Tại sao cần phải có internet firewall

1 2 M•c l•c 1. An toàn thông tin trên mng _____________ Error! Bookmark not defined. 1.1 Ti sao cn có Internet Firewall ___________ Error! Bookmark not defined. 1.2 Bn mun bo v cái gì?__________________ Error! Bookmark not defined. 1.2.1 D liu ca bn ____________________ Error! Bookmark not defined. 1.2.2 Tài nguyên ca bn _________________ Error! Bookmark not defined. 1.2.3 Danh ting ca bn _________________ Error! Bookmark not defined. 1.3 Bn mun bo v chng li cái gì? _________ Error! Bookmark not defined. 1.3.1 Các kiu tn công __________________ Error! Bookmark not defined. 1.3.2 Phân loi k tn công _______________ Error! Bookmark not defined. 1.4 Vy Internet Firewall là gì? _______________ Error! Bookmark not defined. 1.4.1 nh ngha________________________ Error! Bookmark not defined. 1.4.2 Chc nng ________________________ Error! Bookmark not defined. 1.4.3 Cu trúc__________________________ Error! Bookmark not defined. 1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not defined. 1.4.5 Nhng hn ch ca firewall __________ Error! Bookmark not defined. 1.4.6 Các ví d firewall __________________ Error! Bookmark not defined. 2. Các dch v Internet ______________Error! Bookmark not defined. 2.1 World Wide Web - WWW________________ Error! Bookmark not defined. 2.2 Electronic Mail (Email hay th in t). ____ Error! Bookmark not defined. 2.3 Ftp (file transfer protocol hay dch v chuyn file) ___ Error! Bookmark not defined. 2.4 Telnet và rlogin _________________________ Error! Bookmark not defined. 2.5 Archie_________________________________ Error! Bookmark not defined. 2.6 Finger _________________________________ Error! Bookmark not defined. 3 3. H thng Firewall xây dng bi CSE_Error! Bookmark not defined. 3.1 Tng quan _____________________________ Error! Bookmark not defined. 3.2 Các thành phn ca b chng trình proxy: _ Error! Bookmark not defined. 3.2.1 Smap: Dch v SMTP _______________ Error! Bookmark not defined. 3.2.2 Netacl: công c iu khin truy nhp mng _____ Error! Bookmark not defined. 3.2.3 Ftp-Gw: Proxy server cho Ftp ________ Error! Bookmark not defined. 3.2.4 Telnet-Gw: Proxy server cho Telnet____ Error! Bookmark not defined. 3.2.5 Rlogin-Gw: Proxy server cho rlogin____ Error! Bookmark not defined. 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net______ Error! Bookmark not defined. 3.2.7 Plug-Gw: TCP Plug-Board Connection server___ Error! Bookmark not defined. 3.3 Cài t ________________________________ Error! Bookmark not defined. 3.4 Thit lp cu hình: ______________________ Error! Bookmark not defined. 3.4.1 Cu hình mng ban u______________ Error! Bookmark not defined. 3.4.2 Cu hình cho Bastion Host ___________ Error! Bookmark not defined. 3.4.3 Thit lp tp hp quy tc_____________ Error! Bookmark not defined. 3.4.4 Xác thc và dch v xác thc _________ Error! Bookmark not defined. 3.4.5 S dng màn hình iu khin CSE Proxy: ______ Error! Bookmark not defined. 3.4.6 Các vn  cn quan tâm vi ngi s dng ____ Error! Bookmark not defined. 4 1. An toàn thông tin trên mng 1.1 Ti sao cn có Internet Firewall Hin nay, khái nim mng toàn cu - Internet không còn mi m. Nó ã tr nên ph bin ti mc không cn phi chú gii gì thêm trong nhng tp chí k thut, còn trên nhng tp chí khác thì tràn ngp nhng bài vit dài, ngn v Internet. Khi nhng tp chí thông thng chú tr ng vào Internet thì gi ây, nhng tp chí k thut li tp trung vào khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nhng vui thích ban u v mt siêu xa l thông tin, bn nht nh nhn thy r!ng không ch" cho phép bn truy nhp vào nhiu ni trên th gii, Internet còn cho phép nhiu ngi không mi mà t ý ghé thm máy tính ca