Báo cáo thiết kế tường lửa

Báo cáo thiết kế tường lửa

Thiết kế tường lửa Tổng quan

Trong bài học này, bạn sẽ được cung cấp những khái niệm và những công nghệ được sử dụng trong thiết kế hệ thống tường lửa.Bạn sẽ nhận biết được những phương pháp thi công tường lửa trong những viễn cảnh khác nhau,sử dụng những kỹ thuật khác nhau Những chiến lược và khái niệm trong bài học này rất quan trọng để hiểu được những bài học sau.

Mục tiêu

1A Xem xét những nguyên tắc thiết kế và thi công tường lửa

Một hệ thống tường lửa được mang đến, bạn sẽ phải nhận dạng và mô tả hệ phương pháp về chức năng của tường lửa và cách thi công nó.

1B Tạo một chính sách tường lửa dựa trên những yếu tố đã được cung cấp.

Trả lời những câu hỏi liên quan đến tường lửa, bạn sẽ tạo ra một chính sách tường lửa.

1C.Tạo ra những quy tắc được cài đặt để lọc gói tin

Mang đến một ngữ cảnh mạng, bạn sẽ tạo ra một nguyên tắc cài đặt cho hệ thống tường lửa lọc gói tin.

1D Mô tả chức năng của một máy chủ proxy.

Mang đến một ngữ cảnh mạng, bạn sẽ mô tả quá trình các máy con nội bộ sử dụng một máy chủ proxy để truy cập các trang web ngoài Internet.

1E Mô tả máy thành trì bao gồm như thế nào trong bảo mật mạng

Mang đến một ngữ cảnh mạng, bạn sẽ mô tả cách tạo ra những chức năng của máy thành trì trong bảo mật mạng.

Chủ đề 1A

Thành phần của tường lửa

Khái niệm an ninh mạng là một chủ đề đa dạng và đầy thử thách để thảo luận.Có quá nhiều khu vực khác nhau với những kiến trúc mạng khác nhau được dính líu tới, từ hệ thống tin nhắn đến cơ sở dữ liệu, từ những giải pháp in ấn và tập tin đến kết nối những hệ thống mạng từ xa.Giữa những khu vực đó của hệ thống mạng chúng ta tìm thấy nhiều thứ như những giải pháp kiểm soát truy cập, chính sách kiểm soát người dùng (chính sách nhóm trong môi trường Windows), và một loạt các chức năng, cài đặt và các tùy chọn phục vụ để làm nhầm lẫn và làm bối rối người dùng trung bình của một máy tính trong một miền của mạng.

Bảo mật và bảo vệ mạng dựa trên những tài sản là miền (domain) của kỹ sư mạng, người có hiểu biết về kỹ thuật, có kỹ năng cao và nhiều điều nữa rất khó nói cho bạn hiểu nếu bạn không phải là một kỹ sư mạng

Hình ảnh sau đây là một ví dụ về tường lửa đơn giản

Hình 1.1

Tường lửa thường có vị trí luận lý giữa mạng nội bộ(LAN) và mạng bên ngoài(WAN).Tường lửa đặt ở đó để thực hiện chức năng của nó,từ chối hay chấp nhận truy cập dựa trên những nguyên tắc mà nhà quản trị mạng đã cài đặt trên thiết bị.

Qua nhiều năm qua,cung cấp chức năng này đơn giản để từ chối hay chấp nhận truy cập là đủ để tạo thành một mức bảo mật cơ bản cho hầu hết các mạng của chúng ta.Thách thức là phải tăng sự vững chắc hơn là cung cấp sự bảo mật cơ bản vì các hacker và các kẻ thù của mạng được bảo vệ bởi tường lửa luôn ngồi lại và tìm ra cách để phá vỡ sự bảo mật được tạo ra bởi tường lửa Kết quả là, việc bổ sung các tính năng và các tùy chọn mới

cho các bức tường lửa đã trở thành một phần rất quan trọng trong sự phát triển liên tục của an ninh mạng tổng thể, và khả năng bảo vệ mạng của chúng ta từ những lưu thông và những kết nối không mong đợi hay không được chứng thực.

Ngoài việc từ chối hay chấp nhận truy cập, bây giờ tường lửa còn xuất hiện các dịch vụ sau:

Network Address Translation (NAT): NAT được sử dụng bởi Router để chuyển đổi giữa địa chỉ IP riêng và địa chỉ IP chung.

