Ứng dụng truyền thông và an ninh thông tin Designing Firewalls

Khoa Mạng máy tính và truyền thông Trường Đại học Công Nghệ Thông Tin Ứng Dụng Truyền Thông Và An Ninh Thông Tin Designing Firewalls Designing Firewalls Giảng Viên Hướng Dẫn : ThS. NCS. Tô Nguyễn Nhật Quang Nhóm 2 : 08520435 Nguyễn Thành Trung 08520530 Trương Thị Thùy Duyên 08520292 Phạm Phú Phúc 08520548 Lê Kim Hùng Contents Các thành phần của Firewall Những quan niệm về bảo mật mạng ngày nay rất đa dạng và những đề tài thách thức được thảo luận. Có nhiều khu vực khác nhau của các loại kiến trúc mạng được quan tâm, nó bắt đầu từ những thông báo hệ thống để cơ sở dữ liệu, từ tập tin đến in ra các giải pháp để truy nhập mạng từ xa. Nó không bắt đầu chưa lâu mà bảo mật và bảo vệ mạng là tài sản căn bản được làm làm rõ lĩnh vực của kỹ sư mạng, đó là người có sự hiểu biết về công nghệ, kỹ năng cao và thường chăm chỉ để nói và hiểu các vấn đề nếu bạn không phải là một kỹ sư mạng. Những thử thách mà người kỹ sư mạng phải đối mặt đó là khả năng truy nhập, bảo vệ tài sản và giảm thiểu nguy cơ không an toàn, không có sự thay đổi cho tất cả và tại cùng một thời điểm, công nghệ được sử dụng địa chỉ cấp phát trải qua sự biến đổi trong cả một khu vực phức tạp. Chie cần nhìn vào duy nhất một khu vực mở rộng trong khu vực tường lửa để thấy cụ thể làm thế nào để biến đổi một cách trực tiếp, và tác động sâu để hệ thống bảo mật mạng và trên khả năng nhận biết của người dùng về bảo mật và cả người cung cấp nó. Sau đây là một ví dụ đơn giản về Firewall Tường lửa nằm ở một vị trí hợp lý đó là nằm giữa mạng nội bộ và mạng Wan. Tưởng lửa ở đó để thực hiện mục đích của nó chính là cấm và cho phép các kết nối trên các luật mà được người quả trị tạo ra và đăng ký trên thiết bị. Ở những năm trước, những tùy chọn được cung cấp để dễ dàng cho phép hay cấm các truy nhập một các đặc trưng đủ để cung cấp bảo mật và bảo vệ ở mức độ cơ bản là hầu hết nếu không phải là tất cả mạng của chúng ta. Thách thức được đặt ra là làm sao xây dựng được một hệ thống vững chắc dựa trên các mối quan hệ để cung cấp những yếu tố bảo mật cơ bản, hacker và kẻ phá hoại đã ngồi lại và bàn cách làm sao có thể phá vỡ được hệ thống tường lữa. và kết qua là nhiều chi tiết mới được thêm vào để tường lữa trở thành một phần không thể thiếu của bảo mật mạng để bảo vệ mạng từ những truy nhập trái phép và không mong muốn từ mạng trong các trường hợp cụ thể. Ngoài việc cấm và cho phép các truy nhập, ngày nay trong một tường lữa còn cũng cấp các dịch vụ sau: NAT: được dùng bởi router để có thể dich một địa chỉ nội bộ thành một địa chỉ bên ngoài Bắt dữ liệu: tùy chọn này cho phép router lưu trử dữ liệu được cho phép bởi các người dùng mạng. Hạn chế trên nội dung: Tùy chọn này có giá trị trên những hệ thống mới. Cho phép người quản trị hạn chế truy nhập nội dung internet bằng cách sử dụng từ khóa. Các phương thức của tường lửa: Tường lửa có 2 phương thức chính dùng để thực hiện bảo mật bên trong một mạng. Mặc dù có nhiều biến thể xong chúng vẫn xoay quanh 2 loại chính đó là : Lọc gói tin Máy chủ proxy hay các cổng chương trình. Lọc gói tin là loại đầu tiên của tường lữa được sử dụng trong nhiều hệ thống để bảo vệ mạng. Nó có nhiều phương thức phổ biến được thực thi để bắt một gói tin sử dụng router. Nhiều router có khả năng cho phép hay cấm các gói tin dựa trên các luật mà người quản trị đặt ra. Mặc dù có nhiều loại tường lửa thực hiện chức năng lọc, chúng bị giới hạn bởi chúng chỉ được thiết kế để phân tích tiêu đề của gói tin. Ví dụ chúng ta có thể cấm FTP nhưng chúng ta chỉ cấm lệnh PUT trong FTP. Thêm vào máy chủ proxy giúm cho tường lửa có khả năng tạo ra nhiều cơ sở bảo mật hơn là sử dụng lọc gói tin chính thống. Phần mềm proxy được sử dụng để tạo ra để có thể phân tích nhiều hơn các tiêu đề của gói tin. Proxy servers sử dụng phần mềm để chặn đứng các truyền thông trên mạng mà được định trù từ trước. Chương trình có thể nhận ra các yêu cầu và đại diện cho người dùng tạo ra các yêu cầu để gửi cho máy chủ. Trong trường hợp này một người dùng bên trong không thể có một kết nối trực tiếp đến môt máy chủ ở bên ngoài, thay vì một kết nối trực tiếp, một cấu trúc proxy giống như man-in-middle giúp tạo ra một kết nối giữa người dùng mà máy chủ này. Thuận lợi chính trong việc sử dụng phần mềm proxy là có thể thực hiện cho phép hay cấm sự giao tiếp dựa trên dữ liệu thật sự của gói tin, chứ không chỉ header. Trong những công việc khác thì proxy giúp nhận ra những phương thức giao tiếp, và sẻ phản ứng lại, không chỉ là đóng mở các cổng theo sự chỉ đạo. Tường lửa có thể làm gì Vì thế nếu một tường lữa có thể dùng để lọc gói tin, máy chủ proxy, một sự kết hợp cả hai hay tùy chọn lọc được tạo ra môi trường an toàn cho dữ liệu của bạn. Một cách không may, giống như những trường hợp thông thường, đây là phạm vi của việc hợp nhất, không có những cuộc trao đổi khác tại nơi mà sẽ có sự cho phép của người quản lý mạng để thu được những hiểu biết tốt hơn về những nguyên nhân phía sau cần cho một tường lửa. Và những tiêu chí cho nơi đặt tường lửa bên trong một mô hình mạng để có được sự phục vụ tốt nhất. Trong những mối quan hệ của người quản trị mạng chúng ta và những băn khoăn về việc mua một thiết bị mà sẻ làm một lượng lớn công việc, tất cả hay hầu hết những thức đó, có hoặc