Bài giảng Thiết kế hệ thống mạng LAN - Chương 2: Firewall - Lương Minh Huấn

Trường Cao Đẳng Kỹ Thuật Cao Thắng Chương 2 : Firewall GV: LƯƠNG MINH HUẤN NỘI DUNG Giới thiệu Firewall Nhiệm vụ của Firewall Kiến trúc của Firewall Các loại Firewall và cách hoạt động Những hạn chế của Firewall 1. Giới thiệu firewall Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm của nó. Chính điểm yếu này làm giảm khả năng bảo mật thông nội bộ của hệ thống. Chính vì vậy, việc đảm bảo các thông tin được bảo mật luôn là yêu cầu cấp thiết đặt ra. Hiện nay có nhiều cách thức, phương pháp bảo mật 1. Giới thiệu firewall Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được tích vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống một số thông tin khác không mong muốn. Cụ thể hơn, có thể firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network) 1. Giới thiệu firewall Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy kết nối với bộ định tuyến (Router) hoặc có chức năng Router mặt chức năng, firewall có nhiệm vụ: Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều thực hiện thông qua firewall. Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội (trusted network) mới được quyền lưu thông qua firewall. 1. Giới thiệu firewall Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm Quản lý xác thực (Authentication): có chức năng ngăn cản cập trái phép vào hệ thống mạng nội bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản (account) bao gồm một người dùng (username) và mật khẩu (password). 1. Giới thiệu firewall Quản lý cấp quyền (Authorization): cho phép xác định quyền dụng tài nguyên cũng như các nguồn thông tin trên mạng theo người, từng nhóm người sử dụng. Quản lý kiểm toán (Accounting Management): cho phép nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập đối với vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung 1. Giới thiệu firewall Khi phân loại firewall ta có thể chia thành : Personal firewall Network firewall Chủ yếu tùy vào số lượng host mà ta chia thành network personal firewall 2. Nhiệm vụ của Firewall Chức năng chính của Firewall là kiểm soát luồng thông tin từ Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin mạng bên trong (Intranet) và mạng Internet. Cụ thể là: Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. 2. Nhiệm vụ của Firewall Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. 2. Nhiệm vụ của Firewall 2. Nhiệm vụ của Firewall FireWall bảo vệ những vấn đề : Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau:  Bảo mât.  Tính toàn vẹn.  Tính kịp thời. 2. Nhiệm vụ của Firewall Tài nguyên hệ thống. 2. Nhiệm vụ của Firewall Danh tiếng của công ty sở hữu các thông tin cần bảo vệ. 2. Nhiệm vụ của Firewall FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.  Tấn công trực tiếp  Nghe trộm  Giả mạo địa chỉ IP.  Vô hiệu hoá các chức năng của hệ thống (deny service)  Lỗi người quản trị hệ thống  Yếu tố con người 3. Kiến trúc của firewall Kiến trúc Dual home host Kiến trúc Screened host Kiến trúc Screened subnet 3.1 Kiến trúc Dual homed host Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa máy tính dual-homed host. Một máy tính được gọi là dual-homed host nếu nó có ít nhất hai network interfaces, có nghĩa là máy đó gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế tính này đóng vai trò là Router mềm. Kiến trúc dual-homed host đơn giản. Dual-homed host ở giữa, một bên được kết nối Internet và bên còn lại nối với mạng nội bộ (LAN). 3.1 Kiến trúc Dual homed host Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp dual-homed host. Mọi giao tiếp từ một host trong mạng nội bộ host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp nhất. 3.2 Kiến trúc Screened host Screened Host có cấu trúc ngược lại với cấu trúc Dual-homed host Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng bộ, dùng một Router tách rời với mạng bên ngoài. Trong kiểu trúc này, bảo mật chính là phương pháp Packet Filtering. 3.2 Kiến trúc Screened host Bastion host được đặt bên trong mạng nội bộ. Packet Filtering được cài trên Router. Theo cách này, Bastion host là hệ thống nhất trong mạng nội bộ mà những host trên Internet có thể kết . Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được cho phép kết nối. Bất kỳ một hệ thống ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host là host cần được duy trì ở chế độ bảo mật cao. 3.2 Kiến trúc Screened host Packet filtering cũng cho phép bastion host có thể mở kết nối bên ngoài. Cấu hình của packet filtering trên screening router sau: Cho phép tất cả các host bên trong mở kết nối tới host bên ngoài thông qua một số dịch vụ cố định. Không cho phép tất cả các kết nối từ các host bên trong ( những host này sử dụng dịch vụ proxy thông qua bastion host 3.2 Kiến trúc Screened host Có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau. Một số dịch vụ được phép đi vào trực tiếp qua packet filtering Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy 3.3 Kiến trúc Screened Subnet Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây một khi bastion host bị tổn thương, người ta đưa ra kiến firewall có tên là Sreened Subnet. 