Mình sẽ giới thiệu cho các bạn một chủ đề tuy cơ bản nhưng hết sức quan trọng khác trong lĩnh vực An ninh mạng đó là:”Kiến Trúc bảo mật Firewall,IDS và HoneyPots”
I) ĐỊNH NGHĨA VÀ PHÂN LOẠI FIREWALL
1. Định nghĩa:
1.1. Giới thiệu về Firewall:
Firewall là một thiết bị – hay một hệ thống – điều khiển truy cập mạng, nó có thể là phần cứng hoặc phần mềm hoặc kết hợp cả hai.
Firewall thường được đặt tại mạng vành đai để đóng vai trò như cổng nối (gateway) bảo mật giữa một mạng tin cậy và mạng không tin cậy, có thể giữa Intranet và Internet hoặc giữa mạng của doanh nghiệp chủ với mạng của đối tác.
Firewall được thiết kế để ngăn chặn tất cả các lưu lượng không được phép và cho phép các lưu lượng được phép đi qua nó.
Vì thế, thiết bị firewall thường bao gồm hai giao tiếp mạng (network interface): Một nối với mạng bên trong (vd: intranet: mạng cần bảo vệ); Một nối với mạng bên ngoài (vd: Internet: mạng không tin cậy).
Ở đây cần phân biệt rõ, về vài trò gateway, giữa router và firewall: Như đã biết, router là thiết bị mạng, thường được sử dụng cho mục tiêu định tuyến lưu lượng mạng (có thể từ chối lưu lượng nào đó). Trong khi đó, firewall là thiết bị bảo mật, có nhiệm vụ giám sát và điều khiển lưu lượng mạng (chỉ cho phép lưu lượng thích hợp đi qua). Trong thực tế, nếu được cấu hình hợp lệ thì router có thể thực hiện một vài chức năng của firewall, nhưng điều ngược lại là khó có thể.
Ngoài ra, firewall cung cấp một cơ chế cấu hình linh hoạt hơn, nó có thể được cấu hình để cho phép/cấm (allow/deny) các lưu lượng dựa trên dịch vụ, địa chỉ IP của nguồn hoặc đích, hoặc ID của người yêu cầu sử dụng dịch vụ. Nó cũng có thể được cấu hình để ghi lại (log) tất cả các lưu lượng qua nó.
Người quản trị an ninh của hệ thống cũng có thể cấu hình để firewall thực hiện chức năng như là một trung tâm quản lý bảo mật. Tức là, firewall sẽ đóng vai trò cổng nối bảo mật tại mạng vành đai của mạng Tổ chức. Khi đó mọi lưu lượng từ bên ngoài muốn đến tất cả các hệ thống trong phạm vi mạng của một Tổ chức đều phải thông qua firewall.
1.2. Mục tiêu thiết kế một firewall:
Tất cả lưu lượng từ mạng bên trong ra bên ngoài hoặc ngược lại phải đi qua firewall. Để đạt được mục tiêu này ta phải khóa tất cả “con đường” vào mạng bên trong, ngoại trừ thông qua firewall.
Chỉ có lưu lượng được cho phép, được định nghĩa bởi chính sách bảo mật cục bộ (local security policy), mới được phép đi qua firewall. Nhiều loại firewall khác nhau có thể được sử dụng để cài đặt các loại chính sách bảo mật khác nhau.
Bản thân firewall phải có khả năng tránh được sự xâm nhập bất hợp pháp. Để đạt được mục tiêu này cần phải thiết kế một hệ thống tin cậy.
Người quản trị an ninh hệ thống phải luôn hoàn thiện các đặc tính và cấu hình hệ thống, điều này giúp loại bỏ một số rủi ro có thể xảy ra với hệ thống. Nếu hệ thống không được cấu hình hợp lệ thì sẽ tạo điều kiện cho hacker tấn công vào mạng thông qua cácdịch vụ không hợp lệ đó.
