Tìm hiểu về hệ thống Firewall

 1  1. Giới thiệu về Firewall 1.1 Khái niệm về Firewall Firewall là thiết bị nhằm ngăn chặn sự truy nhập không hợp lệ từ mạng ngoài vào mạng trong. Hệ thống firewall thường bao gồm cả phần cứng và phần mềm. Firewall thường được dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau. Hình 1. 1 Các bức tường lửa bảo vệ các tài nguyên trên mạng cơ quan, không cho những người không được phép trên Internet rộng lớn truy nhập 1.2. Các chức năng cơ bản của Firewall Hình 1.2 : Sơ đồ chức năng của hệ thóng Firewall Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập đã đợc thiết lập. - Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong. - Kiểm soát địa chỉ truy nhập, và dịch vụ sử dụng. - Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng. Intranet firewall Internet  2  - Kiểm soát nội dung thông tin truyền tải giữa 2 mạng. - Ngăn ngừa khả năng tấn công từ các mạng ngoài. Xây dựng firewalls là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ mạng. Thông thường, một hệ thống firewall là một cổng (gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại . 1.3. Mô hình mạng sử dụng Firewall Kiến trúc của hệ thống có firewall như sau: Hình 1.3 : Kiến trúc hệ thống có firewall  3  Nhìn chung, mỗi hệ thống firewall đều có các thành phần chung như sau : Hình 1.4 : Các thành phần của hệ thống firewall Firewall có thể bao gồm phần cứng hoặc phần mềm nhưng thường là cả hai. Về mặt phần cứng thì firewall có chức năng gần giống một router, nó cho phép hiển thị các địa chỉ IP đang kết nối qua nó. Điều này cho phép bạn xác định được các địa chỉ nào được phép và các địa chỉ IP nào không được phép kết nối. Tất cả các firewall đều có chung một thuộc tính là cho phép phân biệt đối xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn. Theo hình trên các thành phần của một hệ thống firewall bao gồm: - Screening router: Là chặng kiểm soát đầu tiên cho LAN. - DMZ: Khu "phi quân sự", là vùng có nguy cơ bị tấn công từ Internet. - Gateway: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật. - IF1: Interface 1: Là card giao tiếp với vùng DMZ. - IF2: Interface 2: Là card giao tiếp với vùng mạng LAN. - FTP gateway: Kiểm soát truy cập FTP giữa LAN và vùng DMZ. Các truy cập ftp từ mạng LAN ra Internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication Server.  4  - Telnet Gateway: Kiểm soát truy cập telnet giữa mạng LAN và Internet. Giống như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực qua Authentication Server - Authentication Server: được sử dụng bởi các cổng giao tiếp, nhận diện các yêu cầu kết nối, dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần). Các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, không có kết nối trực tiếp với Internet, tất cả các thông tin trao đổi đều được kiểm soát qua gateway. 1.4. Phân loại Firewall Có khá nhiều loại firewall, mỗi loại có những ưu và nhược điểm riêng. Tuy nhiên để thuận tiện cho việc nghiên cứu người ta chia hệ thống làm 2 loại chính: - Packet filtering: là hệ thống firewall cho phép chuyển thông tin giữa hệ thống trong và ngoài mạng có kiểm soát. - Application-proxy firewall: là hệ thống firewall thực hiện các kết nối thay cho các kết nối trực tiếp từ máy khách yêu cầu. 1.4.1. Packet Filtering: Kiểu firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI. Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là router, có nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin (packet filtering). Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định thì nó được kiểm tra với các luật đã được đặt ra trên router. Ví dụ người quản trị firewall quyết định rằng không cho phép bất kỳ một gói tin nào xuất phát từ mạng microsoft.com  5  được kết nối với mạng trong thì các gói tin xuất phát từ mạng này sẽ không bao giờ đến được mạng trong. Các firewall hoạt động ở lớp mạng (tương tự như một router) thường cho phép tốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP nguồn mà không có một lệnh thực sự nào trên router, nó không cần một khoảng thời gian nào để xác định xem là địa chỉ sai hay bị cấm. Nhưng điều này bị trả giá bởi tính tin cậy của nó. Kiểu firewall này sử dụng địa chỉ IP nguồn làm chỉ thị, điểu này tạo ra một lỗ hổng là nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì như vậy nó sẽ có được một số mức truy nhập vào mạng trong của bạn. Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục yếu điểm này. Ví dụ như đối với các công nghệ packet filtering phức tạp thì không chỉ có trường địa chỉ IP được kiểm tra bởi router mà còn có các trường khác nữa được kiểm tra với các luật được tạo ra trên firewall, các thông tin khác này có thể là thời gian truy nhập, giao thức sử dụng, port ... Firewall kiểu Packet Filtering có thể được phân thành 2 loại: a) Packet filtering firewall: hoạt động tại lớp mạng của mô hình OSI hay lớp IP trong mô hình giao thức TCP/IP. Hình 1.5: Packet filtering firewall  6  b) Circuit level gateway: hoạt động tại lớp phiên (session) của mô hình OSI hay lớp TCP trong mô hình giao thức TCP/IP. o Hình 1.6 : Circuit level gateway Hình 1.7  Circuit level gateway         1.4.2. Application-proxy firewall out out out in in in outside host Inside host Circuit-level Gateway  7  Kiểu firewall này hoạt động dựa trên phần mềm. Khi một kết nối từ một người dùng nào đó đến mạng sử dụng firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đã đặt ra trên firewall thì firewall sẽ tạo một cái cầu kết nối giữa hai node với nhau. Ưu điểm của kiểu firewall loại này là không có chức năng chuyển tiếp các gói tin IP, hơn nữa ta có thể điểu khiển một cách chi tiết hơn các kết nối thông qua firewall. Đồng thời nó còn đưa ra nhiều công cụ cho phép ghi lại các quá trình kết nối. Tất nhiên điều này phải trả giá bởi tốc độ xử lý, bởi vì tất cả các kết nối cũng như các gói tin chuyển qua firewall đều được kiểm tra kỹ lưỡng với các luật trên firewall và rồi nếu được chấp nhận sẽ được chuyển tiếp tới node đích. Sự chuyển tiếp các gói tin IP xảy ra khi một máy chủ nhận được một yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong. Điều này tạo ra một lỗ hổng cho các kẻ phá hoại (hacker) xâm nhập từ mạng ngoài vào mạng trong. Nhược điểm của kiểu firewall hoạt động dựa trên ứng dụng là phải tạo cho mỗi dịch vụ trên mạng một trình ứng dụng uỷ quyền (proxy) trên firewall ví dụ như phải tạo một trình ftp proxy dịch vụ ftp, tạo trình http proxy cho dịch vụ http... Như vậy ta có thể thấy rằng trong kiểu giao thức client-server như dịch vụ telnet làm ví dụ thì cần phải thực hiện hai bước để cho hai máy ngoài mạng và trong mạng có thể kết nối được với nhau. Khi sử dụng firewall kiểu này các máy client (máy yêu cầu dịch vụ) có thể bị thay đổi. Ví dụ như đối với dịch vụ telnet thì các máy client có thể thực hiện theo hai phương thức: một là bạn telnet vào firewall trước sau đó mới thực hiện việc telnet vào máy ở mạng khác; cách thứ hai là bạn có thể telnet thẳng tới đích tuỳ theo các luật trên firewall có cho phép hay không mà việc telnet của bạn sẽ được thực hiện. Lúc này firewall là hoàn toàn trong suốt, nó đóng vai trò