Đệm dữ liệu: Chức năng này cho phép Router lưu trữ dữ liệu được truy cập thường xuyên bởi các máy con trong mạng.

Hạn chế nội dung: chức năng này được sử dụng trong nhiều hệ thống mới,cho phép nhà quản trị điều khiển truy cập Internet dựa trên việc hạn chế từ khóa.

Phương pháp xây dựng tường lửa

Tường lửa có hai phương pháp phổ biến để thi hành bảo mật trong mạng,dù có nhiều biến thể của hai phương pháp trên,hầu hết các sự sửa đổi chung quy cũng là một trong hai loại trên.Hai phương pháp phổ biến đó là:

- Lọc gói tin

- Sử dụng máy chủ proxy (cổng ứng dụng)

Lọc gói tin là loại tường lửa đầu tiên được sử dụng bởi nhiều tổ chức để bảo vệ mạng của họ.Phương pháp phổ biến để thực hiện lọc gói tin là sử dụng Router.Các Router có khả năng cho phép hoặc từ chối gói tin đi qua,dựa trên những quy tắc đơn giản mà nhà quản trị tạo ra.

Mặc dù những tường lửa đó có thể thực hiện chức năng lọc,nhưng chúng đã bị hạn chế bởi thực tế là chúng được thiết kế chỉ để xem các thông tin tiêu đề của gói tin.Một ví dụ về hạn chế là bộ lọc có thể chặn truy cập FTP nhưng không thể chặn chỉ một lệnh PUT trong FTP.

Việc bổ sung các máy chủ proxy (cũng được biết đến như là một cổng ứng dụng) khả năng các bức tường lửa tạo ra một sản phẩm an ninh vững chắc hơn nhiều so với một bộ

lọc gói thuần túy nhờ khả năng cung cấp riêng tư của nó Các phần mềm proxy có thể đưa ra quyết định dựa trên nhiều hơn tiêu đề của một gói tin.

Các máy chủ proxy sử dụng phần mềm để ngăn chặn lưu thông mạng những cái được mang đến cho ứng dụng.Proxy nhận các yêu cầu và thay mặt cho máy khách gửi yêu cầu đến máy chủ.Trong trường hợp này máy khách nội bộ không bao giờ thực hiện kết nối trực tiếp đến máy chủ bên ngoài.Thay vì kết nối trực tiếp, chức năng của proxy như là người ở giữa và nói chuyện với cả máy khách và máy chủ,chuyển tiếp thông điệp qua lại Lợi thế lớn cho việc này là các phần mềm proxy có thể được chỉ thị để chấp nhận hoặc từ chối lưu thông dựa trên các dữ liệu thực tế trong gói, không phải chỉ đơn giản là tiêu đề.Nói cách khác, proxy là sự nhận thức của các phương pháp truyền thông, và sẽ trả lời phù hợp, không phải chỉ mở và đóng cổng theo một hướng nhất định.

Những thứ tường lửa không làm được

Vì vậy, nếu một bức tường lửa có thể sử lọc gói tin, các dịch vụ proxy, một sự kết hợp của cả hai, hoặc lọc tuỳ chỉnh để tạo ra một môi trường an toàn cho dữ liệu của chúng ta, một câu hỏi hợp lý mà chúng ta phải hỏi là “tường lửa không thể làm gì để bảo vệ mạng” Thật không may, như là trường hợp thông thường, không có cuộc thảo luận nào xảy ra cho phép người quản trị hiểu thêm về những lý do đằng sau những cần thiết của tường lửa, và những gì là mục tiêu của tường lửa trong hệ thống mạng là : chúng được đòi hỏi là phải hoàn thành.

Liên quan đến nhà bảo mật mạng và những khó khăn của họ về việc phải mua một thiết bị sẽ phải làm nhiều thứ, có thể cần thiết hoặc không cần thiết cho những vấn đề an ninh mạng,sẽ rất hữu ích cho chúng ta nếu biết nhìn sơ lược những gì tường lửa không thể làm được để có thể bắt đầu hiểu những gì tường lửa có thể làm.