1.3. Đặc tính của Firewall:
Sau đây là các kỹ thuật chung nhất mà các firewall sử dụng để điều khiển truy cập và làm cho chính sách bảo mật của site có hiệu lực. Trước đây firewall chỉ tập trung vào điều khiển dịch vụ, nhưng hiện nay chúng có thể thực hiện bốn chức năng cụ thể sau:
Điều khiển dịch vụ (service control): Xác định các loại dịch vụ Internet có thể được truy cập, đi ra hoặc đi vào. Firewall có thể lọc lưu lượng dựa vào địa chỉ IP và số hiệu cổng TCP; Có thể cung cấp phần mềm proxy, mà có thể tiếp nhận và phiên dịch mỗi yêu cầu dịch vụ trước khi chuyển tiếp nó; Hoặc tự nó quản lý các phần mềm server như các dịch vụ Web hoặc Mail.
Điều khiển hướng (direction control): Xác định hướng mà mỗi dịch vụ cụ thể yêu cầu, là có thể được khởi tạo và được phép thông qua firewall.
Điều khiển người sử dụng (user control): Điều khiển truy cập đến một dịch vụ, mà người sử dụng đang cố gắng truy cập đến nó. Đặc trưng này thường được áp dụng cho những người sử dụng bên trong firewall vành đai (người sử dụng cục bộ). Nó cũng có thể được áp dụng cho lưu lượng đi vào, từ những người sử dụng bên ngoài.
Điề khiển hành vi (Behaviour Control): Điều khiển các dịch vụ đặc biệt được sử dụng như thế nào. Ví dụ: firewall có thể lọc e-mail để hạn chế thư rác, hoặc nó có thể cho phép truy cập bên ngoài đến duy nhất một phần thông tin trên một server Web cục bộ.
1.4. Thuận lợi và hạn chế của Firewall:
Thuận lợi:
Firewall định nghĩa một “choke point” đơn, làm cho người sử dụng bất hợp pháp không tiếp cận được mạng được bảo vệ, giúp bảo vệ mạng chống lại các tấn công theo kiểu spoofing IP và routing IP. Việc sử dụng “choke point” đơn làm cho việc quản lý bảo mật trở nên đơn giản hơn, vì những khả năng bảo mật được kết hợp trên một hệ thống đơn hoặc một tập các hệ thống.
Firewall cung cấp một vị trí để giám sát các sự kiện liên quan đến bảo mật. Việc kiểm toán (audit) và cảnh báo (alarm) cũng có thể được cài đặt trên hệ thống firewall.
Firewall là một hệ nền tiện lợi cho nhiều chức năng Internet không liên quan đến bảo mật, bao gồm, chức năng NAT (network address translator): ánh xạ địa chỉ mạng cục bộ thành địa chỉ Internet, và chức năng quản trị mạng: kiểm toán và ghi lại các thông tin liên quan đến việc sử dụng Internet.
Firewall có thể phục vụ như là một hệ nền cho IPSec. Khi chế độ đường hầm được triển khai, firewall có thể được sử dụng để cài đặt các mạng riêng ảo.
Hạn chế:
Firewall không thể bảo vệ để chống lại các tấn công không đi qua firewall. Các hệ thống nội bộ có thể có khả năng dial-out để kết nối với một ISP. Một LAN nội bộ có thể hỗ trợ một modem pool, mà nó cung cấp khả năng dial-in cho nhân viên lưu động.
Firewall không thể chống lại các nguy cơ tấn công từ chính bên trong mạng nội bộ mà nó bảo vệ, nhất là khi có một người sử dụng từ bên trong hợp tác với kẻ tấn công bên ngoài.
Firewall không thể bảo vệ chống lại việc chuyển các chương trình hoặc file có virus đi qua nó.
2. Phân loại firewall:
2.1 FIREWALL TẦNG ỨNG DỤNG & FIREWALL LỌC GÓI:
Nếu dựa vào nguyên lý hoạt động của firewall thì ta có thể chia nó thành hai loại chính: Firewall tầng ứng dụng và Firewall lọc gói tin.
Mặc dầu hoạt động theo hai nguyên lý khác nhau, nhưng với cấu hình phù hợp thì cả hai đều có thể thực hiện các chức năng bảo mật mạng, bằng việc ngăn chặn lưu lượng/gói tin không được phép đi qua nó.
Ngoài ra, có thể xem: Circuite-level Gateway; Stateful Inspection Firewall; Bastion Host là một trong các loại firewall khác.
Sau đây chúng ta sẽ xem xét, làm thế nào để các chính sách bảo mật có hiệu lực trên các loại firewall này.
