Upload
le-kim-hung
View
739
Download
1
Embed Size (px)
Citation preview
DESIGNING FIREWALLS
Nhóm 2 :
08520435 Nguyễn Thành Trung
08520530 Trương Thị Thùy Duyên
08520292 Phạm Phú Phúc
08520548 Lê Kim Hùng
I. Firewall Components
II. Create a Firewall Policy
III. Rule Sets Packet Filters
IV. Proxy Server
V. The Bastion Host
VI. The Honeypot
I. Firewall Components
Tường lửa được tạo ra do nhu cầu về bảo
mật và an ninh thông tin ngày càng tăng
trước.
Tường lửa nằm tại vị trí giữa mạng nội bộ
và mạng Wan.
Thực hiện mục đích của nó chính là cấm và
cho phép các kết nối trên các luật mà được
người quả trị tạo ra và đăng ký trên thiết bị.
Firewall Components
Sơ đồ cơ bản về Firewall:
Firewall Components
Ngày nay trong một tường lửa còn cung
cấp các dịch vụ sau:
NAT: được dùng bởi router để có thể dich
một địa chỉ nội bộ thành một địa chỉ bên
ngoài
Data Caching: tùy chọn này cho phép
router lưu trử dữ liệu được cho phép bởi
các người dùng mạng.
Firewall Components
Restriction on Content: Tùy chọn này có
giá trị trên những hệ thống mới. Cho phép
người quản trị hạn chế truy nhập nội dung
internet bằng cách sử dụng từ khóa.
Firewall Methodologies
Tường lửa có 2 phương thức chính dùng
để thực hiện bảo mật bên trong một mạng.
Mặc dù có nhiều biến thể xong chúng vẫn
xoay quanh 2 loại chính đó là :
Packet filtering
Proxy servers (application gateway)
Packet filtering
Lọc gói tin là loại đầu tiên của tường lửa
được sử dụng trong nhiều hệ thống để bảo
vệ mạng. Nó có nhiều phương thức phổ
biến được thực thi để bắt một gói tin sử
dụng router.
Chúng bị giới hạn bởi chúng chỉ được
thiết kế để phân tích tiêu đề của gói tin
Packet filtering
Ưu điểm:
- Giá thành thấp, cấu hình đơn giản
- Trong suốt(transparent) đối với user.
Hạn chế:
- Dễ bị tấn công vào các bộ lọc.
- Nếu một packet-filtering router do
một sự cố nào đó ngừng hoạt động,tất cả hệ
thống trên mạng nội bộ có thể bị tấn công
Proxy servers (application-
gateway) Phần mềm proxy được sử dụng để tạo ra
để có thể phân tích nhiều hơn các tiêu đề
của gói tin.
Proxy servers sử dụng phần mềm để chặn
đứng các truyền thông trên mạng mà được
định trù từ trước.
Proxy servers (application-
gateway) Thuận lợi chính trong việc sử dụng phần
mềm proxy là có thể thực hiện cho phép
hay cấm sự giao tiếp dựa trên dữ liệu thật
sự của gói tin, chứ không chỉ heade.
Trong những công việc khác thì proxy
giúp nhận ra những phương thức giao
tiếp, và sẻ phản ứng lại, không chỉ là đóng
mở các cổng theo sự chỉ đạo.
What a Firewall Cannot Do
Vì thế nếu một tường lửa có thể dùng để
lọc gói tin, máy chủ proxy, một sự kết hợp
cả hai hay tùy chọn lọc được tạo ra môi
trường an toàn cho dữ liệu của bạn.
FireWall bảo vệ chống lại những sự tấn
công từ bên ngoài.
What a Firewall Cannot Do
Firewall sẽ đảm bảo tất cả các dữ liệu đi
vào là hợp lệ, ngăn ngừa những người sử
dụng bên ngoài đoạt quyền kiểm soát đối
với máy tính của bạn
Tóm lại Firewall mang lại cho dữ liệu của
chúng ta tính bảo mật, tính toàn vẹn và
tính sẵn sàng.
Difficulty in securing the network
by Firewall Viruses: Tường lửa có thể phát hiện ra
virus nhưng chúng ta vẫn cần một hệ
thống diệt virus.
Employee misuse:Họ có thể quên địa chỉ
mail hay chạy các chương trình không an
toàn từ bạn bè.
