếu kém về hệ điều hành . . . 13
V.3. Yếu kém của thiết bị mạng . . . 13
V.4. Yếu kém trong việc cấu hình thiết bị . . 14
VI. Những kiểu đe dọa bảo mật . . . 14
VI.1. Đe dọa đến từ bên ngoài và bên trong . . 14
VI.2. Đe dọa có cấu trúc và không cấu trúc . . 15
VI.3. Những kiểu tấn công bảo mật mạng . . 16
VI.3.1 Tấn công thăm dò:. . . 16
VI.3.2. Tấn công truy xuất. 17
VI.3.3. Tấn công kiểu DoS . . . 19
VII. Giải pháp bảo mật . . . 22
VII.1 Thiết kế giải pháp bảo mật. . . 22
VII.2 Bánh lái bảo mật của Cisco. . . 22
VII.3. Danh sách kiểm tra bảo mật . . . 24
CHƯƠNG II GIỚI THIỆU FIREWALL . . 26
I. Tổng quan firewall . . 26
I.1 Định nghĩa firewall . . . 26
I.2. Chức năng bảo vệ của firewall . . . 27
I.3 Điều khiển luồng và mô hình tham chiếu OSI . 29
I.3.1 Tổng quan về mô hình tham chiếu OSI. . 30
I.3.2 Firewall và mô hình tham chiếu OSI . . 31
I.4 Những kiểu firewall . . . 32
I.4.1 Firewall lọc gói . . . 32
I.4.2 Firewall stateful . . . 37
I.4.3 Application gateway firewall. . 48
I.4.4 Firewall dịch địachỉ . 51
I.4.5 Firewall host-based . . . 56
I.4.6. Firewall lai ghép . . . 59
I.5 Firewall và những dịch vụ khác . . . 60
II Thiết kế bảo mật . . . . 61
II.1 Hướng dẫn thiết kế . . . 61
II.2 Miền DMZ . 64
II.3. Những thành phần bổ sung cho hệ thống firewall . . 66
II.4. Sắp xếp các thành phần . . . 68
II.4.1. Thiết kế hệ thống firewall . . 68
II.4.2. Những điểm cần chú ý khi thiết kế . 69
II.4.3. Sự thực hiện firewall . . . 70
II.4.4.Quản lý và quản trị firewall. . 70
CHƯƠNG III THIẾT BỊBẢO MẬT PIX FIREWALL . . 71
I.Tổng quan về thiết bị bảo mật PIX firewall . . 71
I.1. Đảm bảo thời gian thực cho hệ thống gắn vào . . 72
I.2. Phương thức bảo mật linh hoạt ASA. . 72
I.3. Cut-through proxy . . . 74
I.4. Redundancy. 75
II. Mô hình và đặc điểm pix firewall . . . 75
III. Chức năng của PIX . . . 76
IV. Truy xuất PIX . . . . 78
V. PIX với kết nối . 79
V.1. Cấp độ bảo mật của cổng và chính sách bảo mật mặc định . 79
V.2. Giao thức truyền . 80
V.3. Chế độ truy xuất . . . 84
VI. Cấu hìnhPIX Firewall . . . 84
CHƯƠNG IV . . . . 89
XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI
NHÁNH NGÂN HÀNG VIETINBANK. . . . 89
I. Môi trường mạng hiện có: . . . 89
II. Yêu cầu . . . . 89
III. Thiết kế mô hình mạng . . . 90
IV. Cấu hình bảo mật cho hệ thống . . . 90
KẾT LUẬN. 99
Tài liệu tham khảo . . . 100
100 trang |
Chia sẻ: netpro | Lượt xem: 2167 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đồ án Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
bạn có
thể cho phép đường truyền tới cổng 80 tới web server xác định trong mạng. Làm
điều này, firewall lọc gói nghiên cứu gói ở địa chỉ đích trên tầng 3 và số cổng
đích. Nếu phù hợp, firewall lọc gói cho phép truyền. Một vấn đề tiến đến firewall
lọc gói không nghiên cứu nội dung thực sự của kết nối HTTP. Một trong những
phương thức phổ biến nhất của hacking trong mạng là tìm thấy ưu thế ở những
điểm yếu được tìm thấy trên web server. Firewall lọc gói không thể tìm thấy
những tấn công này bởi vì chúng xảy ra qua kết nối TCP mà được cho phép.
Cũng như thế, firewall lọc gói không thể tìm thấy và ngăn cản tấn công
giao thức TCP/IP, như làm lụt TCP SYN và spoofing ip. Nếu firewall lọc gói cho
phép lưu lượng tới web server nội bộ, nó không quan tâm loại lưu lượng là gì.