như một cầu nối tới đích của bạn. Firewall kiểu Application-proxy có thể được phân thành 2 loại: a) Application level gateway: tính năng tương tự như loại circuit-level gateway nhưng lại hoạt động ở lớp ứng dụng trong mô hình giao thức TCP/IP.  8  Hình 1.7: Application level gateway b) Stateful multilayer inspection firewall: đây là loại kết hợp được các tính năng của các loại firewall trên: lọc các gói tại lớp mạng và kiểm tra nội dung các gói tại lớp ứng dụng. Firewall loại này cho phép các kết nối trực tiếp giữa các client và các host nên giảm được các lỗi xảy ra do tính chất "không trong suốt" của firewall kiểu Application gateway. Stateful multilayer inspection firewall cung cấp các tính năng bảo mật cao và lại trong suốt đối với các end users.  9  Hình 1.8: Stateful multilayer inspection firewall 2. Một số phần mềm Firewall : ¾ 5 phần mềm Firewall tốt nhất hiện nay: 2.1 Comodo Firewall ¾ Đứng đầu trong danh sách phải kể đến Comodo Firewall, phiên bản mới nhất của chương trình cung cấp cho bạn khả năng bảo vệ toàn diện hệ thống khỏi các Hacker, Spyware, Trojans và các đối tượng gây hại chưa xác định khác, trong khi đó “hệ thống ngăn chặn xâm nhập trái phép” (Host Intrusion Prevention System) theo thời gian thực giúp cảnh báo những ứng dụng cài đặt trái phép, nhờ đó các ứng dụng lạ chỉ được thêm vào máy tính khi có sự cho phép của bạn Khả năng quét Malware trong bản Comodo Firewall Pro sẽ giúp tăng cường sự “miễn dịch” của hệ thống trước các viruses, spyware and Trojans, và điểm đặc biệt nhất của chương trình là nó hoàn toàn miễn phí. Download tại  10  2.2 ESET Smart Security ¾ Nếu bạn cần một phần mềm đa tính năng: tường lửa (Firewall), chống virus (Antivirus), Chống thư rác (Antispam) thì ESET Smart Security sẽ là sự lựa chọn tốt nhất. Với cơ sở dữ liệu được cập nhật liên tục, các biến thể mailware xuất hiện hàng ngày sẽ không có cơ hội xâm nhập vào máy tính của bạn. Tính năng khác: Bảo vệ toàn diện: với công nghệ dò tìm tiên tiến, cho phép ghi nhận và phát hiện sớm bất kì mối đe dọa nào đối với hệ thống ngay cả khi chúng chưa được cập nhật trong cơ sở dữ liệu. Chiếm ít tài nguyên hệ thống: ESET Smart Security đòi hỏi ít bộ nhớ, khả năng dò tìm nhanh, nó rất thích hợp với máy yếu vì sử dụng rất ít tài nguyên hệ thống nhưng hiệu suất thì không hề thua kém bất cứ một chương trình nào. Bạn vẫn có thể vừa chơi game, lướt web bình thường khi chạy chương trình Download ESET Smart Security tại 2.3 ZoneAlarm ¾ Đây là ứng dụng tường lửa đã quá nổi tiếng, khả năng bảo vệ của nó không phải giới thiệu nhiều. ZoneAlarm sẽ bảo vệ máy tính của bạn khỏi các Rootkit (thường được dùng để che giấu sự có mặt của các phần mềm nguy hiểm như trojans hay keylogger) và các kiểu xâm nhập máy tính một cách âm thầm khác. Máy tính sẽ được thiết lập lá chắn ngay trong quá trình khởi động bằng cơ chế Early Boot Protection. Bên cạnh đó, khả năng kiểm soát chương trình  11  (Program Control) giúp hạn chế tối đa hoạt động của các phần mềm nguy hiểm trên máy tính. Tính năng Firewall Hệ Điều Hành (OSFirewall™) giúp ngăn chặn những spyware khó diệt và những đe dọa bên sâu khỏi xâm nhập vào PC của bạn. Download ZoneAlarm tại: 2.4 Outpost Firewall Pro ¾ Outpost Firewall PRo cũng là một lựa chọn khác trong việc bảo vệ hệ thống mà bạn nên thử. Được phát triển bởi Open Architecture, thông qua việc áp dụng những kỹ thuật bảo mật mới nhất nhiều những tính năng như: Full Stealth Mode, Anti-Leak, & MD5 Authentication, bạn có thể tùy biến cấu hình Outpost Firewall Pro cho các kết nối bảo mật, tiêu