1 Các giải pháp phần mềm cho tường lửa

Tìm hiểu về an toàn và bảo mật trên mạng



Kỹ thuật lọc gói dữ liệu thường được thiết kế trong các bộ dẫn đường

router là thiết bị cơ bản để liên kết giữa các mạng IP .Cỏc gúi dữ liệu được

truyền từ router này đến router khác cho đến khi nó tới được đích.

Router thực hiện việc chỉ đường cho mỗi gói dữ liệu mà nó nhận

được. Mỗi router có chứa bảng đường truyền trong bộ nhớ và router dựng

chỳng để thực hiện việc truyền cỏc gúi tin nhận được đến đích. Trong router

lọc gói dữ liệu, khi nhận được gói dữ liệu, nó không truyền ngay đến đích

mà kiểm tra xem gói dữ liệu này có được phép truyền không, bằng cách dựa

vào các luật (rule) đã được thiết lập trong hệ thống. Cỏc gúi dữ liệu không

hợp lệ sẽ bị giữ lại và cũng không gửi phản hồi lại cho nơi phát.



Hình aa.2 Lọc gói dữ liệu dùng router có lọc

b. Các ưu điểm của lọc gói dữ liệu

1. Một router lọc gói dữ liệu có thể bảo vệ cả một hệ thống

Một trong những ưu điểm chính của lọc gói dữ liệu là một router được

thiết lập tốt có thể bảo vệ cả một hệ thống. Nếu như chỉ có một router để nối

giữa mạng và Internet, hệ thống có được khả năng to lớn trong việc bảo mật,



Tìm hiểu về an toàn và bảo mật trên mạng



không phụ thuộc vào kích cỡ của hệ thống mạng, bằng việc sử dụng lọc gói

dữ liệu trong router.

2. Lọc gói dữ liệu đơn giản trong sử dụng

Lọc gói dữ liệu không cần bất kỳ phần mềm bổ trợ nào và cũng không

phải định dạng cho máy chủ. Các thao tác của người dùng vẫn như vậy,

không đòi hỏi bất kỳ yêu cầu nào đối với người dùng trong mạng. Thậm chí

người dùng trong mạng không biết đến sự có mặt của việc lọc gói dữ liệu

trong hệ thống, trừ khi họ gửi đi những dữ liệu không hợp lệ với các luật

được thiết lập trong router lọc gói dữ liệu.

3. Lọc gói dữ liệu được sử dụng rộng rãi ở rất nhiều router

Kỹ thuật lọc gói dữ liệu được sử dụng rộng rãi ở nhiều sản phẩm phần

cứng và phần mềm. Hầu hết các router trong các hệ thống mạng đều có tính

năng lọc gói dữ liệu.

c. Yếu điểm của phương pháp lọc gói dữ liệu

1. Những công cụ lọc gói dữ liệu chưa thật sự hoàn hảo

• Những luật trong lọc gói dữ liệu khó thiết lập

• Khi thiết lập xong,cỏc luật để lọc gói dữ liệu khó có thể

kiểm tra được

• Tính năng lọc gói dữ liệu trong nhiều sản phẩm không đầy

đủ, làm cho việc bổ sung thờm cỏc kiểu lọc với yêu cầu cao

hơn khó hay nhiều lúc không thể làm được.

• Cỏc gói dữ liệu sau khi lọc có thể có lỗi

2. Một số giao thức không tương thích với lọc gói dữ liệu



Tìm hiểu về an toàn và bảo mật trên mạng



Một số giao thức không tương thích với lọc gói dữ liệu, do đó sẽ có

lỗi khi dữ liệu dùng giao thức đó truyền qua bộ lọc.

3. Một số luật không thể dễ dàng thực hiện được với các router lọc gói dữ

liệu thông thường

Do hạn chế trong thông tin mà router lọc gói dữ liệu có được, một số

luật không thể thực hiện được. Ví dụ như cỏc gúi chỉ cho biết địa chỉ đến,

chứ không cho biết tên người dùng gửi thông tin, do đó không thể hạn chế

những người dùng khác nhau.

Router lọc gói dữ liệu thường được gọi là router có lọc (screened

router). Nú chớnh là router thông thường cú thờm tính năng lọc gói dữ liệu.