Một vài vấn đề mà tường lửa có thể sẽ gặp khó khăn trong bảo mật là:

Virus: Một số tường lửa không có khả năng phát hiện virus, tuy nhiên kẻ tấn công có thể gửi virus trong nhiều hình thức và tường lửa không thiết kế như một hệ thống chống virus, đây không phải là chức năng chính của một tường lửa.Tường lửa của bạn có thể xác định một số loại virus, nhưng bạn nên luôn luôn sử dụng phần mềm chống virus bên trong

Sai sót của nhân viên: Nhân viên thường làm những thứ vô tình.Họ có thể trả lời đến những địa chỉ email giả mạo,hoặc chạy những chương trình đến được gửi từ bạn bè mà họ cho rằng chúng an toàn.

Kết nối thứ hai:Nếu những nhân viên có modem trong máy tính của họ và có thể sử dụng kết nối mạng không dây, họ có thể thực hiện những kết nối mới ra ngoài Internet vì những lý do cá nhân.Những kết nối đó tạo ra các bức tường lửa vô ích cho các máy con này.Nếu chức năng chia sẽ File được bật điều này có thể dẫn đến những kết quả bất lợi trong khi chính tường lửa của máy đó có thể vẫn được cấu hình đúng.

Vấn đề xã hội: Nếu nhà quản trị mạng mang thông tin tường lửa ra ngoài cho những người đang gọi đến từ nhà cung cấp dịch vụ chẳng hạn mà không có bất cứ sự xác minh nào,đó là một vấn đề nghiêm trọng.

Thi hành những tùy chọn cho tường lửa

Không có một tiêu chuẩn chính xác để thực hiện một bức tường lửa trong mạng Các khái niệm sau đây cho thấy nhiều khả năng khác nhau cho việc triển khai tường lửa:

Thiết bị lọc gói tin đơn

Như được thể hiện trong hình sau đây, mạng này đã được bảo vệ bởi một thiết bị đơn cấu hình như một bộ lọc gói tin, cho phép hoặc từ chối truy cập dựa trên nội dung của các tiêu đề gói tin.

Hình 1.2.Một ví dụ về thiết bị lọc gói đơn

Thiết bị Multi-homed

Như được thể hiện trong hình sau đây, mạng này đang được bảo vệ bởi một thiết bị (hầu hết giống một máy tính) đã được cấu hình với nhiều giao diện mạng.Phần mềm Proxy sẽ chạy trên thiết bị để chuyển tiếp các gói tin giữa các giao diện.

Hình 1.3.Ví dụ về thiết bị multi-home như một máy chủ proxy Máy chủ được che chắn

Như được thể hiện trong hình sau đây, mạng được bảo vệ bằng cách kết hợp chức năng của các máy chủ proxy và các chức năng của lọc gói tin.Bộ lọc gói tin chỉ nhận thông tin đến từ proxy Nếu máy khách trực tiếp liên lạc với bộ lọc proxy, dữ liệu sẽ bị loại bỏ.

Hình 1.4 Ví dụ về máy chủ được bảo vệ chạy sau thiết bị lọc gói tin

“Khu vực phi quân sự” DMZ

Theo hình sau,mạng có một vùng đặc biệt được tạo ra để đặt các server cần kết nối với cả hai internet và intranet dựa trên các máy khách.Vùng đặc biệt này,DMZ,yêu cầu hai thiết bị lọc (tường lửa truyền thống thường sử dụng như vậy) và có thể có nhiều thiết bị tồn tại trong ranh giới của nó.

Hình 1.5 Ví dụ về vùng phi quân sự (DMZ)

Kế hoạch cho tường lửa

Mục tiêu: Để thực hiện hệ thống tường lửa, bạn sẽ cần phải có sơ đồ các phương pháp khác nhau được sử dụng để triển khai.

1. Sơ đồ các phương pháp mô tả trong chủ đề này để triển khai tường lửa hầu hết phản ánh chính xác các thiết kế mạng hiện tại của bạn

Chủ đề 1B

Tạo một chính sách firewall

Trước khi bắt tay vào việc triển khai một hệ thống firewall, bạn phải xây dựng được một chính sách firewall Nhiều trường hợp, các tổ chức vội vàng sắm sửa và cài đặt firewall mà không bận tâm đến chuyện thiết bị phức tạp này nên được sử dụng như thế nào cho đúng.

Muốn có được một hệ thống firewall được thiết kế và triển khai tốt thì trước hết bạn cần phải có một chính sách firewall đúng đắn Và chính sách firewall là một phần của chính sách bảo mật mà tổ chức của bạn đang áp dụng.

