Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 1 HIENLTH
Computer Network Security
Lương Trần Hy Hiến
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 2 HIENLTH
Chương 3: Tường lửa
Presenter:
Lương Trần Hy Hiến
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 3 HIENLTH
Nội dung
3.1. Giới thiệu
3.2. Các kiểu tường lửa
3.3. Các thành phần
cơ bản của Rule
3.4. Các mô hình
3.5. DMZ
3.6. Tổng kết
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 4 HIENLTH
Network security topologies
`
`
`
`
`
ISP
Modem
Remote
Access
Server
Router
Server
Access
Point
PDALaptop
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 5 HIENLTH
Network security topologies
`
`
ISPModem
Firewall
web
Server
Access
Point
PDALaptop
`
VLA
N2
`
`
VLAN3
`
VLA
N4
IDS/IPS
Server
file
Server
DMZ
Inside
Outside
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 6 HIENLTH
Router / Switch
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 7 HIENLTH
3.1 Giới thiệu
• From Webopedia.com, a firewall is defined as “A system designed to prevent unauthorized access to or from a private network. Firewalls can be implemented in both hardware and software, or a combination of both. Firewalls are frequently used to prevent unauthorized Internet users from accessing private networks connected to the Internet, especially intranets. All messages entering or leaving the intranet pass through the firewall, which examines each message and blocks those that do not meet the specified security criteria.”
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 8 HIENLTH
3.1 Giới thiệu (tt)
• Tường lửa, cổng an ninh vòng ngoài (security-
edge gateway) là sự kết hợp giữa phần cứng và
phần mềm nhằm tăng cường an ninh, ngăn
chặn các truy nhập bất hợp pháp giữa hai mạng
có mức độ tin tưởng khác nhau. VD: Mạng công
cộng với mạng nội bộ, DMZ với mạng riêng,…
• Làm việc trên cơ sở tập luật mà quản trị mạng
cấu hình trước (cho phép hay cấm).
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 9 HIENLTH
3.1 Giới thiệu (tt)
• Chức năng: Chức năng chính của tườnglửa là điều khiển, kiểm soát truy nhập.
Kiểm soát dịch vụ (service control)
Kiểm soát hướng (direction control)
Kiểm soát người dùng (user control)
Kiểm soát hành vi (behaviour control)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 10 HIENLTH
Firewall
Một số loại firewall tốt có thể đảm bảo cho một hệ thống an ninh ?
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 11 HIENLTH
3.1 Giới thiệu (tt)
• Firewall có hai loại :
– Firewall cứng : Thiết bị mạng
• Checkpoint, Cisco ASA, Astaro, Cyberoam,…
– Firewall mềm : Ứng dụng bảo mật được cài trên máy tính
• ISA Server, IPCop, Smoothwall, Pfsense,…
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 12 HIENLTH
3.1 Giới thiệu (tt)
• Chính sách an ninh của tường lửa:
– Cấm thâm nhập bất hợp pháp từ bên ngoài
– Chỉ cho phép truy nhập từ các địa điểm ấn định, cho một số người dùng, thực hiện các hoạt động nhất định.
• Một trong những thách thức của tường lửa là xác định chính sách an ninh phù hợp với yêu cầu cài đặt nhưng vẫn đảm bảo an toàn hệ thống.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 13 HIENLTH
3.1 Giới thiệu (tt)
• Vị trí đặt tường lửa
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 14 HIENLTH
Firewall
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 15 HIENLTH
3.1 Giới thiệu (tt)
• Firewall phân thành các vùng (zones):
– Internal Zone (inside): là vùng tin cậy (trusted
zone), vùng này là nơi làm việc của Client.
– External Zone (outside): là vùng không tin cậy
(untrusted zone), vùng này là Internet.
– DMZ (De-Militerized Zone): vùng phi quân sự,
vùng này thông thường sẽ đặt những dịch vụ để
public ra Internet.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 16 HIENLTH
3.1 Giới thiệu (tt)
• Các nguyên tắc thiết kế tường lửa:
– Mạng được cô lập tốt, chống tấn công hiệu quả
– Dễ tinh chỉnh, gia cố, mở rộng các chức năng tường lửa
– Đảm bảo quyền hợp thức, truy nhập thông suốt
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 17 HIENLTH
Vai trò tường lửa
• Làm được
- Kiểm soát luồng dữ
liệu đi qua nó
- Bảo vệ các lớp bên
trong
- Cấm tất cả. Cấu hình
những gì cho qua
- Cho phép tất cả, cấu
hình những gì cấm
- Ghi nhận & báo cáo sự
kiện
• Không làm được
- Viruses
- Lỗi con người (vô tình,
cố ý)
- Kết nối hở
- Chính sách tồi
- Social Engineering
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 18 HIENLTH
Tầng hoạt động?
