83
DESIGNING FIREWALLS Nhóm 2 : 08520435 Nguyễn Thành Trung 08520530 Trương Thị Thùy Duyên 08520292 Phạm Phú Phúc 08520548 Lê Kim Hùng

Designing firewalls

Embed Size (px)

Citation preview

Page 1: Designing firewalls

DESIGNING FIREWALLS

Nhóm 2 :

08520435 Nguyễn Thành Trung

08520530 Trương Thị Thùy Duyên

08520292 Phạm Phú Phúc

08520548 Lê Kim Hùng

Page 2: Designing firewalls

I. Firewall Components

II. Create a Firewall Policy

III. Rule Sets Packet Filters

IV. Proxy Server

V. The Bastion Host

VI. The Honeypot

Page 3: Designing firewalls

I. Firewall Components

Tường lửa được tạo ra do nhu cầu về bảo

mật và an ninh thông tin ngày càng tăng

trước.

Tường lửa nằm tại vị trí giữa mạng nội bộ

và mạng Wan.

Thực hiện mục đích của nó chính là cấm và

cho phép các kết nối trên các luật mà được

người quả trị tạo ra và đăng ký trên thiết bị.

Page 4: Designing firewalls

Firewall Components

Sơ đồ cơ bản về Firewall:

Page 5: Designing firewalls

Firewall Components

Ngày nay trong một tường lửa còn cung

cấp các dịch vụ sau:

NAT: được dùng bởi router để có thể dich

một địa chỉ nội bộ thành một địa chỉ bên

ngoài

Data Caching: tùy chọn này cho phép

router lưu trử dữ liệu được cho phép bởi

các người dùng mạng.

Page 6: Designing firewalls

Firewall Components

Restriction on Content: Tùy chọn này có

giá trị trên những hệ thống mới. Cho phép

người quản trị hạn chế truy nhập nội dung

internet bằng cách sử dụng từ khóa.

Page 7: Designing firewalls

Firewall Methodologies

Tường lửa có 2 phương thức chính dùng

để thực hiện bảo mật bên trong một mạng.

Mặc dù có nhiều biến thể xong chúng vẫn

xoay quanh 2 loại chính đó là :

Packet filtering

Proxy servers (application gateway)

Page 8: Designing firewalls

Packet filtering

Lọc gói tin là loại đầu tiên của tường lửa

được sử dụng trong nhiều hệ thống để bảo

vệ mạng. Nó có nhiều phương thức phổ

biến được thực thi để bắt một gói tin sử

dụng router.

Chúng bị giới hạn bởi chúng chỉ được

thiết kế để phân tích tiêu đề của gói tin

Page 9: Designing firewalls

Packet filtering

Ưu điểm:

- Giá thành thấp, cấu hình đơn giản

- Trong suốt(transparent) đối với user.

Hạn chế:

- Dễ bị tấn công vào các bộ lọc.

- Nếu một packet-filtering router do

một sự cố nào đó ngừng hoạt động,tất cả hệ

thống trên mạng nội bộ có thể bị tấn công

Page 10: Designing firewalls

Proxy servers (application-

gateway) Phần mềm proxy được sử dụng để tạo ra

để có thể phân tích nhiều hơn các tiêu đề

của gói tin.

Proxy servers sử dụng phần mềm để chặn

đứng các truyền thông trên mạng mà được

định trù từ trước.

Page 11: Designing firewalls

Proxy servers (application-

gateway) Thuận lợi chính trong việc sử dụng phần

mềm proxy là có thể thực hiện cho phép

hay cấm sự giao tiếp dựa trên dữ liệu thật

sự của gói tin, chứ không chỉ heade.

Trong những công việc khác thì proxy

giúp nhận ra những phương thức giao

tiếp, và sẻ phản ứng lại, không chỉ là đóng

mở các cổng theo sự chỉ đạo.

Page 12: Designing firewalls

What a Firewall Cannot Do

Vì thế nếu một tường lửa có thể dùng để

lọc gói tin, máy chủ proxy, một sự kết hợp

cả hai hay tùy chọn lọc được tạo ra môi

trường an toàn cho dữ liệu của bạn.

