Tải bản đầy đủ (.docx) (24 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

firewalls, instrution detection and prevention

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (540.77 KB, 24 trang )

1

Mục lục
1. Firewalls.................................................................................................................... 2
1.1. Khái niệm Firewall..............................................................................................2
1.1.1. Giới thiệu......................................................................................................2
1.1.2. Firewall cho mạng.........................................................................................4
1.2. Chức năng............................................................................................................ 4
1.3. Cấu trúc...............................................................................................................5
1.4. Các thành phần của Firewall và cơ chế hoạt động...............................................5
1.4.1. Các thành phần..............................................................................................5
1.4.2. Cơ chế hoạt động của Firewalls....................................................................6
1.5. Các loại Firewall................................................................................................10
1.6. Kỹ thuật Firewall...............................................................................................10
1.7. Hạn chế của Firewall.........................................................................................11
1.8. Một số mơ hình Firewall...................................................................................12
1.8.1. Packet – Filtering Router ( Bộ trung chuyển có lọc gói).............................12
1.8.2. Screened Host Firewall...............................................................................13
1.8.3. Demilitarized Zone (khu vực phi quân sự hoá - DMZ) hay Screened-subnet
Firewall................................................................................................................. 15
1.8.4. Proxy server................................................................................................16
2. Instrution Detection and Prevention Systems..........................................................19
2.1. Tổng quan về phát hiện xâm nhập và ngăn chặn xâm nhập...............................19
2.2 Hệ thống phát hiện xâm nhập IDS......................................................................19
2.2.1. Chức năng...................................................................................................19
2.2.2. Phân loại IDS..............................................................................................20
2.2.3. Ưu nhược điểm của hệ thống phát hiện xâm lấn IDS..................................21
2.3. Hệ thống ngăn chặn tấn công xâm nhập IPS......................................................21
2.3.1. Phân loại IPS...............................................................................................22
2.3.2. Ưu điểm và hạn chế của IPS........................................................................23
2.4. Kết luận.............................................................................................................23




2

1. Firewalls
1.1. Khái niệm Firewall
1.1.1. Giới thiệu
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thơng tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng
có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng không tin
tưởng.
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty,
tổ chức, ngành hay một quốc gia và Internet. Vai trị chính là bảo mật thơng tin, ngăn
chặn sự truy nhập khơng mong muốn từ bên ngồi và cấm truy nhập từ bên trong tới
một số địa chỉ nhất định trên Internet.


3

Hình 1.1: Mơ hình tường lửa đơn giản

Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên
ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực
hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định
trước.
Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.



Firewall cứng : Là những firewall được tích hợp trên Router.

Đặc điểm của Firewall cứng:
- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm
quy tắc như firewall mềm)
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng
Transport)
- Firewall cứng không thể kiểm tra được nột dung của gói tin.
Ví dụ Firewall cứng : NAT (Network Address Translate).


Firewall mềm : Là những Firewall được cài đặt trên Server

Đặc điểm của Firewall mềm:
- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)


4
- Firewal mềm có thể kiểm tra được nội dung của gói tin (thơng qua các từ khóa).
Ví dụ Firewall mềm : Zone Alarm, Norton Firewall.
.
1.1.2. Firewall cho mạng
Một tường lửa mạng là một hệ thống hoặc cụm các hệ thống được sử dụng để
điều khiển việc truy cập giữa 2 mạng : một mạng tin tưởng (trusted network) và một
mạng không tin tưởng ( untrusted network) sử dụng các luật hoặc bộ lọc được cấu hình
trước.
Các tường lửa có thể được tạo ra do một hoặc nhiều router, một hoặc nhiều hệ
thống máy chủ đang chạy ứng dụng Firewall, hoặc là các thiết bị phần cứng có cung
cấp dịch vụ Firewall hoặc là một sự kết hợp của các bộ phận ấy. Có nhiều cách khác

nhau trong thiết kế hệ thống tường lửa phụ thuộc vào tính năng, kiến trúc, giá cả.
Do đó để có được một giải pháp tường lửa hoạt động hiệu quả trong một tổ chức
thì việc quan trọng là phải hiểu các giải pháp tường lửa khác nhau có thể hoặc khơng
thể làm gì.

