Computer Network SecurityCOMP1049 - Bảo mật và An ninh Mạng –Network Security C3 - 7 HIENLTH 3.1 Giới thiệu •From Webopedia.com, a firewall is defined as “A system

COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 1 HIENLTH

Computer Network Security

Lương Trần Hy Hiến


Chương 3: Tường lửa

Presenter:

Lương Trần Hy Hiến

[email protected]


Nội dung

3.1. Giới thiệu

3.2. Các kiểu tường lửa

3.3. Các thành phần

cơ bản của Rule

3.4. Các mô hình

3.5. DMZ

3.6. Tổng kết


Network security topologies

`

`

`

`

`

ISP

Modem

Remote

Access

Server

Router

Server

Access

Point

PDALaptop


Network security topologies

`

`

ISPModem

Firewall

web

Server

Access

Point

PDALaptop

`

VLA

N2

`

`

VLAN3

`

VLA

N4

IDS/IPS

mail

Server

file

Server

DMZ

Inside

Outside


Router / Switch


3.1 Giới thiệu

• From Webopedia.com, a firewall is defined as “A system designed to prevent unauthorized access to or from a private network. Firewalls can be implemented in both hardware and software, or a combination of both. Firewalls are frequently used to prevent unauthorized Internet users from accessing private networks connected to the Internet, especially intranets. All messages entering or leaving the intranet pass through the firewall, which examines each message and blocks those that do not meet the specified security criteria.”


3.1 Giới thiệu (tt)

• Tường lửa, cổng an ninh vòng ngoài (security-

edge gateway) là sự kết hợp giữa phần cứng và

phần mềm nhằm tăng cường an ninh, ngăn

chặn các truy nhập bất hợp pháp giữa hai mạng

có mức độ tin tưởng khác nhau. VD: Mạng công

cộng với mạng nội bộ, DMZ với mạng riêng,…

• Làm việc trên cơ sở tập luật mà quản trị mạng

cấu hình trước (cho phép hay cấm).



• Chức năng: Chức năng chính của tườnglửa là điều khiển, kiểm soát truy nhập.

Kiểm soát dịch vụ (service control)

Kiểm soát hướng (direction control)

Kiểm soát người dùng (user control)

Kiểm soát hành vi (behaviour control)


Firewall

Một số loại firewall tốt có thể đảm bảo cho một hệ thống an ninh ?



• Firewall có hai loại :

– Firewall cứng : Thiết bị mạng

• Checkpoint, Cisco ASA, Astaro, Cyberoam,…

– Firewall mềm : Ứng dụng bảo mật được cài trên máy tính

• ISA Server, IPCop, Smoothwall, Pfsense,…



• Chính sách an ninh của tường lửa:

– Cấm thâm nhập bất hợp pháp từ bên ngoài

– Chỉ cho phép truy nhập từ các địa điểm ấn định, cho một số người dùng, thực hiện các hoạt động nhất định.

• Một trong những thách thức của tường lửa là xác định chính sách an ninh phù hợp với yêu cầu cài đặt nhưng vẫn đảm bảo an toàn hệ thống.



• Vị trí đặt tường lửa


Firewall

http://upload.wikimedia.org/wikipedia/commons/thumb/6/6f/DMZ_network_diagram_1_firewall.svg/400px-DMZ_network_diagram_1_firewall.svg.png

http://upload.wikimedia.org/wikipedia/commons/thumb/6/6f/DMZ_network_diagram_1_firewall.svg/400px-DMZ_network_diagram_1_firewall.svg.png



• Firewall phân thành các vùng (zones):

– Internal Zone (inside): là vùng tin cậy (trusted

zone), vùng này là nơi làm việc của Client.

– External Zone (outside): là vùng không tin cậy

(untrusted zone), vùng này là Internet.

– DMZ (De-Militerized Zone): vùng phi quân sự,

vùng này thông thường sẽ đặt những dịch vụ để

public ra Internet.