FireWall bảo vệ chống lại những sự tấn

công từ bên ngoài.

Page 13: Designing firewalls

What a Firewall Cannot Do

Firewall sẽ đảm bảo tất cả các dữ liệu đi

vào là hợp lệ, ngăn ngừa những người sử

dụng bên ngoài đoạt quyền kiểm soát đối

với máy tính của bạn

Tóm lại Firewall mang lại cho dữ liệu của

chúng ta tính bảo mật, tính toàn vẹn và

tính sẵn sàng.

Page 14: Designing firewalls

Difficulty in securing the network

by Firewall Viruses: Tường lửa có thể phát hiện ra

virus nhưng chúng ta vẫn cần một hệ

thống diệt virus.

Employee misuse:Họ có thể quên địa chỉ

mail hay chạy các chương trình không an

toàn từ bạn bè.

Page 15: Designing firewalls

Difficulty in securing the network

by Firewall Secondary connections: Người dùng có

thể tạo ra một kết nối internet cho riêng

minh. Những kết nối này không được bảo

vệ bởi tường lửa

Social engineering:

Poor architecture:

Page 16: Designing firewalls

Implementation Options for

FirewallsKhông có một loại tường lửa nào được coi là

tiêu chuẩn bên trong một mạng. Có nhiều

loại tường lửa được phát triển khác nhau

gồm:

A Single Packet Filtering Device

A Multi-homed Device

A Screened Host

A Demilitarized Zone (DMZ)

Page 17: Designing firewalls

A Single Packet Filtering Device

Hình mô tả dưới đây là một mạng được bảo

vệ bởi 1 thiết bị được cấu hình như một bộ

lọc gói tin, cho phép hay cấm các truy cập

dựa trên tiêu đề của gói tin.

Page 18: Designing firewalls

A Multi-homed Device

Mạng được bảo vệ bởi một thiết bị có kết

cấu gồm nhiều card mạng, trên đó sẽ cài

phần mềm proxy, phần mềm này sẽ điều

chỉnh các gói tin đi theo các hướng xác

định:

Page 19: Designing firewalls

A Multi-homed Device

Page 20: Designing firewalls

A Screened Host

Một mạng được bảo vệ bởi sự kết hợp của

các cấu trúc của máy chủ proxy và cấu trúc

lọc gói tin

Page 21: Designing firewalls

A Screened Host

Page 22: Designing firewalls

A Screened Host

Hệ thống này cung cấp độ bảo mật cao

hơn hệ thống trên, vì nó thực hiện cả bảo

mật ở tầng network (packet-filtering) và ở

tầng ứng dụng (applicationlevel).

Qui luật filtering trên packet-filtering

router được định nghĩa sao cho tất cảcác

hệ thống ở bên ngoài chỉ có thể truy nhập

bastion host

Page 23: Designing firewalls

A Screened Host

Chỉ chấp nhận những truyền thông nội bộ

xuất phát từ bastion host.

Bởi vì bastion host là hệ thống bên trong

duy nhất có thể truy nhậpđược từ Internet,

sự tấn công cũng chỉ giới hạn đến bastion

host mà thôi.

Page 24: Designing firewalls

A Demilitarized Zone (DMZ)

Một mạng được chỉ định là một “zone”

hay một miền, nó được tạo ra để cho đặt

máy chủ, cần được cho phép để vào

internet và cả các người dùng bên trong.

Đây là một vùng đặc biệt, nó yêu cầu 2

thiết bị lọc, và có thể có nhiều máy tồn tại

bên trong đường biên giới.

Page 25: Designing firewalls

A Demilitarized Zone (DMZ)

Page 26: Designing firewalls

A Demilitarized Zone (DMZ)

Hệ thống bao gồm hai packet-filtering router và một bastion host.

Mạng DMZ đóngvai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ.

Các hệ thống trên Internet và mạng nội bộchỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, vàsự truyền trực tiếp qua mạng DMZ là không thể được

Page 27: Designing firewalls

A Demilitarized Zone (DMZ)

Hệ thốngchỉ cho phép bên ngoài truy nhập

vào bastion host.