không có sự bảo mật mạng được thiết lập trong câu hỏi. Nó sẽ giúp cho chúng ta tóm tắc được việc tường lửa không thế làm gì, vì thế chúng ta có thể bắt đầu hiểu những gì chúng có thể làm. Một vài khu vực nơi mà tường lửa sẽ khó khan trong việc bảo mật mạng theo các dạng sau: Virus: Một vài tường lửa có thể có khả năng phát hiện virus, tuy nhiên kể tấn công có thể đóng gói virus vào trong nhiều dạng và tường lửa không được thể kế giống như hệ thông diệt vurus, Vì thế tường lửa có thể phát hiện ra virus nhưng chúng ta vẫn cần một hệ thống diệt vurus. Sự lạm dụng của người làm công: Đây là một điểm khó, nhưng là điểm có giá trị. Những người làm công thường làm những việc vô thức. Họ có thể quên địa chỉ mail hay chạy các chương trình không an toàn từ bạn bè. Kết nối phụ: Nếu người dùng có một modems trong máy của họ thì họ có thể sử dụng các kết nối không dây, họ có thể tạo ra một kết nối internet cho riêng minh. Những kết nối này không được bảo vệ bởi tường lửa. Nếu bật chế độ chia sẻ tập tin và máy in, nó sẽ đem lại những kết quả nguy hiểm. Trong khi tường lửa được cấu hình một cách đúng đắng. Lừa đảo trong xã hội: Hình thức này thì không thể tránh khỏi nếu người quản lý làm lộ thông tin về tường lửa. Kiến trúc thấp: Nếu không có một thiết kế kỹ cho tường lửa, nó sẽ trở nên rất khó khăn có thể là không thể cấu hình tường lửa theo đúng để bảo đảm sự an toàn cần thiết phòng ngừa bên trong mạng trong một thời gian dài. Thi hành các chính sách cho tường lửa: Không có một loại tường lửa nào được coi là tiêu chuẩn bên trong một mạng. Những nội dung đề cập ở dưới đây trình bày nhiều loại tường lửa được phát triển khác nhau: Một thiết bị lọc gói tin:Hình mô tả dưới đây là một mạng được bảo vệ bởi 1 thiết bị được cấu hình như một bộ lọc gói tin, cho phép hay cấm các truy cập dựa trên tiêu đề của gói tin. Thiết bị “Multi-home”:Mạng được bảo vệ bởi một thiết bị có kết cấu gồm nhiều card mạng, trên đó sẽ cài phần mềm proxy, phần mềm này sẽ điều chỉnh các gói tin đi theo các hướng xác định: Một Screened Host:Giống như hình ở dưới đây, một mạng được bảo vệ bởi sự kết hợp của các cấu trúc của máy chủ proxy và cấu trúc lọc gói tin. Bộ lọc gói tin cho phép vào bên trong nếu nó lưu thông qua máy chủ proxy. Nếu một người dùng giao tiếp trực tiếp với bộ lọc proxy thì dữ liệu sẽ bị từ chối. Miền phi quân sự:Trong hình mô phỏng dưới đây, một mạng được chỉ định là một “zone” hay một miền, nó được tạo ra để cho đặt máy chủ, cần được cho phép để vào internet và cả các người dùng bên trong. Đây là một vùng đặc biệt, nó yêu cầu 2 thiết bị lọc, và có thể có nhiều máy tồn tại bên trong đường biên giới. Xây dựng một chính sách tường lửa Trước khi tiến hành cấu hình ta cần phải có một Firewall Policy (Chính sách về tường lửa). Để tránh trường hợp lựa chọn và cài đặt Firewall không chính xác, hiệu quả. Một tường được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách cụ thể. Đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng firewall đó. Thường firewall policy thực hiện theo hai hướng sau : Từ chối tất cả, chỉ cho phép những lưu thông hợp lệ. Cho phép tất cả, cấm những lưu thông không hợp lệ. Công việc này là một phần của việc quản trị và bảo mật mạng, ví dụ : tạo một danh sách các cổng mà trojan, các ứng dụng mà người dùng không đươc phép sử dụng … sau đó tạo ra các chính sách để chặn chúng. Ngược lại sẽ cho phép những lưu thông hợp lệ. Có nhiều thành phần khác nhau trong chính sách bảo mật, phổ biến như : Acceptable Usage Statement Network Connection Statement Contracted Worker Statement Firewall Administrator Statement. Sau khi xây dựng chính sách bảo mật tổng thể, nó sẽ bao gồm nhiều vấn đề khác nhau nên khối lượng thông tin sẽ rất lớn.Từ những thông tin đó, ta sẽ trích dẫn những thông tin riêng biệt để xây dựng chính sách cho tường lửa. The Acceptable Use StatementThực hiện cần có sự thống nhất của tổ chức để miêu tả chi tiết cách thực một máy tính hoạt động trong mạng, việc này tương đối khó khăn đối với một số tổ chức.Cần phải đạt được sự cân bằng để duy trì an ninh một cách chặt chẽ và đảm bảo cho nhân viên có đủ khả năng thực hiện tốt công việc của họ. Máy tính là thiết bị thường bị sử dụng sai mục đích nhất trong hệ thống. Người sử dụ thường cố gắng thoát khỏi sự kiểm soát của các chính sách bảo mật. Một số điểm cần lưu ý trong thành phần này là : Các ứng dụng không được phép cài đặt.(Từ những nguồn như internet, CD, USB, đĩa mềm ). Việc sao lưu ứng dụng được cài đặt tại một máy tính của tổ chức. (cho phép / không do tổ chức đó quyết định ) Việc sử dụng tài khoản tại các máy tính, khi không có người sử dụng, máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến hoạt động của tổ chức đó. Không được phép sử dụng để đe dọa hay quấy rối bất cứ cá nhân nào. Các dịch vụ email được phép sự dụng. Chúng ta xem xét những vấn đề trên để xem có hoặc không thể áp đặt chúng trên tường lửa. Một số như việc cài đặt ứng dụng, đe dọa đến cá nhân không thể thực thi trên tường lửa nhưng chúng sẽ có ích trong chính sách bảo mật tổng thể. The Network Connection Statement Phần này của chính sách liên quan đến các loại thiết bị được cấp kết nối vào mạng. Đây là nơi bạn có thể xác định các vấn đề liên quan đến việc vận hành hệ thống  mạng, các thiết bị sử dụng mạng, và việc các thiết bị được cấu hình cho phép sử dụng mạng một cách an toàn như thế nào. Phần này được thi hành trên tường lửa nhiều nhất, xác định lưu lượng thực tế của mạng. Một số thành phần cần chú ý : Chỉ quản trị viên mới có quyền thực hiện quét mạng. Người dùng có thể truy cập vào các trang site FTP để upload và download các tập tin cần thiết,  nhưng  máy tính  nội bộ có thể sẽ không cài đặt FTP server. Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng 25. Nhưng không thể truy cập NNTP trên mọi cổng. Người sử dụng  subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ xa và ngược lại. Người dùng có thể không được chạy bất kỳ phần mềm chat Internet nào. Không được download file lớn hơn 5Mb Phần mềm Anti-virus phải được cài đặt, hoạt động tốt, cập nhật thường xuyên hàng tuần trên máy trạm và cập nhật hằng ngày trên server. Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên máy tính (Bao gồm cả NIC và modem) Không cho phép những kết nối trái phép ra internet dưới bất kỳ hình thức nào. Trong phần này nhựng kỹ thuật cho phép các cổng, subnet hay các máy tính trong mạng. Những vấn đề này có thể được thực thi trên tường lửa The Contracted Worker Statement Phần  này thường bị bỏ qua. Đó là các chính sách phải giải quyết các vấn đề của người lao động theo hợp đồng, hoặc chỉ là tạm thời. Những cá nhân có thể chỉ yêu cầu truy cập thường xuyên đển các tài nguyên trên mạng. Một số vấn đề cần chú ý là : Không có những người sử dụng tạm thời, hoặc theo hợp đồng không được phép truy cập trái phép đến các tài nguyên, hay thực hiện quét mạng, copy dữ liệu từ máy tính ra bất kỳ thiết bị nào khác. Không được sử dụng FTP, telnet, SSH cho khi chưa được sự cho phép dựa trên văn bản. The Firewall Administrator Statement Firewall administrator phải được chứng nhận bởi các nhà cung cấp firewall. Phải có chứng chỉ SCNA Phải nắm rõ các ứng dụng được cài đặt trên các máy tính trong mạng. Phải báo cáo trực tiếp với trưởng bộ phận bảo mật. Phải luôn trong tư thế sẵn sàng 24/24 Những vấn đề liệt kê ở đây sẽ có ích trong việc soạn ra chính sách cho firewall. Ngoài ra cách chính sách về Firewall cần phải được thay đổi thường xuyên cho phụ hợp với an ninh thế giới. Packet Filter và việc thiết lập tập các quy tắc trong Packet Filter Tổng quan về Packet Filter Thiết lập được một chính sách bảo mật chặt chẽ là một trong những điểm quan trọng trong việc hình thành hệ thống firewall hoàn chỉnh. Tuy nhiên, bên cạnh đó người quản trị còn phải nắm được các kiểu firewall hiện nay cũng như tác động của chúng tới hệ thống mạng cần bảo vệ. Phần tiếp theo sẽ đi vào chi tiết một kiểu firewall đã có từ rất sớm và hiện tại vẫn là thành phần cơ bản nhất của hệ thống firewall, đó là Packet Filter. Packet Filter là kiểu firewall đầu tiên được sử dụng để bảo vệ mạng nội bộ. Thông thường (và cho đến tận bây giờ), Packet Filterđược cài đặt sẵn trên các router và thực thi dưới dạng access control list. Packet Filter sử dụng một tập các quy tắc để quyết định xem gói tin nào được phép cho qua, gói tin nào bị cấm. Quy tắc này được xây dựng dựa trên các thông tin trong phần header của gói tin. Packet Filterkhông kiểm tra phần payload sinh ra từ lớp ứng dụng. Router trở thành điểm truy nhập vào mạng và là nơi Packet Filterthực thi chức năng của nó. Cũng vì vậy mà chức năng của Packet Filtertrên mỗi router sẽ được thiết kế khác nhau, tùy thuộc vào vị trí của router đó trong hệ thống mạng. Hình: Ví dụ về vị trí của Packet Filtertrong hệ thống mạng. Ở ví dụ đầu tiên, chỉ có duy nhất một thiết bị đóng vai trò là Packet Filtercho mạng này. Việc bảo mật phụ thuộc hoàn toàn vào các quy tắc của Packet Filtertrên thiết bị này, do đó nó cần được cấu hình thật chặt chẽ. Ở ví dụ thứ hai, Packet Filtercần được cấu hình sao cho mạng ngoài và mạng nội bộ không được kết nối trực tiếp với nhau. Các phiên giao tiếp cần thiết được thực hiện qua Proxy Server. Ở ví dụ thứ ba, vùng DMZ được thiết lập. Ta có 2 thiết bị đóng vai trò Packet Filtervà chúng sẽ được cấu hình khác nhau. Thiết bị có kết nối trực tiếp ra mạng ngoài cần đảm bảo mạng ngoài chỉ có thể thực hiện kết nối tới các proxe server trong DMZ, không vào được mạng nội bộ. Tương tự, thiết bị kết nối trực tiếp với mạng nội bộ kiểm soát các kết nối từ mạng nội bộ, không cho phép ra mạng ngoài. Các quy tắc trong Packet Filter Các vấn đề cần quan tâm Packet Filterhoạt động dựa trên các quy tắc. Các quy tắc này được đưa ra đảm bảo thực thi đúng mục đích của chính sách ban đầu. Một vài vấn đề cần quan tâm khi thiết lập tập các quy tắc: Mạng nội bộ được truy cập dịch vụ nào trên internet? Internet được truy cập vào dịch vụ nào của mạng nội bộ? Máy nào được quyền truy cập đặc biệt nào đó, mà máy khác không có? Mặc dù mỗi thiết bị có các cách khác nhau để thực thi các quy tắc này, nhưng thường vẫn phải quan tâm đến các vấn đề sau: Bộ luật được đặt tại interface nào? Là interface kết nối tới mạng nội bộ, hay interface kết nối tới mạng ngoài? Hướng của gói tin. Bộ luật thực thi trên các gói tin đi vào interface đó, hay là đi ra? Địa chỉ. Luật này được thiết lập dựa trên ip nguồn, ip đích, hay cả hai? Số hiệu cổng (port) Các giao thức tầng cao hơn. Bộ luật có được thiết lập dựa trên giao thức sử dụng IP, như UDP? TCP? Port, Socket và ACK bit Trước khi đi vào việc thiết lập các luật như thê nào, ta lướt