Tìm hiểu về tường lửa ( Firewall )

nternet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này.

pdf68 trang | Chia sẻ: diunt88 | Lượt xem: 3133 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Tìm hiểu về tường lửa ( Firewall ), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1 Môc lôc 1. An toµn th«ng tin trªn m¹ng ____________________________ 3 1.1 T¹i sao cÇn cã Internet Firewall ____________________________ 3 1.2 B¹n muèn b¶o vÖ c¸i g×? __________________________________ 5 1.2.1 D÷ liÖu cña b¹n _____________________________________________ 5 1.2.2 Tµi nguyªn cña b¹n __________________________________________ 5 1.2.3 Danh tiÕng cña b¹n __________________________________________ 6 1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×? __________________________ 7 1.3.1 C¸c kiÓu tÊn c«ng ___________________________________________ 7 1.3.2 Ph©n lo¹i kÎ tÊn c«ng________________________________________ 10 1.4 VËy Internet Firewall lµ g×? _______________________________ 12 1.4.1 §Þnh nghÜa ________________________________________________ 12 1.4.2 Chøc n¨ng ________________________________________________ 12 1.4.3 CÊu tróc __________________________________________________ 13 1.4.4 C¸c thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng __________________ 13 1.4.5 Nh÷ng h¹n chÕ cña firewall ___________________________________ 19 1.4.6 C¸c vÝ dô firewall ___________________________________________ 20 2. C¸c dÞch vô Internet _____________________________ 27 2.1 World Wide Web - WWW ________________________________ 28 2.2 Electronic Mail (Email hay th• ®iÖn tö). _____________________ 29 2.3 Ftp (file transfer protocol hay dÞch vô chuyÓn file) ____________ 30 2.4 Telnet vµ rlogin ________________________________________ 31 2.5 Archie _______________________________________________ 32 2.6 Finger ________________________________________________ 33 3. HÖ thèng Firewall x©y dùng bëi CSE ________________ 34 3.1 Tæng quan ____________________________________________ 35 2 3.2 C¸c thµnh phÇn cña bé ch•¬ng tr×nh proxy: __________________ 36 3.2.1 Smap: DÞch vô SMTP________________________________________ 36 3.2.2 Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng _______________________ 37 3.2.3 Ftp-Gw: Proxy server cho Ftp _________________________________ 38 3.2.4 Telnet-Gw: Proxy server cho Telnet _____________________________ 39 3.2.5 Rlogin-Gw: Proxy server cho rlogin ____________________________ 