1. Các khái niệm về firewall
1.1 Định nghĩa firewall
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức, doanh nghiệp. Cũng có thể hiểu firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network).
Mô hình firewall cơ bản
1.2 Những chức năng chính của firewall
Về cơ bản firewall có khả năng thực hiện các nhiệm vụ sau đây:
ü Quản lý và điều khiển luồng dữ liệu trên mạng.
ü Xác thực quyền truy cập
ü Hoạt động như một thiết bị trung gian
ü Bảo vệ tài nguyên
ü Ghi nhận và báo cáo các sự kiện
1.2.1 Quản lý và kiểm soát luồng dữ liệu trên mạng
Việc đầu tiên và cơ bản nhất mà tất cả các firewall đều có là quản lý và kiểm soát luồn dữ liệu trên mạng, firewall kiểm tra các gói tin và giám sát các kết nối đang thực hiện và sau đó lọc các kết nối dựa trên kết quả kiểm tra gói tin và các kết nối được giám sát.
- Packet inspection (kiểm tra gói tin) là quá trình chặn và xử lý dữ liệu trong một gói tin để xác định xem nó được phép hay không được phép đi qua firewall. Kiểm tra gói tin có thể dựa vào các thông tin sau:
ü Địa chỉ IP nguồn
ü Port nguồn.
ü Địa chỉ IP đích
ü Port đích
ü Giao thức IP
ü Thông tin trong header (sequence numbers, checksums, data flags, payload information…)
- Connections và state: Khi hai TCP/IP host muốn giao tiếp với nhau, chúng cần thiêt lập một số kết nối với nhau. Các kết nối phục vụ hai mục đích. Thứ nhất, nó dùng để xác thực bản thân các host với nhau. Friewall dùng các thông tin kết nối này để xác định kết nối nào được phép và các kết nối nào không được phép.Thứ hai, các kết nối dùng để xác định cách thức mà hai host sẽ liên lạc với nhau (dùng TCP hay dùng UDP…).
- Stateful Packet Inspection (giám sát gói tin theo trạng thái): Statefull packet inspection không những kiểm tra gói tin bao gồm cấu trúc, dữ liệu gói tin … mà kiểm tra cả trạng thái gói tin.
1.2.2 Xác thực quyền truy cập
Firewall có thể xác thực quyền truy cập bằng nhiều cơ cấu xác thực khác nhau. Thứ nhất, firewall có thể yêu cầu username và password của người dùng khi người dùng truy cập (thường được biết đến như là extended authentication hoặc xauth). Sau khi firewall xác thực xong người dùng, firewall cho phép người dùng thiết lập kết nối và sau đó không hỏi username và password lại cho các lần truy cập sau (thời gian firewall hỏi lại username và password phụ thuộc vào cách cấu hình của người quản trị). Thứ hai, firewall có thể xác thực người dùng bằng certificates và public key. Thứ ba, firewall có thể dùng pre-shared keys (PSKs) để xác thực người dùng.
1.2.3 Hoạt động như một thiết bị trung gian
Khi user thực hiện kết nối trực tiếp ra bên ngoài sẽ đối mặt với vô số nguy cơ về bảo mật như bị virus tấn công, nhiễm mã độc hại… do đó việc có một thiết bị trung gian đứng ra thay mặt user bên trong để thực hiện kết nối ra bên ngoài là cần thiết để đảm bảo an toàn. Firewall được cấu hình để thực hiện chức năng này và firewall được ví như một proxy trung gian.
1.2.4 Bảo vệ tài nguyên
Nhiệm vụ quan trọng nhất của một firewall là bảo vệ tài nguyên khỏi các mối đe dọa bảo mật. Việc bảo vệ này được thực hiện bằng cách sử dụng các quy tắc kiểm soát truy cập, kiểm tra trạng thái gói tin, dùng application proxies hoặc kết hợp tất cả để bảo vệ tài nguyên khỏi bị truy cập bất hợp pháp hay bị lạm dụng. Tuy nhiên, firewall không phải là một giải pháp toàn diện để bảo vệ tài nguyên của chúng ta.
1.2.5 Ghi nhận và báo cáo các sự kiện
Ta có thể ghi nhận các sự kiện của firewall bằng nhiều cách nhưng hầu hết các firewall sử dụng hai phương pháp chính là syslog và proprietaty logging format. Bằng cách sử dụng một trong hai phương pháp này, chúng ta có thể dễ dàng báo cáo các sự kiện xẩy ra trong hệ thống mạng.
