Giáo trình Quản trị mạng nâng cao

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN GIÁO TRÌNH QUẢN TRỊ MẠNG NÂNG CAO TRÌNH ĐỘ ĐÀO TẠO: ĐẠI HỌC NGÀNH ĐÀO TẠO: CÔNG NGHỆ THÔNG TIN (INFORMATION TECHNOLOGY) JULY 6, 2016 FIT-UTEHY (LƯU HÀNH NỘI BỘ) 1 MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 4 1.1 Tổng quan về bảo mật mạng ................................................................................... 4 1.1.1 Nguy cơ bảo mật trong mạng thông tin ............................................................ 4 1.1.2 Mục tiêu bảo mật .............................................................................................. 4 1.2 Tổng quan về AAA ................................................................................................. 5 1.2.1 Điều khiển truy nhập – Access Control ............................................................ 6 1.2.2 Xác thực ............................................................................................................ 7 1.2.3 Kiểm tra quản lý – Auditing ........................................................................... 17 1.3 Các thiết bị hạ tầng mạng ...................................................................................... 18 1.3.1 Tường lửa - Firewall ....................................................................................... 18 1.2.2 Bộ định tuyến – Router ................................................................................... 19 1.2.3 Bộ chuyển mạch – Switch .............................................................................. 19 1.2.4 Bộ cân bằng tải ............................................................................................... 19 1.2.5 Proxies ............................................................................................................ 19 1.2.6 Cổng bảo vệ Web (Web Security Gateway) ................................................... 20 1.2.7 Hệ thống phát hiện xâm nhập ......................................................................... 20 CHƯƠNG 2: TƯỜNG LỬA - FIREWALL .............................................................................. 21 2.1. Tổng quan về Firewall ........................................................................................ 21 2.1.1 Khái niệm về Firewall .................................................................................... 21 2.1.2. Mục đích của Firewall ................................................................................... 21 2.1.3. Phân loại FIREWALL ................................................................................... 23 2.1.4. Mô hình kiến trúc của FIREWALL ............................................................... 27 2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables................................................ 33 2.2.1 ISA 2006 ......................................................................................................... 33 2 2.2.2 TMG 2010 ....................................................................................................... 39 2.2.3 Iptables ............................................................................................................ 42 2.3 Tường lửa cứng ASA ........................................................................................ 45 2.3.1 Giới thiệu về ASA ...................................................................................... 45 2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng...................... 46 CHƯƠNG 3: CÔNG NGHỆ VPN ............................................................................................. 55 3.1. Tổng quan về VPN ............................................................................................... 55 3.1.1 Khái niệm ........................................................................................................ 55 3.1.2 Lợi ích của VPN ............................................................................................. 56 3.1.3 Chức năng của VPN ....................................................................................... 56 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN ............................................... 57 3.1.5 Phân loại VPN ............................................................................................ 57 3.2. Một số giao thức mã hóa trong VPN ................................................................... 59 3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) ............................. 60 3.2.2 Giao thức đường hầm điểm điểm - PPTP .......................................................... 62 3.2.2.1 PPP và PPTP ................................................................................................ 63 3.2.2.2 Cấu trúc gói của PPTP ................................................................................. 64 3.2.2.3 Đường hầm .................................................................................................. 67 3.2.3 Giao thức đường hầm lớp 2 – L2TP .............................................................. 68 3.2.4 Giao thức IP Sec ......................................................................................... 73 CHƯƠNG 4: HỆ THỐNG MAIL SERVER ............................................................................. 84 4.1. Tổng quan về hệ thống Email ........................................................................... 84 4.1.1 Khái niệm và các thành phần của Email ......................................................... 84 4.1.2 Một số giao thức trong Email ......................................................................... 88 4.2 MS.Exchange Server 2010 .................................................................................... 92 4.2.1. Giới thiệu về MS.Exchange Server 2010 ...................................................... 92 3 4.2.2 Một số đặc điểm của MS.Exchange 2010 ...................................................... 92 4.3 MailServer Mdaemon ............................................................................................ 96 CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG ....................................................................... 98 5.1 Tổng quan về giám sát mạng ................................................................................ 98 5.1.1 Khái niệm ........................................................................................................ 98 5.1.2 Các lĩnh vực cần phải giám sát trong hệ thống mạng ..................................... 99 5.2 Giao thức quản lý mạng đơn giản – SNMP và một số phần mềm giám sát mạng ................................................................................................................................... 101 5.2.1 Giao thức quản lý mạng đơn giản – SNMP .................................................. 101 5.2.2 Một số phần mềm giám sát mạng thường gặp .............................................. 106 4 CHƯƠNG I: TÔ ̉NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG MỤC TIÊU Học xong chương này sinh viên có thể: o Trình bày được một số nguy cơ và mục tiêu trong bảo mật hệ thống công nghệ thông tin. o Hiểu và giải thích được một số phương thức chứng thực o Trình bày và phân tích được ba yếu tố AAA trong bảo mật hệ thống o Phân biệt được các thiết bị hạ tầng mạng thường gặp trong một hệ thống mạng. o Rèn luyện tính tư duy logic. 1.1 Tổng quan về bảo mật mạng 1.1.1 Nguy cơ bảo mật trong mạng thông tin Nguy cơ bảo mật (Threat) - là một hoặc một chuỗi các sự kiện hoặc hành động nào đó có thể gây hại hoặc ảnh hưởng không tốt cho các mục tiêu bảo mật. Thể hiện thực tế của nguy cơ bảo mật là một cuộc tấn công vào mạng. Lỗ hổng bảo mật (Vulnerability Security) – Là các “lỗi” của phần mềm hoặc hệ thống mà có thể bị kẻ tấn công lợi dụng, khai thác và ảnh hưởng tới an toàn thông tin của hệ thống. 1.1.2 Mục tiêu bảo mật Mục tiêu bảo mật hay còn gọi là đối tượng bảo mật. Được định nghĩa tuỳ theo môi trường ứng dụng hoặc kỹ thuật thực hiện. 1.1.2.1 Theo môi trường ứng dụng • Các tổ chức tài chính Chống nguy cơ làm sai lệch và thay đổi tình cờ trong các giao dịch tài chính. Xác nhận tính hợp pháp của các giao dịch của khách hàng. Bảo mật cho các số nhận dạng cá nhân (PIN) . Đảm bảo tính riêng tư cho khách hàng trong giao dịch. • Thương mại điện tử Đảm bảo tính toàn vẹn trong giao dịch. Đảm bảo tính riêng tư cho doanh nghiệp. Cung cấp chữ ký điện tử (electronic signature) cho các giao dịch điện tử. Đảm bảo tính riêng tư, bí mật đối với các thông tin của khách hàng. • Chính phủ Chống nguy cơ rò rỉ các thông tin nhạy cảm. Cung cấp chữ ký điện tử cho các tài liệu của chính phủ. • Các nhà cung cấp dịch vụ viễn thông công cộng 5 Giới hạn quyền truy cập vào các chức năng quản trị chỉ dành cho những người có đủ thẩm quyền. Đảm bảo dịch vụ luôn sẵn sàng. Bảo vệ tính riêng tư cho các thuê bao. • Các mạng riêng và mạng doanh nghiệp Bảo vệ tính riêng tư cho doanh nghiệp và cá nhân. Đảm bảo khả năng xác nhận bản tin. • Tất cả các mạng Bảo vệ dữ liệu chống lại sự xâm nhập bất hợp pháp. 1.1.2.2 Theo kỹ thuật thực hiện • Tính bí mật (confidentiality) Đảm bảo chỉ những người có thẩm quyền mới xem được dữ liệu khi truyền đi hoặc lưu giữ. • Tính toàn vẹn của dữ liệu (data integrity) Phát hiện được bất cứ sự thay đổi nào trong dữ liệu trong khi truyền hoặc lưu giữ. Xác nhận được ai là người tạo ra hoặc thay đổi dữ liệu. • Tính kế toán (accountability) Xác định trách nhiệm với bất kỳ sự kiện thông tin nào. • Tính sẵn sàng (availability) Các dịch vụ phải luôn sẵn sàng đáp ứng nhu cầu sử dụng của người dùng. • Truy cập có điều khiển (controlled access) Chỉ những thực thể có đủ thẩm quyền mới có thể truy cập các dịch vụ hoặc thông tin 1.2 Tổng quan về AAA AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm tra quản lý– Auditing ) là một nhóm các quá trình được sử dụng để bảo vệ dữ liệu, thiết bị, tính bí mật của các thuộc tính và thông tin. AAA cung cấp: - Tính bí mật (Confidentiality): Một trong những mục tiêu quan trọng nhất