39 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net ________________________ 40 3.2.7 Plug-Gw: TCP Plug-Board Connection server _____________________ 40 3.3 Cµi ®Æt _______________________________________________ 41 3.4 ThiÕt lËp cÊu h×nh: ______________________________________ 42 3.4.1 CÊu h×nh m¹ng ban ®Çu ______________________________________ 42 3.4.2 CÊu h×nh cho Bastion Host ___________________________________ 42 3.4.3 ThiÕt lËp tËp hîp quy t¾c _____________________________________ 45 3.4.4 X¸c thùc vµ dÞch vô x¸c thùc __________________________________ 54 3.4.5 Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy: ________________________ 60 3.4.6 C¸c vÊn ®Ò cÇn quan t©m víi ng•êi sö dông ______________________ 64 3 1. An toµn th«ng tin trªn m¹ng 1.1 T¹i sao cÇn cã Internet Firewall HiÖn nay, kh¸i niÖm m¹ng toµn cÇu - Internet kh«ng cßn míi mÎ. Nã ®· trë nªn phæ biÕn tíi møc kh«ng cÇn ph¶i chó gi¶i g× thªm trong nh÷ng t¹p chÝ kü thuËt, cßn trªn nh÷ng t¹p chÝ kh¸c th× trµn ngËp nh÷ng bµi viÕt dµi, ng¾n vÒ Internet. Khi nh÷ng t¹p chÝ th«ng th•êng chó träng vµo Internet th× giê ®©y, nh÷ng t¹p chÝ kü thuËt l¹i tËp trung vµo khÝa c¹nh kh¸c: an toµn th«ng tin. §ã cïng lµ mét qu¸ tr×nh tiÕn triÓn hîp logic: khi nh÷ng vui thÝch ban ®Çu vÒ mét siªu xa lé th«ng tin, b¹n nhÊt ®Þnh nhËn thÊy r»ng kh«ng chØ cho phÐp b¹n truy nhËp vµo nhiÒu n¬i trªn thÕ giíi, Internet cßn cho phÐp nhiÒu ng•êi kh«ng mêi mµ tù ý ghÐ th¨m m¸y tÝnh cña b¹n. Thùc vËy, Internet cã nh÷ng kü thuËt tuyÖt vêi cho phÐp mäi ng•êi truy nhËp, khai th¸c, chia sÎ th«ng tin. Nh÷ng nã còng lµ nguy c¬ chÝnh dÉn ®Õn th«ng tin cña b¹n bÞ h• háng hoÆc ph¸ huû hoµn toµn. Theo sè liÖu cña CERT(Computer Emegency Response Team - ‚§éi cÊp cøu m¸y tÝnh‛), sè l­îng c¸c vô tÊn c«ng trªn Internet ®•îc th«ng b¸o cho tæ chøc nµy lµ Ýt h¬n 200 vµo n¨m 1989, kho¶ng 400 vµo n¨m 1991, 1400 vµo n¨m 1993, vµ 2241 vµo n¨m 1994. Nh÷ng vô tÊn c«ng nµy nh»m vµo tÊt c¶ c¸c m¸y tÝnh cã mÆt trªn Internet, c¸c m¸y tÝnh cña tÊt c¶ c¸c c«ng ty lín nh• AT&T, IBM, c¸c tr•êng ®¹i häc, c¸c c¬ quan nhµ n•íc, c¸c tæ chøc qu©n sù, nhµ b¨ng... Mét sè vô tÊn c«ng cã quy m« khæng lå (cã tíi 100.000 m¸y tÝnh bÞ tÊn c«ng). H¬n n÷a, nh÷ng con sè nµy chØ lµ phÇn næi cña t¶ng b¨ng. Mét phÇn rÊt lín c¸c vô tÊn c«ng kh«ng ®•îc th«ng b¸o, v× nhiÒu lý do, trong ®ã cã thÓ kÓ 4 ®Õn nçi lo bÞ mÊt uy tÝn, hoÆc ®¬n gi¶n nh÷ng ng•êi qu¶n trÞ hÖ thèng kh«ng hÒ hay biÕt nh÷ng cuéc tÊn c«ng