diệt sạch Spyware với công cụ diệt trừ phần mềm gián điệp Spyware. Outpost Firewall PRo có giao diện thân thiện, dễ sử dụng. Download tại 2.5 F-Secure Internet Security 2008 ¾ Ứng dụng tường lửa cuối cùng phải kể tới là F-Secure Internet Security 2008. Phiên bản F-Secure Internet Security 2008 cung cấp một giải pháp bảo vệ tổng thể với tường lửa cá nhân, khả năng chống virus và spyware được tích hợp sẵn, tạo lá chắn an toàn cho máy tính của bạn. Tính năng cơ bản: Loại sạch virus và những cuộc tấn công không xác định khỏi máy tính:Nhờ cơ sở dữ liệu phong phú, được cập nhật thường xuyên thông qua trung tâm dữ liệu F-Secure Data Security  12  Laboratory và công nghệ DeepGuard TM 2.0, bạn sẽ không phải lo lắng trước các cuộc tấn công vốn không thể phát hiện được bằng các biện pháp bảo mật truyền thống Phát hiện và loại bỏ spyware khỏi máy tính: F-Secure Internet Security sẽ phát hiện và loại bỏ các chương trình lạ trước khi chúng được cài đặt, đảm bảo cho máy tính luôn “sạch sẽ” và ổn định. Bảo vệ máy tính khỏi các hacker: Những dữ liệu cá nhân sẽ được “an toàn” trước những hacker tò mò thông qua lớp tường lửa cá nhân (personal firewall) Loại bỏ thư rác hay trang web lừa đảo: Bộ lọc Bayesian của F-Secure Internet Security sẽ loại bỏ những thư rác hay email lừa đảo với mục đích đánh cắp thông tin cá nhân. Kiểm soát việc truy cập internet: Bạn sẽ hoàn toàn yên tâm vì những đứa trẻ sẽ không thể truy cập được vào những trang web có nội dung không phù hợp thông qua tính năng Parental Control. Download F-Secure Internet Security tại https://store.f-secure.com/cgi- bin/dlreg?ID=FSISTB&desid=TRIAL Trên đây chỉ là những đánh giá sơ bộ mang tính chủ quan về 5 phần mềm firewall tốt nhất hiện nay của tác giả, bảo vệ máy tính không chỉ đơn giản chỉ là việc sử dụng tường lửa mà là sự tổng hợp của nhiều biện pháp khác, bạn hãy tham khảo và lựa chọn phần mềm tốt nhất cho máy tính của mình. 3. Cài đặt và sử dụng ZoneAlarm Security Suite : 3.1 Cài đặt : ¾ 1 - Điền địa chỉ Email vào nhé, để được cập nhật free và cập nhật thông tin về sản phẩm mới và an ninh mạng trên thế giới - Hình.  13  2 - Cài đặt dịch vụ của chương trình. 3 - Chọn tiếp như hình.  14  4 - Sau khi quá trình cài đặt hoàn tất, khởi động lại máy, bạn sẽ nhận được thông báo:  15  5 - Lấy Keygen rồi điền vào nhé – Hình : 6 - Chọn tiếp như hình bên dưới để lúc khác quét : 7 - Được rồi, đến đây là kết thúc :  16  8 - Chạy chương trình, vào đây để xem kết quả đăng ký : 9 - Vào đây để cập nhật database cho Antivirus và Antispyware :  17  3.2 Hướng dẫn sử dụng : CÁC CHỨC NĂNG CHÍNH • Bảo vệ bằng tường lửa – Fire wall • Kiểm soát các chương trình trên máy • Bảo vệ hệ thống thư điện tử • Bảo vệ tính riêng tư 1. Bảo vệ bằng tường lửa – Fire Wall : Firewall bảo vệ máy tính tránh khỏi những trao đổi thông tin có nguy cơ gây hại cho máy tính của bạn. Z/A chia các máy tính có thể giao tiếp với máy tính của bạn qua hệ thống mạng thành 3 vùng để bảo vệ :  18  a. Internet Zone : Vùng dành cho những máy tính mà ta không biết rõ nguồn gốc, xuất xứ. b. Trusted Zone : Vùng chia sẻ tài nguyên với những máy tính được tin cậy. Hai vùng này ta có thể xét ở 3 mức độ khác nhau : High : Ở mức này, máy tính của ta được dấu đi khi duyệt web đồng thời nó cũng không cho phép chia sẻ tài nguyên với những máy khác. Nếu muốn lựa chọn thêm một số yêu cầu bảo vệ thì nhấn vào nút Custom và khai báo. Medium : Máy tính có thể được thấy trên mạng, có thể chia sẻ tài nguyên. Click Custom để thêm vào một số lựa chọn. Low : Tắt đi chức năng tường lửa. Đây là mức