Hacker có thể có những thuận lợi và làm lụt web server với TCP SYN ở cổng 80.
Ví dụ khác, firewall lọc gói không thể tìm thấy tất cả các tấn công giả mạo IP.
Nếu bạn cho phép truyền từ mạng ngoài như 201.1.1.0/24, firewall lọc gói chỉ
kiểm tra địa chỉ nguồn IP trên gói, nó không thể tìm địa chỉ nguồn thực hay đích
thực của gói. Hacker có thể có lợi dụng những điểm này để thực hiện tấn công
DoS chống lại mạng nội bộ bởi làm lụt nó với lưu lượng cho phép từ địa chỉ
nguồn cho phép.
Có 2 phương thức tấn công, bao gồm giả mạo IP và DoS, thông thường có
thể đối phó bởi xác thực lưu lượng từng luồng riêng lẻ trước khi cho nó qua
firewall. Thật không may, firewall lọc gói chỉ kiểm tra thông tin tầng 3 và 4.
Hành động xác thực yêu cầu firewall xử lý thông tin xác thực, mà xử lý ở tầng 7.
Cuối cùng, firewall lọc gói thường hỗ trợ chức năng logging. Tuy nhiên, chức
năng logging bị giới hạn chỉ với thông tin ở tầng 3, và 4. Nếu một ai đó đang
thực hiện một kiểu tấn công web server nào đó trên cổng 80 và bạn đang đóng
cổng 80, firewall lọc gói có thể log hành động deny, nhưng, không may, firewall
không thể log dữ liệu tầng ứng dụng đã được đóng gói trên segment transport
HTTP. Bởi vậy, nếu bạn là người quản trị, biết ai đó cố gắng truy xuất tới cổng
80 trên server, nhưng bạn không biết được người đó đang cố làm cái gì?
I.4.1.5 Firewall lọc gói dùng để làm gì
- Như hàng phòng thủ đầu tiên , router vành đai.
- Khi chính sách bảo mật có thể được thực hiện hoàn chỉnh với lọc
gói và không thực hiện xác thực.
- Trong mạng SOHO mà yêu cầu bảo mật nhỏ và liên quan về giá
Nhiều công ty sử dụng firewall lọc gói như hàng rào phòng thủ đầu tiên,
với một số kiểu firewall chức năng đầy đủ đằng sau nó cung cấp bảo mật thêm
vào. Như Cisco PIX firewall
Nhiều mạng SOHO thuê những firewall lọc gói bởi vì sự đơn giản và giá
khi so sánh với những firewall khác. SOHO được thích hợp với bảo mật cơ bản ở
lý do giá. Bạn phải nhận ra, firewall lọc gói không cung cấp bảo mật hoàn chỉnh
cho SOHO, nhưng chúng cung cấp cấp độ bảo mật tối thiểu để tránh khỏi tấn
công và nhiều kiểu đe dọa mạng.
I.4.2 Firewall stateful
Không giống firewall lọc gói, firewall stateful lưu lại dấu vết của trạng
thái kết nối: sau khi kết nối được khởi tạo, truyền dữ liệu, hay kết thúc.
Nhiều chuyên gia bảo mật không đồng ý chức năng firewall nằm trên tầng nào
trong mô hình tham chiếu OSI: tầng 3, và 4 transport, hay 3,4,5 là thêm tầng
session. Từ tầng transport, firewall stateful kiểm tra thông tin trong header của
gói tầng 3 và segment tầng 4. Ví dụ, nó nhìn vào header TCP với SYN, RST,
ACK, FIN, và những mã điều khiển khác để tìm trạng thái kết nối.
Tuy nhiên, bởi vì tầng phiên thiết lập và hủy kết nối. Tầng truyền xử lý cơ
chế kết nối thực sự. Một số nói firewall stateful hoạt động ở tầng 5, như trong
hình 2-7. trong cũng trường hợp vậy, firewall stateful biết về kết nối và trạng thái
của nó.
Hình 2-7 firewall stateful và mô hình tham chiếu OSI
I.4.2.1 Vấn đề với firewall lọc gói
hình 2-8 là ví dụ, trong hình, firewall lọc gói có luật đặt trên cổng inbound
của nó từ tình trạng Internet, mà một số lưu lượng bên ngoài gửi tới 200.1.1.10 bị
từ chối. Như hình 2-8, khi 170.1.1.1 cố truy xuất tới 200.1.1.10, firewall lọc gói
hủy truyền.