1.2. Chức năng
Chức năng chính của Firewall là kiểm sốt luồng thơng tin giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dịng thơng tin giữa mạng bên trong (Intranet) và
mạng Internet.
- Cho phép hoặc cấm các dịch vụ truy cập ra ngoài.
- Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập.
- Kiểm soát người dùng và việc truy cập của người dùng.
- Kiểm sốt nội dung thơng tin lưu chuyển trên mạng.
Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lưu lượng giữa hai mạng
để xem luồng lưu lượng này có đạt chuẩn hay khơng. Nếu đạt, nó được định tuyến
giữa các mạng, ngược lại, lưu lượng sẽ bị hủy.


5
Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng
có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên trong mạng.
Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào mạng
riêng và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép.
Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của
chúng, đây được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại lưu lượng đặc biệt
của mạng và được gọi là lọc giao thức.
Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho
Hacker nhầm tưởng rằng đã phá vỡ được hệ thống an tồn nhưng về cơ bản, nó phát

hiện sự tấn cơng và tiếp quản nó, dẫn dắt kẻ tấn công đi theo một hướng nhất định
nhằm để Hacker tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa
hơn, các họat động của kẻ tấn cơng có thể được ghi lại và theo dõi.

1.3. Cấu trúc
Firewall bao gồm :
- Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc
có chức năng router.
- Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thơng thường là
các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán
(Accounting).

1.4. Các thành phần của Firewall và cơ chế hoạt động
1.4.1. Các thành phần
Firewall chuẩn gồm một hay nhiều các thành phần sau đây :
 Bộ lọc packet (packet- filtering router)
 Cổng ứng dụng (application-level gateway hay proxy server)
 Cổng mạch (circuite level gateway)


6
1.4.2. Cơ chế hoạt động của Firewalls



Bộ lọc packet:

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo
thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính
xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …)

thành các gói dữ liệu (data packets) rồi gán cho các gói này những địa chỉ có thể nhận
dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều
đến các packet và những con số địa chỉ của chúng.

Hình 1.2: Lọc gói tin
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra
tồn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các
luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở
đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao
gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thơng báo ICMP
• Giao diện packet đến


7
• Giao diện packet đi
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó
được chuyển qua, nếu khơng thỏa thì sẽ bị loại bỏ. Việc kiểm sốt các cổng làm cho
Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào
được hệ thống mạng cục bộ.


Ưu điểm

- Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu


điểm của phương pháp dùng bộ lọc packet là đảm bảo thông qua của lưu lượng mạng.

- Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó

khơng yêu cầu sự huấn luyện đặc biệt nào cả.


Hạn chế

Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó địi hỏi người
quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header
và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi địi hỏi vể sự lọc càng lớn,
các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.



Cổng ứng dụng (application-level gateway hay proxy server)

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các
loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động
của nó dựa trên cách thức gọi là Proxy service (dịch vụ uỷ quyền). Proxy service là các
bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng
không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ khơng được
cung cấp và do đó khơng thể chuyển thơng tin qua firewall. Ngồi ra, proxy code (mã
uỷ nhiệm) có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà
người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi
vì nó được thiết kế đặt biệt để chống lại sự tấn cơng từ bên ngồi. Những biện pháp
đảm bảo an ninh của một bastion host là :



8
- Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệ
thống (Operating system). Các version an tồn này được thiết kế chun cho mục đích
chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall.
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó khơng thể bị tấn
công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS,
FTP, SMTP và xác thực user là được cài đặt trên bastion host.
- Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user
password hay smart card.
- Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ
đúng với một số máy chủ trên toàn hệ thống.
- Mỗi proxy duy trì một quyển nhật ký ghi chép lại tồn bộ chi tiết của giao
thơng qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong
việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
- Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho
phép dễ dàng trong quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có
vấn để.


Ưu điểm:

- Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể
truy nhập được bởi các dịch vụ.

- Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào

cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các
dịch vụ ấy bị khố.

- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi chép
lại thơng tin về truy nhập hệ thống.


9

- Luật lệ filtering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so
với bộ lọc packet.
 Hạn chế:
Yêu cầu các users thực hiện các thao tác chỉnh sửa phần mềm đã cài đặt trên máy
client cho truy nhập vào các dịch vụ proxy. Ví dụ, Telnet truy nhập qua cổng ứng dụng
đòi hỏi hai bước đê nối với máy chủ chứ không phải là một bước. Tuy nhiên, cũng đã
có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng
cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet.



Cổng mạch (circuite level gateway)

Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng
dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ
một hành động xử lý hay lọc packet nào.
Hình 1.3 minh hoạ một hành động sử dụng nối telnet qua cổng mạch. Cổng mạch
đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra,
lọc hay điều khiển các thủ tục Telnet . Cổng mạch làm việc như một sợi dây, sao chép
các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside
connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall nên nó che dấu

thơng tin về mạng nội bộ.
out

in

out

in

out

in

outside host
Circuit-level Gateway

Inside host

Hình 1.3: Cổng mạch

Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion
host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những kết


10
nối đến và cổng mạch cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ
dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các
dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội
bộ từ những sự tấn cơng bên ngồi.


1.5. Các loại Firewall
Firewall lọc gói thường là một bộ định tuyến có lọc. Khi nhận một gói dữ liệu,
nó quyết định cho phép qua hoặc từ chối bằng cách thẩm tra gói tin để xác định quy
tắc lọc gói dựa vào các thông tin của header để đảm bảo quá trình chuyển phát IP
Firewall cổng mạng hai ngăn là loại firewall có hai cửa nối đến mạng khác. Ví dụ
một cửa nối tới một mạng bên ngồi khơng tín nhiệm cịn một cửa nối tới một mạng
nội bộ có thể tín nhiệm. Đặc điểm lớn nhất của firewall này là gói tin IP bị chặn lại.
Firewall che chắn (Screening) máy chủ bắt buộc có sự kết nối tới tất cả máy chủ
bên ngồi với máy chủ kiên cố, khơng cho phép kết nối trực tiếp với máy chủ nội bộ.
Firewall che chắn máy chủ là do bộ định tuyến lọc gói và máy chủ kiên cố hợp thành.
Hệ thống Firewall có cấp an tồn cao hơn so với hệ thống Firewall lọc gói
thơngthường vì nó đảm bảo an tồn tầng mạng (lọc gói) và tầng ứng dụng (dịch vụ đại
lý).
Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng con dùng hai bộ
định tuyến lọc gói và một máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an
tồn nhất, vì nó đảm bảo chức năng an tồn tầng ứng dụng.

1.6. Kỹ thuật Firewall
Lọc khung (Frame Filtering): Hoạt động trong hai tầng của mơ hình OSI, có thể
lọc, kiểm tra được mức bit và nội dung của khung tin. Trong tầng này các khung dữ
liệu không tin cậy sẽ bị từ chối ngay trước khi vào mạng.
Lọc gói (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng
của mơ hình OSI. Lọc gói cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra


11
toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các
quy định của lọc Packet hay không. Các quy tắc lọc packet dựa vào các thông tin trong
Packet header.

Nếu quy tắc lọc packet được thoả mãn thì gói tin được chuyển qua Firewall. Nếu
không sẽ bị bỏ đi. Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống hoặc
khoá việc truy nhập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.
Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vì
chỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định địa
chỉ sai hay bị cấm. Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa
chỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiên
có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục
nhược điểm trên, ngồi trường địa chỉ IP được kiểm tra cịn có các thơng tin khác được
kiểm tra với quy tắc được tạo ra trên Firewall, các thơng tin này có thể là thời gian truy
nhập, giao thức sử dụng, cổng.
Firewall kiểu Packet Filtering có hai loại :
a.

Packet filtering Firewall : Hoạt động tại tầng mạng của mơ hình OSI hay

tầng IP trong mơ hình TCP/IP. Kiểu Firewall này khơng quản lý được các giao dịch
trên mạng.
b.

