Tìm hiểu về tường lửa ( Firewall )

1 Môc lôc 1. An toµn th«ng tin trªn m¹ng ____________________________ 3 1.1 T¹i sao cÇn cã Internet Firewall ____________________________ 3 1.2 B¹n muèn b¶o vÖ c¸i g×? __________________________________ 5 1.2.1 D÷ liÖu cña b¹n _____________________________________________ 5 1.2.2 Tµi nguyªn cña b¹n __________________________________________ 5 1.2.3 Danh tiÕng cña b¹n __________________________________________ 6 1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×? __________________________ 7 1.3.1 C¸c kiÓu tÊn c«ng ___________________________________________ 7 1.3.2 Ph©n lo¹i kÎ tÊn c«ng________________________________________ 10 1.4 VËy Internet Firewall lµ g×? _______________________________ 12 1.4.1 §Þnh nghÜa ________________________________________________ 12 1.4.2 Chøc n¨ng ________________________________________________ 12 1.4.3 CÊu tróc __________________________________________________ 13 1.4.4 C¸c thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng __________________ 13 1.4.5 Nh÷ng h¹n chÕ cña firewall ___________________________________ 19 1.4.6 C¸c vÝ dô firewall ___________________________________________ 20 2. C¸c dÞch vô Internet _____________________________ 27 2.1 World Wide Web - WWW ________________________________ 28 2.2 Electronic Mail (Email hay th• ®iÖn tö). _____________________ 29 2.3 Ftp (file transfer protocol hay dÞch vô chuyÓn file) ____________ 30 2.4 Telnet vµ rlogin ________________________________________ 31 2.5 Archie _______________________________________________ 32 2.6 Finger ________________________________________________ 33 3. HÖ thèng Firewall x©y dùng bëi CSE ________________ 34 3.1 Tæng quan ____________________________________________ 35 2 3.2 C¸c thµnh phÇn cña bé ch•¬ng tr×nh proxy: __________________ 36 3.2.1 Smap: DÞch vô SMTP________________________________________ 36 3.2.2 Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng _______________________ 37 3.2.3 Ftp-Gw: Proxy server cho Ftp _________________________________ 38 3.2.4 Telnet-Gw: Proxy server cho Telnet _____________________________ 39 3.2.5 Rlogin-Gw: Proxy server cho rlogin ____________________________ 39 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net ________________________ 40 3.2.7 Plug-Gw: TCP Plug-Board Connection server _____________________ 40 3.3 Cµi ®Æt _______________________________________________ 