nh»m vµo hÖ thèng cña hä. Kh«ng chØ sè l•îng c¸c cuéc tÊn c«ng t¨ng lªn nhanh chãng, mµ c¸c ph•¬ng ph¸p tÊn c«ng còng liªn tôc ®•îc hoµn thiÖn. §iÒu ®ã mét phÇn do c¸c nh©n viªn qu¶n trÞ hÖ thèng ®•îc kÕt nèi víi Internet ngµy cµng ®Ò cao c¶nh gi¸c. Còng theo CERT, nh÷ng cuéc tÊn c«ng thêi kú 1988-1989 chñ yÕu ®o¸n tªn ng•êi sö dông-mËt khÈu (UserID-password) hoÆc sö dông mét sè lçi cña c¸c ch•¬ng tr×nh vµ hÖ ®iÒu hµnh (security hole) lµm v« hiÖu hÖ thèng b¶o vÖ, tuy nhiªn c¸c cuéc tÊn c«ng vµo thêi gian gÇn ®©y bao gåm c¶ c¸c thao t¸c nh• gi¶ m¹o ®Þa chØ IP, theo dâi th«ng tin truyÒn qua m¹ng, chiÕm c¸c phiªn lµm viÖc tõ xa (telnet hoÆc rlogin). 5 1.2 B¹n muèn b¶o vÖ c¸i g×? NhiÖm vô c¬ b¶n cña Firewall lµ b¶o vÖ. NÕu b¹n muèn x©y dùng firewall, viÖc ®Çu tiªn b¹n cÇn xem xÐt chÝnh lµ b¹n cÇn b¶o vÖ c¸i g×. 1.2.1 D÷ liÖu cña b¹n Nh÷ng th«ng tin l•u tr÷ trªn hÖ thèng m¸y tÝnh cÇn ®•îc b¶o vÖ do c¸c yªu cÇu sau:  B¶o mËt: Nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, qu©n sù, chÝnh s¸ch vv... cÇn ®•îc gi÷ kÝn.  TÝnh toµn vÑn: Th«ng tin kh«ng bÞ mÊt m¸t hoÆc söa ®æi, ®¸nh tr¸o.  TÝnh kÞp thêi: Yªu cÇu truy nhËp th«ng tin vµo ®óng thêi ®iÓm cÇn thiÕt. Trong c¸c yªu cÇu nµy, th«ng th•êng yªu cÇu vÒ b¶o mËt ®•îc coi lµ yªu cÇu sè 1 ®èi víi th«ng tin l•u tr÷ trªn m¹ng. Tuy nhiªn, ngay c¶ khi nh÷ng th«ng tin nµy kh«ng ®•îc gi÷ bÝ mËt, th× nh÷ng yªu cÇu vÒ tÝnh toµn vÑn còng rÊt quan träng. Kh«ng mét c¸ nh©n, mét tæ chøc nµo l·ng phÝ tµi nguyªn vËt chÊt vµ thêi gian ®Ó l•u tr÷ nh÷ng th«ng tin mµ kh«ng biÕt vÒ tÝnh ®óng ®¾n cña nh÷ng th«ng tin ®ã. 1.2.2 Tµi nguyªn cña b¹n Trªn thùc tÕ, trong c¸c cuéc tÊn c«ng trªn Internet, kÎ tÊn c«ng, sau khi ®· lµm chñ ®•îc hÖ thèng bªn trong, cã thÓ sö dông c¸c m¸y nµy ®Ó phôc vô cho môc ®Ých cña m×nh nh• ch¹y c¸c ch•¬ng tr×nh dß mËt khÈu ng•êi sö dông, sö dông c¸c liªn kÕt m¹ng s½n cã ®Ó tiÕp tôc tÊn c«ng c¸c hÖ thèng kh¸c vv... 6 1.2.3 Danh tiÕng cña b¹n Nh• trªn ®· nªu, mét phÇn lín c¸c cuéc tÊn c«ng kh«ng ®•îc th«ng b¸o réng r·i, vµ mét trong nh÷ng nguyªn nh©n lµ nçi lo bÞ mÊt uy tÝn cña c¬ quan, ®Æc biÖt lµ c¸c c«ng ty lín vµ c¸c c¬ quan quan träng trong bé m¸y nhµ n•íc. Trong tr•êng hîp ng•êi qu¶n trÞ hÖ thèng chØ ®•îc biÕt ®Õn sau khi chÝnh hÖ thèng cña m×nh ®•îc dïng lµm bµn ®¹p ®Ó tÊn c«ng c¸c hÖ thèng kh¸c, th× tæn thÊt vÒ uy tÝn lµ rÊt lín vµ cã thÓ ®Ó l¹i hËu qu¶ l©u dµi. 7 1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×? Cßn nh÷ng g× b¹n cÇn ph¶i lo l¾ng. B¹n sÏ ph¶i ®•¬ng ®Çu víi nh÷ng kiÓu tÊn c«ng nµo trªn Internet vµ nh÷ng kÎ nµo sÏ thùc hiÖn chóng? 