04/11/23 Bức tường lửa - Phạm Duy Trung 1

Chương 2Các công nghệ tường lửa

Người trình bày:

Phạm Duy Trung

04/11/23 Bức tường lửa - Phạm Duy Trung 2

Nội dung• Phương pháp phân loại

• Bộ lọc gói tin (Packet – Filtering Router)

• Cổng mức mạch (Circuit – Level Gateway)

• Cổng mức ứng dụng (Application – Level Gateway)

• Statefull Inspection Firewall

04/11/23 Bức tường lửa - Phạm Duy Trung 3

2.1 Phương pháp phân loại

Phân loại theo phạm vi sử dụngTường lửa cá nhân: thường là phần mềm sử dụng cho một máy tính đơn

Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu DMZ (phi quân sự)

04/11/23 Bức tường lửa - Phạm Duy Trung 4

2.1 Phương pháp phân loại

Phân loại dựa trên mô hình tầng mạngTầng mạng – Bộ lọc gói tin

Tầng ứng dụng – Cổng ứng dụng

Tầng giao vận – Cổng vòng

Phân loại dựa trên trạng tháiTường lửa có trạng thái (Stateful firewall)

Tường lửa phi trạng thái (Stateless firewall)

04/11/23 Bức tường lửa - Phạm Duy Trung 5

2.2 Bộ lọc gói tin

Hoạt động ở tầng mạng

Loại tường lửa đầu tiên và đơn giản nhất

Kết nối trực tiếp giữa mạng bên trong và mạng bên ngoài

Private network

04/11/23 Bức tường lửa - Phạm Duy Trung 6

2.2 Bộ lọc gói tin (tiếp ...)

04/11/23 Bức tường lửa - Phạm Duy Trung 7

2.2 Bộ lọc gói tin (tiếp…)

Nguyên lý hoạt độngKiểm tra đoạn dữ liệu để quyết định xem các đoạn dữ liệu đó có thỏa mãn các luật của bộ lọc hay không.

Bộ lọc gói tin cho phép (thỏa mãn) hay từ chối (không thỏa mãn) mỗi gói tin mà nó nhận được

Các luật lọc này dựa trên thông tin nào ?

04/11/23 Bức tường lửa - Phạm Duy Trung 8

2.2 Bộ lọc gói tin (tiếp…)

04/11/23 Bức tường lửa - Phạm Duy Trung 9

2.2 Bộ lọc gói tin (tiếp…)Dựa trên các trường trong phần đầu của IP, TCP hay UDPCác thông tin đó là:

Địa chỉ IP xuất phát (IP source address)Địa chỉ IP nơi nhận (IP destination address)Giao thức sử dụng (TCP, UDP, ICMP…)Cổng nguồn TCP/UDPCổng đích TCP/UDPGiao diện packet đếnGiao diện packet đi

04/11/23 Bức tường lửa - Phạm Duy Trung 10

04/11/23 Bức tường lửa - Phạm Duy Trung 11

2.2 Bộ lọc gói tin (tiếp…)

04/11/23 Bức tường lửa - Phạm Duy Trung 12

2.2 Bộ lọc gói tin (tiếp…)Ví dụ:

04/11/23 Bức tường lửa - Phạm Duy Trung 13

2.2 Bộ lọc gói tin (tiếp…)

Chính sách chứa danh sách các tập luật, nếu thông tin trong gói tin trùng với luật nào, thì luật đó được áp dụng xác định gói tin đó được chuyển tiếp hay loại bỏ.

Nếu không trùng với bất kỳ luật nào, thì luật mặc định được áp dụng. Thường thì có hai chính sách cho luật mặc định: mặc định = chuyển tiếp hoặc mặc định = loại bỏ

Luật được duyệt từ trên xuống, mức ưu tiên giảm dần

04/11/23 Bức tường lửa - Phạm Duy Trung 14

04/11/23 Bức tường lửa - Phạm Duy Trung 15

2.2 Bộ lọc gói tin (tiếp…)

Ưu điểmTốc độ xử lý nhanh

Dễ dàng triển khai, cài đặt và bảo trì

Ứng dụng độc lập

04/11/23 Bức tường lửa - Phạm Duy Trung 16

2.2 Bộ lọc gói tin (tiếp…)

Nhược điểmKhông kiểm soát được dữ liệu từ lớp 4 trở nên

Không hỗ trợ tính năng xác thực người dùng

Không ngăn chặn tấn công giả mạo địa chỉ

Mức an ninh thấp

04/11/23 Bức tường lửa - Phạm Duy Trung 17

2.3 Cổng mức mạch

Hoạt động ở tầng giao vận

Giám sát bắt tay TCP giữa gói tin vào/ra để xác định phiên làm việc có hợp lệ hay không.

