Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux



tải về 0.55 Mb.
trang7/18
Chuyển đổi dữ liệu19.08.2016
Kích0.55 Mb.
1   2   3   4   5   6   7   8   9   10   ...   18

1.2 Ưu, nhược điểm của Firewall

1.2.1 Ưu điểm :


Firewall có thể làm rất nhiều điều cho an ninh của mạng. Thực tế những ưu điểm khi sử dụng Firewall không chỉ ở trong lĩnh vực an ninh

  1. Firewall là điểm tập trung giải quyết các vấn đề an ninh

Quan sát vị trí cuả Firewall trên hình chúng ta thấy đây là một dạng nút thắt. Firewall cho ta khả năng to lớn để bảo vệ mạng nội bộ bởi công việc cần làm chỉ tập trung tại nút thắt này. Việc tập trung giải quyết tại một điểm này còn cho phép có hiệu quả cả về mặt kinh tế.

  1. Firewall có thể thiết lập chính sách an ninh

Có rất nhiều dịch vụ mà mọi người muốn sử dụng vốn đã không an toàn.

Firewall đóng vai trò kiểm soát các dịch vụ này. Nó sẽ thiết lập chính sách an ninh cho phép những dịch vụ thoả mãn tập luật trên Firewall đang hoạt động. Tuỳ thuộc vào công nghệ lựa chọn để xây dựng Firewall mà nó có khả năng thực hiện các chính sách an ninh với hiệu quả khác nhau.



  1. Firewall có thể ghi lại các hoạt động một cách hiệu quả

Do mọi luồng thông tin đều qua Firewall nên đây sẽ là nơi lý tưởng để thu thập các thông tin về hệ thống và mạng sử dụng. Firewall có thể ghi chép lại những gì xảy ra giữa mạng được bảo vệ và mạng bên ngoài.

1.2.2 Nhược điểm


Firewall có thể bảo vệ mạng có hiệu quả nhưng nó không phải là tất cả. Firewall cũng tồn tại các nhược điểm của nó

  1. Firewall không thể bảo vệ khi có sự tấn công từ bên trong

Nếu kẻ tấn công ở phía trong Firewall, thì nó sẽ không thể giúp gì được cho ta. Kẻ tấn công sé ăn cắp dữ liệu, phá hỏng phần cứng, - phần mềm, sửa đổi chương trình mà Firewall không thể biết được.

  1. Firewall không thể bảo vệ được nếu các cuộc tấn công không đi qua nó

Firewall có thể điều khiển một cách hiệu quả các luồng thông tin, nếu như chúng đi qua Firewall. Tuy nhiên, Firewall không thể làm gì nếu như các luồng dữ liệu không đi qua nó. Ví dụ cho phép truy cập dial – up kết nối vào hệ thống bên trong của Firewall? Khi đó nó sẽ không chống lại được sự tấn công từ kết nối modem

Có thể do việc cài đặt backdoor của người quản trị hay những người sử dụng trình độ cao.



  1. Firewall không thể bảo vệ nếu như cách tấn công hoàn toàn mới lạ

Firewall được thiết kế chỉ để chống lại những kiểu tấn công đã biết. Nếu một Firewall được thiết kế tốt thì cũng có thể chống lại được những cuộc tấn công theo cách hoàn toàn mới lạ. Người quản trị phải cập nhật những cách tấn công mới, kết hợp với kinh nghiệm đã biết để có thể bổ xung cho Firewall. Ta không thể cài Firewall một lần và sử dụng mãi mãi.

  1. Firewall không thể chống lại Virus

Firewall không thể giúp cho máy tính chống lại được Virus. Mặc dù nhiều Firewall đã quét những luồng thông tin đi vào nhằm kiểm tra tính hợp lệ của nó với các tập luật đặt ra. Tuy nhiên Firewall chỉ kiểm tra được địa chỉ nguồn, địa chỉ đích, số hiệu cổng cuả gói tin này chứ không thể kiểm tra được nội dung của nó. Đó là chưa kể đến có rất nhiều dạng Virus và nhiều cách để Virus ẩn vào dữ liệu.

Tiếp theo chúng ta xem xét các chức năng cơ bản cuả Firewall. Có thể nói một Firewall thực sự cần phải có ít nhất một trong các chức năng sau :



    • Khả năng lọc gói ( Packet Filtering ) : Firewall sẽ kiểm tra phần header của các gói tin và đưa ra quyết định là cho phép qua hay loại bỏ gói tin này theo tập luật đã được cấu hình.