• Firewall hoạt động ở những lớp nào trong mô
hình OSI ???
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 19 HIENLTH
3.2 Các kiểu tường lửa
• Tùy đặc điểm hệ thống, yêu cầu sử dụng… tường lửa được cài đặt theo nhiều kiểu khác nhau
• Phân loại tường lửa (tương đối):
– Lọc gói cổng vào (gateway), bộ định tuyến kiểm tra (screening router)
– Thanh tra trạng thái (stateful inspection firewall)
– Ủy nhiệm ứng dụng (application proxies firewall)
– Canh phòng (guard firewall)
– Bảo vệ cá nhân (personal firewall)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 20 HIENLTH
a. Tường lửa lọc gói
• Dạng tường lửa cơ bản, giám sát các gói tin truy nhập mạng căn cứ vào các địa chỉ gửi-nhận, giao thức truyền (HTTP, Telnet…)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 21 HIENLTH
Nguyên tắc hoạt động
• Cho phép/ngăn cấm các gói tin qua địa chỉ IP, cổng (hợp pháp/bất
hợp pháp)
• Cho phép/ngăn cấm từng phần/toàn bộ các giao thức truyền
(HTTP, Telnet…)
• Cho phép/ngăn cấm từng
phần/toàn bộ các dịch vụ
nhất định
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 22 HIENLTH
Nguyên tắc hoạt động
• Thông tin Header gói tin cần kiểm tra:
– Địa chỉ IP nơi xuất phát ( IP Source address)
– Địa chỉ IP nơi nhận (IP Destination address)
– Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
– Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
– Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
– Giao diện Packet đến (Incomming interface of Packet)
– Giao diện Packet đi (Outgoing interface of Packet)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 23 HIENLTH
Tường Lửa lọc gói - packet filter
• Ưu điểm :
– Tất cả firewall đều có thành phần này.
– Tốc độ xử lý tương đối nhanh, vì chỉ thao tác trên
Header của gói tin và cụ thể là IP, Port.
• Hạn chế :
– Không kiểm soát được nội dung gói tin.
– Khi yêu cầu lọc càng lớn thì bộ luật trở nên dài
dòng, phức tạp.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 24 HIENLTH
The Role of the Rules File
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 25 HIENLTH
Screening Router
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 26 HIENLTH
b. Tường lửa thanh tra trạng thái
• Stateful Packet Filter Firewalls
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 27 HIENLTH
b. Tường lửa thanh tra trạng thái
• Kiểm tra trạng thái thông tin, thanh tra tính hợp lệ của các gói tin
• Các gói tin bất thường tiềm ẩn tấn công:
– Thiếu địa chỉ gửi (tấn công nặc danh)
– Quá ngắn, quá nhiều (tấn công gây nhiễu)
– Trùng lắp, trống rỗng (tấn công dội lũ)…
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 28 HIENLTH
b. Tường lửa thanh tra trạng thái
• Lưu lại dấu kết nối giữa các host, network
– Lưu vết trạng thái kết nối vào file “state table”
– Cho phép gói dữ liệu từ Internet đi qua chỉ khi nào có host nội bộ đã gửi yêu cầu trước đó.
28
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 29 HIENLTH29
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 30 HIENLTH
c. Tường lửa ủy nhiệm ứng dụng
• Còn được gọi Application-Proxy Gateways.
