Tweet
Để bảo mật các tài nguyên trên mạng, hệ thống mạng bằng cách nào đó phải được chia thành 2 vùng, vùng trusted và vùng untrusted. Vùng tin cậy còn được gọi là vùng security domain, tất cả những gì bên trong miền an toàn được bảo vệ khỏi những gì ở bên ngoài miền.
Một ví dụ đơn giản, một công ty A muốn bảo mật thông tin nội bộ khỏi môi trường internet thì công ty A phải được đặt trong vùng security domain như hình minh họa.
Hình 1. 1Một domain security đơn giản
Cách hiệu quả nhất để triển khai vùng security domain là đặt firewall ở biên giữa vùng trusted và vùng untrusted như hình minh họa.
Hình 1. 2Triển khai security domain với firewall
Firewall là thiết bị thực thi các chính sách điều khiển truy cập giữa 2 hay nhiều vùng security domain. Firewall có các interface kết nối vào mạng để các traffic khi đi qua biên của cùng security domain phải đi qua firewall. Nói cách khác, firewall là con đường duy nhất đi ra và đi vào vùng security domain.
Để bảo mật vùng security domain được an toàn, trước tiên phải đảm bảo 2 điều kiện sau:
Firewall phải là con đường duy nhất đi vào và đi ra vùng security domain, không có bất kỳ con đường nào khác ngoài firewall thì mới có thể thực thi chính sách bảo mật khi traffic đi qua nó.
Firewall phải được gia cố để ngăn chặn tấn công, nếu không firewall sẽ bị điều khiển và làm thay đổi chính sách bảo mật từ bên ngoài vùng untrusted.
Đôi khi, một vùng domain security với một firewall là không đủ. Giả sử, công ty muốn bảo mật data center. Công ty A tin tưởng nhân viên thực hiện các chức năng công việc của họ, nhưng không muốn để ai khác truy cập vào tài nguyên quan trọng hay làm gián đoạn dịch vụ trong data center. Cho nên, công ty A quyết định tạo thêm vùng security domain cho data center như hình minh họa.
Hình 1. 3Nhiều vùng security domain và firewall
Mỗi vùng security domain được triển khai với 1 firewall biên. Bên trong vùng security domain là các tài nguyên tin cậy, và bên ngoài là những gì không tin cậy. Tuy nhiên, khi xem xét firewall biên của vùng data center, các user bên ngoài vùng data center đều không được tin cậy, nhưng các user này vẫn được tin cậy đối với firewall biên của internet. Mỗi firewall đều có các chính sách bảo mật và khái niệm riêng của firewall biên về vùng tin cậy.
Công ty A muốn cho phép các user trong công ty truy internet, trong khi đó công ty A cũng có web server cho phép các user bên ngoài internet truy cập vào với mục đích công việc kinh doanh.
Nếu đặt Web server ở 1 nơi nào đó bên trong vùng security domain, thì các user bên ngoài phải được cấp quyền để truy cập vào web server. Vì web server là tài nguyên tin cậy, nên khi bị tấn công, người dùng bên ngoài sẽ lợi dụng web server này để tấn công các tài nguyên tin cậy khác.
Một giải pháp tối ưu hơn là đặt web server vào giữa vùng trust và vùng untrusted, vùng này còn gọi là vùng DMZ, với giải pháp này, firewall đóng vai trò như biên giới giữa 3 vùng, vùng trust, vùng untrusted và vùng DMZ với 3 cổng interface với hình minh họa sau:
Hình 1. 4Sử dụng 1 firewall để tạo nhiều vùng security domain
Có 2 cách chia vùng security domain: cách chia vật lý và cách chia logic.
Cách chia vật lý yêu cầu mỗi cổng interface trên firewall phải được kết nối đến mỗi một hạ tầng mạng riêng biệt, việc này đòi hỏi phải tốn kém thêm phần cứng và chi phí lắp đặt.
Hình minh họa cho thấy, mỗi cổng interface trên firewall được nối vào mỗi một switch khác nhau, cách chia vật lý này có tính bảo mật cao nhất vì traffic sẽ không qua được vùng security domain mà không có sự can thiệp của một số loại thiết bị vật lý.
