Thiết kế tường lửa
Tổng quan
Trong bài học này, bạn sẽ được cung cấp những khái niệm và những công nghệ được sử dụng trong thiết kế hệ thống tường lửa.Bạn sẽ nhận biết được những phương pháp thi công tường lửa trong những viễn cảnh khác nhau,sử dụng những kỹ thuật khác nhau. Những chiến lược và khái niệm trong bài học này rất quan trọng để hiểu được những bài học sau.
Mục tiêu
1A. Xem xét những nguyên tắc thiết kế và thi công tường lửa
Một hệ thống tường lửa được mang đến, bạn sẽ phải nhận dạng và mô tả hệ phương pháp về chức năng của tường lửa và cách thi công nó.
1B. Tạo một chính sách tường lửa dựa trên những yếu tố đã được cung cấp.
Trả lời những câu hỏi liên quan đến tường lửa, bạn sẽ tạo ra một chính sách tường lửa.
1C.Tạo ra những quy tắc được cài đặt để lọc gói tin
Mang đến một ngữ cảnh mạng, bạn sẽ tạo ra một nguyên tắc cài đặt cho hệ thống tường lửa lọc gói tin.
1D. Mô tả chức năng của một máy chủ proxy.
Mang đến một ngữ cảnh mạng, bạn sẽ mô tả quá trình các máy con nội bộ sử dụng một máy chủ proxy để truy cập các trang web ngoài Internet.
1E. Mô tả máy thành trì bao gồm như thế nào trong bảo mật mạng
Mang đến một ngữ cảnh mạng, bạn sẽ mô tả cách tạo ra những chức năng của máy thành trì trong bảo mật mạng.
Chủ đề 1A
Thành phần của tường lửa
Khái niệm an ninh mạng là một chủ đề đa dạng và đầy thử thách để thảo luận.Có quá nhiều khu vực khác nhau với những kiến trúc mạng khác nhau được dính líu tới, từ hệ thống tin nhắn đến cơ sở dữ liệu, từ những giải pháp in ấn và tập tin đến kết nối những hệ thống mạng từ xa.Giữa những khu vực đó của hệ thống mạng chúng ta tìm thấy nhiều thứ như những giải pháp kiểm soát truy cập, chính sách kiểm soát người dùng (chính sách nhóm trong môi trường Windows), và một loạt các chức năng, cài đặt và các tùy chọn phục vụ để làm nhầm lẫn và làm bối rối người dùng trung bình của một máy tính trong một miền của mạng.
Bảo mật và bảo vệ mạng dựa trên những tài sản là miền (domain) của kỹ sư mạng, người có hiểu biết về kỹ thuật, có kỹ năng cao và nhiều điều nữa rất khó nói cho bạn hiểu nếu bạn không phải là một kỹ sư mạng.
Hình ảnh sau đây là một ví dụ về tường lửa đơn giản
Hình 1.1
Tường lửa thường có vị trí luận lý giữa mạng nội bộ(LAN) và mạng bên ngoài(WAN).Tường lửa đặt ở đó để thực hiện chức năng của nó,từ chối hay chấp nhận truy cập dựa trên những nguyên tắc mà nhà quản trị mạng đã cài đặt trên thiết bị.
Qua nhiều năm qua,cung cấp chức năng này đơn giản để từ chối hay chấp nhận truy cập là đủ để tạo thành một mức bảo mật cơ bản cho hầu hết các mạng của chúng ta.Thách thức là phải tăng sự vững chắc hơn là cung cấp sự bảo mật cơ bản vì các hacker và các kẻ thù của mạng được bảo vệ bởi tường lửa luôn ngồi lại và tìm ra cách để phá vỡ sự bảo mật được tạo ra bởi tường lửa. Kết quả là, việc bổ sung các tính năng và các tùy chọn mới cho các bức tường lửa đã trở thành một phần rất quan trọng trong sự phát triển liên tục của an ninh mạng tổng thể, và khả năng bảo vệ mạng của chúng ta từ những lưu thông và những kết nối không mong đợi hay không được chứng thực.
Ngoài việc từ chối hay chấp nhận truy cập, bây giờ tường lửa còn xuất hiện các dịch vụ sau:
Network Address Translation (NAT): NAT được sử dụng bởi Router để chuyển đổi giữa địa chỉ IP riêng và địa chỉ IP chung.
Đệm dữ liệu: Chức năng này cho phép Router lưu trữ dữ liệu được truy cập thường xuyên bởi các máy con trong mạng.
Hạn chế nội dung: chức năng này được sử dụng trong nhiều hệ thống mới,cho phép nhà quản trị điều khiển truy cập Internet dựa trên việc hạn chế từ khóa.
Phương pháp xây dựng tường lửa
Tường lửa có hai phương pháp phổ biến để thi hành bảo mật trong mạng,dù có nhiều biến thể của hai phương pháp trên,hầu hết các sự sửa đổi chung quy cũng là một trong hai loại trên.Hai phương pháp phổ biến đó là:
- Lọc gói tin
- Sử dụng máy chủ proxy (cổng ứng dụng)
Lọc gói tin là loại tường lửa đầu tiên được sử dụng bởi nhiều tổ chức để bảo vệ mạng của họ.Phương pháp phổ biến để thực hiện lọc gói tin là sử dụng Router.Các Router có khả năng cho phép hoặc từ chối gói tin đi qua,dựa trên những quy tắc đơn giản mà nhà quản trị tạo ra.
Mặc dù những tường lửa đó có thể thực hiện chức năng lọc,nhưng chúng đã bị hạn chế bởi thực tế là chúng được thiết kế chỉ để xem các thông tin tiêu đề của gói tin.Một ví dụ về hạn chế là bộ lọc có thể chặn truy cập FTP nhưng không thể chặn chỉ một lệnh PUT trong FTP.
Việc bổ sung các máy chủ proxy (cũng được biết đến như là một cổng ứng dụng) khả năng các bức tường lửa tạo ra một sản phẩm an ninh vững chắc hơn nhiều so với một bộ lọc gói thuần túy nhờ khả năng cung cấp riêng tư của nó. Các phần mềm proxy có thể đưa ra quyết định dựa trên nhiều hơn tiêu đề của một gói tin.
