BCTECH-eLib

(1)

FIREWALL TƯỜNG LỬA

Nguyen Trung Chinh – May 2008 Faculty of Information Technology Baria-Vungtau University

www.bvu.edu.vn

(2)

C O N TE N TS Nội dung

1. Definition - Các định nghĩa

2. Types of Firewalls - Các kiểu tường lửa

3. The Demilitarized Zone (DMZ) - Vùng ‘phi quân sự’

4. Improving Security Through the Firewall - Tăng cường an toàn bảo mật với tường lửa

5. Firewall Services and Limitations - Những dịch vụ và hạn chế của tường lửa

(3)

FIR EW A LL 1. Definition – Định nghĩa

• Trong mạng máy tính, Firewall (tường lửa) là rào chắn mà một số cá nhân, tổ chức, thiết lập nhằm ngăn chặn người dùng truy xuất các thông tin không mong muốn trên Internet hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.

• Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số kết nối bị cấm bởi chính sách an ninh của cá nhân hay tổ chức. Tường lửa còn

được gọi là Thiết bị bảo vệ biên giới (Border Protection Device – BPD) hay bộ lọc gói tin (packet filter).

• Nhiệm vụ cơ bản của tường lửa là kiểm soát lưu thông dữ liệu giữa hai vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu

(principle of least privilege).

(4)

FIR EW A LL 1. Definition – Định nghĩa

• Mạng internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của nó rất lớn. Tuy nhiên cũng có rất nhiều ngoại tác không mong muốn đối với các cá nhân là cha mẹ hay tổ chức như các trang web không phù hợp lứa tuổi, nhiệm vụ, lợi ích, đạo đức, pháp luật hoặc trao đổi thông tin bất lợi cho cá nhân, doanh nghiệp... Do vậy họ (các cá nhân, tổ chức) sử dụng tường lửa để ngăn chặn.

• Đ ngăn ch n các trang web không mong muô n, các trao đ i thông tin không ể ặ ổ mong muô n người ta dùng cách l c các đ a ch web không mong muô n mà h đã ọ ị ỉ ọ t p h p đậ ợ ược ho c l c n i dung thông tin trong các trang thông qua các t khóa ặ ọ ộ ừ đ ngăn ch n nh ng ngể ặ ữ ười dùng không mong muô n truy c p vào m ng và cho ậ ạ phép người dùng h p l th c hi n vi c truy xuấ t.ợ ệ ự ệ ệ

• Tường lửa có thể là một thiết bị định hướng (Router, một thiết bị kết nối giữa hai hay nhiều mạng và chuyển các thông tin giữa các mạng này) hay trên một máy chủ (Server), bao gồm phần cứng và/hoặc phần mềm nằm giữa hai mạng (chẳng hạn mạng Internet và mạng của các gia đình, tổ chức)

(5)

FIR EW A LL 1. Definition – Định nghĩa

• Theo định nghĩa, "tường lửa" là một bộ lọc các gói tin theo cả hai chiều vào và ra hệ thống máy tính. Đa số những tường lửa thực hiện hai chức năng:

1. Packet filtering based: Lọc các gói tin dựa vào các chính sách an toàn bảo mật hiện có là chấp nhận (allow) hay từ chối (deny).

2. Application proxy gateways: cổng uỷ nhiệm ứng dụng, cung cấp những dịch vụ cho người sử dụng đồng thời cũng bảo vệ các máy tính bên trong mạng.

(6)

FIR EW A LL 2. Types of Firewalls - Các kiểu tường lửa

• Có 5 kiểu tường lửa:

1. Packet Inspection : kiểm tra gói tin , là một bộ các quy tắc cho phép hay khóa các gói tin truyền trên mạng.

2. Application Proxy Server: cung cấp các dịch vụ được phép sử dụng 3. VPN (Virtual Private Networks): bảo mật các kết nối trên nền tảng

Internet

4. Tường lửa dùng cho doanh nghiệp nhỏ SOHO (Small Office Home Office)

5. NAT (Network Address Translate): dịch và hướng địa chỉ

(7)

FIR EW A LL 2. Types of Firewalls - Các kiểu tường lửa

• Stateless filtering: Không kiểm tra mỗi gói IP trong ngữ cảnh

• Static filtering: Chúng kiểm tra mỗi gói IP trong ngữ cảnh: giữ vết theo dõi với các kỳ client-server, kiểm tra từng gói đúng thuộc vào một phiên. Có khả năng tốt hơn phát hiện các gói giả tách khỏi ngữ cảnh.

2.1. Packet Inspection Firewalls - Tường lửa kiểm tra/lọc gói tin

(8)

1. Source address – địa chỉ nguồn: Các gói tin đi ra (outgoing) phải có địa chỉ nguồn là địa chỉ trong mạng (internal), các gói tin đi vào (incoming) có địa chỉ nguồn không phải là địa chỉ trong mạng.