Difficulty in securing the network
by Firewall Secondary connections: Người dùng có
thể tạo ra một kết nối internet cho riêng
minh. Những kết nối này không được bảo
vệ bởi tường lửa
Social engineering:
Poor architecture:
Implementation Options for
FirewallsKhông có một loại tường lửa nào được coi là
tiêu chuẩn bên trong một mạng. Có nhiều
loại tường lửa được phát triển khác nhau
gồm:
A Single Packet Filtering Device
A Multi-homed Device
A Screened Host
A Demilitarized Zone (DMZ)
A Single Packet Filtering Device
Hình mô tả dưới đây là một mạng được bảo
vệ bởi 1 thiết bị được cấu hình như một bộ
lọc gói tin, cho phép hay cấm các truy cập
dựa trên tiêu đề của gói tin.
A Multi-homed Device
Mạng được bảo vệ bởi một thiết bị có kết
cấu gồm nhiều card mạng, trên đó sẽ cài
phần mềm proxy, phần mềm này sẽ điều
chỉnh các gói tin đi theo các hướng xác
định:
A Multi-homed Device
A Screened Host
Một mạng được bảo vệ bởi sự kết hợp của
các cấu trúc của máy chủ proxy và cấu trúc
lọc gói tin
A Screened Host
A Screened Host
Hệ thống này cung cấp độ bảo mật cao
hơn hệ thống trên, vì nó thực hiện cả bảo
mật ở tầng network (packet-filtering) và ở
tầng ứng dụng (applicationlevel).
Qui luật filtering trên packet-filtering
router được định nghĩa sao cho tất cảcác
hệ thống ở bên ngoài chỉ có thể truy nhập
bastion host
A Screened Host
Chỉ chấp nhận những truyền thông nội bộ
xuất phát từ bastion host.
Bởi vì bastion host là hệ thống bên trong
duy nhất có thể truy nhậpđược từ Internet,
sự tấn công cũng chỉ giới hạn đến bastion
host mà thôi.
A Demilitarized Zone (DMZ)
Một mạng được chỉ định là một “zone”
hay một miền, nó được tạo ra để cho đặt
máy chủ, cần được cho phép để vào
internet và cả các người dùng bên trong.
Đây là một vùng đặc biệt, nó yêu cầu 2
thiết bị lọc, và có thể có nhiều máy tồn tại
bên trong đường biên giới.
A Demilitarized Zone (DMZ)
A Demilitarized Zone (DMZ)
Hệ thống bao gồm hai packet-filtering router và một bastion host.
Mạng DMZ đóngvai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ.
Các hệ thống trên Internet và mạng nội bộchỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, vàsự truyền trực tiếp qua mạng DMZ là không thể được
A Demilitarized Zone (DMZ)
Hệ thốngchỉ cho phép bên ngoài truy nhập
vào bastion host.
Router trong cung cấp sự bảo vệ thứ hai
bằng cách điều khiển DMZ truy nhập
mạng nội bộ chỉ vớinhững truyền thông
bắt đầu từ bastion host
II. Create a Firewall Policy
Trước khi tiến hành cấu hình ta cần phải có một Firewall Policy (Chính sách về tường lửa) . Để tránh trường hợp lựa chọn và cài đặt tường lửa không chính xác , hiệu quả .
Một tường lửa được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách cụ thể. Đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng tường lửa đó .
Hai quan điểm trong việc xây dựng tường
lửa:
Từ chối tất cả , chỉ cho phép những lưu
thông hợp lệ .
Cho phép tất cả , cấm những lưu thông
không hợp lệ .
Một số thành phần trong chính xách bảo
mật :
• Acceptable Use Statement
• Network Connection Statement
• Contracted Worker Statement
• Firewall Administrator Statement
Acceptable Use Statement
Các ứng dụng không được phép cài đặt .(Từ những nguồn như internet , CD , USB , đĩa mềm ).
Việc sao lưu ứng dụng được cài đặt tại một máy tính của tổ chức . (cho phép / không do tổ chức đó quyết định ).
Việc sử dụng tài khoản tại các máy tính , khi không có người sử dụng , máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu.
Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến hoạt động của tổ chức đó . Không được phép sử dụng để đe dọa hay quấy rối bất cứ cá nhân nào.
Các dịch vụ email được phép sự dụng.
