nternet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này.
68 trang |
Chia sẻ: diunt88 | Lượt xem: 3133 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Tìm hiểu về tường lửa ( Firewall ), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1
Môc lôc
1. An toµn th«ng tin trªn m¹ng ____________________________ 3
1.1 T¹i sao cÇn cã Internet Firewall ____________________________ 3
1.2 B¹n muèn b¶o vÖ c¸i g×? __________________________________ 5
1.2.1 D÷ liÖu cña b¹n _____________________________________________ 5
1.2.2 Tµi nguyªn cña b¹n __________________________________________ 5
1.2.3 Danh tiÕng cña b¹n __________________________________________ 6
1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×? __________________________ 7
1.3.1 C¸c kiÓu tÊn c«ng ___________________________________________ 7
1.3.2 Ph©n lo¹i kÎ tÊn c«ng________________________________________ 10
1.4 VËy Internet Firewall lµ g×? _______________________________ 12
1.4.1 §Þnh nghÜa ________________________________________________ 12
1.4.2 Chøc n¨ng ________________________________________________ 12
1.4.3 CÊu tróc __________________________________________________ 13
1.4.4 C¸c thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng __________________ 13
1.4.5 Nh÷ng h¹n chÕ cña firewall ___________________________________ 19
1.4.6 C¸c vÝ dô firewall ___________________________________________ 20
2. C¸c dÞch vô Internet _____________________________ 27
2.1 World Wide Web - WWW ________________________________ 28
2.2 Electronic Mail (Email hay th• ®iÖn tö). _____________________ 29
2.3 Ftp (file transfer protocol hay dÞch vô chuyÓn file) ____________ 30
2.4 Telnet vµ rlogin ________________________________________ 31
2.5 Archie _______________________________________________ 32
2.6 Finger ________________________________________________ 33
3. HÖ thèng Firewall x©y dùng bëi CSE ________________ 34
3.1 Tæng quan ____________________________________________ 35
2
3.2 C¸c thµnh phÇn cña bé ch•¬ng tr×nh proxy: __________________ 36
3.2.1 Smap: DÞch vô SMTP________________________________________ 36
3.2.2 Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng _______________________ 37
3.2.3 Ftp-Gw: Proxy server cho Ftp _________________________________ 38
3.2.4 Telnet-Gw: Proxy server cho Telnet _____________________________ 39
3.2.5 Rlogin-Gw: Proxy server cho rlogin ____________________________ 39
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net ________________________ 40
3.2.7 Plug-Gw: TCP Plug-Board Connection server _____________________ 40
3.3 Cµi ®Æt _______________________________________________ 41
3.4 ThiÕt lËp cÊu h×nh: ______________________________________ 42
3.4.1 CÊu h×nh m¹ng ban ®Çu ______________________________________ 42
3.4.2 CÊu h×nh cho Bastion Host ___________________________________ 42
3.4.3 ThiÕt lËp tËp hîp quy t¾c _____________________________________ 45
3.4.4 X¸c thùc vµ dÞch vô x¸c thùc __________________________________ 54
3.4.5 Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy: ________________________ 60
3.4.6 C¸c vÊn ®Ò cÇn quan t©m víi ng•êi sö dông ______________________ 64
3
1. An toµn th«ng tin trªn m¹ng
1.1 T¹i sao cÇn cã Internet Firewall
HiÖn nay, kh¸i niÖm m¹ng toµn cÇu - Internet kh«ng cßn
míi mÎ. Nã ®· trë nªn phæ biÕn tíi møc kh«ng cÇn ph¶i chó
gi¶i g× thªm trong nh÷ng t¹p chÝ kü thuËt, cßn trªn nh÷ng t¹p
chÝ kh¸c th× trµn ngËp nh÷ng bµi viÕt dµi, ng¾n vÒ Internet.
Khi nh÷ng t¹p chÝ th«ng th•êng chó träng vµo Internet th×
giê ®©y, nh÷ng t¹p chÝ kü thuËt l¹i tËp trung vµo khÝa c¹nh
kh¸c: an toµn th«ng tin. §ã cïng lµ mét qu¸ tr×nh tiÕn triÓn
hîp logic: khi nh÷ng vui thÝch ban ®Çu vÒ mét siªu xa lé
th«ng tin, b¹n nhÊt ®Þnh nhËn thÊy r»ng kh«ng chØ cho phÐp
b¹n truy nhËp vµo nhiÒu n¬i trªn thÕ giíi, Internet cßn cho
phÐp nhiÒu ng•êi kh«ng mêi mµ tù ý ghÐ th¨m m¸y tÝnh cña
b¹n.