2. Destination address – địa chỉ đích: Các gói tin đi ra không có địa chỉ đích là địa chỉ trong mạng, các gói tin đi vào phải có địa chỉ đích là địa chỉ trong mạng

3. Số hiệu cổng nguồn và cổng đích khi dùng TCP hoặc UDP 4. Kiểu thông điệp ICMP

5. Dữ liệu của gói tin

6. Số hiệu phiên, dữ liệu và bit ACK TCP

2.1. Packet Inspection Firewalls - Tường lửa kiểm tra/lọc gói tin

(9)

2.1. Packet Inspection Firewalls - Tường lửa kiểm tra/lọc gói tin

2.1.1. IP Address Filtering – Lọc địa chỉ IP

Application

Protocol Source IP Destination IP Action

HTTP Any 192.168.1.2 Allow

FTP Any 192.168.1.3 Allow

Telnet Any 192.168.1.4 Deny

(10)

FIR EW A LL

2. Types of Firewalls - Các kiểu tường lửa

2.1.2. TCP and UDP Port Filtering - Lọc cổng TCP và UDP

Application Protocol Destination Port Action

HTTP TCP 80 Allow

SSL UDP 443 Allow

Telnet TCP 23 Deny

(11)

FIR EW A LL

2.1.3. Packet Filtering Based on Initial Sequence Numbers (ISN) and Acknowledgement (ACK) Bits - Lọc gói tin trên cơ sở ISN và bit ACK

• Có thể điều khiển truy nhập được thực hiện bởi việc theo dõi bit ACK. Sử dụng những bit ACK này có thể giới hạn những dữ liệu đầu vào chỉ là

những gói trả lời. Điều này có nghĩa rằng một hệ thống từ xa hay một hacker không thể bắt đầu một kết nối TCP mà chỉ có thể chỉ trả lời những gói tin đã được gửi tới nó.

• Tuy nhiên, những gói UDP không có bit ACK. Điều này cũng đúng khi khởi tạo kết nối FTP. Những ứng dụng như vậy không thể chạy được qua một tường lửa lọc bit ACK.

ISN Destination Address Port ACK Action

15 192.168.1.2 80 0 Deny

16 192.168.1.3 80 1 Allow

(12)

FIR EW A LL

2.1.3. Packet Filtering Based on Initial Sequence Numbers (ISN) and Acknowledgement (ACK) Bits - Lọc gói tin trên cơ sở ISN và bit ACK

• Có thể điều khiển truy nhập được thực hiện bởi việc theo dõi bit ACK. Sử dụng những bit ACK này có thể giới hạn những dữ liệu đầu vào chỉ là

những gói trả lời. Điều này có nghĩa rằng một hệ thống từ xa hay một hacker không thể bắt đầu một kết nối TCP mà chỉ có thể chỉ trả lời những gói tin đã được gửi tới nó.

• Tuy nhiên, những gói UDP không có bit ACK. Điều này cũng đúng khi khởi tạo kết nối FTP. Những ứng dụng như vậy không thể chạy được qua một tường lửa lọc bit ACK.

ISN Destination Address Port ACK Action

15 192.168.1.2 80 0 Deny

16 192.168.1.3 80 1 Allow

(13)

FIR EW A LL

2.1.2. Problems with Packet Filtering Firewalls – Các vấn đề phát sinh với tường lửa lọc gói tin

• UDP Port Filtering: Do đặc tính của gói tin UDP là broadcast và không có bit ACK. Một giải pháp có thể là từ chối tất cả các gói tin đi vào (incoming) nhưng chấp nhận tất cả các gói tin đi ra (outgoing). Tất nhiên chính sách này có thể gây ra những vấn đề tới một số người sử dụng mạng bởi vì có một số dịch vụ sử dụng UDP như NFS, NTP, DNS, WINS, NetBIOS- over- TCP/IP và ứng dụng như IRC

• Không hỗ trợ kiểm soát lưu lượng VPN

• Việc giả mạo/ẩn địa chỉ

• Không có bất kỳ sự kiểm tra tính sự hợp lệ về giao thức ở của bên trong gói.

(14)

FIR EW A LL 2. Types of Firewalls - Các kiểu tường lửa

2.2. Application Proxy Server: Filtering Based on Known Services – Cổng giao tiếp chuyên dùng cho ứng dụng: Lọc trên cơ sở các dịch vụ đã biết

• Proxy là một server làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo sự an toàn cho việc truy cập Internet của các máy trạm

• Những yêu cầu của người sử dung sẽ qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp, tại điểm trung gian này người ta kiểm soát được mọi giao tiếp từ bên trong ra ngoài internet và từ internet vào mạng bên trong của công ty. Sử dụng Proxy, công ty có thể cấm nhân viên truy cập những địa chỉ web không cho phép, cải thiện tốc độ truy cập nhờ sự lưu trữ cục bộ các trang web trong bộ nhớ của proxy server và giấu định danh địa chỉ của mạng nội bộ gây khó khăn cho việc thâm nhập từ bên ngoài vào các máy của công ty.

