Đồ án tốt nghiệp Tìm hiểu lý thuyết và xây dựng Firewall trên nền Linux


Theo dõi và ghi chép ( Monitoring and Logging )



tải về 0.55 Mb.
trang9/18
Chuyển đổi dữ liệu19.08.2016
Kích0.55 Mb.
1   ...   5   6   7   8   9   10   11   12   ...   18

2.4 Theo dõi và ghi chép ( Monitoring and Logging )


Mục đích của theo dõi và ghi chép là giúp người quản trị biết các module trong hệ thống Firewall có hoạt động đúng như mong đợi hay không? Có chắc chắn rằng Packet Filtering lọc các gói tin có tin cậy?
NAT có dấu được các địa chỉ IP của các host trong mạng nội bộ không? Proxy ứng dụng có chia rẽ được mạng bên trong cần bảo vệ với mạng bên ngoài không ?

Ngoài ra nó còn cho ta biết các kết nối hiện tại trong hệ thống, thông tin về các gói tin bị loại bỏ, máy tính nào đang cố gắng xâm nhập vào hệ thống của ta. Sau đây là bốn lý do để Firewall thực hiện chức năng theo dõi và ghi chép :



    • Các thông tin báo cáo hữu ích : Chúng ta muốn tổng hợp các thông tin để biết hiệu năng của hệ thống Firewall, các thông tin trạng thái và thậm chí là sự thay đổi các account của người dùng với các dịch vụ.

    • Phát hiện xâm nhập : Nếu để một hacker thâm nhập vào mạng của chúng ta hacker này có đủ thời gian ở lại trong đó thực hiện các hành động gây tổn thương cho hệ thống. Sự theo dõi thường xuyên các log files có thể giúp phát hiện các manh mối để đưa ra các chứng cứ giúp phát hiện sự xâm nhập vào mạng của chúng ta.

    • Khám phá các phương pháp tấn công mới : Khi chúng ta phát hiện thành công sự xâm nhập thì chúng ta vẫn cần phải chắc chắn rằng hacker đã dừng lại và không thể thực hiện lại một lần nữa theo đúng cách mà hắn đã dùng lúc trước. Điều này yêu cầu chúng ta phải phân tích kỹ càng tất cả các log files. Với hy vọng rằng chúng ta sẽ phát hiện ra các dấu vết mà hacker từ đó đi vào mạng của ta và lần đầu tiên xâm nhập vào mạng của ta là khi nào. Cũng từ những thông tin phân tích được chúng ta có thể phát hiện ra các ứng dụng Trojan horse mà nó được cài đặt trong hệ thống của chúng ta.

    • Các chứng cứ pháp lý : Một lợi ích mở rộng của các log files là tạo ra các chứng cứ có tính pháp lý. Các log files là các chứng cứ cho biết lần đầu xâm nhập hệ thống của hacker và những hành động tiếp theo của hacker tác động vào hệ thống.

III. Kiến trúc Firewall

Khi triển khai một Firewall trên một mạng thực tế thì sẽ có rất nhiều cách để xây dựng lên một hệ thống dựa theo các chức năng hay có thể nói là các thành phần cơ bản của một Firewall.Dưới đây chúng ta sẽ tìm hiểu các dạng kiến trúc cơ bản của Firewall là :



  • Bastion host

  • Screened host

  • Screened subnet

Ngoài ra còn một số kiến trúc kết hợp hay biến thể từ các kiến trúc cơ bản trên.

3.1 Bastion host


Bastion host của mạng nội bộ là vị trí tiếp xúc với môi trường mạng bên ngoài.Mọi kết nối từ bên ngoài vào và ngược lại đều phải qua Bastion host. Do vậy Bastion host luôn là mục tiêu tấn công số một, và đây được coi là một vị trí sống còn đối với một mạng.

Với một hệ thống Firewall không phải chỉ có một Bastion host mà có thể có nhiều Bastion host ở nhiều vị trí khác nhau. Số lượng và vị trí của chúng là tuỳ vào


yêu cầu thực tế và mục đích…Bastion host có thể được sử dụng mhư một dạng kiến trúc Firewall.

3.1.1 Những nguyên tắc chính của một Bastion host


Có hai nguyên tắc chính khi thiết kế và xây dựng một Bastion host :

  • Đơn giản

  • Luôn trong tình trạng sẵn sàng để Bastion host bị tấn công

a. Đơn giản

Với một Bastion host đơn giản thì việc bảo đảm an toàn cho nó càng dễ. Bất kỳ dịch vụ nào của Bastion host đều có thể tồn tại lỗi phần mềm hay lỗi cấu hình, những lỗi này có thể là nguyên nhân của các vấn đề an ninh. Do đó Bastion host hoạt động với càng ít nhiệm vụ thì càng tốt. Chỉ nên hạn chế một số ít các dịch vụ trên Bastion host đi kèm với cơ chế quyền hạn tối thiểu.



b. Luôn trong tình trạng sẵn sàng để Bastion host bị tấn công

Bất kì sự bảo vệ nào thì bastion host cũng sẽ có lúc bị tấn công và đổ vỡ. Phải đặt ra tình trạng xấu nhất có thể xảy ra với Bastion host, đồng thời lên kế hoạch để phòng việc này xảy ra.