6.1.2 Đặt cấu hình cho router có lọc

Để đặt cấu hình cho router có lọc, chúng ta phải quyết định loại dịch

vụ nào được phép truyền và loại dịch vụ nào bị loại bỏ, sau đó chuyển những

quyết định đó thành những luật cho cỏc gúi tin. Phần này đưa ra một số khái

niệm chung mà ta cần ghi nhớ khi chuyển những quyết định về các loại dịch

vụ thành những luật cho cỏc gúi tin.

a. Các giao thức thường là hai hướng

Các giao thức truyền thường có hai hướng; đó là một hướng gửi yêu

cầu hay lệnh và hướng ngược lại để trả lời. Do đó khi ta đưa ra các luật, ta

phải nhớ là cỏc gúi tin đi theo hai chiều.

b. Chế độ mặc định cho router nên là từ chối

Thông thường khi thiết lập các luật, khi loại hình dịch vụ nào ta không

đề cập đến trong các luật thì loại hình đó sẽ nhận được giá trị mặc định của

router. Nếu router để chế độ mặc định là cho phép thì rất dễ gây nguy hiểm



Tìm hiểu về an toàn và bảo mật trên mạng



cho hệ thống vỡ cỏc loại dịch vụ mới có thể đi qua lọc gói dữ liệu xâm nhập

vào. Do đó tốt hơn cả là chế độ mặc định của router là từ chối, sau đó ta thiết

lập các luật cho từng dịch vụ mà ta quan tâm.

6.1.3 Phương pháp dùng máy chủ đại diện (proxy server)

Nguyên lý của phương pháp này là dùng một máy chủ, được cài đặt

một chương trình chuyên dụng là “proxy program” để trở thành máy chủ đại

diện. Máy chủ này có thể là máy chủ có hai giao diện “dual-home host” với

một giao diện kết nối với mạng bên trong và một giao diện kết nối với mạng

bên ngoài hay có thể là máy chủ pháo đài “bastion host” có quyền truy nhập

vào Internet và cỏc mỏy khỏc có thể truy nhập vào nó. Chương trình proxy

chạy trên máy chủ đại diện tiếp nhận các yêu cầu dịch vụ của các máy trạm

bên trong mạng, gửi những yêu cầu đó đi ra bên ngoài tuỳ thuộc vào các luật

bảo mật của mạng, và sau đó lại gửi trả lại kết quả cho các máy trạm. Như

vậy máy chủ đại diện như là một cổng kết nối giữa mạng bên trong và mạng

bên ngoài.

Máy chủ đại diện như tên gọi, là trung gian cho các giao tiếp dịch vụ

giữa các máy trạm trong mạng và Internet. Thay cho việc dựng cỏc dịch vụ

Internet trực tiếp, từng máy trạm làm việc với máy chủ đại diện. Máy chủ

đại diện thực hiện tất cả giao tiếp giữa người dùng và những dịch vụ Internet

một cách bí mật.



Tìm hiểu về an toàn và bảo mật trên mạng



Dùng máy chủ đại diện là máy chủ hai giao diện

Tính trong suốt là một lợi thế lớn của việc sử dụng chương trình

proxy. Về phía người dùng, máy chủ đại diện làm cho người dùng tưởng

rằng đang làm việc trực tiếp với Internet. Về phía Internet, máy chủ làm cho

cỏc mỏy trờn Internet tưởng là đang làm việc trực tiếp với người dùng bên

trong mạng.

Một điều cần lưu ý là việc sử dụng máy chủ đại diện chỉ có ý nghĩa

khi chúng được sử dụng cùng với các kỹ thuật khác không cho phép kết nối

trực tiếp giữa mạng bên trong và Internet. Dùng máy chủ hai giao diện hay

lọc gói dữ liệu là hai kỹ thuật đi kèm. Nếu máy bên trong có thể kết nối trực

tiếp với bên ngoài, người dùng sẽ không cần sử dụng máy chủ đại diện, và

thường là họ không sử dụng. Việc này sẽ không phù hợp với các luật bảo

mật của mạng.

