Bài giảng môn an toàn mạng Firewalls
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.15 MB, 77 trang )
Network Security
Firewalls
T i sao c n có firewallạ ầ
Các k t n i Internet cho phép các m ng ế ố ạ
riêng n i vào h th ng m ng toàn c u.ố ệ ố ạ ầ
Firewall đ c chèn vào gi a m ng riêng ượ ữ ạ
và ph n còn l i c a Internet.ầ ạ ủ
Thi t l p m t vành đai b o v và m t ế ậ ộ ả ệ ộ
đi m ki m soát anh ninh duy nh t.ể ể ấ
Firewall có th áp d ng cho m t ho c 1 ể ụ ộ ặ
h th ng máy ch .ệ ố ủ
M c tiêu thi t kụ ế ế
T t c các truy c pấ ả ậ , k c t bên trong ể ả ừ
ra hay bên ngoài vào đ u ph i đi qua ề ả
firewall
Ch cho phép ỉ các truy c p h p lậ ợ ệ (đ c ượ
đ nh ngh a trong ị ĩ chính sách an ninh)
Các k thu t đi u khi n truy ỹ ậ ề ể
c pậ
Service Control – i u khi n theo h ng Đ ề ể ướ
d ch v (Internet). i vào ho c ra.ị ụ Đ ặ
Direction Control – i u khi n theo chi u Đ ề ể ề
c a d ch v .ủ ị ụ
User Control – i u khi n truy c p d ch v Đ ề ể ậ ị ụ
theo ng i dùng.ườ
Behavior Control – i u khi n theo hành vi Đ ề ể
(các d ch v đ c s d ng nh th nào)ị ụ ượ ử ụ ư ế
Kh n ng c a Firewallsả ă ủ
Single choke point – i m ki m tra duy Đ ể ể
nh t - b o v các d ch v nh y c m kh i ấ ả ệ ị ụ ạ ả ỏ
các lo i t n công khác nhau (spoofing, ạ ấ
DOS …)
Singular monitoring point – i m giám Đ ể
sát, ki m soát các hành vi.ể
Scope of Firewalls
Platform for non-security functions –
N n t ng cho các d ch v khác - dùng ề ả ị ụ
cho các d ch v chuy n đ i đ a ch ị ụ ể ổ ị ỉ
(NAT), qu n lý m ng …ả ạ
Platform for IPSec – N n t ng cho IPSec ề ả
- th c thi VPN qua ch đ đ ng h m.ự ế ộ ườ ầ
H n ch c a Firewallsạ ế ủ
Không th ch ng l i các t n công b ể ố ạ ấ ỏ
qua firewall (bypass).
Không ch ng l i đ c các m i đe d a t ố ạ ượ ố ọ ừ
bên trong.
Không ch ng đ c s lây nhi m các ố ượ ự ễ
ch ng trình virus và mã đ c.ươ ộ
Các lo i Firewallsạ
Packet Filtering Router
Application Level Gateway
Circuit Level Gateway
Packet Filtering
OSI Layers Addressed
Packet Filtering Router
Áp d ng m t ụ ộ t p các lu tậ ậ cho m i gói tin ỗ
đi qua Router và quy t đ nh s chuy n ế ị ẽ ể
ti p hay h y gói tin đó. ế ủ
L c gói tin theo ọ c hai h ngả ướ
Packet Filtering Router
Các lu t d a trên ậ ự đ a ch ngu n,ị ỉ ồ đ a ch ị ỉ
đích và s c ngố ổ đ l c gói tinể ọ
Danh sách các lu t ậ đ c kh p v i các ượ ớ ớ
tham s gói tin.ố
N u không có lu t nào kh p, hành đ ng ế ậ ớ ộ
m c đ nh đ c áp d ng.ặ ị ượ ụ
Packet Filtering Router
Hai chính sách m c đ nh:ặ ị
•
default = discard:
•
Nh ng gói tin không đ c khai báo rõ ữ ượ
ràng là cho qua thì s b h y.ẽ ị ủ
•
default = forward:
Nh ng gói tin không đ c khai báo rõ ữ ượ
ràng là h y thì s đ c cho qua.ủ ẽ ượ
Packet Filtering Rules
connection to our SMTP
port
**25OUR-GWallow
we don’t trust these guys*SPIGOT**block
commentporttheirhostportourhostaction
•
Cho phép gửi mail vào (port 25), nhưng chỉ được gửi cho gateway
•
Không cho phép lưu lượng đến từ máy SPIGOT
Packet Filtering Rules
default****block
commentporttheirhostportourhostaction
•
Chính sách
mặc định
•
Luôn luôn là luật cuối cùng
•
Luật này cấm tất cả các lưu lượng khác
Packet Filtering Rules
Connection to their
SMTP port
25***allow
commentporttheirhostportourhostaction
•
Các trạm trong mạng có thể gửi mail ra ngoài
•
Một vài ứng dụng có thể kết nối tới cổng 25
•
Hacker có thể truy cập qua cổng 25
Packet Filtering Rules
their repliesACK**25*allow
flags
connection to their
SMTP port
25**our
hosts
allow
commentportdestportsrcaction
•
Cải tiến trường hợp trước
•
Các trạm bên trong có thể truy cập tới bất kỳ SMTP server nào
•
Cho phép các xác nhận từ SMTP server bên ngoài.