của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu. Điều này có nghĩa là dữ liệu hay thông tin của người nào thì chỉ người đó được biết và những người khác không được quyền can thiệp vào. Trong thực tế, ở những khu vực riêng của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận sự miễn vào” cũng là một hình thức bảo vệ tính riêng tư. Đối với dữ liệu truyền để bảo vệ tính riêng tư (Confidentiality) thì dữ liệu thường được mã hóa hay sử dụng các giao thức truyền thông an tòan như SSH, SSL 6 Hình 1.1: Mục tiêu của bảo mật hệ thống - Tính toàn vẹn (Integrity): Mục tiêu thứ hai trong bảo mật thông tin là bảo vệ tính toàn vẹn cho dữ liệu. Nhằm bảo đảm khi dữ liệu truyền đi không bị thay đổi bởi một tác nhân khác, ví dụ: khi một email quan trọng được gởi đi thì thường được áp dụng các thuật toán bảo vệ tính tòan vẹn như chữ ký số nhằm ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên. - Tính sẵn dùng (Availability) : Các nội dung hay dữ liệu phải luôn sẵn sàng để người dùng có thể truy cập và sử dụng nếu được phép. Ví dụ đối với một trang Web phải luôn đảm bảo hoạt đông 24h/1ngày và 7ngày /1tuần để cho người dùng có thể truy cập bất cứ lúc nào. Để đạt được mục tiêu bảo mật AAA đối với dữ liệu và tài nguyên chúng ta cần phải thực hiện ba công việc chính sau đây: 1.2.1 Điều khiển truy nhập – Access Control Quá trình điều khiển truy cập là rất quan trọng. Điều khiển truy cập định nghĩa cách thức người dùng và hệ thống liên lạc như thế nào và theo cách nào. Hay nói cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ thống, bao gồm dữ liệu, và do đó bảo vệ thông tin khỏi những truy cập trái phép. Điều khiển truy cập bao gồm 3 loại sau:  Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) là một mô hình tĩnh sử dụng để thiết lập, xác định trước những quyền truy cập cho các tệp trên hệ thống. Người quản trị hệ thống thiết lập quyền truy cập với những tham số và kết hợp chúng với một tài khoản, các tệp hay các tài nguyên của hệ thống. MAC sử dụng các nhãn để xác định mức độ quan trọng và áp dụng cho các đối tượng. Khi một người dùng cố gắng truy cập vào một đối tượng, nhãn sẽ được kiểm tra để xác định truy cập được phép xảy ra hay bị từ chối. Khi sử dụng phương thức điều khiển truy cập này, tất cả các đối tượng đều phải có một nhãn để xác định quyền truy cập.  Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động 7 dựa trên định danh của người dùng, trong mô hình này người dùng được gán quyền truy cập với các đối tượng như file, folder thông qua danh sách truy cập (ACL), dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng (creator).  Điều khiển truy cập dựa trên vai trò: Role – Based Access Control (RBAC) : RBAC họat động dựa trên công việc của người dùng. Người dùng được cấp quyền tùy theo vai trò và công việc. đây là mô hình rất thích hợp cho các môi trường làm việc mà nhân sự có nhiều thay đổi. 1.2.2 Xác thực Xác thực là ngưỡng cửa đầu tiên của hệ thống bảo mật, có nhiệm vụ xác định được ai đang truy cập vào hệ thống, và đó có là một người sử dụng hợp lệ hay không. Yếu tố xác thực là phần thông tin dùng để xác thực hoặc xác minh nhân dạng (identity) của một người. Hệ thống xác thực hay phương thức xác thực dựa trên năm yếu tố sau:  Những gì bạn biết. Ví dụ mật khẩu, mã PIN (Personal Identification Number).  Những gì bạn có. Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ thông minh, hay các thiết bị dùng để định danh .  Những gì là chính bạn. Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA.  Những gì bạn làm. Ví dụ: một hành động hay chuỗi hành động cần phải thực hiện để hoàn thành xác thực.  Một nơi nào đó bạn ở. Ví dụ như dựa vào vị trí đang ở của bạn (hiện nay nhiều hệ thống sử dụng tính toán di động, nên yếu tố xác thực này ít được sử dụng). Trên thực tế, nếu chỉ dùng một yếu tố để xác thực, độ an toàn sẽ không cao bằng kết hợp nhiều yếu tố với nhau. Cũng giống như căn nhà, cửa chính nên được khóa bằng nhiều ổ khóa. Nếu lỡ may chúng ta đánh rơi một chiếc chìa khóa, hay kẻ trộm có thể bẻ gãy một ổ khóa, thì vẫn còn đó những ổ khóa khác, đủ làm nản lòng hoặc chí ít là làm mất thời gian của kẻ trộm hơn khi phá cửa. 1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol) Phương pháp xác thực PAP dựa trên hai yếu tố chính: tên đăng nhập/mật khẩu(username/password) là cách thông dụng nhất để kiểm tra một người dùng có được quyền đăng nhập hoặc có quyền sử dụng tài nguyên hoặc hệ thống hay không. Các ứng dụng thực tế của cơ chế này có rất nhiều như việc đăng nhập máy tính trên màn hình logon, đăng nhập hộp thư điện tử 8 Hình 1.2: Xác thực sử dụng PAP Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của họ sẽ được chuyển đến một cơ sở dữ liệu để tìm và so sánh vơi các bản ghi (record) trên hệ thống, nếu có sự trùng lặp xảy ra thì đây là người dùng hợp lệ và được đăng nhập hệ thống. Trong trường hợp ngược lạ sẽ bị hệ thống từ chối cho phép truy cập. Những thuận lợi của phương pháp này là cơ chế họat động đơn giản, dễ ứng dụng. Nhưng kém an toàn vì các thông tin như Username & Password được gởi đi dưới dạng văn bản thông thường (clear text) theo các giao thức không mã hóa như Telnet, FTP, HTTP, POP... dễ dàng bị bắt lấy (bằng việc sử dụng các phần mềm sniffer như Cain, Ethercap, IMSniff, Password ACE Sniff....) và sẽ bị xem trộm. 1.2.2.2 Kerberos Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa (Cleartext) là thông tin nhạy cảm (username/password) dễ dàng bị đánh cắp bằng các phương pháp nghe lén (Sniffer), tấn công phát lại (Replay attack) hay người đàn ông ở giữa (Man in the middle), vì vậy một hệ thống xác thực mạnh mẽ và an toàn đã được nghiên cứu bởi học viện MIT(Massachusetts Institute of Technology) trong dự án Athena và ứng dụng thành công là Kerberos trên các hệ thống Windows 2000/2003/2008/2012, Linux, Unix. Mặc dù đây là một hệ thống họat động độc lập không phụ thuộc vào nền của hệ thống nhưng cần có những sự tinh chỉnh riêng để có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ chẳng hạn SAMBA. Với đặc tính này, người dùng chỉ cần chứng thực một lần với Trung tâm phân phối khóa (KDC – Key Distribution Center ) và sau đó có thể sử dụng tất cả các dịch vụ khác đã được tin cậy (trust) theo những quyền hạn thích hợp mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà mình sử dụng. Ví dụ trong mô hình Windows Server 2008 Active Directory, sau khi tham gia và đăng nhập domain các domain user có thể sử dụng các dịch vụ chia sẻ trên 9 mạng như File hay Print Server mà không cần phải cung cấp tên đăng nhập và mật khẩu (username và password) khi kết nối đến các máy chủ này như khi họat động trong môi trường WorkGroup. Đây là một ưu điểm lớn của việc ứng dụng Kerberos nói chúng hay mô hình mạng sử dụng Active Directory nói riêng. Các thành phần chính và cơ bản của một hệ thống kerberos: Client: Người dùng (user), dịch vụ (service), máy (machine) KDC : Trung tâm phân phối khóa (Key Distribution Center) Máy chủ tài nguyên hoặc máy chủ lưu trữ. Hình 1.3: Các thành phần chính của hệ thống chứng thực Kerberos Để hiểu rõ về cơ chế làm việc của kerberos, chúng ta hãy xét một phiên chứng thực khi một người dùng đăng nhập vào hệ thống để sử dụng các dịch vụ của hệ thống đó. Bao gồm các bước sau đây: 1. Subject (client –máy khách hay còn gọi là người dùng) cung cấp thông tin đăng nhập. Ví dụ: username và password. 2. Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC. 3. KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket (TGT— là giá trị hash của password do người dùng (subject) cung cấp với giá trị timestamp chỉ định thời gian sống (lifetime) của phiên truy cập. Giá trị TGT này sẽ được mã hóa và gửi về cho client). 10 4. Client nhận TGT. Tại thời điểm này, người dùng (subject) xem như đã được chứng thực trong mô hình Kerberos. 5. Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu Service Ticket (ST) sẽ được gởi đến KDC. 6. KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ KDC sẽ cấp ST cho client, giá trị ST này cũng kèm theo một timestame quy định thời gian sử dụng 7. Client nhận ST từ KDC. 8. Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ printer server. 9. Network server (ex. Print server) sẽ xác nhận ST. Nếu hợp lệ, một kênh truyền thông sẽ được khởi tạo với client. Tại thời điểm này Kerberos sẽ không can thiệp vào quá trình họat động của client và server nữa. Hình 1.4: Quá trình chứng thực bằng kerberos 11 Với cơ chế quản lý chứng thực tập trung và có khả năng mở rộng, Kerberos mang lại hiệu quả cao cho các mô hình mạng lớn. Trên hệ thống Windows OS, các bạn có thể áp dụng Kerberos cho tổ chức của mình bằng cách triển khai hệ thống Active Directory. 1.2.2.3 Challenge Handshake Authentication Protocol (CHAP) CHAP là giao thức chứng thực được dùng chủ yếu trong các kết nối dial -up (thường là PPP) với mục đích cung cấp một cơ chế truyền thông an tòan cho quá trình đăng nhập của người dùng. CHAP sử dụng one-way hash để bảo vệ passwords và tiến hành xác thực lại (reauthenticates)với các client một cách định kỳ. Hình 1.5: Mô hình xác thực CHAP Để hổ trợ quá trình đăng nhập và giúp cho client/server có thể xác thực lẫn nhau CHAP khởi tạo một tiến trình xác thực của riêng nó theo trình tư như mô tả dưới đây: 1. Sau khi người dùng nhập các thông tin đăng nhập và gởi đến server (client / server đều sử dụng CHAP), CHAP sẽ tiến hành chức năng one-way hash (MD5, SHA1) dựa trên password được cung cấp của người dùng (subject). Sau đó sẽ chuyển username và giá trị hash đến máy chủ xác thưc(authentication server). 2. Authentication server so sánh username với cơ sở dữ liệu chứa tài khoản cùng với giá trị hash để xác nhận người dùng có hợp lệ hay không. 3. Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với cơ sở dữ liệu trên server thì server sẽ truyền một chuổi thử thách(challenge) đến client. 4. Client đáp ứng dựa trên chalenge string và phản hồi đền server. 5. Server phản hồi lại client. 6. Server so sánh các đáp ứng mà nó nhận từ client. 