Thùc vËy, Internet cã nh÷ng kü thuËt tuyÖt vêi cho phÐp mäi
ng•êi truy nhËp, khai th¸c, chia sÎ th«ng tin. Nh÷ng nã còng
lµ nguy c¬ chÝnh dÉn ®Õn th«ng tin cña b¹n bÞ h• háng hoÆc
ph¸ huû hoµn toµn.
Theo sè liÖu cña CERT(Computer Emegency Response
Team - ‚§éi cÊp cøu m¸y tÝnh‛), sè lîng c¸c vô tÊn c«ng
trªn Internet ®•îc th«ng b¸o cho tæ chøc nµy lµ Ýt h¬n 200
vµo n¨m 1989, kho¶ng 400 vµo n¨m 1991, 1400 vµo n¨m
1993, vµ 2241 vµo n¨m 1994. Nh÷ng vô tÊn c«ng nµy nh»m
vµo tÊt c¶ c¸c m¸y tÝnh cã mÆt trªn Internet, c¸c m¸y tÝnh
cña tÊt c¶ c¸c c«ng ty lín nh• AT&T, IBM, c¸c tr•êng ®¹i
häc, c¸c c¬ quan nhµ n•íc, c¸c tæ chøc qu©n sù, nhµ b¨ng...
Mét sè vô tÊn c«ng cã quy m« khæng lå (cã tíi 100.000
m¸y tÝnh bÞ tÊn c«ng). H¬n n÷a, nh÷ng con sè nµy chØ lµ
phÇn næi cña t¶ng b¨ng. Mét phÇn rÊt lín c¸c vô tÊn c«ng
kh«ng ®•îc th«ng b¸o, v× nhiÒu lý do, trong ®ã cã thÓ kÓ
4
®Õn nçi lo bÞ mÊt uy tÝn, hoÆc ®¬n gi¶n nh÷ng ng•êi qu¶n trÞ
hÖ thèng kh«ng hÒ hay biÕt nh÷ng cuéc tÊn c«ng nh»m vµo
hÖ thèng cña hä.
Kh«ng chØ sè l•îng c¸c cuéc tÊn c«ng t¨ng lªn nhanh chãng,
mµ c¸c ph•¬ng ph¸p tÊn c«ng còng liªn tôc ®•îc hoµn thiÖn.
§iÒu ®ã mét phÇn do c¸c nh©n viªn qu¶n trÞ hÖ thèng ®•îc
kÕt nèi víi Internet ngµy cµng ®Ò cao c¶nh gi¸c. Còng theo
CERT, nh÷ng cuéc tÊn c«ng thêi kú 1988-1989 chñ yÕu
®o¸n tªn ng•êi sö dông-mËt khÈu (UserID-password) hoÆc sö
dông mét sè lçi cña c¸c ch•¬ng tr×nh vµ hÖ ®iÒu hµnh
(security hole) lµm v« hiÖu hÖ thèng b¶o vÖ, tuy nhiªn c¸c
cuéc tÊn c«ng vµo thêi gian gÇn ®©y bao gåm c¶ c¸c thao
t¸c nh• gi¶ m¹o ®Þa chØ IP, theo dâi th«ng tin truyÒn qua
m¹ng, chiÕm c¸c phiªn lµm viÖc tõ xa (telnet hoÆc rlogin).
5
1.2 B¹n muèn b¶o vÖ c¸i g×?
NhiÖm vô c¬ b¶n cña Firewall lµ b¶o vÖ. NÕu b¹n muèn x©y
dùng firewall, viÖc ®Çu tiªn b¹n cÇn xem xÐt chÝnh lµ b¹n cÇn
b¶o vÖ c¸i g×.
1.2.1 D÷ liÖu cña b¹n
Nh÷ng th«ng tin l•u tr÷ trªn hÖ thèng m¸y tÝnh cÇn ®•îc b¶o
vÖ do c¸c yªu cÇu sau:
B¶o mËt: Nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, qu©n sù,
chÝnh s¸ch vv... cÇn ®•îc gi÷ kÝn.
TÝnh toµn vÑn: Th«ng tin kh«ng bÞ mÊt m¸t hoÆc söa ®æi,
®¸nh tr¸o.
TÝnh kÞp thêi: Yªu cÇu truy nhËp th«ng tin vµo ®óng thêi
®iÓm cÇn thiÕt.