Router trong cung cấp sự bảo vệ thứ hai

bằng cách điều khiển DMZ truy nhập

mạng nội bộ chỉ vớinhững truyền thông

bắt đầu từ bastion host

Page 28: Designing firewalls

II. Create a Firewall Policy

Trước khi tiến hành cấu hình ta cần phải có một Firewall Policy (Chính sách về tường lửa) . Để tránh trường hợp lựa chọn và cài đặt tường lửa không chính xác , hiệu quả .

Một tường lửa được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách cụ thể. Đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng tường lửa đó .

Page 29: Designing firewalls

Hai quan điểm trong việc xây dựng tường

lửa:

Từ chối tất cả , chỉ cho phép những lưu

thông hợp lệ .

Cho phép tất cả , cấm những lưu thông

không hợp lệ .

Page 30: Designing firewalls

Một số thành phần trong chính xách bảo

mật :

• Acceptable Use Statement

• Network Connection Statement

• Contracted Worker Statement

• Firewall Administrator Statement

Page 31: Designing firewalls

Acceptable Use Statement

Các ứng dụng không được phép cài đặt .(Từ những nguồn như internet , CD , USB , đĩa mềm ).

Việc sao lưu ứng dụng được cài đặt tại một máy tính của tổ chức . (cho phép / không do tổ chức đó quyết định ).

Việc sử dụng tài khoản tại các máy tính , khi không có người sử dụng , máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu.

Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến hoạt động của tổ chức đó . Không được phép sử dụng để đe dọa hay quấy rối bất cứ cá nhân nào.

Các dịch vụ email được phép sự dụng.

Page 32: Designing firewalls

The Network Connection

Statement

Chỉ quản trị viên mới có quyền thực hiện quét mạng .

Người dùng có thể truy cập vào các trang site FTP để upload và download các tập tin cần thiết, nhưng máy tính nội bộ có thể sẽ không cài đặt FTP server.

Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng 25 . Nhưng không thể truy cập NNTP trên mọi cổng.

Người sử dụng subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ xa và ngược lại .

Người dùng có thể không được chạy bất kỳ phần mềm chat Internet nào .

Không được down load file lớn hơn 5Mb

Phần mềm Anti-virus phải được cài đặt , hoạt động tốt , cập nhật thường xuyên hàng tuần trên máy trạm và cập nhật hằng ngày trên server .

Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên máy tính (Bao gồm cả NIC và modem)

Không cho phép những kết nối trái phép ra internet dưới bất kỳ hình thức nào .

Page 33: Designing firewalls

The Contracted Worker

Statement

Đó là các chính sách phải giải quyết các vấn đề của người lao động theo hợp đồng, hoặc chỉ là tạm thời .

Một số vấn đề cần chú ý là :

Không có những người sử dụng tạm thời , hoặc theo hợp đồng không được phép truy cập trái phép đến các tài nguyên , hay thực hiện quét mạng , copy dữ liệu từ máy tính ra bất kỳ thiết bị nào khác.

Không được sử dụng FTP , telnet , SSH cho khi chưa được sự cho phép dựa trên văn bản.

Page 34: Designing firewalls

The Firewall Administrator

Statement

Firewall administrator phải được chứng

nhận bởi các nhà cung cấp firewall .

Phải có chứng chỉ SCNA

Phải nắm rõ các ứng dụng được cài đặt

trên các máy tính trong mạng .

Phải báo cáo trực tiếp với trưởng bộ phận

bảo mật .

Phải luôn trong tư thế sẵn sàng 24/24

Page 35: Designing firewalls

Những vấn đề liệt kê ở đây sẽ có ích trong

việc soạn ra chính sách cho firewall .

Ngoài ra cách chính sách về Firewall cần

phải được thay đổi thường xuyên cho phụ

hợp với an ninh thế giới .

Page 36: Designing firewalls
Page 37: Designing firewalls

III . Packet Filtervà việc thiết lập

tập các quy tắc trong Packet Filter

Page 38: Designing firewalls

Tổng quan về Packet Filtering

Là kiểu firewall đầu tiên được sử dụng để

bảo vệ mạng nội bộ.

