MỤC LỤC
MỤC LỤC...................................................................................................................1
DANH MỤC HÌNH VẼ..............................................................................................3
LỜI MỞ ĐẦU.............................................................................................................4
CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN TRÊN MẠNG MÁY
TÍNH..................................................................................................................................5
I.1. Các nguy cơ đe dọa hệ thống mạng máy tính..................................................5
II.2. Các hình thức tấn cơng mạng phổ biến...........................................................7
II.2.1. Tấn cơng trực tiếp.....................................................................................7
II.2.2. Nghe trộm.................................................................................................7
II.2.3. Giả mạo địa chỉ.........................................................................................7
II.2.4. Vơ hiệu hố các chức năng của hệ thống (denial of service)..................8
II.2.5. Tấn công vào yếu tố con người................................................................8
CHƯƠNG II: TƯỜNG LỬA VÀ CÁC CƠNG NGHỆ TƯỜNG LỬA....................9
II.1 Tường lửa là gì?................................................................................................9
II.1.1. Định nghĩa................................................................................................9
II.1.2. Chức năng.................................................................................................9
II.1.3. Ưu điểm của tường lửa...........................................................................10
II.1.4. Hạn chế của tường lửa............................................................................10
II.2. Các công nghệ tường lửa...............................................................................10
II.2.1. Bộ lọc gói tin..........................................................................................11
II.2.1.1. Nguyên lý hoạt động.......................................................................11
II.2.1.2. Ưu điểm...........................................................................................13
II.2.1.3. Hạn chế............................................................................................13
II.2.2. Cổng chuyển mạch.................................................................................14
II.2.3. Cổng ứng dụng.......................................................................................15
Trang 1
II.2.3.1. Nguyên lý hoạt động.......................................................................15
II.2.3.2. Ưu điểm...........................................................................................16
II.2.3.3. Hạn chế............................................................................................17
II.2.4. Công nghệ Stateful Inspection...............................................................17
II.3. Một số tường lửa sử dụng công nghệ Stateful Inspection............................18
II.3.1. Tường lửa của Check Point....................................................................18
II.3.2. Tường lửa của Cisco...............................................................................19
II.3.3. Tường lửa của Netscreen........................................................................20
CHƯƠNG III: ỨNG DỤNG TƯỜNG LỬA VPN-1 CỦA CHECK POINT ĐỂ
BẢO VỆ MẠNG VÀ PHÒNG CHỐNG TẤN CÔNG.................................................22
III.1. Giới thiệu chung về tường lửa VPN-1.........................................................22
III.2. Một số khái niệm cơ bản..............................................................................22
III.3. Ứng dụng tường lửa VPN-1 của Check Point.............................................25
III.3.1. Cho phép dải địa chỉ trong Internal ra Internet.....................................25
III.3.2. Cấm máy SmartConsole truy nhập ra ngoài Internet...........................26
III.3.2. Ngăn chặn tấn công dựa vào lỗ hổng Slowloris HTTP DoS của Apache
.................................................................................................................................27
KẾT LUẬN...........................................................................................................32
TÀI LIỆU THAM KHẢO.........................................................................................33
Trang 2
DANH MỤC HÌNH VẼ
Hình 1: Sơ đồ chức năng hệ thống của tường lửa....................................................10
Hình 2: Sơ đồ làm việc của Packet Filtering............................................................11
Hình 3: Các lớp OSI được bộ lọc gói tin sử dụng....................................................12
Hình 4: Cổng chuyển mạch.......................................................................................14
Hình 5: Các lớp sử dụng trong cơng nghệ Proxy service.........................................15
Hình 6: Tường lửa Check Point VPN-1 trong hệ thống mạng.................................19
Hình 7: Tường lửa Cisco PIX trong hệ thống mạng................................................20
Hình 8: Tường lửa NetScreen trong hệ thống mạng................................................21
Hình 9: Ví dụ về tập luật...........................................................................................23
Hình 10: Luật Cleanup..............................................................................................24
Hình 11: Luật Stealth................................................................................................24
Trang 3
LỜI MỞ ĐẦU
An tồn thơng tin trên mạng máy tính là một lĩnh vực rộng lớn, nó bao gồm tất cả
các kỹ thuật, các phương pháp, phương tiện bảo vệ thơng tin. Nó liên quan đến các
kiến thức về khoa học mật mã, công nghệ mạng, các ứng dụng trên mạng. Bước đầu
tiên và cũng là bước hiệu quả nhất cần nghĩ đến đó là đưa các kỹ thuật, các ứng dụng
cơng nghệ vào vấn đề bảo vệ an tồn thông tin.
Bài giảng này không đề cập đến tất cả các phương pháp bảo vệ thông tin mà chỉ
quan tâm chủ yếu đến giải pháp bảo mật thông tin sử dụng tường lửa – một biện pháp
đầu tiên cần phải thực hiện khi cần bảo vệ thông tin.