Private network

04/11/23 Bức tường lửa - Phạm Duy Trung 18

2.3 Cổng mức mạch (tiếp…) Nguyên lý hoạt động

Không cho phép thực hiện kết nối end – to –endThiết lập hai kết nối TCP: một giữa cổng và máy bên trong, một giữa cổng và máy bên ngoài.Khi hai kết nối được thiết lập, cổng mức mạch sẽ thực hiện sao chép, chuyển tiếp đoạn dữ liệu TCP từ kết nối bên trong sang kết nối bên ngoài (và ngược lại) mà không cần kiểm tra nội dung dữ liệuCổng vòng xác định một phiên làm việc hợp lệ nếu cờ SYN, ACK và sequence number trong quá trình bắt tay giữa các kết nối là hợp lệ

04/11/23 Bức tường lửa - Phạm Duy Trung 19

2.3 Cổng mức mạch (tiếp...)

04/11/23 Bức tường lửa - Phạm Duy Trung 20

2.3 Cổng mức mạch (tiếp...)

04/11/23 Bức tường lửa - Phạm Duy Trung 21

2.3 Cổng mức mạch (tiếp...)

04/11/23 Bức tường lửa - Phạm Duy Trung 22

2.3 Cổng mức mạch (tiếp...)

Quá trình làm việcMáy bên trong yêu cầu một dịch vụ, cổng chấp nhận yêu cầu đóThay mặt máy bên trong, cổng mở kết nối đến máy bên ngoài và giám sát chặt chẽ quá trình bắt tay TCP. Quá trình bắt tay liên quan đến việc trao đổi gói tin chứa cờ (SYN hay ACK)Cổng xác thực máy bên trong và máy bên ngoài là thành phần một phiên làm việc, cổng sao chép và chuyển tiếp dữ liệu giữa hai kết nối.

04/11/23 Bức tường lửa - Phạm Duy Trung 23

2.3 Cổng mức mạch (tiếp...)

Cổng duy trì một bảng thiết lập kết nối, dữ liệu được phép đi qua nếu thuộc một trong các phiên làm việc có trong bảng.

Khi phiên làm việc kết thúc, cổng mức mạch xóa bản ghi kết nối của phiên làm việc đó.

Bảng kết nối: ID Session, Trạng thái (handshake, etablished, closing), ...

04/11/23 Bức tường lửa - Phạm Duy Trung 24

2.3 Cổng mức mạch (tiếp…)

04/11/23 Bức tường lửa - Phạm Duy Trung 25

Ưu điểmMức an toàn cao hơn so với lọc gói tin

Có thể triển khai với lượng lớn giao thức tầng trên mà không cần hiểu về thông tin tại giao thức đó

Nhược điểmMột khi kết nối được thiết lập, nó có thể cho phép gửi các mã độc hại trong gói tin

2.3 Cổng mức mạch (tiếp…)

04/11/23 Bức tường lửa - Phạm Duy Trung 26

2.4 Cổng ứng dụngHoạt động ở tầng ứng dụng

Thiết kế nhằm tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng

Private network

04/11/23 Bức tường lửa - Phạm Duy Trung 27

2.4 Cổng ứng dụng (tiếp…)

04/11/23 Bức tường lửa - Phạm Duy Trung 28

2.4 Cổng ứng dụng (tiếp…)

Nguyên lý hoạt độngDựa trên các dịch vụ đại diện (Proxy service)

Proxy service là các chương trình đặc biệt cài trên gateway cho từng ứng dụng.