Packet Filtering Rules
Traffic to nonservers>1023***allow
replies to our callsACK****allow
flags
outgoing calls***our
hosts
allow
commentportdestportsrcaction
•
Xử lý các kết nối FTP
•
Hai kết nối được sử dụng: Một dùng để điều khiển và 1
để truyền dữ liệu; dùng 2 cổng khác nhau (20, 21)
•
Các kết nối ra ngoài sử dụng các cổng chỉ số cao (> 1023)
Packet Filtering
u đi mƯ ể : đ n gi n, nhanh, trong su t ơ ả ố
v i ng i dùng.ớ ườ
Nh c đi mượ ể : r t khó đ thi t l p các ấ ể ế ậ
lu t chính xác và không có kh n ng ậ ả ă
ch ng th c.ứ ự
Packet Filtering Attacks
IP address spoofing – các gói tin t bên ừ
ngoài có s d ng đ a ch IP gi (tin c y) ử ụ ị ỉ ả ậ
trong tr ng đ a ch ngu n.ườ ị ỉ ồ
Source routing attacks – hacker n đ nh ấ ị
tuy n ngu n đ gói tin tránh các đi m ế ồ ể ể
ki m soát.ể
Tiny fragment attack – hacker phân nh ỏ
gói tin đ qua m t các lu t l c gói tin ể ặ ậ ọ
d a trên tiêu đ TCP.ự ề
Real Life Example
Real Life Example
Stateful Inspection
Layers Addressed By Stateful Inspection
Stateful Inspection
Firewalls
Tr ng thái c a 1 k t n i: Open or ạ ủ ế ố
Closed
State: Th t c a gói tin trong cu c trao đ iứ ự ủ ộ ổ
Th ng cho bi t gói tin có ph i thu c v m t ườ ế ả ộ ề ộ
k t n i đang m hay không.ế ố ở
Stateful Inspection
Firewalls
Stateful Firewall Operation
V i TCP, ghi l i 2 đ a ch và s hi u c ng vào ớ ạ ị ỉ ố ệ ổ
b ng tr ng thái v i tình tr ng OK (m )ả ạ ớ ạ ở
M c đ nh, cho phép các k t n i t các tr m ặ ị ế ố ừ ạ
trong m ng t i các máy ch ngoài m ng.ạ ớ ủ ạ
Các gói tin trao đ i ti p theo gi a các máy này ổ ế ữ
t i các c ng này là đ c phép mà không c n ạ ổ ượ ầ
ph i xem xét k .ả ỹ
B n ghi b xóa kh i b ng tr ng thái khi k t n i ả ị ỏ ả ạ ế ố
TCP ng t.ắ
Stateful Inspection Firewall
Operation I
External
Webserver
123.80.5.34
Internal
Client PC
60.55.33.12
1.
TCP SYN Segment
From: 60.55.33.12:62600
To: 123.80.5.34:80
2.
Establish
Connection
3.
TCP SYN Segment
From: 60.55.33.12:62600
To: 123.80.5.34:80
Stateful
Firewall
Type
TCP
Internal
IP
60.55.33.12
Internal
Port
62600
External
IP
123.80.5.34
External
Port
80
Status
OK
Connection Table
Note: Outgoing
Connections
Allowed By
Default
