Một số công nghệ bảo mật của hệ thống tường lửa

Một số công nghệ bảo mật của hệ thống tường lửa

Bài báo cung cấp tổng quan về các mối nguy hiểm khi truy xuất mạng Internet; sự hoạt động của các tầng trong mô hình OSI & TCP/IP; một số cơ chế tấn công của hacker vào hệ thống mạng trên một số tầng; tìm hiểu một số công nghệ bảo mật của hệ thống tường lửa (firewall), các thuận lợi và không thuận lợi của chúng. Từ đó giúp quản trị kết hợp các công nghệ để triển khai hệ thống firewall có hiệu quả nhất.

1. Một số mối nguy hiểm tiềm tàng khi truy nhập Internet

Ngày nay các tổ chức đều kết nối ra internet, chúng ta thừa hưởng nhiều thuận lợi từ đó, song chính Internet chứa nhiều mối nguy hiểm tiềm ẩn. Một số mối nguy hiểm cố hữu sau:

a) Phần mềm miễn phí (freeware)

Trên Internet có nhiều phần mềm miễn phí, các phần mềm này chủ yếu chưa được qua kiểm tra, đăng ký, đó có thể là các phần mềm của Hacker chứa đựng các đoạn mã độc.

b) Nghe trộm trên mạng (Sniffers)

Các phần mềm nghe trộm có thể phân tích lưu lượng trên mạng để lấy cắp thông tin như Username và password, từ đó tấn công hệ thống, ví dụ như phần mềm Cain & Abel, Ettercap

c) Phần mềm bẻ khoá (Crack)

Các công cụ này tạo ra các mã số để bẻ khóa các phần mềm, trong các phần mềm này tiềm ẩn các đoạn mã độc hại.

d) Lừa đảo (Phishing)

Hacker thường lợi dụng tính tò mò của người dùng trên Internet qua các trang web,  trong Email, Card chúc mừng online v.v, chỉ cần người dùng kích hoạt liên kết hoặc đọc nội dung email,..khi đó có thể là tài khoản Email của người dùng đã bị lấy cắp hoặc có thể một phần mềm gián điệp đã được cài đặt trên máy tính của người dùng v.v.

e) Giả mạo địa chỉ Internet Protocol (Internet Protocol spoofing)

Hacker giả mạo hệ thống B đang liên lạc với hệ thống A để nhận được thông tin mà hệ thống A đang gửi cho B trong khi hệ thống A không hề hay biết.

f) Quyét cổng dịch vụ (port Scan)

Từ Internet, Hacker có thể dùng các phần mềm như: nmap, retina.. tìm ra các Port của các dịch vụ đang mở, tìm các lỗ hổng bảo mật của hệ thống. Từ đó khai thác chúng, mở các kết nối và upload các chương trình gián điệp lên hệ thống.

g) Vô hiệu hóa các dịch vụ (Denial of Service -DoS)

Kiểu tấn công nhằm làm cạn kiệt tài nguyên của hệ thống, vì thế không thể hoạt động đúng chức năng mà đã cấu hình.

i) Lợi dụng con người (Social Engineering)

Hacker đóng vai người dùng trong hệ thống yêu cầu quản trị mạng cấp lại tài khoản, hay quyền truy nhập hệ thống v.v để có thể truy nhập một cách dễ dàng.

2. Quá trình đóng và mở gói dữ liệu

Để có thể truyền trên các phương tiện truyền dẫn, dữ liệu phải chia thành nhiều mảnh nhỏ và trải qua các công đoạn như: bổ sung các thông tin điều khiển, kiểm tra lỗi, liên kết các giao thức, mã hóa thành tín hiệu v.v một hoặc các công đoạn tương ứng cho các layer (tầng) trong mô hình OSI (Open Systems Interconnection), các công đoạn này được gọi là encapsulation data (đóng gói dữ liệu) ở hệ thống gửi.

Khi tín hiệu truyền trên phương tiện truyền dẫn, tại các thiết bị trung gian như bộ định tuyến Router, dữ liệu chuyển thành các Frame (khung) cho phù hợp với công nghệ truyền dẫn rồi tiếp tục truyền đi đến nơi nhận. Tại thiết bị đích dữ liệu được lắp ghép từ các mảnh nhận được, loại bỏ các thông tin điều khiển để được dữ liệu gốc, quá trình này được gọi là de-encapsulation (mở gói dữ liệu).