Circuit level gateway : Hoạt động tại tầng phiên của mơ hình OSI hay tầng

TCP trong mơ hình TCP/IP. Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống và
người dùng cuối. (VD: kiêmt tra ID, mật khẩu) loại Firewall cho phép lưu vết trạng
thái của người truy nhập.

1.7. Hạn chế của Firewall
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thơng
tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm
nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông

số địa chỉ.


12
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn cơng này khơng
"đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một
đường dial-up, hoặc sự dị rỉ thơng tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall
vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall khơng thể làm nhiệm vụ rà quét virus
trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các
virus mới và do có rất nhiều cách để mã hóa dữ liệu, thốt khỏi khả năng kiểm soát
của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.

1.8. Một số mô hình Firewall
1.8.1. Packet – Filtering Router ( Bộ trung chuyển có lọc gói)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router
đặt giữa mạng nội bộ và Internet. Một packe-filtering router có hai chức năng : chuyển
tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ
chối truyền thụng.

Bên ngoài

Packet filtering
router

The Internet


Hỡnh 1.4: Packet-filtering router

Bên trong
Mạng nội bộ


13
Căn bản, các quy luật lọc được định nghĩa sao cho các host trên mạng nộ bộ
được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một
số giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mơ hình
cấu trúc firewall này là tất cả những gì khơng được chỉ ra ràng thì có nghĩa là bị từ
chối.



Ưu điểm:

- Giá thành thấp, cấu hình đơn giản
- Trong suốt đối với user



Hạn chế:

- Dễ bị tấn công vào các bộ lọc mà cấu hình được đặt khơng hồn hảo hoặc bị tấn
công ngầm dưới những dịch vụ đã được phép.
- Do cac packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ
bị tấn công quyết định bởi số lượng các host và dịch vụ được phép. Điều đó dẫn đến
mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một

hệ thống xác thực phức tạp và thường xuyên kiểm tra bởi người quản trị mạng xem có
dấu hiệu của sự tấn công nào không.
- Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động , tất cả hệ
thống trên mạng nội bộ có thể bị tấn công.

1.8.2. Screened Host Firewall
Hệ thống bao gồm một packet-filtering router và một bastion host (pháo đài chủ).
Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở
tầng network và ở tầng ứng dụng. Đồng thời kẻ tấn công phải phá vỡ cả hai tầng bảo
mật để tấn công vào mạng nội bộ.


14
Bên trong

Bên ngoài

Packet filtering
router

Bastion host
máy nội bộ

The Internet

Information server

Hỡnh 1.5: Single- Homed Bastion Host
Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Quy luật
filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngồi chỉ có thể truy

nhập bastion host. Việc truyền thông tới tất cả các hệ thống bên trong đều bị khố, bởi
vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của
một tố chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào
bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host. Việc bắt
buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộ lọc của router sao
cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host.


Ưu điểm :

Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt
trên packet-filtering router và bastion. Trong trường hợp u cầu độ an tồn cao nhất,
bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài
truy nhập qua bastion host trước khi nối với máy chủ. Trường hợp không yêu cầu độ
an tồn cao thì các máy nội bộ có thể nối thẳng với máy chủ.
Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống firewall dual-home
(hai chiều) bastion host. Một hệ thống bastion host như vậy có 2 giao diện mạng
(network interface), nhưng khi đó khả năng truyền thơng trực tiếp giữa hai giao diện
đó qua dịch vụ proxy là bị cấm.


15
Bên trong

Bên ngoài

Packet filtering
router

Bastion host

máy nội bộ

The Internet

Information server

Hỡnh 1.6: Dual- Homed Bastion Host



Hạn chế :

Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ
Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như
người dùng truy nhập được vào bastion host thì họ có thể dễ dàng truy nhập tồn bộ
mạng nội bộ. Vì vậy cần phải cấm không cho người dùng truy nhập vào Bastion Host.

1.8.3. Demilitarized Zone (khu vực phi quân sự hoá - DMZ) hay Screened-

subnet Firewall
Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ thống có độ
an tồn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định
nghĩa một mạng “phi quân sự”. Mạng DMZ đóng vai trị như một mạng nội bộ. Cơ
bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có
thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ và sự truyền trực tiếp
qua mạng DMZ là khơng thể được.
Với những thơng tin đến, router ngồi chống lại những sự tấn công chuẩn (như
giả mạo địa chỉ IP) và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài
truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều
khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host.

Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ.
Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả


16
information server. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy
bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host.


Ưu điểm:

Kẻ tấn công cần phá vỡ 3 tầng bảo vệ : router ngoài, bastion host và router trong.
Bởi vì router ngồi chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội
bộ là khơng thể nhìn thấy, chỉ có một số hệ thống đã được chọn ra trên DMZ là được
biết đến bởi Internet qua routing table và DNS niformation exchange (Domain Name
Server)
Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống
trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều này đảm bảo rằng
những uer bên trong bắt buộc phải truy nhập Internet qua dch v proxy.
Bên trong

DMZ
Bên ngoài

Packet filtering
router

Bastion host

The Internet

Outside router

Inside router

Information server

Hình 1.7 : Mơ hình Screened-Subnet Firewall

1.8.4. Proxy server
Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway (cổng
vào mức ứng dụng), theo đó một bộ chương trình proxy (uỷ quyền) được đặt ở
gateway cách một mạng bên trong tới Internet.


17
Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng Internet
Firewall TIS (Trusted Information System - Hệ thống thông tin tin cậy), bao gồm một
bộ các chương trình và đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một
Firewall. Bộ chương trình được thiết kế để chạy trên hệ Unix sử dụng TCP/IP với giao
diện socket Berkeley.

Hình 1.8: Mơ hình 1 Proxy đơn giản

Bộ chương trình proxy được thiết kế cho một số cấu hình firewall, theo các dạng
cơ bản: dual-home gateway, screened host gateway và screened subnet gateway.
Thành phần bastion host trong firewall đóng vai trị như một người chuyển tiếp
thơng tin, ghi nhật ký truyền thông và cung cấp các dịch vụ, địi hỏi độ an tồn cao.
Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên internet. Một
Proxy server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm
chức năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao

tiếp trực tiếp Internet. Người dùng sẽ không truy cập được những trang web không cho
phép (bị công ty cấm ).Ví dụ : Khơng muốn nhân viên mua bán cổ phiếu trong giờ làm
việc thì admin có thể dùng Proxy server để khóa việc truy cập vào các site tài chính
trong một số giờ.
Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy,
nghĩa là Web site này được lưu trữ cục bộ, thì trang này sẽ đươc truy cập mà khơng
cần phải kết nối Internet, nếu khơng có trên Proxy server và trang này không bị cấm


18
yêu cầu sẽ được chuyển đến server thật và ra Internet . Proxy server lưu trữ cục bộ các
trang Web thường truy cập nhất trong bộ đệm dẫn đến giảm chi phí mà tốc độ hiển thị
trang Web nhanh.
Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang
lại cho mạng hai định danh : một cho nội bộ, một cho bên ngoài .Điều này tạo ra một
“bí danh” đối với thế giới bên ngồi gây khó khăn đối với nếu người dùng “tự tung tự
tác” hay các tay bẻ khóa muốn xâm nhập trực tiếp máy nào đó.
Proxy server làm cho việc sử dụng băng thông hiệu quả


19

2. Instrution Detection and Prevention Systems
2.1. Tổng quan về phát hiện xâm nhập và ngăn chặn xâm nhập
Instrution Detection and Prevention Systems ( Hệ thống phát hiện và ngăn chặn
xâm nhập trái phép (IDS/IPS)
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống
máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu xâm nhập bất hợp
pháp. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại
đến tính tồn vẹn, tính sẵn sàng, tính tin cậy hay là sự cố gắng vượt qua các cơ chế bảo

mật của hệ thống máy tính hay mạng đó.
Ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng.
Chúng ta sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ những lưu
lượng mạng có hại hay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp
tục. Mục đích ở đây là một hệ thống hồn hảo- khơng có những báo động giả nào làm
giảm năng suất người dung cuối và khơng có những từ chối sai nào tạo ra rủi ro quá
mức bên trong môi trường.
Một hệ thống chống xâm nhập (Instrution Prevention System – IPS) được định
nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm
nhập và có thể ngăn chặn các nguy cơ gây mất an ninh.
IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi
chung là hệ thống IDPS – Instrusion Detection and Prevention System