Hình 2-8 ví dụ firewall lọc gói- khởi tạo kết nối
Tuy nhiên, chuyện gì xảy ra nếu ai đó bên trong mạng, như 200.1.1.10, cố
truy xuất tới thiết bị ngoài 170.1.1.1? cho rằng đây là yêu cầu http tới 170.1.1.1,
mà có web server chay trên nó. HTTP sử dụng TCP, và TCP qua 3 bước bắt tay
để thiết lập kết nối trước khi dữ liệu truyền: SYN, SYN/ACK, ACK. Khởi tạo,
200.1.1.1 gửi SYN để thiết lập kết nối. Với TCP và UDP, số cổng nguồn được
chọn mà lớn hơn 1023. Đích là cổng 80, nói 170.1.1.1 rằng đây là yêu cầu HTTP
cho web server.
Khi firewall lọc gói nhận truyền trên cổng bên trong nó, nó kiểm tra để
nhìn nếu lưu lượng cho 200.1.1.10 được phép để rời khỏi mạng. Trong trường
hợp này, không có luật lọc nào ngăn cản điều này, bởi vậy lưu lượng 200.1.1.10
được gửi tới 170.1.1.1, 170.1.1.1 phản hồi lại với thông điệp SYN TCP của
200.1.1.10 với SYN/ACK bước thứ 2 trong 3 bước bắt tay. Được chỉ ra trong
hình 2-9. Tuy nhiên, khi firewall lọc gói kiểm tra gói, nó tìm thấy rằng bởi vì địa
chỉ đích là 200.1.1.10 là gói đã bị hủy, dựa theo luật lọc gói. Bởi vậy, kết nối
không thể thiết lập tới web server bên ngoài, từ chối truy xuất web người dùng.
Hình 2-9 ví dụ firewall lọc gói – xử lý phản hồi
Để giải quyết vấn đề này với firewall lọc gói có 2 cách:
I.4.2.2 Mở cổng
- Mở cổng đích lớn hơn 1023 khi lưu lượng quay lại nguồn
- Kiểm tra bit điều khiển TCP để tìm xem đây có phải là lưu trượng
trả lại không?
Với giải pháp đầu tiên. Trong trường hợp này, nguồn bắt đầu mở một
cổng nguồn lớn hơn 1023, như 10,000 và sử dụng cổng đích của HTTP là 80. Bởi
vậy, cho phép lưu lượng trả lại từ 170.1.1.1, firewall lọc gói cần luật mà cho
phép cổng 10,000. Vấn đề với điều này là cổng nguồn đó có thể sử dụng một số
cổng nguồn lớn hơn 1023. Bất cứ cái nào là dỗi và được chọn bởi hệ điều hành là
một cái được gán. Bởi vậy, bạn được cho phép tất cả các cổng lớn hơn 1023 để
cho phép lưu lượng trở lại tới 200.1.1.10 , như hình 2-10
Hình 2-10 vi dụ lọc gói –mở cổng
Mở cổng lớn hơn 1023 không được giới thiệu thực hiện để cho phép trả lại
luồng từ kết nối gốc. Bạn đang tạo một lỗ hổng bảo mật lớn trong firewall mà sẽ
làm tất cả các loại tấn công vào thiết bị nội bộ.
I.4.2.3 Kiểm tra bit điều khiển của TCP
Điều quan tâm thứ 2 là kiểm tra thông tin tầng truyền về kết nối để tìm ra
xem nó có phải là phần kết nối tồn tại, cho phép lưu lượng trở lại 200.1.1.1 với
TCP, đây có thể được làm bởi kiểm tra cờ điều khiển trong header segment TCP.
Điều này chỉ trong bảng 2-4 và được định nghĩa trong RFC 793, chú ý rằng nhiều
mã, phổ biến được gọi flags, có thể được tìm thấy trong cùng header segment,
như SYN, ACK, hay FIN và ACK
bảng 2-4 Thông tin điều khiển TCP
Trong trường hợp này, firewall lọc gói không những kiểm tra địa chỉ
nguồn và đích cho kết nối TCP, nó cũng kiểm tra mã bit để tìm ra đây có phải lưu
lượng được khởi tạo từ một thiết bị hay lưu lượng được gửi trả lại yêu cầu, ví dụ,
khi người dùng bên trong 200.1.1.10 gửi TCP SYN, bạn biết rằng 170.1.1.1 sẽ
phản hồi với SYN và ACK trong TCP segment header. Bởi vậy, nếu bạn biết loại
cờ điều khiển phản hồi của TCP sử dụng, bạn có thể cấu hình firewall lọc gói để
cho phép lưu lượng này, được chỉ ra trong hình 2-11:
Hình 2-11 ví dụ firewall lọc gói- ví dụ mã điều khiển truyền
Hai vấn đề tồn tại với kiểm tra bit điều khiển ở tầng truyền:
- Không phải tất cả giao thức tầng truyền hỗ trợ bit điềukhiển.