Trong c¸c yªu cÇu nµy, th«ng th•êng yªu cÇu vÒ b¶o mËt
®•îc coi lµ yªu cÇu sè 1 ®èi víi th«ng tin l•u tr÷ trªn m¹ng.
Tuy nhiªn, ngay c¶ khi nh÷ng th«ng tin nµy kh«ng ®•îc gi÷
bÝ mËt, th× nh÷ng yªu cÇu vÒ tÝnh toµn vÑn còng rÊt quan
träng. Kh«ng mét c¸ nh©n, mét tæ chøc nµo l·ng phÝ tµi
nguyªn vËt chÊt vµ thêi gian ®Ó l•u tr÷ nh÷ng th«ng tin mµ
kh«ng biÕt vÒ tÝnh ®óng ®¾n cña nh÷ng th«ng tin ®ã.
1.2.2 Tµi nguyªn cña b¹n
Trªn thùc tÕ, trong c¸c cuéc tÊn c«ng trªn Internet, kÎ tÊn
c«ng, sau khi ®· lµm chñ ®•îc hÖ thèng bªn trong, cã thÓ sö
dông c¸c m¸y nµy ®Ó phôc vô cho môc ®Ých cña m×nh nh•
ch¹y c¸c ch•¬ng tr×nh dß mËt khÈu ng•êi sö dông, sö dông
c¸c liªn kÕt m¹ng s½n cã ®Ó tiÕp tôc tÊn c«ng c¸c hÖ thèng
kh¸c vv...
6
1.2.3 Danh tiÕng cña b¹n
Nh• trªn ®· nªu, mét phÇn lín c¸c cuéc tÊn c«ng kh«ng
®•îc th«ng b¸o réng r·i, vµ mét trong nh÷ng nguyªn nh©n
lµ nçi lo bÞ mÊt uy tÝn cña c¬ quan, ®Æc biÖt lµ c¸c c«ng ty
lín vµ c¸c c¬ quan quan träng trong bé m¸y nhµ n•íc.
Trong tr•êng hîp ng•êi qu¶n trÞ hÖ thèng chØ ®•îc biÕt ®Õn
sau khi chÝnh hÖ thèng cña m×nh ®•îc dïng lµm bµn ®¹p
®Ó tÊn c«ng c¸c hÖ thèng kh¸c, th× tæn thÊt vÒ uy tÝn lµ rÊt
lín vµ cã thÓ ®Ó l¹i hËu qu¶ l©u dµi.
7
1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×?
Cßn nh÷ng g× b¹n cÇn ph¶i lo l¾ng. B¹n sÏ ph¶i ®•¬ng ®Çu
víi nh÷ng kiÓu tÊn c«ng nµo trªn Internet vµ nh÷ng kÎ nµo sÏ
thùc hiÖn chóng?
1.3.1 C¸c kiÓu tÊn c«ng
Cã rÊt nhiÒu kiÓu tÊn c«ng vµo hÖ thèng, vµ cã nhiÒu c¸ch ®Ó
ph©n lo¹i nh÷ng kiÓu tÊn c«ng nµy. ë ®©y, chóng ta chia
thµnh 3 kiÓu chÝnh nh• sau:
1.3.1.1 TÊn c«ng trùc tiÕp
Nh÷ng cuéc tÊn c«ng trùc tiÕp th«ng th•êng ®•îc sö dông
trong giai ®o¹n ®Çu ®Ó chiÕm ®•îc quyÒn truy nhËp bªn
trong. Mét ph•¬ng ph¸p tÊn c«ng cæ ®iÓn lµ dß cÆp tªn ng•êi
sö dông-mËt khÈu. §©y lµ ph•¬ng ph¸p ®¬n gi¶n, dÔ thùc
hiÖn vµ kh«ng ®ßi hái mét ®iÒu kiÖn ®Æc biÖt nµo ®Ó b¾t ®Çu.
KÎ tÊn c«ng cã thÓ sö dông nh÷ng th«ng tin nh• tªn ng•êi
dïng, ngµy sinh, ®Þa chØ, sè nhµ vv.. ®Ó ®o¸n mËt khÈu.