1.3.1 C¸c kiÓu tÊn c«ng Cã rÊt nhiÒu kiÓu tÊn c«ng vµo hÖ thèng, vµ cã nhiÒu c¸ch ®Ó ph©n lo¹i nh÷ng kiÓu tÊn c«ng nµy. ë ®©y, chóng ta chia thµnh 3 kiÓu chÝnh nh• sau: 1.3.1.1 TÊn c«ng trùc tiÕp Nh÷ng cuéc tÊn c«ng trùc tiÕp th«ng th•êng ®•îc sö dông trong giai ®o¹n ®Çu ®Ó chiÕm ®•îc quyÒn truy nhËp bªn trong. Mét ph•¬ng ph¸p tÊn c«ng cæ ®iÓn lµ dß cÆp tªn ng•êi sö dông-mËt khÈu. §©y lµ ph•¬ng ph¸p ®¬n gi¶n, dÔ thùc hiÖn vµ kh«ng ®ßi hái mét ®iÒu kiÖn ®Æc biÖt nµo ®Ó b¾t ®Çu. KÎ tÊn c«ng cã thÓ sö dông nh÷ng th«ng tin nh• tªn ng•êi dïng, ngµy sinh, ®Þa chØ, sè nhµ vv.. ®Ó ®o¸n mËt khÈu. Trong tr•êng hîp cã ®•îc danh s¸ch ng•êi sö dông vµ nh÷ng th«ng tin vÒ m«i tr•êng lµm viÖc, cã mét tr•¬ng tr×nh tù ®éng ho¸ vÒ viÖc dß t×m mËt khÈu nµy. mét tr•¬ng tr×nh cã thÓ dÔ dµng lÊy ®•îc tõ Internet ®Ó gi¶i c¸c mËt khÈu ®· m· ho¸ cña c¸c hÖ thèng unix cã tªn lµ crack, cã kh¶ n¨ng thö c¸c tæ hîp c¸c tõ trong mét tõ ®iÓn lín, theo nh÷ng quy t¾c do ng•êi dïng tù ®Þnh nghÜa. Trong mét sè tr•êng hîp, kh¶ n¨ng thµnh c«ng cña ph•¬ng ph¸p nµy cã thÓ lªn tíi 30%. Ph•¬ng ph¸p sö dông c¸c lçi cña ch•¬ng tr×nh øng dông vµ b¶n th©n hÖ ®iÒu hµnh ®· ®•îc sö dông tõ nh÷ng vô tÊn c«ng ®Çu tiªn vµ vÉn ®•îc tiÕp tôc ®Ó chiÕm quyÒn truy nhËp. Trong mét sè tr•êng hîp ph•¬ng ph¸p nµy cho phÐp kÎ tÊn 8 c«ng cã ®•îc quyÒn cña ng•êi qu¶n trÞ hÖ thèng (root hay administrator). Hai vÝ dô th•êng xuyªn ®•îc ®•a ra ®Ó minh ho¹ cho ph•¬ng ph¸p nµy lµ vÝ dô víi ch•¬ng tr×nh sendmail vµ ch•¬ng tr×nh rlogin cña hÖ ®iÒu hµnh UNIX. Sendmail lµ mét ch•¬ng tr×nh phøc t¹p, víi m· nguån bao gåm hµng ngµn dßng lÖnh cña ng«n ng÷ C. Sendmail ®•îc ch¹y víi quyÒn •u tiªn cña ng•êi qu¶n trÞ hÖ thèng, do ch•¬ng tr×nh ph¶i cã quyÒn ghi vµo hép th• cña nh÷ng ng•êi sö dông m¸y. Vµ Sendmail trùc tiÕp nhËn c¸c yªu cÇu vÒ th• tÝn trªn m¹ng bªn ngoµi. §©y chÝnh lµ nh÷ng yÕu tè lµm cho sendmail trë thµnh mét nguån cung cÊp nh÷ng lç hæng vÒ b¶o mËt ®Ó truy nhËp hÖ thèng. Rlogin cho phÐp ng•êi sö dông tõ mét m¸y trªn m¹ng truy nhËp tõ xa vµo mét m¸y kh¸c sö dông tµi nguyªn cña m¸y nµy. Trong qu¸ tr×nh nhËn tªn vµ mËt khÈu cña ng•êi sö dông, rlogin kh«ng kiÓm tra ®é dµi cña dßng nhËp, do ®ã kÎ tÊn c«ng cã thÓ ®•a vµo mét x©u ®· ®•îc tÝnh to¸n tr•íc ®Ó ghi ®Ì lªn m· ch•¬ng tr×nh cña rlogin, qua ®ã chiÕm ®•îc quyÒn truy nhËp. 1.3.1.2 Nghe trém ViÖc nghe trém th«ng tin trªn