- Bit điều khiển điều khiển bằng tay có thể cho phép hacker đưa gói
tin qua firewall lọc gói
Một trong những vấn đề lớn nhất của firewall lọc gói kiểm tra mã điều
khiển, trong tập giao thức TCP/ IP, TCP có mã điều khiển, nhưng UDP thì
không. Bởi vậy, cho kết nối UDP, không biết điều này bắt đầu thế nào, giữa, hay
cuối của kết nối, trừ khi kiểm tra dữ liệu được đóng gói trong segment UDP.
Vấn đề khác, thậm chí giao thức tầng truyền mà hỗ trợ mã điều khiển, như
TCP, những mã điều khiển này có thể được làm bằng tay. Ví dụ, router lọc gói
trong hình 2-11 cho phép lưu lượng tới 200.1.1.1 nếu chứa đựng mã điều khiển,
như SYN, ACK, đặt trong header TCP. Giả sử dữ liệu đó là thông tin phản hồi
mà 200.1.1.10 yêu cầu từ thiết bị bên ngoài, như 170.1.1.10. Tuy nhiên, firewall
lọc gói không thể phân biệt giữa phản hồi hợp lý và phản hồi giả. Với phản hồi
giả, hacker phát đi đoạn TCP với chứa đựng cờ mã thiết lập, cố đạt được truy
xuất qua firewall. Firewall lọc gói, không thể phân biệt giữa hai kiểu lưu lượng.
Bởi vì, thông số Cisco thiết lập cho mở rộng TCP ACL kiểm tra cờ mã và
cho phép trả lại lưu lượng tới mạng. Tuy nhiên, hacker có thể làm bằng tay lưu
lượng trả về, làm dễ bị tấn công do thám, và từ chối dịch vụ.
I.4.2.4 Bảng trạng thái
Không giống firewall lọc gói, firewall stateful sử dụng cơ chế lưu giữ
đường đi trạng thái kết nối. Nhìn hình 2-12 và hình 2-13 cho minh họa này hình
2-12 sử dụng cùng mạng được nói tới trong đoạn trên với firewall lọc gói. Trong
ví dụ này, firewall lọc gói được đặt lại bởi firewall stateful, nhưng luật lọc thì
không thay đổi một số lưu lượng được gửi tới 200.1.1.10 bị hủy
Hình 2-12 ví dụ lọc firewall stateful –phần 1
Hình 2-13 Ví dụ lọc firewall stateful- phần 2
Giả thiết rằng 170.1.1.1 gửi lưu lượng tới 200.1.1.10, như chỉ ra trong
hình 2-12, lưu lượng này bị bỏ. Bây giờ giả thiết rằng 200.1.1.10 mở kết nối web
tới 170.1.1.1 được chỉ ra trong phần đáy của hình 2-12. Khi 200.1.1.10 làm điều
này, nó sử dụng đọa TCP với cổng nguồn của 10,000 và cổng đích của 80. Nó sử
dụng cờ SYN trong trường điều khiển.
Khi firewall stateful nhận lưu lượng này, đầu tiên kiểm tra để xem có kết
nối nào 200.1.1.10 được cho phép ra ngoài. Trong trường hợp này, không có luật
lọc ngăn cản điều này. Không giống như firewall lọc gói, nó chỉ hướng gói tới
170.1.1.1, firewall stateful thêm luật lọc vào cấu hình. Thông tin này được thêm
vào tới đỉnh của luật lọc đã tồn tại hay được đặt vào bảng trạng thái. Bảng này
được dùng để lưu giữ đường đi của trạng thái kết nối. Tiến trình thực hiện trong
hình 2-13
Sau khi 170.1.1.1 nhận yêu cầu kết nối, nó phản hồi tới 200.1.1.1 với
SYN/ACK. Khi đoạn này hướng tới firewall stateful. Đầu tiên Firewall nhìn bảng
trạng thái để xem kết nối có tồn tại hay không. Sau khi nó xử lý luật lọc trên
cổng. Trong ví dụ này, chỉ một bảng được sử dụng, nhưng toàn bộ kết nối được
đặt ở đỉnh. Bởi vì thông tin kết nối được thêm khi 200.1.1.1 khởi tạo kết nối,
firewall stateful biêt phản hồi đó từ 170.1.1.1 TCP cổng 10,000 là phần của kết
nối tồn tại, bởi vậy, đó cho phép lưu lượng hình 2-13
Một lợi thế của tiến trình stateful là khi hoàn thành kết nối, thiết bị nguồn
và đích hủy kết nối và firewall stateful thông báo điều này bởi kiểm tra cờ điều
khiển header TCP và rời kết nối từ bảng kết nối hay là bảng luật lọc.