2.2 Firewall tầng ứng dụng (Application Level firewalls)
Firewall tầng ứng dụng, cũng có thể gọi là Proxy, là các gói phần mềm hoạt động trên các hệ điều hành đa năng – như hệ điều hành Windown NT hoặc Unix, hoặc trên các thiết bị firewall.
Loại này có thể có nhiều giao diện (interface) mạng – ít nhất là 2 giao diện, mỗi giao diện được dùng để nối với một mạng được kết nối với nó. Một tập các luật chính sách được định nghĩa, để chỉ ra lưu lượng nào là được phép chuyển từ mạng này sang các mạng khác – hay từ giao diện này qua giao diện khác. Nếu một luật chỉ ra là không cho phép lưu lượng đi qua, thì firewall sẽ từ chối hoặc hủy bỏ các gói tin trong lưu lượng đó .
Tập luật chính sách sẽ có hiệu lực thông qua việc sử dụng các proxy trên firewall. Trên các firewall tầng ứng dụng, mỗi giao thức “được phép” phải có một proxy riêng của nó.
Một proxy tốt là một proxy được xây dựng một cách cụ thể cho một giao thức cụ thể. Ví dụ, proxy FTP hiểu giao thức FTP và chỉ có thể quyết định, cho phép đi qua hoặc bị chặn lại, với các lưu lượng được mang bởi giao thức này, tất nhiên là phải dựa trên các tập luật chính sách đã được định nghĩa.
Với firewall tầng ứng dụng, tất cả các kết nối đều kết thúc trên firewall. Xem hình sau:
Hình này cho thấy, một kết nối bắt đầu ở hệ thống Client và đi tới giao diện bên trong của firewall. Firewall chấp nhận kết nối này, phân tích nội dung của gói và giao thức được sử dụng, và nếu tập luật chính sách cho phép lưu lượng đi qua thì firewall sẽ khởi tạo một kết nối mới từ giao diện bên ngoài của nó đến hệ thống Server.
Firewall tầng ứng dụng cũng sử dụng các proxy để kiểm soát các kết nối đi vào. Trong trường hợp này, proxy trên firewall sẽ nhận các kết nối đi vào và thực hiện các xử lý cần thiết trước khi lưu lượng được gửi tới hệ thống đích. Nhờ đó mà firewall có thể bảo vệ hệ thống mạng bên trong, ngăn chặn các tấn công được khởi tạo thông qua các ứng dụng.
Đa số các Firewall tầng ứng dụng đều thiết kế các proxy cho các giao thức thường được sử dụng trong các dịch vụ Internet hiện nay, như là HTTP, SMTP, FTP,Telnet,… Theo đó, chỉ những gói tin được mang bởi các giao thức này mới được xem xét, được đi qua hay bị chặn lại, qua khi đi qua Proxy. Tất nhiên, các gói tin được mang bởi các giao thức khác sẽ không được đi qua Proxy này.
Firewall tầng ứng dụng cũng “ẩn” địa chỉ IP của các hệ thống phía sau nó. Bởi vì, tất cả kết nối đều khởi tạo và kết thúc trên các giao diện của firewall, các hệ thống bên trong (internal) không “hiện” trực tiếp ra bên ngoài và nhờ đó mà lược đồ địa chỉ IP của mạng bên trong được “ẩn” với thế giới Internet bên ngoài.
2.3 Firewall lọc gói (IP Packet Filter Firewalls)
Firewall lọc gói (tin) cũng có thể là các gói phần mềm hoạt động trên các hệ điều hành đa năng – như Windows NT hoặc Unix, hoặc trên các thiết bị firewall.
Firewall loại này có thể có nhiều giao diện mạng – ít nhất là hai giao diện, mỗi giao diện được dùng để nối với một mạng được kết nối với nó. Cũng như các firewall tầng ứng dụng, một tập các luật chính sách được định nghĩa, chỉ ra lưu lượng nào là được phép chuyển từ mạng này sang các mạng khác nào đó. Nếu một luật chỉ ra là không cho phép lưu lượng đi qua, thì firewall sẽ từ chối hoặc hủy bỏ các gói tin trong lưu lượng đó .
Với Firewall lọc gói, các kết nối không kết thúc trên firewall, xem hình sau, nó đi trực tiếp đến hệ thống đích. Khi các gói tin được gửi đến firewall, firewall sẽ kiểm tra xem gói và trạng thái kết nối có được cho phép bởi các luật chính sách đã được định nghĩa hay không. Nếu được phép, gói tin sẽ được gửi đi theo đúng hướng truyền của nó. Nếu không, thì gói sẽ bị từ chối hoặc bị hủy bỏ.