Các máy chủ proxy sử dụng phần mềm để ngăn chặn lưu thông mạng những cái được mang đến cho ứng dụng.Proxy nhận các yêu cầu và thay mặt cho máy khách gửi yêu cầu đến máy chủ.Trong trường hợp này máy khách nội bộ không bao giờ thực hiện kết nối trực tiếp đến máy chủ bên ngoài.Thay vì kết nối trực tiếp, chức năng của proxy như là người ở giữa và nói chuyện với cả máy khách và máy chủ,chuyển tiếp thông điệp qua lại.
Lợi thế lớn cho việc này là các phần mềm proxy có thể được chỉ thị để chấp nhận
hoặc từ chối lưu thông dựa trên các dữ liệu thực tế trong gói, không phải chỉ đơn giản là tiêu đề. Nói cách khác, proxy là sự nhận thức của các phương pháp truyền thông, và sẽ trả lời phù hợp, không phải chỉ mở và đóng cổng theo một hướng nhất định.
hoặc từ chối lưu thông dựa trên các dữ liệu thực tế trong gói, không phải chỉ đơn giản là tiêu đề. Nói cách khác, proxy là sự nhận thức của các phương pháp truyền thông, và sẽ trả lời phù hợp, không phải chỉ mở và đóng cổng theo một hướng nhất định.
Những thứ tường lửa không làm được
Vì vậy, nếu một bức tường lửa có thể sử lọc gói tin, các dịch vụ proxy, một sự kết hợp của cả hai, hoặc lọc tuỳ chỉnh để tạo ra một môi trường an toàn cho dữ liệu của chúng ta, một câu hỏi hợp lý mà chúng ta phải hỏi là “tường lửa không thể làm gì để bảo vệ mạng”
Thật không may, như là trường hợp thông thường, không có cuộc thảo luận nào xảy ra cho phép người quản trị hiểu thêm về những lý do đằng sau những cần thiết của tường lửa, và những gì là mục tiêu của tường lửa trong hệ thống mạng là : chúng được đòi hỏi là phải hoàn thành.
Liên quan đến nhà bảo mật mạng và những khó khăn của họ về việc phải mua một thiết bị sẽ phải làm nhiều thứ, có thể cần thiết hoặc không cần thiết cho những vấn đề an ninh mạng,sẽ rất hữu ích cho chúng ta nếu biết nhìn sơ lược những gì tường lửa không thể làm được để có thể bắt đầu hiểu những gì tường lửa có thể làm.
Một vài vấn đề mà tường lửa có thể sẽ gặp khó khăn trong bảo mật là:
Virus: Một số tường lửa không có khả năng phát hiện virus, tuy nhiên kẻ tấn công có thể gửi virus trong nhiều hình thức và tường lửa không thiết kế như một hệ thống chống virus, đây không phải là chức năng chính của một tường lửa.Tường lửa của bạn có thể xác định một số loại virus, nhưng bạn nên luôn luôn sử dụng phần mềm chống virus bên trong
Sai sót của nhân viên: Nhân viên thường làm những thứ vô tình.Họ có thể trả lời đến những địa chỉ email giả mạo,hoặc chạy những chương trình đến được gửi từ bạn bè mà họ cho rằng chúng an toàn.
Kết nối thứ hai:Nếu những nhân viên có modem trong máy tính của họ và có thể sử dụng kết nối mạng không dây, họ có thể thực hiện những kết nối mới ra ngoài Internet vì những lý do cá nhân.Những kết nối đó tạo ra các bức tường lửa vô ích cho các máy con này.Nếu chức năng chia sẽ File được bật điều này có thể dẫn đến những kết quả bất lợi trong khi chính tường lửa của máy đó có thể vẫn được cấu hình đúng.
Vấn đề xã hội: Nếu nhà quản trị mạng mang thông tin tường lửa ra ngoài cho những người đang gọi đến từ nhà cung cấp dịch vụ chẳng hạn mà không có bất cứ sự xác minh nào,đó là một vấn đề nghiêm trọng.
Thi hành những tùy chọn cho tường lửa
Không có một tiêu chuẩn chính xác để thực hiện một bức tường lửa trong mạng.
Các khái niệm sau đây cho thấy nhiều khả năng khác nhau cho việc triển khai tường lửa:
Các khái niệm sau đây cho thấy nhiều khả năng khác nhau cho việc triển khai tường lửa:
Thiết bị lọc gói tin đơn
Như được thể hiện trong hình sau đây, mạng này đã được bảo vệ bởi một
thiết bị đơn cấu hình như một bộ lọc gói tin, cho phép hoặc từ chối truy cập dựa trên
nội dung của các tiêu đề gói tin.
thiết bị đơn cấu hình như một bộ lọc gói tin, cho phép hoặc từ chối truy cập dựa trên
nội dung của các tiêu đề gói tin.
Hình 1.2.Một ví dụ về thiết bị lọc gói đơn
Thiết bị Multi-homed
Như được thể hiện trong hình sau đây, mạng này đang được bảo vệ bởi một thiết bị
(hầu hết giống một máy tính) đã được cấu hình với nhiều giao diện mạng.Phần mềm Proxy sẽ chạy trên thiết bị để chuyển tiếp các gói tin giữa các giao diện.
(hầu hết giống một máy tính) đã được cấu hình với nhiều giao diện mạng.Phần mềm Proxy sẽ chạy trên thiết bị để chuyển tiếp các gói tin giữa các giao diện.
Hình 1.3.Ví dụ về thiết bị multi-home như một máy chủ proxy
Máy chủ được che chắn
Như được thể hiện trong hình sau đây, mạng được bảo vệ bằng cách kết hợp
chức năng của các máy chủ proxy và các chức năng của lọc gói tin.Bộ lọc gói tin chỉ
nhận thông tin đến từ proxy. Nếu máy khách trực tiếp liên lạc với bộ lọc proxy, dữ liệu sẽ bị loại bỏ.
chức năng của các máy chủ proxy và các chức năng của lọc gói tin.Bộ lọc gói tin chỉ
nhận thông tin đến từ proxy. Nếu máy khách trực tiếp liên lạc với bộ lọc proxy, dữ liệu sẽ bị loại bỏ.