• Thông thường, các gói tin chỉ được kiểm tra header, phần dữ liệu ít được quan tâm
• Phần lớn các ứng dụng phức tạp thường có lỗi, sẽ rất nguy hiểm nếu cài đặt cho các user đặc quyền
• Bastion host là loại tường lửa tạo ứng dụng giả, mô phỏng các tác động của ứng dụng khi đáp ứng yêu cầu từ user
• Hoạt động ở tầng ứng dụng của mô hình OSI, proxy có nhiệm vụ kiểm tra các gói tin liên lạc mạng ở mức dữ liệu
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 31 HIENLTH
c. Tường lửa ủy nhiệm ứng dụng
• Có khả năng xác thực :
– UserID và Password
– Hardware hoặc Software Token
– Source Address
– Biometric
• Những ưu điểm :
– Extensive Logging Capabilities
– Enforcement of Authentication
– Less Susceptible to TCP/IP Vulnerabilities
– Có khả năng tạo rule ngăn cản gói tin đã mã hóa
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 32 HIENLTH
d. Tường lửa canh phòng
• Pha trộn nhiều kỹ thuật khác nhau, nguyên tắc hoạt động của guard firewall là:
– Tiếp nhận, phân tích các đơn thể giao thức dữ liệu
– Đồng dạng các đơn thể giao thức dữ liệu, chuyển giao (dữ liệu + giao thức) cho các dịch vụ hệ thống
• Căn cứ vào quyền hạn, sự ủy nhiệm người dùng, guard firewall quyết định dịch vụ nào sẽ tiếp nhận và xử lý dữ liệu
• Không có ranh giới rõ ràng giữa guard và proxy
• Có thể cấu hình proxy hoạt động như guard firewall
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 33 HIENLTH
e. Tường lửa cá nhân
• Trang bị cho người dùng lẻ hệ tường lửa đơn giản bảo vệ truy nhập mạng với chi phí thấp
• Độc lập với tường lửa hệ thống mạng, tường lửa cá nhân là ứng dụng chạy ở máy trạm che chắn các luồng tin nguy hiểm đến từ mạng như virus, worm, trojan horse, ActiveX, Java applet…
• Sử dụng kết hợp phần mềm quét virus và tường lửa cá nhân là phương án hiệu quả thiết thực
• Các tường lửa cá nhân phổ biến: Norton Personal Firewall, McAfee Personal Firewall, Zone Alarm…
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 34 HIENLTH
Ví dụ cấu hình firewall
• Hệ thống sử dụng bộ định tuyến kiểm tra đặt giữa mạng LAN và liên kết mạng ngoài
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 35 HIENLTH
Phương án đề xuất
• Sử dụng proxy firewall bảo vệ mạng LAN
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 36 HIENLTH
Giải pháp tăng cường
• Bổ sung bộ định tuyến kiểm tra giữa LAN và proxy gateway
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 37 HIENLTH
3.3 Các thành phần cơ bản của Rule
• Rule là chính sách mà Firewall sử dụng để kiểm tra gói tin đi qua nó.
• Các thành phần cơ bản của Rule là : – Source Address
– Destination Address
– Protocol
– Source Port
– Destination Port
– User
– Schedule
– Action
– …..
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 38 HIENLTH
– Source Address : địa chỉ nguồn
• Any
• Zone : Internal Zone, External Zone,..
• Range IP : 192.168.1.10/24 – 192.168.1.100/24
• IP : 192.168.1.200/24
• ….
– Destination Address : địa chỉ đích
• Any
• Zone : Internal Zone, External Zone,..
• Range IP : 192.168.1.10/24 – 192.168.1.100/24
• IP : 192.168.1.200/24
• ….
3.3 Các thành phần cơ bản của Rule
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 39 HIENLTH
– Protocol : giao thức• TCP, UDP, ICMP,…
– Source Port : port nguồn• HTTP : 80
• FTP : 21
• SMTP : 25
• POP3 : 110
• …
– Destination Port : port đích• Remote Desktop : 3389
• DNS : 53
• SSH : 22
• …
3.3 Các thành phần cơ bản của Rule
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 40 HIENLTH
– User
• All User
• Chỉ định User hoặc Group
– Schedule
• Chỉ định thời gian mà Rule sẽ có hiệu lực
– Action
• Accept : chấp nhận
• Deny : không chấp nhận và gởi thông báo lỗi
• Discard : không chấp nhận
3.3 Các thành phần cơ bản của Rule
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 41 HIENLTH
3.3 Các thành phần cơ bản của Rule
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 42 HIENLTH
3.4 Các mô hình
• Windows Firewall
• Linux Firewall
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 43 HIENLTH
Windows Firewall
• Hệ tường lửa cá nhân do Microsoft thiết kế cho máy sử dụng hệ điều hành Windows
• Các yêu cầu liên lạc từ bên ngoài vào mạng sẽ bị Windows Firewall (WF) ngăn chặn
• Khi các ứng dụng mạng yêu cầu thực thi (popup, messenger, multi-player network game, ActiveX, Java applet…), WF sẽ chất vấn user để có quyết định xử lý thích ứng
• Nếu user từ chối, WF sẽ khóa các yêu cầu tương tự cho các phiên làm việc tiếp theo
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 44 HIENLTH
Sử dụng Windows Firewall
• Để gia tăng độ linh hoạt, Windows cho phép user cấu hình các tính năng WF theo tùy chọn
• Thiết lập tùy chọn bừa, trả lời hù họa sẽ làm WF mất tác dụng, bởi vì:
– WF chỉ giúp ngăn chận mà không diệt virus, user cần sử dụng anti-virus
– WF chỉ giúp ngăn chận mà không cô lập nguồn phát tán thư rác, user cần xác nhận địa chỉ người gửi
– WF chỉ giúp ngăn chận mà không vô hiệu popup, user cần xác nhận tình trạng hợp pháp của app. kích hoạt chúng…
Một số ứng dụng xấu có khả năng tinh chỉnh cấu hình WF mà user không hay biết
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 45 HIENLTH
Bạn set deny ICMP vàHTTP trên firewall đốivới Webserver.