Hình 1. 5Cách chia vật lý
Cách chia logic cho phép chia security domain trên cùng một hạ tầng mạng và được chia logic thành các VLANs khác nhau, cách chia này tiết kiệm chi phí hơn, nhưng bảo mật kém hơn vì lỗi cấu hình hay lỗi cổng logical.
Hình minh họa cho thấy, firewall chia security domain trên cùng một switch với hai VLANs khác nhau.
Hình 1. 6cách chia logic
Công nghệ của firewall
Về cơ bản, firewall cô lập các cổng interface với nhau để điều khiển các gói tin chuyển tiếp từ cổng này đến cổng khác.
Firewall có thể thực thi việc điều khiển truy cập dựa trên các tầng trong mô hình OSI.
Ví dụ, firewall thực hiện điều khiển truy cập ở tầng network có thể kiểm soát việc truy cập từ tầng 2 đến tầng 4, firewall sẽ thực hiện kiểm tra traffic có thể đi qua hay không, hay các host ở bên này có thể mở kết nối TCP/UDP truy cập tài nguyên ở bên kia hay không.
Trường hợp firewall thực hiện điều khiển truy cập ở tầng application sẽ thực thi chính sách bảo mật từ tầng 5 đến tầng 7, firewall sẽ kiểm soát người dùng ứng dụng mạng trong việc gửi dữ liệu từ nơi này sang nơi khác. Ví dụ, firewall ở tầng này có thể thực thi việc kiểm tra các phiên duyệt web có phù hợp với các chuẩn giao thức hay không, hay người dùng email thực hiện gửi file có chứa virus hay không, nội dung email có được bảo mật hay không.
Firewall có hai phương thức điều khiển truy cập sau:
Permission access control còn được gọi là phương thức điều khiển truy cập phản ứng reactive, phương thức này có thể chặn các traffic sau khi các mối đe dọa tiềm tàng được xác định, nếu không tất cả các traffic đều được cho phép đi qua và thường được áp dụng trên IPS, và hệ thống antivirus theo thời gian thực.
Restrictive access control còn được gọi là phương thức điều khiển truy cập chủ động proactive. Mặc định, tất cả traffic sẽ bị chặn, nếu traffic nào muốn đi qua phải được xác định trước. Phương thức này thường được sử dụng bởi access-list, các quy luật trong access-list được xử lý theo trình tự và luôn kết thúc với quy luật cấm tất cả.
Firewall có thể sử dụng hai phương thức truy cập trên để lọc traffic với những công nghệ lọc gói tin sau đây:
Stateless packet filtering
Một vài firewall kiểm tra các traffic chỉ dựa trên các giá trị tìm được trong tiêu đề ở tầng 3 hay tầng 4. Việc quyết định gói tin được chuyển tiếp hay bị chặn được thực hiện một cách độc lập trên mỗi gói tin. Vì vậy, firewall không có khái niệm về trạng thái kết nối của gói tin mà chỉ kiểm tra xem mỗi gói tin có khớp với các quy luật trong chính sách bảo mật hay không.
Stateful packet filtering
Firewall có khả năng theo dõi trạng thái kết nối của gói tin và lưu những thông tin kết nối vào bảng trạng thái kết nối, do đó, firewall phải theo dõi các traffic ở tầng 4 để theo dõi các phiên truy cập mới ở trạng thái được thiết lập.
Stateful packet filtering with application inspection and control
Firewall có thêm tính năng phân tích gói tin ở tầng 7. Cơ chế kiểm tra cho phép kiểm soát gói tin đi qua dựa trên phần tiêu đề và nội dung ở tầng 7 cho phép quan sát rõ hơn việc truy cập của người dùng do đó firewall phải tốn RAM nhiều hơn.
Network instrusion prevention system
Một ví dụ đơn giản, một công ty A muốn bảo mật thông tin nội bộ khỏi môi trường internet thì công ty A phải được đặt trong vùng security domain như hình minh họa.