12 7. Nếu tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép truyền thông với server Hình 1.6: Minh họa quá trình xác thực của CHAP Một khi client đã được chứng thực, CHAP sẽ gởi các chuổi ký tự thử thách với thời gian ngẫu nhiên và client có nhiệm vụ phản hồi lại các chuỗi này với các đáp ứng thích hợp nếu không kết nối sẽ tự động ngắt . Việc kiểm tra kết nối thông qua các challenge string này giúp cho quá trình truyền thông không bị ảnh hưởng bởi các dạng tấn công cướp phiên(Session Hijacking). 1.2.2.4 Thẻ bài – Token Token hay thẻ bài là một thành phần vật lý như thẻ thông minh(smartcard) lưu giữ các thông tin xác thực của người dùng. Trong các thẻ bài này sẽ chứa các thông tin như mã PIN của người dùng, thông tin và mật mã đăng nhập. Chứng thực bằng thẻ bài được cung cấp bởi phần cứng hoặc phần mềm. Quá trình chứng thực khi sử dụng thẻ bài bao gồm một số bước:  Khởi đầu, tại một thời điểm bạn phải có một giá trị thẻ bài ngẫu nhiên(có thể được sinh ra bởi phần cứng, hoặc phần mềm thông qua một thuật toán nào đó).  Người dùng khi đăng nhập vào hệ thống sẽ phải điền giá trị thẻ bài tại thời điểm đó.  Hệ thống sẽ kiểm tra giá trị đó có trùng với giá trị tại thời điểm đó mà hệ thống sinh ra hay không(sử dụng cùng một thuật toán với token của người dùng).  Nếu trùng khớp, quá trình chứng thực sẽ hoàn tất và người dùng có thể sử dụng dịch vụ của hệ thống. Nếu không người dùng sẽ không đăng nhập vào hệ thống được. 13 Hình 1.7: Xác thực sử dụng thẻ bài 1.2.2.5 Sinh trắc học – Biometric Phương pháp xác thực dựa trên sinh trắc học là một phương pháp xác thực an toàn nhất nhưng cũng tôn kém nhất.. Phương pháp này sẽ xác thực người dùng dựa trên dấu vân tay, mắt, giọng nó hay khuôn mặt của người dùng. Người ta chia phương thức xác thực bằng sinh trắc học ra làm các loại sau:  Xác thực bằng khuôn mặt  Xác thực bằng quét con ngươi mắt  Dấu vân tay  Nhận dạng bằng giọng nói 14 Hình 1.8: Xác thực bằng sinh trắc học Hình 1.9: Xác thực bằng dấu vân tay Hình 1.10: Xác thực bằng bàn tay 15 Hình 1.11: Xác thực bằng mống mắt Hình1.12: Nhận dạng bằng khuôn mặt Hình 1.13: Nhận dạng bằng giọng nói 16 1.2.2.6 Chứng chỉ - Certificate Các chứng chỉ - Certificates được tạo ra và cung cấp bởi một bên đáng tin cậy thứ 3 gọi là cơ quan chứng thực (CA – Certificate Authority). Quá trình xử lý (cấp chứng chỉ số cho người dùng) là một phần của hệ thống sử dụng cấu trúc khóa công khai (PIK – Public Infrastructure Key). Sau đây là một mô hình đơn CA. Hình 1.14: Mô hình CA đơn 1.2.2.7 Chứng thực đa nhân tố - Multi factor Authentication Là phương thức xác thực dựa trên 2 hay nhiều yếu tố của đối tượng. Một ví dụ điển hình của cơ chế xác thực này là khi các bạn muốn rút tiền từ các trạm ATM thì chúng ta cần có ít nhất 2 thành phần để máy ATM xác thực đó là thẻ ATM và mã PIN đăng nhập của bạn (sử dụng 2 nhân tố đó là những gì bạn có – Thẻ ATM và những gì bạn biết – PIN). Hình 1.15: Chứng thực đa nhân tố 17 Khi sử dụng phương thức này hệ thống sẽ trải qua nhiều bước xử lý để chứng thực người dùng. Sử dụng phương thức này thì an toàn hơn khi sử dụng chứng thực một nhân tố. Tuy nhiên thời gian xử lý của hệ thống thường lâu và đôi khi gây khó chịu với người dùng. 1.2.2.8 Đa chứng thực – Mutual Authentication Mutual Authentication là một kỹ thuật xác thực mà cả hai phía đều có thể xác nhận lẫn nhau , đầu tiên một dịch vụ hay tài nguyên sẽ xác nhận các thông tin của client hay người dùng, máy trạm. Sau đó client sẽ xác nhận các đặc tính của máy chủ hay nơi cung cấp dịch vụ. Hình 1.16: Đa chứng thực Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của mình cho các dịch vụ thiếu tin cậy. 1.2.3 Kiểm tra quản lý – Auditing Auditing cung cấp các phương thức để theo dõi, ghi lại các hoạt động ở trên mạng và trong hệ thống, và xác định xem tài khoản người dùng nào hoặc tài nguyên nào đang hoạt động.  Kiểm tra hệ thống: Việc kiểm tra phải xảy ra khi mà bạn đã hiểu hoàn toàn các tiến trình đang chạy trên hệ thống. Khi bạn tạo ra các thủ tục để kiểm tra, bạn phải ghi lại, giám sát các sự kiện theo dõi việc sử dụng và truy nhập cả được ủy quyền và không được ủy quyền. Bạn phải xác định rõ là cần kiểm tra dịch vụ nào, kiểm tra việc đăng nhập thành công, kiểm tra việc truy xuất vào một tài nguyênđể có các phương thức, thủ tục thực hiện cho hợp lý.  Ghi lại (logging): Được cung cấp hầu hết trên các mạng và các hệ thống bao gồm việc ghi lại một phần hay tất cả các hoạt động các sự kiện của tài nguyên. Việc ghi lại này thường được sủ dụng để phân tích những vấn đề của hệ thống, và nó cũng rất có ích trong việc tìm kiếm sự phát sinh về bảo mật. 18  Quét hệ thống (System Scanning): Là một phương thức sử dụng phần mềm hoặc các câu lệnh (các script) dùng để xác định hiện trạng (cổng nào đang mở và dịch vụ nào đang kết nối ra ngoài) và phát hiện ra các lỗ hổng bảo mật, các bản vá lỗi còn thiếu của hệ thống. 1.3 Các thiết bị hạ tầng mạng Các công ty, doanh nghiệp hay các tập đoàn đa quốc gia đang xây dựng hệ thống mạng ngày càng phức tạp với quy mô ngày càng lớn. Các hệ thống mạng này hoạt động sử dụng cả hai công nghệ có dây và không dây. Mặc dù sử dụng công nghệ mạng có dây như cáp quang hay công nghệ mạng không dây thì các phương thức truyền dữ liệu từ nơi này đến nơi khác ẩn chứa nhiều lỗ hổng và các nguy cơ dễ bị khai thác. Nội dung phần này sẽ mô tả ngắn gọn về nhiệm vụ và chức năng của các thiết bị thường gặp ở trong mạng.( Nhiều thiết bị mạng sử dụng firmware có thể cấu hình. Vì mục đích bảo mật phải chứng thực với thiết bị khi cấu hình. Thông thường chúng ta nên thay đổi những thông tin xác thực mặc định của thiết bị cho lần sau đăng nhập) 1.3.1 Tường lửa - Firewall Tường lửa là một trong những thiết bị đầu tiên bảo vệ trong hệ thống mạng. Có nhiều loại tường lửa khác nhau, chúng có thể là các hệ thống độc lập hay được tích hợp vào trong một số thiết bị khác như máy chủ hoặc Router. Chúng ta có thể tìm thấy các giải pháp về tường lửa ở trên thị trường như là tường lửa cứng hay tường lửa mềm. Nhiều loại tường lửa có thể là các phần mềm được đính kèm và sẵn có trên các máy chủ hay máy trạm. Mục đích cơ bản của tường lửa là ngăn chặn giữa mạng này với mạng khác. Chức năng chính của tường lửa bao gồm một trong những chức năng sau. Lọc gói tin: Cho phép hay từ chối gói tin đi qua dựa vào địa chỉ (các loại ứng dụng) của gói tin mà không phân tích nội dung cụ thể của gói tin. Ví dụ không cho phép giao thức Telnet đi qua thì tường lửa sẽ chặn cổng 23. Tường lửa Proxy: Thường sẽ đứng ở giữa và xử lý những yêu cầu từ mạng cần được bảo vệ với những mạng khác. Tường lửa Proxy kiểm tra dữ liệu và đưa ra những quyết định dựa vào những luật được thiết lập trên nó. Một tường lửa Proxy tiêu chuẩn thường sử dụng hai card mạng tách rời hai mạng khác nhau để tăng cường bảo mật cho hệ thống. Tường lửa kiểm tra trạng thái của gói tin (SPI- Statefull Packet Inspection): Với công nghệ SPI, hệ thống tường lửa không chỉ dựa vào các thông số trong Header như địa chỉ IP, TCP port, UDP Port mà nó còn dựa trên cả thông số 19 Sequence và các flag code (mã cờ). Việc kết hợp kiểm tra mào đầu và xét xem gói tin có thuộc kết nối mới hay thuộc một kết nối đã được thiết lập từ trước sẽ giúp lọc một cách hiệu quả hơn. 1.3.2 Bộ định tuyến – Router Tính năng chính của bộ định tuyến là được sử dụng để kết nối hai hay nhiều mạng với nhau. Bộ định tuyến là một thiết bị thông minh, chúng có thể lưu những thông tin về các mạng mà chúng kết nối trực tiếp tới. Hầu hết, các bộ định tuyến có thể cấu hình để hoạt động như một tường lửa lọc gói tin (dựa vào các ACL mà người quản trị cấu hình). Bộ định tuyến là thiết bị đầu tiên của hệ thống bảo vệ mạng và chúng phải được cấu hình để cho phép duy nhất lưu lượng mà được người quản trị ủy quyền. 1.3.3 Bộ chuyển mạch – Switch Switch là thiết bị đa cổng làm tăng hiệu năng hoạt động của hệ thống mạng. Switch thường chứa ít thông tin về hệ thống mạng như bảng địa chỉ MAC. Thông thường trong mạng LAN, việc sử dụng Switch mang lại hiệu quả cao hơn về bảo mật(so với Hub) và hiệu năng chuyển mạch tốt hơn(so với Router). 1.3.4 Bộ cân bằng tải Thiết bị Cân bằng tải dùng để chuyển “tải” từ một thiết bị này tới một thiết bị khác. Thông thường các thiết bị cân bằng tải có thể là một máy chủ, nhưng thuật ngữ này có thể được sử dụng cho một ổ đĩa cứng, CPU, hoặc hầu như bất kỳ thiết bị nào muốn dùng để tránh quá tải. Cân bằng tải giữa nhiều máy chủ làm giảm thời gian xử lý, tối đa hóa băng thông đi qua, và cho phép phân bổ tài nguyên hệ thống tốt hơn. Thiết bị cân bằng tải có thể là một giải pháp phần mềm hoặc phần cứng và nó thường được tích hợp vào trong một số thiết bị như router, tường lửa, thiết bị NAT. Một ví dụ phổ biến nhất của thiết bị Cân bằng tải là tách các lưu lượng dành cho một trang web sau đó luân chuyển đến các máy chủ khi chúng trở nên có sẵn. 1.3.5 Proxies Proxy là một máy chủ làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo sự an toàn cho việc truy cập của người dùng. Trong hệ thống mạng, việc sử dụng Proxy giúp người dùng truy cập web nhanh hơn và an toàn hơn (do proxy có sử dụng bộ nhớ đệm). Có thể lợi dụng Proxy để truy cập một số trang web mà nhà cung cấp dịch vụ không cho vào. 20 1.3.6 Cổng bảo vệ Web (Web Security Gateway) Một trong những thuật ngữ thông dụng và mới nhất là cổng bảo vệ Web. Cổng bảo vệ Web hoạt động như Proxy (với tính năng cache sử dụng) được tích hợp thêm phần mềm bảo vệ ở bên trong. Tùy thuộc vào các nhà cung cấp khác nhau, Cổng bảo vệ Web có thể tích hợp một bộ quét virus tiêu chuẩn để kiểm tra những gói tin đến và giám sát những lưu lượng đi ra của người dùng. 1.3.7 Hệ thống phát hiện xâm nhập Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là phần mềm chạy trên máy trạm hoặc trên các thiết bị mạng để giám sát và theo dõi các hoạt động mạng. Bằng cách sử dụng một IDS, một quản trị mạng có thể cấu hình hệ thống để hồi đáp giống như một hệ thống báo động. IDS có thể được cấu hình để kiểm tra các bản ghi hệ thống, quan sát các hoạt động mạng đáng ngờ, và ngắt kết nối phiên nếu xuất hiện vi phạm thiết lập mà người quản trị đưa ra. Trên thị trường, nhiều nhà sản xuất đang bán IDS tích hợp với tường lửa và phương thức này cho thấy nhiều hứa hẹn. Tường lửa có thể ngăn chặn nhiều cuộc tấn công phổ biến, nhưng tường lửa không đủ khả năng để báo cáo và giám sát toàn bộ lưu lượng mạng.. 21 CHƯƠNG 2: TƯỜNG LỬA - FIREWALL MỤC TIÊU Học xong chương này sinh viên có thể: o Trình bày được khái niệm và nhiệm vụ của tường lửa trong hệ thống mạng. o Giải thích được nguyên lý hoạt động của tường lửa. o Triển khai, cài đặt, cấu hình và quản lý một tường lửa mềm/cứng cơ bản_ISA/TMG, Iptables, ASA. o Tư vấn cho khách hàng lắp đặt một hệ thống tường lửa. o Rèn luyện khả năng tư duy logic. 