bn. Thc vy, Internet có nhng k thut tuyt vi cho phép m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó c#ng là nguy c chính d$n n thông tin ca bn b h h%ng ho&c phá hu' hoàn toàn. Theo s( liu ca CERT(Computer Emegency Response Team - “i cp cu máy tính”), s( lng các v tn công trên Internet c thông báo cho t chc này là ít hn 200 vào nm 1989, khong 400 vào nm 1991, 1400 vào nm 1993, và 2241 vào nm 1994. Nhng v tn công này nh!m vào tt c các máy tính có m&t trên Internet, các máy tính ca tt c các công ty ln nh AT&T, IBM, các trng i h c, các c quan nhà nc, các t chc quân s, nhà bng Mt s( v tn công có quy mô khng l) (có ti 100.000 máy tính b tn công). Hn na, nhng con s( này ch" là phn ni ca tng bng. Mt phn rt ln các v tn công 5 không c thông báo, vì nhiu lý do, trong ó có th k n n*i lo b mt uy tín, ho&c n gin nhng ngi qun tr h th(ng không h hay bit nhng cuc tn công nh!m vào h th(ng ca h . Không ch" s( lng các cuc tn công tng lên nhanh chóng, mà các phng pháp tn công c#ng liên tc c hoàn thin. iu ó mt phn do các nhân viên qun tr h th(ng c kt n(i vi Internet ngày càng  cao cnh giác. C#ng theo CERT, nhng cuc tn công thi k+ 1988- 1989 ch yu oán tên ngi s dng-mt kh,u (UserID- password) ho&c s dng mt s( l*i ca các chng trình và h iu hành (security hole) làm vô hiu h th(ng bo v, tuy nhiên các cuc tn công vào thi gian gn ây bao g)m c các thao tác nh gi mo a ch" IP, theo dõi thông tin truyn qua mng, chim các phiên làm vic t- xa (telnet ho&c rlogin). 6 1.2 Bn mun bo v cái gì? Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây dng firewall, vic u tiên bn cn xem xét chính là bn cn bo v cái gì. 1.2.1 D liu ca bn Nhng thông tin lu tr trên h th(ng máy tính cn c bo v do các yêu cu sau:  Bo mt: Nhng thông tin có giá tr v kinh t, quân s, chính sách vv cn c gi kín.  Tính toàn v.n: Thông tin không b mt mát ho&c sa i, ánh tráo.  Tính kp thi: Yêu cu truy nhp thông tin vào úng thi im cn thit. Trong các yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng. Tuy nhiên, ngay c khi nhng thông tin này không c gi bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan tr ng. Không mt cá nhân, mt t chc nào lãng phí tài nguyên vt cht và thi gian  lu tr nhng thông tin mà không bit v tính úng n ca nhng thông tin ó. 1.2.2 Tài nguyên ca bn Trên thc t, trong các cuc tn công trên Internet, k tn công, sau khi ã làm ch c h th(ng bên trong, có th s dng các máy này  phc v cho mc ích ca mình nh chy các chng trình dò mt kh,u ngi s dng, s dng các liên kt mng s/n có  tip tc tn công các h th(ng khác vv 7 1.2.3 Danh ting ca bn Nh trên ã nêu, mt phn ln các cuc tn công không c thông báo rng rãi, và mt trong nhng nguyên nhân là n*i lo b mt uy tín ca c quan, &c bit là các công ty ln và các c quan quan tr ng trong b máy nhà nc. Trong trng hp ngi qun tr h th(ng ch" c bit n sau khi chính h th(ng ca mình c dùng làm bàn p  tn công các h th(ng khác, thì tn tht v uy tín là rt ln và có th  li hu qu lâu dài. 8 1.3 Bn mun bo v chng li cái gì? Còn nhng gì bn cn phi lo lng. Bn s0 phi ng u vi nhng kiu tn công nào trên Internet và nhng k nào s0 thc hin chúng? 1.3.1 Các kiu tn công Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách  phân loi nhng kiu tn công này.  