Đồ án Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall

pdf 71 trang thiennha21 14/04/2022 7231
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfdo_an_nghien_cuu_thiet_ke_xay_dung_phuong_an_bao_mat_he_thon.pdf

Nội dung text: Đồ án Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall

  1. TRƯỜNG ĐẠI HỌC THÁI BÌNH KHOA CÔNG NGHỆ THÔNG TIN  Tên đề tài: Nghiên cứu thiết kế xây dựng phương án bảo mật hệ thống bằng firewall Sinh viên thực hiện: Lê Văn Hoàng Vũ Văn Thành Phạm Ngọc Dũng Lớp: ĐH6-CNTT1 Giáo viên phụ trách: Ths Đào Thị Phương Thúy Thái Bình,5/2021
  2. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành LỜI MỞ ĐẦU Ngày nay, việc duy trì hệ thống mạng nội bộ hoạt động ổn định, nhanh chóng, an toàn và tin cậy đang là vấn đề được các tổ chức và doanh nghiệp đặc biệt quan tâm. Trong đó, yếu tố an toàn mạng luôn được đặt lên hàng đầu. Chính vì vậy công việc và trọng trách đặt lên vai của những người làm công nghệ thông tin trên thế giới nói chung và ở Việt Nam nói riêng không chỉ là nghiên cứu xây dựng và phát triển nhanh chóng mạng máy tính trong nước để mọi người có thể khai thác tiềm năng hết sức phong phú trên Internet mà đồng thời cũng phải nghiên cứu thực hiện tốt các biện pháp ngăn chặn, phòng chống, phát hiện và phục hồi được các hành vi tấn công phá hoại trái phép trên mạng, nhằm đảm bảo được tối đa sự phát triển cho các tổ chức kinh doanh Nắm bắt được nhu cầu của các tổ chức và doanh nghiệp, một số tập đoàn công nghệ thông tin và truyền thông hàng đầu trên thế giới đã đưa ra nhiều giải pháp bảo mật cũng như các Firewall (cả phần cứng lẫn phần mềm) để bảo vệ môi trường mạng được trong sạch và an toàn. Hiện nay, các tổ chức và doanh nghiệp chọn cho mình cách bảo vệ hệ thống mạng của họ bằng nhiều cách khác nhau như sử dụng Router Cisco, dùng tường lửa Microsoft như ISA . Tuy nhiên những thành phần kể trên tương đối tốn kém. Vì vậy để tiết kiệm chi phí và có một tường lửa bảo vệ hệ thống mạng bên trong (mạng nội bộ) khi mà chúng ta giao tiếp với hệ thống mạng bên ngoài (Internet) thì Firewall mã nguồn mở là một giải pháp tương đối hiệu quả đối với người dùng. Đồ án tốt nghiệp đã “ tìm hiểu giải pháp an ninh mạng với FireWall ” nhằm mục đích tìm hiểu sâu sắc về cơ chế hoạt động của nó. Sau đó áp dụng vào thực tiễn giúp tăng cường an ninh mạng nội bộ cho các công ty, doanh nghiệp. Giúp dữ liệu cá nhân của các nhân, công ty luôn nằm trong vùng an toàn. Quản lí điều tiết lưu lượng mạng một cách hợp lí để tránh lãng phí tài nguyên và giảm chi phí về an ninh mạng một cách tối đa. GVHD: Ths Đào Thị Phương Thúy 1
  3. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành LỜI CẢM ƠN Trong thời gian làm đồ án tốt nghiệp, em đã nhận được nhiều sự giúp đỡ, đóng góp ý kiến và chỉ bảo nhiệt tình của thầy cô, gia đình và bạn bè. Em xin gửi lời cảm ơn chân thành đến cô Đào Thị Phương Thúy, giảng viên khoa Công nghê thông tin - trường ĐH Thái Bình người đã tận tình hướng dẫn, chỉ bảo em trong suốt quá trình làm đồ án. Em cũng xin chân thành cảm ơn các thầy cô giáo trong trường Đại Học Thái Bình đã hết lòng dạy bảo chúng em trong những năm học Đại Học, giúp chúng em có những kiến thức và kinh nghiệm quý báu trong chuyên môn và cuộc sống, giúp chúng em bước những bước đi đầu tiên trong hành trang vào đời. Cuối cùng, em xin chân thành cảm ơn gia đình và bạn bè, đã luôn tạo điều kiện, quan tâm, giúp đỡ, động viên em trong suốt quá trình học tập và hoàn thành đồ án tốt nghiệp. Vì thời gian hạn hẹp, vấn đề cần tìm hiểu quá rộng, lượng thông tin và tài liệu cần đọc rất lớn, kiến thức hạn chế nên chắc chắn rằng bản đồ án này sẽ không tránh khỏi những thiếu sót, chúng em rất mong nhận được sự chỉ bảo góp ý thắng thắn từ phía hội đồng và các bạn. Thái Bình, tháng 5 năm 2021 Sinh Viên GVHD: Ths Đào Thị Phương Thúy 2
  4. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Giảng viên (Ký, ghi rõ họ tên) GVHD: Ths Đào Thị Phương Thúy 3
  5. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN 1 Giảng viên (Ký, ghi rõ họ tên) NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN 2 Giảng viên (Ký, ghi rõ họ tên) GVHD: Ths Đào Thị Phương Thúy 4
  6. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành MỤC LỤC LỜI MỞ ĐẦU 1 LỜI CẢM ƠN 2 MỤC LỤC 5 CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ AN NINH MẠNG . 7 I.1. AN TOÀN THÔNG TIN MẠNG 7 I.1.1. Một số khái niệm. 7 I.1.2. Nhu cầu an toàn thông tin. 7 I.2. AN NINH MẠNG. 8 I.3. PHÂN LOẠI TẤN CÔNG PHÁ HOẠI THÔNG TIN. 8 I.3.1. Tấn công vào máy chủ hoặc máy trạm độc lập (Standalone workstation or server) 8 I.3.2. Tấn công bằng cách phá mật khẩu. 9 I.3.3. Virus và worm. 9 I.3.4. Tấn công bộ đệm (buffer attack). 10 I.3.5. Tấn công từ chối dịch vụ. 11 I.3.6. Tấn công định tuyến nguồn (source routing attack). 12 I.3.7. Tấn công giả mạo. 13 I.3.8 Tấn công sử dụng e-mail. 13 I.3.9. Quét cổng. 14 I.3.10. Tấn công không dây. 14 I.4. CÁC BIỆN PHÁP PHÁT HIỆN KHI BỊ TẤN CÔNG. 15 I.5. CÔNG CỤ AN NINH MẠNG. 16 I.5.1. Thực hiện an ninh mạng từ cổng truy nhập dùng tường lửa. 16 I.5.2. Mã hóa thông tin. 16 CHƯƠNG II: TỔNG QUAN VỀ FIREWALL 18 II.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL. 18 II.2. ĐỊNH NGHĨA FIREWALL. 20 II.3. NHIỆM VỤ CHÍNH CỦA FIREWALL. 21 II.4. CÁC KIẾN TRÚC FIREWALL CƠ BẢN. 22 GVHD: Ths Đào Thị Phương Thúy 5
  7. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành II.4.1. Packet Filtering – Bộ lọc gói tin. 22 II.4.2. Application Gateway – Cổng ứng dụng. 24 II.4.3. Circuit Level Gate – Cổng mạch 26 II.4.4. FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL) 27 II.5. KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) 28 II.6. PHÂN LOẠI. 29 II.6.1 Phân loại theo tầng giao thức. 29 II.6.2. Phân loại theo đối tượng sử dụng. 31 II.6.3. Phân loại theo công nghệ tường lửa. 32 II.7. NHỮNG NHƯỢC ĐIỂM VÀ HẠN CHẾ FIREWALL. 36 CHƯƠNG III: CÁC HỆ THỐNG TƯỜNG LỬA HIỆN NAY 37 III.1. Software Firewalls 37 III.2. Appliance Firewalls 38 III.3. Integrated firewalls 39 III.4. So sánh các hệ thống tường lửa phổ biến 39 CHƯƠNG IV: THIẾT KẾ XÂY DỰNG MÔ PHỎNG MỘT HỆ THỐNG FIREWALL 41 IV.1. Firewall PFSENSE 41 IV.1.1. Giới thiệu PFSENSE. 41 IV.1.2. Một số chức năng chính của FireWall PFSense. 42 IV.1.3. Lợi ích mà pfSense đem tới. 44 IV.1.4. Cài đặt PfSense trên máy ảo 45 IV.2. THỰC NGHIỆM FIREWALL TRÊN PFSENSE 51 IV.2.1. Phát biểu bài toán. 51 IV.2.2. Mô hình thực nghiệm. 51 IV.3. Cấu hình Pfsense 52 IV.3.1.Cấu hình cơ bản Pfsense. 52 IV.3.2. Cấu hình Squid và SquidGuard trên Pfsense 58 III.3.3. Kết quả thực nhiệm. 67 KẾT LUẬN 69 GVHD: Ths Đào Thị Phương Thúy 6
  8. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ AN NINH MẠNG I.1. AN TOÀN THÔNG TIN MẠNG Ngày nay với sự phát triển bùng nổ của công nghệ, hầu hết các thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp, tài chính, mức lương nhân viên đều được lưu trữ trên hệ thống máy tính. Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ khách hàng. I.1.1. Một số khái niệm. An toàn thông tin: Bảo mật + toàn vẹn + khả dụng + chứng thực. An toàn máy tính: tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hacker. An toàn mạng: các phương tiện bảo vệ dữ liệu khi truyền chúng. An toàn Internet: các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập các mạng liên kết với nhau. Mục đích của đồ án là tập trung vào an toàn Internet gồm các phương tiện để bảo vệ, chống, phát hiện, và hiệu chỉnh các phá hoại an toàn khi truyền và lưu trữ thông tin. I.1.2. Nhu cầu an toàn thông tin. An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu an toàn thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng. GVHD: Ths Đào Thị Phương Thúy 7
