ĐỀ CƯƠNG BÀI GIẢNG HỌC PHẦN: AN NINH MẠNG

HỌC VIỆN KỸ THẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ CƯƠNG BÀI GIẢNG HỌC PHẦN: AN NINH MẠNG Bộ môn: An ninh mạng Giáo viên: 1) Nguyễn Hiếu Minh 2) Nguyễn Đức Thiện 1. Bài (chương, mục): Chương 4: Công nghệ bức tường lửa (Firewall) 2. Thời lượng: - GV giảng: 6 tiết. - Thảo luận: 1 tiết. - Thực hành: 3 tiết. - Bài tập: 2 tiết. - Tự học: 8 tiết 3. Mục đích, yêu cầu: Mục đích: Bài giảng cung cấp các kiến thức về công nghệ bức tường lửa (Firewall), trong đó tập trung vào các nội dung sau: - Tổng quan về bức tường lửa. - Phân loại bức tường lửa. - Tường lửa lọc gói. - Tường lửa mức ứng dụng. - Các mô hình triển khai tường lửa. Yêu cầu: - Học viên tham gia học tập đầy đủ. - Nghiên cứu trước các nội dung có liên quan đến bài giảng (đã có trên http:// http:/fit.mta.edu.vn/~minhnh/). - Tham gia thảo luận và thực hiện các bài tập trên lớp. 4. Nội dung: a) Nội dung chi tiết: (công thức, định lý, hình vẽ) Tiết 1: Tổng quan về công nghệ bức tường lửa - Công nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên toàn cầu. Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980. - Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff Mogul thuộc Digital Equipment Corp. phát triển các hệ thống lọc đầu tiên được biết đến với tên các tường lửa lọc gói tin. - Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biến đến với tên các tường lửa mức mạch (circuit level firewall). - Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa proxy (proxy-based firewall).

- Năm 1992, Bob Braden và Annette De Schon tại Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản phẩm có tên Visas này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac của Apple. Năm 1994, một công ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. - Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). - Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là đảm bảo an toàn thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Hình 1 Một ví dụ về sử dụng Firewall - Một Firewall có thể được định nghĩa là một tập hợp các thành phần được đặt giữa hai mạng và có chung ba đặc điểm sau đây: o Tất cả các lưu lượng từ trong ra ngoài và ngược lại đều phải đi qua Firewall. o Chỉ các lưu lượng được cho phép như được ấn định bởi chính sách bảo mật cục bộ mới được phép đi qua. o Chính Firewall không bị ảnh hưởng bởi sự thâm nhập. Hình 2 Mô hình lọc gói tin tại Firewall

- Từ một quan điểm thực tế, một firewall chỉ đến một tập hợp phần cứng, phần mềm và chính sách được đặt giữa một mạng intranet và mạng ngoài (thường là internet). Do đó, firewall thực thi các phần của một chính sách bảo mật mạng bằng cách buộc tất cả lưu lượng dữ liệu được định hướng hoặc được định tuyến đến firewall nơi nó có thể được kiểm tra và đánh giá một cách phù hợp. Tiết 2: Các chức năng của Firewall Hình 3 Tham chiếu Firewall và mô hình OSI - Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. o Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). o Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). o Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. o Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. o Kiểm soát người sử dụng và việc truy nhập của người sử dụng. o Kiểm soát nội dung thông tin lưu chuyển trên mạng. Hình 4 Một số chức năng của Firewall

- Firewall bao gồm một hay nhiều các thành phần sau đây: o Bộ lọc gói tin (packet-filtering) o Cổng ứng dụng (application-level gateway hay proxy server) - Trên lý thuyết, Firewall là phương pháp bảo mật an toàn nhất khi mạng có kết nối Internet. Tuy nhiên, vẫn tồn tại các vấn đề xung quanh môi trường bảo mật này. Nếu Firewall được cấu hình quá chặt chẽ, tiến trình làm việc của mạng sẽ bị ảnh hưởng, đặc biệt trong môi trường người dùng phụ thuộc hoàn toàn vào ứng dụng phân tán. Do Firewall thực thi từng chính sách bảo mật chặt chẽ nên nó có thể bị sa lầy. Tóm lại, cơ chế bảo mật càng chặt chẽ bao nhiêu, thì tính năng càng bị hạn chế bấy nhiêu. - Kiến trúc của hệ thống có firewall như sau: Hình 5 Các thành phần của Firewall - Theo hình trên các thành phần của một hệ thống firewall bao gồm: o Screening router: Là chặng kiểm soát đầu tiên cho LAN. o DMZ: Khu "phi quân sự", là vùng có nguy cơ bị tấn công từ Internet. o Gateway: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật. o IF1: Interface 1: Là card giao tiếp với vùng DMZ. o IF2: Interface 2: Là card giao tiếp với vùng mạng LAN. o FTP gateway: Kiểm soát truy cập FTP giữa LAN và vùng ftp từ mạng LAN ra Internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication Server. o Telnet Gateway: Kiểm soát truy cập telnet giữa mạng LAN và Internet. Giống như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực qua Authentication Server - Authentication Server: được sử dụng bởi các c o Authentication server: được sử dụng các cổng giao tiếp, nhận diện các yêu cầu kết nối, dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần). Các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, không có kết nối trực tiếp với Internet, tất cả các thông tin trao đổi đều được kiểm soát qua gateway.

