Website: Email : Tel : 0918.775.368
I)Tờng lửa là gì.(firewall)
Tờng lửa là hệ thống ngăn chặn việc trái phép từ bên ngoài vào mang. Tờng lửa
thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo quy tắc hay chỉ tiêu định
trớc.
Intranet
firewall
Internet
1) Cấu trúc của một firewall:
Firewall bao gồm:
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc
chức năng router.
Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thờng là các
hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán
(Accounting)
2) Các thành phần của Firewall
Một firewall bao gồm một hay nhiều thành phần sau:
+ Bộ loc packet (packet-filtering router)
+ Cổng ứng dụng (Application-level gateway hay proxy server)

II) Phân loại tờng lửa
1
Website: Email : Tel : 0918.775.368
Có ba loại tờng lửa cơ bản:
Truyền thông đợc thực hiện giửa một nút đơn và mạng, hay giữa một số mạng.
Truyền thông đợc chặn tại tầng mạng, hay tầng ứng dụng.
Tờng lửa có theo dõi trạng thái của truyền thông hay không.
1) Phân loại theo phạm vi của các truyền trông đợc loc.
Tờng lửa cá nhân, một ứng dụng phần mền với chức năng thông thờng là lọc dữ
liệu ra vào một máy tính đơn.
Tờng lửa mạng, thờng chạy trên một thiết bị mạng hay máy tính chuyên dụng

đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung
gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tờng lửa thuộc loại này lọc tất
cả giao thông dữ liệu vào hoặc ra các mạng đợc kết nối qua đó.
2) Khi phân loại theo các tầng giao thức nơi giao thông dữ liêu có thể bị chặn, có
ba loại tờng lửa chính:
Tờng lửa tầng mạng. Ví dụ: Iptables
Tờng lửa tầng ứng dụng. Ví dụ: TCP Wrappers
Tờng lửa ứng dụng. Ví dụ: hạn chế các dịch vụ FPT bằng việc định cấu hình tại
tệp /etc/ftpaccess
Có loại tờng lửa tầng mạng và tờng lửa tầng ứng dụng thờng trùm lên nhau, mặc
dù tờng lửa cá nhân không phục vụ mạng, nhng một số hệ thống đơn đã cài đặt
chung cả hai.
3) Phân loại theo tiêu chí rằng tờng lửa theo dõi trạng thái của các kết nối
mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tờng lửa:
Tờng lửa có trạng thái
Tờng lửa phi trạng thái

III) Khả năng và hạn chế của tờng lửa hiện nay.
1) Khả năng của một firewall
2
Website: Email : Tel : 0918.775.368
Các chức năng cơ bản của một Firewall là :
Cho phép hoặc cấm các dịch vụ truy nhập ra ngoai ( từ intranet ra internet) .
Cho phép hoặc cấm các dịch vụ truy nhập vào trong ( từ internet vào intranet ) .
Theo dõi luồng dữ liệu trao đổi giũa mạng bên trong ( intranet ) và mạng
internet.
Kiểm soát địa chỉ truy nhập , cấm địa chỉ truy nhập .Xác định địa chỉ truy nhập
giả mạo
Kiểm soát ngòi sử dụng và việc truy nhập của ngời sử dụng .
2) Hạn chế của một firewall

Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự
xâm nhập của những nguồn thông tin không mong muốn nhng phải xác định
rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không
"đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công
từ một đờng dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp
pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu
(data-driven attack). Khi có một số chơng trình đợc chuyển theo th điện tử, vợt
qua firewall vào trong mạng đợc bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus
trên các dữ liệu đợc chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục
của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả
năng kiểm soát của firewall.
3
Website: Email : Tel : 0918.775.368
IV) Các phơng thức tấn công tờng lửa của hacker và biện pháp
phòng chống.
Trên lí thuyết, Firewall là phơng pháp bảo mật an toàn nhất cho hệ thống của
bạn khi có kết nối internet. Tuy nhiên vẫn tồn tại những vấn đề xung quanh môi tr-
ờng bảo mật này. Nếu Firewall đợc cấu hình quá chặt chẽ thì sẽ làm giảm tiến trình
làm việc của mạng, đặc biệt là trong môi truờng ngời dùng phụ thuộc hoàn toàn vào
các ứng dụng phân tán. Do vậy, việc lựa chọn cấu hình Firewall sao cho vừa đảm
bảo tiến trình hoạt động của mạng vùa có đựoc mức độ bảo mật cao quả là một vấn
đề nan giải đối với ngời quản trị mạng .
Khai thác triệt để vấn đề này, các hacker đã nghiên cứu rất nhiều phong pháp để
vợt qua Firewall. Nhng cơ bản thì đều gôm hai giai đoạn sau :
Tìm ra dạng tờng lủa mà mạng đang sử dụng và các dịch vụ hoạt động
phía sau nó .