  9. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng các tài liệu mật đó. Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thông tin lưu trữ. Nhu cầu an toàn rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc. Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn thông tin. Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ liệu khi truyền. Trong đó có cả các phương tiện phần mềm và phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra. I.2. AN NINH MẠNG. Luật an ninh mạng định nghĩa: An ninh mạng là sự đảm bảo hoạt động trên không gian mạng không gây hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Mục đích chính an ninh mạng: − Bảo đảm an toàn thông tin tại máy chủ − Bảo đảm an toàn cho phía máy trạm − An toàn thông tin trên đường truyền I.3. PHÂN LOẠI TẤN CÔNG PHÁ HOẠI THÔNG TIN. I.3.1. Tấn công vào máy chủ hoặc máy trạm độc lập (Standalone workstation or server) Cách đơn giản nhất để tấn công một hệ điều hành là lợi dụng một máy tính đang ở trạng thái đăng nhập (logged-on) của một người nào đó khi người đó bỏ ra ngoài hoặc bận làm việc khác. Máy trạm hoặc máy chủ không được bảo vệ theo cách này là mục tiêu dễ nhất để tấn công khi không có người xung quanh. Đôi khi các máy chủ cũng là các mục tiêu tấn công, vì quản trị viên hoặc người điều hành GVHD: Ths Đào Thị Phương Thúy 8
  10. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành máy chủ cũng có thể đi ra ngoài bỏ lại máy chủ trong trạng thái đăng nhập với một tài khoản có đặc quyền của quản trị viên mà bất cứ ai cũng có thể sử dụng. Thậm chí cả những máy chủ đặt trong các phòng máy được khoá cẩn thận, thì máy chủ này cũng trở thành một mục tiêu tấn công cho bất cứ ai vào được phòng đó, những người này có thể là những lập trình viên, những nhà quản lý, thợ điện, nhân viên bảo trì, I.3.2. Tấn công bằng cách phá mật khẩu. Quá trình truy trập vào một hệ điều hành có thể được bảo vệ bằng một tài khoản người dùng và mật khẩu. Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy nhập. Kẻ tấn công có trình độ đều biết rằng luôn có những tài khoản người dùng quản trị chính, ví dụ như tài khoản Administrator trong các hệ điều hành Windows, tài khoản root trong các hệ điều hành Unix và Linux, tài khoản Admin trong NetWare và các tài khoản đặc quyền Admin trong hiều hành Mac OS X(MacOS). Những kẻ tấn công sẽ cố gắng đăng nhập bằng các tài khoản này một cách cục bộ hoặc từ trên mạng, bằng chương trình Telnet chẳng hạn. Telnet là một giao thức trong tầng ứng dụng của mô hình TCP/IP cho phép truy nhập và cấu hình từ xa từ trên mạng hoặc trên Internet. Nếu một kẻ tấn công tìm kiếm một tài khoản để truy nhập, thì kẻ đó phải sử dụng hệ thống tên miền DNS trong một mạng kết nối với Internet để tìm những ra được những tên tài khoản có thể. Sau khi tìm ra được tên tài khoản người dùng, kẻ tấn công này sẽ sử dụng một phần mềm liên tục thử các mật khẩu khác nhau có thể như (Xavior, Authforce và Hypnopaedia). Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển và các số. I.3.3. Virus và worm. Virus là một chương trình gắn trong các ổ đĩa hoặc các tệp và có khả năng nhân bản trên toàn hệ thống. Một số virus có thể phá hoại các tệp hoặc ổ đĩa, còn GVHD: Ths Đào Thị Phương Thúy 9
  11. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành một số khác chỉ nhân bản mà không gây ra một sự phá hoại thường trực nào. Một số virus hoặc e-mail chứa các hướng dẫn cách xoá một tệp được cho là một virus nguy hiểm – nhưng thực chất tệp này lại là một tệp hệ thống. Nếu làm theo “cảnh báo” này có thể sẽ mắc phải các lỗi hệ thống hoặc có thể cài đặt lại tệp đó. Worm (sâu mạng) là một chương trình nhân bản không ngừng trên cùng một máy tính hoặc gửi chính nó đến các máy tính khác trong mạng. Sự khác nhau giữa Worm (sâu mạng) và Virus là Worm (sâu mạng) tiếp tục tạo các tệp mới, còn virus thì nhiễm ổ đĩa hoặc tệp rồi ổ đĩa hoặc tệp đó sẽ nhiễm các ổ đĩa hoặc các tệp khác. Worm (sâu mạng) là một chương trình có vẻ là hữu ích và vô hại, nhưng thực tế lại gây hại cho máy tính của người dùng. Worm (sâu mạng) thường được thiết kế để cho phép kẻ tấn công truy nhập vào máy tính mà nó đang chạy hoặc cho phép kẻ tấn công kiểm soát máy tính đó. Ví dụ, các Worm (sâu mạng) như Trojan.Idly, B02K và NetBus là các Worm (sâu mạng) được thiết kế để cho phép kẻ tấn công truy nhập và điều khiển một hệ điều hành. Cụ thể, Trojan.Idly được thiết kế để chuyển cho kẻ tấn công tài khoản người dùng và mật khẩu để truy nhập máy tính nạn nhân. I.3.4. Tấn công bộ đệm (buffer attack). Rất nhiều hệ điều hành sử dụng bộ đệm (buffer) để lưu dữ liệu cho đến khi nó sẵn sàng được sử dụng. Giả sử, một máy chủ với một kết nối tốc độ cao đang truyền dữ liệu đa phương tiện tới một máy trạm trên mạng, và máy chủ truyền nhanh hơn máy trạm có thể nhận. Khi đó giao diện mạng của máy trạm sẽ sử dụng phần mềm lưu tạm (đệm) thông tin nhận được cho đến khi máy trạm sẵn sàng xử lý nó. Các thiết bị mạng như switch cũng sử dụng bộ đệm để khi lưu lượng mạng quá tải nó sẽ có chỗ để lưu dữ liệu cho đến khi chuyển tiếp xong dữ liệu đến đích. Tấn công bộ đệm là cách mà kẻ tấn công lừa cho phần mềm đệm lưu trữ nhiều thông tin trong bộ đệm hơn kích cỡ của nó (trạng thái này gọi là tràn bộ đệm). GVHD: Ths Đào Thị Phương Thúy 10
  12. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Phần thông tin thừa đó có thể là một phần mềm giả mạo sau đó sẽ truy nhập vào máy tính đích. I.3.5. Tấn công từ chối dịch vụ. Tấn công từ chối dịch vụ (DoS) được sử dụng để can thiệp vào quá trình truy nhập đến một máy tính, một trang web hay một dịch vụ mạng bằng cách làm tràn dữ liệu mạng bằng các thông tin vô ích hoặc bằng các frame hay packet chứa các lỗi mà một dịch vụ mạng không nhận biết được. Ví dụ, một tấn công dịch vụ có thể nhắm vào các dịch vụ truyền thông dùng giao thức HTTP hoặc giao thức FTP trên một trang web. Mục đích chính của tấn công DoS là chỉ làm sập một trang cung cấp thông tin hoặc làm tắt một dịch vụ chứ không làm hại đến thông tin hoặc các hệ thống. Nhiều khi một tấn công DoS vào một hệ điều hành được thực hiện trong chính mạng nội bộ mà hệ điều hành đó được cài đặt. Kẻ tấn công giành quyền truy nhập với tài khoản Administrator của Windows 2003 Server và dừng các dịch vụ trên máy trạm và máy chủ, làm cho người dùng không thể truy nhập vào máy chủ đó. Tệ hại hơn, kẻ tấn công có thể gỡ bỏ một dịch vụ hoặc cấu hình để cấm dịch vụ đó. Một cách khác đó là làm đầy ổ đĩa trên các hệ thống không cài đặt chức năng Disk quota (hạn ngạch đĩa) làm cho các ổ đĩa bị tràn bởi các tệp. Vấn đề này trước đây thường xảy ra đối với các hệ thống máy chủ không có các tuỳ chọn quản lý hạn ngạch đĩa. Một kẻ tấn công từ xa (không khởi tạo tấn công từ trong mạng cục bộ) có thể thực hiện một dạng tấn công đơn giản đó là làm tràn dữ liệu mạng một hệ thống bằng nhiều gói tin. Ví dụ, chương trình Ping of Death sử dụng tiện ích Ping có trong các hệ điều hành Windows và Unix để làm tràn dữ liệu mạng một hệ thống bằng các gói tin quá cỡ, ngăn chặn truy nhập tới hệ thống đích. Ping là một tiện ích mà người dùng mạng và các quản trị viên thường sử dụng để kiểm tra kết nối mạng. Trong một số loại tấn công, máy tính khởi tạo tấn công có thể làm cho GVHD: Ths Đào Thị Phương Thúy 11
  13. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành rất nhiều máy tính khác gửi đi các gói tin tấn công. Các gói tin tấn công có thể nhắm vào một trang web, một máy đích hay nhiều máy tính có thể tấn công nhiều máy đích. Kiểu tấn công này được gọi là tấn công từ chối dịch vụ phân tán DdoS. I.3.6. Tấn công định tuyến nguồn (source routing attack). Trong định tuyến nguồn, người gửi gói sẽ xác định chính xác tuyến đường mà gói sẽ đi qua để đến được đích. Thực chất, định tuyến nguồn chỉ sử dụng trong các mạng token ring và để gỡ rối các lỗi mạng. Ví dụ, tiện ích gỡ rối Traceroute trong các hệ điều hành Windows, UNIX, Mac OS và NetWare sử dụng định tuyến nguồn để xác định tuyến đường mà gói tin đi từ một điểm tới một điểm khác trên một mạng. Trong tấn công định tuyến nguồn, kẻ tấn công sửa đổi địa chỉ nguồn và thông tin định tuyến làm cho gói tin có vẻ như đến từ một địa chỉ khác, ví dụ một địa chỉ tin cậy để truyền thông trên một mạng. Ngoài việc đóng giả làm một người tin cậy trong mạng, kẻ tấn công còn có thể sử dụng định tuyến nguồn để thăm dò thông tin của một mạng riêng, ví dụ một mạng được bảo vệ bởi một thiết bị mạng sử dụng chức năng chuyển đổi địa chỉ (NAT). NAT(Network Address Translation) có thể chuyển đổi địa chỉ IP của gói tin từ một mạng riêng thành một địa chỉ IP khác được sử dụng trên mạng công cộng hay mạng Internet – đây là kỹ thuật vừa để bảo vệ định danh của các máy tính trong một mạng riêng vừa để bỏ qua yêu cầu sử dụng các địa chỉ IP duy nhất trên toàn cầu trên mạng riêng. * Chú ý: Những kẻ tấn công có thể lách được một thiết bị NAT bằng cách sử dụng một dạng định tuyến nguồn gọi là làm sai lệch bản ghi định tuyến nguồn (LSRR – Loose Source Record Route). Dạng định tuyến này không xác định một tuyến đầy đủ cho gói tin, mà chỉ một phần – ví dụ, một hoặc hai chặng (hop) hay thiết bị mạng trong tuyến đi qua thiết bị NAT. GVHD: Ths Đào Thị Phương Thúy 12
