Đề tài Tìm hiểu về FireWall

a lo ngại nhất là các hacker phá hoại, sửa chữa làm sai lệch thông tin... chứ không sợ "dội bom". Bản thân mạng VNN cũng đã nhiều lần bị tấn công dưới hình thức bom thư. Hàng ngàn bức thư từ nhiều địa điểm trên thế giới đã đồng loạt gửi về mạng nhưng sự tắc nghẽn không đáng kể. Việc đối phó với hình thức tấn công này không phải là quá khó nhưng để đi tới một giải pháp tối ưu, triệt để thì lại là vấn đề đáng bàn. Để đối phó với các hình thức tấn công từ bên ngoài, Ban điều phối mạng Internet Việt Nam cũng đã đưa ra những nghiên cứu, dự phòng. Cụ thể là sử dụng các thiết bị như Firewall, máy chủ uỷ quyền và tổ chức phân cấp công việc, trách nhiệm cụ thể. Các thông tin quan trọng nhất được lưu vào đĩa quang (hacker không xóa được) để nếu trang Web bị hacker vào làm sai lệch thì xóa toàn bộ rồi lại nạp từ đĩa quang sang. Thêm vào đó Nhà nước còn quy định các máy tính nối mạng không được truy cập vào các cơ sở dữ liệu quan trọng, bí mật quốc  gia. Đồng thời không cho thiết lập các đường hotline (đường truy cập trực tiếp) vào các trang Web quan trọng nhất.  3. Các hình thức tấn công trên mạng Internet. 3.1. Tấn công trực tiếp. Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong. Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương pháp tấn công cổ điển là dò tìm cặp tên người sử dụng và mật khẩu thông qua việc sử dụng một số thông tin đã biết về người sử dụng để dò tìm mật khẩu, đây là một phương pháp đơn giản dễ thực hiện. Ngoài ra các hacker cũng có thể sử dụng một chương trình tự động hoá cho việc dò tìm này. Chương trình này có thể dễ dàng lấy được thông tin từ Internet để giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trong một từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này cũng khá cao, nó có thể lên tới 30%. Phương pháp sử dụng các lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator). 3.2. Nghe trộm trên mạng. Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến cho thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi các hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được nguồn thông tin cá nhân của mình trên mạng Intemet. Bạn có thể mã hoá cho nguồn thông tin của mình trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa. 3.3. Giả mạo địa chỉ IP. Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tới bạn. 3.4. Vô hiệu hoá các chức năng của hệ thống. Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ. Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack). Chẳng hạn như  kẻ tấn công chỉ cần một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp. Điều này được thể hiện rõ qua các đợt tấn công vào các Website của Mỹ đầu tháng 2/2000 vừa qua. 3.5. Lỗi của người quản trị hệ thống. Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. 3.6. Tấn công vào các yếu tố con người. Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác. Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internet chính là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy tính, mạng Internet không cao. Chính họ đã tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua Email. Kẻ tấn công gửi những chương trình, virus và những tài liệu có nội dung không hữu ích hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Thông thường những thông tin này được che phủ bởi những cái tên hết sức ấn tượng mà không ai có thể biết được bên trong nó chứa đựng cái gì. Và điều tồi tệ nhất sẽ xảy ra khi người sử dụng mở hay chạy nó. Lúc đó có thể thông tin về người sử dụng đã bị tiết lộ hoặc có cái gì đó đã hoạt động tiềm ẩn trên hệ thống của bạn và chờ ngày kích hoạt mà chúng ta không hề ngờ tới. Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn chặn một cách hữu hiệu. Chỉ có phương pháp duy nhất là giáo dục người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnh giác. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự giáo dục cùng với tinh thần hợp tác từ phía người sử dụng mới có thể nâng cao độ an toàn của hệ thống bảo vệ. 3.7. Một số kiểu tấn công khác. Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử dụng đã tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất nhiều kiểu tấn công khác mà chúng ta còn chưa biết tới và chúng được đưa ra bởi những hacker. 