Đề tài Tình hình tìm hiểu Firewall

MỤC LỤC LỜI MỞ ĐẦU Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó. Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này. Để làm rõ các vấn đề này thì đồ án “ Tìm hiểu Firewall ” sẽ cho chúng ta cái nhìn sâu hơn về khái niệm, cũng như chức năng của Firewall. Trong quá trình làm đồ án tuy đã cố gắng hết sức nhưng không thể tránh khỏi được những thiếu sót. Rất mong nhận được ý kiến giúp đỡ của thầy cô để em sẽ làm tốt hơn trong các đề tài lần sau. Cuối cùng Tôi xin chân thành cảm ơn thầy NGUYỄN KIM TUẤN và các thầy cô khoa CNTT đã hướng dẫn Tôi hoàn thành đồ án của mình. ĐN, tháng ..... năm 2012 Sinh viên thực hiện Phan Dũng Sỹ I. Mục tiêu Đồ án này sẽ giúp cho chúng ta biết được các quá trình cần thiết để thiết kế nên 1 hệ thống mạng. Giúp ta biết sâu hơn về khái niệm cũng như chức năng Firewall. II. Phương pháp nghiên cứu Đọc kỹ và nắm bắt được các yêu cầu của đồ án đề ra. Đi sâu trong việc tìm kiếm tài liệu và trình bày một cách hợp lý nhất. Chăm chú lắng nghe và tiếp thu những ý kiến đóng góp của giáo viên hướng dẫn. III. Bố cục Nội dung của đồ án này được chia làm 3 chương như sau: Chương 1: Ta tìm hiểu về tổng quan bảo mật mạng Chương 2: Ta tìm hiểu về tổng quan Firewall Chương 3: Ta sẽ đi cài đặt một giải pháp Firewall cho doanh nghiệp nhỏ. DANH MỤC HÌNH VẼ SỐ HIỆU MÔ TẢ TRANG Hình 1.1 Các mức an toàn thông tin trên mạng 15 Hình 1.2 Mô hình VPN client to site 24 Hình 1.3 Mô hình VPN site-to-site 25 Hình 1.4 Mô hình tổng quát Firewall 26 Hình 1.5 Hệ thống chống xâm nhập IDS 27 Hình 2.1 Firewall được đặt ở giữa mạng riêng và mạng công cộng 32 Hình 2.2 Mạng gồm có Firewall và các máy chủ 33 Hình 2.3 Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật 34 Hình 2.4 Packet filtering firewall 41 Hình 2.5 Circuit level gateway 41 Hình 2.6 Application-proxy firewall 42 Hình 2.7 Kiến trúc của hệ thống sử dụng Firewall 43 Hình 2.8 Cấu trúc chung của một hệ thống Firewall 43 Hình 2.9 Kiến trúc Dual - Homed host 45 Hình 2.10 Kiến trúc Screened host 47 Hình 2.11 Kiến trúc Screened Subnet 48 Hình 3.1 Mô hình triển khai ISA Server giữa Internal Network và Internet 52 Hình 3.2 Sơ đồ ban đầu của toà nhà 56 Hình 3.3 Mô hình logic 57 Hình 3.4 Các hình chú thích về thiết kế 58 Hình 3.5 Mô hình vật lý ở Tầng 1 58 Hình 3.6 Mô hình vật lý ở Tầng 2 56 Hình 3.7 Mô hình vật lý ở Tầng 3 60 TỪ VIẾT TẮT SỐ HIỆU CỤM TỪ VIẾT TẮT 1 Network Interface Controller NIC 2 Internet Protocol IP 3 Local Area Network LAN 4 Demilitarized Zone DMZ 5 File Transfer Protocol FTP 6 Simple Mail Transfer Protocol SMTP 7 Open Systems Interconnection OSI 8 Hypertext Transfer Protocol HTTP 9 Transmission Control Protocol TCP 10 Asymmetric Digital Subscriber Line ADSL 11 Personal Computer PC 12 Domain Name System DNS 13 Random Access Memory RAM 14 Internet Security and Acceleration ISA 15 Virtual Private Network VPN 16 Network Address Translation NAT 17 Wide Area Network WAN 18 Operating System OS 19 Post Office Protocol POP 20 Internet Message Access Protocol IMAP CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG I.1. GIỚI THIỆU VỀ BẢO MẬT Internet phát triển, sự kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người. Nhưng bên cạnh đó nó cũng mang tiềm ẩn những nguy cơ đe dọa đến mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cũng như người sử dụng Internet làm cho vấn đề bảo mật trên mạng luôn là vấn đề nóng và được quan tâm đến trong mọi thời điểm. Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn chặn bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật…Tuy nhiên hiện nay, các vụ vi phạm bảo mật xảy ra ngày càng tinh vi cùng với sự gia tăng những vụ lạm dụng. Những điều này dẫn đến yêu cầu cần phải có một phương pháp bảo mật mới bỗ trợ cho những phương pháp bảo mật truyền thống. Hệ thống phát hiện xâm nhập IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công, các vụ lạm dụng… Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập IDS với vai trò bảo mật mà còn có thể xây dựng một phần mềm IDS phù hợp với điều kiện Việt Nam và qua đó ứng dụng vào thực tiễn nhằm đảm bảo an toàn cho hệ thống và chất lượng dịch vụ cho người dùng. I.1.1. Khái niệm Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Hạn chế ở đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng đề phòng mọi khả năng xấu. Ngoài ra, cần phải phân tích chính xác các cuộc tấn công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết để làm giảm thiệt hại gây nên từ các cuộc tấn công. Khái niệm bảo mật thành 3 lĩnh vực chính : Bảo mật máy tính (Computer Security) – Là một tiến trình ngăn chặn và phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các công cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers. Bảo mật mạng (Network Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình chuyển động của chúng. Bảo mật Internet (Internet Security) – Là các phương pháp để bảo vệ dữ liệu trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối internet. Trọng tâm của chương này chúng ta quan tâm đến các vấn đề tổng quát về bảo mật mạng (Mạng và Internet). Bao gồm các giải pháp để ngăn chặn, phòng ngừa, phát hiện và hiệu chỉnh các vi phạm bảo mật mà có liên quan đến trao đổi thông tin. I.1.2. Tính an toàn của hệ thống mạng Sự an toàn của hệ thống mạng được thể hiện qua 3 vấn đề chính : Thông tin - bí mật : Thông tin chỉ cung cấp tới những người một cách chính đáng khi có sự truy nhập hợp pháp tới nó. Thông tin - Toàn vẹn : Thông tin chỉ được điểu khiển (sửa đổi, thay thế v.v…) bởi những người được quyền ủy thác. Thông tin - sẵn sàng : Thông tin có thể tiếp cận đối với những người mà cần nó khi có yêu cầu. Do đó, để đánh giá sự bảo mật của hệ thống mạng, người ta thường quan tâm đến các khía cạnh sau : Xác thực (Authentication): là các tiền trình xử lý nhằm xác định nhận dạng thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. Ủy quyền (Authorization): là các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. Tính bảo mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu, ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa, xóa và xem lại những thông điệp đã được truyền. - Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống. I.1.3. Nguyên tắc bảo vệ hệ thống mạng I.1.3. 1. Hoạch định hệ thống bảo vệ mạng Trong môi trường mạng, phải có sự đảm bảo rằng những dữ liệu có tính bí mật phải được cất giữ riêng, sao cho chỉ có người có thẩm quyền mới được phép truy cập chúng. Bảo mật thông tin là việc làm quan trọng, và việc bảo vệ hoạt động mạng cũng có tầm quan trong không kém. Mạng máy tính cần được bảo vệ an toàn, tránh khỏi những hiểm hoạ do vô tình hay cố ý. Tuy nhiên một nhà quản trị mạng cần phải biết bất cứ cái gì cũng có mức độ, không nên thái quá. Mạng không nhất thiết phải được bảo vệ quá cẩn mật, đến mức người dùng luôn gặp khó khăn khi truy nhập mạng để thực hiện nhiệm vụ của mình. Không nên để họ thất vọng khi cố gắng truy cập các tập tin của chính mình. Bốn hiểm hoạ chính đối với sự an ninh của mạng là: Truy nhập mạng bất hợp pháp. Sự can thiệp bằng phương tiện điện tử. Kẻ trộm. Tai họa vô tình hoặc có chủ ý. Mức độ bảo mật: Tuỳ thuộc vào dạng môi trường trong đó mạng đang hoạt động. Chính sách bảo mật: Hệ thống mạng đòi hỏi một tập hợp nguyên tắc, điều luật và chính sách nhằm loại trừ mọi rủi ro. Giúp hướng dẫn vượt qua các thay đổi và những tình huống không dự kiến trong quá trình phát triển mạng. Đào tạo: Người dùng mạng được đào tạo chu đáo sẽ có ít khả năng vô ý phá huỷ một tài nguyên. An toàn cho thiết bị: Tuỳ thuộc ở quy mô công ty, độ bí mật dữ liệu, các tài nguyên khả dụng. Trong môi trường mạng ngang hàng, có thể không có chính sách bảo vệ phần cứng có tổ chức nào. Người dùng chịu trách nhiệm đảm bảo an toàn cho máy tính và dữ liệu của riêng mình. I.1.3.2 Mô hình bảo mật Hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và tài nguyên phần cứng: Bảo vệ tài nguyên dùng chung bằng mật mã: Gắn mật mã cho từng tài nguyên dùng chung. - Truy cập khi được sự cho phép: Là chỉ định một số quyền nhất định trên cơ sở người dùng, kiểm tra truy nhập tài nguyên dùng chung căn cứ vào CSDL user-access trên máy server. I.1.3.3 Nâng cao mức độ bảo mật Kiểm toán: Theo dõi hoạt động trên mạng thông qua tài khoản người dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật của máy server. Giúp nhận biết các hoạt động bất hợp lệ hoặc không chủ định. Cung cấp các thông tin về cách dùng trong tình huống có phòng ban nào đó thu phí sử dụng một số tài nguyên nhất định, và cần quyết định phí của những tài nguyên này theo cách thức nào đó. Máy tính không đĩa: Không có ổ đĩa cứng và ổ mềm. Có thể thi hành mọi việc như máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa cứng hay đĩa mềm cục bộ. Không cần đĩa khởi động. Có khả năng giao tiếp với server và đăng nhập nhờ vào một con chip ROM khởi động đặc biệt được cài trên card mạng. Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho server biết rằng nó muốn khởi động. Server trả lời bằng cách tải phần mềm khởi động vào RAM của máy tính không đĩa và tự động hiển thị màn hình đăng nhập . Khi đó máy tính được kết nối với mạng. Mã hoá dữ liệu: Đó là mã hoá thông tin sang dạng mật mã bằng một phương pháp nào đó sao cho đảm bảo thông tin đó không thể nhận biết được nếu nơi nhận không biết cách giải mã. Một người sử dụng hay một host có thể sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay một host khác. Chống virus : Ngăn không cho virus hoạt động. Sửa chữa hư hại ở một mức độ nào đó. Chặn đứng virus sau khi nó bộc phát. Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải pháp hiệu nghiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa, nên người quản trị mạng phải bảo đảm sao cho mọi yếu tố cần thiết đều đã sẵn sàng: Mật mã để giảm khả năng truy cập bất hợp pháp. Chỉ định các đặc quyền thích hợp cho mọi người dùng. Các profile để tổ chức môi trường mạng cho người dùng có thể lập cấu hình và duy trì môi trường đăng nhập, bao gồm các kết nối mạng và những khoản mục chương trình khi người dùng đăng nhập. Một chính sách quyết định có thể tải phần mềm nào. I.1.4. Kiến trúc bảo mật của hệ thống mạng I.1.4.1. Các mức an toàn thông tin trên mạng Hình 1.1. Các mức an toàn thông tin trên mạng An toàn hay bảo mật không phải là một sản phẩm, nó cũng không phải là một phần mềm. Nó là một cách nghĩ. Sự an toàn có thể được khởi động và dường như một dịch vụ. Bảo mật là cách an toàn. Tài liệu bảo mật là tư liệu mà những thành viên của tổ chức muốn bảo vệ. Trách nhiệm của việc bảo mật là người quản trị mạng. Sự an toàn mạng có vai trò quan trọng tối cao. Cơ chế bảo mật cần phải bao gồm cấu hình mạng của Server, chu vi ứng dụng của tổ chức mạng và thậm chí của những Client truy nhập mạng từ xa. Có vài cách mà ta cần phải xem xét: Sự an toàn vật lý. An toàn hệ thống. An toàn mạng. An toàn các ứng dụng. Sự truy nhập từ xa và việc chấp nhận. Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay ở các dịch vụ cung cấp như sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, XP, UNIX hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, các hệ databases ... I.1.4.2. Ảnh hưởng của các lỗ hổng mạng Ở phần trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những kẻ tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một chuỗi mắt xích những lỗ hổng. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu duy nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn. Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, là không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. I.2. NHỮNG NGUY CƠ VÀ MỐI ĐE DỌA ĐỐI VỚI BẢO MẬT Theo đánh giá của tổ chức CERT, các nguy cơ an ninh xuất hiện từ khả năng : Sự lạm dụng của máy tính của các bạn bởi những người làm phiền qua Internet. Đối mặt thường xuyên khi làm việc trên Internet. Sự ngẫu nhiên do khi cài đặt các phần mềm hay sử dụng các dịch vụ không chính thống v.v… Chính các nguy cơ này làm bộc lỗ những điểm trong các hệ thống máy tính ( chẳng hạn như các lỗ hỗng) mà kẻ xấu có thể lợi dụng để truy cập bất hợp pháp hoặc hợp pháp vào máy tính của bạn. Các lỗ hỗng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp pháp vào hệ thống. Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của hệ thống mạng. Dưới đây là cách phân loại sau đây được sử dụng phổ biến theo mức độ tác hại hệ thống, do Bộ quốc phòng Mỹ công bố năm 1994. I.2.1. Các lỗ hổng loại C Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C, ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và những kẻ tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống. I.2.2. Các lỗ hổng loại B Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B. I.2.3. Các lỗ hổng loại A Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà anh ta không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin như ISS trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu thứ nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn. Tuy nhiên, không phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, và không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. Dựa vào kẻ hở của các lỗ hỗng này, kẻ xấu sẽ xây dựng các hình thức tấn công khác nhau nhằm không chế và nắm quyền kiểm soát trên mạng. Cho đến nay, các hacker đã nghĩ ra không biết bao nhiêu kiểu tấn công từ xa qua mạng khác nhau. Mỗi cuộc tấn công thường mở đầu bằng việc trực tiếp hoặc gián tiếp chui vào một hoặc nhiều máy tính đang nối mạng của người khác. Sau khi đã vào được hệ thống mạng, hacker có thể đi đến các bước khác như xem trộm, lấy cắp, thay đổi và thậm chí phá huỷ dữ liệu hoặc làm treo các hoạt động của một hệ thống thông tin điện tử.Các hacker cũng có thể gài bẫy những người sử dụng thiếu cảnh giác hoặc đánh lừa những hệ thống thông tin kém phòng bị. Chẳng hạn, chúng sưu tầm các địa chỉ email và gửi thư kèm virus đến đó hoặc làm nghẽn tắc mạng bằng cách gửi thật nhiều các bức thư điện tử đến cùng một địa chỉ. Đôi khi các hacker xâm nhập vào một mạng máy tính nào mà nó phát hiện ra lỗi và để lại thông báo cho người quản trị mạng, tệ hơn nữa là chúng cài virus hoặc phần mềm nào đó để theo dõi và lấy đi những thông tin nội bộ I.3. CÁC PHƯƠNG PHÁP XÂM NHẬP HỆ THỐNG – BIỆN PHÁP PHÁT HIỆN VÀ NGĂN NGỪA I.3.1. Phương thức ăn cắp thông tin bằng Packet Sniffer Đây là chương trình ứng dụng bắt giữ được tất cả các gói tin lưu chuyển trên mạng. Phụ thuộc vào cách nghe lén và mức bảo mật trong hệ thống như thế nào, một hacker có thể sử dụng một sniffer để tìm ra tên đăng nhập, mật mã và các thông tin bí mật khác trao đổi trong mạng. Biện pháp phát hiện và ngăn ngừa: Authentication Kỹ thuật này được thực hiện bao gồm hai yếu tố: Personal Identification number (PIN) để xác thực một thiết bị hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên (password) tại một thời điểm, thường là 60 giây. Khách hàng sẽ kết nối password đó với một PIN để vào hệ thống. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers thì thông tin đó cũng không còn giá trị vì hết hạn. Mã hóa Tất cả thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hóa dữ liệu… I.3.2. Phương thức tấn công mật khẩu Password attack Các hacker tấn công password bằng một số phương pháp như: brute – force attack, chương trình Trojan House, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, nhưng hacker lại thường sử dụng brute – force để lấy user account hơn. Tấn công brute – force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server bằng phương pháp “thử và sai” password. Biện pháp phát hiện và ngăn ngừa: Phương pháp giảm thiểu tấn công password: giới hạn số lần login sai,đặt password sai. - Cấm truy cập vào thiết bị, server từ xa thông qua các giao thức không an toàn như FTP, Telnet… 1.3.3. Phương thức tấn công bằng Mail Relay Đây là phương pháp phố biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng, phá hoại hệ thống email khác. Biện pháp phát hiện và ngăn ngừa: Giới hạn dung lượng Mail box Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP - Sử dụng gateway SMTP riêng 1.3.4. Phương thức tấn công hệ thống DNS DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng. Biện pháp phát hiện và ngăn ngừa: Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS - Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS 1.3.5. Phương thức tấn công Man-in-the-middle attack Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó hacker sử dụng một AP để đánh cắp các node di động bằng cách gởi các tín hiệu RF mạnh hơn AP hợp pháp đến các node đó. Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, và lúc này thì hacker toàn quyền sử lý. Tấn công dạng này được thực hiện nhờ một packet sniffer. Biện pháp phát hiện và ngăn ngừa: - Tấn công dạng này có thể hạn chế bằng cách mã hóa dữ liệu được gửi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa. 1.3.6. Phương thức tấn công để thăm dò mạng Thăm dò mạng tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. Khi một hacker cố gắng chọc thủng một mạng thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như ping sweep, hay port scan. Biện pháp phát hiện và ngăn ngừa: - Ta không thể ngăn chặn được hoàn toàn các hoạt động thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chặn được ping sweep, nhưng lại nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS giúp nhắc nhở khi có các hoạt động thăm dò xảy ra trong mạng 1.3.7. Phương thức tấn công lớp ứng dụng Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như sendmail, HTTP, hay FTP…Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi Firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25… Biện pháp phát hiện và ngăn ngừa: Lưu lại file log, và thường xuyên phân tích file log. Luôn cập nhật các patch cho OS và các ứng dụng. - Dùng IDS, có 2 loại IDS: HIDS, NIDS. 1.3.8. Phương thức tấn công Virus và Trojan Horse Các nguy hiểm cho các workstation và end user là các tấn công virus và trojan house. Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hoại nào đó. Trojan house thì hoạt động khác hơn. Một ví dụ về Trojan house là một phần mềm ứng dụng có thể chạy trong một game đơn giản ở máy workstation. Trong khi người dùng đang mải mê chơi game, Trojan house sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi thì nó lại làm tiếp tục như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó. Biện pháp phát hiện và ngăn ngừa: Có thể dùng các phần mềm chống Virus để diệt các Virus và Trojan house và luôn luôn cập nhật chương trình mới. I.4. CÁC GIẢI PHÁP BẢO MẬT AN TOÀN CHO HỆ THỐNG 1.4.1. Bảo mật VPN (Virtual Private Network) Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt động giống như mạng cục bộ, có các đặc tính như bảo mật và tính ưu tiên mà người dùng ưa thích. VPN cho phép kết nối với những người dùng ở xa, các văn phòng chi nhánh của bộ, công ty và các đối tác đang sử dụng một mạng công cộng. Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vào trong một giao thức khác. Định đường hầm cho phép những giao thức như IPX, Apple Talk và IP được mã hóa sau đó đóng gói trong IP… VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS-Quality of Service), là một thuật ngữ dùng để chỉ chất lượng của một hệ thống truyền thông hay một kết nối truyền thông trong mạng. VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS Ưu điểm của VPN Giảm chi phí: VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền. Truy cập mọi lúc mọi nơi. Giảm chi phí đầu tư: sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và bộ chuyển mạch phục vụ cho việc truy cập vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Giảm chi phí quản lý và hỗ trợ: với qui mô kinh tế, các nhà cung cấp dịch vụ có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm có giá trị so với việc tự quản lý mạng. Các loại mạng VPN: Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) và VPN điểm nối điểm (site-to-site). VPN truy cập từ xa (Remote-Access) Hình 1.2. Mô hình VPN client to site VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là kết nối người dùng đến LAN thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa VPN điểm nối điềm (site-to-site) Hình 1.3. Mô hình VPN site-to-site VPN site-to-site là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: nếu một công ty có vài chi nhánh từ xa muốn tham gia vào mạng riêng duy nhất họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: khi một công ty có mối quan hệ mật thiết với công ty khác (ví dụ như đối tác cung cấp, khách hàng…)họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. 1.4.2. Firewall Là hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia. Firewall rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và internet thông qua các chính sách truy cập đã được thiết lập. Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống. Hình 1.4. Mô hình tổng quát Firewall Do đó, việc lựa chọn Firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc vào môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng lọc địa chỉ, gói tin… Các thành phần của Firewall: Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau: Bộ lọc packet. Cổng ứng dụng Cổng mạch Bộ lọc gói tin Ưu điểm Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng. Hạn chế Việc định nghĩa chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị cần phải hiểu biết chi tiết về các dịch vụ internet, các dạng packet header, và các giá trị cụ thể mà họ có thể nhận trên môi trường. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. I.4.3. Bảo mật bằng IDS (Hệ thống dò tìm và phát hiện xâm nhập) IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, cung cấp thêm cho việc bảo vệ an toàn thông tin mạng ở mức độ cao, nó theo dõi, giám sát các truy cập, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống. Có hai dạng chính đó là: Network bases –IDS và Host based – IDS. IDS có thể là phần mềm hoặc phần cứng, mục đích chung của IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trị biết về an ninh của sự kiện cảm biến được cho là đáng báo động. Hình 1.5. Hệ thống chống xâm nhập IDS Hệ thống phát hiện xâm nhập phần mềm (Snort) Để cài được Snort thì đầu tiên phải xem xét quy mô của hệ thống mạng, yếu cầu để có thể cài đặt Snort như: cần không gian đĩa cứng để lưu trữ các file ghi log ghi lại cảnh báo, một máy chủ khá mạnh. Người quản trị sẽ chọn cho mình một hệ điều hành mà họ sử dụng thành thạo nhất. Snort có thể chạy trên các hệ điều hành như window, linux… Hệ thống phát hiện xâm nhập phần cứng (Cisco) Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền tảng cảm biến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệ thống như: Cisco IDS 4235, Cisco IPS 4.200 CHƯƠNG II TỔNG QUAN VỀ FIREWALL II.1. TỔNG QUAN VỀ FIREWALL 2.1.1. Khái niệm về Firewall 2.1.1.1. Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó là một trong những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cả thế giới và có thể nói Internet đã kết nối mọi người tới gần nhau hơn. Chính vì một khả năng kết nối rộng rãi như vậy mà các nguy cơ mất an toàn của mạng máy tính rất lớn. Đó là các nguy cơ bị tấn công của các mạng máy tính, tấn công để lấy dữ liệu, tấn công nhằm mục đích phá hoại làm tê liệt cả một hệ thống máy tính lớn, tấn công thay đổi cơ sở dữ liệu …Trước những nguy cơ đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên rất cấp thiết và quan trọng hơn bao giờ hết. Các nguy cơ bị tấn công ngày càng nhiều và ngày càng tinh vi hơn, nguy hiểm hơn. Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất mạng đòi hỏi có mật khẩu … nhưng những giải pháp đó chỉ bảo vệ một phần mạng máy tính mà thôi, một khi những kẻ phá hoại mạng máy tính đã thâm nhập sâu hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì vậy đã đặt ra một yêu cầu là phải có những công cụ để chống sự xâm nhập mạng bất hợp pháp ngay từ bên ngoài mạng, đó chính là nguyên nhân dẫn tới sự ra đời của Firewall (Tường lửa). Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại sâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống. Ngoài ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy tính khác mà không hay biết. Việc sử dụng một Firewall là cực kỳ quan trọng đối với các máy tính luôn kết nối Internet, như trường hợp có một kết nối băng thông rộng hoặc kết nối DSL/ADSL. Trên Internet, các tin tặc sử dụng mã hiểm độc, như là các virus, sâu và Trojan, để tìm cách phát hiện những cửa không khóa của một máy tính không được bảo vệ. Một tường lửa có thể giúp bảo vệ máy tính khỏi bị những hoạt động này và các cuộc tấn công bảo mật khác. Vậy một tin tặc có thể làm gì? Tùy thuộc vào bản chất của việc tấn công. Trong khi một số chỉ đơn giản là sự quấy rầy với những trò đùa nghịch đơn giản, một số khác được tạo ra với những ý định nguy hiểm. Những loại nghiêm trọng hơn này tìm cách xóa thông tin từ máy tính, phá hủy nó, hoặc thậm chí ăn căp thông tin cá nhân, như là các mật khẩu hoặc số thẻ tín dụng. Một số tin tặc chỉ thích đột nhập vào các máy tính dễ bị tấn công. Các virus, sâu và Trojan rất đáng sợ. May mắn là có thể giảm nguy cơ lây nhiễm bằng cách sử dụng một Firewall. 2.1.1.2. Sự ra đời của Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (Mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet: (INTRANET - FIREWALL - INTERNET) Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như một mạng cục bộ sử dụng Firewall để ngăn cách phòng máy và hệ thống mạng ở tầng dưới. Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet không xâm nhập được vào máy tính. Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet. Nó nhận dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ. Nếu bạn cài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn công không thể phát hiện ra máy tính. Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để kiểm tra các dữ liệu. Một lời khuyên là nên sử dụng firewall cho bất kỳ máy tính hay mạng nào có kết nối tới Internet. Đối với kết nối Internet băng thông rộng thì Firewall càng quan trọng, bởi vì đây là loại kết nối thường xuyên bật (always on) nên những tin tặc sẽ có nhiều thời gian hơn khi muốn tìm cách đột nhập vào máy tính. Kết nối băng thông rộng cũng thuận lợi hơn cho tin tặc khi được sử dụng để làm phương tiện tiếp tục tấn công các máy tính khác. 2.1.1.3. Mục đích của Firewall Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền giám sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác. Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ. Các giải pháp Firewall là thực sự cần thiết, xuất phát từ chính cách thức các dữ liệu di chuyển trên Internet. Giả sử gửi cho người thân của mình một bức thư thì để bức thư đó được chuyển qua mạng Internet, trước hết phải được phân chia thành từng gói nhỏ. Các gói dữ liệu này sẽ tìm các con đường tối ưu nhất để tới địa chỉ người nhận thư và sau đó lắp ráp lại (theo thứ tự đã được đánh số trước đó) và khôi phục nguyên dạng như ban đầu. Việc phân chia thành gói làm đơn giản hoá việc chuyển dữ liệu trên Internet nhưng có thể dẫn tới một số vấn đề. Nếu một người nào đó với dụng ý không tốt gửi tới một số gói dữ liệu, nhưng lại cài bẫy làm cho máy tính của không biết cần phải xử lý các gói dữ liệu này như thế nào hoặc làm cho các gói dữ liệu lắp ghép theo thứ tự sai, thì có thể nắm quyền kiểm soát từ xa đối với máy tính của và gây nên những vấn đề nghiêm trọng. Kẻ nắm quyền kiểm soát trái phép sau đó có thể sử dụng kết nối Internet của để phát động các cuộc tấn công khác mà không bị lộ tung tích của mình. Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng kiểm soát các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet. Hình 2.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng Một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao diện chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện riêng là phía mà chứa các dữ liệu được bảo vệ. Trên một Firewall có thể có nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời. Ứng với mỗi giao diện có một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng chung và mạng riêng. Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN, máy chủ xác thực hoặc máy chủ DNS. Tuy nhiên như bất kì một thiết bị mạng khác, nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều .Do đó, một Firewall không nên chạy nhiều dịch vụ. Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, lớp thứ nhất là bộ định tuyến ở mức định tuyến sẽ cho phép hoặc bị từ chối các địa chỉ IP nào đó và phát hiện những gói tin bất bình thường. Firewall xem những cổng nào là được phép hay từ chối. Firewall đôi lúc cũng hữu ích cho những đoạn mạng nhỏ hoặc địa chỉ IP riêng lẻ. Bởi vì bộ định tuyến thường làm việc quá tải, nên việc sử dụng bộ định tuyến để lọc ra bộ định tuyến IP đơn, hoặc một lớp địa chỉ nhỏ có thể tạo ra một tải trọng không cần thiết. Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong muốn. Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt để từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS. Hình 2.2. Mạng gồm có Firewall và các máy chủ Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào. Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được an toàn. Nhiều nhà quản trị mạng không nghĩ rằng Firewall hoạt động như một thiết bị mạng phức tạp. Người ta quan tâm nhiều đến việc giữ lại những lưu lượng không mong muốn đến mạng riêng, ít quan tâm đến việc giữ lại những lưu lượng không mong muốn đến mạng công cộng. Nên quan tâm đến cả hai kiểu của tập các quy luật bảo vệ. Nếu một kẻ tấn công muốn tìm cách xâm nhập vào một máy chủ, chúng không thể sử dụng máy chủ đó để tấn công vào các thiết bị mạng ở xa. Để bảo vệ và giúp cho các lưu lượng bên trong đoạn mạng các nhà quản lý thường chạy hai bộ Firewall, bộ thứ nhất để bảo vệ toàn bộ mạng, và bộ còn lại để bảo vể các đoạn mạng khác. Nhiều lớp Firewall cũng cho phép các nhà quản trị an toàn mạng kiểm soát tốt hơn những dòng thông tin, đặc biệt là các cơ sở bên trong và bên ngoài công ty phải xử lý các thông tin nhảy cảm. Các hoạt động trao đổi thông tin có thể cho phép trên phần nào đó của mạng thì có thể bị giới hạn trên những vùng nhạy cảm hơn. Hình 2.3. Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật 2.1.1.4. Các lựa chọn Firewall Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall phần cứng và Firewall phần mềm. Firewall phần cứng Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm. Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng. Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys ( và NetGear ( Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình. Firewall phần mềm Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) và bạn có thể tải về từ mạng Internet. So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào. Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME và Windows 2000. Chúng là một lựa chọn tốt cho các máy tính đơn lẻ. Các công ty phần mềm khác làm các tường lửa này. Chúng không cần thiết cho Windows XP bởi vì XP đã có một tường lửa cài sẵn. Ưu điểm: Không yêu cầu phần cứng bổ sung. Không yêu cầu chạy thêm dây máy tính. Một lựa chọn tốt cho các máy tính đơn lẻ. Nhược điểm: Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí. Việc cài đặt và và đặt cấu hình có thể cần để bắt đầu. Cần một bản sao riêng cho mỗi máy tính. 2.1.2. Chức năng của Firewall FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. 