  14. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành I.3.7. Tấn công giả mạo. Tấn công giả mạo làm cho địa chỉ nguồn của gói tin bị thay đổi làm cho có vẻ như được xuất phát từ một địa chỉ (máy tính) khác. Sử dụng tấn công giả mạo, kẻ tấn công có thể truy nhập được vào một hệ thống được bảo vệ. Tấn công định tuyến nguồn cũng được coi là một dạng tấn công giả mạo. Ngoài ra, tấn công DoS làm tràn dữ liệu mạng một máy đích bằng các gói tin có địa chỉ nguồn giả mạo cũng là một dạng tấn công giả mạo. I.3.8 Tấn công sử dụng e-mail. Một cuộc tấn công e-mail có vẻ như xuất phát từ một nguồn thân thiện, hoặc thậm chí là tin cậy như: một công ty quen, một người thân trong gia đình hay một đồng nghiệp. Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụng một tài khoản e-mail mới để gửi e-mail phá hoại đến người nhận. Đôi khi một e-mail được gửi đi với một tiêu đề hấp dẫn như “Congratulation you’ve just won free software. Những e-mail phá hoại có thể mang một tệp đính kèm chứa một virus, một Worm (sâu mạng) hay một trojan horse. Một tệp đính kèm dạng văn bản word hoặc dạng bảng tính có thể chứa một macro (một chương trình hoặc một tập các chỉ thị) chứa mã độc. Ngoài ra, e-mail cũng có thể chứa một liên kết tới một web site giả. Tấn công có tên Ganda được thực hiện dưới dạng một e-mail và tệp đính kèm được gửi đi dưới rất nhiều dạng khác nhau, nhưng nó luôn mang một thông báo kêu gọi một hành động như “Stop Nazis” hoặc “Save kittens - Hãy cứu lấy lũ mèo con”. Khi người dùng mở tệp đính kèm, Worm (sâu mạng) Ganda sẽ được kích hoạt. Ngoài việc tạo ra các tệp, Worm (sâu mạng) này còn can thiệp vào các tiến trình đã khởi động, ví dụ các tiến trình của phần mềm diệt virus và bức tường lửa. Một ví dụ khác là một e-mail giả được gửi cho các người dùng của một công ty đăng ký web site nổi tiếng trên internet, yêu cầu người nhận cung cấp tên, địa GVHD: Ths Đào Thị Phương Thúy 13
  15. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành chỉ và thông tin thẻ tín dụng lấy cớ là cập nhật các bản ghi của công ty. Nhưng mục đích thực của nó là bí mật thu thập dữ liệu về thẻ tín dụng. I.3.9. Quét cổng. Truyền thông bằng giao thức TCP/IP sử dụng các cổng TCP hoặc cổng UDP nếu giao thức UDP được sử dụng cùng với giao thức IP. Cổng TCP hoặc UDP là một con đường để truy nhập hệ thống đích, thông thường nó liên quan đến một dịch vụ, một tiến trình hay một chức năng nhất định. Một cổng tương tự như một mạch ảo kết nối giữa 2 dịch vụ hoặc 2 tiến trình truyền thông với nhau giữa 2 máy tính hoặc 2 thiết bị mạng khác nhau. Các dịch vụ này có thể là FTP, e-mail, Có 65535 cổng trong giao thức TCP và UDP. Ví dụ, dịch vụ DNS chạy trên cổng 53, FTP chạy trên cổng 20. Sau khi một kẻ tấn công đã biết được một hoặc nhiều địa chỉ IP của các hệ thống đang sống (tồn tại) trên mạng, kẻ tấn công sẽ chạy phần mềm quét cổng để tìm ra những cổng quan trọng nào đang mở, những cổng nào chưa được sử dụng. Có 2 phần mềm quét cổng thông dụng đó là Nmap và Strobe. Nmap thường được sử dụng để quét các máy tính chạy hệ điều hành Unix/Linux, ngoài ra còn một phiên bản được sử dụng cho các máy chủ và máy trạm Windows. Một cách để ngăn chặn truy nhập thông qua một cổng mở là dừng các dịch vụ hoặc các tiến trình hệ điều hành không sử dụng hoặc chỉ cấu hình khởi động các dịch vụ một cách thủ công bằng chính hiểu biết của mình. I.3.10. Tấn công không dây. Các mạng không dây thường rất dễ bị tấn công, vì rất khó để biết được người nào đó đã xâm hại đến mạng này. Đôi khi các tấn công trên mạng không dây còn được gọi là war-drives, vì kẻ tấn công có thể lái xe lòng vòng quanh một khu vực, dùng một máy tính xách tay để thu thập các tín hiệu không dây. Tuy GVHD: Ths Đào Thị Phương Thúy 14
  16. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành nhiên, kẻ tấn công cũng có thể làm điều đó bằng cách đi bộ hoặc ở một nơi nào đó với chiếc máy tính xách tay của mình. Hai thành phần quan trọng được sử dụng trong các tấn công không dây là một card mạng không dây và một ăng ten đa hướng, có thể thu tín hiệu từ tất cả các hướng. Một thành phần khác đó là phần mềm war-driving được sử dụng để bắt và chuyển đổi các tín hiệu từ ăng ten qua card mạng không dây. Các tấn công không dây thường được thực hiện bằng cách quét rất nhiều kênh sử dụng cho các truyền thông không dây. I.4. CÁC BIỆN PHÁP PHÁT HIỆN KHI BỊ TẤN CÔNG. Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi một dịch vụ đều có những lỗ hổng bảo mật tiềm tàng. Người quản trị hệ thống không những nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay không. Một số biện pháp cụ thể: − Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treo bằng những thông báo lỗi không rõ ràng. Khó xác định nguyên nhân do thiếu thông tin liên quan. Trước tiên, xác định các nguyên nhân có phải phần cứng hay không, nếu không phải nghĩ đến khả năng máy tính bị tấn công. − Kiểm tra các tài khoản người dùng mới lạ, nhất là các tài khoản có ID bằng không. − Kiểm tra sự xuất hiện của các tập tin lạ. Người quản trị hệ thống nên có thói quen đặt tên tập tin theo mẫu nhất định để dễ dàng phát hiện tập tin lạ. − Kiểm tra thời gian thay đổi trên hệ thống. − Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống. − Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp. − Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụng hợp pháp không kiểm soát được. GVHD: Ths Đào Thị Phương Thúy 15
  17. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành - Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch vụ không cần thiết. - Kiểm tra các phiên bản của sendmail, ftp, tham gia các nhóm tin về bảo mật để có thông tin về lỗ hổng bảo mật của dịch vụ sử dụng. Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống. I.5. CÔNG CỤ AN NINH MẠNG. I.5.1. Thực hiện an ninh mạng từ cổng truy nhập dùng tường lửa. Tường lửa cho phép quản trị mạng điều khiển truy nhập, thực hiện chính sách đồng ý hoặc từ chối dịch vụ và lưu lượng đi vào hoặc đi ra khỏi mạng. Tường lửa có thể được sử dụng để xác thực người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng là người như đã khai báo trước khi cấp quyền truy nhập tài nguyên mạng. Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn, đồng thời tường lửa còn hạn chế lưu lượng và điểu khiển lưu lượng chỉ cho phép chúng đến những nơi chúng được phép đến. I.5.2. Mã hóa thông tin. Mã hóa (Cryptography) là quá trình chuyển đổi thông tin gốc sang dạng mã hóa. Có hai cách tiếp cận để bảo vệ thông tin bằng mật mã: theo đường truyền và từ nút-đến-nút (End-to-End). Trong cách thứ nhất, thông tin được mã hóa để bảo vệ luồng thông giữa hai nút không quan tâm đến nguồn và đích của thông tin đó. Ưu điểm của cách này là có thể bí mật được luồng thông tin giữa nguồn và đích và có thể ngăn chặn được toàn bộ các vi phạm nhằm phân tích thông tin trên mạng. Nhược điểm là vì thông tin chỉ được mã hóa trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt. GVHD: Ths Đào Thị Phương Thúy 16
  18. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Ngược lại, trong cách thứ hai, thông tin được bảo vệ trên toàn đường đi từ nguồn tới đích. Thông tin được mã hóa ngay khi được tạo ra và chỉ được giải mã khi đến đích. Ưu điểm của tiếp cận này là người sử dụng có thể dùng nó mà không ảnh hưởng gì tới người sử dụng khác. Nhược điểm của phương pháp này là chỉ có dữ liệu người sử dụng được mã hóa, còn thông tin điều khiển phải giữ nguyên để có thể xử lý tại các nút. GVHD: Ths Đào Thị Phương Thúy 17
  19. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành CHƯƠNG II: TỔNG QUAN VỀ FIREWALL II.1. LỊCH SỬ RA ĐỜI VÀ PHÁT TRIỂN CỦA CÔNG NGHỆ FIREWALL. Công nghệ Firewall bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên toàn cầu. Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm 1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và NASA Ames." Con virus được biết đến với tên Sâu Morris này đã được phát tán qua thư điện tử và khi đó đã là một sự khó chịu chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng Internet có thể trở lại an toàn. Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọc đầu tiên được biết đến với tên các tường lửa lọc gói tin(packet filtering firewall ). Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật an toàn mạng được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biết đến với tên các tường lửa tầng mạch (circuit level firewall). Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ GVHD: Ths Đào Thị Phương Thúy 18
