an ninh mang

Tổng quan về an ninh mạng Nhằm cung cấp những kiến thức cơ sở, nền tảng hệ thống về sản phẩm công nghệ an ninh mạng, với sự cộng tác của các nhà kỹ thuật, các nhà cung cấp giải pháp, công nghệ an ninh mạng và Tập đoàn an ninh mạng quốc tế Juniper Networks, Tạp chí Tin học Ngân hàng xin giới thiệu về Hệ thống an ninh mạng. Tường lửa - Điều khiển truy nhập Tường lửa cho phép điều khiển truy nhập, đưa ra quyết định đồng ý hoặc từ chối người sử dụng và lưu lượng đi vào hoặc đi ra khỏi mạng trên cơ sở những chính sách truy nhập được đinh nghĩa bởi nhà quản trị mạng. Tường lửa có thể được sử dụng để xác nhận người sử dụng nhằm đảm bảo chắc chắn rằng họ đúng là người như họ đã khai báo trước khi cấp phép truy nhập tài nguyên mạng. Tường lửa còn được sử dụng để phân chia mạng thành những phân đoạn mạng và thiết lập nhiều tầng an ninh khác nhau trên các phân đoạn mạng khác nhau để có thể đảm bảo rằng những tài nguyên quan trọng hơn sẽ được bảo vệ tốt hơn đồng thời tường lửa còn có thể chặn lưu lượng và chỉ cho phép chúng đến những nơi chúng được phép đến. Các giải pháp tích hợp tường lửa/IPSec và sử dụng phương pháp Điều tra Stateful (Stateful Inspection) để phân tích các gói lưu lượng và đưa ra quyết định cho phép hoặc từ chối lưu lượng đi vào/đi ra khỏi mạng lưới. 1. Tường lửa Kiểm tra Stateful Tường lửa Kiểm tra Stateful - - Stateful Inspection Firewall (SIF) để thu thập nhiều thông tin khác nhau trong đoạn mã mào đầu (header) của các gói lưu lượng, như: địa chỉ IP của nguồn và đích, số hiệu của cổng nguồn và cổng đích, số thứ tự của gói trong luồng lưu lượng, vv… và duy trì “trạng thái” của mỗi phiên TCP hoặc UDP đi qua tường lửa. Khi có một gói đi tới, tường lửa SIF sẽ so sánh thông tin chứa trong đoạn mã mào đầu của gói đó với trạng thái của phiên làm việc tương ứng được lưu trong bảng phân tích. Nếu các thông tin trùng khớp nhau, gói lưu lượng đó sẽ được phép đi qua tường lửa. Ngược lại, nếu các thông tin không trùng khớp nhau, gói lưu lượng đó sẽ bị loại bỏ. Tường lửa SIF đảm bảo an ninh cho mạng bằng cách phân tích thông tin về gói lưu lượng và căn cứ kết quả phân tích để ra quyết định cho phép hoặc từ chối các kết nối qua một giao diện từ/đến một mạng truyền thông. Theo mặc định, mạng riêng ảo IPSec tích hợp tường lửa SIF được thiết lập trong chế độ chặn lưu lượng đến từ tất cả các hướng. Bằng cách sử dụng hệ thống quản lý tập trung, dựa trên chính sách policy-based, nhà quản trị mạng có thể xây dựng một danh mục các chính sách an ninh mạng để điều khiển luồng lưu lượng từ mạng này đến mạng khác thông qua định nghĩa những dạng lưu lượng được phép đi từ những nguồn cụ thể đến những đích cụ thể trong những khung thời gian nhất định. Với một chính sách an ninh cởi mở nhất, tất cả các dạng lưu lượng được phép đi từ một nguồn bất kỳ đến bất kỳ đích nào trong tất cả các khu vực khác và không hề bị điều chỉnh bởi bất cứ yếu tố nào. Trong một chính sách an ninh ngặt nghèo nhất, các nguyên tắc được đặt ra để chỉ cho phép duy nhất một dạng lưu lượng giữa một máy cụ thể trong một vùng này với một máy cụ thể khác trong một vùng khác, theo