1.3 Những hạn chế của firewall
Tuy firewall có những ưu điểm nổi trội nhưng vẫn tồn tại những hạn chế khiến firewall không thể bảo vệ hệ thống an toàn một cách tuyệt đối. Một số hạn chế của firewall có thể kể ra như sau:
- Firewall không thể bảo vệ chống lại các cuộc tấn công bỏ qua tường lửa. Ví dụ như một hệ thống bên trong có khả năng dial-out kết nối với một ISP hoặc mạng LAN bên trong có thể cung cấp một modem pool có khả năng dial-in cho các nhân viên di động hay các kiểu tấn công dạng social engineering nhắm đếm đối tượng là các người dùng trong mạng.
- Firewall không bảo vệ chống lại các đe dọa từ bên trong nội bộ ví dụ như một nhân viên cố ý hoặc một nhân viên vô tình hợp tác với kẻ tấn công bên ngoài.
- Firewall không thể bảo vệ chống lại việc chuyển giao giữa các chương trình bị nhiễm virus hoặc các tâp tin. Bởi vì sự đa dạng của các hệ điều hành và các ứng dụng được hỗ trợ từ bên trong nội bộ. Sẽ không thực thế và có lẽ là không thể cho các firewall quét các tập tin gởi đến, email… nhằm phát hiện virus.
2. Phân loại firewall
Firewall có thể được phân loại theo hai loại sau:
- Personal firewall
- Network firewall
Sự khác biệt chính giữa hai loại trên chính là số lượng host được firewall bảo vệ. Trong khi Personal firewall chỉ bảo vệ cho một máy duy nhất thì Network firewall lại bảo vệ cho một hệ thống mạng, trong Network firewall nó lại được chia thành các nhóm chính như sau:
- Packet-filtering firewalls (stateful và nonstateful)
- Circuit-level gateways
- Application-level gateways.
Hình dưới đây sẽ mô tả các kiểu firewall chính hiện có trong hai loại personal firewall và network firewall
2.1 Personal Firewalls
Personal firewalls được thiết kế để bảo vệ một máy trước những truy cập trái phép. Trong quá trình phát triển, personal firewall đã được tích hợp thêm nhiều chức năng bổ sung như theo dõi phần mềm chống virus, phần mềm phát hiện xâm nhập để bảo vệ thiết bị. Một số personal firewalls phổ biến như Cisco Security Agent, Microsoft Internet connection firewall, Symantec personal firewall…
Personal firewall rất hữu ích đối với người dùng gia đình và cá nhân bởi vì họ đơn giản chỉ cần bảo vệ từng máy tính riêng rẻ của họ nhưng đối với doanh nghiệp điều này lại gây bất tiện, khi số lượng host quá lớn thì chi phí cho việc thiết lập, cấu hình và vận hành personal firewall là một điều cần phải xem xét.
2.2 Network Firewalls
Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn công. Một số ví dụ về appliance-based network firewalls như Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall. Và một số ví dụ về software-base firewalls include Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables.
Cùng với sự phát triển của công nghệ, firewall dần được tích hợp nhiều tính năng mới như phát hiện xâm nhập, thiết lập kết nối VPN cũng như nhiều sản phẩm firewall mới ra đời.
2.2.1 Các sản phẩm firewall
Software firewalls
- Software firewalls – firewall mềm – là những firewall được cài đặt trên một hệ điều hành. Firewall mềm bao gồm các sản phẩm như SunScreen firewall, IPF, Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall mềm thường đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS server hay một DHCP server.
- Một nhược điểm của firewall mềm là nó được cài đặt trên một hệ điều hành và do đó khả năng có lỗ hổng trên hệ điều hành này là có thể xẩy ra. Khi lỗ hổng được phát hiện và được cập nhật bản vá lỗi, rất có thể sau khi cập nhật bản vá lỗi cho hệ điều hành thì firewall không hoạt động bình thường như trước, do đó cần tiến hành cập nhật bản vá cho firewall từ nhà cung cấp sản phẩm firewall.
- Một ưu điểm nổi trội của firewall mềm là việc thay đổi và nâng cấp thiết bị phần cứng là tương đối dễ dàng và nhanh chóng.
- Do hệ điều hành mà firewall mềm chạy trên nó không được thiết kế tối ưu cho firewall nên firewall mềm có hiệu suất thấp hơn firewall cứng.