2.2 Hệ thống phát hiện xâm nhập IDS
Hệ thống phát hiện xâm nhập trái phép là những ứng dụng phần mềm chuyên
dụng để phát hiện xâm nhập vào hệ thống mạng cần bảo vệ. IDS được thiết kế không


20
phải với mục đích thay thế các phương pháp bảo mật truyền thống, mà để hồn thiện
nó.
2.2.1. Chức năng
Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ


Giám sát: Lưu lượng mạng và các hệ thống khả nghi



Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và nhà quản trị




Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị

mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
Ngồi ra, IDS có các chức năng mở rộng như:
- Phân biệt: Tấn công bên trong và tấn cơng bên ngồi
- Phát hiện: Những dấu hiệu bất thường dựa trên những gì đã biết hoặc dựa vào
sự so sánh thông lượng mạng hiện tại với baseline
2.2.2. Phân loại IDS
Có nhiều loại IDS khác nhau, mỗi loại có một chức năng và nhiệm vụ riêng.
Dựa trên phạm vị giám sát IDS được chia làm 2 loại:


NIDS: Network-based Intrusion Detection Systems thường được bố trí

tại những điểm dễ bị tấn công trong hệ thống. NIDS được sử dụng để giám sát traffic
đến và đi từ tất cả các thiết bị trên mạng. Điểm cộng lớn nhất của NIDS là có thể quét
tất cả traffic inbound và outbound, nhưng việc này có thể làm giảm tốc độ chung của
mạng.


21
Hình 2.1: NIDS được sử dụng để giám sát traffic đến và đi từ tất cả
các thiết bị trên mạng
• HIDS: Host- Based Intrusion Detection Systems, hệ thống phát hiện xâm nhập
này hoạt động trên tất cả các thiết bị trong hệ thống có thể kết nối Internet. HIDS chỉ
giám sát các gói dữ liệu inbound và outbound từ thiết bị hoặc những hành động đáng
ngờ tại cấp truy cập nội bộ.

Phân loại IDS theo kĩ thuật thực hiện:
• Signature-Based: Đây là các IDS hoạt động dựa trên chữ ký, giám sát các gói
tin trên mạng tương tự như cách phần mềm diệt virus hoạt động. Tuy nhiên SignatureBased có thể không phát hiện được những mối đe dọa mới, khi chữ ký để nhận biết nó
chưa được IDS cập nhật.
• Anomaly-Based: IDS này được sử dụng để phát hiện mối đe dọa dựa trên sự bất
thường. Anomaly-Based sẽ giám sát traffic mạng và so sánh với baseline đã được thiết
lập từ trước. Baseline sẽ xác định đâu là mức bình thường của mạng và cảnh báo cho
quản trị viên mạng hoặc người dùng khi phát hiện traffic truy cập bất thường hoặc
khác biệt so với baseline.
Ngồi ra:
• Passive: Đây là IDS thụ động chỉ phát hiện và cảnh báo. Khi phát hiện traffic
đáng ngờ hoặc độc hại, nó sẽ tạo và gửi cảnh báo đến các nhà quản trị hoặc người
dùng. Những hành động sau đó sẽ phụ thuộc vào người quản trị.
• Reactive: Loại IDS này ngồi nhiệm vụ như IDS Passive, nó cịn thực hiện
những hành động đã được thiết lập sẵn để phản ứng lại các mối đe dọa một cách nhanh
chóng, ví như: chặn nguồn truy cập, khóa IP.
2.2.3. Ưu nhược điểm của hệ thống phát hiện xâm lấn IDS



Ưu điểm của IDS



Thích hợp sử dụng để thu thập số liệu, giúp kiểm tra các sự cố xảy ra đối

với hệ thống mạng với những bằng chứng thuyết phục nhất.


Đem đến cái nhìn bao quát và toàn diện về toàn bộ hệ thống mạng.