41 3.4 ThiÕt lËp cÊu h×nh: ______________________________________ 42 3.4.1 CÊu h×nh m¹ng ban ®Çu ______________________________________ 42 3.4.2 CÊu h×nh cho Bastion Host ___________________________________ 42 3.4.3 ThiÕt lËp tËp hîp quy t¾c _____________________________________ 45 3.4.4 X¸c thùc vµ dÞch vô x¸c thùc __________________________________ 54 3.4.5 Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy: ________________________ 60 3.4.6 C¸c vÊn ®Ò cÇn quan t©m víi ng•êi sö dông ______________________ 64 3 1. An toµn th«ng tin trªn m¹ng 1.1 T¹i sao cÇn cã Internet Firewall HiÖn nay, kh¸i niÖm m¹ng toµn cÇu - Internet kh«ng cßn míi mÎ. Nã ®· trë nªn phæ biÕn tíi møc kh«ng cÇn ph¶i chó gi¶i g× thªm trong nh÷ng t¹p chÝ kü thuËt, cßn trªn nh÷ng t¹p chÝ kh¸c th× trµn ngËp nh÷ng bµi viÕt dµi, ng¾n vÒ Internet. Khi nh÷ng t¹p chÝ th«ng th•êng chó träng vµo Internet th× giê ®©y, nh÷ng t¹p chÝ kü thuËt l¹i tËp trung vµo khÝa c¹nh kh¸c: an toµn th«ng tin. §ã cïng lµ mét qu¸ tr×nh tiÕn triÓn hîp logic: khi nh÷ng vui thÝch ban ®Çu vÒ mét siªu xa lé th«ng tin, b¹n nhÊt ®Þnh nhËn thÊy r»ng kh«ng chØ cho phÐp b¹n truy nhËp vµo nhiÒu n¬i trªn thÕ giíi, Internet cßn cho phÐp nhiÒu ng•êi kh«ng mêi mµ tù ý ghÐ th¨m m¸y tÝnh cña b¹n. Thùc vËy, Internet cã nh÷ng kü thuËt tuyÖt vêi cho phÐp mäi ng•êi truy nhËp, khai th¸c, chia sÎ th«ng tin. Nh÷ng nã còng lµ nguy c¬ chÝnh dÉn ®Õn th«ng tin cña b¹n bÞ h• háng hoÆc ph¸ huû hoµn toµn. Theo sè liÖu cña CERT(Computer Emegency Response Team - ‚§éi cÊp cøu m¸y tÝnh‛), sè l­îng c¸c vô tÊn c«ng trªn Internet ®•îc th«ng b¸o cho tæ chøc nµy lµ Ýt h¬n 200 vµo n¨m 1989, kho¶ng 400 vµo n¨m 1991, 1400 vµo n¨m 1993, vµ 2241 vµo n¨m 1994. Nh÷ng vô tÊn c«ng nµy nh»m vµo tÊt c¶ c¸c m¸y tÝnh cã mÆt trªn Internet, c¸c m¸y tÝnh cña tÊt c¶ c¸c c«ng ty lín nh• AT&T, IBM, c¸c tr•êng ®¹i häc, c¸c c¬ quan nhµ n•íc, c¸c tæ chøc qu©n sù, nhµ b¨ng... Mét sè vô tÊn c«ng cã quy m« khæng lå (cã tíi 100.000 m¸y tÝnh bÞ tÊn c«ng). H¬n n÷a, nh÷ng con sè nµy chØ lµ phÇn næi cña t¶ng b¨ng. Mét phÇn rÊt lín c¸c vô tÊn c«ng kh«ng ®•îc th«ng b¸o, v× nhiÒu lý do, trong ®ã cã thÓ kÓ 4 ®Õn nçi lo bÞ mÊt uy tÝn, hoÆc ®¬n gi¶n nh÷ng ng•êi qu¶n trÞ hÖ thèng kh«ng hÒ hay biÕt nh÷ng cuéc tÊn c«ng nh»m vµo hÖ thèng cña hä. Kh«ng chØ sè l•îng c¸c cuéc tÊn c«ng t¨ng lªn nhanh chãng, mµ c¸c ph•¬ng ph¸p tÊn c«ng còng liªn tôc ®•îc hoµn thiÖn. §iÒu ®ã mét phÇn do c¸c nh©n viªn qu¶n trÞ hÖ thèng ®•îc kÕt nèi víi Internet ngµy cµng ®Ò cao c¶nh gi¸c. Còng theo CERT, nh÷ng cuéc tÊn c«ng thêi kú 1988-1989 chñ yÕu ®o¸n tªn ng•êi sö dông-mËt khÈu (UserID-password) hoÆc sö dông mét sè lçi cña c¸c ch•¬ng tr×nh vµ hÖ ®iÒu hµnh (security hole) lµm v« hiÖu hÖ thèng b¶o vÖ, tuy nhiªn c¸c cuéc tÊn c«ng vµo thêi gian gÇn ®©y bao gåm c¶ c¸c thao t¸c nh• gi¶ m¹o ®Þa chØ IP, theo dâi th«ng tin truyÒn qua m¹ng, chiÕm c¸c phiªn lµm viÖc tõ xa (telnet hoÆc rlogin). 5 1.2 B¹n muèn b¶o vÖ c¸i g×? NhiÖm vô c¬ b¶n cña Firewall lµ b¶o vÖ. NÕu b¹n muèn x©y dùng firewall, viÖc ®Çu tiªn b¹n cÇn xem xÐt chÝnh lµ b¹n cÇn b¶o vÖ c¸i g×. 1.2.1 D÷ liÖu cña b¹n Nh÷ng th«ng tin l•u tr÷ trªn hÖ thèng m¸y tÝnh cÇn ®•îc b¶o vÖ do c¸c yªu cÇu sau:  B¶o mËt: Nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, qu©n sù, chÝnh s¸ch vv... cÇn ®•îc gi÷ kÝn.  TÝnh toµn vÑn: Th«ng tin kh«ng bÞ mÊt m¸t hoÆc söa ®æi, ®¸nh tr¸o.  TÝnh kÞp thêi: Yªu cÇu truy nhËp th«ng tin vµo ®óng thêi ®iÓm cÇn thiÕt. Trong c¸c yªu cÇu nµy, th«ng th•êng yªu cÇu vÒ b¶o mËt ®•îc coi lµ yªu cÇu sè 1 ®èi víi th«ng tin l•u tr÷ trªn m¹ng. Tuy nhiªn, ngay c¶ khi nh÷ng th«ng tin nµy kh«ng ®•îc gi÷ bÝ mËt, th× nh÷ng yªu cÇu vÒ tÝnh toµn vÑn còng rÊt quan träng. Kh«ng mét c¸ nh©n, mét tæ chøc nµo l·ng phÝ tµi nguyªn vËt chÊt vµ thêi gian ®Ó l•u tr÷ nh÷ng th«ng tin mµ kh«ng biÕt vÒ tÝnh ®óng ®¾n cña nh÷ng th«ng tin ®ã. 1.2.2 Tµi nguyªn cña b¹n Trªn thùc tÕ, trong c¸c cuéc tÊn c«ng trªn Internet, kÎ tÊn c«ng, sau khi ®· lµm chñ ®•îc hÖ thèng bªn trong, cã thÓ sö dông c¸c m¸y nµy ®Ó phôc vô cho môc ®Ých cña m×nh nh• ch¹y c¸c ch•¬ng tr×nh dß mËt khÈu ng•êi sö dông, sö dông c¸c liªn kÕt m¹ng s½n cã ®Ó tiÕp tôc tÊn c«ng c¸c hÖ thèng kh¸c vv... 6 1.2.3 Danh tiÕng cña b¹n Nh• trªn ®· nªu, mét phÇn lín c¸c cuéc tÊn c«ng kh«ng ®•îc th«ng b¸o réng r·i, vµ mét trong nh÷ng nguyªn nh©n lµ nçi lo bÞ mÊt uy tÝn cña c¬ quan, ®Æc biÖt lµ c¸c c«ng ty lín vµ c¸c c¬ quan quan träng trong bé m¸y nhµ n•íc. Trong tr•êng hîp ng•êi qu¶n trÞ hÖ thèng chØ ®•îc biÕt ®Õn sau khi chÝnh hÖ thèng cña m×nh ®•îc dïng lµm bµn ®¹p ®Ó tÊn c«ng c¸c hÖ thèng kh¸c, th× tæn thÊt vÒ uy tÝn lµ rÊt lín vµ cã thÓ ®Ó l¹i hËu qu¶ l©u dµi. 7 1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×? Cßn nh÷ng g× b¹n cÇn ph¶i lo l¾ng. B¹n sÏ ph¶i ®•¬ng ®Çu víi nh÷ng kiÓu tÊn c«ng nµo trªn Internet vµ nh÷ng kÎ nµo sÏ thùc hiÖn chóng? 