m¹ng cã thÓ ®•a l¹i nh÷ng th«ng tin cã Ých nh• tªn-mËt khÈu cña ng•êi sö dông, c¸c th«ng tin mËt chuyÓn qua m¹ng. ViÖc nghe trém th•êng ®•îc tiÕn hµnh ngay sau khi kÎ tÊn c«ng ®· chiÕm ®•îc quyÒn truy nhËp hÖ thèng, th«ng qua c¸c ch•¬ng tr×nh cho phÐp ®•a vØ giao tiÕp m¹ng (Network Interface Card-NIC) vµo chÕ ®é nhËn toµn bé c¸c th«ng tin l•u truyÒn trªn m¹ng. Nh÷ng th«ng tin nµy còng cã thÓ dÔ dµng lÊy ®•îc trªn Internet. 9 1.3.1.3 Gi¶ m¹o ®Þa chØ ViÖc gi¶ m¹o ®Þa chØ IP cã thÓ ®•îc thùc hiÖn th«ng qua viÖc sö dông kh¶ n¨ng dÉn ®•êng trùc tiÕp (source-routing). Víi c¸ch tÊn c«ng nµy, kÎ tÊn c«ng göi c¸c gãi tin IP tíi m¹ng bªn trong víi mét ®Þa chØ IP gi¶ m¹o (th«ng th•êng lµ ®Þa chØ cña mét m¹ng hoÆc mét m¸y ®•îc coi lµ an toµn ®èi víi m¹ng bªn trong), ®ång thêi chØ râ ®•êng dÉn mµ c¸c gãi tin IP ph¶i göi ®i. 1.3.1.4 V« hiÖu ho¸ c¸c chøc n¨ng cña hÖ thèng (denial of service) §©y lµ kÓu tÊn c«ng nh»m tª liÖt hÖ thèng, kh«ng cho nã thùc hiÖn chøc n¨ng mµ nã thiÕt kÕ. KiÓu tÊn c«ng nµy kh«ng thÓ ng¨n chÆn ®•îc, do nh÷ng ph•¬ng tiÖn ®•îc tæ chøc tÊn c«ng còng chÝnh lµ c¸c ph•¬ng tiÖn ®Ó lµm viÖc vµ truy nhËp th«ng tin trªn m¹ng. VÝ dô sö dông lÖnh ping víi tèc ®é cao nhÊt cã thÓ, buéc mét hÖ thèng tiªu hao toµn bé tèc ®é tÝnh to¸n vµ kh¶ n¨ng cña m¹ng ®Ó tr¶ lêi c¸c lÖnh nµy, kh«ng cßn c¸c tµi nguyªn ®Ó thùc hiÖn nh÷ng c«ng viÖc cã Ých kh¸c. 1.3.1.5 Lçi cña ng•êi qu¶n trÞ hÖ thèng §©y kh«ng ph¶i lµ mét kiÓu tÊn c«ng cña nh÷ng kÎ ®ét nhËp, tuy nhiªn lçi cña ng•êi qu¶n trÞ hÖ thèng th•êng t¹o ra nh÷ng lç hæng cho phÐp kÎ tÊn c«ng sö dông ®Ó truy nhËp vµo m¹ng néi bé. 1.3.1.6 TÊn c«ng vµo yÕu tè con ng•êi KÎ tÊn c«ng cã thÓ liªn l¹c víi mét ng•êi qu¶n trÞ hÖ thèng, gi¶ lµm mét ng•êi sö dông ®Ó yªu cÇu thay ®æi mËt khÈu, thay ®æi quyÒn truy nhËp cña m×nh ®èi víi hÖ thèng, hoÆc thËm chÝ thay ®æi mét sè cÊu h×nh cña hÖ thèng ®Ó thùc hiÖn c¸c ph•¬ng ph¸p tÊn c«ng kh¸c. Víi kiÓu tÊn c«ng nµy 10 kh«ng mét thiÕt bÞ nµo cã thÓ ng¨n chÆn mét c¸ch h÷u hiÖu, vµ chØ cã mét c¸ch gi¸o dôc ng•êi sö dông m¹ng néi bé vÒ nh÷ng yªu cÇu b¶o mËt ®Ó ®Ò cao c¶nh gi¸c víi nh÷ng hiÖn t•îng ®¸ng nghi. Nãi chung yÕu tè con ng•êi lµ mét ®iÓm yÕu trong bÊt kú mét hÖ thèng b¶o vÖ nµo, vµ chØ cã sù gi¸o dôc céng víi tinh thÇn hîp t¸c tõ phÝa ng•êi sö dông cã thÓ n©ng cao ®•îc ®é an toµn cña hÖ thèng b¶o vÖ. 1.3.2 Ph©n lo¹i kÎ tÊn c«ng Cã rÊt nhiÒu kÎ tÊn c«ng trªn m¹ng toµn cÇu – Internet vµ chóng ta còng kh«ng thÓ ph©n lo¹i chóng mét c¸ch