Bởi vậy, khi so sánh firewall lọc gói và firewall stateful, firewall stateful có
nhiều thông minh hơn bởi vì chúng hiểu trạng thái kết nối, khởi tạo kết nối,
truyền dữ liệu, hay hoàn tất kết nối. Cơ bản, firewall stateful chứa tập hợp lớn
chức năng lọc gói.
I.4.2.5 Ưu điểm của firewall stateful
Firewall stateful có những ưu điểm hơn so với firewall lọc gói là:
- Firewall stateful nhận biết trạng thái kết nối.
- Firewall stateful không phải mở một dải cổng lớn để cho phép giao
tiếp.
- Firewall stateful ngăn cản nhiều loại tấn công DoS hơn so với
firewall lọc gói và có nhiều logging mạnh.
Đầu tiên, firewall stateful nhận biết về các trạng thái kết nối, firewall
stateful thường xây dựng bảng trạng thái và sử dụng bảng này để cho phép chỉ
lưu lượng gửi lại từ danh sách kết nối hiện tại trong bảng trạng thái. Sau khi kết
nối bị di chuyển từ bảng trạng thái, không có lưu lượng từ thiết bị ngoài của kết
nối này được phép. Bởi vậy, những kiểu kết nối này khó giả mạo hơn. Thay vì,
với HTTP, kết nối tồn tại ngắn, bởi vậy nếu hacker chú ý đến kết nối thì kết nối
đã bị hủy và khi hacker tạo số cổng và TCP giả mạo và địa chỉ IP giả mạo, dữ
liệu bị dừng lại bởi vì toàn bộ kết nối đã bị di chuyển.
Tuy nhiên, nếu đây là kết nối telnet, có thể là vài phút hay vài giờ trước,
hacker có thể thử giả mạo kết nối. Để làm điều này, hacker không chỉ phải giả
mạo số cổng trong segment tầng truyền, nhưng hacker cũng phải giả mạo thông
tin địa chỉ IP, đây là tiến trình khó nếu hacker muốn thông tin này gửi lại tới máy
tính. Thậm chí, khi nguồn hay đích thật hoàn thành kết nối, firewall stateful dời
toàn bộ.
Thứ 2, firewall stateful không yêu cầu dãy số cổng lớn để cho phép gửi lại
luồng trở lại mạng bạn. Bảng trạng thái sử dụng để tìm kiếm nếu đây là lưu
lượng gửi lại, mặt khác, bảng lọc được dùng để lọc lưu lượng.
Thứ 3, sử dụng bảng trạng thái, firewall stateful có thể ngăn cản nhiều tấn
công lọai DoS hơn so với firewall lọc gói. Thêm nữa, firewall stateful có thể log
nhiều thông tin hơn với firewall lọc gói, như khi kết nối được thiết lập , nó up
bao lâu, và khi nào thì nó down.
I.4.2.6 Hạn chế của firewall stateful
Tuy firewall stateful là một công cụ tốt , nhưng vẫn có những nhược điểm
sau:
- Chúng cấu hình phức tạp
- Không ngăn cản được tấn công tầng ứng dụng
- Không hỗ trợ xác thực kết nối người dùng
- Không phải giao thức nào cũng chứa đựng thông tin trạng thái
- Một số ứng dụng mở nhiều kết nối, một số sử dụng số cổng động
để thêm kết nối.
- Thêm phần phức tạp trong việc duy trì bảng trạng thái
Như firewall lọc gói hầu hết việc lọc được làm bởi các luật thiết lập với thông tin
tầng 3, 4. Thêm vào, bởi vì firewall stateful thật sự chỉ xử lý thông tin ở tầng 3, 4,
5, không thể tìm thấy tấn công ở tầng ứng dụng hay thực hiện một số kiểu xác
thực người dùng cho phép thiết lập kết nối.
I.4.2.7 Vấn đề firewall stateful: giao thức nonstateful
Để giải quyết vấn đề này, firewall stateful đưa ra giao thức nonstateful.
Giao thức mà định nghĩa tiến trình từ thiết lập, duy trì và hủy kết nối được gọi là
stateful, cơ chế được định nghĩa như cách những tiến tình này thực hiện. TCP là
ví dụ về giao thức stateful.