3. Một số layer và các cách tấn công trên các layer

3.1. Layer Application:

Các ứng dụng cung cấp các giao diện người dùng: ứng dụng duyệt web dùng giao thức HTTP, ứng dụng Email sử dụng SMTP, ứng dụng truyền tải tệp tin sử dụng giao thức FTP.v.v, tại đây Firewall có thể cho phép hoặc cấm các dịch vụ tương ứng hoạt động dựa vào các câu lệnh đặc trưng của các giao thức đó ví dụ GET, POST của HTTP, SEND, HELO của SMTP v.v.

3.2. Layer Transport::

Tại đây dữ liệu (data) được chia nhỏ và gắn thêm tiêu đề (header) gồm các thông tin điều khiển như sau:

SOURCE PORT			DESTINATION PORT
SEQUENCE NUMBER
ACKNOWLEDGEMENT NUMBER
HLEN	RESERVERD	CODE BITS	WINDOW
CHECKSUM			URGENT POINTER
OPTIONS			PADDING
DATA UPPER LAYER

(Hình 3: Thông tin dữ liệu tại layer Transport khi thêm TCP Header)

3.2.1.Nhiệm vụ chính của Layer:

– Dùng các thông tin Soursce Port, Destination Port để theo dõi các truyền thông giữa các ứng dụng

– Dùng Window để kiểm soát băng thông, xữ lý khi có tắc nghẽn, xung đột

– Dùng Sequence Number để dùng đánh dấu segment trong quá trình chia nhỏ dữ liệu thành nhiều mảnh, và ghép các mảnh ở thiết bị nhận.

– Dùng các Acknowlegment Number, Flag code điều khiển truyền thông giữa giữa hệ thống gửi- nhận như: Thành lập kết nối,  báo nhận dữ liệu, truyền lại dữ liệu nếu bị mất.

Trường “code bits” để  gồm 6 giá trị:

– Urgent Pointer

– Acknowledgement (ACK)

– Push

– Reset (RST)

– Synchronisation (SYN)

– Fin

Dùng “code bits” để điều khiển các kết nối giữa 2 hệ thống gửi và nhận.

3.2.2 Một số kiểu tấn công trên layer

a) Denial of service (từ chối dịch vụ)

Hacker lợi dụng thông tin trong code bits để tấn công hệ thống đích.

-Urgent Pointer: Khi gói tin có giá trị Urgent Pointer được thiết lập, khi đó hệ thống máy nhận sẽ xữ lý gói tin ngay lập tức mà không phải đợi trong hàng đợi. Do vậy hacker có thể lợi dụng tính chất này gây ngừng trệ cho các kết nối trong hàng đợi.

– Reset: Khi gói tin có cờ Reset được thiết lập, có nghĩa là hệ thống nhận sẽ kết thúc phiên kết nối hiện thời và khởi tạo một kết nối mới.

– SYN: Khi hệ thống gửi muốn khởi tạo kết nối mới thì gói tin có chứa giá trị SYN được thiết lập.  Hacker có thể tấn công bằng cách gửi nhiều gói tin có giá trị SYN cho hệ thống nhận nhằm tạo nhiều kết nối làm đầy hàng đợi.

b) Port Scanning (quét cổng dịch vụ)

– Phát hiện các dịch vụ đang triển khai ở hệ thống đích

Attacker (người tấn công) dùng gói tin có giá trị SYN được thiết lập gửi tới hệ thống đích trong vòng thời gian xác định (mặc định là 5000 microseconds). Mục đích của attacker để kiểm các tra dịch vụ đang mở trên hệ thống đích, từ đó khai thác lỗ hỗng và tấn công.