Hình 1. 1Một domain security đơn giản
Cách hiệu quả nhất để triển khai vùng security domain là đặt firewall ở biên giữa vùng trusted và vùng untrusted như hình minh họa.
Hình 1. 2Triển khai security domain với firewall
Firewall là thiết bị thực thi các chính sách điều khiển truy cập giữa 2 hay nhiều vùng security domain. Firewall có các interface kết nối vào mạng để các traffic khi đi qua biên của cùng security domain phải đi qua firewall. Nói cách khác, firewall là con đường duy nhất đi ra và đi vào vùng security domain.
Để bảo mật vùng security domain được an toàn, trước tiên phải đảm bảo 2 điều kiện sau:
Firewall phải là con đường duy nhất đi vào và đi ra vùng security domain, không có bất kỳ con đường nào khác ngoài firewall thì mới có thể thực thi chính sách bảo mật khi traffic đi qua nó.
Firewall phải được gia cố để ngăn chặn tấn công, nếu không firewall sẽ bị điều khiển và làm thay đổi chính sách bảo mật từ bên ngoài vùng untrusted.
Đôi khi, một vùng domain security với một firewall là không đủ. Giả sử, công ty muốn bảo mật data center. Công ty A tin tưởng nhân viên thực hiện các chức năng công việc của họ, nhưng không muốn để ai khác truy cập vào tài nguyên quan trọng hay làm gián đoạn dịch vụ trong data center. Cho nên, công ty A quyết định tạo thêm vùng security domain cho data center như hình minh họa.
Hình 1. 3Nhiều vùng security domain và firewall
Mỗi vùng security domain được triển khai với 1 firewall biên. Bên trong vùng security domain là các tài nguyên tin cậy, và bên ngoài là những gì không tin cậy. Tuy nhiên, khi xem xét firewall biên của vùng data center, các user bên ngoài vùng data center đều không được tin cậy, nhưng các user này vẫn được tin cậy đối với firewall biên của internet. Mỗi firewall đều có các chính sách bảo mật và khái niệm riêng của firewall biên về vùng tin cậy.
Công ty A muốn cho phép các user trong công ty truy internet, trong khi đó công ty A cũng có web server cho phép các user bên ngoài internet truy cập vào với mục đích công việc kinh doanh.
Nếu đặt Web server ở 1 nơi nào đó bên trong vùng security domain, thì các user bên ngoài phải được cấp quyền để truy cập vào web server. Vì web server là tài nguyên tin cậy, nên khi bị tấn công, người dùng bên ngoài sẽ lợi dụng web server này để tấn công các tài nguyên tin cậy khác.
Một giải pháp tối ưu hơn là đặt web server vào giữa vùng trust và vùng untrusted, vùng này còn gọi là vùng DMZ, với giải pháp này, firewall đóng vai trò như biên giới giữa 3 vùng, vùng trust, vùng untrusted và vùng DMZ với 3 cổng interface với hình minh họa sau:
Hình 1. 4Sử dụng 1 firewall để tạo nhiều vùng security domain
Có 2 cách chia vùng security domain: cách chia vật lý và cách chia logic.
Cách chia vật lý yêu cầu mỗi cổng interface trên firewall phải được kết nối đến mỗi một hạ tầng mạng riêng biệt, việc này đòi hỏi phải tốn kém thêm phần cứng và chi phí lắp đặt.
Hình minh họa cho thấy, mỗi cổng interface trên firewall được nối vào mỗi một switch khác nhau, cách chia vật lý này có tính bảo mật cao nhất vì traffic sẽ không qua được vùng security domain mà không có sự can thiệp của một số loại thiết bị vật lý.
Hình 1. 5Cách chia vật lý
Cách chia logic cho phép chia security domain trên cùng một hạ tầng mạng và được chia logic thành các VLANs khác nhau, cách chia này tiết kiệm chi phí hơn, nhưng bảo mật kém hơn vì lỗi cấu hình hay lỗi cổng logical.
Hình minh họa cho thấy, firewall chia security domain trên cùng một switch với hai VLANs khác nhau.
Hình 1. 6cách chia logic
Công nghệ của firewall
Về cơ bản, firewall cô lập các cổng interface với nhau để điều khiển các gói tin chuyển tiếp từ cổng này đến cổng khác.