Nhìn chung, có hai quan điểm chính về chính sách firewall: hoặc là ngăn cấm mọi thứ ngoại trừ những cái được cho phép, hoặc là cho phép mọi thứ ngoại trừ những cái bị cấm Và đa số đều nhất trí với quan điểm đầu tiên

Theo đó thì chỉ có các lưu lượng mạng nào mà bạn chỉ định rõ là được phép mới có thể đi qua firewall và tất cả các lưu lượng mạng còn lại đều bị firewall chặn lại Điều này cũng giúp giảm bớt gánh nặng công việc cho các quản trị mạng/bảo mật Cứ tưởng tượng bạn phải lên danh sách cấm tất cả các cổng (port) mà Trojan thường sử dụng cũng như chặn tất cả các cổng dành cho các ứng dụng mà người dùng không được phép sử dụng, và sau đó là tạo các rule trong firewall để chặn từng cổng này Đem so công việc này với việc lên danh sách các cổng (mỗi cổng tương ứng với một dịch vụ/ứng dụng nào đó) mà người dùng được phép sử dụng và cấp cho họ quyền truy cập tới những ứng dụng/dịch vụ đó Có nhiều tên gọi khác nhau dành cho các khoản mục mà có thể có trong chính sách bảo

mật, và chúng thì tuân theo một quy chuẩn chung Các khoản mục đó gồm: Acceptable

Usage Statement, Network Connection Statement, Contracted Worker Statement, và Firewall Administrator Statement.

Sau khi xây dựng xong chính sách bảo mật tổng thể, nếu có quá nhiều nội dung trong đó (một vài tổ chức có các chính sách được trình bày trong hàng trăm trang giấy) thì có thể bạn muốn chọn ra các phần liên quan tới firewall và chép lại thành một tài liệu bổ sung mà chỉ chứa các chính sách về firewall mà thôi.

Tuy không nhất thiết phải có một tài liệu phụ như vậy nhưng nó sẽ làm cho việc tham khảo, tìm kiếm và xem xét chính sách firewall được dễ dàng hơn Nhiều tổ chức hiện này có một web server nội bộ mà lưu trữ các tài liệu quan trọng để các nhân viên có thể truy

cập tới Chính sách là một trong các tài liệu đó và việc đọc tài liệu phụ về chính sách firewall ở trên sẽ dễ dàng hơn so với việc phải cuộn qua 200 trang nội dung.

Acceptable Usage Statement

Có thể sẽ phải mất nhiều thời gian và công sức để tạo ra phần này của chính sách Đối với một vài tổ chức thì việc mô tả chi tiết cách sử dụng máy tính trong mạng sao cho phù hợp là một việc khó khăn Cần thiết phải đạt được sự cân đối giữa ham muốn duy trì an ninh ở mức cao và việc đem lại cho nhân viên khả năng thực hiện tốt công việc của họ Tuy nhiên, trong một tổ chức thì máy tính là thiết bị thường bị sử dụng sai trái nhất Đây là điều mà chính sách bảo mật cần phải kiểm soát.

Dưới đây là một vài điểm cần cân nhắc khi tạo phần này của chính sách:

• Không cài đặt lên bất kỳ máy tính nào các ứng dụng không được cung cấp/chấp thuận bởi công ty Điều này bao gồm bất kỳ chương trình nào mà có thể được tải về từ Internet hoặc có trong CD-ROM, DVD-ROM, thiết bị USB.

• Trong bất kỳ trường hợp nào thì các ứng dụng được cấp cho một máy tính nào đó trong tổ chức không nên được sao chép/cài đặt lên bất kỳ máy tính nào khác, bao gồm máy tính cá nhân của người dùng, trừ khi tổ chức có những chính sách quy định rõ ràng sự cho phép này.

• Nếu người dùng tạm thời không dùng tới máy tính thì máy tính đó cần được đặt trong trạng thái khóa Các màn hình bảo vệ (screensaver) phải sử dụng tùy chọn bảo vệ bằng mật khẩu.

• Máy tính và các ứng dụng được cài đặt chỉ được sử dụng cho các công việc liên quan đến hoạt động của tổ chức.

• Ngăn cấm sử dụng máy tính và các ứng dụng được cài đặt để đe dọa hoặc quấy nhiễu người khác.

Từ danh sách trên, ta thấy rằng có nhiều thứ cần được đề cập trong chính sách Nếu có nhiều điều luật không thể được thực thi trên firewall thì tốt nhất chúng nên nằm trong tài liệu về chính sách bảo mật tổng thể của tổ chức Một vài điều luật trong danh sách kể trên rơi vào các mục như: màn hình bảo vệ, cài đặt ứng dụng, đe dọa người khác Những khoản mục này rõ ràng phải nằm trong chính sách bảo mật thay vì được thực thi trực tiếp lên firewall.

