TỔNG QUAN VỀ FIREWALL
KIẾN TRÚC VÀ MÔ HÌNH FIREWALL THÔNG DỤNG

   Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host. Một máy tính được gọi là dual-homed host nếu nó có ít nhât hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau, do đó máy tính này đóng vai trò là router mềm. Kiến trúc dual-homed host rất đơn giản, máy dual-homed host ở giữa, một bên được nối với internet va bên còn lại nới với mạng nội bộ (mạng cần được bảo vệ).

  Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) hoặc cho phép user đăng nhập trực tiếp vào dual-homed host. Mọi giao tiếp từ một host trong nội bộ và host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất.

Ưu điểm của Dual-homed host:

– Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.

– Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do đó trên các hệ điều hành linux chỉ cần cấu hình lại nhân của hệ điều hành là đủ.

Nhược điểm của Dual-homed host:

– Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những phần mềm mới được tung ra trên thị trường.

– Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân của dual-homed host, và khi dual-homed host bị đột nhập nó sẽ trở thành nơi lý tưởng để tấn công vào mạng nội bộ, người tấn công (attacker) sẽ thấy được toàn bộ lưu lượng trên mạng.

Đánh giá về kiến trúc dual-homed host

Để cung cấp dịch vụ cho người sử dụng trong mạng có một số giải pháp như sau:

– Kết hợp với các proxy server cung cấp những proxy service

– Cấp các account cho người sử dụng trên máy dual-homed host, khi người sử dụng muốn sử dụng dịch vụ từ internet hay dịch vụ từ external network thì họ phải đăng nhập bằng username và password được cài sẵn trên dual-homed host.

Nếu dùng proxy server thì khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì không phải dịch vụ nào cũng có phần mềm proxy server và proxy client. Mặc khác, khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống bị giảm xuống vì tất cả các proxy server đều đặt trên cùng một máy.

Nếu dùng phương pháp account cho người sử dụng trên máy dual-homed host thì người sử dụng không thích vì mỗi lần họ muốn sử dụng dịch vụ phải đăng nhập vào máy dual-homed host.

1.2. Kiến trúc Screened Host

Screened host có cấu trúc ngược lại với cấu trúc dual-homed host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ (basstion host) và một router tách rời với mạng bên ngoài. Kiến trúc này kết hợp hai kỹ thuật đó là packet filtering và proxy service. Packet filtering được cài trên router. Bastion host được đặt bên trong mạng nội bộ và nó là hệ thống duy nhất mà những host trên internet có thể kết nối tới, bất kì một hệ thống bên ngoài nào cố gắn truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host cần được duy trì ở chế độ bảo mật cao, packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài.

– Packet filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắng người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến proxy server mà không được bỏ qua proxy server để kết nối trực tiếp với mạng bên trong/bên ngoài, đồng thời cho phép Bastion host mở một số kết nối tới internel/external host.

– Proxy service: Bastion host sẽ chứa các proxy server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server.

Kiến trúc screened host ưu việt hơn kiến trúc dual-homed host ở một số điểm như sau:

– Dual-homed host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm quy tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được, cũng như tốc độ đáp ứng khó có thê cao vì cùng lúc đảm nhận nhiều chức năng.

– Screened host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt. Packet filtering chỉ giữ những chức năng lọc gói nên có thể kiểm soát cũng như khó gây ra lỗi. Proxy server được đặt ở máy khác nên khả năng phục vụ người sử dụng cao hơn ở kiến trúc Dual-homed host.

Tương tự như kiến trúc Dual-homed host, kiến trúc Screened host khi bị đột nhập thành công thì lưu lượng mạng của internal network cũng bị kiểm soát bởi attacker. Từ khuyết điểm chính của hai kiến trúc trên ta có kiến trúc Screened Subnet Host ra đời nhằm giải quyết hai khuyết điểm này.