1.3.1 C¸c kiÓu tÊn c«ng Cã rÊt nhiÒu kiÓu tÊn c«ng vµo hÖ thèng, vµ cã nhiÒu c¸ch ®Ó ph©n lo¹i nh÷ng kiÓu tÊn c«ng nµy. ë ®©y, chóng ta chia thµnh 3 kiÓu chÝnh nh• sau: 1.3.1.1 TÊn c«ng trùc tiÕp Nh÷ng cuéc tÊn c«ng trùc tiÕp th«ng th•êng ®•îc sö dông trong giai ®o¹n ®Çu ®Ó chiÕm ®•îc quyÒn truy nhËp bªn trong. Mét ph•¬ng ph¸p tÊn c«ng cæ ®iÓn lµ dß cÆp tªn ng•êi sö dông-mËt khÈu. §©y lµ ph•¬ng ph¸p ®¬n gi¶n, dÔ thùc hiÖn vµ kh«ng ®ßi hái mét ®iÒu kiÖn ®Æc biÖt nµo ®Ó b¾t ®Çu. KÎ tÊn c«ng cã thÓ sö dông nh÷ng th«ng tin nh• tªn ng•êi dïng, ngµy sinh, ®Þa chØ, sè nhµ vv.. ®Ó ®o¸n mËt khÈu. Trong tr•êng hîp cã ®•îc danh s¸ch ng•êi sö dông vµ nh÷ng th«ng tin vÒ m«i tr•êng lµm viÖc, cã mét tr•¬ng tr×nh tù ®éng ho¸ vÒ viÖc dß t×m mËt khÈu nµy. mét tr•¬ng tr×nh cã thÓ dÔ dµng lÊy ®•îc tõ Internet ®Ó gi¶i c¸c mËt khÈu ®· m· ho¸ cña c¸c hÖ thèng unix cã tªn lµ crack, cã kh¶ n¨ng thö c¸c tæ hîp c¸c tõ trong mét tõ ®iÓn lín, theo nh÷ng quy t¾c do ng•êi dïng tù ®Þnh nghÜa. Trong mét sè tr•êng hîp, kh¶ n¨ng thµnh c«ng cña ph•¬ng ph¸p nµy cã thÓ lªn tíi 30%. Ph•¬ng ph¸p sö dông c¸c lçi cña ch•¬ng tr×nh øng dông vµ b¶n th©n hÖ ®iÒu hµnh ®· ®•îc sö dông tõ nh÷ng vô tÊn c«ng ®Çu tiªn vµ vÉn ®•îc tiÕp tôc ®Ó chiÕm quyÒn truy nhËp. Trong mét sè tr•êng hîp ph•¬ng ph¸p nµy cho phÐp kÎ tÊn 8 c«ng cã ®•îc quyÒn cña ng•êi qu¶n trÞ hÖ thèng (root hay administrator). Hai vÝ dô th•êng xuyªn ®•îc ®•a ra ®Ó minh ho¹ cho ph•¬ng ph¸p nµy lµ vÝ dô víi ch•¬ng tr×nh sendmail vµ ch•¬ng tr×nh rlogin cña hÖ ®iÒu hµnh UNIX. Sendmail lµ mét ch•¬ng tr×nh phøc t¹p, víi m· nguån bao gåm hµng ngµn dßng lÖnh cña ng«n ng÷ C. Sendmail ®•îc ch¹y víi quyÒn •u tiªn cña ng•êi qu¶n trÞ hÖ thèng, do ch•¬ng tr×nh ph¶i cã quyÒn ghi vµo hép th• cña nh÷ng ng•êi sö dông m¸y. Vµ Sendmail trùc tiÕp nhËn c¸c yªu cÇu vÒ th• tÝn trªn m¹ng bªn ngoµi. §©y chÝnh lµ nh÷ng yÕu tè lµm cho sendmail trë thµnh mét nguån cung cÊp nh÷ng lç hæng vÒ b¶o mËt ®Ó truy nhËp hÖ thèng. Rlogin cho phÐp ng•êi sö dông tõ mét m¸y trªn m¹ng truy nhËp tõ xa vµo mét m¸y kh¸c sö dông tµi nguyªn cña m¸y nµy. Trong qu¸ tr×nh nhËn tªn vµ mËt khÈu cña ng•êi sö dông, rlogin kh«ng kiÓm tra ®é dµi cña dßng nhËp, do ®ã kÎ tÊn c«ng cã thÓ ®•a vµo mét x©u ®· ®•îc tÝnh to¸n tr•íc ®Ó ghi ®Ì lªn m· ch•¬ng tr×nh cña rlogin, qua ®ã chiÕm ®•îc quyÒn truy nhËp. 1.3.1.2 Nghe trém ViÖc nghe trém th«ng tin trªn m¹ng cã thÓ ®•a l¹i nh÷ng th«ng tin cã Ých nh• tªn-mËt khÈu cña ng•êi sö dông, c¸c th«ng tin mËt chuyÓn qua m¹ng. ViÖc nghe trém th•êng ®•îc tiÕn hµnh ngay sau khi kÎ tÊn c«ng ®· chiÕm ®•îc quyÒn truy nhËp hÖ thèng, th«ng qua c¸c ch•¬ng tr×nh cho phÐp ®•a vØ giao tiÕp m¹ng (Network Interface Card-NIC) vµo chÕ ®é nhËn toµn bé c¸c th«ng tin l•u truyÒn trªn m¹ng. Nh÷ng th«ng tin nµy còng cã thÓ dÔ dµng lÊy ®•îc trªn Internet. 