The Network Connection
Statement
Chỉ quản trị viên mới có quyền thực hiện quét mạng .
Người dùng có thể truy cập vào các trang site FTP để upload và download các tập tin cần thiết, nhưng máy tính nội bộ có thể sẽ không cài đặt FTP server.
Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng 25 . Nhưng không thể truy cập NNTP trên mọi cổng.
Người sử dụng subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ xa và ngược lại .
Người dùng có thể không được chạy bất kỳ phần mềm chat Internet nào .
Không được down load file lớn hơn 5Mb
Phần mềm Anti-virus phải được cài đặt , hoạt động tốt , cập nhật thường xuyên hàng tuần trên máy trạm và cập nhật hằng ngày trên server .
Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên máy tính (Bao gồm cả NIC và modem)
Không cho phép những kết nối trái phép ra internet dưới bất kỳ hình thức nào .
The Contracted Worker
Statement
Đó là các chính sách phải giải quyết các vấn đề của người lao động theo hợp đồng, hoặc chỉ là tạm thời .
Một số vấn đề cần chú ý là :
Không có những người sử dụng tạm thời , hoặc theo hợp đồng không được phép truy cập trái phép đến các tài nguyên , hay thực hiện quét mạng , copy dữ liệu từ máy tính ra bất kỳ thiết bị nào khác.
Không được sử dụng FTP , telnet , SSH cho khi chưa được sự cho phép dựa trên văn bản.
The Firewall Administrator
Statement
Firewall administrator phải được chứng
nhận bởi các nhà cung cấp firewall .
Phải có chứng chỉ SCNA
Phải nắm rõ các ứng dụng được cài đặt
trên các máy tính trong mạng .
Phải báo cáo trực tiếp với trưởng bộ phận
bảo mật .
Phải luôn trong tư thế sẵn sàng 24/24
Những vấn đề liệt kê ở đây sẽ có ích trong
việc soạn ra chính sách cho firewall .
Ngoài ra cách chính sách về Firewall cần
phải được thay đổi thường xuyên cho phụ
hợp với an ninh thế giới .
III . Packet Filtervà việc thiết lập
tập các quy tắc trong Packet Filter
Tổng quan về Packet Filtering
Là kiểu firewall đầu tiên được sử dụng để
bảo vệ mạng nội bộ.
Thường được cài đặt sẵn trên các router
và thực thi dưới dạng access control list.
Sử dụng một tập các quy tắc để quyết định
gói tin được phép qua hay không.
Chỉ kiểm tra phần header, không kiểm tra
nội dung gói tin
Tổng quan về Packet Filtering
Chức năng khác nhau, tùy thuộc vào vị trí
của Packet Filter trong hệ thống mạng.
Tổng quan về Packet Filtering
Tổng quan về Packet Filtering
Tổng quan về Packet Filtering
Các quy tắc trong Packet Filter
Các vấn đề cần quan tâm
Mạng nội bộ được truy cập dịch vụ nào
trên internet?
Internet được truy cập vào dịch vụ nào
của mạng nội bộ?
Máy nào được quyền truy cập đặc biệt nào
đó, mà máy khác không có?
Các quy tắc trong Packet Filter
Các vấn đề cần quan tâm
Bộ luật được đặt tại interface nào?
Hướng của gói tin.
Địa chỉ IP
Số hiệu cổng (port)
Các giao thức tầng cao hơn.
Các quy tắc trong Packet Filter
Port, Socket và ACK bit
Địa chỉ IP đại diện cho một máy trong
phiên làm việc, port đại diện cho điểm đến
thực sự của giao tiếp, tức ứng dụng cụ thể.
Socket bao gồm một ip đi kèm với một
port.
Port nhỏ hơn 1023 được sử dụng cho các
ứng dụng phổ biến. Port lớn hơn 1023
được sử dụng cho host khi thực hiện kết
nối.
Các quy tắc trong Packet Filter
Port, Socket và ACK bit
Các quy tắc trong Packet Filter
Ví dụ về một tập quy tắc
Cho phép mạng nội bộ truy cập đến web
pages trên internet và miền DMZ
Internet có thể truy cập đến dịch vụ web
trên web server
Các dịch vụ khác không được phép truy cập
ra internet.