4. Phân loại kẻ tấn công. Có rất nhiều kẻ tấn công trên mạng toàn cầu–Internet và chúng ta cũng không thể phân loại chúng một cách chính xác và đầy đủ được, tuy nhiên các chuyên gia đã phân chia ra mấy loại sau: Thứ nhất là những người qua đường. Họ là những kẻ buồn chán với công việc hàng ngày, muốn giải trí bằng cách đột nhập vào các hệ thống mạng, không chủ định phá hoại, nhưng những hành vi xâm nhập và việc họ xoá dấu vết khi rút lui có thể vô tình làm cho hệ thống bị trục trặc. Thứ 2 là những kẻ phá hoại. Loại này chủ định phá hoại hệ thống, vui thú khi phá hoại người khác và gây ra những tác hại lớn. Thứ 3 là kẻ ghi điểm. Họ là những kẻ muốn khẳng định mình qua những kiểu tấn công mới, thích đột nhập những nơi nổi tiếng, canh phòng cẩn mật. Thứ tư là gián điệp. Chúng truy nhập để ăn cắp tài liệu nhằm phục vụ những mục đích khác nhau, để mua bán, trao đổi... Tóm lại trước vấn đề an ninh mạng, người sử dụng cần phải có biện pháp để bảo vệ dữ liệu, tài sản và uy tín của mình, bởi máy tính của bạn có thể bị lợi dụng bởi tin tặc. Kể cả khi máy tính của bạn không có dữ liệu quan trọng thì cũng cần được bảo vệ bởi tin tặc có thể đột nhập và sử dụng nó làm bàn đạp cho các cuộc tấn công khác. Đó là việc dùng máy của người sử dụng để tấn công nơi khác, gây tổn thất về uy tín cho người sử dụng. 5. Phương pháp chung ngăn chặn các kiểu tấn công. Để thực hiện việc ngăn chặn các truy nhập bất hợp pháp đòi hỏi chúng ta phải đưa ra những yêu cầu hoạch định chính sách như: Xác định những ai có quyền sử dụng tài nguyên của hệ thống, tài nguyên mà hệ thống cung cấp sẽ được sử dụng như thế nào những ai có quyền xâm nhập hệ thống. Chỉ nên đưa ra vừa đủ quyền cho mỗi người để thực hiện công việc của mình. Ngoài ra cần xác định quyền lợi và trách nhiệm của người sử dụng cùng với quyền lợi và nghĩa vụ của người quản trị hệ thống. Hiện nay, để quản lý thông tin truy nhập từ ngoài vào trong hay từ trong ra ngoài người ta đã thiết lập một bức tường lửa (Firewall) ngăn chặn những truy nhập bất hợp pháp từ bên ngoài đồng thời những server thông tin cũng được tách khỏi các hệ thống site bên trong là những nơi không đòi hỏi các cuộc xâm nhập từ bên ngoài. Các cuộc tấn công của hacker gây nhiều thiệt hại nhất thường là nhằm vào các server. Hệ điều hành mạng, các phần mềm server, các CGI script... đều là những mục tiêu để các hacker khai thác các lỗ hổng nhằm tấn công server. Các hacker có thể lợi dụng những lỗ hổng đó trên server để đột kích vào các trang web và thay đổi nội dung của trang web đó, hoặc tinh vi hơn nữa là đột nhập vào mạng LAN và sử dụng server để tấn công vào bất kỳ máy tính nào trong mạng LAN đó. Vì vậy, việc đảm an toàn tuyệt đối cho phía server không phải là một nhiệm vụ đơn giản. Điều phải làm trước tiên là phải lấp kín các lỗ hỗng có thể xuất hiện trong cài đặt hệ điều hành mạng, đặt cấu hình các phần mềm server, các CGI script, cũng như phải quản lý chặt chẽ các tài khoản của các user truy cập. Việc bảo mật thông tin cá nhân của người sử dụng truyền đi trên mạng cũng là một vấn đề cần xem xét nghiêm túc. Ta không thể biết rằng thông tin của chúng ta gửi đi trên mạng có bị ai đó nghe trôm hoặc thay đổi nội dung thông tin đó không hay sử dụng thông tin của chúng ta vào các mục đích khác. Để có thể đảm bảo thông tin truyền đi trên mạng một cách an toàn, đòi hỏi phải thiết lập một cơ chế bảo mật. Điều này có thể thực hiện được thông qua việc mã hoá dữ liệu trước khi gửi đi hoặc thiết lập các kênh truyền tin bảo mật. Việc bảo mật sẽ giúp cho thông tin được bảo vệ an toàn, không bị kẻ khác lợi dụng. Ngày nay, trên Internet người ta đã sử dụng nhiều phương pháp bảo mật khác nhau như sử dụng thuật toán mã đối xứng và mã không đối xứng (thuật toán mã công khai) để mã hoá thông tin trước khi truyền đi trên mạng Internet. Tuy nhiên ngoài các giải pháp phần mềm hiện nay người ta còn áp dụng cả các giải pháp phần cứng. Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tố con người, chúng ta phải luôn luôn giáo dục mọi người có ý thức trong việc sử dụng tài nguyên chung Internet, tránh những sự cố làm ảnh hưởng tới nhiều người nhiều quốc gia. Bảo mật trên mạng là cả một quá trình đấu tranh tiềm ẩn nhưng đòi hỏi sự hợp tác của mọi người, của mọi tổ chức không chỉ trong phạm vi nhỏ hẹp của một quốc gia nào mà nó bao trùm trên toàn thế giới. 6. Phương thức mã hóa - bảo mật thông tin. Một trong những biện pháp bảo mật thường sử dụng đó là áp dụng các cơ chế mã hoá. Sau đây sẽ phân tích một số cơ chế mã hoá đảm bảo tính an toàn và tin cậy dữ liệu thường được sử dụng trong các dịch vụ trên mạng Internet. 