Chương trình proxy thông thường gồm hai phiên bản, phiên bản

“proxy server” dùng để cài cho máy chủ và phiên bản “proxy client” dùng

cho máy trạm của mạng. Phiên bản proxy cho máy trạm có thể là một phần



Tìm hiểu về an toàn và bảo mật trên mạng



của các chương trình thông thường chạy trên máy trạm. Khi làm việc, máy

trạm gửi các yêu cầu đến máy chủ đại diện. Máy chủ kiểm tra các yêu cầu

đó, và quyết định xem yêu cầu nào là chấp nhận được và yêu cầu nào bị loại

bỏ. Với các yêu cầu được chấp nhận, máy chủ đại diện kết nối với cỏc mỏy

ở trên Internet bên ngoài gửi yêu cầu, sau đó nhận trả lời và dùng kết quả đó

gửi trả cho các máy trạm.

Dùng kiểu máy chủ đại diện là một giải pháp phần mềm, do đó nó có

thể kết hợp với các cấu trúc tường lửa khác nhau, ta sẽ núi sõu trong phần

tiếp theo.

a. Ưu điểm của phương pháp dùng đại diện

- Máy chủ đại diện cho phép người dùng có thể truy cập vào Internet

“trực tiếp”

Với máy chủ kiểu hai giao diện( sẽ nói phần sau), người dùng phải

đăng nhập vào máy chủ trước khi sử dụng các dịch vụ Internet. Điều này

thường không thuận tiện cho người dùng và dễ khiến người dùng chán nản.

Với máy chủ đại diện, người dùng có cảm giác là đang kết nối trực tiếp với

Internet.

- Dễ dàng cho việc ghi lại

Do máy chủ đại diện có thể hiểu được các giao thức cấp thấp, chúng

cho phép ghi lại các sự kiện một cách hiệu quả. Ví dụ thay cho việc ghi lại

tất cả dữ liệu truyền qua, một máy chủ đại diện chỉ ghi lại các lệnh và các trả

lời, các kết quả này nhỏ hơn và có ích hơn.

b. Nhược điểm của phương pháp

- Những dịch vụ mà máy chủ đại diện cung cấp thường ít hơn so với

các dịch vụ trên Internet. Việc này gây ra khó khăn cho mạng khi muốn



Tìm hiểu về an toàn và bảo mật trên mạng



cung cấp những dịch vụ mới. Trước khi chờ việc nâng cấp chương trình

proxy cho các dịch vụ mới, hệ thống muốn cung cấp dịch vụ mới thì phải đặt

chúng ở bên ngoài tường lửa, dẫn đến gây lỗ hổng trong bảo mật hệ thống.

- Phương pháp này thường đòi hỏi việc sửa đổi cấu hình trong chương

trình sử dụng dịch vụ, trong máy trạm

Ngoại trừ một số dịch vụ được thiết kế phù hợp với phương pháp máy

chủ đại diện, máy chủ đại diện thường đòi hỏi phải cấu hình lại cho chương

trình sử dụng dịch vụ và cho máy trạm, dẫn đến gây khó khăn cho người

dùng trong việc sử dụng các dịch vụ đó. Do có sự sửa đổi đó, những dịch vụ

qua máy chủ đại diện thường chạy không tốt bằng chạy trực tiếp.

- Phương pháp này không áp dụng được cho một số dịch vụ

Một số dịch vụ không thể chạy qua máy chủ đại diện vỡ tớnh phức tạp

của dịch vụ như nói chuyện trên mạng.

- Phương pháp này không thể bảo vệ hệ thống khỏi các yếu điểm của

giao thức truyền

Là một giải pháp bảo mật, phương pháp dựa trên khả năng có thể xác

định thao tác nào trong giao thức là an toàn. Với một số giao thức, việc đó là

khó có thể thực hiện được. Ví dụ với giao thức X Window System, giao thức

đưa ra một số lượng lớn các thao tác không an toàn, và giao thức này sẽ

không chạy được nếu bỏ đi những thao tác không an toàn đó. HTTP được

thiết kế để làm việc thích nghi với máy chủ đại diện, nhưng nó cũng được

thiết kế với tính mở rộng cao, và với việc mở rộng đú nú cho phép nhiều loại

dữ liệu đi qua. Máy chủ đại diện không thể bảo vệ hệ thống khỏi những dữ

liệu đó nếu những dữ liệu đó là không an toàn.