Bài giảng này cung cấp những kiến thức cơ bản về tường lửa, các cơng nghệ tường
lửa và qua đó cũng giới thiệu qua về một số hãng sản xuất tường lửa nổi tiếng nhất
hiện này: Check Point, Cisco, Juniper. Đặc biệt, bài giảng còn đưa ra một số ứng dụng
thực tiễn với sản phẩm tường lửa của Check Point – VPN-1 để minh chứng về lợi ích
của tường lửa, tính hiệu quả của tường lửa trong vấn đề chống tấn công mạng.
Nội dung của bài giảng được chia thành 3 chương như sau :
Chương I : Tổng quan về vấn đề an tồn thơng tin trên mạng máy tính
Trình bày về các mối đe dọa có thể xảy đến đối với hệ thống thơng tin. Các mối đe
dọa đó có thể ảnh hưởng đến tính bí mật, tính tồn ven, tính sẵn sàng của thông tin.
Chương II: Tường lửa và các công nghệ tường lửa
Trình bày khái niệm tường lửa, chức năng cũng như các công nghệ tường lửa. Đặc
biệt chương này cịn nói về cơng nghệ Stateful Inspection – một cơng nghệ tường lửa
tiên tiến nhất hiện nay và đưa ra một số ứng dụng điển hình sử dụng cơng nghệ
Stateful Inspection của một số hãng nổi tiếng: Check Point, Cisco, Juniper.
Chương III: Ứng dụng tường lửa VPN-1 của Check Point để bảo vệ mạng và
phịng chống tấn cơng
Chương này là chương ứng dụng thực tế, sử dụng tường lửa VPN-1 của Check
Point để cho phép cũng như hạn chế truy nhập và ngăn chặn tấn công.
Hà nội, tháng 10 năm 2009
Phạm Minh Thuấn
Trang 4
CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG
TIN TRÊN MẠNG MÁY TÍNH
An tồn thơng tin là một nhu cầu rất quan trọng đối với các cá nhân cũng như các
tổ chức xã hội và các quốc gia trên thế giới. An tồn thơng tin cần thiết trong mọi lĩnh
vực đặc biệt là hệ thống mạng, hệ thống Internet. Từ khi ra đời cho đến nay, mạng và
Internet đã là món ăn tinh thần không thể thiếu cho bất kỳ người sử dụng nào, bởi lẽ sự
tiện dụng cũng như hiệu quả đến thần kỳ của nó. Thế nhưng bên cạnh mặt tiện lợi,
người sử dụng cũng luôn phải đối mặt với các hiểm họa do thông tin trên mạng của họ
bị tấn cơng. An tồn thơng tin trên mạng máy tính đang là vấn đề được đặc biệt quan
tâm đồng thời cũng là một cơng việc hết sức khó khăn và phức tạp.
Chương này trình bày về các nguy cơ đe dọa hệ thống thơng tin và các hình thức
tấn công phổ biến trên mạng hiện nay.
I.1. Các nguy cơ đe dọa hệ thống mạng máy tính
Trong thời gian gần đây, số vụ xâm nhập trái phép vào các hệ thống thơng tin qua
mạng ngày càng tăng. Có nhiều ngun nhân dẫn đến việc các hệ thống mạng bị tấn
công nhiều hơn, trong số những ngun nhân chính có thể kể đến là các lỗ hổng trong
hệ điều hành, trong các ứng dụng thương mại điện tử, và những nguyên nhân xuất phát
từ sự mất cảnh giác của người dùng, chủ ý của kẻ phá hoại…, tạo nên những nguy cơ
mất an tồn thơng tin. Cũng cần lưu ý rằng những nguy cơ mất an tồn mạng khơng
chỉ do tấn cơng từ bên ngồi mà một phần lớn lại chính là từ nội bộ: nhân viên bất
mãn, sai sót của người sử dụng, ý thức bảo mật kém,…
Trung tâm nghiên cứu an ninh X-Force của IBM đã công bố báo cáo giữa năm về
tình hình an ninh mạng 2009. Báo cáo cho thấy tình trạng mất an ninh chưa từng thấy
liên quan đến web thông qua các thống kê về lỗ hổng an ninh, các tấn công nhằm vào
client, vào ứng dụng web:
Trang 5
Số lượng các lỗ hổng an ninh được phát hiện trong nửa đầu năm 2009 không thua
kém so với năm 2007, 2008 thậm chí cịn có phần nhiều hơn. Đặc biệt là trong ứng
dụng Web, số lượng các lỗ hổng tăng lên hàng năm, nhất là các điểm yếu về SQL
Injection và ActiveX.
Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi của bản
thân hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu
sâu sắc các dịch vụ cung cấp... Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có
những lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, như các tấn công DoS
(Denial of Service – Tấn công từ chối dịch vụ), có những lỗ hổng ảnh hưởng nghiêm
trọng tới tồn bộ hệ thống, cho phép người sử dụng bên ngoài truy nhập bất hợp pháp
vào hệ thống và chiếm quyền điều khiển hệ thống, như lỗ hổng RPC DCOM trong
Windows, lỗ hổng Cross-Site Scripting trong ứng dụng Web, ....
Trang 6
II.2. Các hình thức tấn cơng mạng phổ biến
Có rất nhiều các lỗ hổng trong hệ điều hành, trong ứng dụng Web hay trong các tài
liệu văn bản do đó cũng có rất nhiều kiểu tấn cơng nhằm khai thác các lỗ hổng đó.