6.1. Đặc điểm chung của các phương thức mã hóa. Trong các phương thức mã hóa, mỗi phương thức đều chủ yếu tập trung giải quyết 6 vấn đề chính như sau: Authentication: Hoạt động kiểm tra tính xác thực một thực thể trong giao tiếp Authorization: Hoạt động kiểm tra thực thể đó có được phép thực hiện những quyền hạn cụ thể nào. Confidential: Tính bảo mật, xác định mức độ bảo mật đối với mỗi phương thức bảo mật. Integrity: Tính toàn vẹn, kiểm tra tính toàn vẹn dữ liệu khi sử dụng mỗi phương thức bảo mật cụ thể. Nonrepudiation: Tính không thể phủ nhận, xác định tính xác thực của chủ thể gây ra hành động Availability: Khả năng thực hiện phương thức bảo mật đó trong môi trường và điều kiện thực tế. a) Authentication: Là hoạt động liên quan đến kiểm tra tính đúng đắn một thực thể giao tiếp trên mạng. Một thực thể có thể là một người, một chương trình máy tính, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chính sau: Những thông tin biết trước, những thông tin đã có và những thông tin xác định tính duy nhất. Với cơ chế kiểm tra dựa vào mô hình những thông tin biết trước, đối tượng cần kiểm tra cần phải cung cấp những thông tin mà chúng biết. Ví dụ như password, hoặc mã số thông số cá nhân pin (personal information number). Với cơ chế kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu. Ví dụ như private key, hoặc số thẻ tín dụng. Với cơ chế kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình. Ví dụ như thông qua giọng nói hoặc fingerprint. b) Authorization: Là hoạt động kiểm tra tính hợp lệ có được cấp phát thực hiện một hành động cụ thể hay không. Do vậy hoạt động này liên quan đến các dịch vụ cấp phát quyền truy cập, đảm bảo cho phép hoặc không cho phép truy nhập đối với những tài nguyên đã được phân quyền cho các thực thể. Những hoạt động ở đây có thể là quyền đọc dữ liệu, viết, thi hành một chương trình hoặc sử dụng một thiết bị phần cứng... Cơ chế thực hiện việc phân quyền dựa vào 2 mô hình chính sau: Mô hình acl (access control list) và mô hình dựa trên cơ chế thiết lập các chính sách (policy). c) Confidential: Đánh giá mức độ bảo mật, hay tính an toàn đối với mỗi phương thức bảo mật, mức độ có thể phục hồi dữ liệu từ những người không có quyền đối với dữ liệu đó. Có thể bảo mật dữ liệu theo kiến trúc end-to-end hoặc link-by-link. Với mô hình end-to-end, dữ liệu được bảo mật trong toàn bộ quá trình xử lý, lưu truyền trên mạng. Với mô hình link-by-link dữ liệu chỉ được bảo vệ trên các đường truyền vật lý. d) Integrity: Tính toàn vẹn: Hoạt động này đánh giá khả năng sửa đổi dữ liệu so với dữ liệu nguyên thủy ban đầu. Một phương thức bảo mật có tính toàn vẹn dữ liệu khi nó đảm bảo các dữ liệu mã hóa không thể bị thay đổi nội dung so với tài liệu gốc (khi đã đượcg giải mã) và trong trường hợp những kẻ tấn công trên mạng sửa đổi nội dung dữ liệu đã mã hóa thì không thể khôi phục lại dạng ban đầu của dữ liệu. e) Nonreputation: Tính không thể phủ nhận: Xác định tính xác thực của chủ thể gây ra hành động có thực hiện bảo mật. (ví dụ chữ ký điện tử sử dụng trong hệ thống mail cho phép xác định chính xác đối tượng "ký"- người gửi message đó.) f) Availability: Đánh giá tính thực thi của một phương thức bảo mật. Phương thức bảo mật đó phải có khả năng thực hiện trong thực tế đối với các hệ thống máy tính, dữ liệu và thực hiện với các tài nguyên phần cứng, phần mềm. Đồng thời phải đảm bảo các yêu cầu về tốc độ tính toán, khả năng chuyển đổi, tính tương thích giữa các hệ thống khác nhau. 6.2. Các phương thức mã hóa. a. Phương thức mã hóa dùng khoá bí mật (secret key crytography). Sơ đồ sau đây minh hoạ quá trình làm việc của phương thức mã hoá sử dụng khoá bí mật: Encrytion Plaintext Ciphertext Decrytion Private key Plaintext Phương thức mã hóa đối xứng Đây là phương thức mã hoá đối xứng: Message ở dạng Plaintext (dạng đọc được) được mã hoá sử dụng Private Key (khoá mà chỉ có người mã hoá mới biết được) tạo thành Message được mã hoá (Ciphertext). Ở phía nhận, Message mã hoá được giải mã cùng với Private Key mã hoá ban đầu thành dạng Plaintext. Điểm chú ý của phương pháp mã hoá này là việc sử dụng khoá bí mật cho cả quá trình mã hoá và quá trình giải mã. Do đó, nhược điểm chính của phương thức này là cần có quá trình trao đổi khoá bí mật, dẫn đến tình trạng dễ bị lộ khoá bí mật. Có hai loại mã hoá đối xứng như sau: Mã hoá theo từng khối và mã hoá theo bits dữ liệu. Các thuật toán mã hoá đối xứng theo từng khối dữ liệu (block cipher) thực hiện chia Message ở dạng Plaintext thành các khối (ví dụ 64 bits hoặc 2n bits), sau đó tiến hành mã hoá từng khối này. Đối với khối cuối cùng nếu không đủ 64 bits sẽ được bù thêm phần dữ liệu đệm (padding). Bên nhận sẽ thực hiện giải mã theo từng khối. Mã hoá theo từng bits dữ liệu (stream ciphers). Bảng sau đây mô tả một số phương pháp mã hoá đối xứng sử dụng khoá bí mật: Tªn thuËt to¸n ChÕ ®é m· ho¸ ChiÒu dµi kho¸ DES Theo khèi 56 IDEA Theo khèi 128 RC2 Theo khèi 2048 RC4 Theo bit 2048 RC5 Theo khèi 2048 Để khắc phục điểm hạn chế của phương pháp mã hoá đối xứng là quá trình