Hình 1.4. Ví dụ về máy chủ được bảo vệ chạy sau thiết bị lọc gói tin
“Khu vực phi quân sự” DMZ
Theo hình sau,mạng có một vùng đặc biệt được tạo ra để đặt các server cần kết nối với cả hai internet và intranet dựa trên các máy khách.Vùng đặc biệt này,DMZ,yêu cầu hai thiết bị lọc (tường lửa truyền thống thường sử dụng như vậy) và có thể có nhiều thiết bị tồn tại trong ranh giới của nó.
Hình 1.5. Ví dụ về vùng phi quân sự (DMZ)
Kế hoạch cho tường lửa
Mục tiêu: Để thực hiện hệ thống tường lửa, bạn sẽ cần phải có sơ đồ các phương pháp khác nhau được sử dụng để triển khai.
1. Sơ đồ các phương pháp mô tả trong chủ đề này để triển khai tường lửa hầu hết phản ánh chính xác các thiết kế mạng hiện tại của bạn
Chủ đề 1B
Tạo một chính sách firewall
Trước khi bắt tay vào việc triển khai một hệ thống firewall, bạn phải xây dựng được một chính sách firewall. Nhiều trường hợp, các tổ chức vội vàng sắm sửa và cài đặt firewall mà không bận tâm đến chuyện thiết bị phức tạp này nên được sử dụng như thế nào cho đúng.
Muốn có được một hệ thống firewall được thiết kế và triển khai tốt thì trước hết bạn cần phải có một chính sách firewall đúng đắn. Và chính sách firewall là một phần của chính sách bảo mật mà tổ chức của bạn đang áp dụng.
Nhìn chung, có hai quan điểm chính về chính sách firewall: hoặc là ngăn cấm mọi thứ ngoại trừ những cái được cho phép, hoặc là cho phép mọi thứ ngoại trừ những cái bị cấm. Và đa số đều nhất trí với quan điểm đầu tiên.
Theo đó thì chỉ có các lưu lượng mạng nào mà bạn chỉ định rõ là được phép mới có thể đi qua firewall và tất cả các lưu lượng mạng còn lại đều bị firewall chặn lại. Điều này cũng giúp giảm bớt gánh nặng công việc cho các quản trị mạng/bảo mật. Cứ tưởng tượng bạn phải lên danh sách cấm tất cả các cổng (port) mà Trojan thường sử dụng cũng như chặn tất cả các cổng dành cho các ứng dụng mà người dùng không được phép sử dụng, và sau đó là tạo các rule trong firewall để chặn từng cổng này. Đem so công việc này với việc lên danh sách các cổng (mỗi cổng tương ứng với một dịch vụ/ứng dụng nào đó) mà người dùng được phép sử dụng và cấp cho họ quyền truy cập tới những ứng dụng/dịch vụ đó.
Có nhiều tên gọi khác nhau dành cho các khoản mục mà có thể có trong chính sách bảo mật, và chúng thì tuân theo một quy chuẩn chung. Các khoản mục đó gồm: Acceptable Usage Statement, Network Connection Statement, Contracted Worker Statement, và Firewall Administrator Statement.
Sau khi xây dựng xong chính sách bảo mật tổng thể, nếu có quá nhiều nội dung trong đó (một vài tổ chức có các chính sách được trình bày trong hàng trăm trang giấy) thì có thể bạn muốn chọn ra các phần liên quan tới firewall và chép lại thành một tài liệu bổ sung mà chỉ chứa các chính sách về firewall mà thôi.
Tuy không nhất thiết phải có một tài liệu phụ như vậy nhưng nó sẽ làm cho việc tham khảo, tìm kiếm và xem xét chính sách firewall được dễ dàng hơn. Nhiều tổ chức hiện này có một web server nội bộ mà lưu trữ các tài liệu quan trọng để các nhân viên có thể truy cập tới. Chính sách là một trong các tài liệu đó và việc đọc tài liệu phụ về chính sách firewall ở trên sẽ dễ dàng hơn so với việc phải cuộn qua 200 trang nội dung.
Acceptable Usage Statement
Có thể sẽ phải mất nhiều thời gian và công sức để tạo ra phần này của chính sách. Đối với một vài tổ chức thì việc mô tả chi tiết cách sử dụng máy tính trong mạng sao cho phù hợp là một việc khó khăn. Cần thiết phải đạt được sự cân đối giữa ham muốn duy trì an ninh ở mức cao và việc đem lại cho nhân viên khả năng thực hiện tốt công việc của họ.
Tuy nhiên, trong một tổ chức thì máy tính là thiết bị thường bị sử dụng sai trái nhất. Đây là điều mà chính sách bảo mật cần phải kiểm soát.
Dưới đây là một vài điểm cần cân nhắc khi tạo phần này của chính sách:
· Không cài đặt lên bất kỳ máy tính nào các ứng dụng không được cung cấp/chấp thuận bởi công ty. Điều này bao gồm bất kỳ chương trình nào mà có thể được tải về từ Internet hoặc có trong CD-ROM, DVD-ROM, thiết bị USB.
· Trong bất kỳ trường hợp nào thì các ứng dụng được cấp cho một máy tính nào đó trong tổ chức không nên được sao chép/cài đặt lên bất kỳ máy tính nào khác, bao gồm máy tính cá nhân của người dùng, trừ khi tổ chức có những chính sách quy định rõ ràng sự cho phép này.
· Nếu người dùng tạm thời không dùng tới máy tính thì máy tính đó cần được đặt trong trạng thái khóa. Các màn hình bảo vệ (screensaver) phải sử dụng tùy chọn bảo vệ bằng mật khẩu.
· Máy tính và các ứng dụng được cài đặt chỉ được sử dụng cho các công việc liên quan đến hoạt động của tổ chức.
· Ngăn cấm sử dụng máy tính và các ứng dụng được cài đặt để đe dọa hoặc quấy nhiễu người khác.