chÝnh x¸c, bÊt cø mét b¶n ph©n lo¹i kiÓu nµy còng chØ nªn ®•îc xem nh• lµ mét sù giíi thiÖu h¬n lµ mét c¸ch nh×n rËp khu«n. 1.3.2.1 Ng•êi qua ®•êng Ng•êi qua ®•êng lµ nh÷ng kÎ buån ch¸n víi nh÷ng c«ng viÖc th•êng ngµy, hä muèn t×m nh÷ng trß gi¶i trÝ míi. Hä ®ét nhËp vµo m¸y tÝnh cña b¹n v× hä nghÜ b¹n cã thÓ cã nh÷ng d÷ liÖu hay, hoÆc bëi v× hä c¶m thÊy thÝch thó khi sö dông m¸y tÝnh cña ng•êi kh¸c, hoÆc chØ ®¬n gi¶n lµ hä kh«ng t×m ®•îc mét viÖc g× hay h¬n ®Ó lµm. Hä cã thÓ lµ ng•êi tß mß nh•ng kh«ng chñ ®Þnh lµm h¹i b¹n. Tuy nhiªn, hä th•êng g©y h• háng hÖ thèng khi ®ét nhËp hay khi xo¸ bá dÊu vÕt cña hä. 1.3.2.2 KÎ ph¸ ho¹i KÎ ph¸ ho¹i chñ ®Þnh ph¸ ho¹i hÖ thèng cña b¹n, hä cã thÓ kh«ng thÝch b¹n, hä còng cã thÓ kh«ng biÕt b¹n nh•ng hä t×m thÊy niÒm vui khi ®i ph¸ ho¹i. Th«ng th•êng, trªn Internet kÎ ph¸ ho¹i kh¸ hiÕm. Mäi ng•êi kh«ng thÝch hä. NhiÒu ng•êi cßn thÝch t×m vµ chÆn ®øng 11 nh÷ng kÎ ph¸ ho¹i. Tuy Ýt nh•ng kÎ ph¸ ho¹i th•êng g©y háng trÇm träng cho hÖ thèng cña b¹n nh• xo¸ toµn bé d÷ liÖu, ph¸ háng c¸c thiÕt bÞ trªn m¸y tÝnh cña b¹n... 1.3.2.3 KÎ ghi ®iÓm RÊt nhiÒu kÎ qua ®•êng bÞ cuèn hót vµo viÖc ®ét nhËp, ph¸ ho¹i. Hä muèn ®•îc kh¼ng ®Þnh m×nh th«ng qua sè l•îng vµ c¸c kiÓu hÖ thèng mµ hä ®· ®ét nhËp qua. §ét nhËp ®•îc vµo nh÷ng n¬i næi tiÕng, nh÷ng n¬i phßng bÞ chÆt chÏ, nh÷ng n¬i thiÕt kÕ tinh x¶o cã gi¸ trÞ nhiÒu ®iÓm ®èi víi hä. Tuy nhiªn hä còng sÏ tÊn c«ng tÊt c¶ nh÷ng n¬i hä cã thÓ, víi môc ®Ých sè l•îng còng nh• môc ®Ých chÊt l•îng. Nh÷ng ng•êi nµy kh«ng quan t©m ®Õn nh÷ng th«ng tin b¹n cã hay nh÷ng ®Æc tÝnh kh¸c vÒ tµi nguyªn cña b¹n. Tuy nhiªn ®Ó ®¹t ®•îc môc ®Ých lµ ®ét nhËp, v« t×nh hay h÷u ý hä sÏ lµm h• háng hÖ thèng cña b¹n. 1.3.2.4 Gi¸n ®iÖp HiÖn nay cã rÊt nhiÒu th«ng tin quan träng ®•îc l•u tr÷ trªn m¸y tÝnh nh• c¸c th«ng tin vÒ qu©n sù, kinh tÕ... Gi¸n ®iÖp m¸y tÝnh lµ mét vÊn ®Ò phøc t¹p vµ khã ph¸t hiÖn. Thùc tÕ, phÇn lín c¸c tæ chøc kh«ng thÓ phßng thñ kiÓu tÊn c«ng nµy mét c¸ch hiÖu qu¶ vµ b¹n cã thÓ ch¾c r»ng ®•êng liªn kÕt víi Internet kh«ng ph¶i lµ con ®•êng dÔ nhÊt ®Ó gi¸n ®iÖp thu l•îm th«ng tin. 12 1.4 VËy Internet Firewall lµ g×? 