qua lại các khái niệm TCP/IP, port, socket. Địa chỉ IP đại diện cho máy trong phiên làm việc, port đại diện cho điểm đến thực sự của giao tiếp, tức ứng dụng cụ thể. Socket bao gồm một ip đi kèm với một port. Port nhỏ hơn 1023 được sử dụng cho các ứng dụng phổ biến. Port lớn hơn 1023 được sử dụng cho host khi thực hiện kết nối. Ví dụ trên: client gởi yêu cầu request tới website sẽ gởi gói tin với port đích là 80, port nguồn được máy random, ở đây là 2157. Web server khi trả lời cho client sẽ sử dụng 2157 làm port đích. Bây giờ, giả sử ta thiết lập tập quy tắc sao cho mạng nội bộ truy cập đến web pages trên internet và miền DMZ, internet có thể truy cập đến dịch vụ web trên web server, còn lại các dịch vụ khác không được phép truy cập ra internet. Ta thấy, rule 1 cho phép các kết nối từ bên ngoài vào mạng bên trong với port đích là 80, tức dịch vụ web. Để có thể trả về yêu cầu web, rule 2 cho phép mạng bên trong đi ra ngoài với port đích > 1024. Tương tự cho rule 3 và 4 cho phép truy cập web từ mạng nội bộ ra ngoài internet. Nhìn sơ qua có vẻ như tập luật này thực hiện đúng yêu cầu ban đầu, tuy nhiên nó có những lỗ hổng rất lớn: firewall cho phép tất cả các kết nối từ bên ngoài vào mạng bên trong với port đích > 1023. Như vậy một chương trình Trojan đơn giản cũng có thể phá hủy mạng. Để tăng cường bảo mật, ta sử dụng thêm thông tin về port nguồn. Một tùy chọn khác có thể được sử dụng để tăng độ bảo mật, đó là ACK bits. Trong quy trình bắt tay 3 bước, bước thứ nhất gởi yêu cầu request, chỉ mình cờ SYN được bật, bit ACK = 0. Nhưng từ bước thứ 2, khi hồi đáp lại request trước đó, bit ACK sẽ được set = 1. Firewall có thể sử dụng yếu tố này để đảm bảo gói tin là sự hồi âm từ một kết nối xuất phát từ mạng nội bộ. Lúc này rule4 có thể được sửa như sau để đảm bảo an toàn hơn cho hệ thống:Theo đó, chỉ những gói tin trả lời cho kết nối xuất phát từ mạng nội bộ có port nguồn 80 mới được đi qua Packet Filter. Tính nhất quán, trọn vẹn và súc tích của tập quy tắc Thiết kế tập quy tắc cho Packet Filtercần đảm bảo 3 yếu tố sau: tính nhất quán, tính trọn vẹn, và tính súc tích. Tính nhất quán đảm bảo không có sự mâu thuẫn giữa các quy tắc với nhau. Tính trọn vẹn đảm bảo tập quy tắc đã liệt kê hết các trường hợp có thể xảy ra. Và tính súc tích đảm bảo sự ngắn gọn và không bị trùng lấp của tập quy tắc. Ba tính chất này sẽ được giải thích trong ví dụ sau: Ở mô hình trên, Packet Filterđược đặt trên Gateway Router nối mạng nội bộ và mạng Internet. Bộ quy tắc trên được thiết kế nhằm cho phép mạng ngoài truy cập vào dịch vụ Mail trên Mail Server. Mạng bên trong được phép kết nối tới mạng bên ngoài. Và cấm các kết nối xuất phát từ các host được cho là nguy hiểm từ Internet. Tính nhất quán: Ta xét quy tắc thứ 2. Mục đích của nó là hủy tất cả các gói tin xuất phát từ các host không đáng tin cậy ngoài Internet. Tuy nhiên, vì r2 được đặt sau r1 nên các gói tin xuất phát từ các host không đáng tin cậy, nhưng sử dụng dịch vụ SMTP, thì lại được cho qua. Tập quy tắc này không đạt được tính nhất quán. Tính trọn vẹn: ở tập quy tắc trên, với quy tắc r4, các gói tin nếu không trùng với các trường hợp phía trên, sẽ được cho qua. Như vậy tập quy tắc này sẽ chấp nhận các gói tin không phải là mail, tới Mail Server, và các gói tin mail, tới các host thông thường. Đây có thể là một lỗ hổng bị khai thác bởi các attacker, do đó các luồng giao tiếp này cần bị cấm. Ta có thể thêm vào sau quy tắc r1 hai quy tắc sau: (a) ( I =0) ^(S = any ) ^(D = Mail Server )^ (N = any ) ^(P = any ) -> discard (b) ( I =0) ^(S = any ) ^(D = any ) ^(N = 25)^( P = tcp) -> discard Tính súc tích: Một quy tắc được coi là thừa khi bỏ quy tắc đó thì không ảnh hưởng gì tới hoạt động của Packet Filter. Trong ví dụ này, quy tắc r3 là một quy tắc thừa, vì gói tin thỏa mãn r3 thì cũng sẽ thỏa mãn r4, mà r3 và r4 lại có cùng cách xử lý như nhau. Như vậy ta thấy, nếu không đảm bảo được tính nhất quán và tính trọn vẹn, firewall ta xây dựng sẽ bị lỗi. Attacker có thể dựa vào lỗ hổng này để tấn công hệ thống mạng của ta. Trong khi đó, nếu vi phạm tính súc tích sẽ khiến hiệu năng hoạt động của firewall giảm sút. Các kiểu Packet Filter Stateless Packet Filter Stateless Packet Filter, hay còn được gọi là Standard Packet Filter, thường được đặt tại router biên, thi hành theo một tập lệnh được cấu hình từ trước. Stateless Packet Filterxử lý các gói tin một cách độc lập với nhau dựa vào thông tin trên header của các giao thức. Tùy vào mỗi chương trình sẽ có các thông tin khác nhau được sử dụng, tuy nhiên có thể tóm gọn lại thành một số trường thường dùng như sau: Ip address filtering: Là hình thức lâu đời nhất của packet filtering, chỉ sử dụng địa chỉ ip để đưa ra quyết định cấm/ cho phép một traffic. Như ta đã biết, có hai cách thiết kế một tập quy tắc. Hoặc là từ chối tất cả, chỉ cho phép những kết nối được liệt kê. Hoặc là mặc định chấp nhận tất cả, chỉ cấm những quy tắc được nêu ra. Với số lượng lớn địa chỉ IP, nếu thiết kế theo kiểu mặc định chấp nhận tập quy tắc sẽ rất dài, tăng khả năng lỗi và không phù hợp với tổ chức lớn. Do đó phương pháp mặc định từ chối thường được sử dụng. Nó giúp thực thi các quy tắc một cách dễ dàng hơn và gây khó khăn cho kẻ tấn công. Kẻ tấn công buộc phải tìm hiểu, xác định các địa chỉ được cho phép, từ đó có thể giả