Tìm hiểu về an toàn và bảo mật trên mạng



6.2 Các giải pháp thiết bị của một tường lửa

6.2.1 Máy chủ hai giao diện (đa giao diện)

Máy chủ hai giao diện là một máy chủ có cài đặt hai phần cứng mạng

giao tiếp hay hai card mạng. Card mạng là một thiết bị phần cứng cài đặt

trong máy tính để thực hiện giao tiếp với hệ thống mạng. Do có hai giao

tiếp nên máy chủ có thể giao tiếp với hai hệ thống mạng khác nhau. Khi

chức năng dẫn đường(routing) của máy chủ hai giao diện tắt đi, máy chủ có

thể thực hiện việc cách ly giao thông giữa hai hệ thống mạng. Mỗi hệ thống

mạng có thể chạy các ứng dụng trên máy chủ hai giao diện. Hơn thế nữa,

nếu được phép, hai mạng có thể chia sẻ dữ liệu qua máy chủ hai giao diện.

Không có bất kỳ kết nối nào giữa mạng bên trong và mạng bên ngoài, tất cả

các trao đổi thông tin giữa hai mạng là trên máy chủ hai giao diện.

Những dịch vụ trên Internet như thư điện tử hay tin tức trên mạng là

những dịch vụ cơ bản dạng lưu trữ- và - gửi đi. Nếu những dịch vụ đó chạy

trên máy chủ hai giao diện, chúng có thể được cấu hình để truyền những

dịch vụ ứng dụng từ mạng bên trong ra bên ngoài. Nếu những dữ liệu ứng

dụng muốn truyền qua máy chủ hai giao diện, hệ thống thường sử dụng phần

mềm “proxy program” cài đặt trên máy chủ hai giao diện để truyền những

dữ liệu đó. Phần mềm này thực hiện việc gửi các yêu cầu giữa mạng bên

trong và mạng bên ngoài. Dữ liệu gửi đi và nhận về đều được lưu trữ trên

máy chủ hai giao diện, được kiểm tra và sau đó được gửi đi. Một cách khác

để cho phép sử dụng những dịch vụ trên máy chủ hai giao diện là cho phép

người dùng trực tiếp truy nhập vào máy chủ hai giao diện, sau đó truy nhập

ra những dịch vụ bên ngoài từ giao diện với mạng bên ngoài.

Nếu sử dụng chương trình “proxy program”, những luồng thông tin

không thể đi qua máy chủ hai giao diện trừ khi chương trình này chạy và



Tìm hiểu về an toàn và bảo mật trên mạng



được cấu hình trên máy chủ. Nếu như cho phép người dùng truy nhập trực

tiếp vào máy chủ hai giao diện, bảo mật mạng có thể bị phá vỡ. Đó là vì máy

chủ hai giao diện là tâm điểm của kết nối giữa mạng bên trong và mạng bên

ngoài, hay nói cách khác là máy chủ hai giao diện ở trong vùng nguy hiểm.

Nếu như người dùng sử dụng mật khẩu dễ đoán, vùng nguy hiểm sẽ lan đến

mạng bên trong, dẫn đến làm mất tác dụng của máy chủ hai giao diện.

6.2.2 Máy chủ pháo đài

Máy chủ pháo đài là những máy chủ đại diện của hệ thống mạng trên

Internet. Một máy chủ pháo đài là một hệ thống mà tất cả những ai ở ngoài

hệ thống mạng, phải nối với nó để truy nhập vào dịch vụ hay hệ thống ở bên

trong tường lửa.

Như thiết kế, một máy chủ pháo đài thường bị phơi bày ra ngoài vì sự

hiện diện của nó được Internet biết đến. Vì lý do này, những người xây dựng

tường lửa cần tập trung những biện pháp bảo mật vào máy chủ pháo đài.

Máy chủ pháo đài là những máy chủ dễ bị nguy hiểm nhất trong bảo mật

mạng. Một máy chủ pháo đài là một máy chủ trung tâm trong hệ thống bảo

mật. Do nó dễ gặp nguy hiểm trong bảo mật nờn nú phải được bảo vệ tốt

nhất. Điều này có nghĩa là máy chủ pháo đài được giám sát chặt chẽ bởi

người quản trị mạng. Những phần mềm trong máy chủ pháo đài và bảo mật

hệ thống cần được đều đặn kiểm tra. Những nhật ký truy nhập phải được

kiểm tra thường xuyên để tìm ra những lỗ hổng trong bảo mật cũng như

những hành động nhằm tấn công vào máy chủ pháo đài.

Xây dựng máy chủ pháo đài

Việc xây dựng máy chủ pháo đài được thực hiện theo các bước sau:

a. Làm tin cậy máy chủ