2.1. Tổng quan về Firewall 2.1.1 Khái niệm về Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và mạng Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet. Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để kiểm tra và giám sát các lưu lượng đi qua nó. 2.1.2. Mục đích của Firewall Với Firewall, người sử dụng có thể yên tâm là đang được thực thi quyền giám sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác. Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ. Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng kiểm soát 22 các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet. Thông thường, một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao diện chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện riêng là phía mà chứa các dữ liệu được bảo vệ. Trên một Firewall có thể có nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời. Ứng với mỗi giao diện có một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng chung và mạng riêng. Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN, máy chủ xác thực hoặc máy chủ DNS. Tuy nhiên như bất kì một thiết bị mạng khác, nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều .Do đó, một Firewall không nên chạy nhiều dịch vụ. Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong muốn. Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt để từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở Hình 2.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng 23 sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS. Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào. Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được an toàn. 2.1.3. Phân loại FIREWALL 2.1.3.1 Phân loại theo nguyên lý hoạt động - Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có kiểm soát. - Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các máy khách và các host. Hình 2.2. Mạng gồm có Firewall và các máy chủ 24 a. Packet Filtering Firewall Đây là kiểu Firewall thông dụng hoạt động dựa trên lớp 3 trong mô hình OSI. Firewall mức mạng thường hoạt động theo nguyên tắc lọc gói tin dựa các luật lệ về quyền truy cập mạng dựa trên mức mạng. Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên Firewall. Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai hay bị cấm. Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy. Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị. Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập để vào bên trong mạng. Firewall kiểu packet filtering chia làm hai loại: - Packet filtering firewall: Hoạt động tại lớp mạng (Network Layer) của mô hình OSI. Các luật lọc gói tin dựa trên các trường trong IP header, transport header, địa chỉ IP nguồn và địa chỉ IP đích Internet Private Network Security perimeter Packet filtering router - Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình OSI. Mô hình này không cho phép các kết nối end to end. Hình 2.3. Packet filtering firewall 25 Hình 2.4. Circuit level gateway Outside host Inside host in in in out out out outside connection inside connection Circuit level gateway b. Application-proxy firewall Khi một kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin đi qua. * Ưu điểm: - Không có chức năng chuyển tiếp các gói tin IP. - Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall. - Đưa ra công cụ cho phép ghi lại quá trình kết nối. * Nhược điểm: - Tốc độ xử lý khá chậm. - Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập. - Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi dịch vụ trên mạng một trình ứng dựng uỷ quyền (proxy) trên Firewall (Ex. Ftp proxy, Http proxy). * Firewall kiểu Application- proxy chia thành hai loại: 26 - Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer) trong mô hình TCP/IP. Outside host Inside host outside connection inside connection Application level gateway TELNET HTTP SMTP FTP - Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được tính năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp mạng và kiểm tra nội dung các gói tin tại lớp ứng dụng. Loại Firewall này cho phép các kết nối trực tiếp giữa client và host nên giảm thiểu được lỗi, nó cung cấp các tính năng bảo mật cao và trong suốt đối với End Users. 2.1.3.2 Phân loại theo cấu tạo Firewall a. Firewall phần cứng Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm. Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng. Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys ( và NetGear ( Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình. Hình 2.5. Application-proxy firewall 27 b. Firewall phần mềm Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí (phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 ) và có thể tải về từ mạng Internet. So với Firewall phần cứng, Firewall phần mềm cho phép người quản trị linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào. Từ các phiên bản Windows XP2 trở lên, Firewall đã được tích hợp sẵn trên hệ điều hành. * Ưu điểm: - Không yêu cầu phần cứng bổ sung. - Không yêu cầu chaỵ thêm dây máy tính. - Môṭ lưạ choṇ tốt cho các máy tính đơn lẻ. * Nhược điểm: - Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí. - Viêc̣ cài đăṭ và và đăṭ cấu hình có thể cần để bắt đầu. - Cần môṭ bản sao riêng cho mỗi máy tính. 2.1.4. Mô hình kiến trúc của FIREWALL Kiến trúc thông thường của hệ thống sử dụng Firewall như sau: 28 Server Server Server Computer Computer Computer ComputerComputer Router Computer The Internet Internet router FIREWALL Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau: Hình 2.6. Kiến trúc của hệ thống sử dụng Firewall Hình 2.7. Cấu trúc chung của một hệ thống Firewall 29 Trong đó: - Screening Router: là chặng kiểm soát đầu tiên cho LAN. - DMZ: là vùng có nguy cơ bị tấn công từ internet. - Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật. - IF1 (Interface 1): là card giao tiếp với vùng DMZ. - IF2 (Interface 2): là card giao tiếp với vùng mạng LAN. - FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN ra internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server. - Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông qua Authentication server. - Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần). Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt đối xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn. Nhờ mô hình Firewall mà các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, mọi thôn tin trao đổi với internet đều được kiểm soát thông qua gateway. 2.1.4.1. Kiến trúc Dual - Homed host (máy chủ trung gian) Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính Dual- homed host. Một máy tính được gọi là Dual-homed host nếu có ít nhất hai Network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là router phần mềm. Kiến trúc Dual-homed host rất đơn giản. Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN). Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host. Mọi giao tiếp từ 30 một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed host là nơi giao tiếp duy nhất. Remote User User UserUser Internet Firewall Dual-homed host Internal network 2.1.4.2. Kiến trúc Screend Host Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được cài trên router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp (được thiết lập trong Bastion host) mới được phép kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế, Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet Filtering cũng cho phép Bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet filtering trên screening router như sau : Hình 2.8. Kiến trúc Dual - Homed host 31 - Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài thông qua một số dịch vụ cố định. - Không cho phép tất cả các kết nối từ host bên trong (cấm những host này sử dụng dịch vụ proxy thông qua Bastion host). - Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau. - Một số dịch vụ được phép đi vào trực tiếp qua packet filtering. - Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy. Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc Dual-homes host đôi khi cũng có lỗi mà cho phép một packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này) . Hơn nữa, kiến trúc Dual-homes host thì dễ dàng bảo vệ router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bên trong mạng. Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed host. So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion host thì không có cách nào để ngăn tách giữa Bastion host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất. 32 Remote User User UserUser Internet Firewall Screening Router Internal network Bastion Host 2.1.4.3. Kiến trúc Screened Subnet Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến trúc Firewall có tên là Screened subnet. Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu Screen subnet đơn giản bao gồm hai screened router: - Router ngoài (External router còn gọi là access router): nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (bastion host, interior router). Nó cho phép ngững gì outbound từ mạng ngoại vi. Một số quy tắc packet filtering đặc biệt được cài ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức cao. Ngoài các quy tắc đó, các quy tắc khác cần giống nhau giữa hai router. - Router trong (Interior router còn gọi là choke router): nằm giữa mạng ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng Hình 2.9. Kiến trúc Screened host 33 nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bị tổn thương và thỏa hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email server bên trong. Internet User User User User Internal Network Interior Router Perimeter Network Exterior Router Bastion Host 2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables 2.2.1 ISA 2006 ISA 2006 (Internet Security and Acceleration) được thiết kế chủ yếu để hoạt động như một tường lửa, hòng đảm bảo rằng tất cả những ‘traffic’ không trông đợi từ Internet được chặn lại bên ngoài mạng của tổ chức. Đồng thời, ISA Server có thể cho phép các ‘user’ bên trong mạng tổ chức truy cập một cách có chọn lọc đến các tài nguyên Internet và ‘user’ trên Internet có thể truy cập vào tài nguyên trong mạng tổ chức sao cho phù hợp với các ‘rule’ của ISA Server, chẳng hạn như máy chủ Web hoặc Mail của tổ chức. Có thể hình dung ISA Server được triển khai trên vành đai bao quanh mạng tổ chức, là nơi kết nối mạng tổ chức với một mạng khác bên ngoài (như Internet). ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trường hợp, vành đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung Hình 2.10. Kiến trúc Screened Subnet 34 (như Internet). Hình bên dưới cho chúng ta một ví dụ đơn giản về việc triển khai một ISA Server. Hình 2.11 Vị trí của ISA trong hệ thống mạng Mạng bên trong (‘interal network’) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và có sự giám sát của nhân viên IT trong tổ chức. ‘Internal network’ coi như đã được bảo mật một cách tương đối, tức là, thông thường những ‘user’ đã được chứng thực mới có quyền truy cập vật lý đến ‘interal network’. Ngoài ra, Nhân viên IT có thể quyết định những loại ‘traffic’ nào được cho phép trên ‘internal network’. Thâṃ chí cho dù ‘interal network’ an toàn hơn Internet, thì baṇ cũng không nên có ý nghi ̃sai lầm rằng, baṇ chỉ cần bảo vê ̣vành đai maṇg. Để bảo vê ̣maṇg của baṇ môṭ cách đầy đủ, baṇ phải vac̣h ra kế hoac̣h bảo vê ̣theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho maṇg của baṇ đươc̣ an toàn, thâṃ chí trong trường hơp̣ vành đai bị “thủng”. Nhiều cuôc̣ tấn công maṇg gần đây như ‘virus’ và ‘worm’ đa ̃ tàn phá những maṇg có vành đai an toàn. ISA Server là thiết yếu trong viêc̣ bảo vê ̣ vành đai maṇg, nhưng baṇ đừng nghi,̃ sau khi triển khai ISA Server thì viêc̣ của baṇ đa ̃xong. Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các ‘traffic’ của mạng trên Internet. Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì. Ngoài ra, những gói tin trên mạng (‘network packet’) gửi qua Internet không đươc̣ an toàn, bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy ‘packet sniffer’ trên một phân đoạn mạng Internet. ‘Packet Sniffer’ là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các ‘traffic’ trên một 35 mạng, điều kiện để bắt được ‘traffic’ mạng là ‘packet sniffer’ phải kết nối được đến phân đoạn mạng giữa hai ‘router’. Internet là một phát minh khó tin và đầy quyến rũ. Bạn có thể tìm kiếm trên mạng này nhiều thông tin hữu ích. Bạn có thể gặp gỡ những người khác, chia sẽ với họ sở thích của bạn và giao tiếp với họ. Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập được. Ví dụ, Internet không thể biết được ai là một người dùng bình thường vô hại, ai là tội phạm mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet. Điều đó có nghĩa là, không sớm thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho bất kỳ ai kết nối Internet. Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website của tổ chức, đó cũng có thể là kẻ xấu cố gắng ‘deface’ toàn bộ dữ liệu trên Website hoặc đánh cấp dữ liệu khách hàng từ tổ chức của bạn. Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo mật cho nó là hầu như không thể. Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet của bạn là xem tất cả ‘user’ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được chứng minh. ISA Server hoạt động như một tường lửa Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng. Firewall được cấu hình với những ‘rule’ lọc ‘traffic’, trong đó định nghĩa những loại ‘network traffic’ sẽ được phép đi qua. Firewall có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng. Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính của firewall trong trường hợp này là đảm bảo không có ‘traffic’ nào từ Internet có thể tới được ‘internal network’ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức bạn có một ‘internal Web Server’ cần cho ‘internet user’ có thể tới được. Firewall có thể được cấu hình để cho phép các ‘traffic’ từ Internet chỉ được truy cập đến Web Server đó. Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các mạng mà nó làm Server, bao gồm 36 ‘internal network’, vùng DMZ(*) và Internet. ISA Server 2006 dùng 3 loại quy tắc lọc (‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering, stateful filtering và application-layer filtering. Packet Filtering – Lọc gói tin Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng ‘network packet’ đi tới firewall. Khi ‘packet’ đi tới giao tiếp mạng của ISA Server, ISA Server mở ‘header’ của ‘packet’ và kiểm tra thông tin (địa chỉ nguồn và đích, ‘port’ nguồn và đích). ISA Server so sánh thông tin này dựa vào các ‘rule’ của firewall, đã định nghĩa ‘packet’ nào được cho phép. Nếu địa chỉ nguồn và đích được cho phép, và nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua firewall để đến đích. Nếu địa chỉ và ‘port’ không chính xác là những gì được cho phép, ‘packet’ sẽ bị đánh rớt và không được đi qua firewall. Stateful Filtering – Lọc trạng thái Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với ‘network packet’ để dẫn đến quyết định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một ‘packet’ bên trong nội dung của những ‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (‘session’) TCP. Ví dụ, một ‘user’ trong ‘internal network’ có thể gửi một ‘request’ đến một Web Server ngoài Internet. Web Server đáp lại ‘request’ đó. Khi ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thông tin ‘TCP session’ (là một phần của ‘packet’). Firewall sẽ xác định rằng ‘packet’ thuộc về một ‘session’ đang hoạt động mà đã được khởi tạo bởi một ‘user’ trong ‘internal network’, vì thế ‘packet’ được chuyển đến máy tính của ‘user’ đó. Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một máy tính bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không thuộc về một ‘session’ hiện hành đang hoạt động thì ‘packet’ sẽ đị đánh rớt. Application-Layer Filtering – Lọc lớp ứng dụng 37 ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một ‘packet’ có được cho phép hay là không. ‘Application-layer filtering’ kiểm tra nội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua firewall hay không. ‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua. Ví dụ, một ‘user’ trên Internet có thể yêu cầu một trang từ ‘internal Web Server’ bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi ‘packet’ đi tới firewall, ‘application filter’ xem xét kỹ ‘packet’ và phát hiện lệnh “GET”. ‘Application filter’ kiểm tra chính sách của nó để quyết định. Nếu một ‘user’ gửi một ‘packet’ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra ‘packet’. ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và ‘packet’ bị đánh rớt. HTTP application filter’ được cung cấp cùng với ISA Server 2006 có thể kiểm tra bất kỳ thông tin nào trong dữ liệu, bao gồm: ‘virus signature’, chiều dài của ‘Uniform Resource Location’ (URL), nội dung ‘page header’ và phần mở rộng của ‘file’. Ngoài ‘HTTP filter’, ISA Server còn có những ‘application filter’ khác dành cho việc bảo mật những giao thức và ứng dụng khác. Các ‘firewall’ mềm hiện nay xử lý lọc ‘packet’ và ‘stateful’. Tuy nhiên, nhiều ‘firewall’ không có khả năng thực hiện việc lọc lớp ứng dụng (‘application-layer’). Và ‘application-layer filtering’ đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng. Ví dụ, giả định rằng tất cả các tổ chức đều cho phép ‘HTTP traffic (port 80)’ từ ‘internal network’ đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức ‘HTTP’. Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ ‘file’ như KazaA. ‘HTTP traffic’ cũng có thể chứa ‘virus’ và mã độc (‘malicious code’). Cách ngăn chặn những ‘network traffic’ không mong muốn, trong khi vẫn cho phép sử dụng ‘HTTP’ một cách phù hợp, chỉ có thể thực hiện được bằng việc triển khai một ‘firewall’ có khả năng lọc lớp ứng dụng. ‘Application-layer 38 firewall’ có thể kiểm tra nội dung của các ‘packet’ và ngăn ‘traffic’ trên phương thức ‘HTTP’ (để ngăn ứng dụng) hoặc ‘signature’ (để ngăn ‘virus’, mã độc hại, hoặc ứng dụng). ISA Server chính xác là một loại ‘application-layer firewall’ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo vệ mạng. Hình 2.12 Sơ đồ triển khai VPN qua ISA Vành đai maṇg đa ̃ trở nên khó điṇh nghiã hơn theo như kic̣h bản trong hình 2. Kic̣h bản này cũng khiến viêc̣ bảo mâṭ kết nối Internet khó khăn hơn rất nhiều. Cho dù là vâỵ ISA Server đươc̣ thiết kế để đem laị sư ̣an toàn theo yêu cầu ở vành đai mạng. Ví du,̣ theo kic̣h bản trong hình 2, ISA Server có thể đem laị sư ̣an toàn cho vành đai, bằng cách thưc̣ hiêṇ các viêc̣ như sau:  Cho phép truy câp̣ năc̣ danh đến Website dùng chung (‘public website’), trong khi đó loc̣ ra ma ̃đôc̣ haị nhắm đến viêc̣ gây haị Website.  Chứng thưc̣ ‘user’ từ tổ chức của đối tác trước khi gán quyền truy câp̣ đến Website dùng riêng (‘private website’).  Cho phép truy câp̣ VPN giữa những vùng điạ lý khác nhau, nhờ đó ‘user’ ở chi nhánh văn phòng có thể truy câp̣ đến tài nguyên trong ‘interal network’.  Cho phép nhân viên ở xa truy câp̣ ‘internal Mail Server’, và cho phép ‘client’ truy câp̣ VPN đến ‘internal File Server’. 39  Áp đăc̣ chính sách truy câp̣ Internet của tổ chức hòng giới haṇ những giao thức đươc̣ dùng tới ‘user’, và loc̣ từng ‘request’ để chắc chắn ho ̣chỉ đang truy câp̣ đến các tài nguyên Internet cho phép. 2.2.2 TMG 2010 Microsoft Forefront Threat Management Gateway (TMG) 2010, một thế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mã độc hại khi truy cập Internet. Hơn thế nữa, Microsoft Forefront TMG 2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client Security, Forefront Security for Exchange Server và Forefront Security for Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như: - Bảo vệ hệ thống đa dạng và hoàn thiện. - Phát hiện Virus, Malware và ngăn chặn tấn công. - Giao diện quản lý thân thiện và dễ dàng. - Giám sát hệ thống mạng được tăng cường. Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng. Mọi thông tin ra vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng. Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác. Nó cung cấp nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một, TMG cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật Web. Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được chia ra làm 3 phần riêng biệt: - Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta. - Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy Forefront TMG. - External Network - là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình Forefront TMG mà thôi. 40 Hình 0.13: Mô hình tổng quan 3 lớp mạng của tường lửa Cùng với Forefront Unified Access Gateway (UAG), TMG là một bổ sung mới cho bộ sản phẩm Forefront Edge. TMG chủ yếu là nhắm mục tiêu vào các tình huống bên ngoài, chẳng hạn như những người tạo ra bởi các Host trên mạng được bảo vệ; UAG chủ yếu là nhắm mục tiêu vào các tình huống bên trong, như trong trường hợp Microsoft SharePoint hoặc Exchange, Web Publishing. Hai phiên bản của TMG là: - TMG Medium Business Edition (MBE) trong đó có sẵn trong một phiên bản độc lập hoặc với Windows Essential Bussiness Server(EBS) - TMG 2010 cho tất cả các triển khai khác. Bảng 0-1: So sánh các tính năng của TMG MBE và TMG FULL 41 Các tính năng chính của TMG 2010 Hình 0.11: Các tính năng chính trong Forefront TMG 2010 Hình 0.12: Những tính năng nổi bật của Forefront TMG 2010  Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua TMG.  ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều đường truyền Internet.  Web Anti-Malware - Quét Virus, phần mềm độc hại & các mối đe dọa khác khi truy cập Web.  URL Filtering - Cho phép hoặc cấm truy cập các trang Web theo danh sách phân loại nội dung sẵn có như: nội dung không lành mạnh, mua bán. 42  HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate.  E-mail Protection Subscription Service - Tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát Virus, Malware, Spam E-mail trong hệ thống Mail Exchange.  Network Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo mật.  Network Access Protection (NAP) Integration - Tích hợp với NAP để kiểm tra tình trạng an toàn của các Client trước khi cho phép Client kết nối VPN.  Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ VPN-SSTP.  Windows Server 2008 with 64-bit Support - Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit. 2.2.3 Iptables Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn trên Linux. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ thống. Iptables được chia làm 4 bảng (table): bảng filter dùng để lọc gói dữ liệu, bảng nat dùng để thao tác với các gói dữ liệu được NAT nguồn hay NAT đích, bảng mangle dùng để thay đổi các thông số trong gói IP và bảng contrack dùng để theo dõi các kết nối. Mỗi table gồm nhiều mắc xích (chain). 43 Chain gồm nhiều luật (rule) để thao tác với các gói dữ liệu. Rule có thể là ACCEPT (chấp nhận gói dữ liệu), DROP (thả gói), REJECT (loại bỏ gói) hoặc tham chiếu (reference) đến một chain khác. 44 Hình 2.16: Quá trình xử lý gói tin của Iptables Gói dữ liệu (packet) chạy trên chạy trên cáp mạng sau đó đi vào card mạng (chẳng hạn như eth0). Đầu tiên packet sẽ qua chain PREROUTING (trước khi định tuyến). Tại đây, packet có thể bị thay đổi thông số (mangle) hoặc bị đổi địa chỉ IP đích (DNAT). Đối với packet đi vào máy, nó sẽ qua chain INPUT. Tại chain INPUT, packet có thể được chấp nhận hoặc bị hủy bỏ. Tiếp theo packet sẽ được chuyển lên cho các ứng dụng (client/server) xử lí và tiếp theo là được chuyển ra chain OUTPUT. Tại chain OUTPUT, packet có thể bị thay đổi các thông số và bị lọc chấp nhận ra hay bị hủy bỏ. Đối với packet forward qua máy, packet sau khi rời chain PREROUTING sẽ qua chain FORWARD. Tại chain FORWARD, nó cũng bị lọc ACCEPT hoặc DENY. Packet sau khi qua chain FORWARD hoặc chain OUTPUT sẽ đến chain POSTROUTING (sau khi định tuyến). Tại chain POSTROUTING, packet có thể được đổi địa chỉ IP nguồn (SNAT) hoặc MASQUERADE. Packet sau khi ra card mạng sẽ được chuyển lên cáp để đi đến máy tính khác trên mạng. 45 2.3 Tường lửa cứng ASA 2.3.1 Giới thiệu về ASA Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance. ASA là một giải pháp bảo mật hàng đầu của Cisco. Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp, tích hợp các giải pháp bảo mật mạng khác như VPN, IPS, IDS Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai cho các doanh nghiệp. Nó bao gồm các thuộc tính sau: + Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco; + Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco; + Sử dụng Cut through proxy để chứng thực telnet, http. ftp; + Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng doanh nghiệp; + VPN: hỗ trợ các phương thức mã hóa như IPSec, SSL và L2TP; + Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS; + NAT động, NAT tĩnh, NAT port (PAT) ; + Sử dụng đặc tính SNR (Sequence Number Randomization) để tăng bảo mật cho phiên kết nối + Ảo hóa các chính sách sử dụng Context. Cisco ASA có tất cả 7 model khác nhau. Dòng sản phẩm này phân loại khác nhau cho các tổ chức nhỏ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mô hình càng cao thì thông lượng, số port, chi phí càng cao. Sản phẩm bao gồm : ASA 5505, 5510, 5520, 5540, 5550, 5580, 5585-x Hình 2.17 Sản phẩm ASA 5550 Ví dụ như thông số của dòng ASA 5550 Bảng 2.2 Các đặc tính của ASA 5550 46 2.3.2 Triển khai một số tính năng của ASA trong hệ thống mạng 2.3.2.1 Chuyển đổi địa chỉ - NAT Để giải quyết vấn đề tiết kiệm không gian địa chỉ, cũng như giải quyết vấn đề sử dụng địa chỉ IP Private và truy cập mạng Public, tổ chức IETF đã phát triển RFC 1631. RFC 1631 định nghĩa quá trình thực hiện NAT. Điều này cho phép dịch chuyển từ địa chỉ Private trong mào đầu của gói tin IP đến một địa chỉ IP Public khác và ngược lại. Một trong những lợi ích chính của NAT là việc thoải mái sử dụng số lượng địa chỉ ip private rộng lớn, hơn 17 triệu địa chỉ/ Điều này bao gồm 1 lớp địa chỉ mạng lớp A, 16 địa chỉ mạng lớp B và 256 địa chỉ mạng lớp C. Khi sử dụng địa chỉ Ip private dù có đổi nhà cung cấp dịch vụ, cũng sẽ không cần phải đánh lại địa chỉ cho các thiết bị trong mạng cục bộ mà chỉ phải thay đổi cấu hình NAT trên firewall để trùng với địa chỉ IP public mới. Bởi vì tất cả các lưu lượng phải đi firewall để đến các thiết bị có địa chỉ IP private, có thể điều khiển điều này bằng cách sau: - Những nguồn mà Internet truy cập vào mạng bên trong (LAN) - User nào trên mạng Inside được phép truy cập Internet 47 a. Một số thuật ngữ sử dụng trong NAT Để hiểu tốt hơn về các câu lệnh được sử dụng trên firewall để cấu hình NAT, cần phải hiểu một vài thuật ngữ thường được sử dụng trong NAT - Inside: Những địa chỉ được translate, thường là địa chỉ Ip private cho các thiết bị bên trong mạng LAN hay địa chỉ public mua từ ISP - Outside: Những địa chỉ được cấp phát trên Internet - Inside Local: Những địa chỉ Private được gán cho các host nằm bên trong mạng LAN - Inside Global: Những địa chỉ public được gán cho Inside host. Thường thì đây là pool địa chỉ được cấp bởi ISP - Outside Global: Những địa chỉ được gán cho các thiết bị Outside device b. Một số mô hình và ví dụ triển khai 48 Hình 2.18 Ví dụ cấu hình NAT tĩnh 49 Hình 2.19 Ví dụ về cấu hình PAT 2.3.2.2 Điều khiển truy cập – Access Control Access control list (ACL) là một tập hợp các quy tắc hay chính sách bảo mật dùng để cho phép (permit) hoặc từ chối (deny) các gói tin dựa vào phần header và các thuộc tính khác của gói tin. Mỗi dòng permit hoặc deny trong ACL được gọi là Access Control Entry (ACE). Sau khi cấu hình xong ACL thì ta phải áp nó vào một interface thì ACL mới phát huy tác dụng. Có 2 điểm khác biệt chính giữa ACL trên router và ACL trên ASA. Điểm thứ nhất, đó là chỉ có gói tin đầu tiên mới bị xử lý bởi ACL trên ASA. Đối với các giao thức được ASA thực hiện stateful inspection, sau khi kết nối đã được ACL cho phép thì tất cả các gói tin tiếp theo (của cùng kết nối đó) đều không bị kiểm tra bởi bất kỳ ACL nào. Trên Cisco IOS router thì tất cả các gói tin đều bị xử lý bởi ACL. Điểm thứ hai đó là cú pháp ACL trên router sử dụng wildcard mask, trong khi ACL trên ASA sử dụng đúng cú pháp của subnet mask. Bảng 2.3 So sánh giữa ACL trong ASA và Cisco Router 50 a) Standard ACL Giống như IOS Router, Firewall ASA hỗ trợ Standard ACL để lọc packet dựa trên địa chỉ IP. Tuy nhiên với Standard ACL, Firewall không thể sử dụng để lọc traffic vào ra Interface Cú pháp b) Extended ACL Có thể lọc lưu lượng vào ra trên một interface dựa vào địa chỉ IP nguồn và đích, giao thức sử dụng và Lọc địa chỉ nguồn và địch, giao thức, ứng dụng 51 c) ACL theo thời gian ACL theo thời gian có thể được thực thi hoặc vô hiệu phụ thuộc vào thời gian mà ta cấu hình Ví dụ bạn cần cho phép truy cập vào Server từ 8h00 am đến 6h00 pm Tạo time ranges d) Kiểm tra cấu hình ACL Để liệt kê các câu lệnh trong ACL có hai lựa chọn. Đầu tiên Show run access-list và show run access-group để hiển thị cấu hình trong running-config. -ciscoasa(config)# show running-config Nếu không muốn xem ACL đơn, có thể xem toàn bộ các ACL sử dụng lệnh. - ciscoasa(config)# show access-list 2.3.2.3 Web content Ở phần trên ta đã tìm hiểu về các khả năng lọc của các thiết bị trong đó có cả ACLs. Nhưng hạn chế của ACLs là nó chỉ có thể lọc địa chỉ lớp network và transport trong mô hình tham chiếu OSI. Mà chúng không thể đọc được nội dung thông tin (những thông tin được tải về). Trong trường hợp các Hacker muốn tấn công bằng cách tạo ra các applet Java độc hại hoặc ActiveX mà người dùng sẽ tải về để tạo hoặc chạy các ưng dụng đó. Một vấn đề của ACLs là một ACL có thể chấp nhận hay từ chối cổng TCP 80, trong đó có bao gồm cả applet Java nói ở trên. Nó không thể lọc chỉ một ứng dụng apple Java được. Tương tự như vậy, ACL cũng có vấn đề khi giao dịch với bộ lọc nội dung các trang web. Có ba giải pháp cho những vấn đề này. Các giải pháp đầu tiên là khả năng các thiết bị lọc trên Java và kịch bản ActiveX được nhúng vào trong các