dạng địa chỉ của gói tin để vượt qua bộ lọc. Đặc biệt hiệu quả đối với các kiểu tấn công không cần gói tin trả về, ví dụ như DoS. TCP/UDP Port: Giúp bảo mật tốt hơn, và cũng như với địa chỉ IP, sẽ dễ dàng quản lý hơn nếu chỉ mở những port cần thiết và cấm tất cả các port còn lại. Protocol Filter: Trong trường hợp lọc thêm theo port vẫn chưa đảm bảo, ta có thể dùng đến protocol filtering. Protocol filtering sẽ kiểm tra nội dung của header để xác định giao thức được dùng ở tầng kế trên, từ đó cho phép gói tin đi qua hay không. Một vài giao thức thường được kiểm tra: TCP UDP ICMP IGMP Fragmentation: Sự phân mảnh xảy ra khi một gói tin đi từ mạng này qua mạng kia có đơn vị truyền tải tối đa (MTU) nhỏ hơn kích thước của gói tin. Chẳng hạn, các packet di chuyển qua Ethernet không thể quá 1,518 bytes, như vậy, trọng tải tối đa của IP layer phải ít hơn 1480 bytes. Tại điểm nhận cuối, các phân mảnh sẽ được ghép lại thành gói tin ban đầu. Các phân mảnh có thể được chia nhỏ ra nữa nếu chúng phải đi qua những mạng có MTU nhỏ hơn kích thước của phân mảnh. Các trường cần quan tâm về fragmentation: Fragment ID: Đây cũng như số hiệu IP duy nhất của packet gốc, Tất cả các đoạn phân mảnh còn lại cũng dùng chung ID này. Fragment offset : Mỗi đoạn đánh dấu chỗ của nó trong sự nối tiếp của packet khi bị phân mảnh. Tại địa chỉ nhận, số này được sử dụng để ráp các đoạn đúng thứ tự. Fragment length: Mỗi đoạn đều chứa 1 phần để mô tả toàn bộ chiều dài của mình. More fragments flag: Cho biết đây có phải là phân mảnh cuối cùng không. Những nguy hại từ sự phân mảnh: khi packet filtering phân tích header của một gói tin IP, nếu gói tin đã bị phân mảnh, Packet Filtersẽ dựa vào trường offset để xác định đây có phải là fragment đầu tiên hay không (fragment đầu tiên có offset bằng 0). Nếu là phân mảnh đầu tiên, gói tin sẽ được kiểm tra tính hợp lệ dựa vào các quy tắc đã thiết lập của hệ thống. Nếu là những phân mảnh kế tiếp thì sẽ được packet filtering cho qua. Sở dĩ như vậy là vì theo lý thuyết, nếu thiếu fragment đầu tiên thì gói tin gốc ban đầu sẽ không thể sử dụng được. Tuy nhiên, không phải lúc nào cũng vậy. Các attacker đã dựa vào lỗ hổng này để “qua mặt” Packet Filtermột cách dễ dàng. Thực tế một số kiểu tấn công đã được sử dụng thành công như: Tiny fragment attack: đây là dạng tấn công bằng cách chia thật nhỏ và (thật khéo) IP packet ban đầu ra thành từng fragment rất nhỏ, sao cho một phần thông tin của TCP header nằm trong IP packet ban đầu nằm trong fragment thứ hai. Do Packet Filterchỉ kiểm tra fragment có offset = 0, và với bộ TCP header đã bị chia ra như vậy, khả năng Packet Filterlọc sót ra rất lớn. Như vậy gói tin dễ dàng đi qua Packet Filtervà được ghép lại hoàn chỉnh tại điểm nhận. Overlapping fragment attack: tại host destination, sau khi nhận đủ các fragment từ một packet ban đầu (bằng cách nhìn vào field MF và tính tổng cộng chiều dài của các fragment đã nhận được), công việc tái lập packet ban đầu sẽ bắt đầu. Rất không may là thuật toán tái lập nằm trong RFC của IP hiện tại cho phép các fragment có thể ghi đè lên nhau. Kẻ tấn công gửi fragment đầu tiên (offset = 0) với đầy đủ thông tin hợp lệ để vượt qua static packet filter, sau đó sẽ dùng các fragment tiếp theo (offset !=0, không bị kiểm tra bởi static packet filter) để ghi đè lên vùng thông tin header của fragment đầu tiên. Teardrop attack: chỉnh sửa trường offset của các phân mảnh. Khi offset + length của packet 1 khác với offset của packet 2 thì overlapping xảy ra, có thể khiến máy bị crash. Giải pháp Thiết lập độ dài tối thiểu của fragment đầu tiên sao cho đảm bảo đầy đủ thông tin cần thiết để kiểm tra. Cấm tất cả các gói tin phân mảnh. Cấu hình trên router buộc gói tin phải được ghép lại hoàn chỉnh trước khi truyền. Stateful Packet Inspection Có thể nhận thấy rằng mặc dù đã rất nỗ lực nhưng Stateless Packet Filterđơn giản và không đảm bảo độ bảo mật trong môi trường internet hiện nay. Statefull Packet Filterhoạt động dựa trên các kĩ thuật tương tự như stateless packet filter, tuy nhiên nó không thực thi trên từng gói tin một cách độc lập với nhau, mà còn dựa vào trạng thái kết nối tại tầng Session để lọc các gói tin. Thông tin này được lưu lại và sử dụng cho những lần kế tiếp. Trong mô hình TCP/IP và mô hình OSI thì stateful firewall hoạt động từ lớp Transport trở lên cho đến lớp Application. Tất cả các stateful firewall đều hoạt động dựa vào một bộ luật đã được các nhà quản trị qui định khi cấu hình sao cho phù hợp với nhu cầu của họ. Khi một stateful firewall nhận được một packet, việc đầu tiên mà nó làm là nhìn vào state table của mình, có hai trường hợp xảy ra: Nếu stateful firewall tìm thấy một entry nằm trong state table của mình có thông tin liên quan đến packet vừa nhận, thì ngay lập tức nó sẽ cho phép packet đó đi qua mà không cần xem xét gì thêm. Nếu stateful firewall không tìm thấy entry nào nằm trong state table của mình có liên quan đến packet vừa nhận, thì lúc này, stateful firewall sẽ dựa vào bộ luật của mình cùng với các thông tin của packet mà xem xét có cho phép packet đó đi qua hay không. Nếu được cho phép, thì một entry miêu tả connection mà packet này thuộc về sẽ được ghi vào state table của stateful firewall. Nếu không được cho phép, stateful firewall sẽ ngay lập tức loại bỏ packet này mà