Tuy nhiên, không phải tất cả các giao thức đều là stateful: UDP, ICMP và
…ví dụ, UDP không định nghĩa tiến trình cho cách thiết lập, duy trì, và hủy bỏ
kết nối, điều này được định nghĩa dựa trên ứng dụng. Ví dụ đơn giản là phân tích
DNS: nguồn thường yêu cầu DNS phân giải tên miền, và server DNS trả lời với
phản hồi là địa chỉ IP cho tên miền. Trong ví dụ này, để giữ dấu vết của trạng
thái kết nối rất đơn giản: firewall stateful tìm kiếm yêu cầu DNS, thêm toàn bộ
bảng trạng thái để cho phép nó phản hồi, và di dời toàn bộ khi server DNS gửi
phản hồi.
Không phải tất cả ứng dụng UDP là đơn giản thế, tuy nhiên. Trong hầu hết
ứng dụng này, nhiều gói được gửi giữa nguồn và đích thường ở tốc độ liên tục.
Hầu hết giải pháp firewall stateful đối với lưu lượng UDP khi stateful bởi gán bộ
định thời gian cho những kết nối này trong bảng trạng thái. Ví dụ, firewall
stateful có thể sử dụng thời gian là 30 giây, nếu sau 30 giây không có lưu lượng
UDP được nhìn thấy đi vào bảng trạng thái, firewall stateful sẽ di dời nó. Vấn đề
chính với cách tiếp cận này là nếu hacker gửi gói giả mạo tới mạng, nó sẽ giữ
mục trong bảng vô hạn. Bởi vậy, hacker phải rất nhanh bởi vì hầu hết kết nối
UDP là tạm thời.
Giống như UDP, ICMP cũng có vấn đề, ví dụ đơn giản như test ping. Phụ
thuộc vào chương trình ping, nó có thể phát sinh 1,3,5 hay thậm chí 10 yêu cầu
kiểm tra lặp lại. sự khác nhau điều này, cách firewall stateful xử lý là giao thức
nonstateful? Như với UDP, một giải pháp là sử dụng bộ định thời gian chờ,
nhưng mục này trong bảng trạng thái có thể bị làm giả. Như vơí kết nối UDP,
ICMP rất ngắn gọn. Bởi vậy giả kết nối này là không thể xảy ra.
I.4.2.8 Vấn đề firewall stateful: kết nối nhiều ứng dụng
Vấn đề khác mà firewall cần phải đối phó với ứng dụng mà mở thêm kết
nối để truyền thông tin. Những điều này bao gồm FTP, multimedia, NetBIOS,
và… FTP sử dụng như ví dụ ở đây, FTP hỗ trợ 2 mô hình khác nhau:
- Chuẩn hay chủ động
- Bị động
Cả hai chế độ thiết lập kết nối TCP. Ví dụ của kết nối này được chỉ trong hình 2-
14. Với FTP ở chế độ bị động, ngay khi người dùng bên trong mạng thiết lập kết
nối ra bên ngoài, bạn không có vấn đề: cả 2 kết nối ra ngoài được đặt trong bảng
trạng thái, và lưu lượng trở lại cho những thông tin này được cho phép. Tuy
nhiên, nếu thiết bị client ở bên ngoài firewall stateful, bạn cần xác định luật để
cho phép kết nối cổng 21 được gọi là điều khiển kênh và luật lọc có thể mở rộng
để cho phép kết nối thứ 2 kênh dữ liệu
Hình 2-14 kết nối FTP
Giao thức lọc gói có cùng vấn đề với người dùng bên ngoài và ftp bị động
Với chuẩn FTP, nếu client là bên trong mạng và server bên ngoài, cả hai firewall
stateful và firewall lọc gói phải đối phó với kết nối dữ liệu mà server FTP thiết
lập tới client: bạn phải mở toàn bộ dải cổng để cho phép kết nối thứ 2 này.
I.4.2.9 Vấn đề firewall stateful: kích thước của bảng trạng thái
Khi Firewall stateful xây dựng và duy trì bảng trạng thái lớn, sẽ đặt gánh
nặng lên khả năng xử lý của nó. Firewall stateful phải theo dõi nhiều kết nối hơn,
và khả năng firewall stateful cần duy trì bảng. Không giống firewall stateful,
firewall lọc gói thường có bảng lọc nhỏ, mà có ít ảnh hưởng tới tiến trình đang
xử lý dữ liệu so với firerwall stateful có bảng trạng thái.
I.4.2.10 Những việc firewall stateful có thể làm
Bởi vì nó thông minh hơn so với lọc gói, firewall stateful thường sử dụng
có các miền sau:
- Như phương tiện chính cho phòng thủ.
- Như một hàng rào thông minh đầu tiên của phòng thủ, router vành
đai với khả năng stateful.
- Nơi nhiều điều khiển chặt chẽ hơn về bảo mật so với lọc gói, không
thêm vào giá quá cao.