• Các nguyên tắc thiết kế tường lửa:

– Mạng được cô lập tốt, chống tấn công hiệu quả

– Dễ tinh chỉnh, gia cố, mở rộng các chức năng tường lửa

– Đảm bảo quyền hợp thức, truy nhập thông suốt


Vai trò tường lửa

• Làm được

- Kiểm soát luồng dữ

liệu đi qua nó

- Bảo vệ các lớp bên

trong

- Cấm tất cả. Cấu hình

những gì cho qua

- Cho phép tất cả, cấu

hình những gì cấm

- Ghi nhận & báo cáo sự

kiện

• Không làm được

- Viruses

- Lỗi con người (vô tình,

cố ý)

- Kết nối hở

- Chính sách tồi

- Social Engineering


Tầng hoạt động?

• Firewall hoạt động ở những lớp nào trong mô

hình OSI ???


3.2 Các kiểu tường lửa

• Tùy đặc điểm hệ thống, yêu cầu sử dụng… tường lửa được cài đặt theo nhiều kiểu khác nhau

• Phân loại tường lửa (tương đối):

– Lọc gói cổng vào (gateway), bộ định tuyến kiểm tra (screening router)

– Thanh tra trạng thái (stateful inspection firewall)

– Ủy nhiệm ứng dụng (application proxies firewall)

– Canh phòng (guard firewall)

– Bảo vệ cá nhân (personal firewall)


a. Tường lửa lọc gói

• Dạng tường lửa cơ bản, giám sát các gói tin truy nhập mạng căn cứ vào các địa chỉ gửi-nhận, giao thức truyền (HTTP, Telnet…)


Nguyên tắc hoạt động

• Cho phép/ngăn cấm các gói tin qua địa chỉ IP, cổng (hợp pháp/bất

hợp pháp)

• Cho phép/ngăn cấm từng phần/toàn bộ các giao thức truyền

(HTTP, Telnet…)

• Cho phép/ngăn cấm từng

phần/toàn bộ các dịch vụ

nhất định


Nguyên tắc hoạt động

• Thông tin Header gói tin cần kiểm tra:

– Địa chỉ IP nơi xuất phát ( IP Source address)

– Địa chỉ IP nơi nhận (IP Destination address)

– Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

– Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

– Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

– Giao diện Packet đến (Incomming interface of Packet)

– Giao diện Packet đi (Outgoing interface of Packet)


Tường Lửa lọc gói - packet filter

• Ưu điểm :

– Tất cả firewall đều có thành phần này.

– Tốc độ xử lý tương đối nhanh, vì chỉ thao tác trên

Header của gói tin và cụ thể là IP, Port.

• Hạn chế :

– Không kiểm soát được nội dung gói tin.

– Khi yêu cầu lọc càng lớn thì bộ luật trở nên dài

dòng, phức tạp.


The Role of the Rules File


Screening Router


b. Tường lửa thanh tra trạng thái

• Stateful Packet Filter Firewalls



• Kiểm tra trạng thái thông tin, thanh tra tính hợp lệ của các gói tin

• Các gói tin bất thường tiềm ẩn tấn công:

– Thiếu địa chỉ gửi (tấn công nặc danh)

– Quá ngắn, quá nhiều (tấn công gây nhiễu)

– Trùng lắp, trống rỗng (tấn công dội lũ)…



• Lưu lại dấu kết nối giữa các host, network

– Lưu vết trạng thái kết nối vào file “state table”

– Cho phép gói dữ liệu từ Internet đi qua chỉ khi nào có host nội bộ đã gửi yêu cầu trước đó.

28

COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 29 HIENLTH29


c. Tường lửa ủy nhiệm ứng dụng

• Còn được gọi Application-Proxy Gateways.