Từ danh sách trên, ta thấy rằng có nhiều thứ cần được đề cập trong chính sách. Nếu có nhiều điều luật không thể được thực thi trên firewall thì tốt nhất chúng nên nằm trong tài liệu về chính sách bảo mật tổng thể của tổ chức. Một vài điều luật trong danh sách kể trên rơi vào các mục như: màn hình bảo vệ, cài đặt ứng dụng, đe dọa người khác. Những khoản mục này rõ ràng phải nằm trong chính sách bảo mật thay vì được thực thi trực tiếp lên firewall.
Network Connection Statement
Phần này của chính sách dính líu tới các loại thiết bị được cấp quyền kết nối vào mạng. Đây là nơi bạn có thể xác định các vấn đề liên quan tới các hệ điều hành mạng, các thiết bị mạng, và những thiết bị này phải được cấu hình như thế nào để đảm bảo an toàn cho mạng.
Phần này bao gồm các khoản mục mà có can hệ mật thiết tới firewall như:
· Không cho phép bất kỳ ai trong mạng thực hiện việc rà soát mạng (network scanning) ngoại trừ những người giữ vai trò làm quản trị cho mạng đó.
· Người dùng có thể truy cập vào các FTP site để tải về và tải lên các tập tin cần thiết nhưng cấm các máy tính của người dùng có cài đặt và đang chạy một phần mềm FTP server.
· Người dùng có thể truy cập dịch vụ Web (WWW) trên cổng 80 khi cần.
· Người dùng có thể truy cập dịch vụ Email trên cổng 25 khi cần.
· Có thể không cho phép người dùng truy cập dịch vụ NNTP trên bất kỳ cổng nào.
· Người dùng nằm trong mạng con (subnet) 10.0.10.0 được phép sử dụng SSH cho các mục đích quản trị từ xa.
· Người dùng không nằm trong mạng con 10.0.10.0 không được phép sử dụng SSH để kết nối tới bất kỳ vị trí hoặc thiết bị nào.
· Cấm người dùng sử dụng các phần mềm chat qua Internet như AOL Instant Messenger, Yahoo Chat, IRC, ICQ, MSN Chat…
· Không cho phép người dùng tải về các tập tin có kích thước quá 5 MB.
· Phần mềm diệt virus phải được cài đặt và đang chạy trên tất các máy tính
· Việc cập nhật cho phần mềm diệt virus cần được thực hiện hàng tuần trên các máy tính của người dùng.
· Cập nhật hàng ngày cho phần mềm diệt virus chạy trên các máy chủ.
· Các quản trị mạng là những người duy nhất được phép cài đặt các phần cứng mới (như card mạng và modem) cho các máy tính.
· Chặn các kết nối trái phép từ Internet tới các máy tính trong mạng nội bộ.
Như bạn thấy, danh sách này có thể dài hơn nữa. Đây có thể là lúc mà bạn cần bỏ ra nhiều thì giờ nhất để gây dựng chính sách firewall.
Contracted Worker Statement
Phần này của chính sách thường được xem xét kỹ. Chính sách phải giải quyết các vấn đề liên quan đến các nhân viên không chính thức hoặc nhân viên tạm thời. Những cá nhân này thi thoảng mới cần truy cập tới các tài nguyên trên mạng.
Dưới đây là một số ví dụ về các khoản mục trong phần chính sách này. Lưu ý, danh sách này có thể trùng lắp với các phần chính sách khác nhưng đây không phải là vấn đề quan trọng.
· Cấm các nhân viên này truy cập trái phép tới các tài nguyên trong mạng.
· Không cho phép các nhân viên này thực hiện rà quét mạng.
· Ngăn chặn các nhân viên này sao chép dữ liệu từ máy tính sang các thiết bị lưu trữ di động như CD-ROM, DVD-ROM, USB…
· Không cho các nhân viên sử dụng dịch vụ FTP, Telnet, SSH trừ khi các trường hợp đặc biệt.
Từ những ví dụ trên ta thấy rằng có nhiều điểm trùng lắp giữa các phần chính sách với nhau.
Firewall Administrator Statement
Một vài tổ chức không có một điều khoản tách biệt dành cho bản thân người quản trị firewall. Nhưng nếu tổ chức của bạn yêu cầu điều này thì dưới đây là một số ví dụ về các khoản mục mà có thể có trong phần chính sách này:
· Người quản trị firewall phải được chứng nhận bởi hãng sản xuất sản phẩm firewall.
· Người quản trị firewall phải có chứng chỉ SCNA.
· Người quản trị firewall phải biết rõ về tất cả các ứng dụng được phép cài đặt trên các máy tính trong mạng.
· Người quản trị firewall sẽ làm báo cáo và gửi trực tiếp cho CSO (Chief Security Officer).
· Có thể liên hệ với người quản trị firewall bất kể khi nào – 24 giờ trong một ngày, 7 ngày trong một tuần.
Như bạn thấy, phần này được coi như là yêu cầu công việc đối với người quản trị firewall. Một số tổ chức có chính sách như trên, một số khác thì không. Đối với các tổ chức lớn thì sẽ thuận lợi hơn nếu nắm được những khoản mục trên và bổ sung chúng vào chính sách bảo mật.
Từ những ví dụ này, bạn có thể bắt đầu xây dựng bộ khung cho chính sách bảo mật và cụ thể ở đây là chính sách cho firewall. Bạn nên thường xuyên điều chỉnh tài liệu về chính sách cho firewall. Thế giới bảo mật đang thay đổi từng ngày, hãy đảm bảo rằng chính sách của bạn theo kịp và phù hợp với những thay đổi đó!
Tác vụ 1B-1
Tạo một chính sách firewall đơn giản
1. Hãy đọc hết kịch bản của một mạng doanh nghiệp sau.
Một văn phòng có một mạng gồm 200 nút (node). Hiện tại, mạng này được kết nối tới Internet thông qua một đường truyền ISDN có tốc độ 64K, nhưng trong một tuần tới họ đang có ý định thay thế bằng đường truyền SDSL có tốc độ 1.5M và muốn sử dụng một firewall trên kết nối mới này. Mạng được xây dựng theo mô hình domain (Windows NT 4.0) với một máy chủ web và một máy chủ email nội bộ. Các nhân viên và khách hàng của công ty có thể truy cập tới các máy chủ nội bộ này qua Internet.