Hầu hết trường hợp, firewall stateful được sử dụng như phương tiện chính
để phòng thủ bởi lọc lưu lượng không cần thiết. Ưu điểm chính của firewall
stateful so với firewall lọc gói là xây dựng nguyên tắc lọc tạm thời cho lưu lượng
được gửi lại từ kết nối đã hình thành.
Trong một số trường hợp, sản phẩm định tuyến hỗ trợ chức năng stateful
được sử dụng như vành đai chính cho phòng thủ, hoặc là thêm bảo mật cho
router vành đai. Cũng như vậy, firewall stateful cung cấp nhiều điều khiển hơn so
với firewall lọc gói, thường giá không quá đắt. Nếu quan tâm tới bảo mật, cần
nhắc mua firewall stateful hay nâng cấp router mà hỗ trợ đặc điểm stateful để có
những ưu điểm thông minh hơn lọc gói.
I.4.3 Application gateway firewall
Application gateway firewall, thường gọi là firewall proxy, lọc thông tin ở
tầng 3, 4, 5, 7 của mô hình tham chiếu OSI, được chỉ trong hình 2-15. Bởi vì
firewall cổng ứng dụng xử lý thông tin ở tầng ứng dụng, hầu hết việc lọc và điều
khiển firewall được làm ở phần mềm, cái mà cung cấp nhiều điều khiển lưu
lượng hơn so với lọc gói hay firewall stateful
Hình 2-15 firewall ứng dụng cổng và mô hình tham chiếu OSI
I.4.3.1 Tiến trình xác thực
Một trong những đặc điểm của application gateway firewall là chúng
thường cho phép bạn xác thực yêu cầu kết nối trước khi cho phép lưu lượng tới
tài nguyên bên trong hay bên ngoài. Điều này làm bạn xác thực yêu cầu sử dụng
kết nối. Trong khi firewall lọc gói và firewall stateful chỉ kiểm tra thông tin tầng
3, 4, bởi vậy, có thể chỉ xác thực ở địa chỉ tầng 3 của thiết bị.
Hình 2-16 chỉ ra ví dụ đơn giản của application gateway firewall sử dụng
tiến trình xác thực. Trong ví dụ này, đầu tiên người dùng phải xác thực với
firewall ứng dụng cổng. Điều này được làm bởi có người dùng mở kết nối đặc
biệt, ví dụ một web browser kết nối tới firewall ứng dụng cổng. AGF hay server
xác thực sau đó cho phép nhận dạng người dùng. Tiến trình xác thực thực hiện
trong phần mềm ở tầng ứng dụng. Hình 2-16, xác thực cơ sở dữ liệu trên AGF và
sử dụng username và password. Trong cơ sở dữ liệu này, AGF cho phép Richard
truy xuất tới Webbrowser A sau khi xác thực thành công, nhưng nó sẽ không cho
phép Richard truy xuất tới Web server B. Khi bạn nhìn ví dụ này, khi Richard
cho phép, anh ta có thể truy xuất web server A, tuy nhiên, anh ta không thể truy
xuất tới tài nguyên khác, trong hình 2-16, khi Richard cố gửi thông tin tới web
server B, AGF hủy thông tin đó.
Hình 2-16 Tiến trình xác thực AGF
AGF có thể được sử dụng để xác thực cả kết nối vào trong và ra ngoài.
I.4.3.2 Phương thức xác thực
AGF có thể sử dụng nhiều phương thức xác thực để xác thực yêu cầu kết
nối, bao gồm username và password, thông tin thẻ, địa chỉ nguồn tầng 3, và
thông tin sinh trắc học. Thường thì, địa chỉ nguồn tầng 3 không sử dụng cho xác
thực, trừ khi chúng được kết hợp với một số phương thức khác. Thông tin xác
thực được lưu ở một vùng hay trên server bảo mật hay Server thư mục. Ví dụ của
server bảo mật là ACS Cisco Secure. Ví dụ server thư mục bao gồm NDS
Novell, Microsoft Active Directory, LDAP.
Bạn không nên tin tưởng chỉ sử dụng nguồn tầng 3 để thực hiện xác thực
bởi vì địa chỉ tầng 3 dễ ảnh hưởng tới giả mạo và tấn công lừa đảo. Nếu đang
dùng xác thực username và password, AGF gợi ý cho sử dụng username và
password. Sau đó nó tìm kiếm cho username và so sánh password với những gì
người dùng đánh. Nếu cả hai giống nhau, username phù hợp. Một vấn đề với
phương thức xác thực này là nếu username và password gửi qua kết nối không
mã hóa, thông tin này dễ bị nghe trộm, hacker sau đó có thể sử dụng thông tin
này thực thi tấn công giả mạo. Bởi vậy, thông tin này nên được mã hóa. Thường,
điều này được làm qua giao thức SSL Sercure Socket Layer với kết nối web
browser. Điều này có nghĩa rằng người phải mở kết nối HTTP SSL HTTPs tới
AGF để thực hiện xác thực. Phương thức khác là sử dụng ứng dụng Telnet đã mã
hóa, như Secure Shell SSH.