Tiết 3: Firewall lọc gói tin không trạng thái - Các loại Firewall phát triển thời kỳ đầu hầu hết là dạng gateway, các loại Firewall này kiểm soát các địa chỉ nguồn, đích và các cổng, định rõ nếu các gói tin phù hợp với các luật đã qui định thì được đi qua Firewall. - Firewall kiểu Gateway có thể được phân thành 2 loại: - Packet filtering không trạng thái : được sử dụng trên các router hoặc các OS. - Stateful inspection packet filtering có trạng thái : được sử dụng trên các firewall hiện đại. - Packet filtering firewall: loại Firewall rất kém mềm dẻo và ít các chức năng. Nó hoạt động tại lớp mạng của mô hình OSI hay lớp IP trong mô hình giao thức TCP/IP. Hình 6 Firewall lọc gói tin - Kiểu firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI. Firewall mức mạng thường hoạt động theo nguyên tắc router, có nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin (packet filtering). - Firewall hoạt động liên quan chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) chia nhỏ dữ liệu thành các gói dữ liệu (data pakets) rồi gán cho các gói tin này những thông tin ở phần đầu để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall liên quan đến các gói tin và địa chỉ của chúng. - Bộ lọc gói tin cho phép hay từ chối mỗi gói tin mà nó nhận được. Nó kiểm tra toàn bộ phần header để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc gói tin hay không. Các luật lệ lọc gói tin này là dựa trên các thông tin ở đầu mỗi gói tin (packet header), dùng để cho phép truyền các gói tin đó ở trên mạng. Đó là: o Địa chỉ IP nơi xuất phát (IP Source address) o Địa chỉ IP nơi nhận (IP Destination address) o Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) o Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) o Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

o Dạng thông báo ICMP (ICMP message type) o Giao diện gói tin đến (incomming interface of packet) o Giao diện gói tin đi (outcomming interface of packet) o Kiểu giao thức (protocol type) - Nếu luật lệ của bộ lọc gói tin được thỏa mãn thì gói tin được chuyển qua Firewall. Nếu không gói tin sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. Tiết 4: Firewall lọc gói tin có trạng thái - Các packet filter chuẩn có một số thiếu sót, nó xuất phát từ vấn đề là một gói dữ liệu trong một phiên truyền thông có thể không bao gồm đủ các thông tin để xác định nó có phù hợp hay không, vì nó chỉ là một phần của một phiên truyền thông lớn. Thêm nữa, các packet filter chuẩn không có trạng thái, nghĩa là mỗi gói IP được kiểm tra tách biệt với những gì được xảy ra trước đây, buộc bộ lọc gói đưa ra một quyết định để cho phép hoặc từ chối mọi gói dựa vào các qui tắc lọc. Firewall có trạng thái giải quyết vấn đề này bằng cách lưu giữ lại các thông tin về các phiên truyền thông trong bộ nhớ và sử dụng trạng thái nhớ để định rõ các packet có phù hợp hay không. - Firewall có trạng thái nhớ trạng thái của các kết nối tại mức mạng và phiên nhờ ghi lại các thông tin thiết lập phiên mà được pass thông qua Firewall. - Firewall có trạng thái không cho phép bất cứ dịch vụ nào thông qua firewall, ngoại trừ các dịch vụ này đã được cấu hình để cho phép và các nối đã sẵn sàng trong bảng trạng thái của chúng. Hình 7 Nguyên tắc làm việc của Firewall có trạng thái