Khai thác các tuyến quan hệ (trusted relationship) và các nút bảo mật
kết nối lỏng lẻo nhất để cố gắng đi vòng qua Firewall .
Mt trong nhng vic phi l m c a các hacker l tách các th nh ph n thc ra
khi các th nh ph n gi mo. Nhiu tng la s dng trm (sacrificial hosts) - l
h thng c thit k nh các server Web (có th sn s ng b i) hay by (decoys),
dùng bt các h nh vi thâm nh p ca hacker. By có th cn dùng ti nhng thit
b ngy trang phc tp nhm che du tính cht tht ca nó, ví dụ : a ra câu tr li
tng t h thng tp tin hay các ng dng thc. Vì vy, công vic u tiên ca
hacker l ph i xác nh ây là các đối tợng tồn tại thật .
có c thông tin v h thng, hacker cn dùng ti thit b có kh nng
phc v mail v các d ch v khác. Hacker s tìm cách nhn c mt thông ip
4
Website: Email : Tel : 0918.775.368
n t bên hệ thống . Khi đó, đờng đI đợc kiểm tra và có thể tìm ra những manh mối
về cấu trúc hệ thống.
Dới đây là một số phơng thức thông dụng mà hacker sử dụng để định danh
Firewall và xác định cấu trúc của mạng nội bộ :
1) Định danh firewall
Hu ht mi Firewall u mang mt "mùi hơng"in t duy nht. Ngha l , v i
mt tin trình quét cng, lp cu la, v n m gi biu ng n gin, bn tn công
có th hiu qu xác nh kiu, phiên bn, v các quy t c ca hu ht mi Firewall
trên mng. Ti sao vic nh danh n y l i quan trng? Bi vỡ mt khi ó ánh x
c các Firewall, chúng có th bt u tìm hiu các im yu v g ng khai thác
chúng.
a) Quét trực tiếp
Cách d nht tìm kim các Firewall ó l quét các c ng ngm nh c th.
Mt s Firewall trên th trng s t nh danh duy nht bng các t quét cng
n gin bn ch cn bit ni dung tìm kim.
Ví d, Firewall-1 ca Check point lng ch trên các cng TCP 256, 257, 258,
v Proxy Server c a Microsoft thng lng ch trên các cng TCP 1080 v 1745.

Vi s hiu bit n y, quá trình tìm ki m các kiu Firewall n y ch ng có gì khó vi
mt b quét cng nh nmap :
nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254
Dùng khóa chuyn -PO vô hiu hóa tính nng ping ICMP trc khi quét.
Điu n y quan tr ng bi hu ht Firewall không áp ng các yêu cu di ICMP. C
bn tn công nhút nhát ln hung bo u tin h nh quét r ng rãi mng theo cách
5
Website: Email : Tel : 0918.775.368
n y, t×m kià ếm c¸c Firewall n y v t×m kià à ếm mọi khe hở trong kÐt sắt v nh à đai. Nh-
ng bọn tấn c«ng nguy hiểm hơn sẽ lïng sục v nh à đai c ng lÐn lót c ng tà à ốt. Cã
nhiều kỹ thuật m bà ọn tấn c«ng cã thể sử dụng để hạ sập radar, bao gồm ngẫu nhiªn
hãa c¸c ping, c¸c cổng đÝch, c¸c địa chỉ đÝch, v c¸c cà ổng nguồn;dïng c¸c hệ chủ cß
mồi; v thà ực hiện c¸c đợt quÐt nguồn cã ph©n phối.
C¸c BiÖn Ph¸p Phßng Chèng :
§ể ngăn cản c¸c đợt quÐt cổng bức tường lửa từ Internet, cần phong tỏa c¸c
cổng n y trªn c¸c bà ộ định tuyến đứng trước c¸c Firewall . Nếu c¸c thiết bị n y doà
ISP quản lý, cần liªn hệ với họ để tiến h nh phong tà ỏa.
b) Ra tuyÕn ®êng
Một c¸ch thinh lặng v tinh tà ế hơn để t×m c¸c Firewall trªn một mạng đã là
dïng traceroute . C¸c hacker sö dông traceroute của UNIX hoặc tracert.exe của NT
để t×m từng chặng dọc trªn đường truyền đến ®Ých v tià ến h nh suy dià ễn.
Traceroute của Linux cã tïy chọn -I, thực hiện r à đường bằng c¸ch gửi c¸c gãi tin
ICMP, tr¸i với kỹ thuật gói tin UDP ngầm định.
BiÖn Ph¸p Phßng Chèng :
§ể ngăn cản c¸c traceroute chạy trªn biªn, cã thể cấu h×nh c¸c bộ định tuyến
kh«ng đ¸p ứng c¸c th«ng điệp TTL EXPI#800000 khi nã nhận một gãi tin cã TTL là
0 hoặc 1. Hoặc nªn phong tỏa to n bà ộ luồng lu th«ng UDP kh«ng cần thiết tại øac
bộ định tuyến biªn.
c) N¾m gi÷ biÓu ng÷
6