9 1.3.1.3 Gi¶ m¹o ®Þa chØ ViÖc gi¶ m¹o ®Þa chØ IP cã thÓ ®•îc thùc hiÖn th«ng qua viÖc sö dông kh¶ n¨ng dÉn ®•êng trùc tiÕp (source-routing). Víi c¸ch tÊn c«ng nµy, kÎ tÊn c«ng göi c¸c gãi tin IP tíi m¹ng bªn trong víi mét ®Þa chØ IP gi¶ m¹o (th«ng th•êng lµ ®Þa chØ cña mét m¹ng hoÆc mét m¸y ®•îc coi lµ an toµn ®èi víi m¹ng bªn trong), ®ång thêi chØ râ ®•êng dÉn mµ c¸c gãi tin IP ph¶i göi ®i. 1.3.1.4 V« hiÖu ho¸ c¸c chøc n¨ng cña hÖ thèng (denial of service) §©y lµ kÓu tÊn c«ng nh»m tª liÖt hÖ thèng, kh«ng cho nã thùc hiÖn chøc n¨ng mµ nã thiÕt kÕ. KiÓu tÊn c«ng nµy kh«ng thÓ ng¨n chÆn ®•îc, do nh÷ng ph•¬ng tiÖn ®•îc tæ chøc tÊn c«ng còng chÝnh lµ c¸c ph•¬ng tiÖn ®Ó lµm viÖc vµ truy nhËp th«ng tin trªn m¹ng. VÝ dô sö dông lÖnh ping víi tèc ®é cao nhÊt cã thÓ, buéc mét hÖ thèng tiªu hao toµn bé tèc ®é tÝnh to¸n vµ kh¶ n¨ng cña m¹ng ®Ó tr¶ lêi c¸c lÖnh nµy, kh«ng cßn c¸c tµi nguyªn ®Ó thùc hiÖn nh÷ng c«ng viÖc cã Ých kh¸c. 1.3.1.5 Lçi cña ng•êi qu¶n trÞ hÖ thèng §©y kh«ng ph¶i lµ mét kiÓu tÊn c«ng cña nh÷ng kÎ ®ét nhËp, tuy nhiªn lçi cña ng•êi qu¶n trÞ hÖ thèng th•êng t¹o ra nh÷ng lç hæng cho phÐp kÎ tÊn c«ng sö dông ®Ó truy nhËp vµo m¹ng néi bé. 1.3.1.6 TÊn c«ng vµo yÕu tè con ng•êi KÎ tÊn c«ng cã thÓ liªn l¹c víi mét ng•êi qu¶n trÞ hÖ thèng, gi¶ lµm mét ng•êi sö dông ®Ó yªu cÇu thay ®æi mËt khÈu, thay ®æi quyÒn truy nhËp cña m×nh ®èi víi hÖ thèng, hoÆc thËm chÝ thay ®æi mét sè cÊu h×nh cña hÖ thèng ®Ó thùc hiÖn c¸c ph•¬ng ph¸p tÊn c«ng kh¸c. Víi kiÓu tÊn c«ng nµy 10 kh«ng mét thiÕt bÞ nµo cã thÓ ng¨n chÆn mét c¸ch h÷u hiÖu, vµ chØ cã mét c¸ch gi¸o dôc ng•êi sö dông m¹ng néi bé vÒ nh÷ng yªu cÇu b¶o mËt ®Ó ®Ò cao c¶nh gi¸c víi nh÷ng hiÖn t•îng ®¸ng nghi. Nãi chung yÕu tè con ng•êi lµ mét ®iÓm yÕu trong bÊt kú mét hÖ thèng b¶o vÖ nµo, vµ chØ cã sù gi¸o dôc céng víi tinh thÇn hîp t¸c tõ phÝa ng•êi sö dông cã thÓ n©ng cao ®•îc ®é an toµn cña hÖ thèng b¶o vÖ. 1.3.2 Ph©n lo¹i kÎ tÊn c«ng Cã rÊt nhiÒu kÎ tÊn c«ng trªn m¹ng toµn cÇu – Internet vµ chóng ta còng kh«ng thÓ ph©n lo¹i chóng mét c¸ch chÝnh x¸c, bÊt cø mét b¶n ph©n lo¹i kiÓu nµy còng chØ nªn ®•îc xem nh• lµ mét sù giíi thiÖu h¬n lµ mét c¸ch nh×n rËp khu«n. 1.3.2.1 Ng•êi qua ®•êng Ng•êi qua ®•êng lµ nh÷ng kÎ buån ch¸n víi nh÷ng c«ng viÖc th•êng ngµy, hä muèn t×m nh÷ng trß gi¶i trÝ míi. Hä ®ét nhËp vµo m¸y tÝnh cña b¹n v× hä nghÜ b¹n cã thÓ cã nh÷ng d÷ liÖu hay, hoÆc bëi v× hä c¶m thÊy thÝch thó khi sö dông m¸y tÝnh cña ng•êi kh¸c, hoÆc chØ ®¬n gi¶n lµ hä kh«ng t×m ®•îc mét viÖc g× hay h¬n ®Ó lµm. Hä cã thÓ lµ ng•êi tß mß nh•ng kh«ng chñ ®Þnh lµm h¹i b¹n. Tuy nhiªn, hä th•êng g©y h• háng hÖ thèng khi ®ét nhËp hay khi xo¸ bá dÊu vÕt cña hä. 1.3.2.2 KÎ ph¸ ho¹i KÎ ph¸ ho¹i chñ ®Þnh ph¸ ho¹i hÖ thèng cña b¹n, hä cã thÓ kh«ng thÝch b¹n, hä còng cã thÓ kh«ng biÕt b¹n nh•ng hä t×m thÊy niÒm vui khi ®i ph¸ ho¹i. Th«ng th•êng, trªn Internet kÎ ph¸ ho¹i kh¸ hiÕm. Mäi ng•êi kh«ng thÝch hä. NhiÒu ng•êi cßn thÝch t×m vµ chÆn ®øng 11 nh÷ng kÎ ph¸ ho¹i. Tuy Ýt nh•ng kÎ ph¸ ho¹i th•êng g©y háng trÇm träng cho hÖ thèng cña b¹n nh• xo¸ toµn bé d÷ liÖu, ph¸ háng c¸c thiÕt bÞ trªn m¸y tÝnh cña b¹n... 1.3.2.3 KÎ ghi ®iÓm RÊt nhiÒu kÎ qua ®•êng bÞ cuèn hót vµo viÖc ®ét nhËp, ph¸ ho¹i. Hä muèn ®•îc kh¼ng ®Þnh m×nh th«ng qua sè l•îng vµ c¸c kiÓu hÖ thèng mµ hä ®· ®ét nhËp qua. §ét nhËp ®•îc vµo nh÷ng n¬i næi tiÕng, nh÷ng n¬i phßng bÞ chÆt chÏ, nh÷ng n¬i thiÕt kÕ tinh x¶o cã gi¸ trÞ nhiÒu ®iÓm ®èi víi hä. Tuy nhiªn hä còng sÏ tÊn c«ng tÊt c¶ nh÷ng n¬i hä cã thÓ, víi môc ®Ých sè l•îng còng nh• môc ®Ých chÊt l•îng. Nh÷ng ng•êi nµy kh«ng quan t©m ®Õn nh÷ng th«ng tin b¹n cã hay nh÷ng ®Æc tÝnh kh¸c vÒ tµi nguyªn cña b¹n. Tuy nhiªn ®Ó ®¹t ®•îc môc ®Ých lµ ®ét nhËp, v« t×nh hay h÷u ý hä sÏ lµm h• háng hÖ thèng cña b¹n. 1.3.2.4 Gi¸n ®iÖp HiÖn nay cã rÊt nhiÒu th«ng tin quan träng ®•îc l•u tr÷ trªn m¸y tÝnh nh• c¸c th«ng tin vÒ qu©n sù, kinh tÕ... Gi¸n ®iÖp m¸y tÝnh lµ mét vÊn ®Ò phøc t¹p vµ khã ph¸t hiÖn. Thùc tÕ, phÇn lín c¸c tæ chøc kh«ng thÓ phßng thñ kiÓu tÊn c«ng nµy mét c¸ch hiÖu qu¶ vµ b¹n cã thÓ ch¾c r»ng ®•êng liªn kÕt víi Internet kh«ng ph¶i lµ con ®•êng dÔ nhÊt ®Ó gi¸n ®iÖp thu l•îm th«ng tin. 12 1.4 VËy Internet Firewall lµ g×? 1.4.1 §Þnh nghÜa ThuËt ng÷ Firewall cã nguån gèc tõ mét kü thuËt thiÕt kÕ trong x©y dùng ®Ó ng¨n chÆn, h¹n chÕ ho¶ ho¹n. Trong c«ng nghÖ m¹ng th«ng tin, Firewall lµ mét kü thuËt ®•îc tÝch hîp vµo hÖ thèng m¹ng ®Ó chèng sù truy cËp tr¸i phÐp nh»m b¶o vÖ c¸c nguån th«ng tin néi bé còng nh• h¹n chÕ sù x©m nhËp vµo hÖ thèng cña mét sè th«ng tin kh¸c kh«ng mong muèn. Còng cã thÓ hiÓu r»ng Firewall lµ mét c¬ chÕ ®Ó b¶o vÖ m¹ng tin t•ëng (trusted network) khái c¸c m¹ng kh«ng tin t•ëng (untrusted network). Internet Firewall lµ mét thiÕt bÞ (phÇn cøng+phÇn mÒm) gi÷a m¹ng cña mét tæ chøc, mét c«ng ty, hay mét quèc gia (Intranet) vµ Internet. Nã thùc hiÖn vai trß b¶o mËt c¸c th«ng tin Intranet tõ thÕ giíi Internet bªn ngoµi. 