COMP1049 - Bảo mật và An ninh Mạng Network Security C3-1 HIENLTH Computer Network Security Lương Trần Hy Hiến
Chương 3: Tường lửa Presenter: Lương Trần Hy Hiến hienlth@hcmup.edu.vn COMP1049 - Bảo mật và An ninh Mạng Network Security C3-2 HIENLTH
Nội dung 3.1. Giới thiệu 3.2. Các kiểu tường lửa 3.3. Các thành phần cơ bản của Rule 3.4. Các mô hình 3.5. DMZ 3.6. Tổng kết COMP1049 - Bảo mật và An ninh Mạng Network Security C3-3 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-4 HIENLTH Network security topologies ` Server ` Router Modem ISP ` ` Access Point Remote Access Server Laptop PDA `
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-5 HIENLTH Network security topologies IDS/IPS ` ` Inside ` ` VLAN3 VLAN2 Firewall Modem ISP Outside VLAN4 ` ` Access Point DMZ Laptop PDA file Server web Server mail Server
Router / Switch COMP1049 - Bảo mật và An ninh Mạng Network Security C3-6 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-7 HIENLTH 3.1 Giới thiệu From Webopedia.com, a firewall is defined as A system designed to prevent unauthorized access to or from a private network. Firewalls can be implemented in both hardware and software, or a combination of both. Firewalls are frequently used to prevent unauthorized Internet users from accessing private networks connected to the Internet, especially intranets. All messages entering or leaving the intranet pass through the firewall, which examines each message and blocks those that do not meet the specified security criteria.
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-8 HIENLTH 3.1 Giới thiệu (tt) Tường lửa, cổng an ninh vòng ngoài (securityedge gateway) là sự kết hợp giữa phần cứng và phần mềm nhằm tăng cường an ninh, ngăn chặn các truy nhập bất hợp pháp giữa hai mạng có mức độ tin tưởng khác nhau. VD: Mạng công cộng với mạng nội bộ, DMZ với mạng riêng, Làm việc trên cơ sở tập luật mà quản trị mạng cấu hình trước (cho phép hay cấm).
3.1 Giới thiệu (tt) Chức năng: Chức năng chính của tường lửa là điều khiển, kiểm soát truy nhập. Kiểm soát dịch vụ (service control) Kiểm soát hướng (direction control) Kiểm soát người dùng (user control) Kiểm soát hành vi (behaviour control) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-9 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-10 HIENLTH Firewall Một số loại firewall tốt có thể đảm bảo cho một hệ thống an ninh?
3.1 Giới thiệu (tt) Firewall có hai loại : Firewall cứng : Thiết bị mạng Checkpoint, Cisco ASA, Astaro, Cyberoam, Firewall mềm : Ứng dụng bảo mật được cài trên máy tính ISA Server, IPCop, Smoothwall, Pfsense, COMP1049 - Bảo mật và An ninh Mạng Network Security C3-11 HIENLTH
3.1 Giới thiệu (tt) Chính sách an ninh của tường lửa: Cấm thâm nhập bất hợp pháp từ bên ngoài Chỉ cho phép truy nhập từ các địa điểm ấn định, cho một số người dùng, thực hiện các hoạt động nhất định. Một trong những thách thức của tường lửa là xác định chính sách an ninh phù hợp với yêu cầu cài đặt nhưng vẫn đảm bảo an toàn hệ thống. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-12 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-13 HIENLTH 3.1 Giới thiệu (tt) Vị trí đặt tường lửa
Firewall COMP1049 - Bảo mật và An ninh Mạng Network Security C3-14 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-15 HIENLTH 3.1 Giới thiệu (tt) Firewall phân thành các vùng (zones): Internal Zone (inside): là vùng tin cậy (trusted zone), vùng này là nơi làm việc của Client. External Zone (outside): là vùng không tin cậy (untrusted zone), vùng này là Internet. DMZ (De-Militerized Zone): vùng phi quân sự, vùng này thông thường sẽ đặt những dịch vụ để public ra Internet.
3.1 Giới thiệu (tt) Các nguyên tắc thiết kế tường lửa: Mạng được cô lập tốt, chống tấn công hiệu quả Dễ tinh chỉnh, gia cố, mở rộng các chức năng tường lửa Đảm bảo quyền hợp thức, truy nhập thông suốt COMP1049 - Bảo mật và An ninh Mạng Network Security C3-16 HIENLTH
Vai trò tường lửa Làm được - Kiểm soát luồng dữ liệu đi qua nó - Bảo vệ các lớp bên trong - Cấm tất cả. Cấu hình những gì cho qua - Cho phép tất cả, cấu hình những gì cấm - Ghi nhận & báo cáo sự kiện Không làm được - Viruses - Lỗi con người (vô tình, cố ý) - Kết nối hở - Chính sách tồi - Social Engineering COMP1049 - Bảo mật và An ninh Mạng Network Security C3-17 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-18 HIENLTH Tầng hoạt động? Firewall hoạt động ở những lớp nào trong mô hình OSI???