3.3. Layer Network:

4.3.1. Nhiệm vụ chính của Layer:

– Đóng segment thành packet (thêm thông tin IP header)

– Tìm đường đi (routing): Các thiết bị định tuyến trung gian hoạt động ở layer này sẽ mang packet từ host này tới host khác dựa trên địa chỉ IP của hệ thống nguồn (source address) và địa chỉ IP của hệ thống đích (destination address)

– Quản lý kích thước các packet khi truyền qua các phương tiện truyền dẫn khác nhau.  Kích thước này gọi là Maximum Transmission Unit (MTU)

– IP header gồm các thông tin điều khiển như  sau:

VER	IHL	ERVICE TYPE		PACKET LENGTH
IDENNTIFICATION				FLAG	FRAGMENT OFFSET
TIME TO LIVE			PROTOCOL	HEADER CHECKSUM
SOURCE ADDRESS
DESTINATION ADDRESS
OPTIONS						PADDING
DATA UPPER LAYER

(Hình 4: Thông tin dữ liệu tại layer Network khi thêm IP Header )

3.3.2 Một số kiểu tấn công trên layer

a) Denial of Service (từ chối dịch vụ)

– Ip spoofing (giả mạo địa chỉ IP): Lợi dụng các thông tin điều khiển báo nhận ACK, khởi tạo SYN, hacker giả mạo địa chỉ IP nguồn và khi đó hệ thống nhận sẽ gửi trả ACK nhưng không thể thành công. Kết quả là phải chờ đợi các phản hồi từ hệ thống gửi gây ra tiêu tốn tài nguyên hệ thống và từ chối các kết nối mới.

– Ping of Death (Ping quá dung lượng)

Giá trị lớn nhất cho phép của gói tin trong lệnh ping là: 65,535 bytes, tuy nhiên attacker có thể khởi tạo lệnh ping có giá trị lớn hơn 65,535 bytes gửi tới hệ thống đích, gây ra cho hệ thống đích ngừng trệ và có thể khởi động lại.

4. Hệ thống Firewall (tường lửa)là gì?

4.1 Mô tả về hệ thống firewall

Firewall là một hệ thống hoặc nhóm hệ thống quản lý truy nhập giữa hai hay nhiều mạng.

Firewall thiết lập để quản lý và kiểm soát băng thông giữa các mạng bằng cách sử dụng các quyền như allow (cho phép), deny (từ chối), encrypt (mã hóa) …

Tất cả thông tin vào và ra được xem xét kỹ lưỡng bởi hệ thống, nếu dữ liệu nào không thoả mãn tiêu chuẩn đã cấu hình thì sẽ loại bỏ trước khi đi vào hoặc ra hệ thống mạng khác.

Firewall system có thể là hệ thống phần cứng như các thiết bị mạng của Cisco PIX, ASA, 3COM Secure Gateway, Netsreen Firewall và Checkpoint,v.v hay hệ thống phần mềm như ISA (Internet Security Acceleration), Snort, Iptable.v.v hoặc kết hợp cả hai.

4.1.1. Những việc Firewall không thực hiện được: 

– Firewall không thể bảo vệ được hệ thống mạng Intranet khi những attacker là những người trong mạng Intranet
– Không thể chống lại các kết nối không đi qua hệ thống firewall

– Không thể chống các loại virus và các mối đe dọa mới

4.1.2. Những việc firewall có thể làm được:

– Điều khiển, kiểm soát lưu lượng vào ra qua hệ thống
– Giới hạn các kết nối, xác thực người dùng.

– Ngăn cản các tấn công dựa trên OSI và TCP/IP

– Ngăn cản các tấn công bằng các dấu hiện đã được thiết lập

– Kiểm định và tạo cảnh báo tới quản trị hệ thống

4.2. Vị trí hoạt động của Firewall trong OSI & TCP/IP

Firewall thường hoạt động tại layer Application (7), layer Transport (4), layer Network (3) của mô hình ISO và layer Application, layer Transport, layer Internet trong mô hình TCP/IP

-Firewall hoạt động trên layers (3, 4 trong OSI và Internet,Transport trong TCP/IP) gồm có các công nghệ: Packet filtering, Stateful Packet Inspection.

-Firewall hoạt động trên layer (7 trong OSI và application trong TCP/IP) gồm có các công nghệ: Application Proxy, Content filter.

5. Các công nghệ của hệ thống Firewall

5.1. Packet Filtering

Một hệ thống Firewall có thể kiểm tra các lưu lượng (traffic) đi qua nó. Administrator có thể tạo các rule (quy luật) hay các policy (chính sách) thiết lập trên các Interface (cổng giao tiếp). Các thiết bị dùng access control lists (ACL-danh sách điều khiển truy cập) để lọc các packet khi vào hoặc ra qua hệ thống.

