FIREWALL AN NINH MẠNG Các thành phần hệ thống mạng an toàn tiêu biểu Đặt vấn đề Giới thiệu  Bức tường lửa (Firewall): nằm networks  Bảo vệ hệ thống  Cung cấp kết nối an toàn mạng (inside outside)  Ngăn chặn người dùng/chương trình khơng có quyền truy cập vào private network/computer  Cài đặt sách bảo mật  Kiểm soát luồng liệu  Từ mạng bên  Từ bên vào mạng bên Phân loại Theo phạm vi sử dụng  Tường lửa cá nhân: thường phần mềm sử dụngcho máy tính đơn  Tường lửa mạng, thường chạy thiết bịmạng hay máy tính chuyên dụng đặt ranh giới hai hay nhiều mạng khu DMZ (phi quân sự) Phân loại  Phân loại dựa mơ hình tầng mạng  Tầng mạng – Bộ lọc gói tin (Firewalls Packet Filtering)  Tầng ứng dụng – Cổng ứng dụng (Firewalls Aplication-Level Gateway or (Proxy))  Tầng giao vận – Cổng vòng (Firewalls Circuit-Level Gateway)  Statefull Multilayer Inspection Firewall (SIF): Kết hợp loại tren  Phân loại dựa trạng thái  Tường lửa có trạng thái (Stateful firewall)  Tường lửa phi trạng thái (Stateless firewall) 1-4: chức lọc gói đơn giản tĩnh (simple static hay stateless filtering) Kiến trúc tường lửa  Screening Router (Packet Filter)  Dual Homed Host  Screened Host Single-homed bastion host Dual-homed bastion host Kiến trúc Screened Subnet Screening Router (Packet Filter)  Đặt mạng ngồi để thực lọc gói  Cần có interface: Internal Extrenal  ACL (Access Control List) định luật áp dụng để chặn luồng gói tin Screening Router (Packet Filter) Ưu điểm: ◦ Tốc độ xử lý nhanh ◦ Dễ dàng triển khai ◦ Chi phí thấp Nhược điểm: ◦ Mức độ an tồn thấp ◦ Đưa policy cấu hình phức tạp dẫn đến dễ mắc lỗi Kiến trúc screening router thường dùng trường hợp như: ◦ Hệ thống mạng bảo vệ lớp khác bên (các host bên bảo mật tốt) ◦ Số lượng giao thức không nhiều không quan tâm đến nội dung giao thức ◦ Cần tốc độ cao khả dự phòng Dual Homed Host  Được xây dựng dựa Máy tính có NIC bảo vệ tường lửa  Cần disable tính Routing and Remote Access, để mạc định khóa luồng gói tin qua mạng Dual Homed Host…  Dual – homed host khơng có khả routing đường mạng thông qua chức tầng ứng dụng  Để liệu ứng dụng qua firewall cần có phần mềm đặc biệt để chuyển yêu cầu ứng dụng hai mạng nối với (Application forwarder)  Kiến trúc Dual – homed host sử dụng trường hợp liệu trao đổi bên ngòai khơng quan trọng, không cung cấp dịch vụ công cộng liệu bên không quan trọng Screened Host Phối hợp Screening Router Bastion Host Có dạng: Single-homed bastion host Dual-homed bastion host Single-homed bastion host Single-homed bastion host…  Gồm Packet Filtering bastion host  Thực bảo vệ mạng tầng mạng tầng ứng dụng  Cấu hình hoạt động Packet Filtering :  Đối với luồng thông tin từ Internet, gói tin IP với địa đích bastion host phép vào  Đối với luồng thông tin từ bên trong, gói tin IP xuất phát từ bastion host phép  Packet Filtering cho phép bastion host mở kết nối (hợp lệ) bên ngồi  Packet Filtering cho phép internal hosts mở kết nối đến host internet số dịch vụ phép cấm tất kết nối từ internal hosts Single-homed bastion host  Ưu điểm An toàn kiến trúc Dual homed host Screening Router kết hợp lọc gói tin ứng dụng Hệ thống bảo vệ lớp : Packet Filtering Bastion Host Single-homed bastion host  Nhược điểm Có thể bị bypass Packet Filtering bị kiểm sốt Hình bên cho thấy routing table bị sửa đổi, gói tin từ bên ngồi đến thẳng mạng bên Dual – Homed Bation Host Dual – Homed Bation Host  Hệ thống chia thành vùng, outer zone inner zone Inner zone vùng nội bộ, cách biệt với hệ thống mạng bên liên lạc inner zone với hệ thống bên phải thơng qua bastion host  Outer zone giao tiếp với hệ thống bên  Khác biệt hệ thống so với Single-homed Bastion Host: ngăn cản tiếp xúc với mạng bên kiến trúc vật lý chặn việc Packet Filtering có bị qua mặt có bảo vệ bastion host Ưu điểm: ◦ Ngăn cản tiếp xúc với mạng bên kiến trúc vật lý (phân thành vùng outer zone inter zone) Kiến trúc Screened Subnet Kiến trúc Screened Subnet  Thêm perimeter network để cô lập internal network với internet  Internal network bảo vệ cho dù bastion host có bị chiếm có Interior Router  Perimeter nơi đặt dịch vụ có độ tin cậy thấp dễ bị công  Bastion host điểm liên lạc cho kết nối từ bên vào Truy cập từ client bên ngồi thơng qua router cách trực tiếp (cấu hình interior exterior router) qua proxy server bastion host  Hạn chế dịch vụ mà Interior Router cho phép bastion host client –> giảm thiểu số máy bị công bastion host bị chiếm  Exterior router cho phép tất lưu thông perimeter internet ngăn chặn giả mạo địa DMZ Screened Subnet ... Tầng mạng – Bộ lọc gói tin (Firewalls Packet Filtering)  Tầng ứng dụng – Cổng ứng dụng (Firewalls Aplication-Level Gateway or (Proxy))  Tầng giao vận – Cổng vòng (Firewalls Circuit-Level Gateway)... Statefull Multilayer Inspection Firewall (SIF): Kết hợp loại tren  Phân loại dựa trạng thái  Tường lửa có trạng thái (Stateful firewall)  Tường lửa phi trạng thái (Stateless firewall) 1-4: chức lọc... traffic from 192.168.1.0/24 on the external interface  Đơn giản, bảo mật so với Statefull firewall Statefull Firewall  Bao gồm tính Stateles FW, cộng them với…  Các gói tin kiểm tra luồng (stream)