Trong trường hợp Bastion host bị sụp đổ, cần phải có biện pháp để kẻ tấn công không tiếp tục làm hại đến mạng nội bộ bên trong.Một trong các cách là cấu hình cho các host bên trong mạng nội bộ không tin tưởng tuyệt đối vào bastion host. Cần xem xét kĩ tới các dịch vụ mà bastion host cung cấp cho các host trong mạng nội bộ, kiểm tra độ tin cậy và quyền hạn của từng dịch vụ đó. Có nhiều cách để thực hiện điều này, ví dụ như cài đặt bộ lọc gói giữa Bastion host và các host bên trong hoặc cài mật khẩu cho từng host.

3.1.2 Các dạng Bastion host


Có rất nhiều cách cấu hình Bastion trong một mạng. Ngoài hai kiểu cấu hình chính của Bastion host là screened host và các host cung cấp dịch vụ trên screen network, ta còn có nhiều dạng Bastion host. Cách cấu hình các dạng Bastion host này cũng tương tự như hai dạng trên, ngoài ra nó còn có những yêu cầu đặc biệt. Sau đây là một số mô hình Bastion :

- Nonrouting Dual- honed host

- Victim Machine

- Internal Bastion host



a. Nonrouting Dual- honed host

Một Nonrouting Dual- honed host có nhiều kết nối mạng đến nhưng không truyền dữ liệu qua các kết nối đó. Bản thân mỗi host loại này cũng có thể là một firewall hoặc một bộ phận của firewall.



b. Victim Machine

Với một dịch vụ mới mà chúng ta chưa đảm bảo an toàn cho nó, thì việc lựa chọn một Victim Machine là hoàn toàn hợp lý. Không có thông tin gì đặc biệt trên Victim Machine và cũng không có quyền truy nhập các host khác từ Victim Machine. Ta chỉ cung cấp một cách tối thiểu để có thể sử dụng được các dịch vụ mà ta mong muốn trên Victim Machine. Nếu có thể chỉ cung cấp các dịch vụ không an toàn, chưa được kiểm định nhằm ngăn ngừa các tác động bất ngờ.


2.3.4 Vị trí của Bastion host trên mạng


Bastion host nên được đặt ở vị trí không có các luồng thông tin bí mật. Hầu hết các giao tiếp mạng Ethernet và Token ring có thể hoạt động ở chế độ pha tạp,

trong chế độ này chúng có thể bắt tất vả các gói tin trên mạng kết nối với chúng. Một số giao diện mạng khác như FDDI lại không thể bắt được tất cả các gói tin, nhưng tuỳ vào kiến trúc mạng mà chúng có thể bắt được một số gói tin không chỉ định đến.

Khả năng này rất hữu ích cho việc phân tích mạng, kiểm tra và gỡ rối.. ví dụ như sử dung chưong trình tcpdump. Nhưng điều này sẽ là nguy hiểm như thế nào nếu kẻ tấn công sử dụng nó vào mục đích rình mò, can thiệp vào các luồng dữ liệu trên mạng. Cần phải sự phòng trường hợp xấu nhất là Bastion host bị tổn thương , trong trường hợp này ta không muốn kẻ tấn công sử dụng Bastion host để can thiệp vào các luồng thông tin.

Một trong các phương án giải quyết vấn đề trên là không đặt Bastion host trong mạng nội bộ mà ta đưa nó vào mạng vành đai. Tất cả các luồng thông tin trong mạng nội bộ sẽ chỉ nằm trong mạng nội bộ, không thể quan sát từ phía mạng vành đai. Tất cả các Bastion host trên mạng vành đai chỉ thấy các gói tin từ nó ra Internet và từ Internet vào nó.

Sử dụng mạng vành đai kết hợp kết hợp với các router lọc gói giữa chúng và mạng nội bộ sẽ giúp thêm nhiều ưu điểm. Nó hạn chế sự lộ diện của mạng nội bộ với mạng bên ngoài.

Hoặc có thể đặt Bastion host tại một vị trí trên mạng ít bị nhòm ngó hơn. Ví dụ : có thể đặt một Bastion trên một hub 10base thông minh, hoặc một Ethernet Switch hay một mạng ATM. Nếu thực hiện theo phương án này thì cần đảm bảo không host nào tin tưởng tuyệt đối vào Bastion host.

Tóm lại cách tốt nhất là cô lập Bastion host với mạng nội bộ. Phương án khả thi là đặt nó trên mạng vành đai. Theo cách này mạng nội bộ vẫn được bảo vệ kể cả trong trường hợp Bastion host bị tổn thương.

Chú ý : Không cho phép các tài khoản của người sử dụng trên Bastion host: Nếu có thể không cho phép bất kì tài khoản của người sử dụng nào trên Bastion host. Vì các lý do sau:

+ Việc tổn thương của chính các tài khoản này

+ Việc tổn thương của các dịch vụ phuc vụ cho các tài khoản này

+ Giảm tính ổn định, tin tưởng của Bastion host

+ Khó phát hiện kẻ tấn công

+ Bastion host có thể bị tổn thương chỉ vì sự sơ ý của người nào đó




1   ...   5   6   7   8   9   10   11   12   ...   18


Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2019
được sử dụng cho việc quản lý

    Quê hương