CEO đã nói rõ rằng không cho phép sử dụng email của công ty cho các mục đích cá nhân và không ai có thể tải về những thứ độc hại về máy tính hoặc mạng của tổ chức. Bạn là người quản trị firewall nên sẽ đưa ra các câu hỏi cho CEO, và đây là các câu trả lời mà bạn nhận được
| Câu hỏi của bạn | Câu trả lời của CEO |
| Người dùng có thể sử dụng newsgroup không? | Không. |
| Người dùng có thể thực hiện Telnet ra Internet không? | Không. |
| Người dùng có thể ghé thăm các website bên ngoài không? | Có. |
| Cần cấm người dùng truy cập vào các website nào? | Bất kỳ webiste nào có nội dung khiêu dâm. |
| Người dùng có thể sử dụng các phần mềm chat chứ? | Chỉ trong phạm vi mạng nội bộ. |
| Người dùng có thể tải nội dung lên FTP không? | Không? |
| Người dùng có thể tải nội dung về từ FTP không? | Được phép nếu như đó không phải là một tập tin độc hại. |
| Người dùng có thể truy cập tới các máy chủ email bên ngoài không? | Cho phép nếu nó liên quan tới công ty. |
| Ai là người quản trị firewall | Chính là bạn. |
| Có cần hỗ trợ 24/7 các vấn đề về firewall không? | Có. |
Chủ đề 1C
Các bộ luật và thiết bị lọc gói tin
Có được một chính sách tốt là một phần quan trọng trong bước chuẩn bị để triển khai firewall. Mặt khác, bạn cũng cần hiểu rõ sự khác nhau giữa các loại firewall hiện có. Ở phần trước, chúng ta đã thảo luận ngắn gọn về các chức năng mà firewall cung cấp, và bây giờ chúng ta sẽ tập trung vào tính năng lọc gói tin (packet filtering).
Packet filter là loại firewall đầu tiên được dùng để bảo vệ mạng. Trước đây (và cả bây giờ), packer filter thường được triển khai dưới dạng danh sách kiểm soát truy cập (access control list) trên các router. Thiết bị bảo mật vòng ngoài này thường là cần thiết.
Router trở thành cổng truy nhập duy nhất vào mạng, và là nơi chức năng packet filtering hoạt động. Trong hình dưới đây, bạn có thể thấy các ví dụ về các vị trí đặt router. Chức năng của packet filter sẽ khác tùy vào vị trí của nó trong sơ đồ mạng.
Hình 1-6: Một ví dụ về vị trí của các packet filter
Trong ví dụ đầu tiên, chỉ có một thiết bị duy nhất làm packet filter cho mạng nội bộ. Thiết bị này sẽ cần được cấu hình tốt vì sự an toàn của mạng nội bộ tùy thuộc vào các luật của nó.
Trong ví dụ thứ hai, packet filter cần phải được cấu hình cẩn thận để không cho phép các máy trạm trong mạng nội bộ truy cập trực tiếp tới Internet. Tương tự, nó cũng phải được cấu hình đúng để các lưu lượng mạng đến từ Internet không thể trực tiếp tới được các máy trạm bên trong mạng nội bộ.
Trong ví dụ thứ ba, một vùng DMZ được tạo ra. Ở đây cần tới hai thiết bị được cấu hình khác nhau. Cũng như vậy, packet filter được kết nối trực tiếp tới Internet phải được cấu hình để cho phép các lưu lượng mạng từ ngoài Internet chỉ có thể truy cập tới các máy trong vùng DMZ mà không thể đến được các máy trạm trong mạng nội bộ. Còn packet filter được kết nối trực tiếp tới mạng nội bộ thì phải được cấu hình để các máy trạm trong mạng nội bộ có thể truy cập tới các máy trong vùng DMZ, nhưng không thể truy cập trực tiếp tới Internet được.
Các luật (rule)
Sau khi cài đặt packet filter xong, cần phải có một tập các luật để packet filter sử dụng trong việc ra các quyết định cản lọc các lưu lượng mạng đi tới nó. Để tạo được các luật đúng đắn, bạn cần tham khảo chính sách firewall như được thảo luận ở phần trước.
Bạn cũng nên trả lời các câu hỏi sau:
· Những dịch vụ nào trên Internet được phép truy cập từ mạng nội bộ?
· Những dịch vụ nào trong mạng nội bộ được phép truy cập từ Internet?
· Các máy nào trên Internet được/không được phép truy cập vào mạng nội bộ và ngược lại các máy nào trong mạng nội bộ được/không được phép truy cập ra Internet.
Mặc dù mỗi sản phẩm firewall sẽ có các bước làm khác nhau để triển khai các luật nhưng có một vài điều cơ bản về các thiết bị packet filtering mà ta cần xem xét, bao gồm:
· Giao tiếp mạng (network interface) mà luật sẽ áp dụng lên? Ví dụ, nó là giao tiếp mạng nội bộ hay giao tiếp với mạng Internet?
· Hướng của gói tin. Luật này sẽ áp dụng cho các gói tin đi tới giao tiếp mạng đã được định rõ hay nó sẽ áp dụng cho các gói tin đi ra khỏi giao tiếp mạng đó?
· Các địa chỉ được dùng để ra quyết định. Quyết định của luật căn cứ vào địa chỉ IP nguồn, địa chỉ IP đích, hay cả hai?
· Các cổng được sử dụng để ra quyết định. Quyết định của luật căn cứ vào cổng nguồn, cổng đích, hay cả hai?
· Các giao thức ở các tầng trên (trong mô hình OSI). Luật này được dựa trên giao thức UDP hay TCP?
Cổng và socket
Trước khi đi vào từng luật cụ thể, chúng ta cần xem lại kiến thức về mô hình TCP/IP, cổng, và socket như được thể hiện trong hình dưới đây. Địa chỉ IP chỉ ra máy nào đang truyền thông, và cổng giúp nhận diện điểm đầu cuối thực sự (thường là chương trình trên máy tính) của kênh truyền thông. Các cổng cho phép nhiều kết nối được tạo ra giữa các ứng dụng khác nhau đang chạy trên hai máy tính tại bất kỳ thời điểm nào. Một socket là một địa chỉ IP kết hợp với một sổ hiệu cổng.