1.3. Kiến trúc Screened Subnet Host

 Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho Bastion host, tách bastion host khỏi các host khác người ta đưa ra kiến trúc firewall có tên là Screened Subnet Host.

   Kiến trúc Screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet host đơn giản bao gồm hai screened router:

– Router ngoài (Exterior router): Nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (Bastion host, interior router). Exterior router chống lại những sự tấn công chuẩn như giả mạo địa chỉ IP và điều khiển truy cập tới Bastion host. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin bắt nguồn từ Bastion host.

– Router trong (Interior router): Nằm giữa mạng ngoại vi va mạng nội bộ nhằm bảo vệ mạng nội bộ và mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa Bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Interior router chỉ cho phép các hệ thống bên trong truy cập Bastion host.

Ưu điểm của Screened Subnet Host:

– Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong.

– Bởi vì router ngoài chỉ quảng bá Bastion host tới internet nên hệ thống mạng nội bộ không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server).

– Bởi vì router trong chỉ quảng bá Bastion host tới mạng nội bộ nên các hệ thống bên trong mạng nội bộ không thể truy cập trực tiếp tới Internet. Điều này đảm bảo rằng những user bên trong bắt buộc phải truy cập qua Internet qua dịch vụ Proxy.

– Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sử dụng đồng thời nâng cao khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên là phù hợp.

– Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụng thêm một dạng ngoại vi (perimeter network) để che phần nào lưu thông bên trong internal network, tách biệt internal network với internet.

Ngoài ra, còn có những kiến trúc biến thể khác như sử dụng nhiều Bastion host, ghép chung router trong và router ngoài, ghép chung Bastion host và router ngoài.

2. Một số Firewall thông dụng

2.1. Check Point (Giới thiệu Check Point Next Generation)

   Là sản phẩm cung cấp một sự kết hợp các công cụ hàng đầu và các ứng dụng trong việc bảo mật hệ thống mạng sử dụng kiến trúc SVN (Secure Vitual Network) cho phép Check Point đưa ra những công cụ bảo đảm sự an toàn cho dữ liệu. VPN-1/Firewall-1 là một phần của NG cung cấp việc bảo mật mạng và hệ thống mạng ảo riêng VPN(Vitual Private Network). Để thực hiện VPN ta cần Secure Remote và Secure Client. Secure Remote – chứng thực người dùng và mã hóa dữ liệu, Secure Client – thêm một personal firewall vào hệ thống.
 

  Mặc dù VPN-1/Firewall-1 là một bản bảo mật cơ bản nhưng nó cung cấp nhiều cách bảo vệ hệ thống mạng, VPN và các nhận dạng trên kỹ thuật SVN. Check Point phát triển siêu IP để cung cấp việc quản lý DNS, dịch vụ DHCP.
Quản lý và chia sẻ các tài khoản và chứng thực thông tin cho các tài khoản truy cập để sử dụng tài nguyên. Để cho việc quản lý các tài khoản dễ dàng hơn hệ thống cung cấp thêm 2 công cụ : Account Management (LDAP – sắp xếp các tài khoản và kết hợp các thông tin) và User Authority (cho phép truy cập đến các tài khoản đặc quyền).

GUI (Graphical User Interface) có khả năng quản lý từ xa Security Policy và cung cấp giao diện chính cho NG. GUI client là công cụ để tạo Security Policy và được sắp xếp trên Management Server. Công cụ Management Module của Management Server không chỉ sắp xếp Security Policy mà còn tạo và phân phát ACLs giống như Routers và Switches.