không thông báo gì lại cho phía bên gửi. Ví dụ, một client trong mạng nội bộ thiết lập một kết nối tới một máy nào đó ngoài internet, nó sẽ thực hiện quá trình bắt tay 3 bước, mà cụ thể đầu tiên nó sẽ gởi gói tin request với cờ SYN được bật. Nếu gói tin này hợp lệ, một entry lưu thông tin về kết nối này sẽ được ghi lại trong state table. Khi bộ lọc nhận được gói tin trả về, nó sẽ kiểm tra trong state table để chắc chắn rằng đây là gói tin trả lời yêu cầu request kia. Giả sử gói tin là SYN/ACK, như vậy kết nối được mở, các gói tin trao đổi về sau của kết nối đó sẽ chỉ cần được kiểm tra trong state table và cho qua. Để đề phòng gói tin thiết lập kết nối được gởi đi nhưng không nhận được gói tin trả lời, sau một khoảng thời gian nhất định entry đó sẽ bị xóa đi, thường là trong khoảng vài phút. Điều này nhằm đảm bảo hệ thống không tạo ra lỗ hổng bảo mật nào. Proxy Server Như bạn đã thấy, packet filter là một lựa chọn để bảo vệ mạng với tường lửa. Nhưng chúng ta cũng yêu cầu giúp đỡ để tạo ra một môi trường an toàn hơn. Một trong những cách để tăng cường an ninh là để thêm các dịch vụ của một proxy server. Proxy server ban đầu thường được sử dụng để cache truy cập các trang web, tăng tốc mạng và sử dụng Internet. Chúng được phát triển không chỉ để cache các trang web, mà còn trở thành một phần an ninh của hệ thống mạng. Packet filter hoạt động bằng cách kiểm tra các thông tin header và căn cứ quyết định trên các quy tắc được xác định hoặc các polocies. Proxy hoạt động ở lớp application, và có thể cung cấp các dịch vụ mạng. Proxy hoạt động như một loại gateway (đó là lý do tại sao nó cũng được gọi là một cổng ứng dụng), cho tất cả các gói tin thông qua. Khi một proxy được cấu hình và chạy trên mạng, không có giao tiếp trực tiếp giữa client và server. Các packet filter cho phép giao tiếp trực tiếp này, trong khi các proxy chặn nó. Một khác biệt đáng kể giữa packet filter và proxy sever là proxy hiểu các ứng dụng hoặc dịch vụ được sử dụng, và packet filter không làm được. Proxy server sau đó có thể cho phép hoặc từ chối truy cập, dựa trên thực tế chức năng mà người dùng đang cố gắng để thực hiện. Tiến trình ProxyTrong ví dụ này, client đã yêu cầu một trang web, và xác định server có trang web. Các yêu cầu cho trang web thông qua proxy server. Tại thời điểm này, proxy server không hoạt động như một bộ định tuyến và chuyển tiếp gói tin. Những gì nó làm lấy từ các điều luật liên quan đến dịch vụ này và quyết định nếu yêu cầu được cấp hay không. Một khi các proxy đã quyết định cho phép các yêu cầu, một gói tin mới là tạo với một địa chỉ IP nguồn của proxy server. Gói tin mới này là yêu cầu cho các trang web từ các sever đích. Các web server nhận được yêu cầu, và trả về trang web cho các máy chủ yêu cầu. Trong khi các proxy đang chạy, các máy chủ yêu cầu là proxy server. Khi proxy nhận được các trang web, nó sẽ kiểm tra điều luật của nó để xem trang này là được phép. Một khi quyết định được thực hiện để proceed, proxy tạo một gói tin mới với các trang web như là payload, và sẽ gửi đến client ban đầu. Hình dưới đây là một minh hoạ của các chức năng cơ bản mà một proxy server có thể làm được trong mạng. Chú ý các gói tin của client không bao giờ trực tiếp đến máy chủ, và ngược lại. Hình 4-12: Một WWW proxy đang chạy trên mạng. Loại hình dịch vụ này có thể tăng tính bảo mật của mạng đáng kể, không có gói tin mà truyền trực tiếp từ client đến server. Các dịch vụ proxy sẽ cần phải được cấu hình cho từng loại dịch vụ được cho phép. Ví dụ, một proxy riêng biệt sẽ cần thiết cho SMTP, WWW, FTP, Telnet, nếu tất cả các dịch vụ này sẽ được sử dụng. Các máy chủ proxy cần phải được cấu hình để làm việc trong cả hai hướng, giống như một packet filter. Đây là cách duy nhất để chắc chắn rằng không có gói tin vượt qua được proxy server. Lợi ích ProxyCó rất nhiều lợi ích cho mạng, từ một điểm bảo mật, mà một proxy có thể cung cấp. Danh sách các thuận lợi lớn, cung cấp được những lợi ích chính:• Ẩn client.• Lọc nội dung.• Truy cập đơn điểm. Ẩn client Tiến trình proxy cơ bản làm nổi bật tính năng này. Khả năng có địa chỉ IP bên trong của client không bao giờ xuất hiện trên Internet là một lợi ích lớn. Những kẻ tấn công không biết cấu trúc nội bộ của mạng việc truy cập vào và tấn công các client nội bộ mất thời gian hơn. Lọc nội dung Trong thời kỳ hiện đại, các doanh nghiệp có thể rất nhạy cảm với nhu cầu của nhân viên. Điều này bao gồm tiếp xúc với bất kỳ tài liệu dễ bị tấn công, nhưng có thể được ngăn chặn. Bộ lọc nội dung có thể được lập trình cho kiểm tra nhiều loại. Chúng có thể được lập trình để tìm kiếm các từ khóa hoặc cụm từ nhất định. Nhiều quản trị viên sử dụng bộ lọc để chặn các trang web headhunter là chủ yếu và tiếp tục đăng tải các trang web. Các bộ lọc này cũng có thể được sử dụng để ngăn chặn điều khiển ActiveX được download, Java Applet được chạy, hoặc thực thi được đính kèm vào email. Truy nhập đơn điểm Một trong những lợi ích đáng kể của proxy server là khả năng có một điểm duy nhất để đăng nhập truyền tải dữ liệu. Khi tất cả lưu lượng đi qua một điểm duy nhất, nó tương đối dễ dàng để tạo lại toàn bộ một phiên duyệt web cho người sử dụng để xác định lỗi. Các vấn đề Proxy Mặc dù có những lợi ích do proxy cung cấp, và trong hầu hết các trường hợp này có thể đúng, bạn cần phải nhận thức được vấn đề tiềm năng của việc sử dụng proxy. Như với tất cả các công nghệ, có những vấn đề có thể là có thể phát sinh, chẳng hạn như:• Truy nhập đơn điểm thất bại.