Dưới đây là một vài phương pháp tấn công thường xảy ra vào hệ thống, vào ứng dụng
và dịch vụ:
II.2.1. Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để
chiếm được quyền truy nhập bên trong. Một phương pháp tấn cơng cổ điển là dị cặp
tên người sử dụng-mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và khơng địi
hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn cơng có thể sử dụng những thông tin
như tên người dùng, ngày sinh, địa chỉ, số nhà vv.. để đốn mật khẩu. Trong trường
hợp có được danh sách người sử dụng và những thông tin về mơi trường làm việc, kẻ
tấn cơng có thể dễ dàng sử dụng phần mềm để tìm ra mật khẩu trong các tài khoản hợp
lệ.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành
đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền
truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn cơng có được
quyền của người quản trị hệ thống (root hay administrator).
II.2.2. Nghe trộm
Nghe trộm thông tin trên mạng có thể đưa lại cho kẻ tấn cơng những thơng tin có
ích như tên-mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc
nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy
nhập hệ thống, thông qua các chương trình cho phép ghi lại các gói tin đi qua card
mạng (Network Interface Card - NIC). Những thông tin này cũng có thể dễ dàng lấy
được trên Internet.
II.2.3. Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn
đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn cơng gửi các gói tin
IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một
Trang 7
mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ
đường dẫn mà các gói tin IP phải gửi đi.
II.2.4. Vơ hiệu hố các chức năng của hệ thống (denial of service)
Đây là kểu tấn công nhằm làm tê liệt hệ thống, không cho nó thực hiện chức năng
mà nó thiết kế. Kiểu tấn cơng này rất khó có thể thể ngăn chặn, do những phương tiện
được tổ chức tấn cơng cũng chính là các phương tiện để làm việc và truy nhập thơng
tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống
tiêu hao tồn bộ tốc độ tính tốn và khả năng của mạng để trả lời các lệnh này, khơng
cịn các tài ngun để thực hiện những cơng việc có ích khác.
II.2.5. Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử
dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ
thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương
pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn
một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những
yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu
tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo
dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn
của hệ thống bảo vệ.
Trang 8
CHƯƠNG II: TƯỜNG LỬA VÀ CÁC CÔNG
NGHỆ TƯỜNG LỬA
II.1 Tường lửa là gì?
II.1.1. Định nghĩa
Thuật ngữ tường lửa (Firewall) có nguồn gốc từ một kỹ thuật thiết kế trong xây
dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thơng tin, tường lửa là
một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm
bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của
một số thơng tin khác khơng mong muốn.
Cũng có thể hiểu rằng tường lửa là một cơ chế để bảo vệ mạng tin cậy (trusted
network) khỏi các mạng không tin cậy (untrusted network).
Tường lửa có thể là thiết bị phần cứng hoặc phần mềm nằm ở vành đai mạng của
một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet. Nó thực hiện vai trị
bảo mật các thơng tin cho hệ thống mạng Intranet từ thế giới Internet bên ngoài.
II.1.2. Chức năng
Tường lửa là một thành phần đặt giữa Intranet và Internet để kiểm soát tất cả các
việc lưu thông và truy cập giữa chúng với nhau bao gồm:
Tường lửa quyết định những người nào, dịch vụ nào từ bên trong được phép
truy cập ra bên ngoài và cả những dịch vụ nào từ bên ngoài được phép truy
cập vào bên trong.
Triển khai giám sát các sự kiện an ninh mạng: Các hệ thống cảnh báo, IDS &
IPS có thể triển khai trên hệ thống tường lửa.
Triển khai một vài chức năng trên nền tường lửa: NAT, thống kê, logs ....
Để tường lửa làm việc hiệu quả, tất cả trao đổi thơng tin từ trong ra ngồi và
ngược lại đều phải thực hiện thông qua Firewall.
Sơ đồ chức năng hệ thống của tường lửa:
Trang 9
Hình 1: Sơ đồ chức năng hệ thống của tường lửa
II.1.3. Ưu điểm của tường lửa
Tường lửa là một điểm quan trọng trong chính sách kiểm sốt truy nhập. Nó là
“cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngồi, do đó có thể ghi nhận mọi
cuộc trao đổi thơng tin, điểm xuất phát và đích, thời gian, giao thức… Tường lửa có
thể phục vụ như một cơng cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoài
nhằm dự báo khả năng bị tấn cơng trước khi cuộc tấn cơng xẩy ra. Nhìn chung, tường
lửa có rất nhiều các ưu điểm như:
Bảo vệ hệ thống chống lại những kẻ đột nhập qua khả năng ngăn chặn những
phiên làm việc từ xa (remote login).
Ngăn chặn thơng tin từ bên ngồi vào trong mạng được bảo vệ, trong khi cho
phép người sử dụng hợp pháp được truy cập tới mạng bên ngoài.