Các quy tắc trong Packet Filter
Ví dụ về một tập quy tắc
cho phép tất cả các kết nối từ bên ngoài vào
mạng bên trong với port đích > 1023
Các quy tắc trong Packet FilterVí dụ về một tập quy tắc
Sử dụng thêm thông tin về port nguồn:
• Sử dụng ACK flag
Các quy tắc trong Packet FilterCác yếu tố cần đảm bảo
Tính nhất quán: đảm bảo không có sự
mâu thuẫn giữa các quy tắc với nhau.
Tính trọn vẹn: đảm bảo tập quy tắc đã liệt
kê hết các trường hợp có thể xảy ra.
Tính súc tích: đảm bảo sự ngắn gọn và các
quy tắc không trùng lấp nhau.
Phân loại Packet Filter
Stateless Packet Filter (Standard Packet
Filter)
Stateful Packet Filter
Stateless Packet Filter
Là hình thức cơ bản nhất, được sử dụng
rộng rãi.
Xử lý các gói tin một cách độc lập với
nhau dựa vào thông tin trên header của
các giao thức.
Không lưu lại bất kì thông tin nào về gói
tin đã được xử lý.
Stateless Packet Filter
IP Address
TCP/UDP Port
Protocol Filter
Fragmentation
Stateless Packet Filter
IP Address Là thành phần cơ bản nhất.
Dựa vào địa chỉ IP nguồn và (hoặc) IP
đích để ra quyết định xử lý một gói tin.
Thông thường được thiết kế mặc định cấm
tất cả các gói tin, trừ những gói phù hợp
với quy tắc.
Stateless Packet Filter
TCP/UDP Port Sử dụng port nguồn và port đích để xử lý
một gói tin.
Thường được sử dụng để chỉ cho phép
một số ứng dụng cụ thể đi qua Packet
Filter, còn lại mặc định cấm.
Stateless Packet Filter
Protocol Field Kiểm tra nội dung của header để xác định
giao thức được dùng ở tầng kế trên, từ đó
cho phép gói tin đi qua hay không.
Một vài giao thức thường được kiểm tra:
-TCP
-UDP
-ICMP
-IGMP
Stateless Packet Filter
Fragmentation
Sự phân mảnh xảy ra khi một gói tin đi từ
mạng này qua mạng kia có đơn vị truyền tải tối
đa (MTU) nhỏ hơn kích thước của gói tin.
Các phân mảnh có thể được chia nhỏ ra nữa
nếu chúng phải đi qua những mạng có MTU
nhỏ hơn kích thước của phân mảnh.
Stateless Packet Filter
Fragmentation
-Fragment ID: nhận biết gói tin gốc
-Fragment offset: đánh dấu thứ tự
-Fragment length: độ dài phân mảnh
-More fragments flag: có phải mảnh cuối không
Stateless Packet Filter
Fragmentation
Stateless Packet Filter
Fragmentation
Packet Filter chỉ kiểm tra gói phân mảnh đầutiên (offset = 0).
Những phân mảnh còn lại được cho qua.
Attacker lợi dụng để “qua mặt” Packet Filter
• Tiny fragment attack
• Teardrop attack
• Overlapping fragment attack
Stateless Packet Filter
Fragmentation Giải pháp
-Thiết lập độ dài tối thiểu của fragment
đầu tiên sao cho đảm bảo đầy đủ thông tin
cần thiết để kiểm tra.
-Cấm tất cả các gói tin phân mảnh.
-Cấu hình buộc gói tin phải được ghép lại
hoàn chỉnh trước khi truyền.
Stateless Packet Filter
Ưu nhược điểm
Ưu điểm:
-Dễ thực hiện
Nhược điểm:
-Không kiểm tra được các thông tin ở tầng
ứng dụng.
-Mỗi gói tin đều phải được kiểm tra hết
ACL, có thể tạo nên một nút cổ chai trong
mạng.
Stateful Packet Filter
Cơ bản như Stateless Packet Filter, tuy
nhiên nó không thực thi trên từng gói tin
một cách độc lập với nhau, mà còn dựa
vào trạng thái kết nối tại tầng Session để
lọc các gói tin.
Thông tin về các kết nối được lưu tại bảng
trạng thái (state table).
Stateful Packet Filter
Khi nhận được một gói tin, Stateful Packet
Filter dò trong bảng trạng thái của mình:
-Nếu tồn tại entry có thông tin trùng khớp
với packet vừa nhận cho qua.