Vì 1023 cổng đầu tiên được quy định dành riêng cho các dịch vụ phổ biến, các cổng có số hiệu lớn hơn 1023 phải được sử dụng cho các thông điệp trả về của các dịch vụ phổ biến này. Nói cách khác, khi bạn yêu cầu một trang web tại cổng 80 thì nó (trang web này) được trả về cho bạn tại một cổng lớn hơn 1023.
Hình 1-7: Ví dụ thể hiển các cổng được dùng trong việc chuyển phát một trang web
Hãy ghi nhớ rằng cần xem xét một vài luật mà có thể được tạo với packet filter. Giả sử mục đích là chỉ cho phép truy cập tới các trang web nào đó trên Internet và trong DMZ; từ Internet có thể truy cập các trang web trên máy chủ web được đặt trong DMZ, và tất cả các dịch vụ còn lại đều không được phép truy cập tới Internet. Hình dưới đây mô tả các luật cho firewall.
Hình 1-8 : Xây dựng các điều lệ cho tường lửa
Trong trường hợp này, Rule đầu tiên cho phép bên ngoài Internet có thể truy cập vào cổng 80 của máy chủ web nhưng chỉ có thể trả lời cho những cổng lớn hơn 1023(được quy định ở Rule thứ 2).Rule thứ 3 cho phép các yêu cầu đi đến máy chủ web bên ngoài thông qua cổng 80 và Rule thứ 4 cho phép các yêu cầu đó được đáp trả lại qua các cổng lớn hơn 1023.Rule cuối cùng từ chối tất cả. Đây có phải là một tập tốt các quy tắc? Không! Các tường lửa sẽ chấp nhận kết nối từ cả thế giới nếu cổng nguồn cao hơn so với 1023. Và một trojan đơn giản có thể khiến mạng suy yếu như thể là không có tường lửa được đặt ở đây vậy.
Để tăng tính bảo mật của mạng sau đó,một cấp độ khác là bắt buộc.Cấp độ tiếp theo được sử dụng để định nghĩa cả cổng nguồn và cổng đích.Ví dụ Rule số 2 nên thêm thông tin cả cổng nguồn và cổng đích.Lúc này có thể phát biểu như sau:các dòng dữ liệu đi ra có thể đi đến những cổng cao hơn 1023 nếu dữ liệu có nguồn gốc từ cổng 80.
Hình 1-9. Rule số 4 sau khi thêm cổng nguồn và cổng đích. Chú ý ví dụ này để mở các cổng có số hiệu cao,như vậy là không được an ninh.
Bit ACK
Một tùy chon khác để thêm các Rule có tính bảo mật cao là sử dụng bit ACK. Bit này được thiết lập chỉ để đáp ứng yêu cầu,khi gói tin chuyển đi để thiết lập kết nối thì bit này bằng 0,khi trả lời trở lại bit này được cài đặt bằng 1. Tường lửa của bạn có thể kiểm tra bit này để đảm bảo rằng gói tin thực sự là một trả lời cho truyền thông có nguồn gốc bên trong mạng.
Hình 1-10. Rule 4 với việc thêm bit ACK
Nếu chúng ta nhìn vào cùng những Rule đó với việc thêm những chức năng cổng nguồn và cổng đích cùng với bỉ ACK,chúng ta có thể thấy tường lửa an toàn hơn nhiều.Để gói tin qua được Rule này nó phải có cổng nguồn là 80,cổng đích phải cao hơn 1023,bit Ack phải được thiết lập.Chúng ta có thể thấy thoải mái hơn nhiều khi Rule đã được thắt chặt.
Bộ lọc gói có trạng thái và phi trạng thái
Bộ lọc gói phi trạng thái
Như ta đã biết lọc gói tin chủ yếu dựa trên thông tin tiêu đề của gói tin. Và hầu hết các bộ lọc dựa trên các thông tin quan trọng là:
Địa chỉ IP
Số hiệu cổng UDP,TCP
Loại giao thức
Sự phân mảnh
Bộ lọc gói có trạng thái
Tăng cường bảo mật bằng cách ghi nhớ trạng thái của những kết nối trong mạng và những phiên kết nối khi chúng qua bộ lọc.
Hình 1-11. Cấu trúc bộ lọc gói có trạng thái
Chủ đề 1D:Proxy Server
Tiến trình Proxy
Trong ví dụ này,client đã yêu cầu một trang web,và cũng xác định server chứa trang web đó.Các yêu cầu này đuợc chuyển đến cho proxy server.Tại thời điểm này,proxy server không hành động như một router chuyển tiếp các gói tin đi mà Proxy server sẽ xem xét các rules liên quan đến dịch vụ (trong truờng hợp này là www),và quyết định yêu cầu sẽ đuợc chấp nhận hay không.
Một khi Proxy quyết định cho phép client yêu cầu trang web,một gói tin mới sẽ đuợc tạo ra với địa chỉ IP source là proxy server.Gói tin mới này yêu cầu trang web từ destination server.Các máy chủ web nhận đuợc yêu cầu,và trả về trang web cho host đã yêu cầu trang web.Khi proxy đang chạy,các host yêu cầu trang web là những proxy server.
Khi proxy nhận đuợc trang web,nó sẽ kiểm tra các rules của nó để xem trang này đuợc cho phép hay không.Một khi một quyết định đuợc thi hành,proxy tạo 1 gói tin mới với phần payload là nội dung trang web và gửi về cho client yêu cầu.
Hình dưới đây là một minh chứng cho chức năng cơ bản của proxy server trong hệ thống mạng.Lưu ý các gói tin không bao giờ gửi trực tiếp đến các server,và nguợc lại.
Hình 1-12: A WWW proxy running in a network.