II.1.4. Hạn chế của tường lửa
Bên cạnh ưu điểm, tường lửa cịn có 1 số hạn chế như:
Tường lửa không thể chống lại các tấn cơng vịng qua tường lửa
Tường lửa không thể chống lại các nguy cơ đe dọa từ bên trong
Tường lửa không thể chống lại các tấn công bởi virus, sâu mạng và mã độc hại
(data – driven attack)
Tuy nhiên, tường lửa vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
II.2. Các công nghệ tường lửa
Trên thế giới có nhiều quan điểm khác nhau trong việc phân loại các cơng nghệ
tường lửa, đó là:
Phân loại theo phạm vi sử dụng
Trang 10
• Tường lửa cá nhân: thường là phần mềm sử dụng cho một máy tính đơn
• Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên
dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu DMZ (phi quân
sự)
Phân loại dựa trên mô hình tầng mạng
• Tầng mạng – Bộ lọc gói tin
• Tầng ứng dụng – Cổng ứng dụng
• Tầng giao vận – Cổng vịng
Phân loại dựa trên trạng thái
• Tường lửa có trạng thái (Stateful firewall)
• Tường lửa phi trạng thái (Stateless firewall)
II.2.1. Bộ lọc gói tin
II.2.1.1. Nguyên lý hoạt động
Tường lửa hoạt động chặt chẽ với giao thức TCP/IP do nó làm nhiệm vụ lưu thơng
dữ liệu giữa các mạng với nhau. Giao thức này làm việc theo thuật toán chia nhỏ các
dữ liệu nhận được từ các ứng dụng trên mạng thành các gói dữ liệu (data packets) rồi
gán cho các gói này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến.
Các gói tin sẽ được truyền qua tường lửa, bộ lọc gói sẽ có nhiệm vụ kiểm tra các gói
tin theo một chính sách đã định trước.
Hình 2: Sơ đồ làm việc của Packet Filtering
Trang 11
Bộ lọc gói tin cho phép hay từ chối mỗi gói tin nhận được. Nó kiểm tra tồn bộ
đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ
của lọc gói tin hay khơng.
Bộ lọc gói tin hoạt động ở lớp 3 trong mơ hình OSI, cung cấp chức năng chính là
kiểm sốt truy cập mạng dựa trên các thơng tin header của gói tin:
Địa chỉ IP nguồn (ví dụ địa chỉ IP 192.168.1.1)
Địa chỉ IP đích (ví dụ địa chỉ IP 192.168.1.2)
Giao thức truyền tin (TCP, UDP, ICMP, IP)
Một số thơng tin trong phiên giao tiếp của tầng 4 ví dụ như địa chỉ cổng
TCP/UDP nguồn, cổng TCP/UDP đích.
Dạng thơng báo ICMP ( ICMP message type).
Giao diện gói tin đến, giao diện gói tin đi.
Các thơng số này thường hữu ích cho các bộ định tuyến có ba giao diện mạng trở
lên.
Hình 3: Các lớp OSI được bộ lọc gói tin sử dụng
Nếu các điều kiện lọc gói tin được thoả mãn thì gói tin được chuyển qua tường
lửa, ngược lại thì gói tin sẽ bị chặn lại. Nhờ vậy mà tường lửa có thể ngăn cản được
các kết nối vào các máy chủ hoặc mạng nhất định, hoặc cấm việc truy cập vào hệ
thống mạng từ những địa chỉ khơng cho phép. Hơn nữa, việc kiểm sốt các cổng làm
cho tường lửa có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy
chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới
được chạy trên hệ thống mạng cục bộ.
Trang 12
II.2.1.2. Ưu điểm
Đa số các hệ thống tường lửa đều sử dụng cơng nghệ lọc gói tin vì các ưu điểm
sau:
Tốc độ xử lý nhanh do các bộ lọc gói thường ít khi xử lý dữ liệu ở các lớp 4 trở
lên.
Phần lớn các giao thức đều hoạt động từ lớp 3 trở lên nên các bộ lọc gói thường
trong suốt đối với người sử dụng và các ứng dụng.
Khả năng ngăn chặn các tấn công từ chối dịch vụ tốt.
Với các ưu điểm ở trên, công nghệ lọc gói tin rất hay được tích hợp vào các các bộ
định tuyến vành đai (boundary router) kết nối đến các vùng mạng không tin cậy. Các
bộ định tuyến này đảm nhận nhiệm vụ ngăn chặn một số tấn cơng, kiểm sốt truy cập
mức đơn giản, lọc “thơ” bớt các giao thức khơng được phép, sau đó chuyển dữ liệu lọc
vào cho các tường lửa bên trong xử lý tiếp.
Các tường lửa lọc gói tin rất phù hợp cho các môi trường cần tốc độ xử lý cao, việc
ghi nhật ký và xác thực người dùng không phải là các yêu cầu quan trọng
Các công nghệ tường lửa hiện đại gồm rất nhiều chức năng, rất hiếm các loại tường
lửa chỉ có tính năng lọc gói tin. Phần lớn các tường lửa dành cho các doanh nghiệp
nhỏ, người dùng ở nhà SOHO (Small Office Home Office), các hệ điều hành đều có
tích hợp sẵn cơng nghệ lọc gói tin.
II.2.1.3. Hạn chế
Cơng nghệ lọc gói tin có một số điểm hạn chế:
Các tường lửa dựa trên công nghệ lọc gói tin khơng kiểm sốt dữ liệu từ lớp 4
trở lên nên khơng kiểm sốt được ứng dụng theo từng chức năng, không chống
được các tấn công lợi dụng điểm yếu của ứng dụng.