trao đổi khoá bí mật, người ta đã sử dụng phương pháp mã hoá phi đối xứng sử dụng một cặp khoá tương ứng với nhau gọi là phương thức mã hoá phi đối xứng dùng khoá công khai (public-key crytography). b. Phương thức mã hóa dùng khoá công khai (public-key crytography). Phương thức mã hóa dùng khoá công khai được phát minh bởi Whitfield Diffie và Martin Mellman vào năm 1975. Phương thức mã hóa này sử dụng 2 khóa là Public key và Private key có các quan hệ toán học với nhau. Trong đó Private key được giữ bí mật và không có khả năng bị lộ do không cần phải trao đổi trên mạng. Public key không phải giữ bí mật và mọi người đều có thể nhận được khoá này. Do phương thức mã hóa này sử dụng 2 khóa khác nhau, nên người ta gọi nó là phương thức mã hóa phi đối xứng. Mặc dù Private key được giữ bí mật, nhưng không giống với "secret key" được sử dụng trong phương thức mã hóa đối xứng sử dụng khoá bí mật do Private key không được trao đổi trên mạng. Public key và Private key tương ứng của nó có quan hệ toán học với nhau và được sinh ra sau khi thực hiện các hàm toán học. Nhưng các hàm toán học này luôn thoả mãn điều kiện là sao cho không thể tìm được Private key từ Public key và ngược lại. Do đó, một cặp khoá Public key và Private key tương ứng được gọi là key pair. Do có mối quan hệ toán học với nhau, một message được mã hóa bằng Public key chỉ có thể giải mã được bằng Private key tương ứng. Một Message được mã hóa bằng Private key chỉ có thể giải mã được bằng Public Key tương ứng của nó. Thuật toán public key có tính thuận nghịch nếu nó có khả năng sử dụng cả cho bảo mật và ký điện tử. Nó là không có tính thuận nghịch nếu chỉ có khả năng ký. Với các thuật toán bất thuận nghịch, private key chỉ có thể mã hóa plaintext (tức là quá trình ký) mà không có khả năng giải mã ciphertext. Một loại khác của thuật toán mã hóa public-key là hoặc không thể mã hóa hoặc không thể ký; thuật toán này được gọi là thuật toán key exchange (thuật toán chuyển đổi khóa). Thuật toán public-key dựa trên mối quan hệ toán học giữa public key và private key. Bảng sau đây liệt kê các thuật toán public-key thông dụng như sau: Tªn ThuËt to¸n Type NÒn t¶ng to¸n häc DSA Digital signature ThuËt to¸n rêi r¹c RSA Digital signature, Key Exchange T×m thõa sè DSA (digital signature algorithm), phương thức mã hóa này được ra đời từ chuẩn DSS (digital signature standard), được giới thiệu vào năm 1994. DSA chỉ có thể ký vào một message; nó không thể dùng cho mã hóa bảo mật và key exchange. RSA là tên của 3 nhà toán học đã tìm ra phương thức mã hóa này, đó là Rivest, Shamir và Adleman. RSA là thuật toán public-key thông dụng nhất từ trước tới nay. RSA có thể sử dụng cả cho mã hóa, ký, và key exchange. Chiều dài của key có thể thay đổi, thông thường trong phạm vi từ 512 đến 2048 bits. Việc lựa chọn chiều dài key phải đảm bảo cân bằng giữa tốc độ tính toán và độ phức tạp của phương thức mã hóa. Encrytion Public key Plaintext Ciphertext Decrytion Plaintext Private key Phương thức mã hóa phi đối xứng Giả sử A muốn gửi cho B một Message được mã hóa theo phương thức Public-key. A sử dụng Public key của B để mã hóa Plaintext tạo thành Ciphertext (A có thể nhận được Public key của B do Public key là khoá công khai). Sau đó Ciphertext này được chuyển tới B, ở phía nhận B sử dụng Private key của mình để giải mã Ciphertext và đọc được Message ban đầu của A. Phần 2: KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL 1. Lịch sử. Công nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980 khi Internet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối và sử dụng trên toàn cầu. Ý tưởng đầu tiên được đã hình thành sau khi hàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy ra vào cuối những năm 1980. Năm 1988, một nhân viên tại trung tâm nghiên cứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện tử tới đồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn công! Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và NASA Ames." Con virus được biết đến với tên Sâu Morris này đã được phát tán qua thư điện tử và khi đó đã là một sự khó chịu chung ngay cả đối với những người dùng vô thưởng vô phạt nhất. Sâu Morris là cuộc tấn công diện rộng đầu tiên đối với an ninh Internet. Cộng đồng mạng đã không hề chuẩn bị cho một cuộc tấn công như vậy và đã hoàn toàn bị bất ngờ. Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phải ngăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họ bắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềm mới để làm cho mạng Internet có thể trở lại an toàn. Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố, khi Jeff Mogul thuộc Digital Equipment Corp. phát triển các hệ thống lọc đầu tiên được biết đến với tên các tường lửa lọc gói tin. Hệ thống khá cơ bản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tính năng kỹ thuật an toàn mạng được phát triển cao. Từ năm 1980 đến năm 1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biến đến với tên các tường lửa tầng mạch (circuit level firewall). Các bài báo của Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệm AT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall). Nghiên cứu công nghệ của Marcus Ranum đã khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiên. Sản phẩm này đã được Digital Equipment Corporation's (DEC) phát hành với tên SEAL. Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 cho một công ty hóa chất tại bờ biển phía Đông của Mỹ. Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của họ về lọc gói tin và đã phát triển một mô hình chạy được cho công ty của chính họ, dựa trên kiến trúc của thế hệ tường lửa thứ nhất của mình. Năm 1992, Bob Braden và Annette DeSchon tại Đại học Nam California đã phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư. Sản phẩm có tên “Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểu tượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó. Năm 1994, một công ty Israel có tên Check Point Software Technologies đã xây dựng sản phẩm này thành một phần mềm sẵn sàng cho sử dụng, đó là FireWall-1. Một thế hệ thứ hai của các tường lửa proxy đã được dựa trên công nghệ Kernel Proxy. Thiết kế này liên tục được cải tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sử dụng rộng rãi trong cả các hệ thống máy tính gia đình và thương mại. Cisco, một trong những công ty an ninh mạng lớn nhất trên thế giới đã phát hành sản phẩm này năm 1997. Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu gói tin bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâm nhập. 2. Định nghĩa FireWall. Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet. Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thể hiện một mạng cục bộ sử dụng  Firewall để ngăn cách phòng máy và hệ thống mạng ở tầng dưới. 3. Phân loại FireWall. Firewall được chia làm 2 loại: Firewall cứng. Firewall mềm. FireWall cứng: Là những firewall được tích hợp trên Router. Đặc điểm của FireWall cứng: Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm). Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport). Firewall cứng không thể kiểm tra được nột dung của gói tin. Ví dụ FireWall cứng: NAT (Network Address Translate). FireWall mềm: Là những Firewall được cài đặt trên Server. Đặc điểm của FireWall mềm: Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng. Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng) Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa). Ví dụ về FireWall mềm: Zone Alarm, Norton Firewall… 4. Sự cần thiết của FireWall. Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một Firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn. 5. Chức năng chính của FireWall. Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: Cho phép hoặc cấm những dịch vụ bên trong truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ bên ngoài truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin, thông tin lưu chuyển trên mạng. Ngăn ngừa khả năng tấn công từ các mạng ngoài. Xây dựng Firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ mạng. Thông thường, một hệ thống Firewall là một cổng (gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại. 6. Cấu trúc của FireWall. FireWall bao gồm : Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting). Các bức tường lửa bảo vệ các tài nguyên trên mạng, cơ quan không cho những người không được phép trên Internet rộng lớn truy nhập. 7. Các thành phần của FireWall và cơ chế hoạt động. Một FireWall chuẩn bao gồm một hay nhiều thành phần sau: Bộ lọc packet (Packet filtering router). Cổng ứng dụng (Application level gateway hay proxy server). Cổng vòng (Circuite level gateway). Bộ lọc packet (Paket filtering router). Nguyên lý hoạt động: Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: Địa chỉ IP nơi xuất phát ( IP Source address). Địa chỉ IP nơi nhận (IP Destination address). Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel). Cổng TCP/UDP nơi xuất phát (TCP/UDP source port). Cổng TCP/UDP nơi nhận (TCP/UDP destination port). Dạng thông báo ICMP ( ICMP message type). Giao diện packet đến ( incomming interface of packet). Giao diện packet đi ( outcomming interface of packet). Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua Firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. Ưu điểm: Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Hạn chế: Việc định nghĩa các chế độ lọc package là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Cổng ứng dụng (Application Level Gateway). Nguyên lý hoạt động: Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài (Bastion host), bởi vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một Bastion host là: Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp Firewall. Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastion host. Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau. Ví dụ như user password hay smart card. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. Mỗi proxy đều độc lập với các proxy khác trên Bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để. Ưu điểm: Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ.  Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ lọc Filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. Hạn chế: Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. Cổng vòng (Circuit Level Gateway). Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây,sao chép các byte giữa kết nối bên trong (Inside connection) và các kết nối bên ngoài (Outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ. Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một Bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. 8. Vai trò của FireWall. FireWall bảo vệ chống lại những sự tấn công từ bên ngoài. Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau: Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu sau: Bảo mật. Tính toàn vẹn. Tính kịp thời. Tài nguyên hệ thống. Danh tiếng của công ty sở hữu các thông tin cần bảo vệ. 9. Phải chăng tường lửa rất dễ bị phá. Câu trả lời là không. Lý thuyết không chứng minh được có khe hở trên tường lửa, tuy nhiên thực tiễn thì lại có. Các cracker đã nghiên cứu nhiều cách phá tường lửa. Quá trình phá tường lửa gồm hai giai đoạn: đầu tiên phải tìm ra dạng tường lửa mà mạng sử dụng cùng các loại dịch vụ hoạt động phía sau nó, tiếp theo là phát hiện khe hở trên tường lửa ở giai đoạn này thường khó khăn hơn. Theo nghiên cứu của các cracker, khe hở trên tường lửa tồn tại là do lỗi định cấu hình của người quản trị hệ thống, sai sót này cũng không hiếm khi xảy ra. Người quản trị phải chắc chắn sẽ không có bất trắc cho dù sử dụng hệ điều hành (HĐH) mạng nào, đây là cả một vấn đề nan giải. Trong các mạng UNIX, điều này một phần là do HĐH UNIX quá phức tạp, có tới hàng trăm ứng dụng, giao thức và lệnh riêng. Sai sót trong xây dựng tường lửa có thể do người quản trị mạng không nắm vững về TCP/IP (Transmission Control Protocol/ Internet Protocol). Một trong những việc phải làm của các cracker là tách các thành phần thực ra khỏi các thành phần giả mạo. Nhiều tường lửa sử dụng "trạm hy sinh" (sacrificial hosts) - là hệ thống được thiết kế như các server Web (có thể sẵn sàng bỏ đi) hay bẫy (decoys), dùng để bắt các hành vi thâm nhập của cracker. Bẫy có thể cần dùng tới những thiết bị ngụy trang phức tạp nhằm che dấu tính chất thật của nó. Ví dụ: đưa ra câu trả lời tương tự hệ thống tập tin hay các ứng dụng thực. Vì vậy, công việc đầu tiên của cracker là phải xác định đây là các đối tượng tồn tại thật. Để có được thông tin về hệ thống, cracker cần dùng tới thiết bị có khả năng phục vụ mail và các dịch vụ khác. Cracker sẽ tìm cách để nhận được một thông điệp đến từ bên trong hệ thống, khi đó, đường đi được kiểm tra và có thể tìm ra những manh mối về cấu trúc hệ thống. Ngoài ra, không tường lửa nào có thể ngăn cản việc phá hoại từ bên trong. Nếu cracker tồn tại ngay trong nội bộ tổ chức, chẳng bao lâu mạng của bạn sẽ bị bẻ khoá. Thực tế đã xảy ra với một công ty dầu lửa lớn: Một tay bẻ khoá "trà trộn" vào đội ngũ nhân viên và thu thập những thông tin quan trọng không chỉ về mạng mà còn về các trạm tường lửa. 10. Những hạn chế của FireWall. Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính, Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. Phần 3:MÔ HÌNH VÀ ỨNG DỤNG CỦA FIREWALL 1. Một số mô hình Firewall thông dụng. 1.1. Packet filtering: Chức năng: Packet filtering là một hệ thống thực hiện chức năng như một router, chuyển các gói tin (IP packet) giữa mạng nội bộ và Internet. Khác với một router thông thường, hệ thống đảm nhiệm chức năng packet filtering chuyển các gói tin một cách chọn lọc dựa vào các thông tin : địa chỉ của máy nguồn, địa chỉ của máy đích, thủ tục truyền (TCP, UDP, ICMP . . . ) và dịch vụ - được xác định qua cổng (port) nguồn và cổng đích mà kết nối giữa hai máy yêu cầu. Dựa vào các thông tin này, hệ packet filtering có thể cho phép người điều