Firewall có thể thực thi việc điều khiển truy cập dựa trên các tầng trong mô hình OSI.
Ví dụ, firewall thực hiện điều khiển truy cập ở tầng network có thể kiểm soát việc truy cập từ tầng 2 đến tầng 4, firewall sẽ thực hiện kiểm tra traffic có thể đi qua hay không, hay các host ở bên này có thể mở kết nối TCP/UDP truy cập tài nguyên ở bên kia hay không.
Trường hợp firewall thực hiện điều khiển truy cập ở tầng application sẽ thực thi chính sách bảo mật từ tầng 5 đến tầng 7, firewall sẽ kiểm soát người dùng ứng dụng mạng trong việc gửi dữ liệu từ nơi này sang nơi khác. Ví dụ, firewall ở tầng này có thể thực thi việc kiểm tra các phiên duyệt web có phù hợp với các chuẩn giao thức hay không, hay người dùng email thực hiện gửi file có chứa virus hay không, nội dung email có được bảo mật hay không.
Firewall có hai phương thức điều khiển truy cập sau:
Permission access control còn được gọi là phương thức điều khiển truy cập phản ứng reactive, phương thức này có thể chặn các traffic sau khi các mối đe dọa tiềm tàng được xác định, nếu không tất cả các traffic đều được cho phép đi qua và thường được áp dụng trên IPS, và hệ thống antivirus theo thời gian thực.
Restrictive access control còn được gọi là phương thức điều khiển truy cập chủ động proactive. Mặc định, tất cả traffic sẽ bị chặn, nếu traffic nào muốn đi qua phải được xác định trước. Phương thức này thường được sử dụng bởi access-list, các quy luật trong access-list được xử lý theo trình tự và luôn kết thúc với quy luật cấm tất cả.
Firewall có thể sử dụng hai phương thức truy cập trên để lọc traffic với những công nghệ lọc gói tin sau đây:
Stateless packet filtering
Một vài firewall kiểm tra các traffic chỉ dựa trên các giá trị tìm được trong tiêu đề ở tầng 3 hay tầng 4. Việc quyết định gói tin được chuyển tiếp hay bị chặn được thực hiện một cách độc lập trên mỗi gói tin. Vì vậy, firewall không có khái niệm về trạng thái kết nối của gói tin mà chỉ kiểm tra xem mỗi gói tin có khớp với các quy luật trong chính sách bảo mật hay không.
| Tính năng | Hạn chế |
| Các quy luật được cấu hình tĩnh. | Các quy luật được cấu hình thủ công. |
| Hoạt động hiệu quả ở tầng 3 với địa chỉ IP và ở tầng 4 với các cổng kết nối. | Không hỗ trợ theo dõi việc thương lượng động. |
| Tiết kiệm chi phí. | Dễ bị tấn cống. |
Firewall có khả năng theo dõi trạng thái kết nối của gói tin và lưu những thông tin kết nối vào bảng trạng thái kết nối, do đó, firewall phải theo dõi các traffic ở tầng 4 để theo dõi các phiên truy cập mới ở trạng thái được thiết lập.
| Tính năng | Hạn chế |
| Lọc traffic ở tầng 3 và tầng 4. | Không thấy được tầng 5 thông qua tầng 7. |
| Cấu hình đơn giản. | ---- |
| Hiệu suất cao. | Không kiểm tra giao thức. |
Firewall có thêm tính năng phân tích gói tin ở tầng 7. Cơ chế kiểm tra cho phép kiểm soát gói tin đi qua dựa trên phần tiêu đề và nội dung ở tầng 7 cho phép quan sát rõ hơn việc truy cập của người dùng do đó firewall phải tốn RAM nhiều hơn.
| Tính năng | Hạn chế |
| Lọc traffic ở tầng 3 thông qua tầng 7. | Bộ nhớ đệm cho việc phân tích ứng dụng rất hạn chế. |
| Cấu hình đơn giản | ---- |
| Hiệu suất trung bình | Tốn điện nhiều hơn cho việc xử lý. |
Comment