Khả năng đưa ra các thông tin nhật ký hạn chế do tường lửa chỉ kiểm sốt một
số lượng rất giới hạn các thơng tin trong gói tin. Các gói tin nhật ký thường chỉ
giới hạn trong số các thơng tin dùng để tạo lên chính sách điều khiển truy cập
(địa chỉ nguồn, đích, kiểu dữ liệu)
Phần lớn các tường lửa lọc gói tin khơng hỗ trợ các tính năng xác thực người
dùng.
Khơng ngăn chặn được các tấn công lợi dụng các điểm yếu trong giao thức
TCP/IP như tấn công giả mạo địa chỉ. Tường lửa lọc gói tin khơng thể phát hiện
Trang 13
được một gói tin đã bị thay đổi các thơng tin địa chỉ lớp 3. Loại tấn công giả
mạo địa chỉ này cho phép kẻ tấn công vượt qua được rất nhiều các chính sách
bảo mật cài đặt trên tường lửa
Việc định nghĩa các chế độ lọc gói tin là một việc khá phức tạp; đòi hỏi người
quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng header
của gói tin, và các giá trị cụ thể trên mỗi trường. Khi số lượng các quy tắc lọc
trở nên dài và phức tạp thì mức độ phức tạp trong quản lý tăng lên, xác suất
nhầm lẫn xảy ra rất cao.
II.2.2. Cổng chuyển mạch
Cổng chuyển mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng
ứng dụng. Cổng chuyển mạch đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà
không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng chuyển mạch.
Cổng chuyển mạch đơn giản chuyển tiếp kết nối telnet qua tường lửa mà không thực
hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào. Cổng chuyển mạch
làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection)
và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện
từ hệ thống firewall, nó che dấu thơng tin về mạng nội bộ.
Hình 4: Cổng chuyển mạch
Cổng chuyển mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các
quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một
bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho
những kết nối đến, và cổng chuyển mạch cho các kết nối đi. Điều này làm cho hệ
thống tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp
truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng tường lửa để bảo
vệ mạng nội bộ từ những sự tấn cơng bên ngồi.
Trang 14
II.2.3. Cổng ứng dụng
II.2.3.1. Nguyên lý hoạt động
Đây là một loại tường lửa được thiết kế để tăng cường chức năng kiểm soát các
loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động
của nó dựa trên cách thức gọi là Proxy service (dịch vụ đại diện). Proxy service là các
bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị
mạng khơng cài đặt chương trình proxy cho một ứng dụng nào đó, dịch vụ tương ứng
sẽ khơng được cung cấp và do đó khơng thể chuyển thơng tin qua firewall. Ngồi ra,
proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng
mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm
khác.
Cổng ứng dụng phối hợp giữa kiểm soát truy cập mức thấp với các chức năng lớp
cao (lớp 7 - lớp ứng dụng).
Hình 5: Các lớp sử dụng trong cơng nghệ Proxy service
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó
được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm
bảo an ninh của một bastion host là:
Bastion host ln chạy các version an tồn (secure version) của các phần mềm
hệ thống (Operating system). Các version an tồn này được thiết kế chun cho
mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự
tích hợp firewall.
Trang 15
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ khơng được cài đặt, nó khơng
thể bị tấn cơng. Thơng thường, chỉ một số giới hạn các ứng dụng cho các dịch
vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user
password hay smart card.
Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy
chỉ đúng với một số máy chủ trên toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại tồn bộ chi tiết của giao
thơng qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích
trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho
phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ mơt proxy đang có
vấn đề.
Ví dụ: Telnet Proxy
Ví dụ một người (gọi là outside client) muốn sử dụng dịch vụ TELNET để kết nối
vào hệ thống mạng qua một bastion host có Telnet proxy. Q trình xảy ra như sau:
1. Outside client telnets đến bastion host. Bastion host kiểm tra password, nếu
hợp lệ thì outside client được phép vào giao diện của Telnet proxy. Telnet
proxy cho phép một tập nhỏ những lệnh của Telnet, và quyết định những
máy chủ nội bộ nào outside client được phép truy nhập.
2. Outside client chỉ ra máy chủ đích và Telnet proxy tạo một kết nối của riêng
nó tới máy chủ bên trong, và chuyển các lệnh tới máy chủ dưới sự uỷ quyền
của outside client. Outside client thì tin rằng Telnet proxy là máy chủ thật ở
bên trong, trong khi máy chủ ở bên trong thì tin rằng Telnet proxy là client
thật.
II.2.3.2. Ưu điểm
Cổng ứng dụng có nhiều ưu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào
có thể truy nhập được bởi các dịch vụ.
Trang 16
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào
cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa
là các dịch vụ ấy bị khố.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép
lại thơng tin về truy nhập hệ thống.
Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn
so với bộ lọc packet.