Thông tin sinh trắc học đảm bảo hơn so với username và password bởi vì
username và password bị đoán dễ dàng hơn. Với sinh trắc học, một số đặc điểm
cơ thể duy nhất ở một người, như vân tay hay quét võng mạc, được kiểm tra.
Tuy nhiên, khi gửi thông tin này tới AGF, nó giống như username và password,
là dễ bị ảnh hưởng bởi nghe trộm. Bởi vậy, kết nối bảo mật được sử dụng để
truyền thông tin xác thực này.
Tất cả phương thức xác thực, thì dấu hiệu thẻ là đảm bảo nhất. Dấu hiệu
thẻ tạo password một lần, password mà được dùng chỉ một lần, sau khi password
đã dụng , nó không dùng nữa. Ưu điểm của dấu hiệu thẻ là chúng không bị nghe
trộm. Nếu hacker nghe trộm và nhìn thông tin dấu hiệu thẻ, nó là không sử dụng
cho anh ta bởi vì nó sẽ có hết hiệu lực ở lần hacker cố sử dụng nó. Nhược điểm
của dấu hiệu thẻ là chúng đắt để triển khai trên phạm vi rộng và khó để xử lý sự
cố và thiết lập.
I.4.4 Firewall dịch địa chỉ
Dịch địa chỉ được phát triển để dùng với 2 lý do:
- Nó mở rộng số địa chỉ IP.
- Nó ẩn thiết kế địa chỉ mạng.
Lý do chính mà dịch địa chỉ RFC và địa chỉ riêng được phát triển để đối phó với
sự hết dần địa chỉ đã được nhận ra vào giữa 1990.
Dịch địa chỉ nguồn và đích và số cổng trong gói IP hay header segment
TCP/UDP. Chức năng của firewall dịch địa chỉ ở tầng 3, 4 của mô hình tham
chiếu OSI chỉ trong hình 2-19
Hình 2-19. Firewall dịch địa chỉ và mô hình tham chiếu OSI
Giải thích lý do ẩn thiết kế mạng
a. Tiến trình lọc
Hầu hết mọi người cho rằng dịch địa chỉ sử dung để dịch địa chỉ private
sang public, bởi vậy, bạn có thể ngạc nhiên cách bạn sử dụng dịch địa chỉ như
chức năng bảo mật. Xem hình 2-20 hình là hữu ích của dịch địa chỉ cho bảo vệ
mạng. trong ví dụ, hai web server có gán địa chỉ private là 192.16.12.2. bởi vì địa
chỉ IP private không thể định tuyến trên mạng công cộng, địa chỉ public phải
được kết hợp với 2 thiết bị này và server DNS cần để gửi địa chỉ public trả lời
truy vấn DNS cho địa chị của những thiết bị này.
Hình 2-20 ví dụ firewall dịch địa chỉ
ATF định nghĩa nguyên tắc dịch. Lưu lượng heading tới 200.1.1.2 được dịch
thành 192.168.11.2 , lưu lượng tới 200.1.1.3 được dịch thành 192,168.12.1. Tiến
trình này phục vụ 2 chức năng. Đầu tiên, người ngoài không giải mã cái gì về cấu
trúc địa chỉ IP mạng. Người đó chỉ biết rằng 200.1.1.2 và 200.1.1.3 địa chỉ có thể
tới được và xuất hiện trên cùng đoạn. Người ngoài không biết rằng những server
web này trên 2 đoạn mạng vật lý đằng sau 2 router khác nhau.
Thứ 2, lưu lượng được gửi tới thiết bị khác trong mạng không thể bị
hướng tới nó trừ khi nó được dịch, nhớ rằng thiết bị mạng nội bộ của bạn đang sử
dụng địa chỉ private. Nếu người ngoài gửi lưu lượng tới địa chỉ 192.168.x.x, nhà
cung cấp dịch vụ của anh ta sẽ hủy nó. Nếu người ngoài gửi lưu lượng với địa chỉ
public trên nó, chỉ địa chỉ public được liệt kê trong bảng dịch cho phép dịch nơi
để dữ liệu có thể hướng tới tài nguyên nội bộ. Ví dụ , không có con đường mà
170.1.1.1 có thể tới được web server C bởi vì không có dịc
Các file đính kèm theo tài liệu này:
- Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội.pdf