Trong tr•êng hîp cã ®•îc danh s¸ch ng•êi sö dông vµ
nh÷ng th«ng tin vÒ m«i tr•êng lµm viÖc, cã mét tr•¬ng tr×nh
tù ®éng ho¸ vÒ viÖc dß t×m mËt khÈu nµy. mét tr•¬ng tr×nh
cã thÓ dÔ dµng lÊy ®•îc tõ Internet ®Ó gi¶i c¸c mËt khÈu ®·
m· ho¸ cña c¸c hÖ thèng unix cã tªn lµ crack, cã kh¶ n¨ng
thö c¸c tæ hîp c¸c tõ trong mét tõ ®iÓn lín, theo nh÷ng quy
t¾c do ng•êi dïng tù ®Þnh nghÜa. Trong mét sè tr•êng hîp,
kh¶ n¨ng thµnh c«ng cña ph•¬ng ph¸p nµy cã thÓ lªn tíi
30%.
Ph•¬ng ph¸p sö dông c¸c lçi cña ch•¬ng tr×nh øng dông vµ
b¶n th©n hÖ ®iÒu hµnh ®· ®•îc sö dông tõ nh÷ng vô tÊn c«ng
®Çu tiªn vµ vÉn ®•îc tiÕp tôc ®Ó chiÕm quyÒn truy nhËp.
Trong mét sè tr•êng hîp ph•¬ng ph¸p nµy cho phÐp kÎ tÊn
8
c«ng cã ®•îc quyÒn cña ng•êi qu¶n trÞ hÖ thèng (root hay
administrator).
Hai vÝ dô th•êng xuyªn ®•îc ®•a ra ®Ó minh ho¹ cho
ph•¬ng ph¸p nµy lµ vÝ dô víi ch•¬ng tr×nh sendmail vµ
ch•¬ng tr×nh rlogin cña hÖ ®iÒu hµnh UNIX.
Sendmail lµ mét ch•¬ng tr×nh phøc t¹p, víi m· nguån bao
gåm hµng ngµn dßng lÖnh cña ng«n ng÷ C. Sendmail ®•îc
ch¹y víi quyÒn •u tiªn cña ng•êi qu¶n trÞ hÖ thèng, do
ch•¬ng tr×nh ph¶i cã quyÒn ghi vµo hép th• cña nh÷ng ng•êi
sö dông m¸y. Vµ Sendmail trùc tiÕp nhËn c¸c yªu cÇu vÒ
th• tÝn trªn m¹ng bªn ngoµi. §©y chÝnh lµ nh÷ng yÕu tè lµm
cho sendmail trë thµnh mét nguån cung cÊp nh÷ng lç hæng
vÒ b¶o mËt ®Ó truy nhËp hÖ thèng.
Rlogin cho phÐp ng•êi sö dông tõ mét m¸y trªn m¹ng truy
nhËp tõ xa vµo mét m¸y kh¸c sö dông tµi nguyªn cña m¸y
nµy. Trong qu¸ tr×nh nhËn tªn vµ mËt khÈu cña ng•êi sö
dông, rlogin kh«ng kiÓm tra ®é dµi cña dßng nhËp, do ®ã
kÎ tÊn c«ng cã thÓ ®•a vµo mét x©u ®· ®•îc tÝnh to¸n tr•íc
®Ó ghi ®Ì lªn m· ch•¬ng tr×nh cña rlogin, qua ®ã chiÕm ®•îc
quyÒn truy nhËp.
1.3.1.2 Nghe trém
ViÖc nghe trém th«ng tin trªn m¹ng cã thÓ ®•a l¹i nh÷ng
th«ng tin cã Ých nh• tªn-mËt khÈu cña ng•êi sö dông, c¸c
th«ng tin mËt chuyÓn qua m¹ng. ViÖc nghe trém th•êng
®•îc tiÕn hµnh ngay sau khi kÎ tÊn c«ng ®· chiÕm ®•îc
quyÒn truy nhËp hÖ thèng, th«ng qua c¸c ch•¬ng tr×nh cho
phÐp ®•a vØ giao tiÕp m¹ng (Network Interface Card-NIC)
vµo chÕ ®é nhËn toµn bé c¸c th«ng tin l•u truyÒn trªn m¹ng.
Nh÷ng th«ng tin nµy còng cã thÓ dÔ dµng lÊy ®•îc trªn
Internet.
9
1.3.1.3 Gi¶ m¹o ®Þa chØ
ViÖc gi¶ m¹o ®Þa chØ IP cã thÓ ®•îc thùc hiÖn th«ng qua viÖc
sö dông kh¶ n¨ng dÉn ®•êng trùc tiÕp (source-routing). Víi
c¸ch tÊn c«ng nµy, kÎ tÊn c«ng göi c¸c gãi tin IP tíi m¹ng
bªn trong víi mét ®Þa chØ IP gi¶ m¹o (th«ng th•êng lµ ®Þa chØ
cña mét m¹ng hoÆc mét m¸y ®•îc coi lµ an toµn ®èi víi
m¹ng bªn trong), ®ång thêi chØ râ ®•êng dÉn mµ c¸c gãi tin
IP ph¶i göi ®i.