II.2.3.3. Hạn chế
Bên cạnh những ưu điểm, cổng ứng dụng còn 1 số các hạn chế như:
Do khả năng kiểm sốt gói tin trên nhiều lớp, cổng ứng dụng phải tiêu tốn khá
nhiều thời gian để đọc và kiểm tra gói tin. Vì lý do này, nó ít khi phù hợp cho
các vị trí cần tốc độ xử lý cao hoặc các ứng dụng thời gian thực.
Khả năng hỗ trợ cho giao thức UDP hạn chế.
Số lượng dịch vụ được cổng ứng dụng hỗ trợ bị hạn chế, nhất là đối với các ứng
dụng, giao thức mới. Mỗi ứng dụng cần một chương trình uỷ quyền con riêng
biệt.
Khả năng trong suốt với người dùng cuối hạn chế.
II.2.4. Công nghệ Stateful Inspection
Công nghệ Stateful Inspection là sự tổng hợp tính năng của 3 loại cơng nghệ trên.
Nó được xem là chuẩn cơng nghệ cho các giải pháp bảo mật mạng dành cho các doanh
nghiệp. Công nghệ Stateful Inspection đáp ứng được tất cả các yêu cầu về bảo mật
trong khi các công nghệ tường lửa truyền thống, như lọc gói hoặc các gateway lớp ứng
dụng thường không đáp ứng được đầy đủ các yêu cầu về bảo mật.
Có nhiều hãng tường lửa sử dụng công nghệ Stateful Inspection như: CheckPoint,
Cisco, Netscreen, 3COM Secure Gateway…
Đối với cơng nghệ Stateful Inspection, các gói tin được ngăn chặn từ tầng mạng
(tương tự như trong công nghệ lọc gói), tuy nhiên dữ liệu bắt nguồn từ tất cả các tầng
đều được xem xét và phân tích phục vụ cho mục đích đảm bảo an ninh (đối với các
gateway lớp ứng dụng thì đối tượng xem xét từ tầng 4 đến tầng 7). Công nghệ Stateful
Inspection giới thiệu giải pháp có độ bảo mật cao hơn nhờ việc kết hợp chặt chẽ các
thông tin kết nối, trạng thái application-derived và nội dung thông tin được lưu trữ và
cập nhật tự động. Nó dựa vào các thơng tin trước để lượng giá các kết nối sau đấy.
Trang 17
Nó cũng cung cấp khả năng tạo ra các thơng tin phiên làm việc ảo cho việc theo dõi
các giao thức khơng kết nối (ví dụ các ứng dụng dựa trên các giao thức RPC và UDP),
đấy là những điều mà các công nghệ tường lửa khác không làm được.
Không như cơng nghệ lọc gói chỉ kiểm tra thơng thơng tin header của gói tin, cơng
nghệ Stateful Inspection theo kiểm soát, theo dõi các kết nối trên tất cả các cổng của
tường lửa và đảm bảo các kết nối đó là hợp pháp. Tường lửa sử dụng công nghệ
Stateful Inspection khơng chỉ kiểm tra thơng tin header của gói tin mà cịn kiểm tra nội
dung của gói tin ở tầng ứng dụng. Tường lửa Stateful Inspection có khả năng theo dõi
trạng thái của kết nối và đưa các thông tin trạng thái vào bảng trạng thái. Vì thế, tường
lửa sử dụng cơng nghệ Stateful Inspection kiểm sốt khơng chỉ dựa trên tập luật (chính
sách) mà cịn dựa theo ngữ cảnh đã được thiết lập ưu tiên của các gói tin trước đó đã đi
qua tường lửa.
Hơn thế nữa, các cổng của tường lửa ln ở trong trạng thái đóng (close off) nó chỉ
được mở khi có yêu cầu kết nối. Điều này ngăn chặn tấn công quét công trên tường
lửa, giúp đảm bảo an toàn cho tường lửa và hệ thống.
II.3. Một số tường lửa sử dụng công nghệ Stateful Inspection
II.3.1. Tường lửa của Check Point
Check Point là hãng đi tiên phong trong công nghệ tường lửa Stateful Inspection.
Hãng đã có nhiều sản phẩm tường lửa sử dụng cơng nghệ này như Firewall-1, VPN-1,
…chúng có khả năng ứng dụng cao trong thực tế. Với một số tính năng nổi trội như:
NAT, kiểm soát truy cập, ghi lại nhật ký (loggin), xác thực người dùng, xác thực phiên
và dịch vụ kết nối…. Công nghệ Stateful Inspection ghi lại hai loại thông tin trạng thái
đó là thơng tin được lấy ra từ kết nối (communication-derived) và thông tin từ ứng
dụng (Application-derived).
Thu thập thông tin trạng thái và ngữ cảnh giúp cho VPN-1 kiểm soát được các giao
thức phi kết nối (connectionless protocols) như UDP hay RPC.
Trang 18
Hình 6: Tường lửa Check Point VPN-1 trong hệ thống mạng
Ngồi khả năng thực thi tốt các tính năng bảo mật của tường lửa Stateful
Inspection, VPN-1 xử lý với tốc độ cao nhờ kiến trúc Inspection Engine được cài vào
nhân của hệ điều hành. VPN-1 linh hoạt trong khi đưa ra quyết định đối với một gói
tin, nó có thể dựa trên thông tin của 5 lớp trên cùng của mơ hình OSI.