Hình thức này có thể tăng tính an toàn cho hệ thống mạng một cách đáng kể,vì sẽ không có gói tin nào có thể truyền trực tiếp từ client đến server.Các ứng dụng proxy phải cần cấu hình cho từng loại hình ứng dụng.Ví dụ, một proxy riêng biệt sẽ cần cho SMTP,WWW,FTP và Telnet,nếu tất cả các ứng dụng này đều đuợc sử dụng.
Một proxy server cần phải đuợc cấu hình để làm việc cho cả hai phiên,như là một bộ lọc gói tin.Đây là cách duy nhất để chắc chắn rằng không có gói dữ liệu nào đuợc truyền đi từ proxy server.
Những lợi ích của Proxy
Proxy có thể cung cấp rất nhiều lợi ích cho việc bảo mật mạng.Danh sách các ích lợi khi sử dụng proxy có lẽ rất lớn,một trong những ích lợi chính là :
• Ẩn máy khách
• Lọc nội dung
• Đơn điểm đăng nhập
Ẩn máy khách
Sử dụng proxy điển hình là tính năng này.Khả năng các địa chỉ IP của các client không bao giờ xuất hiện trong mạng Internet là một lợi ích rất lớn.Những kẻ tấn công không biết đuợc cấu trúc nội bộ của mạng,và sẽ tốn nhiều thời gian hơn để tiếp cận và tấn công các client bên trong.
Lọc nội dung
Trong thế giới ngày nay,các doanh nghiệp rất nhạy cảm với các nhu cầu của nhân viên.Điều này có nghĩa họ sẽ phải ngăn chặn các nhân viên tiếp xúc với các thông tin công kích không phù hợp.
Bộ lọc nội dung có thể đuợc lập trình cho nhiều loại hình thức khác nhau.Nó có thể đuợc lập trình để tìm các từ khóa hay cụm từ.Rất nhiều nhân viên sử dụng bộ lọc nội dung để ngăn chặn các website của các chuyên gia săn đầu người và trở về các trang chính.
Các bộ lọc này cũng đuợc dùng để ngăn chặn các Active-X đuợc tải về,các Java applets đang chạy,hay các chương trình thực thi đuợc đính kèm từ email.
Đơn điểm đăng nhập
Một trong những lợi ích rất quan trọng của việc sử dụng proxy server là sự cho phép truy nhập vào dữ liệu từ một điểm duy nhất.Khi tất cả các lưu luợng tin đi qua một điểm duy nhất sẽ dễ dàng tạo lại đuợc một phiên kết nối đến web từ user để xác định đuợc các vấn đề xảy ra.
Những vấn đề của Proxy
Mặc dù có vẻ như chỉ có những lợi ích khi cài đặt các proxy,bạn cũng cần lưu ý những vấn đề có thể xảy ra khi sử dụng các proxy.Như tất cả các kỹ thuật khác,có những vấn đề có thể phát sinh như:
• Thất bại của đơn điểm
• Proxy cho mỗi dịch vụ
• Các cấu hình mặc định
Thất bại của đơn điểm
Có lẽ một trong những vấn đề nghiêm trọng nhất với một proxy server là việc tạo ra một điểm duy nhất không làm việc được. Nếu toàn bộ mạng đang chạy thông qua cùng một proxy, máy đó trở nên khá quan trọng, và phải được cấu hình cẩn thận.
Một sai lầm phổ biến khi quên rằng chính proxy đó không đuợc bảo vệ. Mặc dù nó đang bảo vệ mạng nội bộ, nhưng nếu có một giao diện trực tiếp kết nối với Internet, nó sẽ dễ bị tấn công, tấn công từ chối dịch vụ và các nỗ lực xâm nhập trái phép khác.
Ngoài các cơ chế bảo mật khác(như một bộ lọc gói tin),hãy chắc chắn rằng proxy cũng đuợc sử dụng để làm giảm khả năng xâm nhập trực tiếp vào chính proxy.Nếu toàn bộ hệ thống mạng phụ thuộc vào máy này,bạn phải cham sóc nó thật cẩn thận!
Proxy cho mỗi dịch vụ
Cần lưu ý một vấn đề về cấu hình,đó là proxy phải được cấu hình cho mỗi loại hình dịch vụ.Nếu mạng cho phép nhiều loại hình dịch vụ trên cả hai hướng,sẽ khó khăn hơn khi thiết lập.Khi mỗi dịch vụ được thêm vào,điều quan trọng là các proxy server sẽ phải cấu hình thật an toàn.
Các cấu hình mặc định.
Đa số các phần mềm trên proxy server là về vấn đề bảo mật.Các ứng dụng được tạo ra để người sử dụng được nhanh và cung cấp cho họ truy nhập vào các loại tài nguyên họ cần.Cấu hình mặc định thường không được bảo mật.Vì vậy,khi sử dụng proxy,nên không sử dụng các cấu hình mặc định.Hãy dành thời gian để thiết lập các rules và restrictions, vì điều đó là cần thiết.
1D-1 Biểu đồ tiến trình Proxy
1.Sơ đồ quá trình của một client nội bộ trong mạng yêu cầu một email từ máy chủ từ một remote server chạy SMTP.
Chủ đề 1E
Máy thành trì (Bastion host)
Để tạo một firewall hay proxy,cần phải có một nền tảng các phần mềm sử dụng.Trong một số trường hợp,sẽ có một phần riêng của phần cứng được dùng riêng để sử dụng firewall.Trong chủ đề này,bạn sẽ tìm hiểu về quá trình thiết lập một máy chủ để chạy các phần mềm đó.Server này gọi là bastion host.
Bastion host là một thuật ngữ được sử dụng cho một máy tính đã được thực hiện nhiều hơn các thiết lập về bảo mật,hơn tất cả các máy tính khác trong mạng.Server này sử dụng tất cả các tùy chọn về bảo mật đi kèm với hệ điều hành mở,được bảo mật đến mức tối đa.Tất cả đều được cấu hình,kiểm tra,chứng thực và mã hóa.
Hơn nữa nên cấu hình loại bỏ tất cả các dịch vụ và ứng dụng không cần thiết cho server.Tất cả tài khoản người dùng được loại bỏ,trừ những người quản lý server.việc loại bỏ tất cả dịch vụ,ứng dụng và tài khoản user không cần thiết đều giảm khả năng tấn công của attacker.