  20. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiên. Sản phẩm này đã được Digital Equipment Corporation's (DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho một công ty hóa chất tại bờ biển phía Đông của Mỹ. Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc gói tin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến trúc của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette DeSchon tại Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Năm 1994, một công ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. Một thế hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được cải tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng rộng rãi trong cả các hệ thống máy tính gia đình và thương mại. Cisco, một trong những công ty sản xuất thiết bị mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm 1997. Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập. GVHD: Ths Đào Thị Phương Thúy 19
  21. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành II.2. ĐỊNH NGHĨA FIREWALL. Firewall theo tiếng việt có nghĩa là bức tường lửa. Dùng để ngặn chặn và bảo vệ những thông tin và chống việc truy cập bất hợp pháp của các hacker. Firewall là một giải pháp dựa trên phần cứng và phần mềm dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính ra ngoài mạng Internet, rộng hơn là giữa mạng nội bộ và Internet, và giữa các mạng con trong hệ thống mạng nội bộ của công ty. Hình 1.1: Firewall làm màn chắn ngăn cách giữa mạng nội bộ và Internet Có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” của bất kì gói dữ liệu đi vào hoặc đi ra. Nó chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ .Vì vậy mà Firewall rất cần thiết cho việc đảm bảo an toàn trên hệ thống mạng GVHD: Ths Đào Thị Phương Thúy 20
  22. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành II.3. NHIỆM VỤ CHÍNH CỦA FIREWALL. Firewall hỗ trợ máy tính kiểm soát luồng thông tin giữa Intranet và Internet, Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài, những người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới hạn truy cập những dịch vụ bên ngoài của những người bên trong hệ thống. Sau đây là một số nhiệm vụ chính của Firewall: • Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ. • Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong. • Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài. • Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép). • Kiểm soát truy cập của người dùng. • Quản lý và kiểm soát luồng dữ liệu trên mạng. • Xác thực quyền truy cập. • Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng. • Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay các cổng), giao thức mạng. • Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống mạng. • Firewall hoạt động như một Proxy trung gian. • Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật. • Cân bằng tải: bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều. GVHD: Ths Đào Thị Phương Thúy 21
  23. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành • Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn muốn. Ví dụ như: Facebook, Messenger, Skype, Zalo II.4. CÁC KIẾN TRÚC FIREWALL CƠ BẢN. Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall thì điều đó có nghĩa rằng firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DSN, SMNP, NFS, ) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể được định tuyến, nhận dạng và tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Ngày nay Firewall được xây dựng dựa trên cơ sở bộ lọc gói (packet filter), trên cổng ứng dụng (Application gateway), kĩ thuật giám sát trạng thái (Stateful inspecting) và một số firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự). Trong phần này sẽ trình bày 3 kiến trúc firewall cơ bản dựa theo sư phân loại đó. II.4.1. Packet Filtering – Bộ lọc gói tin. Bộ lọc gói tin cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các số các luật hay không. Các luật này dựa trên các thông tin ở packet header (tiêu đề gói tin) bao gồm các thông tin sau: − Địa chỉ IP nguồn (IP Source Address). − Địa chỉ IP đích (IP Destination Address). − Protocol (TCP, UDP, ICMP, IP tunnel) − TCP/UDP source port − TCP/UDP destination port GVHD: Ths Đào Thị Phương Thúy 22
  24. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành − Dạng thông báo ICMP (ICMP message type) − Cổng gói tin đến (Incomming interface of packet) − Cổng gói tin đi (Outcomming interface of packet) Hình 1.2: Packet Filtering Nếu các luật lọc gói được thỏa mãn thì packet được chuyển qua firewall, nếu không packet sẽ bị bỏ đi. Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó hoặc những dịch vụ nào đó (SSH, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ. Ưu điểm: − Đa số các hệ thống firewall đều được sử dụng bộ lọc gói tin. Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã có sẵn trong các router. − Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng vì vậy nó không yêu cầu người sử dụng phải thao tác gì cả. Nhược điểm: − Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet, GVHD: Ths Đào Thị Phương Thúy 23
  25. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành các dạng packet header. Khi yêu cầu về lọc gói tin càng lớn, các rules càng trở nên phức tạp do đó rất khó quản lý và điều khiển. − Do làm việc dựa trên header của các packet nên bộ lọc không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. II.4.2. Application Gateway – Cổng ứng dụng. Đây là một loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là proxy service. Proxy service là các bộ code đặc biệt cài đặt trên cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy service cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị cho là chấp nhận được trong khi từ chối những đặc điểm khác. Hình 1.3: Application Gateway Một cổng ứng dụng thường được coi như là một Bastion Host (máy chủ) bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. GVHD: Ths Đào Thị Phương Thúy 24
  26. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Những biện pháp đảm bảo an ninh của một Bastion Host (máy chủ) là: − Bastion Host (máy chủ) luôn chạy các phiên bản an toàn (secure version) của các phần mềm hệ điều hành (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành (Operating system) cũng như là đảm bảo sự tích hợp firewall. − Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên máy chủ, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ telnet, DNS, FTP, SMTP và xác thực tài khoản người dùng là được cài đặt trên máy chủ. − Máy chủ có thể yêu cầu nhiều mức độ khác nhau ví dụ như tài khoản và mật khẩu hay thẻ thông minh (thẻ từ). − Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. − Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của dữ liệu mạng đi qua nó. Điều này có nghĩ là bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. − Mỗi proxy đều độc lập với các proxy khác trên Bastion Host (máy chủ). Điều này cho phép dễ dàng cài đặt một proxy mới hay tháo gỡ một proxy. GVHD: Ths Đào Thị Phương Thúy 25
  27. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Ưu điểm: − Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy cá nhân nào có thể truy cập bởi các dịch vụ. − Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi chép lại thông tin về truy cập hệ thống. − Các tập luật lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói. Nhược điểm: − Cần phải có sự cấu hình trên máy user để user truy cập vào các dịch vụ proxy. Ví dụ telnet. II.4.3. Circuit Level Gate – Cổng mạch. Circuit Level Gateway là một chức năng đặc biệt có thể thực hiện bởi một cổng ứng dụng. Cổng mạch đơn giản chỉ là chuyển tiếp các kết nối TCP mà không thực hiện bất kì một hành động xử lý hay lọc gói nào. Hình sau minh họa một hành động sử dụng kết nối telnet qua cổng mạch. Cổng mạch đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục telnet nào. Cổng mạch làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong và các kết nối bên ngoài. Tuy nhiên vì sự kết nối này xuất hiện từ hệ thống firewall nên nó che dấu thông tin về mạng nội bộ GVHD: Ths Đào Thị Phương Thúy 26