một khung thời gian xác định. Ưu điểm của tường lửa SIF - - So với lọc gói (packet filtering), tường lửa SIF có mức độ an toàn cao hơn, bởi vì nó chỉ mở ra những “lỗ” nhỏ hơn để lưu lượng đi qua. Ví dụ, thay vì cho phép bất kỳ máy tính hoặc chương trình nào gửi bất kỳ dữ liệu nào trên cổng 80, một tường lửa SIF sẽ phải đảm bảo rằng các gói dữ liệu đang được truyền tải thuộc về một phiên làm việc nào đó. Hơn nữa, nó còn có thể thực hiện xác nhận người sử dụng khi phiên làm việc bắt đầu được thiết lập, xác định xem các gói lưu lượng có thực sự là lưu lượng HTTP hay không và tăng cường những hạn chế an ninh trong lớp ứng dụng (ví dụ như lọc URL để từ chối truy nhập đến các website “đen”). So với máy chủ Proxy, tường lửa SIF có mức độ an toàn cao. Các máy chủ proxy các máy chủ an ninh sẽ thực hiện ngắt tất cả các kết nối và kiểm soát tất cả các lưu lượng truyền thông giữa máy trạm và máy chủ sau đó đưa ra quyết định xem loại lưu lượng nào được phép đi qua. Công nghệ này thuần tuý thực hiện theo kiến trúc máy chủ-máy trạm và rất nhạy cảm với năng lực xử lý của thiết bị do đó rất khó có thể đạt tốc độ xử lý đến thông lượng cỡ giga bit, trong khi thực tế lại có rất nhiều ứng dụng và phân đoạn mạng đòi hỏi thiết bị an ninh mạng phải có khả năng xử lý lưu lượng ở tốc độ này. Một trong những phụ phẩm của việc triển khai máy chủ proxy là chúng có khả năng hiểu được logic ứng dụng và có thể chấp nhận hoặc từ chối lưu lượng dựa trên thông tin về ứng dụng. Ngược lại, tường lửa SIF chỉ đơn thuần tập trung vào xử lý lưu lượng ở lớp mạng. Hạn chế của máy chủ proxy là ở chỗ nó yêu cầu phải triển khai theo kiến trúc máy chủ máy trạm, trong khi những phần của ứng dụng biểu thị mục đích của lưu lượng mới là nền tảng để xây dựng nên phương thức Kiểm tra sâu (Deep Inspection-DIF) và công nghệ ngăn chặn xâm nhập. Do đó các giải pháp an ninh mạng sử dụng máy chủ proxy chỉ giới hạn ở một số các giao thức ứng dụng mà nó có thể hỗ trợ bởi vì để có thể chống tấn công trên một giao thức ứng dụng yêu cầu máy chủ proxy phải hiểu được và thực hiện được tất cả mọi chi tiết của giao thức đó. Một yếu tố làm tăng độ phức tạp của máy chủ an ninh proxy là mỗi nhà sản xuất thiết bị đều thực hiện các giao thức với những thay đổi nhỏ trong nội dung các giao thức ấy. Điều đó dẫn đến việc tích hợp các giao thức mới vào các giải pháp bảo vệ an ninh bằng máy chủ proxy sẽ rất chậm chạp và rất khó có thể định cỡ thiết bị cho phù hợp với những mạng khác nhau. Hơn nữa, độ trễ do phải kiểm soát cả kết nối máy chủ và kết nối máy trạm sẽ làm giảm chất lượng mạng đáng kể. Một hạn chế nữa trong triển khai thiết bị theo kiến trúc máy chủ/máy trạm là hệ thống không chịu đựng được tỷ lệ lỗi cao, vì thể rất khó xây dựng các kiến trúc mạng có độ khả dụng cao. Việc triển khai ứng dụng diện rộng trên toàn mạng là rất khó và vì thế tạo ra những lỗ hổng an ninh. Máy chủ proxy được lắp đặt và làm việc trong khu vực người sử dụng hoặc ứng dụng. Nó không bao giờ phân tích các gói lưu lượng riêng lẻ, không nhận biết được các thông tin về mạng, thông tin về nội dung của lưu lượng đang được truyền tải trên