Hỏi:
1. Những host nào cóthể ping đếnWebserver
2. Làm thế nào để tấtcả các host khôngđược ping đếnWebserver
Bài tập
Host B
WEBSERVERS
Host A
FIREWALL
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 46 HIENLTH
Linux Firewall
• Thực hiện chức năng Packet filter (lọc theo thông tin trong header).
• Sử dụng iptables (http://www.iptables.org)
– Là giao diện của netfilter.
– Cú pháp chung: iptables <mô tả>
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 47 HIENLTH
Một số rule (IpTables)
Tùy chọn: Mô tả:
-A Nối thêm
-D Xoá
-I Chèn
-R Thay thế
-L Liệt kê
-F Xoá mọi rule trong một chain hoặc
trong mọi chain
-Z Đặt counter về không cho một chain
hoặc mọi chain
-C Kiểm tra packet này trên chain
-N Tạo chain riêng
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 48 HIENLTH
Một số rule (IpTables)
Tùy chọn: Mô tả:
-X Xoá chain tự tạo
-P Thay đổi chính sách của chain
-E Đổi tên chain
-p Giao thức
-s Địa chỉ/mặt nạ nguồn
-d Địa chỉ/mặt nạ đích
-i Tên input (tên Ethernet)
-o Tên Output (tên Ethernet)
-j Nhảy (đích của quy tắc)
-m So khớp mở rộng (có thể dùng phần mở rộng)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 49 HIENLTH
Một số rule (IpTables)
Tùy chọn: Mô tả:
-n Địa chỉ và cổng output dạng số
-t Bảng cần xử lý
-v Chế độ Verbose
-x Số mở rộng (hiển thị chính xác giá
trị)
-f Chỉ so khớp gói thứ hai hoặc sau
đó
-V Phiên bản Packet
--line-numbers In số dòng khi liệt kê
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 50 HIENLTH
3.5 DMZ
• Mạng trung gian, nằm giữa mạng công cộng và mạng riêng.
• Các dịch vụ được truy xuất cả từ bên ngoài mạng công cộng lẫn phía trong được đặt tại khu vực này.
– Web Server
– Mail Server
– FTP Server
– VoIP Server
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 51 HIENLTH
3.5 DMZ (tt)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 52 HIENLTH
3.5 DMZ (tt)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 53 HIENLTH
Bastion host
• Là máy tính được thiết kế để chịu các cuộc tấn công từ bên ngoài.
• Được cài đặt các dịch vụ với quyền và tài nguyên tối thiểu.
• Đặt phía ngoài tường lửa hoặc trong vùng DMZ.
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 54 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 55 HIENLTH
Bài tập
• So sánh tường lửa của các hãng nổi tiếng Check Point, NetScreen và Cisco.
• Tìm hiểu Dual-Homed Host/Screened Host
DMZ Screened Subnet
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 56 HIENLTH
3.6 Tổng kết
• Firewall là gì ?
• Firewall làm được gì ?
• So sánh các loại Firewall ?
• Các thành phần cơ bản của RULE ?
• Các mô hình thông dụng của Firewall?
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 57 HIENLTH
Tham khảo
• Nội dung “Firewall”, chương 5, Bài giảng An ninh Mạng, Trương Minh Nhật Quang, ĐH CNTT.
• Bài giảng Firewall, Nguyễn Phan Anh, ĐH KHTN.
• Bài giảng An ninh Mạng, Võ Văn Khang (soạn khi dạy ở Đại học CNTT)
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 58 HIENLTH
Q & A
COMP1049 - Bảo mật và An ninh Mạng – Network Security C3 - 59 HIENLTH
THE END