3.2 Các kiểu tường lửa Tùy đặc điểm hệ thống, yêu cầu sử dụng tường lửa được cài đặt theo nhiều kiểu khác nhau Phân loại tường lửa (tương đối): Lọc gói cổng vào (gateway), bộ định tuyến kiểm tra (screening router) Thanh tra trạng thái (stateful inspection firewall) Ủy nhiệm ứng dụng (application proxies firewall) Canh phòng (guard firewall) Bảo vệ cá nhân (personal firewall) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-19 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-20 HIENLTH a. Tường lửa lọc gói Dạng tường lửa cơ bản, giám sát các gói tin truy nhập mạng căn cứ vào các địa chỉ gửi-nhận, giao thức truyền (HTTP, Telnet )
Nguyên tắc hoạt động Cho phép/ngăn cấm các gói tin qua địa chỉ IP, cổng (hợp pháp/bất hợp pháp) Cho phép/ngăn cấm từng phần/toàn bộ các giao thức truyền (HTTP, Telnet ) Cho phép/ngăn cấm từng phần/toàn bộ các dịch vụ nhất định COMP1049 - Bảo mật và An ninh Mạng Network Security C3-21 HIENLTH
Nguyên tắc hoạt động Thông tin Header gói tin cần kiểm tra: Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Giao diện Packet đến (Incomming interface of Packet) Giao diện Packet đi (Outgoing interface of Packet) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-22 HIENLTH
Tường Lửa lọc gói - packet filter Ưu điểm : Tất cả firewall đều có thành phần này. Tốc độ xử lý tương đối nhanh, vì chỉ thao tác trên Header của gói tin và cụ thể là IP, Port. Hạn chế : Không kiểm soát được nội dung gói tin. Khi yêu cầu lọc càng lớn thì bộ luật trở nên dài dòng, phức tạp. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-23 HIENLTH
The Role of the Rules File COMP1049 - Bảo mật và An ninh Mạng Network Security C3-24 HIENLTH
Screening Router COMP1049 - Bảo mật và An ninh Mạng Network Security C3-25 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-26 HIENLTH b. Tường lửa thanh tra trạng thái Stateful Packet Filter Firewalls
b. Tường lửa thanh tra trạng thái Kiểm tra trạng thái thông tin, thanh tra tính hợp lệ của các gói tin Các gói tin bất thường tiềm ẩn tấn công: Thiếu địa chỉ gửi (tấn công nặc danh) Quá ngắn, quá nhiều (tấn công gây nhiễu) Trùng lắp, trống rỗng (tấn công dội lũ) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-27 HIENLTH
b. Tường lửa thanh tra trạng thái Lưu lại dấu kết nối giữa các host, network Lưu vết trạng thái kết nối vào file state table Cho phép gói dữ liệu từ Internet đi qua chỉ khi nào có host nội bộ đã gửi yêu cầu trước đó. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-28 HIENLTH 28
29 COMP1049 - Bảo mật và An ninh Mạng Network Security C3-29 HIENLTH
c. Tường lửa ủy nhiệm ứng dụng Còn được gọi Application-Proxy Gateways. Thông thường, các gói tin chỉ được kiểm tra header, phần dữ liệu ít được quan tâm Phần lớn các ứng dụng phức tạp thường có lỗi, sẽ rất nguy hiểm nếu cài đặt cho các user đặc quyền Bastion host là loại tường lửa tạo ứng dụng giả, mô phỏng các tác động của ứng dụng khi đáp ứng yêu cầu từ user Hoạt động ở tầng ứng dụng của mô hình OSI, proxy có nhiệm vụ kiểm tra các gói tin liên lạc mạng ở mức dữ liệu COMP1049 - Bảo mật và An ninh Mạng Network Security C3-30 HIENLTH
c. Tường lửa ủy nhiệm ứng dụng Có khả năng xác thực : UserID và Password Hardware hoặc Software Token Source Address Biometric Những ưu điểm : Extensive Logging Capabilities Enforcement of Authentication Less Susceptible to TCP/IP Vulnerabilities Có khả năng tạo rule ngăn cản gói tin đã mã hóa COMP1049 - Bảo mật và An ninh Mạng Network Security C3-31 HIENLTH