hành mạng thể hiện các yêu cầu về bảo vệ có dạng: "Không" cho phép máy tính A sử dụng dịch vụ S tại máy tính B. Sơ đồ làm việc của Packet Filtering Ưu điểm của Packet Filtering: Cài đặt và vận hành một hệ thống làm nhiệm vụ Packet Filtering tương đối đơn giản, tốc độ làm việc cao, có thể dễ dàng thích ứng với các dịch vụ mới được đưa ra trong tương lai. Cho phép các thao tác bảo vệ mạng nội bộ diễn ra một cách trong suốt đối với các ứng dụng và ngươì sử dụng máy. Các router thông thường có sẵn khả năng Packet Filtering được bán rộng rãi trên thị trường. Nhược điểm của Packet Filtering: Xác định các dịch vụ thông qua địa chỉ cổng nguồn và đích. Các địa chỉ này được sử dụng theo thói quen chứ không được quy định một cách chuẩn tắc. Do đó một máy tính có thể qui định một địa chỉ cổng cho một dịch vụ nào đó khác với địa chỉ truyền thông và làm vô hiệu hoá Packet Filtering. Nhược điểm của một số hệ Packet Filtering là coi các cổng ở địa chỉ thấp (nhỏ hơn 1024 hoặc nhỏ hơn 900) là các cổng của máy chủ (Server) và cho phép các packet đi từ các cổng này vào mạng nội bộ một cách tự do. Sự lựa chọn ngầm định này sẽ trở nên nguy hiểm khi một hacker thiết đặt lại máy tính của mình để các chương trình client sử dụng địa chỉ thấp, bằng cách đó vượt qua sự kiểm soát của Packet Filtering. Cho phép các dịch vụ có những điểm yếu về mặt bảo mật đi qua. Một ví dụ điển hình là dịch vụ thư điện tử (Email) thông qua thủ tục SMTP. SMTP thực hiện nhiệm vụ là chuyển thư từ máy này đến máy khác, tuy nhiên trong quá trình này chương trình phân phối thư được thực hiện với quyền của người quản trị máy (root privilege). Dựa vào lỗ hổng trong chương trình chuyển nhận thư, virus Internet có thể làm tê liệt hệ thống mạng. Không kiểm soát được người sử dụng máy. Do vậy, nếu một máy được coi là "an toàn" bị truy nhập bất hợp pháp, nó sẽ là xuất phát điểm rất tốt để vượt qua hệ thống Packet Filtering. Việc giả mạo địa chỉ IP để đánh lừa hệ thống Packet Filtering có thể thực hiện được. Địa chỉ IP được gán một cách đơn giản, không mang yếu tố xác thực, do đó không thể dựa vào nó để đưa ra những quyết định ảnh hưởng tới sự an toàn của hệ thống mạng được. 1.2. Dual-homed host: Dual-homed host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ. Dual-homed host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet). Hệ điều hành của Dual-homed host được sửa đổi để chức năng chuyển các gói tin (packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual-homed host, và từ đó bắt đầu phiên làm việc. Sơ đồ làm việc của Dual-homed host Ưu điểm của Dual-homed host: Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành là đủ. Nhược điểm của Dual-homed host: Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual-homed host đã bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ. 1.3. Demilitarized Zone (Screened-subnet Firewall). Chức năng: Hệ thống này bao gồm hai packet-filtering router và một bastion host như hình vẽ. Hệ thống Firewall này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật : Network và Application trong khi định nghĩa một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó cho phép hệ thống bên ngoài truy nhập chỉ bastion host, và có thể cả information server. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dung dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host. Screened-Subnet Firewall. Ưu điểm: Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong. Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server). Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy. 1.4. Proxy service: Proxy Service được thực hiện bằng các chương trình đặc biệt chạy tại máy thực hiện chức năng firewall. Proxy nằm giữa máy yêu cầu dịch vụ và máy chủ thực hiện yêu cầu đó, kiểm soát các thông tin trao đổi và ngăn chặn những thao tác có thể làm ảnh hưởng đến sự an toàn của mạng cần bảo vệ. Thông thường đó là các máy có nhiều cổng giao tiếp mạng, một trong số đó nối với Internet, các cổng còn lại nối với các mạng nội bộ (dual-homed host). Những chương trình proxy nhận yêu cầu của người sử dụng, dựa vào yêu cầu bảo vệ của mạng nội bộ để quyết định có thực hiện các yêu cầu này hay không. Trong trường hợp được phép, proxy sẽ liên lạc với máy chủ thực để chuyển yêu cầu thực hiện. Ưu điểm của Proxy Service: Đối với người sử dụng và máy chủ thực hiện yêu cầu, proxy là "trong suốt". Sau khi đã thiết lập được kết nối giữa server và client, proxy server làm nhiệm vụ kiểm soát các thông tin chuyển qua lại. Nhờ sự hiểu biết về các chương trình ứng dụng, proxy server có thể cho phép hoặc không cho phép một thao tác cụ thể của một chương trình