mạng, do đó máy chủ proxy gần như là không thể thực hiện được các tác vụ phân tích lưu lượng để tìm kiếm, phát hiện tấn công. 2. Kiểm tra sâu (Deep Inspection) Tường lửa DIF dựa trên việc tích hợp những thế mạnh của tường lửa SIF và công nghệ ngăn chặn xâm nhập (intrusion prevention technologies) để tạo nên khả năng bảo vệ ở mức độ ứng dụng tại biên mạng. Do được phát triển dựa trên ưu điểm của cả hai công nghệ tường lửa, tường lửa DIF có thể thực hiện rất hiệu quả các chức năng an ninh mạng cũng như các phép phân tích các gói lưu lượng để đưa ra quyết định chấp nhận hay từ chối lưu lượng. Tường lửa DIF sử dụng khả năng hiểu biết sâu về ứng dụng để phân tích lưu lượng và dựa trên kết quả phân tích đưa ra các quyết định điều khiển truy nhập căn cứ vào mục đích của lưu lượng. Thường được sử dụng ở biên mạng, tường lửa DIF tập trung ngăn chặn những tấn công trên lớp ứng dụng, nhắm vào các ứng dụng Internet như Web, e-mail, FTP và DNS. Tường lửa DIF loại bỏ hiện tượng mập mờ về ứng dụng, thực hiện phân đoạn, tái ghép, tẩy rửa và danh định hoá để chuyển đổi các gói lưu lượng mạng thành các gói tin lớp ứng dụng truyền tải giữa máy trạm và máy chủ. Tường lửa DIF sau đó sẽ tìm kiếm sự tương thích về giao thức và tách dữ liệu từ những “trường dịch vụ” trong ứng dụng, những nơi nhạy cảm với tấn công và áp dụng so sánh mẫu tấn công. Sau đó nó sẽ quyết định chấp nhận hoặc từ chối lưu lượng dựa trên những bất thường về giao thức hoặc bất kỳ một mẫu tấn công nào tồn tại trong những “trường dịch vụ” của các ứng dụng này. Tường lửa DIF có thể chặn những tấn công lớp ứng dụng tại các cổng Internet và nhờ có tường lửa DIF những tấn công này không bao giờ phá hoại được đích tấn công. Tường lửa DIF có thể đảm bảo an ninh cho một phần mạng nhỏ nằm trong mạng của một tổ chức, nơi được xem là điểm trọng yếu trong toàn bộ chiến lược an ninh mạng, vì thế giải phóng và cho phép các hệ thống ngăn chặn tấn công, ngăn chặn xâm nhập trái phép tập trung vào phát hiện các dạng tấn công phức tạp trên các phân đoạn mạng có phạm vi rộng hơn. Tường lửa ứng dụng web – WAF (web application firewall), chỉ hỗ trợ duy nhất một giao thức, thường là HTTP và/hoặc HTTPS. Tường lửa WAF thường được triển khai giống như các máy chủ an ninh proxy do đó sẽ hỗ trợ lôgic ứng dụng đầy đủ, bao gồm cả củng cố trường, hiệu lực hoá, kiểm soát kiểu, vv… Về cơ bản, tường lửa WAF mô phỏng ứng dụng ở cả hai phía máy chủ và máy trạm, đóng vai trò kết cuối các kết nối giữa máy chủ và máy trạm và sao chép dữ liệu. Kết quả là tường lửa WAF tạo nên một kiến trúc trong đó triển khai đầy đủ máy chủ và máy trạm và có khả năng bảo đảm rằng ứng dụng sẽ hoạt động phù hợp như mong đợi. Tường lửa WAF phù hợp với các ứng dụng như thương mại điện tử hoặc các ứng dụng web. Tuy nhiên, chúng là máy chủ an ninh proxy nên chất lượng xử lý, khả năng định cỡ và độ khả dụng của tường lửa WAF cũng bị hạn chế. Tường lửa DIF sẽ hỗ trợ tường lửa WAF bằng cách kiểm tra các dạng tấn công HTTP và nó hỗ trợ cả những lưu lượng không phải lưu lượng HTTP như DNS, SMTP, IMAP, vv… để cung cấp những khả năng an ninh nhờ vào khả năng hiểu