Appliance firewalls
- Appliance firewalls – firewall cứng – là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall. Các sản phẩm firewall cứng đáng chú ý như Cisco PIX, NetScreen firewall, SonicWall Appliaces, WatchGuard Fireboxes, Nokia firewall…
- Trong nhiều trường hợp firewall cứng cung cấp hiệu suất tốt hơn so firewall mềm vì hệ điều hành của firewall cứng được thiết kế để tối ưu cho firewall.
- Lợi ích điển hình khi sử dụng firewall cứng là hiệu suất tổng thể tốt hơn firewall mềm, tính bảo mật được nâng cao, tổng chi phí thấp hơn so với firewall mềm.
- Firewall cứng không được linh hoạt như firewall mềm ( không thể thêm chức năng, thêm các quy tắc như trên firewall mềm)
- Hạn chế của firewall cứng là khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng còn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này.
Integrated firewalls
- Integrated firewalls – firewall tích hợp – ngoài chức năng cơ bản của firewall thì nó còn đảm nhận các chức năng khác như VPN, phát hiện phòng chống xâm nhập, lọc thư rác, chống virus. Lợi ích của việc dùng firewall tích hợp là đơn giản hóa thiết kế mạng bằng cách giảm lượng thiết bị mạng cũng như giảm chi phí quản lý, giảm gánh nặng cho các chuyên viên quản trị, ngoài ra nó còn tiết kiệm chi phí hơn so với việc dùng nhiều thiết bị cho nhiều mục đích khác nhau.
- Tuy nhiên việc tích hợp nhiều chức năng trên cùng một thiết bị dẫn đến khó khăn trong khắc phục sự cố vì tính phức tạp của hệ thống khi tích hợp.
2.2.2 Các công nghệ firewall
Dựa vào công nghệ sử dụng trong firewall người ta chia firewall thành các loại như sau:
ü Personal firewalls
ü Packet filters
ü Network Address Translations (NAT) firewalls
ü Circuit-level firewalls
ü Proxy firewalls
ü Stateful firewalls
ü Transparent firewall
ü Virtual firewalls
- Personal firewalls: Được thiết kế để bảo vệ một host duy nhất, thường được tích hợp sẵn trong các laptop, desktop…
- Packet filters: Là thiết bị được thiết kế để lọc gói tin dựa trên những đặc điểm đơn giản của gói tin. Packet filters tiêu biểu cho dạng statless vì nó không giữ bảng trạng thái các kết nối và không kiểm tra trạng thái các kết nối.
Packet filtering firewall
- Network Address Translations (NAT) firewalls: Thực hiện chức năng chuyển đổi địa chỉ IP public thành địa IP private và ngược lại, nó cung cấp cơ chế che dấu IP các host bên trong.
- Circuit-level firewalls: Hoạt động tại lớp session của mô hình OSI, nó giám sát các gói tin “handsahking” đi qua firewall, gói tin được chỉnh sửa sao cho nó xuất phát từ circuit-level firewall, điều này giúp che dấu thông tin của mạng được bảo vệ.
Circuit-Level Firewall
- Proxy firewalls: Hoạt động tại lớp ứng dụng của mô hình OSI, nó đóng vai trò như người trung gian giữa hai thiết bị đầu cuối. Khi người dùng truy cập dịch vụ ngoài internet, proxy đảm nhận việc yêu cầu thay cho client và nhận trả lời từ server trên internet và trả lời lại cho người dùng bên trong.
Proxy firewall
- Stateful firewalls: Được kết hợp với các firewall khác như NAT firewall, circuit-level firewall, proxy firewall thành một hệ thống firewall, nó không những kiểm tra các đặc điểm của gói tin mà lưu giữ và kiểm tra trạng thái của các gói tin đi qua firewall, một ví dụ cho statefull firewall là sản phẩm PIX firewall của Cisco.
Statefull firewall
- Transparent firewall: Hoạt động ở layer 2 của mô hình OSI, nó hỗ trợ khả năng lọc các gói tin IP (bao gồm IP, TCP, UDP và ICMP). Transparent firewall thực chất chỉ là tính năng layer 2 brigde kết hợp với tính năng filter trên nền IP bằng cách sử dụng tính năng Context Based Access Control. Vì nó hoạt động ở layer 2 nên ta không cần cấu hình IP cũng như thay đổi IP của các thiết bị được nó bảo vệ.