1.4.1 §Þnh nghÜa ThuËt ng÷ Firewall cã nguån gèc tõ mét kü thuËt thiÕt kÕ trong x©y dùng ®Ó ng¨n chÆn, h¹n chÕ ho¶ ho¹n. Trong c«ng nghÖ m¹ng th«ng tin, Firewall lµ mét kü thuËt ®•îc tÝch hîp vµo hÖ thèng m¹ng ®Ó chèng sù truy cËp tr¸i phÐp nh»m b¶o vÖ c¸c nguån th«ng tin néi bé còng nh• h¹n chÕ sù x©m nhËp vµo hÖ thèng cña mét sè th«ng tin kh¸c kh«ng mong muèn. Còng cã thÓ hiÓu r»ng Firewall lµ mét c¬ chÕ ®Ó b¶o vÖ m¹ng tin t•ëng (trusted network) khái c¸c m¹ng kh«ng tin t•ëng (untrusted network). Internet Firewall lµ mét thiÕt bÞ (phÇn cøng+phÇn mÒm) gi÷a m¹ng cña mét tæ chøc, mét c«ng ty, hay mét quèc gia (Intranet) vµ Internet. Nã thùc hiÖn vai trß b¶o mËt c¸c th«ng tin Intranet tõ thÕ giíi Internet bªn ngoµi. 1.4.2 Chøc n¨ng Internet Firewall (tõ nay vÒ sau gäi t¾t lµ firewall) lµ mét thµnh phÇn ®Æt gi÷a Intranet vµ Internet ®Ó kiÓm so¸t tÊt c¶ c¸c viÖc l•u th«ng vµ truy cËp gi÷a chóng víi nhau bao gåm: Firewall quyÕt ®Þnh nh÷ng dÞch vô nµo tõ bªn trong ®•îc phÐp truy cËp tõ bªn ngoµi, nh÷ng ng•êi nµo tõ bªn ngoµi ®•îc phÐp truy cËp ®Õn c¸c dÞch vô bªn trong, vµ c¶ nh÷ng dÞch vô nµo bªn ngoµi ®•îc phÐp truy cËp bëi nh÷ng ng•êi bªn trong. §Ó firewall lµm viÖc hiÖu qu¶, tÊt c¶ trao ®æi th«ng tin tõ trong ra ngoµi vµ ng•îc l¹i ®Òu ph¶i thùc hiÖn th«ng qua Firewall. 13 ChØ cã nh÷ng trao ®æi nµo ®•îc phÐp bëi chÕ ®é an ninh cña hÖ thèng m¹ng néi bé míi ®•îc quyÒn l•u th«ng qua Firewall. S¬ ®å chøc n¨ng hÖ thèng cña firewall ®•îc m« t¶ nh• trong h×nh 2.1 Intranet firewall Internet H×nh 2.1 S¬ ®å chøc n¨ng hÖ thèng cña firewall 1.4.3 CÊu tróc Firewall bao gåm: Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi c¸c bé ®Þnh tuyÕn (router) hoÆc cã chøc n¨ng router. C¸c phÇn mÒm qu¶n lý an ninh ch¹y trªn hÖ thèng m¸y chñ. Th«ng th•êng lµ c¸c hÖ qu¶n trÞ x¸c thùc (Authentication), cÊp quyÒn (Authorization) vµ kÕ to¸n (Accounting). Chóng ta sÏ ®Ò cËp kü h¬n c¸c ho¹t ®éng cña nh÷ng hÖ nµy ë phÇn sau. 1.4.4 C¸c thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng Mét Firewall chuÈn bao gåm mét hay nhiÒu c¸c thµnh phÇn sau ®©y: 14 Bé läc packet ( packet-filtering router ) Cæng øng dông (application-level gateway hay proxy server ) Cæng m¹ch (circuite level gateway) 1.4.4.1 Bé läc gãi tin (Packet filtering router) 1.4.4.1.1 Nguyªn lý: Khi nãi ®Õn viÖc l•u th«ng d÷ liÖu gi÷a c¸c m¹ng víi nhau th«ng qua Firewall th× ®iÒu ®ã cã nghÜa r»ng Firewall ho¹t ®éng chÆt chÏ víi giao thøc liªn m¹ng TCP/IP. V× giao thøc nµy lµm viÖc theo thuËt to¸n chia nhá c¸c d÷ liÖu nhËn ®•îc tõ c¸c øng dông trªn m¹ng, hay nãi chÝnh x¸c h¬n lµ c¸c dÞch vô ch¹y trªn c¸c giao thøc (Telnet, SMTP, DNS, SMNP, NFS...) thµnh c¸c gãi d÷ liÖu (data packets) råi g¸n cho c¸c packet nµy nh÷ng ®Þa chØ ®Ó cã thÓ nhËn d¹ng, t¸i lËp l¹i ë ®Ých cÇn göi ®Õn, do ®ã c¸c lo¹i Firewall còng