bảo vệ thấp nhất. Lưu ý : Nếu các bạn đặt mức bảo vệ càng cao thì các bạn sẽ phải thường xuyên trả lời và xác nhận các cảnh báo của Z/A đồng thời sẽ có thể không truy cập được một số web site. c. Blocked Zone : Vùng bị khóa đối với những máy tính có nguy cơ gây nguy hiểm. Nếu các bạn có kinh nghiệm về mạng thì có thể chọn thẻ Zones, chọn các nút Add & Remove để khoá hoặc mở khoá cho từng website hay địa chỉ IP của một máy nào đó.  19  2. Program Control : Cho phép ta thiết lập các thông số nhằm kiểm soát việc thực thi các chương trình trên máy tính nhằm tránh sự xâm nhập trái phép từ các hacker hoặc tránh rò rỉ thông tin từ một chương trình bí ẩn nào đó. • Medium : ZoneAlarm Pro khuyến cáo nên chọn mức Med trong vài ngày đầu tiên sử dụng, để cho ZoneAlarm học và đề xuất phương thức bảo vệ cho phù hợp. • High : Ta sẽ chọn mức High sau khi đã sử dụng các chương trình có truy cập vào Internet ít nhất 1 lần. Lưu ý : Ta nên bật chế độ Automatic Lock nếu máy tính của ta luôn được kết nối trực tuyến với Internet (VD: sử dụng ADSL), khi ta rời máy trong 1 thời gian thì Z/A sẽ tự động bật chế độ kiểm soát truy cập vào Internet.  20  3. Email Protection : Mục này nhằm bảo vệ an toàn cho hệ thống thư điện tử. Ta thiết lập các thông số cho 2 mục: • Inbound MailSafe protection : Bảo vệ an toàn máy tính theo cách không cho mở các tập tin đính kèm email nếu chưa được phép. • Outbound MailSafe protection : Dò tìm các hoạt động gửi mail tự động, gửi hàng loạt theo kiểu virus để ngăn sự phá hoại. Ngoài ra ta cũng có thể khai báo thêm một số thông số nếu bấm vào nút Advanced. • Số email được gửi 1 lần. • Số người nhận trong 1 email. • Đối chiếu với danh sách người gửi. 4. Privacy : Các thiết lập cho mục Privacy nhằm bảo vệ những thông tin riêng tư có thể bị rò rỉ khi duyệt Internet đồng thời hạn chế các quảng cáo khi duyệt web. Ta có thể thiết lập thông số cho 3 mục sau: • Cookie Control : Quản lý việc cho lưu các cookie vào máy hay không. • Ad Blocking : Quản lý việc cho phép hiện các banner quảng cáo, cửa sổ popup, hình động... • Mobile Code Control : Quản lý việc cho phép chạy các ngôn ngữ script, các đối tượng nhúng như java applete, activeX, v.v… trên các website hay không. Ghi chú : Mở tính năng này lên có thể làm một số website không thể hiện đúng và không chạy được.  21  4 .Tổng quan về ISA 2006 Internet Acceleration and Security (ISA) Server 2006 :được xây dựng dựa trên các phiên bản ISA Server trước. Nó cung cấp một tường lửa linh hoạt, có hiệu quả, và dễ sử dụng. Có hai phiên bản ISA 2006 bao gồm: -Standard Edition -Enterprise Edition ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây dựng firewall để -Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty. -Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp. -Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh.  22  -Đối với các công ty có những hệ thống máy chủ quan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA SERVER 2006 cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống. -Ngoài các tính năng bảo mật thông tin trên, ISA SERVER 2006 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet). *Enterprise Edition : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải). *So sánh giữa 2 phiên bản :Standard Editionvà Enterprise Edition - Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau. -Bản Enterprise có hỗ trợ thêm 3 tính năng sau không có trong bản Standard. +Centralized storage of configuration data Trong khi bản Standard lưu thông tin về cấu hình (configuration information - > co