Network Connection Statement

Phần này của chính sách dính líu tới các loại thiết bị được cấp quyền kết nối vào mạng Đây là nơi bạn có thể xác định các vấn đề liên quan tới các hệ điều hành mạng, các thiết bị mạng, và những thiết bị này phải được cấu hình như thế nào để đảm bảo an toàn cho mạng.

Phần này bao gồm các khoản mục mà có can hệ mật thiết tới firewall như:

• Không cho phép bất kỳ ai trong mạng thực hiện việc rà soát mạng (network scanning) ngoại trừ những người giữ vai trò làm quản trị cho mạng đó.

• Người dùng có thể truy cập vào các FTP site để tải về và tải lên các tập tin cần thiết nhưng cấm các máy tính của người dùng có cài đặt và đang chạy một phần mềm FTP server.

• Người dùng có thể truy cập dịch vụ Web (WWW) trên cổng 80 khi cần.

• Người dùng có thể truy cập dịch vụ Email trên cổng 25 khi cần.

• Có thể không cho phép người dùng truy cập dịch vụ NNTP trên bất kỳ cổng nào.

• Người dùng nằm trong mạng con (subnet) 10.0.10.0 được phép sử dụng SSH cho các mục đích quản trị từ xa.

• Người dùng không nằm trong mạng con 10.0.10.0 không được phép sử dụng SSH để kết nối tới bất kỳ vị trí hoặc thiết bị nào.

• Cấm người dùng sử dụng các phần mềm chat qua Internet như AOL Instant Messenger, Yahoo Chat, IRC, ICQ, MSN Chat…

• Không cho phép người dùng tải về các tập tin có kích thước quá 5 MB.

• Phần mềm diệt virus phải được cài đặt và đang chạy trên tất các máy tính

• Việc cập nhật cho phần mềm diệt virus cần được thực hiện hàng tuần trên các máy tính của người dùng.

• Cập nhật hàng ngày cho phần mềm diệt virus chạy trên các máy chủ.

• Các quản trị mạng là những người duy nhất được phép cài đặt các phần cứng mới (như card mạng và modem) cho các máy tính.

• Chặn các kết nối trái phép từ Internet tới các máy tính trong mạng nội bộ.

Như bạn thấy, danh sách này có thể dài hơn nữa Đây có thể là lúc mà bạn cần bỏ ra nhiều thì giờ nhất để gây dựng chính sách firewall.

Contracted Worker Statement

Phần này của chính sách thường được xem xét kỹ Chính sách phải giải quyết các vấn đề liên quan đến các nhân viên không chính thức hoặc nhân viên tạm thời Những cá nhân này thi thoảng mới cần truy cập tới các tài nguyên trên mạng.

Dưới đây là một số ví dụ về các khoản mục trong phần chính sách này Lưu ý, danh sách này có thể trùng lắp với các phần chính sách khác nhưng đây không phải là vấn đề quan trọng.

• Cấm các nhân viên này truy cập trái phép tới các tài nguyên trong mạng.

• Không cho phép các nhân viên này thực hiện rà quét mạng.

• Ngăn chặn các nhân viên này sao chép dữ liệu từ máy tính sang các thiết bị lưu trữ di động như CD-ROM, DVD-ROM, USB…

• Không cho các nhân viên sử dụng dịch vụ FTP, Telnet, SSH trừ khi các trường hợp đặc biệt.

Từ những ví dụ trên ta thấy rằng có nhiều điểm trùng lắp giữa các phần chính sách với nhau.

Firewall Administrator Statement

Một vài tổ chức không có một điều khoản tách biệt dành cho bản thân người quản trị firewall Nhưng nếu tổ chức của bạn yêu cầu điều này thì dưới đây là một số ví dụ về các khoản mục mà có thể có trong phần chính sách này:

• Người quản trị firewall phải được chứng nhận bởi hãng sản xuất sản phẩm firewall.

• Người quản trị firewall phải có chứng chỉ SCNA.

• Người quản trị firewall phải biết rõ về tất cả các ứng dụng được phép cài đặt trên các máy tính trong mạng.

• Người quản trị firewall sẽ làm báo cáo và gửi trực tiếp cho CSO (Chief Security Officer).