Thường được cài đặt sẵn trên các router

và thực thi dưới dạng access control list.

Sử dụng một tập các quy tắc để quyết định

gói tin được phép qua hay không.

Chỉ kiểm tra phần header, không kiểm tra

nội dung gói tin

Page 39: Designing firewalls

Tổng quan về Packet Filtering

Chức năng khác nhau, tùy thuộc vào vị trí

của Packet Filter trong hệ thống mạng.

Page 40: Designing firewalls

Tổng quan về Packet Filtering

Page 41: Designing firewalls

Tổng quan về Packet Filtering

Page 42: Designing firewalls

Tổng quan về Packet Filtering

Page 43: Designing firewalls

Các quy tắc trong Packet Filter

Các vấn đề cần quan tâm

Mạng nội bộ được truy cập dịch vụ nào

trên internet?

Internet được truy cập vào dịch vụ nào

của mạng nội bộ?

Máy nào được quyền truy cập đặc biệt nào

đó, mà máy khác không có?

Page 44: Designing firewalls

Các quy tắc trong Packet Filter

Các vấn đề cần quan tâm

Bộ luật được đặt tại interface nào?

Hướng của gói tin.

Địa chỉ IP

Số hiệu cổng (port)

Các giao thức tầng cao hơn.

Page 45: Designing firewalls

Các quy tắc trong Packet Filter

Port, Socket và ACK bit

Địa chỉ IP đại diện cho một máy trong

phiên làm việc, port đại diện cho điểm đến

thực sự của giao tiếp, tức ứng dụng cụ thể.

Socket bao gồm một ip đi kèm với một

port.

Port nhỏ hơn 1023 được sử dụng cho các

ứng dụng phổ biến. Port lớn hơn 1023

được sử dụng cho host khi thực hiện kết

nối.

Page 46: Designing firewalls

Các quy tắc trong Packet Filter

Port, Socket và ACK bit

Page 47: Designing firewalls

Các quy tắc trong Packet Filter

Ví dụ về một tập quy tắc

Cho phép mạng nội bộ truy cập đến web

pages trên internet và miền DMZ

Internet có thể truy cập đến dịch vụ web

trên web server

Các dịch vụ khác không được phép truy cập

ra internet.

Page 48: Designing firewalls

Các quy tắc trong Packet Filter

Ví dụ về một tập quy tắc

cho phép tất cả các kết nối từ bên ngoài vào

mạng bên trong với port đích > 1023

Page 49: Designing firewalls

Các quy tắc trong Packet FilterVí dụ về một tập quy tắc

Sử dụng thêm thông tin về port nguồn:

• Sử dụng ACK flag

Page 50: Designing firewalls

Các quy tắc trong Packet FilterCác yếu tố cần đảm bảo

Tính nhất quán: đảm bảo không có sự

mâu thuẫn giữa các quy tắc với nhau.

Tính trọn vẹn: đảm bảo tập quy tắc đã liệt

kê hết các trường hợp có thể xảy ra.

Tính súc tích: đảm bảo sự ngắn gọn và các

quy tắc không trùng lấp nhau.

Page 51: Designing firewalls

Phân loại Packet Filter

Stateless Packet Filter (Standard Packet

Filter)

Stateful Packet Filter

Page 52: Designing firewalls

Stateless Packet Filter

Là hình thức cơ bản nhất, được sử dụng

rộng rãi.

Xử lý các gói tin một cách độc lập với

nhau dựa vào thông tin trên header của

các giao thức.

Không lưu lại bất kì thông tin nào về gói

tin đã được xử lý.

Page 53: Designing firewalls

Stateless Packet Filter

IP Address

TCP/UDP Port

Protocol Filter

Fragmentation

Page 54: Designing firewalls

Stateless Packet Filter

IP Address Là thành phần cơ bản nhất.

Dựa vào địa chỉ IP nguồn và (hoặc) IP

đích để ra quyết định xử lý một gói tin.