• Thông thường, các gói tin chỉ được kiểm tra header, phần dữ liệu ít được quan tâm

• Phần lớn các ứng dụng phức tạp thường có lỗi, sẽ rất nguy hiểm nếu cài đặt cho các user đặc quyền

• Bastion host là loại tường lửa tạo ứng dụng giả, mô phỏng các tác động của ứng dụng khi đáp ứng yêu cầu từ user

• Hoạt động ở tầng ứng dụng của mô hình OSI, proxy có nhiệm vụ kiểm tra các gói tin liên lạc mạng ở mức dữ liệu


c. Tường lửa ủy nhiệm ứng dụng

• Có khả năng xác thực :

– UserID và Password

– Hardware hoặc Software Token

– Source Address

– Biometric

• Những ưu điểm :

– Extensive Logging Capabilities

– Enforcement of Authentication

– Less Susceptible to TCP/IP Vulnerabilities

– Có khả năng tạo rule ngăn cản gói tin đã mã hóa


d. Tường lửa canh phòng

• Pha trộn nhiều kỹ thuật khác nhau, nguyên tắc hoạt động của guard firewall là:

– Tiếp nhận, phân tích các đơn thể giao thức dữ liệu

– Đồng dạng các đơn thể giao thức dữ liệu, chuyển giao (dữ liệu + giao thức) cho các dịch vụ hệ thống

• Căn cứ vào quyền hạn, sự ủy nhiệm người dùng, guard firewall quyết định dịch vụ nào sẽ tiếp nhận và xử lý dữ liệu

• Không có ranh giới rõ ràng giữa guard và proxy

• Có thể cấu hình proxy hoạt động như guard firewall


e. Tường lửa cá nhân

• Trang bị cho người dùng lẻ hệ tường lửa đơn giản bảo vệ truy nhập mạng với chi phí thấp

• Độc lập với tường lửa hệ thống mạng, tường lửa cá nhân là ứng dụng chạy ở máy trạm che chắn các luồng tin nguy hiểm đến từ mạng như virus, worm, trojan horse, ActiveX, Java applet…

• Sử dụng kết hợp phần mềm quét virus và tường lửa cá nhân là phương án hiệu quả thiết thực

• Các tường lửa cá nhân phổ biến: Norton Personal Firewall, McAfee Personal Firewall, Zone Alarm…


Ví dụ cấu hình firewall

• Hệ thống sử dụng bộ định tuyến kiểm tra đặt giữa mạng LAN và liên kết mạng ngoài


Phương án đề xuất

• Sử dụng proxy firewall bảo vệ mạng LAN


Giải pháp tăng cường

• Bổ sung bộ định tuyến kiểm tra giữa LAN và proxy gateway


3.3 Các thành phần cơ bản của Rule

• Rule là chính sách mà Firewall sử dụng để kiểm tra gói tin đi qua nó.

• Các thành phần cơ bản của Rule là : – Source Address

– Destination Address

– Protocol

– Source Port

– Destination Port

– User

– Schedule

– Action

– …..


– Source Address : địa chỉ nguồn

• Any

• Zone : Internal Zone, External Zone,..

• Range IP : 192.168.1.10/24 – 192.168.1.100/24

• IP : 192.168.1.200/24

• ….

– Destination Address : địa chỉ đích

• Any

• Zone : Internal Zone, External Zone,..

• Range IP : 192.168.1.10/24 – 192.168.1.100/24

• IP : 192.168.1.200/24

• ….



– Protocol : giao thức• TCP, UDP, ICMP,…

– Source Port : port nguồn• HTTP : 80

• FTP : 21

• SMTP : 25

• POP3 : 110

• …

– Destination Port : port đích• Remote Desktop : 3389

• DNS : 53

• SSH : 22

• …



– User

• All User

• Chỉ định User hoặc Group

– Schedule

• Chỉ định thời gian mà Rule sẽ có hiệu lực

– Action

• Accept : chấp nhận

• Deny : không chấp nhận và gởi thông báo lỗi

• Discard : không chấp nhận





3.4 Các mô hình

• Windows Firewall

• Linux Firewall


Windows Firewall

• Hệ tường lửa cá nhân do Microsoft thiết kế cho máy sử dụng hệ điều hành Windows

• Các yêu cầu liên lạc từ bên ngoài vào mạng sẽ bị Windows Firewall (WF) ngăn chặn

• Khi các ứng dụng mạng yêu cầu thực thi (popup, messenger, multi-player network game, ActiveX, Java applet…), WF sẽ chất vấn user để có quyết định xử lý thích ứng

• Nếu user từ chối, WF sẽ khóa các yêu cầu tương tự cho các phiên làm việc tiếp theo