- Virtual firewalls: Bao gồm nhiều logical firewall hoạt động trên một thiết bị thật. Một trong những ứng dụng của nó hiện nay là dùng trong việc quản lý các máy ảo trong vmware hay hyper-v.
2.2.3 Firewall mã nguồn mở và firewall mã nguồn đóng
Có nhiều loại firewall trên thị trường hiện nay, một loại là mã nguồn mở như Linux IPTables, OpenDSD pf, Solaris IPF firewalls, và một loại khác là mã nguồn đóng như Cisco PIX, ASA firewall, Juniper ScreenOS, Check Point’s firewall. Sự khác biệt đáng chú ý nhất đối với hai loại firewall này là khả năng thương mại hóa của các firewall.
Hầu hết các firewall thương mại đều được tích hợp các tính năng thêm như VPN, phát hiện xâm nhập và khả năng kiểm tra sâu bên trong gói tin. Trong khi đó, các firewall mã nguồn mở chỉ tập trung vào việc lọc các gói tin mà không tích hợp thêm các chứng năng khác và nhường chổ các chức năng này cho các phần mềm khác.
3. Các thành phần cơ bản của firewall và cơ chế hoạt động
Một firewall bao gồm một hoặc nhiều thành phần sau đây:
ü Packet Filtering – Bộ lọc gói tin
ü Application Gateway – Cổng ứng dụng
ü Circuit Level Gate – Cổng mạch
3.1 Packet Filtering
3.1.1 Nguyên lý hoạt động
Bộ lọc gói tin cho phép hay từ chối packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong các số các rules hay không. Các rules này dựa trên các thông tin ở packet header bao gồm các thông tin sau:
ü Địa chỉ IP nguồn (IP Source Address).
ü Địa chỉ IP đích (IP Destination Address).
ü Protocol (TCP, UDP, ICMP, IP tunnel)
ü TCP/UDP source port
ü TCP/UDP destination port
ü Dạng thông báo ICMP (ICMP message type)
ü Cổng gói tin đến (Incomming interface of packet)
ü Cổng gói tin đi (Outcomming interface of packet)
Packet filtering router
Nếu rules lọc gói được thỏa mãn thì packet được chuyển qua firewall, nếu không packet sẽ bị bỏ đi. Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra, việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó hoặc những dịch vụ nào đó (SSH, SMTP, FTP…) được phép mới chạy được trên hệ thống mạng cục bộ.
3.1.2 Ưu điềm và nhược điểm
Ưu điểm:
- Đa số các hệ thống firewall đều được sử dụng bộ lọc gói tin. Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã có sẵn trong các router.
- Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng vì vậy nó không yêu cầu người sử dụng phải thao tác gì cả.
Nhược điểm:
- Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ internet, các dạng packet header. Khi yêu cầu về lọc gói tin càng lớn, các rules càng trở nên phức tạp do đó rất khó quản lý và điều khiển.
- Do làm việc dựa trên header của các packet nên bộ lọc không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
3.2 Application Gateway
3.2.1 Nguyên lý hoạt động
Đây là một loại firewall được thiết kế dể tăng cường chức năng kiểm soát các loại dịch vụ, giao thức truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là proxy service. Proxy service là các bộ code đặc biệt cài đặt trên cổng ra (gateway) cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy service cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị cho là chấp nhận được trong khi từ chối những đặc điểm khác.
Application gateway
Một cổng ứng dụng thường được coi như là một Bastion host bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một Bastion host là:
- Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ điều hành (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào hệ điều hành (Operating system) cũng như là đảm bảo sự tích hợp firewall.
- Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastion host.
- Bastion host có thể yêu cầu nhiều mức độ khác nhau ví dụ như username và password hay smart card.
Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của dữ liệu mạng đi qua nó. Điều này có nghĩ là bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.
Mỗi proxy đều độc lập với các proxy khác trên Bastion host. Điều này cho phép dễ dàng cài đặt một proxy mới hay tháo gỡ một proxy.
3.2.2 Ưu điểm và nhược điểm
Ưu điểm:
- Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy cập bởi các dịch vụ.
- Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhậy ký ghi chép lại thông tin về truy cập hệ thống.
- Rule lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói.
Nhược điểm:
- Cần phải có sự cấu hình trên máy user để user truy cập vào các dịch vụ proxy. Ví dụ telnet
3.3 Circuit Level Gateway
Circuit Level Gateway – cổng vòng – là một chức năng đặc biệt có thể thực hiện bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ là chuyển tiếp các kết nối TCP mà không thực hiện bất kì một hành động xử lý hay lọc gói nào.