• Một proxy cho mỗi dịch vụ.• Cấu hình mặc định. Truy nhập đơn điểm thất bại Có lẽ một trong những vấn đề nghiêm trọng nhất với một máy chủ proxy là việc tạo ra một điểm duy nhất thất bại. Nếu toàn bộ mạng đang chạy thông qua proxy, máy đó trở nên khá quan trọng, và phải được cấu hình đúng. Một sai lầm phổ biến là quên rằng các proxy chính nó là không được bảo vệ. Mặc dù nó đang bảo vệ mạng nội bộ, nếu có một giao diện trực tiếp kết nối với Internet, nó là mở rộng tấn công, cả hai từ chối dịch vụ và nỗ lực xâm nhập của các hacker. Hãy chắc chắn rằng các proxy, ngoài cơ chế bảo mật khác (chẳng hạn như một bộ lọc gói tin), được sử dụng để làm giảm khả năng của một cuộc tấn công xâm nhập trực tiếp trên proxy. Nếu toàn bộ mạng là phụ thuộc vào máy tính này, bạn cần phải chăm sóc tốt nó! Một proxy cho mỗi dịch vụ Vấn đề của một cấu hình, nhưng vẫn đáng chú ý, là proxy phải được cấu hình cho mỗi dịch vụ. Nếu mạng là cho phép nhiều loại khác nhau của dịch vụ trong cả hai hướng, điều này có thể tạo ra công việc đáng kể. Khi dịch vụ được thêm vào, điều quan trọng là các proxy server vẫn còn cấu hình an toàn. Cấu hình mặc định Đa số các phần mềm proxy server được thiết kế cho các chức năng về an ninh. Các ứng dụng được tạo ra để có được người dùng và chạy một cách nhanh chóng, và cung cấp cho họ truy cập vào các nguồn tài nguyên mà họ cần. Điều này đối diện với an ninh. Vì vậy, khi thực hiện một proxy, nó là được khuyến cáo để không sử dụng cấu hình mặc định. Hãy dành thời gian để thực hiện các quy tắc và hạn chế, khi cần thiết. The Bastion Host: Trong qúa trình tạo ra một tường lửa hay một máy chủ proxy thì chúng ta cần phải có một nền tả cho phần mềm sử dụng. Trong một vài trường hợp, đây là một mảng chuyên dụng cho phần cứng mà nó sẽ chạy các phần mềm của tường lửa. Trong chuyên đề này, bạn sẽ học về quá trình cài đặt một máy chủ chạy phần mềm. Máy chủ này được gọi là Bastion Host. Bastion Host là một từ dùng để chỉ về một máy được được bảo vệ nhiều nhất trong hệ thống mạng, máy chủ này sử dụng mọi tùy chọn về an ninh tối đa của hệ thống mà nó có thể sử dụng. Tất cả các chính sách đều được cấu hình, cả về chứng thực cũng như mã hóa. Thêm nữa các cấu hình sẽ di chuyển tất cả các dịch vụ cũng như các chương trinh không cần thiết cho máy chủ. Tất cả các tài khoảng người dùng để được loại bỏ, và cả những phần mềm quả lý máy chủ. Chỉ có một máy được cài đặt, sau đó phần mềm được càu đặt và cấu hình trên đỉnh của nền tản hệ thống, máy này sẽ xem xét đường nào sẽ được bảo vệ mà là lien kết nào sẽ là mắt xích quan trọng. Bảo mật của một mạng không thể chỉ dựa vào một thành phần, vì thế bastion host là một trong số những thiết kế tốt cho mạng, nó được biểu diễn dưới hình sau: Đường đầu tiên được phòng thủ đó là đường tới router, kết nối giữa mạng và internet, được cấu hình thích hợp để lọc gói tin. Tiếp theo việc lọc các gói tin trên router sẽ là nơi mà Bastion Host chạy máy chủ proxy được đặt. Nếu mạng nhỏ, một bastion host sẽ chạy máy chủ proxy cho các tất cả mạng có thể ổn, Nhưng trong một mạng lowisn, cần có nhiều bastion host, mỗi cái chạy một máy chủ proxy khác nhau. Các bước để cấu hình một Bastion host: Xóa bỏ các ứng dụng không dùng. Xóa bỏ các dịch vụ không dùng. Xóa bỏ các tài khoảng không dùng. Kích hoạt các chính sách. Các kỹ thuật khác để tạo ra một Bastion host chạy như một Server: Cài đặt hệ điều hành từ đĩa trước. Không dùng máy dual-boot. Loại bỏ các phần cứng ko dùng như cổng dial-up hay card âm thanh. Sử dụng các phương pháp chứng thực mạnh mẽ Thực thi các chương trình kiểm tra file để tránh giả mạo Một cuộc tấn công trên Bastion Host: Kể từ khi máy này cung cấp nhiều dich vụ trên mạng nó trở thành mục tiêu tấn công. Tuy nhiên, kể từ khi bạn thiết lập máy tính hoạt động mọi lúc, bạn có khả năng bị thất bại bởi các cuộc tấn công, lúc đó bạn nên mở chế độ đăng nhập và chứng thực, những nguy cơ sẽ bị loại bỏ nhanh chóng với việc quét nhật ký và những báo cáo. Chắc chắn, bạn không thể bắt được các cuộc tấn công ngay lập tức. Nó là một phần của bảo mật mà được người quản trị thực hiện. Khi phát hiện được một nguy cơ, bạn phải khám phá xa hơn để xác định được nguyên nhân. Đây là nơi bạn có thể sử dụng phần mềm can thiệp vào trong quá trình thực hiện. Bạn phải tìm ra nơi mà Trojan cư trú trên máy của bạn. Nếu trên Bastion Host tồn tại một nguy cơ bảo mật thì nó sẽ rất nguy hiểm nếu như máy này tồn tại trong mình DMZ hay trong mạng. Mối nguy hiểm ẩn chứa trong bastion sẽ là nguy cơ lớn trong mạng. Một trong những điểm quan trọng mà phải tạo ra trong mối qua hệ giữa nhưng người quản trị những công việc khác nhau, cái mà dùng để không phục lại hệ thống từ tập tin back-up, nó tồn tại một nguy cơ. Nếu không bạn có thể nhận ra ngày của những nguy cơ xảy ra. Phương pháp tốt nhất là cài lại tự đầu Bastion Host, bắt đầu bằng việc format lại đĩa. Nó tốn nhiều thời gian nhưng đó là cách tốt nhất để phông phục lại bastion Host trên mạng. Honeypot (tạm gọi là mắt ong) Một lĩnh vực mà chủ đề được thảo luận nhiều trong việc an ninh là việc sử dụng và triển khai các honeypots. Đối với một số chuyên gia bảo