Thông thường được thiết kế mặc định cấm

tất cả các gói tin, trừ những gói phù hợp

với quy tắc.

Page 55: Designing firewalls

Stateless Packet Filter

TCP/UDP Port Sử dụng port nguồn và port đích để xử lý

một gói tin.

Thường được sử dụng để chỉ cho phép

một số ứng dụng cụ thể đi qua Packet

Filter, còn lại mặc định cấm.

Page 56: Designing firewalls

Stateless Packet Filter

Protocol Field Kiểm tra nội dung của header để xác định

giao thức được dùng ở tầng kế trên, từ đó

cho phép gói tin đi qua hay không.

Một vài giao thức thường được kiểm tra:

-TCP

-UDP

-ICMP

-IGMP

Page 57: Designing firewalls

Stateless Packet Filter

Fragmentation

Sự phân mảnh xảy ra khi một gói tin đi từ

mạng này qua mạng kia có đơn vị truyền tải tối

đa (MTU) nhỏ hơn kích thước của gói tin.

Các phân mảnh có thể được chia nhỏ ra nữa

nếu chúng phải đi qua những mạng có MTU

nhỏ hơn kích thước của phân mảnh.

Page 58: Designing firewalls

Stateless Packet Filter

Fragmentation

-Fragment ID: nhận biết gói tin gốc

-Fragment offset: đánh dấu thứ tự

-Fragment length: độ dài phân mảnh

-More fragments flag: có phải mảnh cuối không

Page 59: Designing firewalls

Stateless Packet Filter

Fragmentation

Page 60: Designing firewalls

Stateless Packet Filter

Fragmentation

Packet Filter chỉ kiểm tra gói phân mảnh đầutiên (offset = 0).

Những phân mảnh còn lại được cho qua.

Attacker lợi dụng để “qua mặt” Packet Filter

• Tiny fragment attack

• Teardrop attack

• Overlapping fragment attack

Page 61: Designing firewalls

Stateless Packet Filter

Fragmentation Giải pháp

-Thiết lập độ dài tối thiểu của fragment

đầu tiên sao cho đảm bảo đầy đủ thông tin

cần thiết để kiểm tra.

-Cấm tất cả các gói tin phân mảnh.

-Cấu hình buộc gói tin phải được ghép lại

hoàn chỉnh trước khi truyền.

Page 62: Designing firewalls

Stateless Packet Filter

Ưu nhược điểm

Ưu điểm:

-Dễ thực hiện

Nhược điểm:

-Không kiểm tra được các thông tin ở tầng

ứng dụng.

-Mỗi gói tin đều phải được kiểm tra hết

ACL, có thể tạo nên một nút cổ chai trong

mạng.

Page 63: Designing firewalls

Stateful Packet Filter

Cơ bản như Stateless Packet Filter, tuy

nhiên nó không thực thi trên từng gói tin

một cách độc lập với nhau, mà còn dựa

vào trạng thái kết nối tại tầng Session để

lọc các gói tin.

Thông tin về các kết nối được lưu tại bảng

trạng thái (state table).

Page 64: Designing firewalls

Stateful Packet Filter

Khi nhận được một gói tin, Stateful Packet

Filter dò trong bảng trạng thái của mình:

-Nếu tồn tại entry có thông tin trùng khớp

với packet vừa nhận cho qua.

-Nếu không tìm thấy lọc dựa vào bộ quy

tắc. Nếu gói tin được cho phép, một entry

miêu tả connection mà packet này thuộc về

sẽ được ghi vào state table.

Page 65: Designing firewalls

Stateful Packet Filter

Entry về kết nối trong state table bị xóa khi

kết nối bị ngắt.

Trong trường hợp có khởi tạo kết nối (gói

SYN được gởi đi) mà không được hồi đáp,

sau một khoảng thời gian nhất định, entry

cũng sẽ bị xóa khỏi state table. Thường

khoảng vài phút.