II.3.2. Tường lửa của Cisco
Tường lửa PIX (Private Internet EXchange) của Cisco bao gồm nhiều tính năng
mạnh và phong phú, chính điều này đã làm cho dịng sản phẩm tường lửa PIX trở
thành một trong những lựa chọn hàng đầu trên thị trường thiết bị tường lửa. Các khả
năng như tích hợp hệ điều hành riêng, thuật tốn bảo mật ASA, proxy, hỗ trợ VPN,
kiểm soát và lọc URL, dự phịng lỗi. Với một số tính năng trên đã làm cho tường lửa
PIX trở thành một trong những lựa chọn hàng đầu.
Trang 19
Hình 7: Tường lửa Cisco PIX trong hệ thống mạng
II.3.3. Tường lửa của Netscreen
Mỗi thiết bị NetScreen đều có một bảng mạch Application Specific Integrated
Circuit (ASIC). Những ASIC này là những con chip được thiết kế đặc biệt phục vụ
cho việc tăng tốc tường lửa, mã hóa, xác thực và q trình PKI. Bằng việc thực hiện
các cơng việc tính toán chuyên sâu trong chất silicon, NetScreen đã vượt trội hơn hẳn
về hiệu năng so với các phần mềm tường lửa. Thực tế là các thiết bị NetScreen được
thiết kế đều có những con chip ASIC, nâng cao hiệu quả hơn.
Trong q trình tích hợp giữa phần cứng và phần mềm, NetScreen cung cấp kiến
trúc high-speed multibus đính kèm mỗi ASIC với mỗi bộ vi xử lý RISC, SDRAN và
các giao diện Ethernet. Không giống các tường lửa triển khai trên phần cứng PC,
NetScreen platform là các hệ thống tích hợp được thiết kế với hiệu năng cao, trong
môi trường high-availability. Từ NetScreen-5 dual-10BaseT đến NetScreen-1000
Gigabit, các thiết bị NetScreen đã có sự mở rộng rất lơn về hiệu năng và có chi phí tốt
nhất.
Trang 20
Hình 8: Tường lửa NetScreen trong hệ thống mạng
NetScreen firewall là các firewall ngăn chặn chiều sâu cho phép bảo vệ lớp ứng
dụng. Trong khi PIX firewall có thể cấu hình stateless và statefull firewall hỗ trợ bảo
mật lớp mạng và lớp giao vận
NetScreen firewall là thiết bị bảo vệ trạng thái và lớp chiều sâu gói tin nó căn cứ
vào tất cả các kiểm tra của nó và quyết định được tạo ra bằng đường song song khác,
bao gồm địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, dữ liệu được kiểm tra sự
phù hợp giao thức.
Thiết bị NetScreen bảo trì bảng phiên mà đường ngồi giữa mọi thứ khác như địa
chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích, và các tác động phiên.
Trang 21
CHƯƠNG III: ỨNG DỤNG TƯỜNG LỬA VPN-1
CỦA CHECK POINT ĐỂ BẢO VỆ MẠNG VÀ
PHỊNG CHỐNG TẤN CƠNG
III.1. Giới thiệu chung về tường lửa VPN-1
VPN-1 là phần mềm bức tường lửa của Check Point, đây là phần mềm có thể chạy
trên nhiều hệ điều hành khác nhau. VPN-1 đáp ứng được mọi yêu cầu kết nối mạng an
toàn. Các tổ chức định ra một chính sách bao gồm mọi khía cạnh an tồn (kiểm sốt
truy nhập, xác thực người dùng, tồn vẹn dữ liệu, lọc địa chỉ,… ). Nó có khả năng
phân phối chính sách an tồn mạng trong diện rộng của toàn tổ chức tới tất cả các
điểm truy cập (mạng nội bộ, chinh nhánh, khách hàng, truy cập từ xa…) và tới tất cả
các đối tượng người dùng (văn phòng, người dùng từ xa, đối tác, khách hàng ..) trên
mọi hệ điều hành.
III.2. Một số khái niệm cơ bản
Chính sách bảo mật: là một tập hợp các luật định nghĩa an ninh bảo mật cho hệ
thống mạng của chúng ta. Trong Firewall Check Point, chính sách bảo mật được định
nghĩa qua một tập luật – Rule Base. Tập luật bao gồm các luật riêng rẽ hình thành nên
chính sách bảo mật của chúng ta. Nếu chúng ta thiết lập chính sách bảo mật khơng tốt,
thì hệ thống tường lửa sẽ bị giới hạn và không được sử dụng một cách hiệu quả.
Các thành phần của luật gồm có đối tượng mạng, người dùng, nhóm, dịch vụ, tài
nguyên, và hành động. Khi một chính sách được định nghĩa, chúng ta có thể triển khai
chính sách cho các thiết bị tường lửa trên toàn hệ thống mạng của chúng ta.
