Firewall (tiếp)
DeMilitarized Zone (DMZ)
IOS zone-based firewalls là một bộ quy tắc cụ thể, giúp giảm thiểu các cuộc tấn công bảo mật cấp trung bình trong môi trường mà bảo mật được thực hiện qua bộ định tuyến. Trong zone-based firewalls (ZBF), các giao diện của thiết bị được đặt trong các vùng riêng biệt như (bên trong, bên ngoài hoặc DMZ) và áp dụng các chính sách trên khu vực đó. Quy ước đặt tên cho các khu vực phải dễ hiểu để hữu ích vào lúc khắc phục sự cố.
ZBFs cũng sử dụng tính năng lọc trạng thái, nghĩa là nếu quy tắc được xác định để cho phép lưu lượng truy cập gốc từ một vùng, chẳng hạn như bên trong đến một vùng khác như DMZ, thì lưu lượng truy cập trở lại sẽ tự động được cho phép. Có thể cho phép lưu lượng truy cập từ các khu vực khác nhau bằng các chính sách cho phép lưu lượng truy cập theo cách riêng.
Ưu điểm của việc áp dụng các chính sách trên vùng thay vì giao diện là khi có bất cứ yêu cầu thay đổi mới ở cấp giao diện, thì chỉ cần xóa hoặc thêm giao diện trong vùng cụ thể sẽ tự động áp dụng các chính sách trên đó.
ZBF có thể sử dụng bộ tính năng sau để triển khai:
- Kiểm tra trạng thái
- Lọc gói tin
- Lọc URL
- Tường lửa trong suốt
- Chuyển tiếp định tuyến ảo (VRF)
Các loại tường lửa
Tường lửa lọc gói tin
Packet Filtering Firewall bao gồm việc sử dụng danh sách truy cập để cho phép hoặc từ chối lưu lượng truy cập dựa trên thông tin lớp 3 và lớp 4. Bất cứ khi nào một gói truy cập vào giao diện của thiết bị lớp 3 được định cấu hình ACL, nó sẽ kiểm tra sự trùng khớp trong ACL (bắt đầu từ dòng đầu tiên của ACL).
Sử dụng ACL mở rộng trong thiết bị Cisco, thông tin sau có thể được sử dụng để khớp với lưu lượng truy cập:
- Địa chỉ nguồn
- Địa chỉ đích
- Cổng nguồn
- Cổng đích
- Một số tính năng bổ sung như phiên thiết lập TCP, v.v.
| Ưu điểm | Nhược điểm |
| Dễ dàng thực hiện bằng cách sử dụng các tuyên bố cho phép và từ chối | Không thể giảm thiểu các cuộc tấn công giả mạo IP. Kẻ tấn công có thể xâm phạm tài sản kỹ thuật số bằng cách giả mạo địa chỉ nguồn IP thành một trong các tuyên bố cấp phép trong ACL |
| Ít sử dụng CPU hơn so với các kỹ thuật kiểm tra gói tin sâu | Khó duy trì khi kích thước ACLS tăng lên |
| Có thể định cấu hình trên hầu hết mọi Cisco IOS | Không thể triển khai lọc dựa trên trạng thái phiên |
| Ngay cả một thiết bị tầm trung cũng có thể thực hiện lọc dựa trên ACL | Các tình huống sử dụng cổng động, một loạt các cổng sẽ được yêu cầu mở trong ACL và có thể bị kẻ xấu sử dụng |
Tường lửa cổng cấp độ mạch
Circuit Level gateway firewall hoạt động ở lớp phiên của mô hình OSI. Nó nắm bắt gói tin để giám sát TCP Handshaking, để xác nhận xem các phiên có hợp lệ hay không. Các gói được chuyển tiếp đến đích từ xa thông qua Circuit Level gateway firewall dường như bắt nguồn từ cổng.
Tường lửa cấp ứng dụng
Tường lửa mức ứng dụng có thể hoạt động ở lớp 3 đến lớp 7 của mô hình OSI. Thông thường, một phần mềm chuyên dụng hoặc mã nguồn mở chạy trên máy chủ cao cấp đóng vai trò trung gian giữa máy khách và địa chỉ đích.
Các tường lửa này có thể hoạt động đến lớp 7, nên có thể kiểm soát chi tiết hơn các gói di chuyển vào và ra khỏi mạng. Tương tự, kẻ tấn công sẽ rất khó có được chế độ xem cấu trúc liên kết của mạng bên trong hoặc mạng đáng tin cậy vì các yêu cầu kết nối chấm dứt trên tường lửa Ứng dụng/Proxy.
| Ưu điểm | Nhược điểm |
| Có thể kiểm soát chi tiết lưu lượng bằng cách sử dụng thông tin lên đến lớp 7 của mô hình OSI. | Giống proxy và ứng dụng, tường lửa chạy trong phần mềm. Cần một máy cao cấp để đáp ứng đầy đủ các yêu cầu tính toán. |
| Kết nối gián tiếp giữa các thiết bị đầu cuối làm cho rất khó phát sinh một cuộc tấn công. | Cũng giống như NAT, không phải ứng dụng nào cũng có hỗ trợ tường lửa proxy và có thể cần một số sửa đổi trong kiến trúc ứng dụng hiện tại |
| Có thể ghi nhật ký chi tiết vì mọi phiên đều có tường lửa làm trung gian | Một phần mềm khác có thể được yêu cầu cho tính năng ghi nhật ký cần thêm sức mạnh xử lý. |
| Bất kỳ phần cứng nào có sẵn trên thị trường đều có thể được sử dụng để cài đặt và chạy tường lửa proxy trên đó. | Sức mạnh tính toán và bộ nhớ cao có thể được yêu cầu trong các tình huống khác nhau. |
Tường lửa kiểm tra nhiều lớp trạng thái
Nó lưu trạng thái của các phiên hiện tại trong một bảng được gọi là cơ sở dữ liệu trạng thái. Kiểm tra trạng thái và tường lửa sử dụng kỹ thuật này thường từ chối bất kỳ lưu lượng nào giữa các giao diện đáng tin cậy và không đáng tin cậy.