    • Application Proxy : Với khả năng này thì Firewall sẽ kiểm tra kỹ lưỡng header của gói tin hơn như khả năng hiểu giao thức cụ thể mà ứng dụng sử dụng

    • Chuyển đổi địa chỉ mạng ( Network Address Translation – NAT ) : Để các máy bên ngoài chỉ thấy một hoặc hai địa chỉ mạng của firewall còn các máy thuôc mạng trong có thể lấy các giá trị trong một khoảng bất kỳ thì các gói tin đi vào và đi ra cần được chuyên đổi địa chỉ nguồn và đia chỉ đích.

    • Theo dõi và ghi chép ( Monitoring and Logging ) : Với khả năng này cung cấp cho người quản trị biết điều gì đang xẩy ra tại Firewall, từ đó đưa ra những phương án bảo vệ tốt hơn.

Ngoài ra thì một Firewall còn có thể có một số chức năng mở rộng khác như :

  • Data Caching : Bởi vì có những yêu cầu về các Website là hoàn toàn giống nhau của các người dùng khác nhau nên việc Caching dữ liệu sẽ giúp quá trình trả lời nhanh và hiệu quả hơn

  • Lọc nội dung ( Content Filter ): Các luật của Firewall có khả năng ngăn chặn các yêu cầu trang Web mà nó chứa các từ khoá, URLs hay các dữ liệu khác như video streams, image …

  • Instrustion Detection : Là khả năng phát hiện các cuộc xâm nhập, tấn công

  • Các chức năng khác : khả năng phát hiện và quét virus…

Phần dưới đây chúng ta sẽ xem xét kỹ lưỡng ba chức năng cơ bản của một Firewall đó là Packet Filtering, Application Proxy và Network Address Translation

II. Các chức năng cơ bản của Firewall

2.1 Packet Filtering

2.1.1 Khái niệm


Packet Filtering là một chức năng cơ bản của một firewall, nó là một kỹ thuật an ninh mạng hoạt động ở tầng mạng, bằng cách điều khiển dữ liệu vào hoặc ra một mạng máy tính. Packet Filtering sẽ định tuyến một cách có chọn lọc các gói tin tuỳ thuộc theo chính sách an ninh do người quản trị đặt ra. Lọc gói thông thường có tốc độ rất cao bởi nó chỉ kiểm tra phần header của các gói tin mà không kiểm tra phần dữ liệu trong đó. Vì kĩ thuật gói thườg có tốc độ nhanh, mềm dẻo và trong suốt với người dùng nên ngày nay hầu hết các router đều có trang bị khả năng lọc gói. Một router sử dụng bộ lọc gói được gọi là screening router

Dưới đây là mô hình một screening router trong mạng



Hình 2-2 : Screening Router sử dụng bộ lọc gói


Như đã giới thiệu ở chương trước thì bất kể một gói tin nào cũng có phần header của nó. Những thông tin trong phần header bao gồm các trường sau :

  • Địa chỉ IP nguồn

  • Địa chỉ IP đích

  • Giao thức hoạt động

  • Cổng TCP ( UDP ) nguồn

  • Cổng TCP ( UDP ) đích

  • ICMP message type

Bộ lọc gói sẽ dựa vào những thông tin này để đưa ra quyết định cuối cùng cho phép hay không cho phép gói tin đi qua. Ngoài ra, bộ lọc gói còn có thể xác định thêm các thông tin khác không có trong header của gói tin như :

  • Giao diện mạng mà gói tin từ đó đi tới ( ví dụ trong Linux là eth0 )

  • Giao diện mạng mạng mà gói đi đến ( ví dụ là eth1 )

Trên thực tế thì các Server hoạt động cho các dịch vụ Internet thường tập trung vào một cổng nào đó, do vậy để đơn giản ta chỉ cần cấu hình tập luật lọc gói tin của router theo số hiệu cổng tương ứng là có thể ngăn chặn được các kết nối. Ví dụ với server HTTP : cổng mặc định là 80, với server FTP : cổng 23 …

Do vậy với Screening router thì ngoài chức năng như một router bình thường là dẫn đường cho các gói tin nó còn có khả năng lọc các gói tin đi qua nó. Screening router sẽ đọc gói tin một cách cẩn thận hơn từ đó đưa ra quyết định cho phép hay không cho phép gói tin tới đích. Việc cho phép hay không cho phép các gói tin đi qua phụ thuộc vào các luật lọc gói mà screening router được cấu hình.