Các firewall lọc gói không dựa vào proxy cho mỗi giao thức, vì thế nó có thể được sử dụng với bất kỳ giao thức nào chạy trên IP. Một số giao thức yêu cầu firewall phải hiểu được chúng đang làm gì.
Ví dụ, FPT sử dụng một kết nối cho khởi tạo logon và một số lệnh nào đó, trong khi một kết nối khác được sử dụng để truyền các file. Kết nối được sử dụng để truyền file được xem như là một phần của kết nối FTP và vì thế firewall phải có khả năng đọc lưu lượng và hiểu các cổng kết nối mới sẽ được sử dụng. Nếu firewall không thể làm được điều này, chuyển giao file sẽ thất bại.
Chú ý: Một cách tương đối: các firewall lọc gói có khả năng xử lý một lượng lưu lượng lớn hơn các firewall ứng dụng.
Firewall lọc gói hoàn toàn không sử dụng các proxy, tức là lưu lượng từ Client được gửi truyền trực tiếp đến Server. Trong trường hợp này, nếu một hacker thực hiện cuộc tấn công chống lại Server trên một dịch vụ mở nào đó, mà dịch vụ này được cho phép bởi các luật chính sách firewall, thì firewall sẽ không cản trở hacker. Firewall lọc gói cũng có thể cho phép lược đồ địa chỉ bên trong được nhìn thấy từ bên ngoài. Địa chỉ bên trong không cần ẩn vì các kết nối không kết thúc trên firewall.
Các luật chính sách có hiệu lực khi sử dụng các bộ lọc kiểm tra gói. Các bộ lọc sẽ kiểm tra các gói và quyết định lưu lượng có được phép đi qua hay không, dựa trên các luật chính sách và trạng thái kết nối hiện tại của giao thức.
II) IDS trong bảo mật hệ thống mạng
1.Thông tin trọng yếu
Intrusion Detection là thiết bị bảo mật vô cùng quan trọng. Intrusion Detection Systems (IDS) là giải pháp bảo mật được bổ sung cho Firewalls (hình dưới đây thể hiện điều đó). Một IDS có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được Firewall.
Hầu hết các vấn đề liên quan tới IDS đó là cấu hình sai, đó là việc thiết lập các thống số bị lỗi. Đó là những giao tiếp hợp lệ nhưng lại bị thiết bị IDS cảnh báo là các giao tiếp đó là các đoạn mã nguy hiểm…
Có hai dạng chính của IDS đó là: Network Based và Host Based
1.1 Network Based
Một Network-Based IDS (hình dưới đây) sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS).
1.2 Host Based
Một Host-Based IDS hiển thị dưới hình dưới chỉ làm nhiệm vụ giám sát và gi lại log cho một máy chủ (host-system). Đây là dạng IDS với giới hạn chỉ giám sát và ghi lại toàn bộ những khả năng của host-system (nó bao gồm cả hệ điều hành và các ứng dụng cũng như toàn bộ service của máy chủ đó). A Host-Based IDS có khả năng phát hiện các vấn đề nếu các thông tin về máy chủ đó được giám sát và ghi lại. Là thiết bị bảo mật cho phát hiện các tấn công trực tiếp tới một máy chủ.
Hình dưới đây thể hiện một host-based IDS được hoạt động nhằm nâng cao bảo mật cho hệ điều hành.
1.3 Active Detection and Passive Detection
IDS là một hệ thống tự động giám sát trong thời gian thực (Network-Based IDS) hay xem sét lại các thiết lập giám sát (audit log) nhằm phát hiện ra các lỗi bảo mật và các tấn công trực tiếp tới hệ thống mạng hay tới một máy chủ.
Có hai phương thưc cơ bản để IDS phát hiện ra các tấn công hay các nguy cơ bảo mật là: Signature Detection và Anomaly Detection. Signature Detection được hiển thị trong hình dưới đây sẽ so sánh các tình huống thực tế với các dạng tấn công (signatures) được lưu trữ trong dữ liệu của IDS. Anomaly Detection thể hiện hình bên dưới sẽ hoạt động tùy thuộc vào môi trường và có thể phát hiện ra những biến cố bất thường. Anomaly-detection dựa vào những hoạt động bình thường của hệ thống để tự động phát hiện ra những điều không bình thường và phân tích xem đó là dạng tấn công nào.