Nói tóm lại Check Point Next Generation bao gồm các tính năng sau :
- Firewall : hỗ trợ các dịch vụ NAT, điều khiển truy cập (ACLs), logging, bảo mật nội dung, và chứng thực phiên làm việc.
- Mã hóa và hỗ trợ kết nối mạng riêng ảo VPNs (với hai kiểu site-to-site và client-to-site dựa trên hai phương thức FWZ và IKE)
- LDAP Account Management có thể chạy tách rời ứng dụng hoặc kết hợp với Security Dashboard để quản lý LDAP(Lightweight Directory Access Protocol) – sắp xếp cơ sở dữ liệu tài khoản người dùng rất dễ dàng.
- Cung cấp cơ chế chứng thực, mã hóa cho sự thiết lập và duy trì kết nối mạng riêng ảo(VPNs).
- OPSEC (Open Platform for Security) - ứng dụng nền cho việc bảo mật của Check Point. Lọc nội dung gói tin HTTP, SMTP, FTP và URL filtering.
- Check Point High Availability tạo ra nhóm firewalls làm giảm thời gian chết cho hệ thống.
- Cung cấp Quality of Service dành ưu tiên cho lưu lượng trên mạng.
- Siêu IP cung cấp các dịch vụ DNS, DHCP. Ngoài ra còn có các công cụ như Secure DHCP để chứng thực người dùng.
- User Authority mở rộng quyền hạn chứng thực thông tin người dùng thu từ VPN-1/FireWall-1 để giảm bớt tải cho ứng dụng thứ 3.
- Mạng DMZ để cấu hình cho các services trong hệ thống : SMTP, FTP, HTTP hoặc HTTPs
- Cơ chế xử lý sự cố.

2.2. ISA

   ISA Server 2004 được thiết kế để bảo vệ Network, chống các xâm nhập từ bên ngoài lẫn kiểm soát các truy cập từ bên trong Nội bộ Network của một Tổ chức. ISA Server 2004 Firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn. Chúng ta hình dung đơn giản như sau: Có một quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó những thông tin này sẽ được “Pass” qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại.
ISA Server Firewall chứa nhiều tính năng mà các Security Admin có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Nội bộ Network

Các Network Services và những tính năng trên ISA Server sẽ được cài đặt và cấu hình gồm:

- Cài đặt và cấu hình Microsoft Certificate Services : Dịch vụ cung cấp các chứng từ kĩ thuật số phục vụ nhận dạng an toàn khi giao dịch trên mạng.
- Cài đặt và cấu hình Microsoft Internet Authentication Services (RADIUS) : Dịch vụ xác thực an toàn cho các truy cập từ xa thông qua các remote connections (Dial-up hoặc VPN)
- Cài đặt và cấu hình Microsoft DHCP Services (Dịch vụ cung cấp các xác lập TCP/IP cho các node trên và) và WINS Services (dịch vụ cung cấp giải pháp truy vấn NETBIOS name của các máy tính trên mạng)
- Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng Autodiscovery (tự động khám phá) và Autoconfiguration (tự động cấu hình) cho Web Proxy và Firewall clients. Thuận lợi cho các ISA Clients (Web và Firewall clients) trong một Tổ chức khi họ phải mang máy tính từ một mạng (có một ISA Server) đến mạng khác (có ISA Server khác) mà vẫn tự động phát hiện và làm việc được với Web Proxy Service và Firewall Service trên ISA Server này.
- DNS : Cài đặt Microsoft DNS server trên Perimeter Network server (Mạng chứa các máy chủ cung cấp trực tuyến cho các máy khách bên ngoài, nằm sau Firewall, nhưng cũng tách biệt với LAN)
- Back up và phục hồi thông tin cấu hình của ISA Server Firewall
- Tạo các chính sách truy cập (Access Policy) trên ISA Server Firewall
- Publish Web Server trên một Perimeter Network .
- Dùng ISA Server Firewall đóng vai trò một Spam filtering SMTP relay (trạm trung chuyển e-mails, có chức năng ngăn chặn Spam mails). Publish Microsoft Exchange Server services (hệ thống Mail và làm việc cộng tác của Microsoft, tương tự Lotus Notes của IBM)
- VPN : Cấu hình ISA Server Firewall đóng vai trò một VPN server, tạo kết nối VPN theo kiểu site-to-site giữa hai Networks