-Nếu không tìm thấy lọc dựa vào bộ quy
tắc. Nếu gói tin được cho phép, một entry
miêu tả connection mà packet này thuộc về
sẽ được ghi vào state table.
Stateful Packet Filter
Entry về kết nối trong state table bị xóa khi
kết nối bị ngắt.
Trong trường hợp có khởi tạo kết nối (gói
SYN được gởi đi) mà không được hồi đáp,
sau một khoảng thời gian nhất định, entry
cũng sẽ bị xóa khỏi state table. Thường
khoảng vài phút.
Stateful Packet Filter
IV . Proxy Server
Không có giao tiếp trực tiếp giữa client và server
Không có giao tiếp trực tiếp giữa client và server
Tiến trình Proxy
Lợi ích Proxy
Ẩn client
◦ Địa chỉ IP của client không bao giờ xuất hiện ra ngoài
Internet
Lọc nội dung
◦ Lọc những gì nhìn thấy
Truy nhập đơn điểm
◦ Một điểm duy nhất để truy nhập dữ liệu
Các vấn đề Proxy
Truy nhập đơn điểm thất bại
◦ Cần nhớ là phải bảo vệ proxy
Một proxy cho mỗi dịch vụ
◦ các proxy server vẫn còn cấu hình an toàn
Cấu hình mặc định
◦ dành thời gian để thực hiện các quy tắc và hạnchế
V. The Bastion Host
Bastion Host là một từ dùng để chỉ về một
máy được được bảo vệ nhiều nhất trong
hệ thống mạng, máy chủ này sử dụng mọi
tùy chọn về an ninh tối đa của hệ thống
mà nó có thể sử dụng
The Bastion Host
Thêm nữa các cấu hình sẽ di chuyển tất cả
các dịch vụ cũng như các chương trinh
không cần thiết cho máy chủ. Tất cả các
tài khoảng người dùng để được loại bỏ, và
cả những phần mềm quả lý máy chủ.
The Bastion Host
The Bastion Host
Đường đầu tiên được phòng thủ đó là
đường tới router, kết nối giữa mạng và
internet, được cấu hình thích hợp để lọc
gói tin. Tiếp theo việc lọc các gói tin trên
router sẽ là nơi đặt Bastion Host chạy máy
chủ proxy.
The Bastion Host
Các bước để cấu hình một Bastion host:
◦ Xóa bỏ các ứng dụng không dùng.
◦ Xóa bỏ các dịch vụ không dùng.
◦ Xóa bỏ các tài khoảng không dùng.
◦ Kích hoạt các chính sách.
The Bastion Host
Các kỹ thuật khác để tạo ra một Bastion
host:
◦ Cài đặt hệ điều hành từ đĩa trước.
◦ Loại bỏ các phần cứng ko dùng
◦ Sử dụng các phương pháp chứng thực mạnh
mẽ
◦ Thực thi các chương trình kiểm tra file để
tránh giả mạo
An Attack on the Bastion Host
Kể từ khi máy này cung cấp nhiều dich vụ
trên mạng nó trở thành mục tiêu tấn công.
Khi phát hiện được một nguy cơ, bạn phải
khám phá xa hơn để xác định được
nguyên nhân.
Nếu trên Bastion Host tồn tại một nguy cơ
bảo mật thì nó sẽ rất nguy hiểm nếu như
máy này tồn tại trong mình DMZ hay
trong mạng
An Attack on the Bastion Host
Cách khắc phục nếu bị tấn công là không
phục lại hệ thống từ tập tin back-up, nó
tồn tại một nguy cơ. Nếu không bạn có thể
nhận ra ngày của những nguy cơ xảy ra.
Phương pháp tốt nhất là cài lại tự đầu
Bastion Host, bắt đầu bằng việc format lại
đĩa. Nó tốn nhiều thời gian nhưng đó là
cách tốt nhất
VI . Honeypot
Honeypot là gì?
◦ Máy tính được thiết kế để thu hút kẻ tấn công
Vị trí Honeypot
Mục tiêu của Honeypot
Giữ chân hacker khỏi tấn công sang các thiết bị
khác
◦ hackers use all their energy getting into this system
Logging
Tăng khả năng phát hiện và ứng phó sự cố
Honeynets
Vấn đề pháp lý
Lừa đảo
Riêng tư