Page 66: Designing firewalls

Stateful Packet Filter

Page 67: Designing firewalls
Page 68: Designing firewalls

IV . Proxy Server

Không có giao tiếp trực tiếp giữa client và server

Không có giao tiếp trực tiếp giữa client và server

Page 69: Designing firewalls

Tiến trình Proxy

Page 70: Designing firewalls

Lợi ích Proxy

Ẩn client

◦ Địa chỉ IP của client không bao giờ xuất hiện ra ngoài

Internet

Lọc nội dung

◦ Lọc những gì nhìn thấy

Truy nhập đơn điểm

◦ Một điểm duy nhất để truy nhập dữ liệu

Page 71: Designing firewalls

Các vấn đề Proxy

Truy nhập đơn điểm thất bại

◦ Cần nhớ là phải bảo vệ proxy

Một proxy cho mỗi dịch vụ

◦ các proxy server vẫn còn cấu hình an toàn

Cấu hình mặc định

◦ dành thời gian để thực hiện các quy tắc và hạnchế

Page 72: Designing firewalls

V. The Bastion Host

Bastion Host là một từ dùng để chỉ về một

máy được được bảo vệ nhiều nhất trong

hệ thống mạng, máy chủ này sử dụng mọi

tùy chọn về an ninh tối đa của hệ thống

mà nó có thể sử dụng

Page 73: Designing firewalls

The Bastion Host

Thêm nữa các cấu hình sẽ di chuyển tất cả

các dịch vụ cũng như các chương trinh

không cần thiết cho máy chủ. Tất cả các

tài khoảng người dùng để được loại bỏ, và

cả những phần mềm quả lý máy chủ.

Page 74: Designing firewalls

The Bastion Host

Page 75: Designing firewalls

The Bastion Host

Đường đầu tiên được phòng thủ đó là

đường tới router, kết nối giữa mạng và

internet, được cấu hình thích hợp để lọc

gói tin. Tiếp theo việc lọc các gói tin trên

router sẽ là nơi đặt Bastion Host chạy máy

chủ proxy.

Page 76: Designing firewalls

The Bastion Host

Các bước để cấu hình một Bastion host:

◦ Xóa bỏ các ứng dụng không dùng.

◦ Xóa bỏ các dịch vụ không dùng.

◦ Xóa bỏ các tài khoảng không dùng.

◦ Kích hoạt các chính sách.

Page 77: Designing firewalls

The Bastion Host

Các kỹ thuật khác để tạo ra một Bastion

host:

◦ Cài đặt hệ điều hành từ đĩa trước.

◦ Loại bỏ các phần cứng ko dùng

◦ Sử dụng các phương pháp chứng thực mạnh

mẽ

◦ Thực thi các chương trình kiểm tra file để

tránh giả mạo

Page 78: Designing firewalls

An Attack on the Bastion Host

Kể từ khi máy này cung cấp nhiều dich vụ

trên mạng nó trở thành mục tiêu tấn công.

Khi phát hiện được một nguy cơ, bạn phải

khám phá xa hơn để xác định được

nguyên nhân.

Nếu trên Bastion Host tồn tại một nguy cơ

bảo mật thì nó sẽ rất nguy hiểm nếu như

máy này tồn tại trong mình DMZ hay

trong mạng

Page 79: Designing firewalls

An Attack on the Bastion Host

Cách khắc phục nếu bị tấn công là không

phục lại hệ thống từ tập tin back-up, nó

tồn tại một nguy cơ. Nếu không bạn có thể

nhận ra ngày của những nguy cơ xảy ra.

Phương pháp tốt nhất là cài lại tự đầu

Bastion Host, bắt đầu bằng việc format lại

đĩa. Nó tốn nhiều thời gian nhưng đó là

cách tốt nhất

Page 80: Designing firewalls

VI . Honeypot

Honeypot là gì?

◦ Máy tính được thiết kế để thu hút kẻ tấn công

Page 81: Designing firewalls

Vị trí Honeypot

Page 82: Designing firewalls

Mục tiêu của Honeypot

Giữ chân hacker khỏi tấn công sang các thiết bị

khác

◦ hackers use all their energy getting into this system

Logging

Tăng khả năng phát hiện và ứng phó sự cố

Honeynets

Page 83: Designing firewalls

Vấn đề pháp lý

Lừa đảo

Riêng tư