d. Tường lửa canh phòng Pha trộn nhiều kỹ thuật khác nhau, nguyên tắc hoạt động của guard firewall là: Tiếp nhận, phân tích các đơn thể giao thức dữ liệu Đồng dạng các đơn thể giao thức dữ liệu, chuyển giao (dữ liệu + giao thức) cho các dịch vụ hệ thống Căn cứ vào quyền hạn, sự ủy nhiệm người dùng, guard firewall quyết định dịch vụ nào sẽ tiếp nhận và xử lý dữ liệu Không có ranh giới rõ ràng giữa guard và proxy Có thể cấu hình proxy hoạt động như guard firewall COMP1049 - Bảo mật và An ninh Mạng Network Security C3-32 HIENLTH
e. Tường lửa cá nhân Trang bị cho người dùng lẻ hệ tường lửa đơn giản bảo vệ truy nhập mạng với chi phí thấp Độc lập với tường lửa hệ thống mạng, tường lửa cá nhân là ứng dụng chạy ở máy trạm che chắn các luồng tin nguy hiểm đến từ mạng như virus, worm, trojan horse, ActiveX, Java applet Sử dụng kết hợp phần mềm quét virus và tường lửa cá nhân là phương án hiệu quả thiết thực Các tường lửa cá nhân phổ biến: Norton Personal Firewall, McAfee Personal Firewall, Zone Alarm COMP1049 - Bảo mật và An ninh Mạng Network Security C3-33 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-34 HIENLTH Ví dụ cấu hình firewall Hệ thống sử dụng bộ định tuyến kiểm tra đặt giữa mạng LAN và liên kết mạng ngoài
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-35 HIENLTH Phương án đề xuất Sử dụng proxy firewall bảo vệ mạng LAN
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-36 HIENLTH Giải pháp tăng cường Bổ sung bộ định tuyến kiểm tra giữa LAN và proxy gateway
3.3 Các thành phần cơ bản của Rule Rule là chính sách mà Firewall sử dụng để kiểm tra gói tin đi qua nó. Các thành phần cơ bản của Rule là : Source Address Destination Address Protocol Source Port Destination Port User Schedule Action.. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-37 HIENLTH
3.3 Các thành phần cơ bản của Rule Source Address : địa chỉ nguồn Any Zone : Internal Zone, External Zone,.. Range IP : 192.168.1.10/24 192.168.1.100/24 IP : 192.168.1.200/24. Destination Address : địa chỉ đích Any Zone : Internal Zone, External Zone,.. Range IP : 192.168.1.10/24 192.168.1.100/24 IP : 192.168.1.200/24. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-38 HIENLTH
3.3 Các thành phần cơ bản của Rule Protocol : giao thức TCP, UDP, ICMP, Source Port : port nguồn HTTP : 80 FTP : 21 SMTP : 25 POP3 : 110 Destination Port : port đích Remote Desktop : 3389 DNS : 53 SSH : 22 COMP1049 - Bảo mật và An ninh Mạng Network Security C3-39 HIENLTH
3.3 Các thành phần cơ bản của Rule User All User Chỉ định User hoặc Group Schedule Chỉ định thời gian mà Rule sẽ có hiệu lực Action Accept : chấp nhận Deny : không chấp nhận và gởi thông báo lỗi Discard : không chấp nhận COMP1049 - Bảo mật và An ninh Mạng Network Security C3-40 HIENLTH
3.3 Các thành phần cơ bản của Rule COMP1049 - Bảo mật và An ninh Mạng Network Security C3-41 HIENLTH
3.4 Các mô hình Windows Firewall Linux Firewall COMP1049 - Bảo mật và An ninh Mạng Network Security C3-42 HIENLTH
Windows Firewall Hệ tường lửa cá nhân do Microsoft thiết kế cho máy sử dụng hệ điều hành Windows Các yêu cầu liên lạc từ bên ngoài vào mạng sẽ bị Windows Firewall (WF) ngăn chặn Khi các ứng dụng mạng yêu cầu thực thi (popup, messenger, multi-player network game, ActiveX, Java applet ), WF sẽ chất vấn user để có quyết định xử lý thích ứng Nếu user từ chối, WF sẽ khóa các yêu cầu tương tự cho các phiên làm việc tiếp theo COMP1049 - Bảo mật và An ninh Mạng Network Security C3-43 HIENLTH