Hình sau minh họa một hành động sử dụng kết nối telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục telnet nào. Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên vì sự kết nối này xuất hiện từ hệ thống firewall nên nó che dấu thông tin về mạng nội bộ.
Circuit Level Gateway
Cổng vòng thường được sử dụng cho những kết nối ra ngoài. Ưu điểm lớn nhất là một Bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống firewall dễ dàng sử dụng cho người dùng trong mạng nội bộ muốn trực tiếp truy câp tới các dịch vụ internet, trong khi vẫn cung cấp chức năng bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
4. Một số kiến trúc firewall
4.1 Kiến trúc Dual – homed Host
Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host. Một máy tính được gọi là dual-homed host nếu nó có ít nhât hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau, do đó máy tính này đóng vai trò là router mềm. Kiến trúc dual-homed host rất đơn giản, máy dual-homed host ở giữa, một bên được nối với internet va bên còn lại nới với mạng nội bộ (mạng cần được bảo vệ).
Mô hình kiến trúc dual-homed host
Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) hoặc cho phép user đăng nhập trực tiếp vào dual-homed host. Mọi giao tiếp từ một host trong nội bộ và host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất.
Ưu điểm của Dual-homed host:
- Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
- Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do đó trên các hệ điều hành linux chỉ cần cấu hình lại nhân của hệ điều hành là đủ.
Nhược điểm của Dual-homed host:
- Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những phần mềm mới được tung ra trên thị trường.
- Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân của dual-homed host, và khi dual-homed host bị đột nhập nó sẽ trở thành nơi lý tưởng để tấn công vào mạng nội bộ, người tấn công (attacker) sẽ thấy được toàn bộ lưu lượng trên mạng.
Đánh giá về kiến trúc dual-homed host
Để cung cấp dịch vụ cho người sử dụng trong mạng có một số giải pháp như sau:
- Kết hợp với các proxy server cung cấp những proxy service
- Cấp các account cho người sử dụng trên máy dual-homed host, khi người sử dụng muốn sử dụng dịch vụ từ internet hay dịch vụ từ external network thì họ phải đăng nhập bằng username và password được cài sẵn trên dual-homed host.
Nếu dùng proxy server thì khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì không phải dịch vụ nào cũng có phần mềm proxy server và proxy client. Mặc khác, khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống bị giảm xuống vì tất cả các proxy server đều đặt trên cùng một máy.
Nếu dùng phương pháp account cho người sử dụng trên máy dual-homed host thì người sử dụng không thích vì mỗi lần họ muốn sử dụng dịch vụ phải đăng nhập vào máy dual-homed host.
4.2 Kiến trúc Screened Host
Screened host có cấu trúc ngược lại với cấu trúc dual-homed host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ (basstion host) và một router tách rời với mạng bên ngoài. Kiến trúc này kết hợp hai kỹ thuật đó là packet filtering và proxy service. Packet filtering được cài trên router. Bastion host được đặt bên trong mạng nội bộ và nó là hệ thống duy nhất mà những host trên internet có thể kết nối tới, bất kì một hệ thống bên ngoài nào cố gắn truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host cần được duy trì ở chế độ bảo mật cao, packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài.
Mô hình kiến trúc Screened Host
- Packet filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắng người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến proxy server mà không được bỏ qua proxy server để kết nối trực tiếp với mạng bên trong/bên ngoài, đồng thời cho phép Bastion host mở một số kết nối tới internel/external host.
- Proxy service: Bastion host sẽ chứa các proxy server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server.
Kiến trúc screened host hay hơn kiến trúc dual-homed host ở một số điểm như sau:
- Dual-homed host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm quy tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được, cũng như tốc độ đáp ứng khó có thê cao vì cùng lúc đảm nhận nhiều chức năng.
- Screened host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt. Packet filtering chỉ giữ những chức năng lọc gói nên có thể kiểm soát cũng như khó gây ra lỗi. Proxy server được đặt ở máy khác nên khả năng phục vụ người sử dụng cao hơn ở kiến trúc Dual-homed host.
Tương tự như kiến trúc Dual-homed host, kiến trúc Screened host khi bị đột nhập thành công thì lưu lượng mạng của internal network cũng bị kiểm soát bởi attacker. Từ khuyết điểm chính của hai kiến trúc trên ta có kiến trúc Screened Subnet Host ra đời nhằm giải quyết hai khuyết điểm này.