được ứng dụng cũng như là khả năng cung cấp tất các yếu tố như độ khả dụng và chất lượng cao. 3. Phòng Chống tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (Denial of Service - DoS) hoạt động bằng cách làm quá tải năng lực phục vụ của các tài nguyên mạng, do đó lưu lượng hợp pháp sẽ không thể truy nhập và sử dụng các tài nguyên đó. Tường lửa có thể sử dụng phương pháp Kiểm tra sâu (DI) để phát hiện và cho phép hoặc từ chối tất cả các nỗ lực kết nối đi qua một giao diện nằm trên đường đi đến hoặc đi từ một đích nào đó. Phương pháp kiểm tra Stateful (SI) chỉ là một thành phần cần thiết để chống lại tấn công từ chối dịch vụ, các thành phần bảo vệ khác đều có liên quan đến vấn đề chất lượng, bao gồm cả tốc độ lấy mẫu cao của phiên truy nhập và khả năng xử lý ở mức thông lượng cao. Ví dụ về tấn công từ chối dịch vụ dựa trên tín hiệu đồng bộ SYN và cách thức các mạng riêng ảo tích hợp tường lửa/IPSec phát hiện và ngăn chặn dạng tấn công này: Tấn công tràn đồng bộ (SYN Attack) - Tấn công tràn đồng bộ xảy ra khi một mạng lưới bị tràn bởi các gói tin đồng bộ khởi phát những yêu cầu kết nối vô hiệu và khi đó mạng không còn đủ khả năng xử lý các yêu cầu kết nối hợp pháp, dẫn đến từ chối dịch vụ. Cách thức hoạt động của dạng tấn công này như sau: Một kết nối TCP được thiết lập sau 3 lần trao đổi các gói tin và được gọi là bắt tay 3 chiều (3 way handshaking). Bên A gửi một gói tin SYN đến bên B, bên B phúc đáp bằng một gói tin SYN/ACK, đến lượt bên A phúc đáp trở lại bằng một gói tin ACK. Tấn công tràn đồng bộ sẽ làm tràn một mạng với những gói tin SYN mang địa chỉ IP của những đích không có thực hoặc những đích không thể truyền tải tới được. Nếu trường hợp đó xảy ra, tường lửa sẽ phúc đáp các gói tin SYN bằng các gói SYN/ACK được gửi đến những địa chỉ không có thực và đợi các gói ACK. Bởi vì các gói SYN/ACK được gửi đến những địa chỉ IP không tồn tại, chúng không bao giờ được trả lời bằng các gói ACK và cuối cùng yêu cầu kết nối bị huỷ bỏ do hết thời gian (time-out). Bằng việc làm tràn các máy chủ hoặc máy trạm với những yêu cầu kết nối không bao giờ thực hiện được, cuối cùng kẻ tấn công sẽ làm tràn bộ nhớ của máy chủ. Ngay khi bộ nhớ đệm của máy chủ bị tràn, hệ thống không thể thực hiện được thêm bất cứ kết nối nào và hệ điều hành của máy tính bị tấn công có thể bị phá hỏng. Dưới bất cứ hình thức tấn công nào thì kẻ tấn công đều vô hiệu hoá máy tính và không cho nó hoạt động bình thường. Tấn công tràn đồng bộ được xếp vào loại tấn công từ chối dịch vụ (Denial of Service - DoS). Cách thức bảo vệ chống tấn công tràn đồng bộ của mạng riêng ảo tích hợp tường lửa/IPSec: Thiết bị an ninh mạng có thể ấn định một ngưỡng về số lượng gói tin SYN được phép đi qua tường lửa trong một giây. Khi bắt đầu vượt ngưỡng đó, thiết bị an ninh mạng sẽ kích hoạt chế độ kiểm soát an ninh đối với các gói SYN đầu vào, gửi các đáp ứng SYN/ACK đến máy đầu cuối phát và lưu trữ các kết nối chưa được thực hiện trong một hàng đợi kết nối. Các kết nối chưa được thực hiện sẽ nằm lại trong hàng đợi cho đến khi được hoàn thành hoặc hết khung thời gian cho phép (time-out). (còn nữa)