Một ACL là một danh sách gồm các rule hay policy allow (cho phép) hay deny (ngăn chặn) các packet sau khi hệ thống tham chiếu vào header của packet. Mỗi một rule hay policy bao gồm các thông tin sau:

– Thông tin layer transport: TCP, UDP, Port

– Thông tin layer network: địa chỉ IP nguồn và đích

Như vậy Packet Filtering có thể áp dụng dùng trong các trường hợp:

+ Ngăn kết nối từ các host hoặc các Network xác định

+ Ngăn kết nối tới các host hoặc các Network xác định

+ Ngăn kết nối từ các port xác định

+ Ngăn kết nối tới các port xác định

Ví dụ có các rule packet filter sau:

 

Giao thức	Địa chỉ IP nguồn	Địa chỉ IP đích	Port nguồn	Port đích	Hành động
Tcp	*	1.2.3.4	>1023	25	Cho phép
Tcp	1.2.3.4	*	>1023	25	Cho phép
*	*	*	*	*	Cấm

(Bảng 1: Rule hoặc Policy trong hệ thống firewall packet filter)

Ghi chú:  Dấu “*” nghĩa là bất kỳ giao thức, địa chỉ, port.

Với các Rule trên có nghĩa là chỉ cho phép các traffic vào, ra hệ thống Email Server có địa chỉ IP 1.2.3.4

Như vậy khi nhận được packet đi vào, hệ thống phân tích header của nó và so sánh với các Rule hay các Policy. Nếu packet hợp lệ hệ thống sẽ chuyển tiếp packet tới đích, nếu vi phạm thì sẽ bị loại bỏ packet khỏi hệ thống. Packet filtering có hiệu xuất nhanh vì nó không kiểm tra nội dung của packet

5.1.1. Điểm mạnh:

– Đơn giản trong cấu hình

– Hoạt động nhanh: Chỉ kiểm tra trên IP và TCP Header

5.1.2. Điểm yếu

– Không thể ngăn các kiểu tấn công ứng dụng

– Dễ bị tấn công trên sự hoạt động của TCP (DoS)

5.2. SPI (Stateful Packet Inspection) – Kiểm tra trạng thái gói tin

Với công nghệ SPI, hệ thống firewall không chỉ dựa vào các thông số trong Header như địa chỉ IP, TCP port, UDP Port mà nó còn dựa trên cả thông số Sequence và các flag code (mã cờ). Việc kết hợp kiểm tra header và xét xem Packet có thuộc kết nối mới hay thuộc một kết nối đã được thiết lập từ trước sẽ giúp filter một cách hiệu quả hơn nhiều. Các công đoạn của SPI được thực hiện như sau:

Packet hợp lệ đi vào, hệ thống tiến hành tìm kiếm Session (phiên kết nối) trong session Table (bảng lưu trữ phiên) đế xem packet này có thuộc một kết nối đã được thành lập hay chưa?

(Hình 5: Qúa trình hệ thống Firewall xử lý packet)

 

Một Record (bản ghi) trong session table có định dạng như sau:

 

Src-addr

Src-port

Dst-addr

Dst-port

Protocol

State

Time

Trong đó:

Src-addr: địa chỉ IP nguồn	Dst-addr: địa chỉ IP nguồn
Src-port: số port của hệ thống nguồn	Dst-port: số port của hệ thống nguồn
Protocol: giao thức TCP hoặc UDPTime: thời gian tồn tại của Session	State: trạng thái của session

(Bảng 2: Các thông tin trong Session Table)

+ Nếu đã có trong Session Table, hệ thống kiểm tra Secquence Number và code fields của packet để chắc chắn rằng nó có thuộc session đó không. (ví dụ một Secquence Number sai có thể là do hacker giả mạo session). Khi secquence number và code field hợp lệ, hệ thống kiểm tra state (trạng thái) của Session:

– Nếu hợp lệ lúc đó time (thời gian) trong session tabe được cập nhật.

– Nếu session không hợp lệ packet sẽ bị xóa.

+ Nếu chưa có trong session table, hệ thống sẽ kiểm tra packet với các rule hoặc policy đã thiết.

– Nếu packet không khớp với rule hoặc policy sẽ bị dropped (loại bỏ)

– Nếu packet khớp với rule hoặc policy, session mới sẽ được thêm vào trong session table.

Mỗi session chính là trạng thái kết nối của packet khi đi qua hệ thống firewall, do vậy hacker khó có thể vượt qua được khi chưa thành lập được session. Để thành lập được Session thì phải có đẩy đủ thông tin khởi tạo từ 2 phía Server (máy chủ) và client (máy khách) theo cơ chế three handshark (bắt tay 3 bước).