3.3 Kiến trúc Screened Subnet Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion khỏi các host thông thường khác. Kiểu screened subnet đơn bao gồm hai screened router: 3.3 Kiến trúc Screened Subnet Router ngoài (External router còn gọi là access router): nằm mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại (bastion host, interior router). Nó cho phép hầu hết những outbound từ mạng ngoại vi. Một số qui tắc packet filtering đặc được cài đặt ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức Ngoài các qui tắc đó, các qui tắc khác cần giống nhau giữa Router. 3.3 Kiến trúc Screened Subnet Interior Router (còn gọi là choke router): nằm giữa mạng ngoại mạng nội bộ, nhằm bảo vệ mạng nội bộ trước khi ra ngoài mạng ngoại vi. Nó không thực hiện hết các qui tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion host mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên máy này) có thể bị tấn công khi bastion host bị tổn thương và hiệp với bên ngoài. 3.4 Một số mô hình firewall trên ISA Mô hình Edge Firewall Mô hình 3-Leg Firewall Mô hình Front back Firewall 3.4 Một số mô hình firewall trên ISA Mô hình Edge Firewall 3.4 Một số mô hình firewall trên ISA Mô hình 3-Leg Firewall 3.4 Một số mô hình firewall trên ISA Mô hình Front Back Firewall 4. Các loại firewall và cách hoạt động Packet filtering (Bộ lọc gói tin). Application gateway. 4.1 Packet Filtering Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ các packet để từ đó cấp phép cho chúng lưu thông hay ngăn chặn Các thông số có thể lọc được của một packet như: Địa chỉ IP nơi xuất phát (source IP address). Địa chỉ IP nơi nhận (destination IP address). Cổng TCP nơi xuất phát (source TCP port). Cổng TCP nơi nhận (destination TCP port). 4.1 Packet Filtering Loại Firewall này cho phép kiểm soát được kết nối vào máy khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, nó còn kiểm soát hiệu suất sử dụng những đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng TCP tương ứng. 4.2 Application Gateway Đây là loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ dựa trên những giao thức được cho phép cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên mô Proxy Service. Trong mô hình này phải tồn tại một hay nhiều tính đóng vai trò Proxy Server. Một ứng dụng trong mạng nội yêu cầu một đối tượng nào đó trên Internet, Proxy Server sẽ nhận yêu cầu này và chuyển đến Server trên Internet. Khi Server Internet trả lời, Proxy Server sẽ nhận và chuyển ngược lại cho dụng đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với chế “đại diện” của application gateway cung cấp một khả năng toàn và uyển chuyển hơn, đặc biệt khi kiểm soát các truy cập từ ngoài. 4.2 Application Gateway dụ: Một hệ thống mạng có chức năng packet filtering ngăn các kết nối bằng TELNET vào hệ thống ngoại trừ một máy duy TELNET application gateway là được phép. Một người muốn nối vào hệ thống bằng TELNET phải qua các bước sau: 4.2 Application Gateway Thực hiện telnet vào máy chủ bên trong cần truy cập. Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập để cho phép hoặc từ chối. Người truy cập phải vượt qua hệ thống kiểm tra xác thực. Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập. Proxy Service liên kết lưu thông giữa người truy cập và máy chủ trong mạng nội bộ. 4.2 Application Gateway Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm hiện nay các ứng dụng đang phát triển rất nhanh, do đó nếu proxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an sẽ tăng lên. Thông thường những phần mềm Proxy Server hoạt động như gateway nối giữa hai mạng, mạngbên trong và mạng bên ngoài 4.2 Application Gateway Đường kết nối giữa Proxy Server và Internet thông qua nhà cung cấp dịch vụ Internet (Internet Service Provider - ISP) Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực Proxy Server với Internet hoặc thông qua một Router. Việc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vào cầu cụ thể của công ty, ví dụ như số người cần truy cập Internet các dịch vụ và ứng dụng nào được sử dụng, các đường kết nối cách tính cước mà ISP có thể cung cấp. 5. Những hạn chế của firewall Tuy firewall có những ưu điểm nổi trội nhưng vẫn tồn tại những chế khiến firewall không thể bảo vệ hệ thống an toàn một cách tuyệt đối. Một số hạn chế của firewall có thể kể ra như sau: 5. Những hạn chế của firewall Firewall không bảo vệ chống lại các đe dọa từ bên trong nội bộ dụ như một nhân viên cố ý hoặc một nhân viên vô tình hợp tác kẻ tấn công bên ngoài. Firewall không thể bảo vệ chống lại việc chuyển giao giữa các chương trình bị nhiễm virus hoặc các tâp tin. Bởi vì sự đa dạng của các hệ điều hành và các ứng dụng được hỗ trợ từ bên trong nội bộ. Sẽ không thực tế và có lẽ là không thể cho các firewall quét các tập tin gởi đến, email nhằm phát hiện virus. 5. Những hạn chế của firewall Firewall không thể bảo vệ chống lại các cuộc tấn công bỏ tường lửa. Ví dụ như một hệ thống bên trong có khả năng dial kết nối với một ISP hoặc mạng LAN bên trong có thể cung một modem pool có khả năng dial-in cho các nhân viên di động hay các kiểu tấn công dạng social engineering nhắm đếm tượng là các người dùng trong mạng.