- Stateful multilayer inspection firewall: đây là loại kết hợp được các tính năng của các loại firewall: lọc các gói tại lớp mạng và kiểm tra nội dung các gói tại lớp ứng dụng. Firewall loại này cho phép các kết nối trực tiếp giữa các client và các host nên giảm được các lỗi xảy ra do tính chất "không trong suốt" của firewall kiểu Application gateway. Stateful multilayer inspection firewall cung cấp các tính năng bảo mật cao và lại trong suốt đối với các người dùng đầu cuối. Tiết 5: Firewall mức ứng dụng (Application level gateway) - Kiểu firewall này hoạt động dựa trên phần mềm. Khi một kết nối từ một người dùng nào đó đến mạng sử dụng firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đã đặt ra trên firewall thì firewall sẽ tạo một cái cầu kết nối giữa hai node với nhau. - Đây là loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. - Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service (dịch vụ đại diện). Proxy Service là các bộ mã đặc biệt được cài đặt trên cổng ứng dụng cho từng ứng dụng khác nhau. Nếu người quản trị mạng không cài đặt Proxy Code cho một ứng dụng nào đó, dịch vụ tương ứng của nó sẽ không được cung cấp và do đó nó cũng không được chuyển qua firewall. Ngoài ra, Proxy Code có thể được định cấu hình để hỗ trợ chỉ một một số đặc điểm trong ứng dụng mạng cho phép là chấp nhận được trong khi các từ chối những đặc điểm khác của ứng dụng. - Thông thường một cổng ứng dụng được xem như một pháo đài (bastion host). Bởi vì nó được thiết kế đặc biệt để chống lại những sưh tấn công từ bên ngoài. Những biện pháp để đảm bảo an ninh là: o Bastion host luôn chạy các phiên bản an toàn của phần mềm hệ thống. o Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau. o Chỉ những dịch vụ mà nguời quản trị cho là cần thiết mới được cài đặt trên bastion host. o Mỗi proxy được cấu hình để cho phép truy cập chỉ một số máy chủ nhất định. o Mỗi proxy nên duy trì một nhật ký ghi chép lại toàn bộ chi tiết giao vận qua nó. - Circuit level gateway: hoạt động tại lớp phiên (session) của mô hình OSI hay lớp TCP trong mô hình giao thức TCP/IP. - Cổng mạch là một chức năng đặc biệt có thể được thực hiện bởi một cổng ứng dụng (application gateway). Cổng mạch đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Cổng mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. - Cụ thể hơn, một cổng mạch thực hiện ba điều sau đây khi một client muốn thiết lập một nối kết TCP với một Server: o Nó nhận yêu cầu thiết lập kết nối từ TCP vốn được gửi đi từ client (bởi vì client được cấu hình để sử dụng cổng mạch). o Nó xác thực và có thể cấp quyền cho client. o Nó thiết lập một nối kết TCP thứ hai với Server thay mặt cho client. - Cổng mạch quan trọng nhất đang được sử dụng ngày nay là SOCKS. Nó là cổng mạch vốn thực hiện theo một phương pháp client được tùy biến, nghĩa là nó đòi hỏi các phần

tùy biến và chỉnh sửa đối với phần mềm client (nghĩa là nó không đòi hỏi sự thay đổi đối với các thủ tục người dụng). Tiết 6: Các mô hình triển khai Firewall - Mô hình firewall lọc gói tin: - Mô hình Screened Host Firewall: Hình 8 Mô hình Firewall lọc gói tin Hình 9 Mô hình Screened Host Firewall - Mô hình Demilitarized Zone (DMZ) hay Screened-subnet Firewall:

Hình 10 Mô hình Demilitarized Zone (DMZ) Hình 11 Đặt nhiều proxy server trong vùng DMZ b) Nội dung thảo luận Tiết 7: - Tổng quan về bức tường lửa. - Phân loại bức tường lửa. - Tường lửa lọc gói. o Stateless packet filtering firewall. o Stateful inspection firewall. - Tường lửa mức ứng dụng. o Application level gateway. o Circuit level gateway. - Các mô hình triển khai tường lửa. c) Nội dung tự học - Tường lửa kiểu NAT.

- Đánh giá tường lửa. - Tấn công tường lửa. d) Bài tập (bắt buộc, mở rộng): Tiết 8 + 9: Bắt buộc: - Cài đặt thử nghiệm các giải pháp tường lửa: o Stateless packet filtering firewall. o Stateful inspection firewall. o Application level gateway. o Circuit level gateway. - Mở rộng: - Thử nghiệm các các giải pháp tường lửa: o NAT. o Đánh giá tường lửa. e) Thí nghiệm: Thực hiện tại Phòng thí nghiệm của bộ môn. - Thực hiện sau khi học xong phần lý thuyết và bài tập trên lớp. - Nội dung: thực hiện các bài thí nghiệm trên môi trường mạng. - Mô phỏng và thử nghiệm các giải pháp bức tường lửa. 5. Tài liệu tham khảo (sách, báo chi tiết đến chương, mục, trang) - Bài 4: Slide bài giảng của giáo viên. - Phần 3, 4, 5: Richard A. Deal, Cisco Router Firewall Security, Cisco Press, 2004. - Phần 3: Saadat Malik, Network Security Principles and Practices, Cisco Press, 2004. - Chương 6, 7, 8, 10, 11, Phần 2: Matthew Strebe, Charles Perkins, Firewalls 24Seven, 2000 SYBEX Inc. - Chương 12: John E. Canavan, Fundamentals of Network Security, Artech House telecommunications library, 2000. 6. Câu hỏi ôn tập - Tổng quan về bức tường lửa. - Phân loại bức tường lửa. - Tường lửa lọc gói. - Tường lửa mức ứng dụng. - Tường lửa kiểu NAT. - Các mô hình triển khai tường lửa. - Đánh giá tường lửa. - Tấn công tường lửa.