1.3.1.4 V« hiÖu ho¸ c¸c chøc n¨ng cña hÖ thèng
(denial of service)
§©y lµ kÓu tÊn c«ng nh»m tª liÖt hÖ thèng, kh«ng cho nã
thùc hiÖn chøc n¨ng mµ nã thiÕt kÕ. KiÓu tÊn c«ng nµy
kh«ng thÓ ng¨n chÆn ®•îc, do nh÷ng ph•¬ng tiÖn ®•îc tæ
chøc tÊn c«ng còng chÝnh lµ c¸c ph•¬ng tiÖn ®Ó lµm viÖc vµ
truy nhËp th«ng tin trªn m¹ng. VÝ dô sö dông lÖnh ping víi
tèc ®é cao nhÊt cã thÓ, buéc mét hÖ thèng tiªu hao toµn bé
tèc ®é tÝnh to¸n vµ kh¶ n¨ng cña m¹ng ®Ó tr¶ lêi c¸c lÖnh
nµy, kh«ng cßn c¸c tµi nguyªn ®Ó thùc hiÖn nh÷ng c«ng viÖc
cã Ých kh¸c.
1.3.1.5 Lçi cña ng•êi qu¶n trÞ hÖ thèng
§©y kh«ng ph¶i lµ mét kiÓu tÊn c«ng cña nh÷ng kÎ ®ét nhËp,
tuy nhiªn lçi cña ng•êi qu¶n trÞ hÖ thèng th•êng t¹o ra
nh÷ng lç hæng cho phÐp kÎ tÊn c«ng sö dông ®Ó truy nhËp
vµo m¹ng néi bé.
1.3.1.6 TÊn c«ng vµo yÕu tè con ng•êi
KÎ tÊn c«ng cã thÓ liªn l¹c víi mét ng•êi qu¶n trÞ hÖ thèng,
gi¶ lµm mét ng•êi sö dông ®Ó yªu cÇu thay ®æi mËt khÈu,
thay ®æi quyÒn truy nhËp cña m×nh ®èi víi hÖ thèng, hoÆc
thËm chÝ thay ®æi mét sè cÊu h×nh cña hÖ thèng ®Ó thùc hiÖn
c¸c ph•¬ng ph¸p tÊn c«ng kh¸c. Víi kiÓu tÊn c«ng nµy
10
kh«ng mét thiÕt bÞ nµo cã thÓ ng¨n chÆn mét c¸ch h÷u hiÖu,
vµ chØ cã mét c¸ch gi¸o dôc ng•êi sö dông m¹ng néi bé vÒ
nh÷ng yªu cÇu b¶o mËt ®Ó ®Ò cao c¶nh gi¸c víi nh÷ng hiÖn
t•îng ®¸ng nghi. Nãi chung yÕu tè con ng•êi lµ mét ®iÓm
yÕu trong bÊt kú mét hÖ thèng b¶o vÖ nµo, vµ chØ cã sù gi¸o
dôc céng víi tinh thÇn hîp t¸c tõ phÝa ng•êi sö dông cã thÓ
n©ng cao ®•îc ®é an toµn cña hÖ thèng b¶o vÖ.
1.3.2 Ph©n lo¹i kÎ tÊn c«ng
Cã rÊt nhiÒu kÎ tÊn c«ng trªn m¹ng toµn cÇu – Internet vµ
chóng ta còng kh«ng thÓ ph©n lo¹i chóng mét c¸ch chÝnh
x¸c, bÊt cø mét b¶n ph©n lo¹i kiÓu nµy còng chØ nªn ®•îc
xem nh• lµ mét sù giíi thiÖu h¬n lµ mét c¸ch nh×n rËp
khu«n.
1.3.2.1 Ng•êi qua ®•êng
Ng•êi qua ®•êng lµ nh÷ng kÎ buån ch¸n víi nh÷ng c«ng
viÖc th•êng ngµy, hä muèn t×m nh÷ng trß gi¶i trÝ míi. Hä ®ét
nhËp vµo m¸y tÝnh cña b¹n v× hä nghÜ b¹n cã thÓ cã nh÷ng
d÷ liÖu hay, hoÆc bëi v× hä c¶m thÊy thÝch thó khi sö dông
m¸y tÝnh cña ng•êi kh¸c, hoÆc chØ ®¬n gi¶n lµ hä kh«ng t×m
®•îc mét viÖc g× hay h¬n ®Ó lµm. Hä cã thÓ lµ ng•êi tß mß
nh•ng kh«ng chñ ®Þnh lµm h¹i b¹n. Tuy nhiªn, hä th•êng
g©y h• háng hÖ thèng khi ®ét nhËp hay khi xo¸ bá dÊu vÕt
cña hä.