liªn quan rÊt nhiÒu ®Õn c¸c packet vµ nh÷ng con sè ®Þa chØ cña chóng. Bé läc packet cho phÐp hay tõ chèi mçi packet mµ nã nhËn ®•îc. Nã kiÓm tra toµn bé ®o¹n d÷ liÖu ®Ó quyÕt ®Þnh xem ®o¹n d÷ liÖu ®ã cã tho¶ m·n mét trong sè c¸c luËt lÖ cña läc packet hay kh«ng. C¸c luËt lÖ läc packet nµy lµ dùa trªn c¸c th«ng tin ë ®Çu mçi packet (packet header), dïng ®Ó cho phÐp truyÒn c¸c packet ®ã ë trªn m¹ng. §ã lµ: §Þa chØ IP n¬i xuÊt ph¸t ( IP Source address) §Þa chØ IP n¬i nhËn (IP Destination address) Nh÷ng thñ tôc truyÒn tin (TCP, UDP, ICMP, IP tunnel) Cæng TCP/UDP n¬i xuÊt ph¸t (TCP/UDP source port) Cæng TCP/UDP n¬i nhËn (TCP/UDP destination port) 15 D¹ng th«ng b¸o ICMP ( ICMP message type) giao diÖn packet ®Õn ( incomming interface of packet) giao diÖn packet ®i ( outcomming interface of packet) NÕu luËt lÖ läc packet ®•îc tho¶ m·n th× packet ®•îc chuyÓn qua firewall. NÕu kh«ng packet sÏ bÞ bá ®i. Nhê vËy mµ Firewall cã thÓ ng¨n c¶n ®•îc c¸c kÕt nèi vµo c¸c m¸y chñ hoÆc m¹ng nµo ®ã ®•îc x¸c ®Þnh, hoÆc kho¸ viÖc truy cËp vµo hÖ thèng m¹ng néi bé tõ nh÷ng ®Þa chØ kh«ng cho phÐp. H¬n n÷a, viÖc kiÓm so¸t c¸c cæng lµm cho Firewall cã kh¶ n¨ng chØ cho phÐp mét sè lo¹i kÕt nèi nhÊt ®Þnh vµo c¸c lo¹i m¸y chñ nµo ®ã, hoÆc chØ cã nh÷ng dÞch vô nµo ®ã (Telnet, SMTP, FTP...) ®•îc phÐp míi ch¹y ®•îc trªn hÖ thèng m¹ng côc bé. 1.4.4.1.2 ¦u ®iÓm  §a sè c¸c hÖ thèng firewall ®Òu sö dông bé läc packet. Mét trong nh÷ng •u ®iÓm cña ph•¬ng ph¸p dïng bé läc packet lµ chi phÝ thÊp v× c¬ chÕ läc packet ®· ®•îc bao gåm trong mçi phÇn mÒm router.  Ngoµi ra, bé läc packet lµ trong suèt ®èi víi ng•êi sö dông vµ c¸c øng dông, v× vËy nã kh«ng yªu cÇu sù huÊn luyÖn ®Æc biÖt nµo c¶. 1.4.4.1.3 H¹n chÕ: ViÖc ®Þnh nghÜa c¸c chÕ ®é läc packet lµ mét viÖc kh¸ phøc t¹p, nã ®ßi hái ng•êi qu¶n trÞ m¹ng cÇn cã hiÓu biÕt chi tiÕt vÓ c¸c dÞch vô Internet, c¸c d¹ng packet header, vµ c¸c gi¸ trÞ cô thÓ mµ hä cã thÓ nhËn trªn mçi tr•êng. Khi ®ßi hái vÓ sù läc cµng lín, c¸c luËt lÖ vÓ läc cµng trë nªn dµi vµ phøc t¹p, rÊt khã ®Ó qu¶n lý vµ ®iÒu khiÓn. 16 Do lµm viÖc dùa trªn header cña c¸c packet, râ rµng lµ bé läc packet kh«ng kiÓm so¸t ®•îc néi dung th«ng tin cña packet. C¸c packet chuyÓn qua vÉn cã thÓ mang theo nh÷ng hµnh ®éng víi ý ®å ¨n c¾p th«ng tin hay ph¸ ho¹i cña kÎ xÊu. 1.4.4.2 Cæng øng dông (application-level gateway) 1.4.4.2.1 Nguyªn lý §©y lµ mét lo¹i Firewall ®•îc thiÕt kÕ ®Ó t¨ng c•êng chøc n¨ng kiÓm so¸t c¸c lo¹i dÞch vô, giao thøc ®•îc cho ph