  28. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 1.4: Circuit Level Gateway Cổng vòng thường được sử dụng cho những kết nối ra ngoài. Ưu điểm lớn nhất là một Bastion Host (máy chủ) có thể được cấu hình để cung cấp cổng ứng dụng cho những kết nối đến và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống firewall dễ dàng sử dụng cho người dùng trong mạng nội bộ muốn trực tiếp truy cập tới các dịch vụ internet, trong khi vẫn cung cấp chức năng bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. II.4.4. FIREWALL PHÁO ĐÀI PHÒNG NGỰ (BASTION HOST FIREWALL) Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào. Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công nhất. Có hai dạng của máy phòng thủ: Hình 1.5: Pháo đài phòng ngự GVHD: Ths Đào Thị Phương Thúy 27
  29. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành 1. Dạng thứ nhất là máy phòng thủ có hai card mạng. Trong đó có một nối với hệ thống bên trong ( mạng nội bộ ) và card còn lại nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụng bên trong phải kết nối với tường lửa trước khi làm việc với mạng bên ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài. 2. Dạng thứ hai là máy phòng thủ có một card mạng. Nó được nối trực tiếp đến một hệ riêng biệt trên mạng – proxy server hay gateway mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này. Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập. II.5. KĨ THUẬT KIỂM TRA TRẠNG THÁI (Stateful packet filtering) Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thông tin trong một lượng lớn các gói dữ liệu. Ngoài ra, phải cài đặt từng proxy cho mỗi ứng dụng. Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí. Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết. Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích. Cách “nhớ” này được gọi là lưu trạng thái. Khi hệ thống bên ngoài phản hồi yêu cầu của bạn, firewall server so sánh các gói nhận được với trạng thái đã lưu để xác định chúng được phép vào hay không. GVHD: Ths Đào Thị Phương Thúy 28
  30. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đi vào hay đi ra khỏi mạng thì thông tin được đưa vào 1 bảng gọi là bảng “stateful session flow table”. Bảng này còn được gọi là bảng trạng thái, nó bao gồm những thông tin về địa chỉ nguồn, địa chỉ đích, địa chỉ cổng, thông tin về số hiệu gói tin TCP và cờ dấu thêm vào mỗi kết nối TCP hay UDP, các kết nối này đều liên kết với 1 phiên nào đó. Thông tin này tạo ra các đối tượng kết nối và do đó các gói tin đi vào hoặc đi ra được so sánh với các phiên trong “bảng phiên có trạng thái”. Dữ liệu chỉ được phép đi qua firewall nếu đã tồn tại một kết nối tương ứng xác nhận sự luân chuyển đó. II.6. PHÂN LOẠI. II.6.1 Phân loại theo tầng giao thức. ➢ Packet-filtering router (Tường lửa lọc gói tin) Packet-filtering router áp dụng một bộ quy tắc để mỗi gói tin IP vào và ra và sau đó là chuyển tiếp hay loại bỏ gói tin. Router thường được cấu hình để lọc các gói tin theo cả hai hướng (từ trong và ngoài vào mạng nội bộ). Quy tắc lọc dựa trên các thông tin chứa trong một gói tin mạng (packet): - Địa chỉ IP nguồn (Source IP address): Địa chỉ IP của hệ thống là nguồn gốc của các gói tin (sender). Ví dụ: 192.178.1.1 - Địa chỉ IP đích (Destination IP address): Địa chỉ IP của hệ thống mà gói tin IP đang cần được chuyển tới. Ví dụ 192.168.1.2 - Địa chỉ nguồn và đích của tầng giao vận: gói tin là TCP hay UDP, port number, xác định các ứng dụng như SNMP hay TELNET. - IP protocol field: Xác định giao thức vận chuyển. - Interface: Đối với một router có nhiều port, các gói tin sẽ đến từ interface nào và đi đến interface nào. GVHD: Ths Đào Thị Phương Thúy 29
  31. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Packet-filtering thường được thiết lập là một danh sách các quy tắc dựa trên phù hợp cho các trường trong IP header hoặc TCP header. Nếu có tương ứng với một trong các quy tắc, quy tắc này sẽ được gọi để xác định xem sẽ chuyển tiếp hay loại bỏ các gói tin. Nếu không phù hợp với bất kỳ một quy tắc nào thì hành động mặc định sẽ được thực hiện. Hai hành động được mặc định đó là: Default = discard: gói tin sẽ bị cấm và bị loại bỏ. Default = forward: gói tin được cho phép đi qua. Tuy nhiên, default discard thường được dùng hơn. Vì như vậy, ban đầu, mọi thứ đều bị chặn và các dịch vụ phải được thêm vào trong từng trường hợp cụ thể. Chính sách này rõ ràng hơn cho người dùng, những người mà không am hiểu nhiều lắm về firewall. Còn cách thứ hai thì liên quan đến vấn đề bảo mật nhiều hơn, đòi hỏi người quản trị phải thường xuyên kiểm tra để có phản ứng với những kiểu đe dọa mới. ➢ Application-Level Gateway Application-Level Gateway, còn được gọi là một proxy server, hoạt động như một trạm chuyển tiếp của các lưu lượng lớp ứng dụng. Người sử dụng sẽ liên lạc với gateway sử dụng các ứng dụng TCP/IP như TELNET hay FTP và gateway sẽ hỏi user name của máy chủ từ xa sẽ được truy cập. Khi user đáp lại và cung cấp một ID người dùng hợp lệ và xác thực thông tin, gateway sẽ liên lạc đến cổng ứng dụng tương ứng trên máy chủ từ xa và chuyển tiếp các đoạn TCP chứa các dữ liệu giữa hai thiết bị đầu cuối này. Nếu các cổng không thực hiện các proxy code cho một ứng dụng cụ thể, dịch vụ không được hỗ trợ và không thể được chuyển tiếp qua tường lửa. Hơn nữa, gateway có thể được cấu hình để chỉ hỗ trợ tính năng cụ thể của một ứng dụng mà người quản trị xem xét chấp nhận được trong khi từ chối tất cả các tính năng khác. Application-Level gateway có xu hướng an toàn hơn packet-filtering router. Thay vì cố gắng để đối phó với hàng loạt kết hợp có thể có từ việc cấm và cho phép ở tầng TCP/IP, application-level gateway chỉ cần rà soát lại một GVHD: Ths Đào Thị Phương Thúy 30
  32. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành vài ứng dụng cho phép. Ngoài ra, nó rất dễ dàng cho ghi lại và theo dõi tất cả các lưu lượng đến ở tầng ứng dụng. Một nhược điểm chính của loại này là chi phí xử lý bổ sung trên mỗi kết nối. Trong thực tế, có hai kết nối ghép giữa các người dùng đầu cuối, với các cổng ở điểm kết nối và gateway phải kiểm tra lưu lượng trên cả hai chiều. ➢ Circuit-Level Gateway (Tường lửa cổng mạch) Dạng thứ 3 của firewall đó là Circuit-level gateway. Nó có thể là một hệ thống độc lập hoặc có thể là một hoạt động chuyên biệt được thực hiện bởi một application-level gateway cho các ứng dụng nhất định. Circuit-level gateway không cho phép một kết nối TCP end-to-end mà thay vào đó, gateway sẽ thiết lập hai kết nối TCP, một là giữa nó và TCP user bên trong và một giữa nó và TCP user bên ngoài. Khi hai kết nối này được thiết lập, gateway sẽ chuyển tiếp các TCP segment từ đầu cuối này đến đầu cuối khác mà không kiểm tra nội dung các segment này. Các chức năng bảo mật bao gồm việc xác định cho phép kết nối. Một điển hình của Circuit-level gateway là một tình huống mà trong đó người quản trị hệ thống tin tưởng các user nội bộ. Gateway có thể được cấu hình để hỗ trợ application-level hay dịch vụ proxy cho các kết nối bên trong và chức năng circuit-level cho các kết nối bên ngoài. Trong trường hợp này, gateway có thể phải chịu các chi phí kiểm tra các incoming data cho các chức năng bị cấm nhưng không chịu chi phí của outgoing data. II.6.2. Phân loại theo đối tượng sử dụng. Firewall có thể được phân loại theo hai loại sau: + Personal firewall + Network firewall Sự khác biệt chính giữa hai loại trên chính là số lượng host được firewall bảo vệ. Trong khi Personal firewall chỉ bảo vệ cho một máy duy nhất thì Network firewall lại bảo vệ cho một hệ thống mạng. GVHD: Ths Đào Thị Phương Thúy 31