mật, an ninh mạng sẽ không đầy đủ chức năng mà không có nó, trong khi những người khác cảm thấy nó là một phần không cần thiết và có khả năng nguy hiểm của mạng. Honeypot là gì? Cũng như mật ong thu hút con gấu, honeypot là một máy tính được thiết kế để thu hút những kẻ tấn công. Nếu một kẻ tấn công đã quản lý để vượt qua bộ lọc gói tin của bạn vào DMZ của bạn và đang quét các tùy chọn, honeypot là một máy tính được đưa ra. Điều này được mô tả trong hình 4-14. Hình 4-14: Hai ví dụ về honeypot có thể được đặt Mục tiêu của Honeypot Có một số mục đích cho honeypot. Bạn muốn honeypot thu hút một kẻ tấn công ở lại từ các thiết bị khác của bạn. Bạn muốn những kẻ tấn công nhìn thấy một lỗ hổng mà họ biết họ có thể khai thác và sử dụng để truy cập vào máy tính. Lỗ hổng này cần phải được kẻ tấn công tập trung toàn sức của họ khai thác vào máy tính này, như là đối nghịch với các email server ở bên cạnh nó. Ngoài việc cố gắng để giữ cho kẻ tấn công có khoảng cách an toàn với hệ thống của bạn hơn, một trong những mục tiêu của honeypot là để đăng nhập. Biết rằng hệ thống này là nó sẽ bị tấn công, bạn có thể thực hiện các biện pháp bổ sung trong đăng nhập. Các bản ghi này nên được di chuyển ra khỏi hệ thống thường xuyên, có lẽ hàng giờ hoặc hàng ngày nếu mạng của bạn là một mục tiêu cao. Một mục tiêu khác của honeypot là để tăng khả năng phát hiện và ứng phó sự cố. Lý thuyết là nếu bạn nhận thức được những gì mà kẻ tấn công đang làm cho honeypot của bạn, bạn có thể chuẩn bị để bảo vệ tốt hơn, hoặc nếu có thể, ngăn chặn cuộc tấn công đó được thực hiện thành công với hệ thống giả. Tiếp theo khái niệm của honeypot là honeynets.Honeynet là một mạng lưới được thiết kế để thay thế hấp dẫn đối với hacker. Giả thuyết là như nhau, chỉ có quy mô lớn hơn. Vấn đề pháp lý Một cuộc hội thảo về honeypots sẽ không được hoàn thiện nếu không có các vấn đề pháp lý xung quanh việc sử dụng công nghệ này. Có lẽ vấn đề lớn nhất liên quan đến một honeypot hôm nay là vấn đề của lừa đảo. Một số người cảm thấy rằng các thiết lập của honeypot là lừa đảo, và do đó, các quy tắc tương tự áp dụng như trong thế giới thực. Mặc dù, nó cần được ghi nhận rằng việc sử dụng cạm bẫy là để phòng vệ. Một vấn đề khác là sự riêng tư. Nếu một kẻ tấn công thiết lập được một máy chủ IRC trên honeypot, nó có khả năng như người quản trị để đăng nhập tất cả các cuộc hội thoại trên máy chủ đó. Bây giờ, vấn đề này là một tình thế tiến thoái lưỡng, khi không có luật quy định liên quan đến vấn đề này. Phụ Lục : Câu hỏi và trả lời Câu 1: Trong một số tài liệu có 3 loại tường lửa, sao đây đề cập có 2 ? Trả lời : Đó là tài liệu cũ, trong tài liệu mình sử dụng cách phân biệt dựa vào khả năng lọc gói tin nên được chia ra làm 2 loại.Ngoài ra ta có nhiều cách phân biệt tường lửa : Có ba loại tường lửa cơ bản tùy theo: Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng. Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng. Tường lửa có theo dõi trạng thái của truyền thông hay không. Phân loại theo phạm vi của các truyền trông được lọc, có các loại sau: Tường lửa cá nhân hay tường lửa máy tính, một ứng dụng phần mềm với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn. Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả giao thông dữ liệu vào hoặc ra các mạng được kết nối qua nó. Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường lửa" trong ngành mạng máy tính. Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba loại tường lửa chính: Tường lửa tầng mạng. Ví dụ iptables. Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers. Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp /etc/ftpaccess. Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai. Cuối cùng, nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa: Tường lửa có trạng thái (Stateful firewall) Tường lửa phi trạng thái (Stateless firewall) Câu 2 : Làm thế nào để thiết kế hệ thống Firewall cho một công ty/ một tổ chức ? Trả Lời : Điều đầu tiên là chúng ta sẽ dựa vào các yêu cầu của công ty/ tổ chức để lập ra một chính sách bảo mật phù hợp. Sau đó sẽ khảo sát các yếu tố thực tế để đưa ra một mô hình bảo mật hợp lý. Hiện nay có rất nhiều mô hình, mỗi mô hình đều có ưu, nhược điểm riêng (có thể tìm hiểu kĩ hơn trong bài báo cáo). Chọn mô hình nào phụ thuộc vào mô hình mạng thực tế của công ty/ tổ chức, khả năng đáp ứng của các thiết bị đối với yêu cầu bảo mật đề ra, các yếu tố phụ như chi phí… Đó có thể là mô hình đơn giản chỉ gồm bộ lọc gói tin, mô hình dạng Multi-home, Screened Host, Mô hình Single-Homed Bastion Host, Demilitarized Zone (DMZ) hay Screened-subnet Firewall… Hoặc cũng có thể là một mô hình lai, miễn sao đáp ứng được các yêu cầu đặt ra. Làm được điều này đòi hỏi người thiết kế phải hiểu biết rõ về các loại tường lửa, khả năng của chúng cũng như nắm được điểm mạnh, yếu của các thiết bị đang được cung ứng trên thị trường. Sau khi đã thiết kế được một mô hình phù hợp, ta đi vào việc cấu hình cho các thiết bị để chúng hoạt động theo đúng mong muốn ban đầu.Câu 3 : Phân biệt giữa Proxy Server và NAT ? Proxy Server : Khi một proxy được cấu hình và chạy trên mạng, không có giao tiếp trực tiếp giữa client và server. Mà giao tiếp thông qua Proxy Server này . NAT : Chỉ có nhiệm vụ chuyển tiếp các gọi tin giữa Server và Client Xin chân thành cảm ơn !