1.4.2 Chøc n¨ng Internet Firewall (tõ nay vÒ sau gäi t¾t lµ firewall) lµ mét thµnh phÇn ®Æt gi÷a Intranet vµ Internet ®Ó kiÓm so¸t tÊt c¶ c¸c viÖc l•u th«ng vµ truy cËp gi÷a chóng víi nhau bao gåm: Firewall quyÕt ®Þnh nh÷ng dÞch vô nµo tõ bªn trong ®•îc phÐp truy cËp tõ bªn ngoµi, nh÷ng ng•êi nµo tõ bªn ngoµi ®•îc phÐp truy cËp ®Õn c¸c dÞch vô bªn trong, vµ c¶ nh÷ng dÞch vô nµo bªn ngoµi ®•îc phÐp truy cËp bëi nh÷ng ng•êi bªn trong. §Ó firewall lµm viÖc hiÖu qu¶, tÊt c¶ trao ®æi th«ng tin tõ trong ra ngoµi vµ ng•îc l¹i ®Òu ph¶i thùc hiÖn th«ng qua Firewall. 13 ChØ cã nh÷ng trao ®æi nµo ®•îc phÐp bëi chÕ ®é an ninh cña hÖ thèng m¹ng néi bé míi ®•îc quyÒn l•u th«ng qua Firewall. S¬ ®å chøc n¨ng hÖ thèng cña firewall ®•îc m« t¶ nh• trong h×nh 2.1 Intranet firewall Internet H×nh 2.1 S¬ ®å chøc n¨ng hÖ thèng cña firewall 1.4.3 CÊu tróc Firewall bao gåm: Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi c¸c bé ®Þnh tuyÕn (router) hoÆc cã chøc n¨ng router. C¸c phÇn mÒm qu¶n lý an ninh ch¹y trªn hÖ thèng m¸y chñ. Th«ng th•êng lµ c¸c hÖ qu¶n trÞ x¸c thùc (Authentication), cÊp quyÒn (Authorization) vµ kÕ to¸n (Accounting). Chóng ta sÏ ®Ò cËp kü h¬n c¸c ho¹t ®éng cña nh÷ng hÖ nµy ë phÇn sau. 1.4.4 C¸c thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng Mét Firewall chuÈn bao gåm mét hay nhiÒu c¸c thµnh phÇn sau ®©y: 14 Bé läc packet ( packet-filtering router ) Cæng øng dông (application-level gateway hay proxy server ) Cæng m¹ch (circuite level gateway) 1.4.4.1 Bé läc gãi tin (Packet filtering router) 1.4.4.1.1 Nguyªn lý: Khi nãi ®Õn viÖc l•u th«ng d÷ liÖu gi÷a c¸c m¹ng víi nhau th«ng qua Firewall th× ®iÒu ®ã cã nghÜa r»ng Firewall ho¹t ®éng chÆt chÏ víi giao thøc liªn m¹ng TCP/IP. V× giao thøc nµy lµm viÖc theo thuËt to¸n chia nhá c¸c d÷ liÖu nhËn ®•îc tõ c¸c øng dông trªn m¹ng, hay nãi chÝnh x¸c h¬n lµ c¸c dÞch vô ch¹y trªn c¸c giao thøc (Telnet, SMTP, DNS, SMNP, NFS...) thµnh c¸c gãi d÷ liÖu (data packets) råi g¸n cho c¸c packet nµy nh÷ng ®Þa chØ ®Ó cã thÓ nhËn d¹ng, t¸i lËp l¹i ë ®Ých cÇn göi ®Õn, do ®ã c¸c lo¹i Firewall còng liªn quan rÊt nhiÒu ®Õn c¸c packet