2.1.2.1. Firewall bảo vệ những vấn đề gì? Bảo vệ dữ liệu: Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Những thông tin cần được bảo vệ do những yêu cầu sau: Bảo mật: Một số chức năng của Firewall là có thể cất giấu thông tin mạng tin cậy và nội bộ so với mạng không đáng tin cậy và các mạng bên ngoài khác. Firewall cũng cung cấp một mũi nhọn trung tâm để đảm bảo sự quản lý, rất có lợi khi nguồn nhân lực và tài chính của một tổ chức có giới hạn. Tính toàn vẹn. Tính kịp thời. Tài nguyên hệ thống. Danh tiếng của công ty sở hữu các thông tin cần bảo vệ. 2.1.2.2. Firewall bảo vệ chống lại những vấn đề gì? FireWall bảo vệ chống lại những sự tấn công từ bên ngoài. Chống lại việc Hacking Hacker là những người hiểu biết và sự dụng máy tính rất thành thạo và là những người lập trình rất giỏi. Khi phân tích và khám phá ra các lổ hổng hệ thống nào đó, sẽ tìm ra những cách thích hợp để truy cập và tấn công hệ thống. Có thể sử dụng các kỹ năng khác nhau để tấn công vào hệ thống máy tính. Ví dụ có thể truy cập vào hệ thống mà không được phép truy cập và tạo thông tin giả, lấy cắp thông tin. Nhiều công ty đang lo ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker. Vì vậy, để tìm ra các phương pháp để bảo vệ dữ liệu thì Firewall có thể làm được điều này. Chống lại việc sửa đổi mã Khả năng này xảy ra khi một kẻ tấn công sửa đổi, xóa hoặc thay thế tính xác thực của các đoạn mã bằng cách sử dụng virus, worm và những chương trình có chủ tâm. Khi tải file trên internet có thể dẫn tới download các đọan mã có dã tâm, thiếu kiến thức về bảo mật máy tính, những file download có thể thực thi những quyền theo mục đích của những người dùng trên một số trang website. Từ chối các dịch vụ đính kèm Từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công. Lời đe dọa tới tính liên tục của hệ thống mạng là kết quả từ nhiều phương thức tấn công giống như làm tràn ngập thông tin hay là sự sửa đổi đường đi không được phép. Bởi thuật ngữ làm tràn ngập thông tin, là một người xâm nhập tạo ra môt số thông tin không xác thực để gia tăng lưu lượng trên mạng và làm giảm các dịch vụ tới người dùng thực sự. Hoặc một kẻ tấn công có thể ngắm ngầm phá hoại hệ thống máy tính và thêm vào phần mềm có dã tâm, mà phần mềm này sẽ tấn công hệ thống theo thời gian xác đinh trước. Tấn công trực tiếp Cách thứ nhất: là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ … và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack. Cách thứ hai: là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống). Nghe trộm Có thể biết được tên, mật khẩu, các thông tin truyền qua mạng thông qua các chương trình cho phép đưa giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng. Vô hiệu hoá các chức năng của hệ thống (Deny service) Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiện các chức năng được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Lỗi người quản trị hệ thống Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống. Đối với người dùng cá nhân, không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân. Qua đó, tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn. Yếu tố con người Với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker. - Ngoài ra thì còn dùng Firewall để chống lại sự “ giả mạo địa chỉ IP “. 2.1.3. Những hạn chế của Firewall Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ xấu ở bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói, mã hoá dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật. Một nhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp. 2.1.4. Phân loại Firewall Hiện nay có nhiều loại Firewall, để tiện cho quá trình nghiên cứu và phát triển, người ta chia Firewall ra làm hai loại chính bao gồm: Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có kiểm soát. Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các máy khách và các host. 2.1.4.1. Packet Filtering Firewall Đây là kiểu Firewall thông dụng hoạt động dựa trên mô hình OSI mức mạng. Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin. Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên router. Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai hay bị cấm. Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy. Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị. Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập để vào bên trong mạng. Firewall kiểu packet filtering chia làm hai loại: Packet filtering firewall: Hoạt động tại lớp mạng (Network Layer) của mô hình OSI. Các luật lọc gói tin dựa trên các trường trong IP header, transport header, địa chỉ IP nguồn và địa chỉ IP đích … Hình 2.4. Packet filtering firewall Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình OSI. Mô hình này không cho phép các kết nối end to end. Hình 2.5. Circuit level gateway 2.1.4.2. Application-proxy firewall Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin đi qua. Ưu điểm: Không có chức năng chuyển tiếp các gói tin IP. Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall. Đưa ra công cụ cho phép ghi lại quá trình kết nối. Nhược điểm: Tốc độ xử lý khá chậm. Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập. Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall (Ex. Ftp proxy, Http proxy). Firewall kiểu Application- proxy chia thành hai loại: Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer) trong mô hình TCP/IP. Hình 2.6. Application-proxy firewall Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được tính năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp mạng và kiểm tra nội dung các gói tin tại lớp ứng dụng. Loại Firewall này cho phép các kết nối trực tiếp giữa client và host nên giảm thiểu được lỗi, nó cung cấp các tính năng bảo mật cao và trong suốt đối với End Users II.2. MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL Kiến trúc của hệ thống sử dụng Firewall như sau: Hình 2.7. Kiến trúc của hệ thống sử dụng Firewall Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau: Hình 2.8. Cấu trúc chung của một hệ thống Firewall Hình 1.5. Cấu trúc chung của một hệ thống Firewall Trong đó: Screening Router: là chặng kiểm soát đầu tiên cho LAN. DMZ: là vùng có nguy cơ bị tấn công từ internet. Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật. IF1 (Interface 1): là card giao tiếp với vùng DMZ. IF2 (Interface 2): là card giao tiếp với vùng mạng LAN. FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN ra internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server. Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông qua Authentication server. Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần). Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt đối xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn. Nhờ mô hình Firewall mà các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, mọi thôn tin trao đổi với internet đều được kiểm soát thông qua gateway. 2.2.1. Kiến trúc Dual - Homed host (máy chủ trung gian) Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính Dual-homed host. Một máy tính được gọi là Dual-homed host nếu có ít nhất hai Network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là router phần mềm. Kiến trúc Dual-homed host rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN). Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host. Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed host là nơi giao tiếp duy nhất. Hình 2.9. Kiến trúc Dual - Homed host 2.2.2. Kiến trúc Screend Host Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được cài trên router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được phép kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế, Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet Filtering cũng cho phép Bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet filtering trên screening router như sau : Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài thông qua một số dịch vụ cố định. Không cho phép tất cả các kết nối từ host bên trong (cấm những host này sử dụng dịch vụ proxy thông qua Bastion host). Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau. Một số dịch vụ được phép đi vào trực tiếp qua packet filtering. Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy. Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc Dual-homes host đôi khi cũng có lỗi mà cho phép một packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này) . Hơn nữa, kiến trúc Dual-homes host thì dễ dàng bảo vệ router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng. Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed host. So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion host thì không có cách nào để ngăn tách giữa Bastion host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất. Hình 2.10. Kiến trúc Screened host 2.2.3. Kiến trúc Screened Subnet Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến trúc Firewall có tên là Screened subnet. Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu Screen subnet đơn giản bao gồm hai screened router: Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép ngững gì outbound từ mạng ngoại vi. Một số quy tắc packet filtering đặc biệt được cài ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức cao. Ngoài các quy tắc đó, các quy tắc khác cần giống nhau giữa hai router. Router trong (Interior router còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bị tổn thương và thỏa hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email server bên trong. Hình 2.11. Kiến trúc Screened Subnet CHƯƠNG 3 CÀI ĐẶT MỘT GIẢI PHÁP FIREWALL CHO DOANH NGHIỆP NHỎ III.1. PHÂN TÍCH MẠNG DOANH NGHIỆP NHỎ 3.1.1. Mô tả hiện trạng của doanh nghiệp Trong tình hình mạng máy tính của doanh nghiệp thì việc khảo sát hiện trạng của doanh nghiệp là một điều rất quan trọng. Tình hình mạng máy tính của doanh nghiệp như thế nào sẻ quyết định mô hình Firewall cho doanh nghiệp. Trước hết phải thấy rằng mạng doanh nghiệp đặc biệt là mạng doanh nghiệp nhỏ đòi hỏi phải rất gọn, không phức tạp như những công ty lớn về tin học, viễn thông. Nhưng không phải vì điều đó mà việc bảo mật của mạng máy tính doanh nghiệp bị xem nhẹ. Có thể nói việc bảo mật cho mạng doanh nghiệp là yêu cầu hàng đầu của các doanh nghiệp đối với các nhà quản trị mạng. Việc bảo mật tốt dữ liệu của các mạng doanh nghiệp là vấn đề sống còn của doanh nghiệp. Khảo sát hiện trạng của doanh nghiệp cho một cái nhìn tổng quát về mạng máy tính của doanh nghiệp. Từ tình trạng của doanh nghiệp giúp quyết định được sẽ chọn loại Firewall cho phù hợp. Do doanh nghiệp thuộc vào doanh nghiệp nhỏ nên có quy mô cơ sở vật chất trang thiết bị máy tính cũng như hạ tầng mạng không lớn lắm. Hiện trạng của doanh nghiệp sẽ quyết định tới mô hình Firewall mà ta sẽ lựa chọn cho phù hợp. Để hỗ trợ cho Firewall của doanh nghiệp người quản trị mạng cuả doanh nghiệp phải luôn luôn cập nhật những lỗ hổng bảo mật mới của phần mềm Firewall đang sử dụng. Bên cạnh đó thường xuyên tìm hiểu những cách thức tấn công mới của những kẻ phá hoại để từ đó đề ra những phương án phòng chống hữu hiệu. Hiện trạng của doanh nghiệp đó là nhưng cơ sở vật chất thiết bị máy tính của doanh nghiệp, cách bố trí mạng như thế nào, tài khoản của người sử dụng … nếu nắm rỏ được hiện trạng của doanh nghiệp thì việc vận hành Firewall sẽ dễ dàng hơn rất nhiều và hiệu quả bảo vệ của Firewall cũng nâng lên rất nhiều. Việc phân chia quyền sử dụng trong mạng doanh nghiệp cũng là một vấn đề cần quan tâm đối với người quản trị mạng doanh nghiệp, phải có cái nhìn thật kỹ lưỡng và chính xác trong việc phân quyền nếu không thì dù cho Firewall có đồ sộ bao nhiêu, tốt bao nhiêu cũng trở nên vô ích. Vì vậy mô tả hiện trạng của doanh nghiệp là một việc rất quan trọng trong chiến lược xây dựng Firewall cho doanh nghiệp. Nếu như việc bố trí hạ tầng mạng chưa phù hợp thì người quản trị mạng phải có chính sách điều chỉnh ngay đây cũng là một yếu tố làm cho Firewall hoạt động hiệu quả hơn. 3.1.2. Phân tích yêu cầu Firewall cho doanh nghiệp Yêu cầu về Firewall cho doanh nghiệp bao gồm nhiều rất nhiều yếu tố. Do những đặc thù của doanh nghiệp mà phải xác định mô hình Firewall cho phù hợp. Đối với doanh nghiệp về mức độ đáp ứng trang thiết bị máy tính không phải như các trung tâm chuyên về tin học lớn. Các thiết bị mạng ở đây không phải lớn như các trung tâm máy tính lớn. Vì vậy phải có cái nhìn cụ thể để đề ra mô hình Firewall phù hợp cho doanh nghiệp. Đối với các doanh nghiệp lớn thì cơ sỡ dữ liệu, tài nguyên cũng rất lớn và số lượng người truy cập mỗi ngày để lấy cơ sỡ dữ liệu, cập nhật thông tin, trao đổi … các hoạt động truy nhập thông tin diễn ra hết sức tấp nập trên mạng, những kẻ phá hoại sẽ dựa vào những hoạt động đó để lấy cắp, phá hoại thông tin, làm ngưng hoàn toàn cả hệ thống. Nếu như không có một Firewall đủ mạnh thì việc đột nhập của kẻ phá hoại sẽ hết sức đơn giản. Đối với những doanh nghiệp như thế này mô hình Firewall phải mạnh, có thể kết hợp giữa Firewall phần cứng và Firewall phần mềm. Việc kết hợp cả hai loại Firewall trên sẽ cho một sự bảo vệ chắc chắn hơn. Các tính năng được tích hợp trong Firewall phần cứng được các nhà sản xuất thiết lập ngay khi sản xuất các thiết bị các khả năng bảo mật này sẽ được cập nhật trong quá trình sử dụng của thiết bị. Khi lựa chọn một Firewall phần mềm cho những doanh nghiệp lớn thì phải chọn những mô hình Firewall phần mềm mạnh của các nhà sản xuất phần mềm về Firewall uy tín. Các phần mềm này khi có một bản quyền hợp pháp trong quá trình sử dụng chương trình sẽ không ngừng được cập nhật các phương pháp bảo mật mới, cập nhật các lỗ hổng bảo mật mới trong chương trình. Tuy nhiên việc kết hợp giữa Firewall phần cứng và Firewall phần mềm là một điều vô cùng tốn kém nó chỉ phù hợp với các doanh nghiệp lớn về cơ sở vật chất kĩ thuật, có tiềm lực về tài chính. Đối với các doanh nghiệp vừa và nhỏ có hạn chế về nhiều mặt như kinh phí cũng như thiết bị cho nên trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của tổ chức - doanh nghiệp một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách. Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy các mối đe dọa như sâu máy tính, chương trình phá hoại và ăn cắp thông tin, lỗ hổng bảo mật của các hệ điều hành và ứng dụng. Việc bảo mật cho các mạng máy tính doanh nghiệp loại này cũng không phức tạp như các doanh nghiệp lớn vì cơ sở dữ liệu ít, gọn, không nằm phân tán như các doanh nghiệp lớn. Vì vậy có thể lựa chọn nhũng Firewall phần mềm miễn phí hoặc bật các chức năng Firewall được cung cấp sẵn trong các hệ điều hành như Windows XP Home Edition, sử dụng Internet Connection Firewall trong phiên bản Windows XP Professional. 3.1.3. Chọn lựa một giải pháp Firewall nào cho phù hợp với mạng máy tính của doanh nghiệp Một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng Firewall nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/vào mạng. Tuy nhiên, đầu tư cho một Firewall khá tốn kém, nhất là đối với các tổ chức - doanh nghiệp vừa và nhỏ. Trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của tổ chức - doanh nghiệp một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp. Sau đây là một số giải pháp phần mềm thông dụng hiện nay đang được nhiều doanh nghiệp ở tại Việt Nam cũng như trên thế giới sử dụng rộng rãi. Các phần mềm này đáp ứng rất tốt các điều kiện của doanh nghiệp, do tính chất của các phần mềm này các yêu cầu về cấu hình cho hệ thống mạng không phải là quá cao cho nên rất phù hợp với mạng máy tính của các doanh nghiệp vừa và nhỏ. ISA Server Enterprise 2000, ISA Server Enterprise 2004 : Đây là một phần mềm có các chức năng chính là : Bảo vệ mạng chống các cuộc tấn công từ Internet. Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểm soát. Hình 3.1. Mô hình triển khai ISA Server giữa Internal Network và Internet Sonicwall PRO 2040: Firewall dành cho doanh nghiệp loại vừa này có thể đáp ứng mọi yêu cầu, dễ dàng nhận ra ngay điều này khi lấy thiết bị ra khỏi hộp, có thể đặt nó trên bàn, trên kệ tủ, hoặc lắp vào rack 1U đều được cả. SonicWALL Pro 2040 kết hợp hệ điều hành mở rộng SonicOS thế hệ mới của SonicWALL và một kiến trúc phần cứng có khả năng chịu tải tốt, miễn là cấu hình đúng, tất nhiên là không đơn giản. Khi sử dụng, người dùng phải cài đặt OS mở rộng của SonicWALL mới khai thác được nhiều tính năng cao cấp như kết nối đến nhiều ISP để dự phòng, cân bằng tải với các Pro 2040 khác, thiết lập NAT dựa theo chính sách và kết nối WAN dự phòng. Mặc dù có thể vận hành Pro 2040 mà không cần hệ điều hành SonicOS Enhanced, nhưng phải cài hệ điều hành này thì mới có thể kích hoạt cổng giao tiếp thứ tư của thiết bị. Cổng này có chức năng của một cổng WAN, LAN, hay DMZ, hoặc nối sang một thiết bị Pro 2040 khác để dự phòng. SonicWall không hề thua kém các đối thủ, nó cũng tích hợp chức năng phòng chống virus và lọc nội dung. Pro 2040 hoàn toàn làm vừa lòng, chẳng hạn, nó được trang bị một bộ xử lý chỉ làm mỗi nhiệm vụ mã hóa cho nên hiệu suất chẳng có gì khác biệt khi dùng chế độ mã hóa AES-256 hay 3DES. Hàng loạt cuộc tấn công giả lập cũng như ngăn chặn virus khi thử đều bị ngăn cản bởi Firewall này. ZoneAlarm: Đây là một phần mềm miễn phí cho người sử dụng, mặc dù vậy nhưng những tính năng của nó cũng không kém gì những phần mềm lớn có bản quyền. Sau đây là một số tính năng của nó: Overview: Cho phép nắm được các dữ liệu thống kê về hoạt động của ZoneAlarm. Bấm vào tab Preferences để thay đổi các thiết lập chi tiết. Firewall: Các thiết lập chung, ảnh hưởng tới toàn bộ hoạt động cửa chương trình được đặt tại đây. Để đơn giản hoá, ZoneAlarm sử dụng khái niệm Zone (vùng). Internet Zone bao gồm các máy tính và các site trên mạng Internet mà chưa đặt thiết lập bảo vệ. Program Control: Program Control cho phép xác định những chương trình nào phải hỏi ý kiến Firewall trước khi truy nhập Internet (ZoneAlarm sử dụng những thông tin này khi tạo các cửa sổ cảnh báo). Nếu gặp những vấn đề với các chương trình gián điệp và chương trình quảng cáo, ở một số thời điểm nào đó có thể đặt thiết lập cho mục này ở mức High. Ngoài ra, mức Medium là phù hợp với hầu hết những người sử dụng. Mục Automatic Lock trong Program Contrel cho phép đặt cách ly hoàn toàn với mạng Internet, chặn tất cả các thông điệp đi từ máy tính ra mạng Internet và ngược lại. Nếu sử dụng Internet băng rộng và bật máy tính suốt ngày, nên chọn Automatic Lock bất cứ lúc nào không làm việc với máy tính nữa. Có thể bật Automatic Lock bằng cách ấn vào biểu tượng ổ khoá bên trên cửa sổ ZoneAlarm. Comodo Firewall Pro 3.0: Đây là một trong những tường lửa tốt nhất trên Internet sẵn có dành cho Windows Vista. Tường lửa này có thể dễ dàng cạnh tranh với mọi giải pháp thương mại khác. Không giống như các giải pháp bảo mật miễn phí khác, Comodo không phải là phiên bản miễn phí của một sản phẩm thương mại. Nó đưa ra một tập hợp hoàn chỉnh các đặc tính bảo mật giống như bất kỳ tường lửa có chất lượng tốt khác. Điểm không thuận tiện duy nhất có thể thấy là tường lửa này trên thực tế có rất nhiều các tùy chọn cấu hình và tùy chọn bảo vệ gây khó khăn cho người dùng mới làm quen với nó. Một chuyên gia thì hoàn toàn thích thú với tất cả các tùy chọn điều khiển nhưng đối với một người mới bắt đầu thì họ sẽ phải dành rất nhiều thời gian để tìm hiểu mọi thứ. Nếu như bạn xác định muốn dành một lúc nào đó để học cách sử dụng Comodo Firewall Pro 3.0 thì có thể tin tưởng rằng bạn đã được bảo mật cao mà lại hoàn toàn miễn phí. 3.1.4. Sơ đồ doanh nghiệp Giả sử, công ty có 3 tầng và gồm có 5 phòng làm việc. - Diện tích toà nhà là: + Chiều dài của tòa nhà là 12 m. + Chiều rộng của tòa nhà là 7 m. + Chiều cao của mỗi tầng là 6 m. - Diện tích của mỗi phòng là: + Đối với phòng kinh doanh, kỹ thuật, tài chính, giám đốc: Chiều dài là 6 m. Chiều rộng là 5 m. + Đối với phòng phó giám đốc: Chiều dài là 5 m. Chiều rộng là 7m. Trong đó: + Phòng kinh doanh và kỹ thuật nằm ở tầng 3. Phòng kinh doanh sẽ được đặt 10 máy. Phòng kỹ thuật sẽ được đặt 10 máy. + Phòng phó giám đốc và tài chính nằm ở tầng 2. Phòng phó giám đốc sẽ được đặt 1 máy. Phòng tài chính sẽ được đặt 10 máy. + Phòng giám đốc nằm ở tầng 1 và được đặt 1 máy Sau đây là sơ đồ ban đầu của công ty 6m 7 m 2m 5m 6 m Tầng 1 Tầng 2 Tầng 3 Hình 3.2. Sơ đồ ban đầu của toà nhà 2m 12 m 3.1.4.1. Sơ đồ mạng doanh nghiệp Sau đây là mô hình được phát thảo dựa trên mô hình Client/Server. Hình 3.3. Mô hình logic Trong mô hình logic trên thì hệ thống mạng có 1 Switch phân tán có chức năng định tuyến (Switch layer 3). Switch này có tác dụng chuyển lưu lượng qua lại giữa các Switch truy cập (Switch layer 2) và một nhiệm vụ rất quan trọng là định tuyến giữa các LAN ảo. Bất kỳ một Switch truy cập nào được kết nối đến Switch phân tán bằng đường kết nối uplink 100Mbps và kết nối này đảm bảo cung cấp băng thông cho toàn bộ các máy tính kết nối đến Switch truy cập. Switch phân tán sử dụng ở đây là thiết bị có nhiều cổng truy nhập 100Mbps. Các Switch truy cập cung cấp 24 cổng 100 Mbps đảm bảo băng thông này cho từng máy trạm. Toàn bộ toàn nhà sẽ có 3 Switch truy cập. Nếu số lượng máy tính trong toàn bộ toàn nhà phát triển lên, các Switch truy cập có thể cắm xếp trồng để cung cấp số lượng cổng truy cập nhiều hơn hoặc các phòng ban có thể cắm Switch mở rộng để cung cấp thêm số cổng truy nhập. Thùng RACK Bó cáp Dây cáp UTP Wall plate Hình 3.4. Các hình chú thích về thiết kế FireWall Hình 3.5. Mô hình vật lý ở Tầng 1 Hình 3.6. Mô hình vật lý ở Tầng 2 Hình 3.7. Mô hình vật lý ở Tầng 3 Mạng sử dụng trên có 50 PC. Trong đó: 1 máy dùng làm ISA Server (có 2 card mạng) nên cài hệ điều hành Window 2003 Server. Còn lại các máy tính khác đều cài Window XP P2. Sử dụng một đường ADSL và hệ thống ISA Server 2004 Firewall với địa chỉ modem ADSL là 1.1.1.2. Hệ thống có hai lớp mạng chính là Internal bao gồm các máy tính của nhân viên có dãy địa chỉ IP riêng là 192.168.10.1 – 192.168.10.255/24 Máy chủ dùng để cài đặt ISA Server chạy Windows Server 2003 SP1 có 2 NIC (network interface) với địa chỉ IP như sau: Outside Interface: IP 1.1.1.1, Subnet Mask 255.255.255 và Default Gateway 1.1.1.2 (ADSL modem). Inside Interface: IP 192.168.10.2, Subnet Mask 255.255.255.0 và DNS 192.168.10.3 (DNS Server và Domain Controler của hệ thống) III.2. CÀI ĐẶT VÀ CẤU HÌNH FIREWALL Sau âáy sẽ tiến hành cài đặt một Firewall cho doanh nghiệp bằng phần mềm ISA Server 2004 Firewall 3.2.1. Tìm hiểu về phần mềm ISA Server 2004 Firewall Trong số những sản phẩm tường lửa (firewall) trên thị trường hiện nay thì ISA Server 2004 của Microsoft được nhiều người yêu thích do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt. ISA Server 2004 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau. ISA Server 2004 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Với phiên bản này có thể xây dựng Firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp. Bên cạnh đó còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các công ty có những hệ thống máy chủ quan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA 2004 cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống. Ngoài các tính năng bảo mật thông tin trên, ISA 2004 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Chính vì lý do đó mà sản phẩm Firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet). ISA Server 2004 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2004 Standard, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải) 3.2.2. Cài đặt ISA Server Yêu cầu cài đặt: ISA 2004 phải được cài đặt trên nền phần cứng và phần mềm như sau: Phần cứng tối thiểu: CPU: 500MHz. RAM: 256MB. Hard Disk: phân vùng NTFS, >=150MB dung lượng còn trống. Máy có 2 card mạng. Phần mềm: Windows 2000 server, SP4. Windows 2003 