22


Là cơng cụ thích hợp để thu thập bằng chứng phục vụ cho việc kiểm tra

các sự cố trong hệ thống mạng.



Nhược điểm của IDS

• Nếu khơng được cấu hình hợp lý rất dễ gây tình trạng báo động nhầm.
• Khả năng phân tích lưu lượng mã hóa tương đối thấp.
• Chi phí triển khai, phát triển và vận hành hệ thống tương đối lớn

2.3. Hệ thống ngăn chặn tấn công xâm nhập IPS
IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống
theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn. Chức năng
chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thơng tin này. Sau đó kết
hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi
tiết về các hoạt động xâm nhập trái phép trên.
Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt
động cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy nhất
là hệ thống IPS ngoài khả năng theo dõi, giám sát thì cịn có chức năng ngăn chặn kịp
thời các hoạt động nguy hại đối với hệ thống. Hệ thống IPS sử dụng tập luật tương tự
như hệ thống IDS.
2.3.1. Phân loại IPS
Phân loại IPS thành 2 loại:

1.

Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion

Prevention) thường được triển khai trước hoặc sau firewall. Khi triển khai IPS trước
firewall là có thể bảo vệ được tồn bộ hệ thống bên trong kể cả firewall, vùng DMZ.
Có thể giảm thiểu nguy cơ bị tấn công từ chối dịch vụ đồi với firewall. Khi triển khai
IPS sau firewall có thể phịng tránh được một số kiểu tấn cơng thơng qua khai thác
điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong.


23

Hình 2.2: NIPS
2.

Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion

Prevention) thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các
hoạt động thâm nhập trên các host. Để có thể ngăn chặn ngay các tấn công, HIPS sử
dụng công nghệ tương tự như các giải pháp antivirus. Ngoài khả năng phát hiện ngăn
ngừa các hoạt động thâm nhập, HIPS cịn có khả năng phát hiện sự thay đổi các tập tin
cấu hình.

Hình 2.3: HIPS
2.3.2. Ưu điểm và hạn chế của IPS


Ưu điểm:




Cung cấp giải pháp bảo vệ toàn diện hơn đối với tài nguyên hệ thống.


24


Ngăn chặn kịp thời các tấn công đã biết hoặc chưa được biết.



Hạn chế:

- Có thể gây ra tình trạng phát hiện nhầm (faulse positives), có thể khơng cho

phép các truy cập hợp lệ tới hệ thống.

2.4. Kết luận
So sánh giữa IDS và IPS
Cả IDS / IPS đều đọc các gói mạng và so sánh nội dung với cơ sở dữ liệu về các
mối đe dọa đã biết. Sự khác biệt chính giữa chúng là những gì xảy ra tiếp theo. IDS là
các công cụ phát hiện và giám sát khơng tự mình thực hiện. IPS là một hệ thống điều
khiển chấp nhận hoặc từ chối một gói dựa trên bộ quy tắc.
IDS yêu cầu con người hoặc hệ thống khác xem xét kết quả và xác định hành
động nào cần thực hiện tiếp theo, đây có thể là cơng việc toàn thời gian tùy thuộc vào
lượng lưu lượng truy cập mạng được tạo ra mỗi ngày. IDS làm cho một công cụ pháp y
sau khám nghiệm tử thi tốt hơn để CSIRT sử dụng như một phần của các cuộc điều tra
sự cố an ninh của họ.
Mục đích của IPS, mặt khác, là để bắt các gói nguy hiểm và thả chúng trước khi

chúng đến mục tiêu của chúng. Nó thụ động hơn IDS, chỉ cần yêu cầu cơ sở dữ liệu
được cập nhật thường xuyên với dữ liệu mối đe dọa mới.
* Điểm nhấn mạnh: IDS / IPS chỉ hiệu quả như cơ sở dữ liệu tấn công mạng của
họ. Luôn cập nhật chúng và sẵn sàng thực hiện các điều chỉnh thủ công khi một cuộc
tấn công mới nổ ra trong tự nhiên và / hoặc chữ ký tấn cơng khơng có trong cơ sở dữ
liệu.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×