1.3.2.2 KÎ ph¸ ho¹i
KÎ ph¸ ho¹i chñ ®Þnh ph¸ ho¹i hÖ thèng cña b¹n, hä cã thÓ
kh«ng thÝch b¹n, hä còng cã thÓ kh«ng biÕt b¹n nh•ng hä
t×m thÊy niÒm vui khi ®i ph¸ ho¹i.
Th«ng th•êng, trªn Internet kÎ ph¸ ho¹i kh¸ hiÕm. Mäi ng•êi
kh«ng thÝch hä. NhiÒu ng•êi cßn thÝch t×m vµ chÆn ®øng
11
nh÷ng kÎ ph¸ ho¹i. Tuy Ýt nh•ng kÎ ph¸ ho¹i th•êng g©y
háng trÇm träng cho hÖ thèng cña b¹n nh• xo¸ toµn bé d÷
liÖu, ph¸ háng c¸c thiÕt bÞ trªn m¸y tÝnh cña b¹n...
1.3.2.3 KÎ ghi ®iÓm
RÊt nhiÒu kÎ qua ®•êng bÞ cuèn hót vµo viÖc ®ét nhËp, ph¸
ho¹i. Hä muèn ®•îc kh¼ng ®Þnh m×nh th«ng qua sè l•îng vµ
c¸c kiÓu hÖ thèng mµ hä ®· ®ét nhËp qua. §ét nhËp ®•îc
vµo nh÷ng n¬i næi tiÕng, nh÷ng n¬i phßng bÞ chÆt chÏ, nh÷ng
n¬i thiÕt kÕ tinh x¶o cã gi¸ trÞ nhiÒu ®iÓm ®èi víi hä. Tuy
nhiªn hä còng sÏ tÊn c«ng tÊt c¶ nh÷ng n¬i hä cã thÓ, víi
môc ®Ých sè l•îng còng nh• môc ®Ých chÊt l•îng. Nh÷ng
ng•êi nµy kh«ng quan t©m ®Õn nh÷ng th«ng tin b¹n cã hay
nh÷ng ®Æc tÝnh kh¸c vÒ tµi nguyªn cña b¹n. Tuy nhiªn ®Ó ®¹t
®•îc môc ®Ých lµ ®ét nhËp, v« t×nh hay h÷u ý hä sÏ lµm h•
háng hÖ thèng cña b¹n.
1.3.2.4 Gi¸n ®iÖp
HiÖn nay cã rÊt nhiÒu th«ng tin quan träng ®•îc l•u tr÷ trªn
m¸y tÝnh nh• c¸c th«ng tin vÒ qu©n sù, kinh tÕ... Gi¸n ®iÖp
m¸y tÝnh lµ mét vÊn ®Ò phøc t¹p vµ khã ph¸t hiÖn. Thùc tÕ,
phÇn lín c¸c tæ chøc kh«ng thÓ phßng thñ kiÓu tÊn c«ng nµy
mét c¸ch hiÖu qu¶ vµ b¹n cã thÓ ch¾c r»ng ®•êng liªn kÕt víi
Internet kh«ng ph¶i lµ con ®•êng dÔ nhÊt ®Ó gi¸n ®iÖp thu
l•îm th«ng tin.
12
1.4 VËy Internet Firewall lµ g×?
1.4.1 §Þnh nghÜa
ThuËt ng÷ Firewall cã nguån gèc tõ mét kü thuËt thiÕt kÕ
trong x©y dùng ®Ó ng¨n chÆn, h¹n chÕ ho¶ ho¹n. Trong c«ng
nghÖ m¹ng th«ng tin, Firewall lµ mét kü thuËt ®•îc tÝch hîp
vµo hÖ thèng m¹ng ®Ó chèng sù truy cËp tr¸i phÐp nh»m b¶o
vÖ c¸c nguån th«ng tin néi bé còng nh• h¹n chÕ sù x©m
nhËp vµo hÖ thèng cña mét sè th«ng tin kh¸c kh«ng mong
muèn. Còng cã thÓ hiÓu r»ng Firewall lµ mét c¬ chÕ ®Ó b¶o
vÖ m¹ng tin t•ëng (trusted network) khái c¸c m¹ng kh«ng tin
t•ëng (untrusted network).