2.3. IPCop

- Firewall :Tích hợp IPTable một firewall mạnh của Linux Netfilter.
- Mở rộng cổng giao tiếp hỗ trợ : Analog modem, an ISDN modem, an ADSL modem, hỗ trợ giao thức PPTP(point-to-point-tunneling-protocol) trong dịch vụ SSH…
- Hỗ trợ một card mạng riêng cho phân vùng DMZ để cấu hình cho các services trong hệ thống nếu có.
- Hỗ trợ truy xuất từ xa qua SSH server.
- Tích hợp DHCP Server.
- Caching DNS.
- TCP/UDP port forwarding.
- Hỗ trợ IDS(Intrusion detection system) của Snort :Hệ thống dò tìm và phát hiện xâm nhập trái phép nổi tiếng của Snort.
- Hỗ trợ Free S/WAN IPSec cho phép chúng ta xây dựng các máy chủ VPN cung cấp truy cập tài nguyên nội bộ cho người dùng từ xa thông qua các phiên truyền được mã hóa và chứng thực chặt chẽ.
- Hỗ trợ Squid – Web Proxy: chương trình kiểm soát và tăng tốc truy cập internet được nhiều người yêu thích và áp dụng, giúp tiết kiệm đường truyền.
- Cho phép backup và restore các thông tin cấu hình của IPCop một cách nhanh chóng và dễ dàng do giao diện thao tác là giao diện web.
- Có cơ chế tự vá lỗi và cập nhật các chính sách bảo mật một cách tự động.

3. Tổng kết

Qua các firewall vừa trình bày ở trên, chúng ta đưa ra nhận xét sau :
- Nhiều người cho rằng ISA Server Firewall quả thật là mạnh mẽ trong vấn đề bảo vệ hệ thống cũng như quản lý người dùng ngoại trừ chi phí bản quyền quá cao. Thời gian, chi phí và hiệu quả là 3 yếu tố hàng đầu được các doanh nghiệp và tổ chức quan tâm khi ứng dụng các sản phẩm, giải pháp công nghệ thông tin cho hệ thống của mình. Chúng ta nghĩ đến việc việc xây dựng 1 firewall cũng mạnh mẽ không kém, đầy đủ chức năng nhưng không đòi hỏi cấu hình máy tính phải mạnh mẽ và hoàn toàn miễn phí.
- Để thực hiện điều này, chúng ta có thể sử dụng các thiết bị phần cứng của hãng bảo mật nổi tiếng Juniper, Cisco, CheckPoint hoặc các thiết bị phần mềm như ISA Server của Microsoft. Mỗi sản phẩm có những mặt mạnh, yếu riêng. Tuy nhiên, tất cả đều là những sản phẩm thương mại có giá trị bản quyền cao và đòi hỏi yêu cầu phần cứng mạnh mẽ. Vì vậy, đối với các công ty muốn tiết kiệm chi phí chúng ta có thể dùng một sản phẩm mã nguồn mở thay thế là IPCop Firewall, hoặc IPTables hoặc Endian một giải pháp tối ưu cho viêc tiết kiệm băng thông và tăng cường bảo mật, giúp xóa tan những lo âu về vấn đề chi phí bản quyền khi Việt Nam gia nhập WTO .
- Căn cứ vào bảng so sánh trên chúng ta dễ dàng nhận thấy IPCop Firewall/Router (một công cụ tích hợp điển hình của dòng sản phẩm open source) có nhiều tính năng mạnh mẽ mà ngay cả những sản phẩm tường lửa thương mại hàng đầu như ISA Server cũng không có được như hệ thống phân phối các địa chỉ IP động để client có thể dễ dàng, nhanh chóng truy cập internet. Đặt các giới hạn download/upload. Bên cạnh đó IPCop còn có khả năng phát hiện dò tìm xâm nhập bất hợp pháp hay các chương trình khả nghi trên mạng như ettercap, dsniff thông qua hệ thống SNORT Network IDS, tự động cập nhất các chính sách, quy tắc bảo mật .v.v…

The end.