  33. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành ➢ Personal Firewall (Tường lửa cá nhân) Personal firewall được thiết kế để bảo vệ một máy trước những truy cập trái phép. Trong quá trình phát triển, personal firewall đã được tích hợp thêm nhiều chức năng bổ sung như theo dõi phần mềm chống virus, phần mềm phát hiện xâm nhập để bảo vệ thiết bị. Một số personal firewall phổ biến như Cisco Security Agent, Microsoft Internet connection firewall, Symantec personal firewall Personal firewall rất hữu ích đối với người dùng gia đình và cá nhân bởi vì họ đơn giản chỉ cần bảo vệ từng máy tính riêng rẻ của họ nhưng đối với doanh nghiệp điều này lại gây bất tiện, khi số lượng host quá lớn thì chi phí cho việc thiết lập, cấu hình và vận hành personal firewall là một điều cần phải xem xét. ➢ Network firewall (Tường lửa mạng) Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn công. Một số ví dụ về appliance-based network firewall như Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall. Và một số ví dụ về software-based firewall bao gồm Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables. Cùng với sự phát triển của công nghệ, firewall dần được tích hợp nhiều tính năng mới như phát hiện xâm nhập, thiết lập kết nối VPN cũng như nhiều sản phẩm firewall mới ra đời. II.6.3. Phân loại theo công nghệ tường lửa. Dựa vào công nghệ sử dụng trong firewall người ta chia firewall thành các loại như sau: Personal firewall Packet filter Network Address Translations (NAT) firewall Circuit-level firewall GVHD: Ths Đào Thị Phương Thúy 32
  34. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Proxy firewall Stateful firewall Transparent firewall Virtual firewall. ➢ Personal firewall: Được thiết kế để bảo vệ một host duy nhất, thường được tích hợp sẵn trong các laptop, desktop ➢ Packet filter: Là thiết bị được thiết kế để lọc gói tin dựa trên những đặc điểm đơn giản của gói tin. Packet filter tiêu biểu cho dạng staless vì nó không giữ bảng trạng thái các kết nối và không kiểm tra trạng thái các kết nối. Hình 1.6 : Simple Access List Sample Network ➢ Network Address Translations (NAT) firewall Thực hiện chức năng chuyển đổi địa chỉ IP public thành địa chỉ IP private và ngược lại, nó cung cấp cơ chế che dấu IP của các host bên trong. Hình 1.7: NAT firewall GVHD: Ths Đào Thị Phương Thúy 33
  35. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành ➢ Circuit-level firewall Hoạt động tại lớp session của mô hình OSI, nó giám sát các gói tin “handshaking” đi qua firewall, gói tin được chỉnh sửa sao cho nó xuất phát từ circuit-level firewall, điều này giúp che dấu thông tin của mạng được bảo vệ. Hình 1.8: Circuit-level firewall ➢ Proxy firewall Hoạt động tại lớp ứng dụng của mô hình OSI, nó đóng vai trò như người trung gian giữa hai thiết bị đầu cuối. Khi người dùng truy cập dịch vụ ngoài Internet, proxy đảm nhận việc yêu cầu thay cho client và nhận trả lời từ server Hình 1.9: Proxy firewall trên Internet và trả lời lại cho người dùng bên trong. GVHD: Ths Đào Thị Phương Thúy 34
  36. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành ➢ Stateful firewall Được kết hợp với các firewall khác như NAT firewall, circuit-level firewall, proxy firewall thành một hệ thống firewall, nó không những kiểm tra các đặc điểm của gói tin mà lưu giữ và kiểm tra trạng thái của các gói tin đi qua firewall, một ví dụ cho stateful firewall Hình 1.10: Stateful firewall là sản phẩm PIX firewall của Cisco. ➢ Transparent firewall Hoạt động ở layer 2 của mô hình OSI, nó hỗ trợ khả năng lọc các gói tin IP (bao gồm IP, TCP, UDP và ICMP). Transparent firewall thực chất chỉ là tính năng layer 2 brigde kết hợp với tính năng filter trên nền IP bằng cách sử dụng tính năng Context Based Access Control. Vì nó hoạt động ở layer 2 nên ta không cần cấu hình IP cũng như thay đổi IP của các thiết bị được nó bảo vệ. ➢ Virtual firewall Bao gồm nhiều logical firewall hoạt động trên một thiết bị thật. Một trong những ứng dụng của nó hiện nay là dùng trong việc quản lý các máy ảo trong VMWare hay Hyper-V. GVHD: Ths Đào Thị Phương Thúy 35
  37. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành II.7. NHỮNG NHƯỢC ĐIỂM VÀ HẠN CHẾ FIREWALL. Không cái gì là toàn diện cả, tuy Firewall cung cấp nhiều tính năng hữu ích để bảo vệ người dùng, song nó vẫn có những nhược điểm như: + Firewall không thể bảo vệ các mối nguy hiểm từ bên trong nội bộ. Tác hại thì khỏi cần nói các bạn cũng đã biết, nếu một ai trong công ty có ý đồ xấu, muốn phá hoại thì Firewall cũng đành bó tay. + Firewall không có đủ thông minh để có thể đọc và hiểu từng loại thông tin và tất nhiên là nó không thể biết được đâu là nội dung tốt và đâu là nội dung xấu. Mà đơn thuần Firewall chỉ hỗ trợ chúng ta ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. + Firewall không thể ngăn chặn các cuộc tấn công nếu như cuộc tấn công đó không “đi qua” nó. Ví dụ cụ thể đó là Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc là sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp ra đĩa mềm. + Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số ứng dụng hay phần mềm được chuyển qua thư điện tử (ví dụ như Gmail, Yahoo mail ), nó có thể vượt qua Firewall vào trong mạng được bảo vệ. + Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu để có thể thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, chúng ta không thể phủ nhận một điều rằng Firewall vẫn là giải pháp hữu hiệu được áp dụng khá rộng rãi hiện nay. GVHD: Ths Đào Thị Phương Thúy 36
  38. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành CHƯƠNG III: CÁC HỆ THỐNG TƯỜNG LỬA HIỆN NAY III.1. Software Firewalls Là các ứng dụng chạy trên các hệ điều hành như Microsoft Window hay Mac/OS , đối với window XP đã được tích hợp sẵn. Firewall phần mềm thường không đắt tiền bằng phần cứng thậm chí còn được cho sử dụng miễn phí, so với Firewall phần cứng thì Firewall phần mềm linh động hơn nó có thể chạy tốt trên nhiều hệ điều hành khác nhau. Một trong những Firewall phần mềm phổ biến là Zonealarm, ISA, Checkpoint Hình 2.1: Firewall được cài đặt trên Server + Ưu điểm: • Firewall mềm thường đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS server hay một DHCP server. • Việc thay đổi và nâng cấp thiết bị phần cứng là tương đối dễ dàng và nhanh chóng. + Nhược điểm: • Firewall mềm được cài đặt trên một hệ điều hành do đó không thể loại trừ khả năng có lỗ hổng trên hệ điều hành đó được. Khi lỗ hổng được phát hiện và bạn thực hiện cập nhật bản vá lỗi cho hệ điều hành đó thì bạn nên nâng cấp bản vá cho Firewall luôn, nếu không rất có thể Firewall sẽ hoạt động không ổn định. • Firewall mềm thường có hiệu suất thấp hơn Firewall cứng. GVHD: Ths Đào Thị Phương Thúy 37
  39. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành III.2. Appliance Firewalls Là các thiết bị phần cứng chuyên dụng có chức năng và mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn do không chiếm dụng tài nguyên hệ thống như Firewall phần mềm. Một trong những hãng chuyên cung cấp Firewall phần cứng là Linkksys và NetGar. Các sản phẩm firewall cứng được sử dụng rộng rãi hiện nay là dòng ASA, PIX của Cisco System và Netscreen của Juniper. Hình 2.2: Firewall được tích hợp trên Router GVHD: Ths Đào Thị Phương Thúy 38
  40. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành + Ưu điểm: • Cung cấp hiệu suất tổng thể tốt hơn so với Firewall mềm vì hệ điều hành của firewall cứng được thiết kế để tối ưu cho firewall. • Tính bảo mật cao hơn và tổng chi phí thấp hơn so với Firewall mềm. + Nhược điểm: • Nó không được linh hoạt như Firewall mềm. Bạn sẽ không thể nào mà tích hợp thêm các chức năng và quy tắc như trên firewall mềm được. Ví dụ như chức năng kiểm soát thư rác đối với firewall mềm thì bạn chỉ cần cài đặt chức năng này như một ứng dụng, nhưng đối với Firewall cứng thì đòi hỏi bạn phải có thiết bị phần cứng hỗ trợ cho chức năng này. III.3. Integrated firewalls Hay còn gọi là Firewall tích hợp. Ngoài chức năng cơ bản của Firewall ra thì nó còn đảm nhận các chức năng khác ví dụ như VPN, phát hiện và chống xâm nhập từ bên ngoài, lọc thư rác, chống lại virus + Ưu điểm: • Sử dụng Firewall tích hợp là đơn giản hóa thiết kế mạng bằng cách giảm lượng thiết bị mạng cũng như giảm chi phí quản lý, giảm gánh nặng cho các chuyên viên quản trị, ngoài ra nó còn tiết kiệm chi phí hơn so với việc dùng nhiều thiết bị cho nhiều mục đích khác nhau. + Nhược điểm: • Ưu điểm thì là như vậy, tuy nhiên việc tích hợp nhiều chức năng trên cùng một thiết bị sẽ dẫn đến việc khó khăn hơn trong khắc phục sự cố. III.4. So sánh các hệ thống tường lửa phổ biến Sự khác biệt giữa tường lửa phần mềm và phần cứng là rất lớn và việc bảo vệ tốt nhất cho máy tính và mạng máy tính của bạn là sử dụng cả hai vì mỗi tính năng và lợi ích bảo mật khác nhau nhưng rất cần thiết. Cập nhật tường lửa firewall và hệ điều hành của bạn là điều cần thiết để duy trì sự bảo vệ tối ưu, GVHD: Ths Đào Thị Phương Thúy 39