Quy trình kết nối sử dụng dịch vụ thông qua cổng ứng dụng diễn ra theo 5 bước sau đây

04/11/23 Bức tường lửa - Phạm Duy Trung 29

2.4 Cổng ứng dụng (tiếp…)Quy trình

Bước 1: Máy trạm gửi yêu cầu tới máy chủ ở xa đến cổng ứng dụng

Bước 2: Cổng ứng dụng xác thực người dùng. Nếu xác thực thành công chuyển sang bước 3, ngược lại quá trình kết thúc

Bước 3: Cổng ứng dụng chuyển yêu cầu máy trạm đến máy chủ ở xa

Bước 4: Máy chủ ở xa trả lời chuyển đến cổng ứng dụng

Bước 5: Cổng ứng dụng chuyển trả lời của máy chủ ở xa đến máy trạm

04/11/23 Bức tường lửa - Phạm Duy Trung 30

2.4 Cổng ứng dụng (tiếp…)

04/11/23 Bức tường lửa - Phạm Duy Trung 31

2.4 Cổng ứng dụng (tiếp…)

Ví dụ: Máy khách (client) muốn sử dụng dịch vụ TELNET để kết nối vào hệ thống mạng qua cổng ứng dụng (Telnet proxy). Quá trình diễn ra như sau:

Client thực hiện dịch vụ telnet đến Telnet proxy, Telnet proxy kiểm tra password. Nếu hợp lệ thì client được phép vào giao diện của Telnet proxy. Telnet proxy sẽ cung cấp tập nhỏ lệnh của Telnet và quyết định những máy nội bộ nào được phép truy cập

04/11/23 Bức tường lửa - Phạm Duy Trung 32

2.4 Cổng ứng dụng (tiếp…)

Client chỉ ra máy nội bộ cần kết nối và Telnet proxy tạo một kết nối của riêng nó tới máy nội bộ bên trong

Thực hiện chuyển các lệnh tới máy nội bộ bên trong dưới sự ủy quyền của client, còn client thì tin rằng Telnet proxy chính là máy nội bộ thật ở bên trong, trong khi máy nội bộ bên trong thì tin rằng Telnet proxy chính là client thật

04/11/23 Bức tường lửa - Phạm Duy Trung 33

2.4 Cổng ứng dụng (tiếp…)

04/11/23 Bức tường lửa - Phạm Duy Trung 34

2.4 Cổng ứng dụng (tiếp…)

04/11/23 Bức tường lửa - Phạm Duy Trung 35

04/11/23 Bức tường lửa - Phạm Duy Trung 36

2.4 Cổng ứng dụng (tiếp…) Ưu điểm

Hoàn toàn điều khiển được từng dịch vụ trên mạng (quyết định những máy chủ nào có thể truy cập được bởi các dịch vụ)Hoàn toàn điều khiển được những dịch vụ nào cho phép ( vắng mặt của proxy cho dịch vụ nào thì dịch vụ đó bị khóa)Kiểm tra độ xác thực rất tốt, ghi chép lại thông tin về truy cập hệ thốngLuật lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với lọc gói tin

04/11/23 Bức tường lửa - Phạm Duy Trung 37

2.4 Cổng ứng dụng (tiếp…)

Nhược điểmTốc độ chậm, hiệu suất thấp do xử lý trên nhiều tầng

Các dịch vụ hỗ trợ bị hạn chế

Khả năng thay đổi mở rộng (scalability) hạn chế

Cài đặt và bảo trì phức tạp

Khả năng trong suốt đối với người dùng cuối hạn chế

04/11/23 Bức tường lửa - Phạm Duy Trung 38

2.5 Statefull Inspection Firewall (SIF)Tổng hợp tính năng của 3 loại tường lửa trên

Giống tường lửa lọc gói tin, hoạt động ở tầng mạng, lọc gói tin đi/đến dựa trên tham số: địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đíchGiống cổng mức mạch, xác định chính xác gói tin trong phiên làm việc. SIF xác nhận cờ ACK, SYN và sequence number có hợp lệ không?SIF bắt chước cổng mức ứng dụng, SIF đưa gói tin lên tầng ứng dụng và kiểm tra xem nội dung dữ liệu phù hợp với các luật trong chính sách an ninh của hệ thống.

04/11/23 Bức tường lửa - Phạm Duy Trung 39

04/11/23 Bức tường lửa - Phạm Duy Trung 40

2.5 Statefull Inspection Firewall (SIF)

Giống như cổng ứng dụng, SIF có thể được cấu hình để loại bỏ gói tin chứa những câu lệnh xác định (ví dụ như FTP PUT, FTP GET, ...)

Khác với cổng mức ứng dụng (yêu cầu hai kết nối, do vậy tốc độ chậm) SIF cho phép client kết nối trực tiếp với server