Hiển thị: Một signature-detection IDS
Một anomaly-detection IDS sử dụng công nghệ đỉnh cao để phân tích dựa trên các thuật toán cao cấp.
Một IDS active detection: phát hiện và trả lời được thiết kế để có hành động nhanh nhất nhằm giảm thiểu các nguy hiểm có thể sảy ra với hệ thống. Việc trả lời có thể như tắt máy chủ hay tắt các dịch vụ, ngắt các kết nối (được hiển thị dưới hình dưới đây).
Một IDS với passive detection sẽ trả lời nhưng không có các hành động trực tiếp chống lại các tấn công. Nó có thể ghi lại log của toàn bộ hệ thống và cảnh báo cho người quản trị hệ thống. IDS là thiết bị phát hiện tấn công DoS rất tốt; phát hiện các bugs, flaws hoặc các tính năng ẩn, và quét ports. Nhưng nó không có khả năng phát hiện các tấn công dựa trên các email chứa các đoạn mã nguy hiểm.
Các thành phần của IDS hoạt động để giám sát mạng
IDS instructing TCP reset tất cả các kết nối.
IDS yêu cầu Firewall chặn port 80 trong 60 giây để chống lại các tấn công vào máy chủ Web cài IIS.
III) HoneyPots
Một honey-pot được thể hiện trong hình dưới là một môi trường giả lập được thiết kế để dụ dỗ và đánh lừa các kẻ tấn công và những kẻ gây dối từ hệ thống mạng bên trong. Honey-pot thường được phát triển như một lớp đệm của hệ thống mạng với những người dùng bình thường, phân chia thành các vùng như: Internet, DMZ, Internal.
Honey-pot hoạt động như một hệ thống mạng thật, với các thông số về dữ liệu và tài nguyên nhưng thật ra nó lại được thiết kế để đánh lừa các kẻ tấn công. Những kẻ tấn công sẽ scan và phát hiện những lỗ hổng bảo mật tại honey-pot nhưng đó chỉ là môi trường ảo còn mạng thật vẫn được ngụy trang rất kỹ. Trong một hệ thống mạng yêu cầu độ an toàn cao thì sẽ có rất nhiều honey-pot với thiết lập và nội dung giống hệt nhưng hệ thống mạng thực tế, do đó kẻ tấn công sẽ rất khó khăn trong việc xác định mạng nào là mạng thật.
Việc tạo ra honey-pot nhằm cung cấp một lớp bảo vệ thông minh cho mạng của bạn chống lại các kẻ tấn công nguy hiểm. Ngoài ra nó còn tạo một môi trường giúp các nhà quản trị thực tập các bài test bảo mật nhưng vẫn không ảnh hưởng tới hệ thống thật.
Một mạng honey pot đánh lừa những kẻ tấn công một cách thông minh.
Khi một vấn đề bảo mật được phát hiện, incident response sẽ phải được thiết lập. Với tác dụng là lập kế hoạch và các văn bản giảm thiểu sự bất ngờ về mức độ nguy hiểm, tạo các bản recovery cho dữ liệu một cách nhanh chóng, nếu sự cố xảy ra có thể giảm thiểu được thiệt hại và bất ngờ. Với thời gian khắc phục sự cố một cách nhanh nhất.
Nhằm giảm thiểu bạn phải có kế hoạch:
Ghi lại toàn bộ các vấn đề được phát hiện đã xử lý và nguy cơ tiềm ẩn.
Tạo các bản backup toàn bộ dữ liệu và thường xuyên kiểm tra các ổ đĩa, có giải pháp phòng sự cố khi ổ đĩa bị hỏng.
Tổng hợp toàn bộ dữ liệu log được ghi lại đôi khi cũng phải thực hiện tạo ra các bản copy của dữ liệu đó, mặt khác bảo mật dữ liệu log cũng rất quan trọng.
Ngoài ra bạn phải có các chính sách nhằm nâng cao độ ổn định của hệ thống như tạo ra các kết nối dư thừa trong tình huống các kết nối chính bị ngắt do một nguyên nhân nào đó thì không ảnh hưởng tới các dịch vụ mạng.
HCC