4.3 Kiến trúc Screened Subnet Host
Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho Bastion host, tách bastion host khỏi các host khác người ta đưa ra kiến trúc firewall có tên là Screened Subnet Host.
Mô hình kiến trúc Screened Subnet Host
Kiến trúc Screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet host đơn giản bao gồm hai screened router:
- Router ngoài (Exterior router): Nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (Bastion host, interior router). Exterior router chống lại những sự tấn công chuẩn như giả mạo địa chỉ IP và điều khiển truy cập tới Bastion host. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin bắt nguồn từ Bastion host.
- Router trong (Interior router): Nằm giữa mạng ngoại vi va mạng nội bộ nhằm bảo vệ mạng nội bộ và mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa Bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Interior router chỉ cho phép các hệ thống bên trong truy cập Bastion host.
Ưu điểm của Screened Subnet Host:
- Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong.
- Bởi vì router ngoài chỉ quảng bá Bastion host tới internet nên hệ thống mạng nội bộ không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server).
- Bởi vì router trong chỉ quảng bá Bastion host tới mạng nội bộ nên các hệ thống bên trong mạng nội bộ không thể truy cập trực tiếp tới Internet. Điều này đảm bảo rằng những user bên trong bắt buộc phải truy cập qua Internet qua dịch vụ Proxy.
- Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sử dụng đồng thời nâng cao khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên là phù hợp.
- Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụng thêm một dạng ngoại vi (perimeter network) để che phần nào lưu thông bên trong internal network, tách biệt internal network với internet.
Ngoài ra, còn có những kiến trúc biến thể khác như sử dụng nhiều Bastion host, ghép chung router trong và router ngoài, ghép chung Bastion host và router ngoài.
4.3.1 Sử dụng nhiều Bastion Host
Mô hình này ra đời do các yêu cầu về hiệu năng (performance) và dư thừa (redudancy) cũng như tách biệt các Server khác nhau.
Sử dụng một Bastion host cung cấp những dịch vụ cho người dùng bên trong (internal user) như dịch vụ SNMP, DNS, Proxy Server…
Sử dụng một Bastion host khác cung cấp dịch vụ cho người dùng ngoài Internet hoặc những người dùng bên ngoài (external user), như dịch vụ FTP Server, Web Server…
Mô hình sử dụng nhiều Bastion Host
Với mô hình này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một phần nào đó không bị ảnh hưởng bởi những hoạt động của người sử dụng bên ngoài mạng (external user).
Chúng ta cũng có thể sử dụng nhiều Bastion host chỉ cung cấp một dịch vụ nào đó để tăng tốc độ đáp ứng, nâng cao hiệu năng hoạt động.
Việc sử dụng nhiều Bastion host cho các server khác nhau để khi một server nào đó bị đột nhập hoặc server bị hỏng thì server khác vẫn hoạt động tốt.
4.3.2 Kiến trúc ghép chung router trong và router ngoài
Kiến trúc ghép chung router trong và router ngoài
Muốn sử dụng kiến trúc này thì tốc độ của máy làm router phải được nâng cao, vì vừa phải đảm nhiệm vai trò router ngoài và vừa đảm nhiệm vai trò của router trong.
Kiến trúc này gần giống với kiến trúc Screened host trong trường hợp khi mà exterior/interior router bị đột nhập thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài. Nhưng kiến trúc này tốt hơn Screened host ở chổ nếu Bastion host bị đột nhập thì thông tin trong mạng bên trong cũng không bị lộ ra ngoài.
Do ghép chung router trong và router ngoài nên kiến trúc này làm giảm đi lớp bảo vệ mạng bên trong, có thể nói kiến trúc ghép chung router trong và router ngoài nằm ở giữa kiến trúc Screened host và Screened Subnet host.
4.3.3 Kiến trúc ghép chung Bastion host và router ngoài
Kiến trúc ghép chung Bastion host và router ngoài
Kiến trúc này chỉ sử dụng cho mạng chỉ có một đường nối dùng giao thức SLIP hoặc PPP ra internet.
Kiểu ghép chung Bastion host và router ngoài (Exterior router) này gần giống với Screened Subnet Host. Nó cho tốc độ đáp ứng thường thấp nhưng mà vẫn có thể chấp nhận được do tốt độ đường truyền thấp, chức năng lọc của router ngoài ít, chức năng lọc gói chủ yếu là router trong
Không có nhận xét nào:
Đăng nhận xét