  41. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành cũng như kiểm tra tường lửa của bạn để đảm bảo nó được kết nối và hoạt động chính xác. Firewall cứng Firewall mềm Chuyên dụng cho công việc, có thể cho Chi phí thấp hơn. hiệu suất tốt hơn Phần mềm và phần cứng được kiểm tra Khả năng tùy chỉnh theo yêu cầu, hoặc tốt để làm việc với nhau bạn có thể có trên máy ảo. ASIC (Mạch tích hợp ứng dụng cụ thể) Nếu bạn chọn phần mềm phù hợp, bạn có thể tăng tốc các chức năng cụ thể có thể nhận được một danh sách các của Firewall / IDS (Hệ thống phát hiện tính năng tuyệt vời. xâm nhập) / IPS (Hệ thống ngăn chặn xâm nhập). Điều này có thể rất thuận lợi cho một thiết bị mạng nội tuyến vì nó không giới thiệu độ trễ tăng lên Trả thêm phí cho mỗi đối tượng địa lý, Một số tường lửa “tích hợp” sử dụng một số có thể độc quyền cho người phần mềm mã nguồn mở có thể cung khác cấp các tính năng đáng kinh ngạc có thể không được cung cấp bởi tường lửa thương mại (chúng không có bảo đảm) Bảo trì thấp trong những năm đầu Chi phí cấu hình / tùy chỉnh ban đầu cao Cao về đầu tư ban đầu Đầu tư ban đầu thấp GVHD: Ths Đào Thị Phương Thúy 40
  42. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành CHƯƠNG IV: THIẾT KẾ XÂY DỰNG MÔ PHỎNG MỘT HỆ THỐNG FIREWALL IV.1. Firewall PFSENSE IV.1.1. Giới thiệu PFSENSE. PfSense là một ứng dụng có chức năng định tuyến và tường lửa mạnh và miễn phí, ứng dụng này sẽ cho phép người dùng mở rộng mạng của mình mà không bị thỏa hiệp về sự bảo mật. Bắt đầu vào năm 2004, khi monowall mới bắt đầu chập chững – đây là một dự án bảo mật tập trung vào các hệ thống nhúng – pfSense đã có hơn 1 triệu download và được sử dụng để bảo vệ các mạng ở tất cả kích cỡ, từ các mạng gia đình đến các mạng lớn của các công ty. Ứng dụng này có một cộng đồng phát triển rất tích cực và nhiều tính năng đang được bổ sung trong mỗi phát hành nhằm cải thiện hơn nữa tính bảo mật, sự ổn định và khả năng linh hoạt của nó. Pfsense bao gồm nhiều tính năng mà người dùng vẫn thấy trên các thiết bị tường lửa hoặc router thương mại, chẳng hạn như GUI trên nền Web tạo sự quản lý một cách dễ dàng. pfSense được dựa trên FreeBSD và giao thức Common Address Redundancy Protocol (CARP) của FreeBSD, cung cấp khả năng dự phòng bằng cách cho phép các quản trị viên nhóm hai hoặc nhiều tường lửa vào một nhóm tự động chuyển đổi dự phòng. Vì nó hỗ trợ nhiều kết nối mạng diện rộng (WAN) nên có thể thực hiện việc cân bằng tải Đặc điểm khá quan trọng là cấu hình để cài đặt sử dụng phần mềm Pfsense không đòi hỏi cao. Chúng ta chỉ cần một máy tính Ram 128MB, HDD 1GB cũng đủ để dựng được tường lửa Pfsense. Tuy nhiên đặc thù Pfsense là tường lửa ngăn các nguy hại giữa mạng WAN và mạng LAN nên máy cài đặt Pfsense yêu cầu tối thiểu 2 card mạng. GVHD: Ths Đào Thị Phương Thúy 41
  43. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành IV.1.2. Một số chức năng chính của FireWall PFSense. Aliases Với tính năng này chúng ta có thể gom nhóm các ports, host hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập những quy tắc được dễ dàng và nhanh chóng hơn. Để vào Aliases của pfSense, ta vào Firewall => Aliases. Hình 3.1: Thiết lập Firewall: Aliases Các thành phần trong Aliases: − Host: tạo nhóm các địa chỉ IP. − Network: tạo nhóm các mạng. − Port: cho phép gom nhóm các port nhưng không cho phép tạo nhóm các protocol. Các protocol được sử dụng trong các rule. Rules Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfSense, ta vào Firewall => Rules GVHD: Ths Đào Thị Phương Thúy 42
  44. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.2: Chức năng Firewall: Rules Mặc định pfSense cho phép mọi lưu lượng truy cập ra/vào hệ thống. Người quản trị phải tạo các rules để quản lý mạng bên trong Firewall. Một số lựa chọn trong Destination và Source : − Any: Tất cả − Single host or alias: Một địa chỉ ip hoặc là một bí danh. − Lan subnet: Đường mạng Lan − Network: địa chỉ mạng − Lan address: Tất cả địa chỉ mạng nội bộ − Wan address: Tất cả địa chỉ mạng bên ngoài − PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPTP. − PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE. Schedule Các Firewall rules có thể được sắp xếp để nó chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần. Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh nghiệp muốn quản lí nhân viên sử dụng internet trong giờ hành chính. Đề tạo một Schedules mới, ta vào Firewall => Schedules => Nhấn dấu + GVHD: Ths Đào Thị Phương Thúy 43
  45. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Ví dụ : Hình 3.3: Thiết lập chức năng Firewall Schedules IV.1.3. Lợi ích mà pfSense đem tới. Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfSense. Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, đã tối ưu hóa mã nguồn và cả hệ điều hành. Cũng chính vì thế, pfSense không cần nền tảng phần cứng mạnh. Nếu doanh nghiệp không có đường truyền tốc độ cao, tường lửa pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí triển khai, đồng thời tạo nên sự linh hoạt, tính mở rộng/sẵn sàng chưa từng có, khi doanh nghiệp muốn có nhiều hơn một tường lửa. GVHD: Ths Đào Thị Phương Thúy 44
  46. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.4: Những lợi ích pfsense IV.1.4. Cài đặt PfSense trên máy ảo Đầu tiên chuẩn bị để cài PfSense cần phải chuẩn bị: Dowload và cài đặt Vmware Workstation 12 tại địa chỉ: +12.rar Tải pfsense.iso tại Tiến hành cài đặt Thiết lập lại “Virtual Network Editor” bằng cách chọn “Edit -> Virtual Network Editor” Hình 3.5: Cài đặt ban đầu GVHD: Ths Đào Thị Phương Thúy 45
  47. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành + Thêm Vmnet0 và thiết lập ở chế độ “Bridged” với card mạng “Wireless” của laptop thật. + Chỉnh lại Vmnet1 thiết lập ở chế độ “NAT”. Hình 3.7: Thiết lập card Vmnet1 Tạo 1 máy ảo mới ( New Virtual Machine Wizard (Ctrl+N) ). Chọn “Typical” => “Next”. Hình 3.8: Tạo máy ảo Pfsense GVHD: Ths Đào Thị Phương Thúy 46
  48. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Chọn “Add” và thêm 2 card mạng “Vmnet0”, “Vmnet1’’ cho máy ảo pfSense => chọn “Close” Hình 3.9: Thêm card mạng cho Pfsense GVHD: Ths Đào Thị Phương Thúy 47
  49. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Chọn “Finished” để kết thúc quá trình cài đặt pfSense Hình 3.10: Kết thúc cài đặt cơ bản Pfsense sẽ tự chọn mode khởi động Hình 3.11: Giao diện khởi động GVHD: Ths Đào Thị Phương Thúy 48
  50. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Bấm OK để Install pfSense Hình 3.12: Cài đặt PFSENSE Chọn Select Hình 3.13: Chọn kiểu bàn phím Bước tiếp theo bấm OK để pfSense cài đặt : Hình 3.14 Quá trình cài đặt GVHD: Ths Đào Thị Phương Thúy 49
  51. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Chọn No Hình 3.15: Xác nhận cài đặt Cuối cùng chọn Reboot Hình 3.16: Khởi động máy chủ GVHD: Ths Đào Thị Phương Thúy 50
  52. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành IV.2. THỰC NGHIỆM FIREWALL TRÊN PFSENSE IV.2.1. Phát biểu bài toán. Hiện nay các doanh nghiệp vừa và nhỏ được thành lập rất nhiều để giúp nền kinh tế nước nhà phát triển. Doanh nghiệp phát triển kéo theo nhu cầu về công nghệ phát triển rất mạnh, kéo theo đó là nhu cầu về an ninh mạng càng được thúc đẩy. Bài toán đặt ra là doanh nghiệp vừa và nhỏ kinh tế còn rất hạn chế, quản trị không tốt dẫn đến người dùng có thể truy cập tới bất cứ trang web nào, hoặc nhân viên sử dụng mạng nội bộ mạng của công ty xem phim, nghe nhạc, chơi game. Hệ quả để lại có thể dẫn đến năng suất làm việc không hiệu quả. Giải quyết vấn đề trên đồ án đã sử dụng Squid & SquidGuard trên Pfsense. Với mô hình này giải quyết được tất cả những vấn đề nêu trên và đặc biệt giảm chi phí một cách tối đa cho doanh nghiệp. IV.2.2. Mô hình thực nghiệm. Mô hình được triển khai gồm có một Firewall Pfsense sử dụng card Vmnet0 được kết nối với card vật lí của máy tính đóng vai trò là card WAN và card Vmnet1 đóng vai trò là card LAN. Pfsense được cấu hình dịch vụ Squid Proxy để xử lí lọc, ngăn chặn các website dựa theo danh sách tên miền người quản trị đã thống kế. Một máy tính Win7 đóng vai trò làm client trên Pfsense. Hình 3.17: Mô hình triển khai GVHD: Ths Đào Thị Phương Thúy 51