ây, chúng ta chia thành 3 kiu chính nh sau: 1.3.1.1 Tn công trc tip Nhng cuc tn công trc tip thông thng c s dng trong giai on u  chim c quyn truy nhp bên trong. Mt phng pháp tn công c in là dò c&p tên ngi s dng-mt kh,u. ây là phng pháp n gin, d1 thc hin và không òi h%i mt iu kin &c bit nào  bt u. K tn công có th s dng nhng thông tin nh tên ngi dùng, ngày sinh, a ch", s( nhà vv  oán mt kh,u. Trong trng hp có c danh sách ngi s dng và nhng thông tin v môi trng làm vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet  gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có kh nng th các t hp các t- trong mt t- in ln, theo nhng quy tc do ngi dùng t nh ngha. Trong mt s( trng hp, kh nng thành công ca phng pháp này có th lên ti 30%. Phng pháp s dng các l*i ca chng trình ng dng và bn thân h iu hành ã c s dng t- nhng v tn công u tiên và v$n c tip tc  chim quyn truy 9 nhp. Trong mt s( trng hp phng pháp này cho phép k tn công có c quyn ca ngi qun tr h th(ng (root hay administrator). Hai ví d thng xuyên c a ra  minh ho cho phng pháp này là ví d vi chng trình sendmail và chng trình rlogin ca h iu hành UNIX. Sendmail là mt chng trình phc tp, vi mã ngu)n bao g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c chy vi quyn u tiên ca ngi qun tr h th(ng, do chng trình phi có quyn ghi vào hp th ca nhng ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tín trên mng bên ngoài. ây chính là nhng yu t( làm cho sendmail tr thành mt ngu)n cung cp nhng l* hng v bo mt  truy nhp h th(ng. Rlogin cho phép ngi s dng t- mt máy trên mng truy nhp t- xa vào mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt kh,u ca ngi s dng, rlogin không kim tra  dài ca dòng nhp, do ó k tn công có th a vào mt xâu ã c tính toán trc  ghi è lên mã chng trình ca rlogin, qua ó chim c quyn truy nhp. 1.3.1.2 Nghe trm Vic nghe trm thông tin trên mng có th a li nhng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng. Vic nghe trm thng c tin hành ngay sau khi k tn công ã chim c quyn truy nhp h th(ng, thông qua các chng trình cho phép a v" giao tip mng (Network Interface Card-NIC) vào ch  nhn toàn b các thông tin lu truyn trên mng. 10 Nhng thông tin này c#ng có th d1 dàng ly c trên Internet. 1.3.1.3 Gi mo a ch Vic gi mo a ch" IP có th c thc hin thông qua vic s dng kh nng d$n ng trc tip (source- routing). Vi cách tn công này, k tn công gi các gói tin IP ti mng bên trong vi mt a ch" IP gi mo (thông thng là a ch" ca mt mng ho&c mt máy c coi là an toàn (i vi mng bên trong), )ng thi ch" rõ ng d$n mà các gói tin IP phi gi  i. 1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial of service) ây là ku tn công nh!m tê lit h th(ng, không cho nó thc hin chc nng mà nó thit k. Kiu tn công này không th ngn ch&n c, do nhng phng tin c t chc tn công c#ng chính là các phng tin  làm vic và truy nhp thông tin trên mng. Ví d s dng lnh ping vi t(c  cao nht có th, buc mt h th(ng tiêu hao toàn b t(c  tính toán và kh nng ca mng  tr li các lnh này, không còn các tài nguyên  thc hin nhng công vic có ích khác. 1.3.1.5 Li ca ngi qun tr h thng ây không phi là mt kiu tn công ca nhng k t nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to ra nhng l* hng cho phép k tn công s dng  truy nhp vào mng ni b. [...]... C#ng có th hi u r!ng Firewall là m t c ch b o v m ng tin t không tin t ng (trusted network) kh%i các m ng ng (untrusted network) Internet Firewall là m t thi t b (ph n c ng+ph n m m) gi a m ng c a m t t ch c, m t công ty, hay m t qu(c gia (Intranet) và Internet Nó th c hi n vai trò b o m t các thông tin Intranet t- th gi i Internet bên ngoài 1.4.2 Ch c n ng Internet Firewall (t- nay v sau g i t t là firewall) ... ph i th c hi n thông qua Firewall • Ch" có nh ng trao i nào c phép b i ch c a h th(ng m ng n i b m i an ninh c quy n l u thông qua Firewall ) ch c n ng h th(ng c a firewall S c mô t nh trong hình 2.1 Intranet Internet firewall Hình 2.1 S ) ch c n ng h th(ng c a firewall 1.4.3 C u trúc Firewall bao g)m: • M t ho&c nhi u h th(ng máy ch k t n(i v i các b nh tuy n (router) ho&c có ch c n ng router • Các... c không th phòng th ki u t n công này m t cách hi u qu và b n có th ch c r!ng 12 ng liên k t v i Internet không ph i là con thu l m thông tin 13 ng d1 nh t gián i p 1.4 V y Internet Firewall là gì? 1.4.1 nh ngh a Thu t ng Firewall có ngu)n g(c t- m t k thu t thi t k trong xây d ng ng n ch&n, h n ch ho ho n Trong công ngh m ng thông tin, Firewall là m t k thu t tích h p vào h th(ng m ng c ch(ng s truy... vòng 1.4.5 Nh ng h n ch c a firewall Firewall không thông minh nh con ng i có th c hi u t-ng lo i thông tin và phân tích n i dung t(t hay x u c a nó Firewall ch" có th ng n ch&n s xâm nh p c a nh ng ngu)n thông tin không mong mu(n nh ng ph i xác nh rõ các thông s( a ch" Firewall không th ng n ch&n m t cu c t n công n u cu c t n công này không " i qua" nó M t cách c th , firewall không th ch(ng l i... virus m i và do có r t nhi u cách mã hóa d li u, thoát kh%i kh n ng ki m soát c a firewall 1.4.6 Các ví d firewall 1.4.6.1 Packet-Filtering Router (B trung chuy n có l c gói) H th(ng Internet firewall ph bi n nh t ch" bao g)m m t packet-filtering router &t gi a m ng n i b và Internet (Hình 2.3) M t packet-filtering router có hai ch c n ng: chuy n ti p truy n thông gi a hai m ng và s d ng các quy lu t... lu t l c m ng n i b c nh ngh a sao cho các host trên c quy n truy nh p tr c ti p t i Internet, trong khi các host trên Internet ch" có m t s( gi i h n các truy nh p vào các máy tính trên m ng n i b T t ng c a mô c u trúc firewall này là t t c nh ng gì không c ch" ra rõ ràng là cho phép thì có ngh a là b t- ch(i Bªn ngoµi Packet filtering router Bªn trong M¹ng néi bé The Internet Hình 2.3 Packet-filtering... Screened-subnet Firewall H th(ng này bao g)m hai packet-filtering router và m t bastion host (hình 2.6) H th(ng firewall này có cao nh t vì nó cung c p c application trong khi an toàn m c b o m t : network và nh ngh a m t m ng “phi quân s ” M ng DMZ óng vai trò nh m t m ng nh%, cô l p &t gi a Internet và m ng n i b C b n, m t DMZ c c u hình sao cho các h th(ng trên Internet và m ng n i b ch" có th truy... sao chép b t h p pháp lên a m m Firewall c#ng không th công b!ng d ch ng trình li u (data-driven attack) Khi có m t s( c chuy n theo th firewall vào trong m ng ng ch(ng l i các cu c t n i n t , v c b o v và b t t qua u ho t ây M t ví d là các virus máy tính Firewall không th làm nhi m v rà quét virus trên các d li u nó, do t(c c chuy n qua làm vi c, s xu t hi n liên t c c a các 22 virus m i và do có. .. tho mãn thì packet c chuy n qua firewall N u không packet s0 b b% i Nh v y mà Firewall có th ng n c n ch ho&c m ng nào ó c các k t n(i vào các máy c xác nh, ho&c khoá vi c truy c p vào h th(ng m ng n i b t- nh ng a ch" không cho phép H n n a, vi c ki m soát các c ng làm cho Firewall có kh n ng ch" cho phép m t s( lo i k t n(i nh t nh vào các lo i máy ch nào ó, ho&c ch" có nh ng d ch v nào ó (Telnet,... i Archie; Archie s0 cho l i tên ó ho&c có ch a nh ng t- ó 35 i dùng a ch" c a các file có 2.6 Finger Finger là m t ch ng trình ng d ng cho phép tìm a ch" c a các user khác trên Internet T(i thi u, finger có th cho b n bi t ai ang s d ng m t h th(ng máy tính nào ó, tên login c a ng Finger hay i ó là gì c s d ng tìm a ch" email c a bè b n trên Internet Finger còn có th cung c p cho b n nhi u thông tin . thông qua Firewall. S ) chc nng h th(ng ca firewall c mô t nh trong hình 2.1 Intranet firewall Internet Hình 2.1 S ) chc nng h th(ng ca firewall 1.4.3 Cu trúc Firewall. vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet  gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có. gia (Intranet) và Internet. Nó thc hin vai trò bo mt các thông tin Intranet t- th gii Internet bên ngoài. 1.4.2 Chc nng Internet Firewall (t- nay v sau g i tt là firewall) là mt