Hệ thống firewall có hỗ trợ công nghệ Stateful Inspection sẽ phòng chống được các kiểu tấn công như một số ví dụ ở trên.

5.2.1. Điểm mạnh

– Phòng chống hiệu quả các kiểu tấn công trên IP và TCP

– Độ bảo mật khá cao

5.2.2. Điểm yếu

– Không thể ngăn các kiểu tấn công ứng dụng

5.3. Application proxy (Application-level gateway)

(Hình 6: Hệ thống Firewall kiểu application proxy)

Application Proxy nhận yêu cầu của client và nhân danh client để yêu cầu tới Server. Khi server trả lời về, Proxy lại nhân danh Server trả lời cho client.

Tại Proxy, packet được kiểm tra và so sánh với các rule đã được cấu hình trong hệ thống. Nếu packet không vượt qua sự kiểm tra của các rule thì packet sẽ bị loại bỏ, nếu thoả mãn thì application proxy thì nó sẽ xây dựng lại kết nối rồi gửi tới Server có chứa dịch vụ, sau khi Server trả lời yêu cầu thì Application Proxy sẽ trả lời tới client.

Application Proxy có khả năng dò tìm các câu lệnh không hợp lệ mà hacker có thể lợi dụng nhúng vào trong các câu lệnh POST, GET, DELETE…của giao thức HTTP; hay các câu lệnh QUIT, RSET, SEND…của SMTP,..sau khi phát hiện Application Proxy sữa lại và chuyển tiếp request.

Application Proxy lọc các thông tin ở tầng ứng dụng, cho phép, ngăn cản, sửa đổi thông tin trước chuyển tiếp yêu cầu.

5.3.1. Điểm mạnh

– Phòng chống hiệu quả các kiểu tấn công ứng dụng

– Độ bảo mật khá cao

5.3.2. Điểm yếu

– Sự thực hiện chậm

– Phải duy trì 2 chiều kết nối

5.4. Content Filtering (lọc nội dung)

Content Filtering được thực hiện trên Application layer, nội dung dữ liệu của các ứng dụng khi đi qua hệ thống firewall được xem xét kỹ lưỡng.

Hệ thống firewall có thể ngăn cản các Java Applet, cấm thực thi các ActiveX controls (những thành phần chứa trong nội dung của các trang web), chúng tiềm ẩn chứa đựng các đoạn mã gây hại cho mạng nội bộ hay là các cách thức tấn công của hacker.

Hệ thống cũng có thể ngăn cản các file thực thi chương trình như exe, com… chứa trong các trang web; nội dung không mong muốn trong các tệp dữ liệu.

Cấu hình hệ thống filter content sẽ tăng độ bảo mật cao nhưng cũng có sự ảnh hưởng đến hiệu năng của toàn mạng.

5.4.1. Điểm mạnh

– Phòng chống hiệu quả các kiểu tấn công lừa đảo, nội dung xấu, mã độc.

– Độ bảo mật cao

5.4.2. Điểm yếu

– Sự thực hiện chậm

(Hình 7: So sánh sự bảo mật và hiệu năng của các công nghệ filter firewall )

 Tài liệu tham khảo

[1] M. Leech, M. Ganis, Y. Lee, R. Kuris, D. Koblas & L. Jones. RFC, SOCKS Protocol Version 5.  1928, April 1996. (Status: PROPOSED STANDARD).

[2] C. Rigney, S. Willens, A. Rubens, W.Simpson. Remote Authentication Dial In User Service (RADIUS). RFC 2865, June 2000. (Obsoletes RFC2138) (Status: DRAFT STANDARD)

[3] S. Kent, R. Atkinson. Security Architecture for the Internet Protocol. RFC 2401, November 1998.(Status: PROPOSED STANDARD)

[4] Jazib Frahim, Cisco ASA: All-in-One Firewall, IPS, and VPN Adaptive Security Appliance, CCIE No. 5459, Omar Santos, Cisco Press, October 21, 2005.

[5] Chris Roeckl Director, Corporate Marketing,Stateful Inspection Firewalls An overview of firewall technologyand how Juniper Networks implements it, White Paper, 2004

 

 

 

 

 

Lượt xem (2743)