Sử dụng Windows Firewall Để gia tăng độ linh hoạt, Windows cho phép user cấu hình các tính năng WF theo tùy chọn Thiết lập tùy chọn bừa, trả lời hù họa sẽ làm WF mất tác dụng, bởi vì: WF chỉ giúp ngăn chận mà không diệt virus, user cần sử dụng anti-virus WF chỉ giúp ngăn chận mà không cô lập nguồn phát tán thư rác, user cần xác nhận địa chỉ người gửi WF chỉ giúp ngăn chận mà không vô hiệu popup, user cần xác nhận tình trạng hợp pháp của app. kích hoạt chúng Một số ứng dụng xấu có khả năng tinh chỉnh cấu hình WF mà user không hay biết COMP1049 - Bảo mật và An ninh Mạng Network Security C3-44 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-45 HIENLTH Bài tập Bạn set deny ICMP và HTTP trên firewall đối với Webserver. Hỏi: 1. Những host nào có thể ping đến Webserver 2. Làm thế nào để tất cả các host không được ping đến Webserver Host A FIREWALL Host B WEBSERVERS
Linux Firewall Thực hiện chức năng Packet filter (lọc theo thông tin trong header). Sử dụng iptables (http://www.iptables.org) Là giao diện của netfilter. Cú pháp chung: iptables <mô tả> COMP1049 - Bảo mật và An ninh Mạng Network Security C3-46 HIENLTH
Một số rule (IpTables) Tùy chọn: Mô tả: -A Nối thêm -D Xoá -I Chèn -R Thay thế -L Liệt kê -F Xoá mọi rule trong một chain hoặc trong mọi chain -Z Đặt counter về không cho một chain hoặc mọi chain -C Kiểm tra packet này trên chain -N Tạo chain riêng COMP1049 - Bảo mật và An ninh Mạng Network Security C3-47 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-48 HIENLTH Một số rule (IpTables) Tùy chọn: Mô tả: -X Xoá chain tự tạo -P Thay đổi chính sách của chain -E Đổi tên chain -p Giao thức -s Địa chỉ/mặt nạ nguồn -d Địa chỉ/mặt nạ đích -i Tên input (tên Ethernet) -o Tên Output (tên Ethernet) -j Nhảy (đích của quy tắc) -m So khớp mở rộng (có thể dùng phần mở rộng)
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-49 HIENLTH Một số rule (IpTables) Tùy chọn: Mô tả: -n Địa chỉ và cổng output dạng số -t Bảng cần xử lý -v Chế độ Verbose -x Số mở rộng (hiển thị chính xác giá trị) -f Chỉ so khớp gói thứ hai hoặc sau đó -V Phiên bản Packet --line-numbers In số dòng khi liệt kê
3.5 DMZ Mạng trung gian, nằm giữa mạng công cộng và mạng riêng. Các dịch vụ được truy xuất cả từ bên ngoài mạng công cộng lẫn phía trong được đặt tại khu vực này. Web Server Mail Server FTP Server VoIP Server COMP1049 - Bảo mật và An ninh Mạng Network Security C3-50 HIENLTH
3.5 DMZ (tt) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-51 HIENLTH
3.5 DMZ (tt) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-52 HIENLTH
Bastion host Là máy tính được thiết kế để chịu các cuộc tấn công từ bên ngoài. Được cài đặt các dịch vụ với quyền và tài nguyên tối thiểu. Đặt phía ngoài tường lửa hoặc trong vùng DMZ. COMP1049 - Bảo mật và An ninh Mạng Network Security C3-53 HIENLTH
COMP1049 - Bảo mật và An ninh Mạng Network Security C3-54 HIENLTH
Bài tập So sánh tường lửa của các hãng nổi tiếng Check Point, NetScreen và Cisco. Tìm hiểu Dual-Homed Host/Screened Host DMZ Screened Subnet COMP1049 - Bảo mật và An ninh Mạng Network Security C3-55 HIENLTH
3.6 Tổng kết Firewall là gì? Firewall làm được gì? So sánh các loại Firewall? Các thành phần cơ bản của RULE? Các mô hình thông dụng của Firewall? COMP1049 - Bảo mật và An ninh Mạng Network Security C3-56 HIENLTH
Tham khảo Nội dung Firewall, chương 5, Bài giảng An ninh Mạng, Trương Minh Nhật Quang, ĐH CNTT. Bài giảng Firewall, Nguyễn Phan Anh, ĐH KHTN. Bài giảng An ninh Mạng, Võ Văn Khang (soạn khi dạy ở Đại học CNTT) COMP1049 - Bảo mật và An ninh Mạng Network Security C3-57 HIENLTH
Q & A COMP1049 - Bảo mật và An ninh Mạng Network Security C3-58 HIENLTH
THE END COMP1049 - Bảo mật và An ninh Mạng Network Security C3-59 HIENLTH