Internet Firewall lµ mét thiÕt bÞ (phÇn cøng+phÇn mÒm) gi÷a
m¹ng cña mét tæ chøc, mét c«ng ty, hay mét quèc gia
(Intranet) vµ Internet. Nã thùc hiÖn vai trß b¶o mËt c¸c th«ng
tin Intranet tõ thÕ giíi Internet bªn ngoµi.
1.4.2 Chøc n¨ng
Internet Firewall (tõ nay vÒ sau gäi t¾t lµ firewall) lµ mét
thµnh phÇn ®Æt gi÷a Intranet vµ Internet ®Ó kiÓm so¸t tÊt c¶
c¸c viÖc l•u th«ng vµ truy cËp gi÷a chóng víi nhau bao
gåm:
Firewall quyÕt ®Þnh nh÷ng dÞch vô nµo tõ bªn trong ®•îc
phÐp truy cËp tõ bªn ngoµi, nh÷ng ng•êi nµo tõ bªn
ngoµi ®•îc phÐp truy cËp ®Õn c¸c dÞch vô bªn trong, vµ
c¶ nh÷ng dÞch vô nµo bªn ngoµi ®•îc phÐp truy cËp bëi
nh÷ng ng•êi bªn trong.
§Ó firewall lµm viÖc hiÖu qu¶, tÊt c¶ trao ®æi th«ng tin tõ
trong ra ngoµi vµ ng•îc l¹i ®Òu ph¶i thùc hiÖn th«ng
qua Firewall.
13
ChØ cã nh÷ng trao ®æi nµo ®•îc phÐp bëi chÕ ®é an ninh
cña hÖ thèng m¹ng néi bé míi ®•îc quyÒn l•u th«ng qua
Firewall.
S¬ ®å chøc n¨ng hÖ thèng cña firewall ®•îc m« t¶ nh• trong
h×nh 2.1
Intranet firewall Internet
H×nh 2.1 S¬ ®å chøc n¨ng hÖ thèng cña firewall
1.4.3 CÊu tróc
Firewall bao gåm:
Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi c¸c bé
®Þnh tuyÕn (router) hoÆc cã chøc n¨ng router.
C¸c phÇn mÒm qu¶n lý an ninh ch¹y trªn hÖ thèng m¸y
chñ. Th«ng th•êng lµ c¸c hÖ qu¶n trÞ x¸c thùc
(Authentication), cÊp quyÒn (Authorization) vµ kÕ to¸n
(Accounting).
Chóng ta sÏ ®Ò cËp kü h¬n c¸c ho¹t ®éng cña nh÷ng hÖ nµy
ë phÇn sau.
1.4.4 C¸c thµnh phÇn cña Firewall vµ c¬ chÕ
ho¹t ®éng
Mét Firewall chuÈn bao gåm mét hay nhiÒu c¸c thµnh phÇn
sau ®©y:
14
Bé läc packet ( packet-filtering router )
Cæng øng dông (application-level gateway hay proxy
server )
Cæng m¹ch (circuite level gateway)
1.4.4.1 Bé läc gãi tin (Packet filtering router)
1.4.4.1.1 Nguyªn lý:
Khi nãi ®Õn viÖc l•u th«ng d÷ liÖu gi÷a c¸c m¹ng víi nhau
th«ng qua Firewall th× ®iÒu ®ã cã nghÜa r»ng Firewall ho¹t
®éng chÆt chÏ víi giao thøc liªn m¹ng TCP/IP. V× giao thøc
nµy lµm viÖc theo thuËt to¸n chia nhá c¸c d÷ liÖu nhËn ®•îc
tõ c¸c øng dông trªn m¹ng, hay nãi chÝnh x¸c h¬n lµ c¸c
dÞch vô ch¹y trªn c¸c giao thøc (Telnet, SMTP, DNS,
SMNP, NFS...) thµnh c¸c gãi d÷ liÖu (data packets) råi g¸n
cho c¸c packet nµy nh÷ng ®Þa chØ ®Ó cã thÓ nhËn d¹ng, t¸i
lËp l¹i ë ®Ých cÇn göi ®Õn, do ®ã c¸c lo¹i Firewall còng liªn
quan rÊt nhiÒu ®Õn c¸c packet vµ nh÷ng con sè ®Þa chØ cña
chóng.