vµ nh÷ng con sè ®Þa chØ cña chóng. Bé läc packet cho phÐp hay tõ chèi mçi packet mµ nã nhËn ®•îc. Nã kiÓm tra toµn bé ®o¹n d÷ liÖu ®Ó quyÕt ®Þnh xem ®o¹n d÷ liÖu ®ã cã tho¶ m·n mét trong sè c¸c luËt lÖ cña läc packet hay kh«ng. C¸c luËt lÖ läc packet nµy lµ dùa trªn c¸c th«ng tin ë ®Çu mçi packet (packet header), dïng ®Ó cho phÐp truyÒn c¸c packet ®ã ë trªn m¹ng. §ã lµ: §Þa chØ IP n¬i xuÊt ph¸t ( IP Source address) §Þa chØ IP n¬i nhËn (IP Destination address) Nh÷ng thñ tôc truyÒn tin (TCP, UDP, ICMP, IP tunnel) Cæng TCP/UDP n¬i xuÊt ph¸t (TCP/UDP source port) Cæng TCP/UDP n¬i nhËn (TCP/UDP destination port) 15 D¹ng th«ng b¸o ICMP ( ICMP message type) giao diÖn packet ®Õn ( incomming interface of packet) giao diÖn packet ®i ( outcomming interface of packet) NÕu luËt lÖ läc packet ®•îc tho¶ m·n th× packet ®•îc chuyÓn qua firewall. NÕu kh«ng packet sÏ bÞ bá ®i. Nhê vËy mµ Firewall cã thÓ ng¨n c¶n ®•îc c¸c kÕt nèi vµo c¸c m¸y chñ hoÆc m¹ng nµo ®ã ®•îc x¸c ®Þnh, hoÆc kho¸ viÖc truy cËp vµo hÖ thèng m¹ng néi bé tõ nh÷ng ®Þa chØ kh«ng cho phÐp. H¬n n÷a, viÖc kiÓm so¸t c¸c cæng lµm cho Firewall cã kh¶ n¨ng chØ cho phÐp mét sè lo¹i kÕt nèi nhÊt ®Þnh vµo c¸c lo¹i m¸y chñ nµo ®ã, hoÆc chØ cã nh÷ng dÞch vô nµo ®ã (Telnet, SMTP, FTP...) ®•îc phÐp míi ch¹y ®•îc trªn hÖ thèng m¹ng côc bé. 1.4.4.1.2 ¦u ®iÓm  §a sè c¸c hÖ thèng firewall ®Òu sö dông bé läc packet. Mét trong nh÷ng •u ®iÓm cña ph•¬ng ph¸p dïng bé läc packet lµ chi phÝ thÊp v× c¬ chÕ läc packet ®· ®•îc bao gåm trong mçi phÇn mÒm router.  Ngoµi ra, bé läc packet lµ trong suèt ®èi víi ng•êi sö dông vµ c¸c øng dông, v× vËy nã kh«ng yªu cÇu sù huÊn luyÖn ®Æc biÖt nµo c¶. 1.4.4.1.3 H¹n chÕ: ViÖc ®Þnh nghÜa c¸c chÕ ®é läc packet lµ mét viÖc kh¸ phøc t¹p, nã ®ßi hái ng•êi qu¶n trÞ m¹ng cÇn cã hiÓu biÕt chi tiÕt vÓ c¸c dÞch vô Internet, c¸c d¹ng packet header, vµ c¸c gi¸ trÞ cô thÓ mµ hä cã thÓ nhËn trªn mçi tr•êng. Khi ®ßi hái vÓ sù läc cµng lín, c¸c luËt lÖ vÓ läc cµng trë nªn dµi vµ phøc t¹p, rÊt khã ®Ó qu¶n lý vµ ®iÒu khiÓn. 16 Do lµm viÖc dùa trªn header cña c¸c packet, râ rµng lµ bé läc packet kh«ng kiÓm so¸t ®•îc néi dung th«ng tin cña packet. C¸c packet chuyÓn qua vÉn cã thÓ mang theo nh÷ng hµnh ®éng víi ý ®å ¨n c¾p th«ng tin hay ph¸ ho¹i cña kÎ xÊu. 1.4.4.2 Cæng øng dông (application-level gateway) 1.4.4.2.1 Nguyªn lý §©y lµ mét lo¹i Firewall ®•îc thiÕt kÕ ®Ó t¨ng c•êng chøc n¨ng kiÓm so¸t c¸c lo¹i dÞch vô, giao thøc ®•îc cho ph