Từ đó ta có các cách thực hiện chức năng lọc gói : Lọc gói dựa vào địa chỉ, lọc gói dựa vào loại dịch vụ hay cổng, lọc gói theo cả địa chỉ và cổng

Lọc gói theo địa chỉ

Là cách đơn giản nhất, lọc theo cách này giúp chúng ta điều hướng các gói tin dựa theo địa chỉ nguồn hoặc đích mà không cần biết các gói tin này thuôc giao thức nào.

Ta thấy ngay ở đây các rủi ro với cách lọc gói dựa theo địa chỉ :là việc kẻ tấn công sử dụng địa chỉ IP giả mạo để vượt qua module lọc gói và truy cập các máy trong mạng nội bộ cần bảo vệ. Có hai kiểu tấn công dựa trên việc giả mạo địa chỉ IP đó là source addressman in the middle. Cách giải quyết vấn đề này là sử dụng phương pháp xác thực người dùng đối với các gói tin.

Lọc gói dựa theo dịch vụ

Hầu hết các ứng dụng trên mạng TCP/IP hoạt động trên một Socket bao gồm địa chỉ IP và một số hiệu cổng nào đó.Do vậy việc lọc các gói tin dựa trên dịch vụ cũng chính là việc lọc các gói tin dựa trên số hiệu cổng. Ví dụ như các ứng dụng Web theo giao thức HTTP thường hoạt động trên cổng 80, dịch vụ Telnet hoạt động trên cổng 23,… Việc lọc gói có thể dựa vào địa chỉ cổng nguồn hay địa chỉ cổng đích hoặc cả hai.

Các rủi ro xảy ra đối với việc lọc gói dựa trên số hiệu cổng đó là : rất nhiều các ứng dụng theo mô hình server/client hoạt động với số hiệu cổng ngẫu nhiên trong khoảng từ 1023 – 65535. Khi đó việc thiết lập các luật theo cách này là rất khó khăn và có thể để cho các gói tin nguy hiểm đi qua mà chặn lại các gói tin cần thiết.

2.1.2 Các hoạt động của Packet Filtering


Sau khi thực hiện kiểm tra một gói tin, Packet Filtering có thể thực hiện một trong các công việc sau :

  • Cho phép gói tin đi qua: nếu gói tin thoả mãn các điều kiện trong cấu hình của bộ lọc gói, gói tin sẽ được chuyển tiếp tới đích của nó

  • Loại bỏ gói tin : nếu gói tin không thoả mãn các điều kiện trong cấu hình của Packet Filtering thì gói tin sẽ bị loại bỏ

  • Ghi nhật ký các hoạt động

Ta không cần thiết phải ghi lại tất cả các gói tin được cho phép đi qua mà chỉ cần ghi lại một số hoạt động của một số gói tin loại này. Ví dụ ghi lại các gói tin bắt đầu của một kết nối TCP để có thể theo dõi được các kết nối TCP đi vào và đi ra khỏi mạng cần boả vệ. Đặc biệt là ghi lại các gói tin bị loại bỏ , ta cần theo dõi các gói tin nào đang cố gắng đi qua trong khi nó bị cấm.

2.1.3 Ưu, nhược điểm của Packet Filtering


a. Ưu điểm


  • Trong suốt

  • Có thể lọc bất cứ dịch vụ nào dùng các giao thức mà Firewall hỗ trợ

  • Chỉ cần một Screening Router là có thể bảo vệ cả mạng : Đây là một ưu điểm chính của Packet Filtering vì nó là đơn lẻ, không phải thay đổi các host trong mạng bảo vệ khi thay đổi qui mô của mạng.

  • Không như Proxy nó không yêu cầu phải học cách sử dụng

  1. Nhược điểm




  • Cần phải hiểu rõ mạng được bảo vệ và các giao thức được sử dụng trên mạng

  • Không có sự xác thực người sử dụng, việc lọc gói tin chỉ dựa trên địa chỉ mạng của hệ thống phần cứng

  • Không che giấu kiến trúc bên trong của mạng cần bảo vệ

  • Không bảo vệ chống lại các yếu điểm của các dịch vụ không lọc

  • Với giao thức DHCP thì kết quả lọc sẽ không chuẩn xác

  • Một số giao thức không phù hợp với bộ lọc gói.



1   2   3   4   5   6   7   8   9   10   ...   18


Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2019
được sử dụng cho việc quản lý

    Quê hương