ứng dụng. Nhược điểm của Proxy Service: Buộc người sử dụng phải thay đổi tiến trình làm việc: trước hết phải làm việc với proxy server, sau đó mới yêu cầu đến server ứng dụng. Để thoát khỏi ràng buộc này, người ta phải sử dụng các client đã sửa đổi, cho phép chỉ ra cùng một lúc proxy server và server ứng dụng (hiện nay một thế hệ mới các proxy server đã xuất hiện, cho phép sử dụng các client bình thường và tiến trình làm việc thông thường). Yêu cầu mỗi proxy server cho một ứng dụng. Điều đó cũng có nghĩa là một ứng dụng mới xuất hiện sẽ đưa người sử dụng vào tình trạng khó xử hoặc chờ đợi đến khi có proxy server cho ứng dụng đó, hoặc dùng ngay không cần đến proxy, đặt mạng nội bộ trong tình trạng nguy hiểm do những lỗ hổng bảo mật chưa được biết đến. 2. Ứng dụng. Từ các chế độ hoạt động trên, firewall được ứng dụng nhiều vào hệ thống an ninh dữ liệu. Có 3 yêu cầu chính cho vấn đề an ninh hệ thống theo tiêu chuẩn ISO (International Standard Organi-zation - Tổ chức định chuẩn thế giới) cho mô hình mạng OSI (Open System Interconnec-tivity Reference Model - Mô hình tham chiếu liên kết nối theo hệ thống mở). Quản lý xác thực (Authenti-cation). Quản lý cấp quyền (Autho-rization). Quản lý kế toán (Accounting management). 2.1. Quản lý xác thực (Authenti-cation). Đây là chức năng ngăn cản việc truy cập trái phép vào hệ thống mạng nội bộ. Các hệ điều hành quản lý mạng chỉ kiểm soát một cách không chặt chẽ tên người sử dụng và password được đăng ký, và đôi lúc chính người sử dụng được ủy nhiệm lại vô ý để lộ password của mình. Hậu quả của việc này có khi là rất nghiêm trọng. Nó trở nên càng quan trọng hơn đối với những hệ thống mạng lớn có nhiều người sử dụng. Có hai giao thức chuẩn thông dụng nhất hiện nay để kết hợp làm việc với LAN. RADIUS (Remote Authen-tication Dial-In User Service) TACAS+ (Terminal Access Controller Access Control System Extended). Thông thường chức năng Authenti-cation được thực hiện với sự phối hợp của một thiết bị phần cứng hoặc phần mềm được tích hợp sẵn bên trong các phần mềm (giải mã theo thuật toán và tiêu chuẩn khóa mã định trước). Khi một thao tác truy cập vào mạng được thực hiện (kiểm tra đúng User Name và Password), hệ quản lý xác thực sẽ gửi đến máy tính của người dùng đang xin truy cập vào mạng một chuỗi các ký tự gọi là Challenge (câu thách đố), người dùng này sẽ nhập vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal Identification Number - số nhận dạng cá nhân). Nhờ PIN mà người dùng có thể truy cập vào hệ thống mạng. Điều đặc biệt là Challenge và PIN thay đổi từng phút một, các Token có thể được định và thay đổi Cryptor Key (khóa mã) tùy người sử dụng nên việc bảo mật gần như là tuyệt đối. 2.2. Quản lý cấp quyền (Autho-rization). Chức năng quản lý cấp quyền cho phép xác định quyền hạn sử dụng tài nguyên cũng như nguồn thông tin trong hệ thống mạng đến nhiều phân lớp cho từng người sử dụng. Thậm chí quyết định đến từng giao thức truy cập vào mạng (PPP, SLIP, v.v...) mà người dùng được phép sử dụng. Đồng thời, cũng với chức năng này việc ngăn chặn một vài nguồn thông tin vào bên trong hệ thống cũng có thể được thực hiện như đã đề cập ở trên. 2.3. Quản lý kế toán (Accounting management). Chức năng này cho phép ghi nhận tất cả các sự kiện xảy ra liên quan đến vấn đề truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ). Và thời gian truy cập, vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung, ngoài ra còn nhiều thông tin khác liên quan đến việc sử dụng các tài nguyên và dịch vụ khác trên mạng cũng được ghi nhận. KẾT LUẬN Hiện tại, tường lửa là phương pháp bảo vệ mạng phổ biến nhất, 95% "cộng đồng phá khoá" phải thừa nhận là dường như không thể vượt qua tường lửa. Trong những năm vừa qua, một hệ thống an ninh mạnh dựa vào máy chủ có thể ngăn chặn được hầu hết các cuộc tấn công của kẻ xâm nhập, bằng việc không cho phép mở các điểm cho đăng nhập bất hợp pháp. Tuy nhiên, khi ngày càng có nhiều doanh nghiệp bắt đầu nối mạng thì một hệ thống an ninh dựa vào máy chủ là không thực tế. Ngày nay, các bức tường lửa đã trở thành phòng tuyến bảo vệ đầu tiên chống lại các cuộc xâm phạm bất hợp pháp. Chúng quy gọn các rủi ro an toàn về một điểm duy nhất bằng việc “nhốt” nhứng kẻ xâm nhập vào một hố hẹp nơi có nhiều cơ hội phát hiện hơn. Theo cách này, các nhà quản lý mạng và các nhà quản trị an ninh có một cơ hội tốt hơn để gìn giữ tính nguyên vẹn của mạng dành riêng. Song trên thực tế, tường lửa đã từng bị phá. Nếu mạng của bạn có kết nối Internet và chứa dữ liệu quan trọng cần được bảo vệ, bên cạnh tường lửa, bạn nên tăng cường các biện pháp bảo vệ khác. TÀI LIỆU THAM KHẢO