  53. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành IV.3. Cấu hình Pfsense ❖ Phần cứng yêu cầu : * CPU Pentium II trở lên * Ram: 256MB * 2 Card mạng gồm: Lan và WAN Lưu ý: Vì Pfsense yêu cầu bắt buộc phải sử dụng 2 Card mạng, một dùng cho Wan và một dùng cho Lan. IV.3.1.Cấu hình cơ bản Pfsense. Sau khi khởi động lại pfSense. Tại mục menu chọn “Enter an option: 2” để thiết lập IP address cho interface LAN. Hình 3.18: Thiết lập IP Chọn “2 – LAN interface” => thiết lập ip address: 192.168.208.2 =>subnetmask: 24 => và Click Enter GVHD: Ths Đào Thị Phương Thúy 52
  54. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.19: Đặt địa chỉ và subnetmask Phần IPv6 “Click Enter ” để bỏ qua => Chọn “n” không thiết lập DHCP cho LAN => Chọn “y” ( revert to HTTP) => Sau đó truy cập pfSense tại địa chỉ Hình 3.20: Thiết lập DHCP GVHD: Ths Đào Thị Phương Thúy 53
  55. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Truy cập pfSense trên trình duyệt web Đăng nhập với username: admin & password: pfsense. Hình 3.21: Cấu hình trên giao diện Bước 1: Bấm Next Hình 3.22: Bắt đầu cấu hình trên Web GVHD: Ths Đào Thị Phương Thúy 54
  56. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Bước 2: Khai báo Hostname, domain rồi bấm Next Hình 3.23: Khai báo thông số cơ bản Bước 3: chọn Time Zone GMT+7 bấm Next Hình 3.24: Cấu hình múi giờ GVHD: Ths Đào Thị Phương Thúy 55
  57. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Bước 4: Cấu hình WAN interface Tại bước này pfsense cung cấp nhiều phương thức cấu hình mạng WAN khác nhau – static / dhcp / pppoe. Hình 3.25: Cấu hình card WAN Bước 5: cấu hình cổng LAN – IP là 192.168.208.5 Hình 3.26: Cấu hình Card LAN GVHD: Ths Đào Thị Phương Thúy 56
  58. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Bước 6: Thay đổi mật khẩu tài khoản admin Hình 3.27: Đặt lại mật khẩu Bước 7: bấm Reload Hình 3.28: Xác nhận cấu hình GVHD: Ths Đào Thị Phương Thúy 57
  59. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Bước cuối: sau khi Reload xong sẽ vào giao diện Dashboard của Pfsense Hình 3.29: Kết quả cấu hình IV.3.2. Cấu hình Squid và SquidGuard trên Pfsense * Đảm bảo Pfsense kết nối được tới internet * Cài Squid và SquidGuard trên Pfsense Chọn “System > Package Manager > chọn Tab Available Packages”, gõ “squid” vào ô tìm kiếm > Nhấn “Install” để cài đặt “squid & squidGuard”. GVHD: Ths Đào Thị Phương Thúy 58
  60. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.30: Cài đặt Squid và SquidGuard Cấu hình Squid Proxy Bước1: Cấu hình Local Cache. Vào “Services”>Squid Proxy Server>Local Cache. Mục Cache Replacement: Heap LFUDA, Hard Disk Cache Size: 2048, Maximum Object Size: 512, Memory Cache size: 512 > Click “Save” để lưu cấu hình. Hình 3.31: Cấu hình Squid Proxy GVHD: Ths Đào Thị Phương Thúy 59
  61. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.32: Cấu hình Squid Proxy Bước 2: cấu hình tích hợp antivirus. Chọn “Services > Squid Proxy >Antivirus Tab”. Tích vào “Enable Squid antivirus check using ClamAV”, Tích “Enable Google Safe Browsing support“, “ClamAV Database Update : every 1 hour” => Click “Save” để lưu cấu hình. GVHD: Ths Đào Thị Phương Thúy 60
  62. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.33: Cấu hình diệt virus Bước 3: Enable Squid Proxy. Chọn “Services > Squid Proxy > General Tab” .Tích vào “Check to enable the Squid Proxy”, Proxy interface(s): LAN, Tích vào “Allow Users on Interface“, Tích vào “Transparent HTTP Proxy“, Transparent Proxy Interface(s): LAN, Tích “Enable Access Logging“, Log Store Directory: /var/squid/logs -> Click “Save” để lưu cấu hình. GVHD: Ths Đào Thị Phương Thúy 61
  63. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.34: Cấu hình diệt virus Bước 4: Enable Squid Proxy. Chọn “Services > Squid Proxy > General Tab” .Tích vào “Check to enable the Squid Proxy”, Proxy interface(s): LAN, Tích vào “Allow Users on Interface“, Tích vào “Transparent HTTP Proxy“, Transparent Proxy Interface(s): LAN, Tích “Enable Access Logging“, Log Store Directory: /var/squid/logs -> Click “Save” để lưu cấu hình. GVHD: Ths Đào Thị Phương Thúy 62
  64. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.35: Kích hoạt dịch vụ Squid Proxy GVHD: Ths Đào Thị Phương Thúy 63
  65. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.36: Kích hoạt quét port 80 Cấu hình SquidGuard Truy cấp Services > SquidGuard Proxy Filter > General Setting bật Enable > Apply GVHD: Ths Đào Thị Phương Thúy 64
  66. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.37: Kích hoạt SquidGuard Enable BlackList và nhập địa chỉ: http: //www.shallalist.de /Downloads /shallalist.tar.gz vào ô Blacklist URL. Đây là địa update cái list web khiêu dâm, bạo lực, nhạc, dowload . Hình 3.38: Nhập địa chỉ đường dẫn GVHD: Ths Đào Thị Phương Thúy 65
  67. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Tiếp theo Services => SquidGuard Proxy Filter => Target categories > ADD. Tại đây thêm tên miền muốn chặn. Hình 3.39: Thêm web chặn Hình 3.40: Kết thúc GVHD: Ths Đào Thị Phương Thúy 66
  68. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành III.3.3. Kết quả thực nhiệm. ✓ Facebook đã bị chặn Hình 3.41: Chặn các web mạng xã hội ✓ Trang xem phim youtube cũng đã bị chặn Hình 3.42: Chặn các web xem video ✓ Chặn các web phim, nghe nhạc online. Đối với những nhu cầu về tìm kiếm, đọc tài liệu để phục vụ cho công việc vẫn luôn được mở cho nhân viên. GVHD: Ths Đào Thị Phương Thúy 67
  69. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Hình 3.43: Trang web cho phép đi qua GVHD: Ths Đào Thị Phương Thúy 68
  70. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành KẾT LUẬN Không có một tài liệu nào có thể lường hết được mọi lỗ hổng trong hệ thống và cũng không có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết. Cách tốt nhất vẫn là sử dụng kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật đa năng. Trong các lựa chọn về giải pháp an ninh hiện nay thì firewall là một trong nhưng ưu tiên hàng đầu. Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty là một trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các thông tin quan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống. Việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm hiểu tập các chức năng của firewall, tính năng lọc địa chỉ, gói tin, Một công nghệ không thể là một giải pháp hoàn hảo cho toàn bộ chiến lược bảo mật của tổ chức, các sản phẩm firewall dù có tốt đến mấy cũng bộc lộ những nhược điểm của mình, những nhược điểm đó có thể được khắc phục bằng các công nghệ khác như IPS, IPSec vv Khi xem xét lựa chọn công nghệ bảo mật các công nghệ bảo mật phải luôn có một cái nhìn khái quát trong một bức tranh tổng thể. Và mô hình bảo mật phân lớp là một cơ sở khoa học để các tổ chức căn cứ vào đó lựa chọn các công nghệ bảo mật cho phù hợp với nhu cầu và khả năng tài chính của mình. GVHD: Ths Đào Thị Phương Thúy 69
  71. Phương án bảo mật hệ thống bằng FireWall Đồ án chuyên ngành Cho dù các công nghệ có được trang bị hoàn hảo đến đâu mà không chú ý đến yếu tố con người thì cũng là một sai lầm lớn. Trong mọi kế hoạch để thành công thì con người bao giờ cũng được đặt ở vị trí trung tâm. Trong kế hoạch bảo mật cũng thế, con người là nhân tố có ý nghĩa quyết định tới độ an toàn nếu có ý thức bảo mật cao và cũng là hiểm họa khôn lường nếu chính là kẻ tấn công từ ngay trong nội bộ của tổ chức. Việc ban hành các chính sách cho con người cần phải tuân theo các tiêu chuẩn quốc tế đã có sẵn như ISO 17799. Trên thế giới kĩ thuật phát triển theo từng ngày, các biện pháp tấn công ngày càng mới mẻ và tinh vi hơn. Các công nghệ bảo mật trang bị cho tổ chức cũng cần phải được cải tiến, cập nhật ngày giờ để kịp thời chống lại mọi sự phá hoại đó. Ý thức của con người cũng cần không ngừng được nâng cao. Bảo mật hiện nay đang là một vấn đề rất nóng bỏng khi mà thông tin là tài sản quý giá hàng đầu của các tổ chức doanh nghiệp, vì vậy chúng em rất hy vọng thông qua đồ án này sẽ mang lại cho người đọc được những hiểu biết chung nhất về các khái niệm liên quan đến bảo mật thông tin và cái nhìn chi tiết về công nghệ firewall, một trong các công nghệ được sử dụng rất phổ biến hiện nay. Vì thời gian có hạn và kinh nghiệm thực tế ít nên trong khuôn khổ đồ án này chúng em chỉ giới thiệu được phần nào những vấn đề đã nêu ra. Hy vọng tiếp theo đồ án này sẽ có một bước nghiên cứu sâu hơn nữa về các công nghệ bảo mật nói chung và firewall nói riêng nhằm đem những điều mình học được vào phục vụ công việc cũng như cuộc sống. GVHD: Ths Đào Thị Phương Thúy 70