Sử dụng Windows Firewall

• Để gia tăng độ linh hoạt, Windows cho phép user cấu hình các tính năng WF theo tùy chọn

• Thiết lập tùy chọn bừa, trả lời hù họa sẽ làm WF mất tác dụng, bởi vì:

– WF chỉ giúp ngăn chận mà không diệt virus, user cần sử dụng anti-virus

– WF chỉ giúp ngăn chận mà không cô lập nguồn phát tán thư rác, user cần xác nhận địa chỉ người gửi

– WF chỉ giúp ngăn chận mà không vô hiệu popup, user cần xác nhận tình trạng hợp pháp của app. kích hoạt chúng…

Một số ứng dụng xấu có khả năng tinh chỉnh cấu hình WF mà user không hay biết


Bạn set deny ICMP vàHTTP trên firewall đốivới Webserver.

Hỏi:

1. Những host nào cóthể ping đếnWebserver

2. Làm thế nào để tấtcả các host khôngđược ping đếnWebserver

Bài tập

Host B

WEBSERVERS

Host A

FIREWALL


Linux Firewall

• Thực hiện chức năng Packet filter (lọc theo thông tin trong header).

• Sử dụng iptables (http://www.iptables.org)

– Là giao diện của netfilter.

– Cú pháp chung: iptables <mô tả>

http://www.iptables.org/


Một số rule (IpTables)

Tùy chọn: Mô tả:

-A Nối thêm

-D Xoá

-I Chèn

-R Thay thế

-L Liệt kê

-F Xoá mọi rule trong một chain hoặc

trong mọi chain

-Z Đặt counter về không cho một chain

hoặc mọi chain

-C Kiểm tra packet này trên chain

-N Tạo chain riêng




-X Xoá chain tự tạo

-P Thay đổi chính sách của chain

-E Đổi tên chain

-p Giao thức

-s Địa chỉ/mặt nạ nguồn

-d Địa chỉ/mặt nạ đích

-i Tên input (tên Ethernet)

-o Tên Output (tên Ethernet)

-j Nhảy (đích của quy tắc)

-m So khớp mở rộng (có thể dùng phần mở rộng)




-n Địa chỉ và cổng output dạng số

-t Bảng cần xử lý

-v Chế độ Verbose

-x Số mở rộng (hiển thị chính xác giá

trị)

-f Chỉ so khớp gói thứ hai hoặc sau

đó

-V Phiên bản Packet

--line-numbers In số dòng khi liệt kê


3.5 DMZ

• Mạng trung gian, nằm giữa mạng công cộng và mạng riêng.

• Các dịch vụ được truy xuất cả từ bên ngoài mạng công cộng lẫn phía trong được đặt tại khu vực này.

– Web Server

– Mail Server

– FTP Server

– VoIP Server


3.5 DMZ (tt)


3.5 DMZ (tt)


Bastion host

• Là máy tính được thiết kế để chịu các cuộc tấn công từ bên ngoài.

• Được cài đặt các dịch vụ với quyền và tài nguyên tối thiểu.

• Đặt phía ngoài tường lửa hoặc trong vùng DMZ.



Bài tập

• So sánh tường lửa của các hãng nổi tiếng Check Point, NetScreen và Cisco.

• Tìm hiểu Dual-Homed Host/Screened Host

DMZ Screened Subnet


3.6 Tổng kết

• Firewall là gì ?

• Firewall làm được gì ?

• So sánh các loại Firewall ?

• Các thành phần cơ bản của RULE ?

• Các mô hình thông dụng của Firewall?


Tham khảo

• Nội dung “Firewall”, chương 5, Bài giảng An ninh Mạng, Trương Minh Nhật Quang, ĐH CNTT.

• Bài giảng Firewall, Nguyễn Phan Anh, ĐH KHTN.

• Bài giảng An ninh Mạng, Võ Văn Khang (soạn khi dạy ở Đại học CNTT)


Q & A


THE END

Documents

Computer Network SecurityCOMP1049 - Bảo mật và An ninh Mạng –Network Security C3 - 7 HIENLTH 3.1 Giới thiệu •From Webopedia.com, a firewall is defined as “A system