Đầu tiên máy tính đã được cấu hình, sau đó cài các phần mềm và cấu hình nó lên trên hệ điều hành cơ sở.Máy tính này không nên xem là 1 máy tính duy nhất bảo mật mà chỉ là 1 trong 1 chuỗi các máy tính khác.Việc bảo mật không nên chỉ là 1 thành phần,mà bastion host chỉ là một trong nhiều thành phần bảo mật của mạng,như trong hình sau.
Việc bảo mật mạng đầu tiên là router,kết nối trực tiếp vs internet,cần phải được cấu hình với bộ lọc gói tin.Sau các bộ lọc gói tin ở router là nơi mà các bastion host chạy dịch vụ proxy.Nếu cấu trúc mạng nhỏ,1 bastion host chạy dịch vụ proxy cho toàn bộ hệ thống có thể tốt.Nhưng trong cấu trúc mạng lớn,nên cần dùng bastion host,mỗi cái chạy một dịch vụ proxy khác nhau.
Các bước cơ bản phải tuân theo khi cấu hình một máy tính thành bastion host.
Hủy bỏ các ứng dụng không cần thiết.
Hủy bỏ các dịch vụ không cần thiết.
Hủy bỏ các user account không cần thiết.
Các tiêu chuẩn kỹ thuật để tạo ra một máy chủ Bastion để chạy như một filewall là:
Cài đặt hệ điều hành an toàn format ổ đĩa trước.
Không sử dụng dual boot
Hủy bỏ các phần cứng ko cần thiết,như modem hay card âm thanh
Sử dụng phương thức xác thực mạnh,chẳng hạn như thẻ sinh trắc học
Thực hiện các tiện ích check các file tamp như TripWire
Tấn công bastion host
Một khi bạn cấu hình máy tính trước đó,bạn có khả năng đối phó vs các cuộc tấn công.Từ khi bạn bắt đầu đăng nhập và auditing,các mối đe dọa sẽ nhanh chóng được scan từ các log và báo cáo.
Chắc chắn,có thể có một cuộc tấn công bạn không nắm bắt dc.Đó là một phần của các ổ đĩa của người quản trị.Một khi bạn biết được sự xâm nhập,bạn phải điều tra nguyên nhân.Đây là nơi mà các phần mềm giả mạo được sử dụng.Bạn phải xác định có trojan trên server ko,hay các file hệ thống bị truy nhập.Một khi bastion host bị truy nhập,điều quan trọng là các máy tính còn lại trong DMZ hay trong mạng phải được xem xét nhanh chóng rằng đã bị xâm nhập hay chưa.Một bastion host bị thâm nhập thường dẫn đến các thành phần khác trong mạng bị thâm nhập.
Một điểm quan trọng là các quản trị viên cố gắng phải khôi phục hệ thống từ bản sao lưu,nhưng khi đó làm sao các bạn biết bản sao lưu cũng đã không bị lây nhiễm trước?
Cách tốt nhất để giải quyết vấn đề là tạo lại bastion host từ đầu :D nó tốn time nhưng đó là cách tốt nhất máy này hoạt động lại trong sơ đồ mạng.
Honeypot là gì?
Cũng như mật ong thu hút gấu, honeypot một là một máy tính được thiết kế để thu hút
kẻ tấn công. Nếu kẻ tấn công đã quản lý để vượt qua bộ lọc gói tin của bạn vào DMZ của bạn và là quét cho các tùy chọn, các honeypot phải là máy tính chúng nhắm vào. Điều này được mô tả trong hình 1-14.
Cũng như mật ong thu hút gấu, honeypot một là một máy tính được thiết kế để thu hút
kẻ tấn công. Nếu kẻ tấn công đã quản lý để vượt qua bộ lọc gói tin của bạn vào DMZ của bạn và là quét cho các tùy chọn, các honeypot phải là máy tính chúng nhắm vào. Điều này được mô tả trong hình 1-14.
Hình 1-14.
Mục tiêu của honeypot
Có 1 số mục tiêu của honeypot.Bạn mún 1 honeypot đủ thu hút để kẻ tấn công ko nhòm ngó các thiết bị khác của bạn.Bạn mún kẻ tấn công thấy các lỗ hổng mà họ biết họ có thể khai thác và sử dụng để truy cập vào máy tính.Các lỗ hổng này cần có để kẻ tấn công mất công khai thác ,dù các email server (ví dụ) ngay bên cạnh lại ko khai thác!
Ngoài việc giữ kẻ tấn công và để hệ thống an toàn hơn,một trong những mục tiêu của honeypot là việc truy nhập vào.Biết hệ thống đang bị tấn công,bạn có thể cập nhật các biện pháp bảo mật bổ sung.Các logs này sẽ bị hủy bỏ ra khỏi hệ thống hàng giờ hay hàng ngày nếu mạng của bạn là một mục tiêu ưa thix.
Một mục tiêu khác của honeypot là nâng cao khả năng phát hiện và ứng phó sự cố. Lý thuyết là nếu bạn nhận thức được những gì mà kẻ tấn công là làm cho honeypot của bạn, bạn có thể chuẩn bị tốt hơn để bảo vệ hoặc, nếu có thể, ngăn ngừa tấn công từ đang được thực hiện thành công đối với hệ thống của bạn.
Để có khái niệm về honeypot hơn nữa, có những trường hợp honeynets. Honeynet là một hệ thống mạng được thiết kế để có một thay thế hấp dẫn đối với các mạng sử dụng. Hai hình thức này là như nhau, chỉ có quy mô lớn hơn :P
Cấu hình Honeypot
Hầu hết các dịch vụ thông thường như www,FTP,SMTP,POP3, telnet.Điều quan trọng phải cung cấp các dịch vụ thông thường để 1 honeypot xuất hiện như một sản phẩm, một máy tính đang sử dụng trong mạng, và phải dc cấu hình như một thành phần của www server,trừ nó có những điều khoản hay truy nhập thấp hơn .
Không có nhận xét nào:
Đăng nhận xét