Website: Email : Tel : 0918.775.368
Kỹ thuật quÐt t×m c¸c cổng Firewall l hà ữu Ých trong việc định vị c¸c Firewall ,
nhng hầu hết c¸c Firewall kh«ng lắng chờ trªn c¸c cổng ngầm định nh Check point
v Microsoft, do ®ã vià ệc ph¸t hiện phải ®îc suy diễn. Nhiều Firewall phổ dụng sẽ
c«ng bố sự hiện diện của chóng bằng c¸ch đơn giản nối với chóng. VÝ dụ , nhiều
Firewall gi¸m quản sẽ c«ng bố chức năng cña chóng với t c¸ch một Firewall , và
một số sẽ quảng c¸o kiểu v phiªn bà ản của chóng. VÝ dụ, khi ta nối với một m¸y
được tin l mà ột bức tường lửa bằng netcat trªn cổng 21 (FTP ), ta sẽ thấy một số
th«ng tin thó vị :
:
C:\TEMP>nc -v -n 192.168.51.129 2 l
[UNKNOWN] [ 192.168.5l.129 ] 2 l ( ? ) open
220 Secure Gateway FTP server ready .
Biểu ngữ "Secure Gateway server FTP ready" l mà ột dấu hiệu lộ tẩy của một
hộp Eagle Raptor cũ. Việc nối thªm với cổng 23 (telnet) sẽ x¸c nhận tªn bức tường
lửa l "Eagle." à
C:\TEMP>nc -v -n 192.168.51.129 23
[UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open
Eagle Secure Gateway . Hostname :
7
Website: Email : Tel : 0918.775.368
V cu i cùng. nu vn cha b thuyt phc h ch l m t bc tng la, có th
netcat vi cng 25 ( SMTP ), v nó sẽ bảo cho bi t nó l gì:
C:\TEMP>nc -v -n 192.168.51.129 25
[UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open
421 fw3.acme.com Sorry, the firewall does not provide mail service to you.
Nh ó thy trong các ví d trên ây, thông tin biu ng có th cung cp các
thông tin quý giá cho bn tn công trong khi nh danh các bc tng la. Dùng
thông tin n y, chúng có th khai thác các ch yu ph bin hoc các cu hình sai
chung.

Biện Pháp Phòng Chống :
Đ chnh sa ch yu rò r thông tin n y, chúng ta gi i hn thông tin biu ng
qung cáo. Mt biu ng tt có th kèm theo mt mc cnh giác mang tính pháp lý
v t t c mi n lc giao kt s c ghi s. Hoặc có thể thay đổi thông tin về
Firewall từ các biểu ngữ quảng cáo .
2) Quét qua các tờng lửa
a) Kĩ thuật hping
Hping l m vi c bng cách gi các gói tin TCP n mt cng ích v báo cáo
các gói tin m nó nh n tr li. hping tr v nhiu áp ng khác nhau tùy theo s
iu kin. Mi gói tin tng phn v to n th có th cung cp mt bc tranh khá rõ
v các kiu kim soát truy cp ca Firewall. Ví d, khi dùng hping ta có th phát
hln các gói tin m, b phong ta, th, v lo i b.
8
Website: Email : Tel : 0918.775.368
Trong vÝ dụ sau đ©y, hping b¸o c¸o cổng 80 đang mở v sà ẵn s ng nhà ận một
tuyến nối. Ta biết điều n y bà ởi nã đãn nhận một gãi tin với cờ SA đợc ấn định (một
gãi tin SYN/ACK).
[ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S
-p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 0 ) : S
set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA
seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms
Giờ đ©y ta biết cã một cống mở th«ng đến đÝch, nhng cha biết nơi của Firewall.
Trong vÝ dụ kế tiếp, hping b¸o c¸o nhận một ICMP unreachable type 13 từ
192.168.70.2. Một ICMP type 13 l mà ột gãi tin lọc bị ICMP admin ngăn cấm, thêng
®îc gửi từ một bộ định tuyến lọc gãi tin.
[root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S
-p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S
set, 40 data bytes ICMP Unreachable type 13 f rom
192.168.70.2
Giờ đ©y nã ®· x¸c nhận, 192.168.70.2 ắt hẳn l bà ức tường lửa, v ta bià ết nã đang

râ rệt phong tỏa cổng 23 đến đÝch của chóng ta.
b) Firewalk
Firewalk l mà ột công cụ nhỏ tiện dụng, nh một bộ quÐt cổng, ®îc dïng để ph¸t
hiện c¸c cổng mở đ»ng sau một Firewall. §ợc viết bởi Mike Schiffnlan, tr×nh tiện Ých
9