(15)

2.2. Application Proxy Server: Filtering Based on Known Services – Cổng giao tiếp chuyên dùng cho ứng dụng: Lọc trên cơ sở các dịch vụ đã biết

• Proxy server có các đặc tính:

1. Che giấu địa chỉ, các địa chỉ bên trong mạng gửi một yêu cầu ứng dụng tới tường lửa và tường lửa sẽ gửi yêu cầu đến với bên ngoài. Vì thế bên ngoài sẽ chỉ nhìn thấy địa chỉ IP tường lửa mà không thấy IP của các máy bên trong.

2. Header của các gói tin được sửa lại để bên ngoài chỉ thấy địa chỉ của tường lửa, điều này ngăn chặn các tấn công dưa và header của gói tin.

3. Chỉ ra các giao thức bắt buộc, tường lửa kiểm tra gói để cho phép những gói thông qua dựa vào dịch vụ (port) cung cấp, chỉ giải

quyết yều cầu từ một vài ứng dụng chỉ định

• Có 2 loại tường lửa là: application proxy và SOCKS proxy

(16)

FIR EW A LL 2. Types of Firewalls - Các kiểu tường lửa

2.2.1. Application Proxy – Cổng giao tiếp chuyên dùng cho ứng dụng

(17)

2.2.2. SOCKS – Cổng giao tiếp mức mạch vòng

• Một ví dụ proxy server cho ứng dụng Web cung cấp các dịch vụ:

1. HTTP (port 80)

2. FTP (port 20 and 21) 3. SSL (port 443)

4. Gopher (port 70) 5. Telnet (port 23) 6. Mail (port 25)

• Những tường lửa mới, cung cấp sẵn các proxies: HTTP/Secure HTTP, FTP, SSL, Gopher, Email, Telnet một vài dịch vụ khác. Các tường lửa này làm việc cả hai chiều vào-ra của mạng.

(18)

2.2.2. SOCKS – Cổng giao tiếp mức mạch vòng

• SOCKS là một giao thức Internet cho phép những ứng dụng khách/chủ làm việc một cách trong suốt khi khai thác các dịch vụ sau tường lủa.

• Những client đằng sau tường lửa cần truy nhập đến server, có thể nối tới SOCKS proxy. SOCKS proxy sẽ kiểm soát truy cập của client và chuyển yêu cầu đến server. SOCKS proxy có thể làm việc hai chiều,, cho phép những client bên ngoài tường lửa có thể nối đến server bên trong tường lửa.

•Chuyển tiếp 2 kết nối TCP. Có sự an toàn bằng cách hạn chế các kết nối cho phép. Các chuyển tiếp thông thường không kiểm tra nội dung. Thông thường được sử dụng khi tin cậy người sử dụng bên trong bằng cách cho phép các kết nối ra ngoài nói chung. Gói SOCKS được sử dụng rộng rãi cho mục đích này.

(19)

2.2. Application Proxy Server: Filtering Based on Known Services – Cổng giao tiếp chuyên dùng cho ứng dụng: Lọc trên cơ sở các dịch vụ đã biết

2.2.2. SOCKS – Cổng giao tiếp mức mạch vòng

(20)

2.3. Virtual Private Network (VPN) Firewalls – Tường lửa

VPN

(21)

2.4. Small Office or Home (SOHO) Firewalls – Tường lửa

SOHO

(22)

2.5. NAT Firewalls – Tường lửa NAT

(23)

FIR EW A LL

3. The Demilitarized Zone (DMZ) - Vùng ‘phi quân sự’

(24)

FIR EW A LL 4. Improving Security Through the Firewall - Tăng cường

an toàn bảo mật với tường lửa

(25)

FIR EW A LL 5. Firewall Services and Limitations - Những dịch vụ và

hạn chế của tường lửa

5.1. Firewall Services - Những dịch vụ của tường lửa

• Điều khiển dịch vụ: tường lửa có thể lọc trên cơ sở những địa chỉ IP, TCP, UDP, port, cung cấp phần mềm uỷ nhiệm cho mỗi dịch vụ yêu cầu đến nó.

• Điều khiển hướng cho phép của những yêu cầu.

• Kiểm soát người dùng theo các quyền được gán

• Kiểm soát hành vi: truy nhập nào được ban được dựa vào những dịch vụ đã biết

(26)

FIR EW A LL 5. Firewall Services and Limitations - Những dịch vụ và

hạn chế của tường lửa

5.2. Firewall Limitations - Những hạn chế của tường lửa

• Tường l a không b o v chô ng l i mô i đe d a vử ả ệ ạ ọ ượt qua nó, nh dùng IP ư đ ng/che giấ u.ộ

• Tường l a không cung cấ p s toàn v n d li u.ử ự ẹ ữ ệ

• Tường l a không b o đ m tính bí m t d li u.ử ả ả ậ ữ ệ

• Tường l a không b o v chô ng l i nh ng đe d a t bên trongử ả ệ ạ ữ ọ ừ

• Tường l a không b o v chô ng l i nh ng chử ả ệ ạ ữ ương trình được lấy lan b i virus.ở