Bé läc packet cho phÐp hay tõ chèi mçi packet mµ nã nhËn
®•îc. Nã kiÓm tra toµn bé ®o¹n d÷ liÖu ®Ó quyÕt ®Þnh xem
®o¹n d÷ liÖu ®ã cã tho¶ m·n mét trong sè c¸c luËt lÖ cña läc
packet hay kh«ng. C¸c luËt lÖ läc packet nµy lµ dùa trªn c¸c
th«ng tin ë ®Çu mçi packet (packet header), dïng ®Ó cho
phÐp truyÒn c¸c packet ®ã ë trªn m¹ng. §ã lµ:
§Þa chØ IP n¬i xuÊt ph¸t ( IP Source address)
§Þa chØ IP n¬i nhËn (IP Destination address)
Nh÷ng thñ tôc truyÒn tin (TCP, UDP, ICMP, IP tunnel)
Cæng TCP/UDP n¬i xuÊt ph¸t (TCP/UDP source port)
Cæng TCP/UDP n¬i nhËn (TCP/UDP destination port)
15
D¹ng th«ng b¸o ICMP ( ICMP message type)
giao diÖn packet ®Õn ( incomming interface of packet)
giao diÖn packet ®i ( outcomming interface of packet)
NÕu luËt lÖ läc packet ®•îc tho¶ m·n th× packet ®•îc chuyÓn
qua firewall. NÕu kh«ng packet sÏ bÞ bá ®i. Nhê vËy mµ
Firewall cã thÓ ng¨n c¶n ®•îc c¸c kÕt nèi vµo c¸c m¸y chñ
hoÆc m¹ng nµo ®ã ®•îc x¸c ®Þnh, hoÆc kho¸ viÖc truy cËp
vµo hÖ thèng m¹ng néi bé tõ nh÷ng ®Þa chØ kh«ng cho phÐp.
H¬n n÷a, viÖc kiÓm so¸t c¸c cæng lµm cho Firewall cã kh¶
n¨ng chØ cho phÐp mét sè lo¹i kÕt nèi nhÊt ®Þnh vµo c¸c lo¹i
m¸y chñ nµo ®ã, hoÆc chØ cã nh÷ng dÞch vô nµo ®ã (Telnet,
SMTP, FTP...) ®•îc phÐp míi ch¹y ®•îc trªn hÖ thèng m¹ng
côc bé.
1.4.4.1.2 ¦u ®iÓm
§a sè c¸c hÖ thèng firewall ®Òu sö dông bé läc packet.
Mét trong nh÷ng •u ®iÓm cña ph•¬ng ph¸p dïng bé läc
packet lµ chi phÝ thÊp v× c¬ chÕ läc packet ®· ®•îc bao
gåm trong mçi phÇn mÒm router.
Ngoµi ra, bé läc packet lµ trong suèt ®èi víi ng•êi sö
dông vµ c¸c øng dông, v× vËy nã kh«ng yªu cÇu sù huÊn
luyÖn ®Æc biÖt nµo c¶.
1.4.4.1.3 H¹n chÕ:
ViÖc ®Þnh nghÜa c¸c chÕ ®é läc packet lµ mét viÖc kh¸ phøc
t¹p, nã ®ßi hái ng•êi qu¶n trÞ m¹ng cÇn cã hiÓu biÕt chi tiÕt
vÓ c¸c dÞch vô Internet, c¸c d¹ng packet header, vµ c¸c gi¸ trÞ
cô thÓ mµ hä cã thÓ nhËn trªn mçi tr•êng. Khi ®ßi hái vÓ sù
läc cµng lín, c¸c luËt lÖ vÓ läc cµng trë nªn dµi vµ phøc t¹p,
rÊt khã ®Ó qu¶n lý vµ ®iÒu khiÓn.
16
Do lµm viÖc dùa trªn header cña c¸c packet, râ rµng lµ bé läc
packet kh«ng kiÓm so¸t ®•îc néi dung th«ng tin cña packet.
C¸c packet chuyÓn qua vÉn cã thÓ mang theo nh÷ng hµnh
®éng víi ý ®å ¨n c¾p th«ng tin hay ph¸ ho¹i cña kÎ xÊu.
1.4.4.2 Cæng øng dông (application-level gateway)
1.4.4.2.1 Nguyªn lý
§©y lµ mét lo¹i Firewall ®•îc thiÕt kÕ ®Ó t¨ng c•êng chøc
n¨ng kiÓm so¸t c¸c lo¹i dÞch vô, giao thøc ®•îc cho ph