Tập luật (Rule base): Là một tập hợp các luật kiểm soát theo thứ tự. Mỗi luật
được định nghĩa cho một phiên kết nối, nó xác định nguồn, đích, dịch vụ và hành động
được áp dụng cho phiên kết nối đó. Luật cũng xác định thông tin về kết nối sẽ được
ghi lại như thế nào. Các sự kiện xảy ra sẽ được ghi nhật ký-log và có thể tạo ra một
thơng báo cảnh báo. Hình sau là một ví dụ về tập luật.
Trang 22
Hình 9: Ví dụ về tập luật
Mỗi một luật trong tập luật sẽ xác định những gói tin nào sẽ khớp với nó dựa trên
điều kiện Source (nguồn), Destination (đích), Service (dịch vụ), và Time (thời gian)
gói tin được kiểm tra. Khi một luật khớp với gói tin thì hành động trong Action sẽ
được áp dụng. Các thông tin về kết nối có thể được ghi log, hoặc một cảnh báo được
đưa ra, tùy vào việc cấu hình trong trường Track.
Các tham số của luật:
1. No.: Số thứ tự của luật, luật đầu tiên có số thứ tự là 1
2. Name: Tên luật.
3. Source: Tập hợp các đối tượng mạng, mô tả điểm bắt đầu của kết nối.
4. Destination Tập hợp các đối tượng mạng, mô tả điểm đến của kết nối.
5. VPN – Nếu cần thiết, định nghĩa kết nối sẽ được mã hóa trong kênh VPN.
6. Service – Một tập hợp các đối tượng dịch vụ, mô tả kết nối sẽ sử dụng giao
thức, cổng gì.
7. Action – Gồm các hành động được định nghĩa trước, xác định tường lửa sẽ
phải làm gì với gói tin nếu luật nàykhớp với gói tin đó.
8. Track – Gồm các tùy chọn được định nghĩa trước, xác định có ghi log hoặc
đưa ra cảnh báo nếu kết nối khớp với luật.
9. Install On – Xác định tường lửa nào sẽ áp dụng luật này.
10. Time – (tùy chọn) xác định thời gian mà luật sẽ được áp dụng.
11. Comment – Cho mục đích quản lý, cho phép chúng ta ghi những chú tích, mơ
tả luật.
Hiểu về thứ tự của luật:
Tường lửa kiểm tra các gói tin bằng cách so sánh chúng với chính sách, chỉ với
một luật tại một thời điểm. Trong tập luật, luật sẽ được so sánh theo thứ tự từ trên
Trang 23
xuống. Nếu kết nối khớp với một luật thì hành động trong luật đó sẽ được áp dụng và
kết thúc. Nếu kết nối không khớp với bất kỳ luật nào sẽ bị hủy.
Các luật cơ bản:
Có 2 luật cơ bản mà hầu hết những người quản trị đều dùng, đó là Cleanup và
Stealth, đây là những luật rất cơ bản và rất quan trọng trong vấn đề àn toàn bảo mật và
ghi nhật ký thông tin.
Luật Cleanup: Tường lửa Check Point hoạt động theo nguyên tắc là mặc định cấm
tất các kết nối mà không được phép. Tường lửa sẽ hủy tất cả kết nối mà không nằm
trong quy định của bất kỳ luật nào, do vậy cách để theo dõi, theo vết được các gói tin
bị hủy là tạo một luật Cleanup, luật này sẽ ghi log những kết nối bị hủy. Luật Cleanup
nằm ở dưới cùng trong tập luật và sẽ “quét dọn” tất cả các kết nối mà không nằm trong
phạm vi của bất kỳ luật nào khác bằng cách ghi log và thực hiện hành động Drop (bỏ
gói tin).
Luật Cleanup được thiết lập như hình sau:
Source Destination Service Action Track
Any
Any
Any
Drop
Install On
Time
Log Policy Targets Any
Hình 10: Luật Cleanup
Luật Cleanup phải được đặt dưới cùng, bên dưới tất cả các luật khác
Luật Stealth: ngăn chặn người dùng kết nối trực tiếp vào tường lửa, phòng chống
lại các tấn công lên tường lửa. Với luật Stealth, tường lửa sẽ trở thành vơ hình với
người dùng trên mạng.
Trong hầu hết trường hợp, luật Stealth sẽ được đặt lên trên các luật khác. Một số
luật cho các kết nối cần thiết lập trực tiếp qua tường lửa như xác thực Client, mã hóa
thì cần đặt trên luật Stealth.
Luật Stealth được thiết lập như hình sau:
Source Destination Service Action Track Install On
Any
Firewalls
Any
Drop
Log
Hình 11: Luật Stealth
Trang 24
Time
Policy Targets Any
III.3. Ứng dụng tường lửa VPN-1 của Check Point
Mơ hình ứng dụng:
III.3.1. Cho phép dải địa chỉ trong Internal ra Internet
Mục đích: Cho phép mọi địa chỉ trong dải mạng LAN 10.0.0.0/24 ra Internet
Tiến hành:
Tạo một Policy mới với các luật như sau:
Luật Streath: Cấm bất kì kết nối nào tới tường lửa VPN-1 và đưa ra cảnh bảo trên
log server.
Luật Cho phep ra Internet: Cho phép mọi kết nối từ LAN_10.0.0.0 có địa chỉ
10.0.0.0/24 với mọi giao thức và ghi log.
Kết quả:
Trang 25