server. Sau khi đã thiết lập đầy đủ các thông tin cần thiết, tiến hành cài đặt ISA Server 2004 Standard trên máy tính dùng làm Firewall Bước 1: Chạy file setup và click vào Install ISA Server 2004 Bước 2: Trong hộp thoại Microsoft ISA Server 2004 - Installation Wizard, ta click Next. Bước 3: Sau đó ta chọn I accept the terms in the license agreement và sau đó click Next. Bước 4: Ta điền đầy đủ thông tin và số serial vào rồi click Next. Bước 5: Ta chọn cài đặt chế độ Custom rồi click Next. Bước 6: Mặc định chỉ có hai dịch vụ Firewall Services và ISA Server Management, ta chọn thêm Firewall Client Installation Share. Rồi click Next. Bước 7: Ta sẽ click vào Add Bước 8: Ta sẽ cung cấp dãy địa chỉ IP chứa các máy tính trong mạng nội bộ (From, To). Lưu ý, dãy địa chỉ này phải chứa IP của giao tiếp mạng Inside. Rồi click Add. Sau đó OK. Bước 9: Trong hộp thoại Internal Network ta click Next. Bước 10: Ta chọn Allow computers running earlier version of Firewall Client software to connect. Rồi chọn Next. Bước 11: Trong hộp thoại Services ta click Next. Bước 12: Trong hộp thoại Ready to Install the Program ta click Install. Sau đó quá trình cài đặt sẽ bắt đầu. Xong thì ta bấm Finish để hoàn tất. Tạo Access Rule cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet. Mở giao diện quản lý ISA Management Server bằng cách chọn Start à All Programs à Microsoft ISA Server à ISA Server Management. Bước 1: Tại giao diện chính, ta click vào Firewall Policy và chọn trên thanh Tab Tasks mục Create New Access Rule. Bước 2: Đặt tên cho access rule cần tạo là MẠNG NỘI BỘ TRUY CẬP INTERNET hoặc tên phù hợp với hệ thống và click Next. Bước 3: Trong hộp thoại Rule Action chọn Allow, vì đây là access rule cho phép client sử dụng các giao thức và ứng dụng thông qua Firewall. Bước 4: Trong hộp thoại Protocols, ta chọn Selected Protocols rồi click Add. . Trong hộp thoại Add Common Protocols ta Add các mạng mà bạn muốn cho đi qua. Sau đó đóng hộp thoại này lại. Rồi chọn Next Bước 5: Trong hộp thoại Access Rule Sources, ta click Add. Bước 6: Trong hộp thoại Add Network Entities ta click đúp vào Internal và Local Host Sau đó đóng hộp thoại này lại. Rồi chọn Next. Bước 7: Trong hộp thoại Access Rule Destinations, ta click Add. Bước 8: Trong hộp thoại Add Network Entities ta click đúp vào External. Sau đó đóng hộp thoại này lại. Rồi chọn Next. Bước 9: Ở đây ta thiết lập cho tất cả các users. Bước10: Ta click Finish để hoàn tất. Nhấn Apply để hiệu lực firewall policy mới tạo, lúc này đã có 2 acess rule là Default Rule (có chức năng Deny All, lưu ý Default Rule không thể xoá được) và MẠNG NỘI BỘ TRUY CẬP INTERNET cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet. Sau khi thiết lập thành công Logon vào máy Clien và máy ISA truy cập vào trang thấy truy cập thành công. III.3. THỬ NGHIỆM VÀ ĐÁNH GIÁ KẾT QUẢ 3.3.1. Thử nghiệm ISA Server 2004 là một Firewall mạnh đáp ứng được các yêu cầu sử dụng các Service từ xa, phục vụ cho cả các ISA Clients bên trong truy cập các Service bên ngoài (Internet), lẫn các Client bên ngoài (Internet Clients) cần truy cập các Service bên trong Network Tổ chức. Firewall luôn là một trong các loại thiết bị Network cấu hình phức tạp nhất và duy trì hoạt động để bảo vệ Network cũng gặp không ít thử thách cho các Security Admin. Cần có những kiến thức cơ bản về TCP/IP và các Network Services để hiểu rõ một Firewall làm việc như thế nào. Tuy nhiên cũng không nhất thiết phải trở thành một chuyên gia về hạ tầng Network (Network Infrastructure ) mới có thể sử dụng được ISA Server 2004 như một Network Firewall. ISA Server 2004 được thiết kế để bảo vệ Network, chống các xâm nhập từ bên ngoài lẫn kiểm soát các truy cập từ bên trong Nội bộ Network của một tổ chức. ISA Server 2004 Firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn. ISA Server 2004 Firewall chứa nhiều tính năng mà các Security Admin có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Nội bộ Network. Cuốn sách cung cấp cho các Security Admin hiểu được những khái niệm tổng quát và dùng những tính năng phổ biến, đặc thù nhất trên ISA Server 2004, thông qua những bước hướng dẫn cụ thể (Steps by Steps). Đây là một hệ thống ngăn chặn các cuộc tấn công từ Internet và một Firewall với cấu hình lỗi sẽ tạo điều kiện cho các cuộc xâm nhập Network. Với những lý do này, điều quan trọng nhất các Security Admin quan tâm đó là Làm thế nào để cấu hình Firewall đảm bảo an toàn cho việc truy cập Internet . Với cấu hình mặc định của mình ISA Server 2004 ngăn chặn tất cả lưu thông vào, ra qua Firewall. Rõ ràng đây là một cấu hình chủ động, an toàn nhất mà Admin có thể yên tâm ngay từ đầu khi vận hành ISA Server. Và sau đó để đáp ứng các yêu cầu hợp pháp truy cập các Service khác nhau của Internet (ví dụ như web, mail, chat, download, game online v.vv..), Security Admin sẽ cấu hình để ISA Server 2004 có thể đáp ứng các yêu cầu được phép trên. 3.3.2. Kết quả đạt được của các giải pháp Firewall Đã thực hiện tốt các chức năng bảo vệ bảo mật của mạng máy tính cho doanh nghiệp. Việc vận hành lắp ráp của Firewall phần cứng tương đối đơn giản. Hoạt động của Firewall phầnd mềm tương đối ổn định,có dao diện đẹp. Các chức năng cập nhật phiên bản mới hoạt động khá tốt. Các chức năng như cảnh báo, thông báo của phần mềm rất dễ nhận thấy cho người quản trị mạng. Hỗ trợ rất tốt cho người dùng. 3.3.3. Một số nhược điểm Các Firewall phần mềm có khi gặp phải trục trặc đó là tính tương thích. Ứng dụng chỉ mới thử nghiệm và cài đặt trên Flatform Window, chưa triển khai trên các Flatform khác như : Linux, Solaric v.v… KẾT LUẬN I. ĐÁNH GIÁ I.1. Kết quả nghiên cứu được Sau quá trình tìm hiểu và nghiên cứu, đề tài đã đạt được một số kết quả như sau: Đã hiểu rõ được thế nào là Firewall trong lĩnh vực tin học, bản chất của Firewall là như thế nào. Chức năng của Firewall trong việc bảo mật cho mạng máy tính. Những thành phần chính hình thành nên một Firewall. Tìm hiểu được an toàn và bảo mật mạng Các yêu cầu về Firewall của doanh nghiệp nói chung cũng như đối với doanh nghiệp nhỏ nói riêng. Những giải pháp Firewall đưa ra cho doanh nghiệp và hướng doanh nghiệp vào một giải pháp Firewall cụ thể. Thiết lập một Firewall cho doanh nghiệp. I.2. Vấn đề chưa làm được Chưa tìm hiểu hết được các kĩ thuật lập trình Firewall. Chưa tiếp cận được thực tế một giải pháp Firewall nào để đề ra cách triển khai hệ thống chính xác. Việc triển khai và tìm hiểu chưa có nhiều điều kiện thực tế, nhiều vấn đề chỉ mới qua các tài liệu. II. HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Trên cơ sở những việc đã làm được và chưa làm được ở trên khi thực hiện đề tài, Tôi xin đưa ra hướng phát triển nhằm từng bước hoàn thiện đề tài. Tìm hiểu thêm các kỹ thuật lập trình Firewall, cũng như đề xuất phương án và giải pháp tốt. Xây dựng một chương trình Firewall có tính thực tiển cao. III. LỜI KẾT Trong quá trình tìm hiểu và làm đồ án Tôi đã nhận được rất nhiều ý kiến đóng góp về nội dung cũng như cách trình bày. Tôi xin chân thành cảm ơn giảng viên hướng dẫn: Lê Văn Long và các thầy cô trong khoa CNTT đã tận tụy hướng dẫn và chỉ bảo. Mặc dù đồ án đã thể hiện được phần nào sự hiểu biết về vấn đề nhưng vẫn có những mặc làm được và chưa làm được như đã nêu trên. Tôi rất mong sự đóng góp ý kiến và bổ sung của các thầy cô để Tôi có thêm kinh nghiệm hoàn thành tốt hơn trong những đồ án tiếp theo. TÀI LIỆU THAM KHẢO Tiếng Việt [1]. Lê Văn Long,”Quản trị mạng”, bài giảng Khoa CNTT- Đại học Duy Tân, Lưu hành nội bộ. [2]. Nguyễn Bá Quang, “Thiết kế cài đặt mạng “, Đại học Cần Thơ - Khoa CNTT. [3]. Nguyễn Minh Nhật, “ An ninh mạng ”, bài giảng Khoa CNTT - Đại học Duy Tân, Lưu hành nội bộ. [4]. Nguyễn Gia Như “ Thiết kế mạng “, bài giảng Khoa CNTT - Đại học Duy Tân, Lưu hành nội bộ. Tài liệu trên Internet [5]. [6]. [7] [8] NHẬN XÉT CỦA GVHD NHẬN XÉT CỦA GVPB