kết nối HTTP. Giải pháp thứ hai cho lọc nội dung cho phép các thiết bị để làm việc với 52 phần mềm lọc nội dung của bên thứ ba để lọc HTTP và FTP. Giải pháp thứ ba là sự hỗ trợ cho Web Cache các giao thức truyền thông (WCCP), cho phép các thiết bị để chuyển hướng các yêu cầu web tới một máy chủ web bên ngoài bộ nhớ cache để tải về nội dung. Nội dung trong phần này bao gồm: ▼ Lọc JavaScript và ActiveX ■ Web content ▲ Web caching a. Giải pháp lọc Java và ActiveX Các thiết bị có thể lọc cả Javascript và kịch bản activeX mà không cần bất kỳ phần mềm bổ sung hay các thành phần phần cứng nào. Về cơ bản các thiết bị cho nhúng HTML với lệnh và thay thế chúng với những phản hồi. Một trong số lệnh bao gồm: , , và CLASSID> .Tính năng lọc này cho phép bạn ngăn chặn việc tải các applet độc hại và các kịch bản cho máy tínhcủa người dùng trong khi vẫn cho phép tải nội dung trang web. Một lợi thế của việc sử dụng các thiết bị là chúng cung cấp một điểm trung tâm cho chính sách lọc của bạn. Tuy nhiên, bộ lọc chỉ có thể được thực hiện dựa trên địa chỉ IP của một máy chủ web.Vì vậy, không có khả năng lọc một trình duyệt hoặc lọc một nội dung có động cơ xấu, nhưng có thể sử dụng các thiết bị kết hợp với các công cụ khác, như cài đặt trình duyệt an toàn và nội dung một công cụ lọc, để cung cấp bảo mật tối đa cho hệ thống mạng. Hai phần sau đây thảo luận làm thế nào để lọc Java applet và kịch bản ActiveX trên các thiết bị của bạn. b. Web content Một trong những mối quan tâm của nhiều công ty khi kết nối với Internet là các loại thông tin mà nhân viên của họ đang tải về máy tính để bàn của họ.Tuy nhiên có một vài nghiên cứu đã được thực hiện, và trung bình 30-40% lưu lượng truy cập Internet của công ty là mục đích không phục vụ cho việc kinh doanh của họ.Trong một số trường hợp, thông tin mà nhân viên tải về có thể gây khó chịu cho các nhân viên khác. Thông tin này có thể là từ nội dung khiêu dâm tới nội dung chính trị hay tôn giáo. Rất nhiều các nội dung được tải về như báo giá cổ phiếu và truyền âm thanh và video là vô hại, nhưng có thể sử dụng băng thông đắt tiền. Các thiết bị có khả năng hạn chế và ngắt kết nối khi lọc nội dung web. Một giải pháp khả năng mở rộng nhiều hơn nữa là phải có các thiết bị làm việc với các sản phẩm của bên thứ ba để cung cấp tính năng lọc web toàn diện. Các phần dưới đây bao gồm các thiết bị và sản phẩm lọc web tương tác như thế nào, các sản phẩm lọc của bên thứ ba mà các thiết bị hỗ trợ, và cấu hình các thiết bị lọc web. Tiến trình lọc web 53 Để thực hiện lọc nội dung web, đôi khi còn được gọi là lọc web, có hai công việc chính là: - Chính sách phải được xác định là xác định những gì được hoặc là không được phép của người sử dụng. - Các chính sách phải được thi hành. Hai phương pháp thực hiện các quá trình này thường được triển khai trong các mạng là ứng dụng proxy và thay đổi Proxy. Ứng dụng proxy Với một proxy ứng dụng, cả hai thành phần định nghĩa và thực thi chính sách được thực hiện trên một máy chủ. Trình duyệt web hoặc là người sử dụng được cấu hình để trỏ đến các proxy, hoặc lưu lượng truy cập của họ chuyển hướng đến proxy. Với một proxy ứng dụng, các bước sau đây xảy ra khi người dùng muốn tải về nội dung trang web: 1. Người sử dụng sẽ mở ra một trang web. 2. Tất cả các kết nối được chuyển hướng đến các máy chủ proxy ứng dụng, mà có thể yêu cầu người dùng xác thực trước khi truy cập bên ngoài được cho phép. 3. Proxy ứng dụng kiểm tra một (nhiều) kết nối và so sánh nó với danh sách của các chính sách cấu hình. 4. Nếu kết nối là không được phép, người sử dụng thường được hiển thị một trang web về vi phạm chính sách. 5. Nếu kết nối được cho phép, proxy mở các kết nối cần thiết đểtải về nội dung. Nội dung sau đó được truyền lại qua ban đầu của người dùng kết nối và được hiển thị trong trình duyệt web của người dùng. Thay đổi Proxy Một proxy đổi chia tách ra hai thành phần chính sách: một máy chủ bên ngoài có danh sách các luật, và một thiết bị mạng thực hiện các chính sách lưu lượng truy cập web thông qua nó. Các thiết bị hỗ trợ phương pháp tiếp cận proxy sửa đổi: bộ lọc nội dung web, các thiết bị phải tương thích với một máy chủ nội dung web bên ngoài. Hình dưới đây cho thấy sự tương tác giữa người sử dụng thực tế, thiết bị, chính sách máy chủ, và các máy chủ web bên ngoài. c. Web caching Bộ nhớ đệm Web được sử dụng để giảm độ trễ và số tiền của lưu lượng khi tải nội dung trang web. Giả sử một bộ nhớ cache web máy chủ được triển khai, khi người dùng truy cập một trang web,nội dung được tải về lưu trữ trên máy chủ cache. Sau đó truy cập cùng một nội dung sau đó được cung cấp từ máy chủ bộ nhớ cache địa phương so với tải về các nội dungtừ máy chủ gốc. Truyền thông Web Cache Protocol (WCCP) cho phép các thiết bị an ninh tương tác với bộ nhớ cache web bên ngoài và / hoặc các máy chủ lọc. Tiến trình WCCP 54 Để hiểu được những lợi ích mà WCCP cung cấp, ta sẽ đi qua quá trình thiết bị đi qua khi sử dụng WCCP: 1. Người sử dụng sẽ mở ra một trang web, nơi kết nối (hoặc những kết nối) tạo ra các cách để đi đến các thiết bị. 2. Các thiết bị chặn các kết nối yêu cầu web này lại, đóng gói nó trong một Generic Routing Encapsulation (GRE) gói tin để ngăn chặn thay đổi bởi thiết bị trung gian và chuyển tiếp đến bộ nhớ cache web của máy chủ . 3. Nếu nội dung được lưu trữ trong máy chủ, trùng với yêu cầu đó thì nó trả lại trực tiếp nội dung cho người sử dụng. 4. Nếu nội dung không được lưu trữ trong máy chủ, yêu cầu được gửi đến các thiết bị, và thiết bị cho phép kết nối giữa người dùng tới máy chủ web gốc. Đối với bước 3 trong suốt quá trình chuyển hướng, thiết bị không thêm kết nối bảng liên kết và do đó không thực hiện bất kỳ theo dõi trạng thái của TCP, không ngẫu nhiên số thứ tự TCP trong tiêu đề TCP, không thực hiện Cut-through Proxy. 2.3.2.4 Modular Policy Framework Modular Policy Framework (MPF) là cấu trúc mà ASA dùng để định nghĩa các chính sách kiểm tra (inspection policies) cho lưu lượng. Với MPF, ta có thể định nghĩa một tập hợp các chính sách để phân loại lưu lượng, và sau đó đưa ra hành động đối với các lưu lượng đã được phân loại đó. MPF không thay thế cho ACL, mà nó chỉ đơn giản cho phép ASA có thể thực hiện thêm nhiều hành động khác đối với lưu lượng. MPF gồm có 3 thành phần sau:  Class map: Dùng để phân loại lưu lượng, được cấu hình bằng lệnh class- map  Policy map: Đưa ra các hành động với lưu lượng đã được phân loại, được cấu hình bằng lệnh policy-map  Service policy: Áp các chính sách đã cấu hình vào một hoặc nhiều giao diện của ASA, được cấu hình bằng lệnh service-policy. 55 CHƯƠNG 3: CÔNG NGHỆ VPN MỤC TIÊU Học xong chương này sinh viên có thể: o Trình bày được khái niệm, lợi ích của công nghệ VPN o Trình bày được nguyên lý hoạt động của VPN o Triển khai, cài đặt, cấu hình được công nghệ VPN cho doanh nghiệp o Tư vấn cho khách hàng triển khai công nghệ VPN. o Rèn luyện khả năng tư duy logic. 3.1. Tổng quan về VPN 3.1.1 Khái niệm Mạng riêng ảo hay còn được gọi với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm - điểm. Hai đặc điểm quan trọng của công nghệ VPN là “riêng” và “ảo” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng tính chất của mạng cục bộ cho mạng WAN. 56 Hình 3.1: Mô hình VPN 3.1.2 Lợi ích của VPN - VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP (Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp đến giá thành cho việc kết nối Lan – to – Lan giảm đi đáng kể so với việc thuê đường Leased - line. - Giảm chi phí quản lý và hỗ trợ: Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng, đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ. - VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: Dữ liệu truyền trên mạng được mã hóa bằng các thuật toán và được truyền trong các đường hầm (Tunnel) nên thông tin có độ an toàn cao. - VPN dễ dàng kết nối các chi nhánh thành mạng nội bộ: VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhánh của một công ty và văn phòng trung tâm thành một mạng LAN với chi phí thấp. - VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP: thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet. 3.1.3 Chức năng của VPN VPN cung cấp 3 chức năng chính: - Sự tin cậy (Confidentiality) : Người gửi có thể mã hóa các gói dữ liệu trước khi truyền chúng ngang qua mạng nên không ai có thể truy nhập thông tin mà không được phép. - Tính toàn vẹn dữ liệu (Data Integrity) : Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng internet mà không có sự thay đổi nào. - Xác thực nguồn gốc (Origin authentication) : Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin. 57 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN - User authentication: cung cấp cơ chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối vào hệ thống VPN - Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ. - Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu. - Key Management : cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải mã dữ liệu. Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote Access hay kết nối ngang hàng Site-to-Site), một số thành phần nhất định cần thiết để hình thành VPN: - Phần mềm máy trạm cho mỗi người dùng xa. - Các thiết bị phần cứng riêng biệt, ví dụ như: Bộ trung tâm (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall). - Các máy chủ VPN sử dụng cho dịch vụ quay số. - Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN ở xa truy nhập. - Trung tâm quản lý mạng và chính sách VPN. 3.1.5 Phân loại VPN 3.1.5.1 VPN Remote Access Hình 3.2: VPN Remote Access 58 VPN Remote Access: Hay cũng được gọi là Virtual Private Dial - up Network (VPDN), đây là dạng kết nối User – to – Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (Private network) từ các địa điểm từ xa. Mỗi công ty có thể cài đặt một mạng kiểu Remote – Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Một đặc điểm quan trọng của VPN Remote Access là: cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc. Để thực hiện được VPN Remote Access cần : - Có 01 VPN Getway (có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Client quay số truy cập vào hệ thống VPN nội bộ. - Các VPN Client kết nối vào mạng Internet. 3.1.5.2 VPN Site-to-Site Hình 3.3: VPN Site - to – Site VPN Site - to – Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng VPN Site – To – Site có thể thuộc hai dạng: 59 - Intranet: Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm. - Extranet: Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Về mặt kiến trúc thì Intranet và Extranet tương tự nhau, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống. Để thực hiện được VPN Site-to-Site cần: - Có 02 VPN Getway ( Mỗi VPN Getway có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Getway phía bên kia quay số truy cập vào. - Các Client kết nối vào hệ thống mạng nội bộ. 3.2. Một số giao thức mã hóa trong VPN Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương ứng để truyền qua Internet. Giao thức đường hầm là cốt lõi của giải pháp VPN và hiện có 4 giao thức đường hầm được sử dụng trong VPN đó là : - Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) 60 - Giao thức đường hầm điểm – điểm : PPTP (Point to point Tunneling protocol) - Giao thức đường hầm lớp 2 : L2TP (Layer 2 tunneling protocol) - Giao thức bảo mật IP : IPSec (Internet Protocol Security) - Giao thức GRE (Generic Routing Encapsulation) 3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding) Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP ( Point to Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. L2F cho phép đóng gói các PPP trong L2F, định hướng hầm ở lớp liên kết dữ liệu. 3.2.1.1 Cấu trúc gói của L2F 1 bit 1 bit 1 bit 1 bit 8 bit 1 bit 3 bit 8 bit 8 bit F K P S Reserved C Version Protocol Sequence Multiplex ID Client ID Length Offset Key Data Checksums Hình 3.4: Khuôn dạng gói của L2F 3.2.1.2 Ưu nhược điểm của L2F - Ưu điểm : + Cho phép thiết lập đường hầm đa giao thức + Được cung cấp bởi nhiều nhà cung cấp - Nhược điểm: + Không có mã hóa + Yếu trong việc xác thực người dùng 61 + Không có điều khiển luồng cho đường hầm 3.2.2 Thực hiện L2F L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền qua một mạng. L2F sử dụng các thiết bị: - NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (Remote client) và Gateway home. - Tunnel: Định hướng đường đi giữa NAS và Home Gateway. - Home Gateway: Ngang hàng với NAS. - Kết nối: Là một kết nối PPP trong đường hầm. Trong CLI, một kết nối L2F được xem như là một phiên. - Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong trường hợp này thì Home gateway là điểm đích. Hình 3.5: Mô hình L2F Hoạt động của L2F Hoạt động của L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và phiên làm việc. Ví dụ minh họa hoạt động của L2F: - Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP. 62 - Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol). - NAS sử dụng cơ sở dữ liệu cục bộ liên quan đến vùng (Domain Name) hay nhận thực Radius để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F. - Nếu có người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của Gateway đích. - Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới Gateway đích để chống lại sự tấn công bởi những kẻ thứ ba. - Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiên PPP từ người sử dụng ở xa tới Home Gateway. Kết nối này được thiết lập như sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và NAS. Home Gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng. - Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm. - Tại Home Gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới mạng công ty. 3.2.2 Giao thức đường hầm điểm điểm - PPTP Giao thức đường hầm điểm – điểm PPTP được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend, Microsoft, ECI Telematicsunication và US Robotic. Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ. Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho 63 phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, TBEUI. Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn đó là mã hoá điểm – điểm MPPE (Microsoft Point – to – Point Encryption) để sử dụng cho PPTP. 3.2.2.1 PPP và PPTP PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp. Đặc biệt PPP định nghĩa hai bộ giao thức: giao thức điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối. Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau. PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm – điểm từ máy gửi đến máy nhận. Để việc truyền dữ liệu có thể diễn ra thì mỗi PPP phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu. Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực. Đây là giai đoạn tùy chọn trong PPP, tuy nhiên, nó luôn luôn được cung cấp bởi các ISP. Việc xác thực được thực hiện bởi PAP hay CHAP. Với PAP mật khẩu dược gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là một phương thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge value) duy nhất và không thể đoán trước được. CHAP phát ra giá trị thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình thế bị tấn công. PPTP sử dụng PPP để thực hiện các chức năng sau: - Thiết lập và kết thúc kết nối vật lý. - Xác thực người dùng. 64 - Tạo các gói dữ liệu PPP. PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa 2 loại gói: Gói điều khiển; Gói dữ liệu và gán chúng vào 2 kênh riêng là kênh điều khiển và kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sử dụng để truyền thông báo điều khiển. Các gói dữ liệu là dữ liệu thường của người dùng. Các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa client PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm. Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng từ xa hay nằm tại máy chủ của ISP. Đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm. PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói. 3.2.2.2 Cấu trúc gói của PPTP - Đóng gói dữ liệu đường hầm PPTP Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung PPP, đóng gói các GRE, đóng gói lớp liên kết dữ liệu. Cấu trúc gói dữ liệu đã được đóng gói Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề GRE Tiêu đề PPP Tải PPP được mã hóa (IP, IPX, NETBEUI) Phần đuôi liên kết dữ liệu 65 Hình 3.6: Cấu trúc gói dữ liệu trong đường hầm PPTP + Đóng gói khung PPP: Phần trải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE. Đối với PPTP phần tiêu đề của GRE được sửa đổi một số điểm sau: + Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit. + Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc gọi Call ID được thiết lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP. + Một trường xác nhận dài 32 bit được đưa vào. GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP. - Đóng gói các gói GRE Tiếp đó, phần tải PPP đã được mã hóa và phần tiêu đề GRE được đóng gói với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server. - Đóng gói lớp liên kết dữ liệu Do đường hầm của PPTP hoạt động ở lớp 2 – lớp liên kết dữ liệu trong mô hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ: Nếu IP datagram được gửi qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet. Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói với phần Header và Trailer của giao thức PPP. - Xử lý dữ liệu đường hầm PPTP 66 Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ thực hiện các bước xử lý: + Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu. + Xử lý và loại bỏ IP Header. + Xử lý và loại bỏ GRE Header và PPP Header. + Giải mã hoặc giải nén phần PPP Payload nếu cần. + Xử ls phần Payload để nhận hoặc chuyển tiếp. Hình 3.7 : Sơ đồ đóng gói PPTP IP IPX NetBEUI NDISWAN Async L2PT PPTP ISD N X.25 67 3.2.2.3 Đường hầm PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đường hầm khác nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ngay tại máy tính của mình nếu có cái PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP). Có 2 lớp đường hầm: Đường hầm tự nguyện và đường hầm bắt buộc. Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng. Khi sử dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình thường. Đường hầm tự nguyện thường dùng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi qua Internet. Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng. Điểm kết thúc của đường hầm bắt buộc nằm ở máy chủ truy cập từ xa. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông qua RAS. Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truy cập phần còn lại của Internet nên nó điều khiển truy cập tốt hơn so với đường hầm tự nguyện. Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho phép họ truyền thông qua Internet để truy cập VPN. Một ưu điểm nữa của đường hầm bắt buộc là một đường hầm có nhiều điểm kết nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc. Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng nằm ngoài đường hầm nên dễ bị tấn công. 68 Hình 3.8: Đường hầm bắt buộc và đường hầm tự nguyện Sử dụng Radius để cung cấp đường hầm bắt buộc và có một vài ưu điểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài (Token) hay thẻ thông minh (Smart Card). 3.2.3 Giao thức đường hầm lớp 2 – L2TP Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F – chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF. Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập. L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một mạng ATM hay Frame Relay có thể áp dụng cho đường hầm L2TP. 69 Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS. 3.2.2.1 Dạng thức của L2TP Các thành phần chức năng của L2TP bao gồm: giao thức điểm – điểm, đường hầm, hệ thống xác thực và mã hoá. L2TP có thể sử dụng quản lý khoá để tăng thêm độ bảo mật. Kiến trúc của L2TP như hình vẽ: Hình 3.9 : Kiến trúc của L2TP 3.2.3.2 Cấu trúc gói dữ liệu L2TP - Đóng gói dữ liệu đường hầm L2TP Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói. Cấu trúc cuối cùng của dữ liệu đường hầm L2TP trên nền IPSec được thể hiện qua hình vẽ dưới đây: Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề ESP IPSec Tiêu đề UDP Tiêu đề L2TP Tiêu đề PPP Tiêu đề PPP(IP, IPX,Net BEUI) Phần đuôi ESP IPSec Phần đuôi nhận thực ESP IPSec Phần đuôi liên kết dữ liệu Được mã hóa Được xác thực Hình 3.10 : Cấu trúc gói dữ liệu trong đường hầm L2TP 70 Do đường hầm L2TP hoạt động ở lớp 2 của mô