Bất cứ khi nào thiết bị đầu cuối từ giao diện đáng tin cậy muốn giao tiếp với một số địa chỉ đích được gắn với giao diện không đáng tin cậy của tường lửa, đầu vào sẽ được thực hiện trong một bảng cơ sở dữ liệu trạng thái chứa thông tin lớp 3 và lớp 2.
| Ưu điểm | Nhược điểm |
| Giúp lọc lưu lượng truy cập không mong muốn | Không thể giảm thiểu các cuộc tấn công lớp ứng dụng |
| Có thể được triển khai trên một loạt các bộ định tuyến và tường lửa | Ngoại trừ TCP, các giao thức khác không có thông tin trạng thái được xác định rõ ràng để sử dụng |
| Có thể giúp giảm thiểu các cuộc tấn công từ chối dịch vụ (DDoS) | Một số ứng dụng có thể sử dụng nhiều hơn một cổng để hoạt động. Cần xem xét kiến trúc ứng dụng để hoạt động sau khi triển khai |
Transparent firewalls
Hầu hết các tường lửa đều hoạt động từ lớp 3 trở lên. Tường lửa trong suốt cũng tương tự các kỹ thuật khác, nhưng bản thân các giao diện của nó có bản chất là lớp 2. Địa chỉ IP không được gán cho bất kỳ giao diện nào, hãy nghĩ về nó như một công tắc với các cổng được gán cho một số VLAN.
Địa chỉ IP duy nhất được gán cho tường lửa trong suốt là dành cho mục đích quản lý. Tương tự, vì không có thêm bước nhảy bổ sung giữa các thiết bị đầu cuối, người dùng sẽ không thể biết về bất kỳ thay đổi mới nào cho kiến trúc mạng và các ứng dụng tùy chỉnh có thể hoạt động mà có bất kỳ sự cố nào.
Next Generation FireWalls (NGFW)
NGFW là một thuật ngữ được sử dụng cho các tường lửa thế hệ mới với bộ tính năng nâng cao. Nó cung cấp các tính năng bảo mật chuyên sâu để giảm thiểu các mối đe dọa đã biết và các cuộc tấn công phần mềm độc hại. Một ví dụ là dòng Cisco ASA với các dịch vụ FirePOWER. NGFW cung cấp khả năng hiển thị đầy đủ đối với người dùng mạng, thiết bị di động, máy ảo (VM) với giao tiếp dữ liệu, v.v.
Personal Firewalls
Tường lửa máy tính cá nhân giúp người dùng cuối tránh các cuộc tấn công từ những kẻ xâm nhập. Những bức tường lửa như vậy dường như là hàng rào bảo mật tuyệt vời cho những người dùng thường xuyên kết nối với internet thông qua DSL hoặc modem cáp. Tường lửa cá nhân cung cấp tính năng lọc trong và ngoài, kiểm soát kết nối internet đến và đi từ máy tính (cả trong chế độ domain based và workgroup) và thay đổi người dùng để tránh bất kỳ nỗ lực xâm nhập nào.
Honeypot
Khái niệm
Honeypots là các thiết bị hoặc hệ thống được triển khai để bẫy những kẻ tấn công cố gắng truy cập trái phép vào hệ thống hoặc mạng, được triển khai trong môi trường bị cô lập và giám sát. Thông thường, honeypots được triển khai trong DMZ và định cấu hình giống hệt với máy chủ. Mọi thăm dò, phần mềm độc hại, sự lây nhiễm sẽ được phát hiện ngay lập tức vì honeypots dường như là một phần hợp pháp của mạng.
Các loại Honeypots
High-Interaction Honeypots
Honeypots tương tác cao được cấu hình với nhiều dịch vụ về cơ bản được kích hoạt để làm lãng phí thời gian của kẻ tấn công và thu thập thông tin từ sự xâm nhập này. Nhiều honeypot có thể được triển khai trên một máy vật lý duy nhất để được khôi phục nếu kẻ tấn công đã xâm phạm honeypot.
Low-Interaction Honeypots
Honeypots tương tác thấp được cấu hình để chấp nhận các dịch vụ thường được người dùng yêu cầu. Thời gian phản hồi, ít phức tạp hơn và ít tài nguyên giúp việc triển khai dễ dàng hơn so với honeypot tương tác cao.
Phát hiện Honeypots
Cách cơ bản để phát hiện một honeypot trong mạng là thăm dò dịch vụ. Kẻ tấn công thường tạo ra một gói dữ liệu độc hại để quét các dịch vụ đang chạy trên hệ thống và thông tin các cổng mở và đóng. Các dịch vụ có thể là HTTPS, SMTPS hoặc IMAPS hoặc các dịch vụ khác.
Khi kẻ tấn công trích xuất thông tin, nó có thể cố gắng tạo kết nối, máy chủ thực tế sẽ hoàn tất quá trình bắt tay ba chiều nhưng việc từ chối bắt tay cho thấy sự hiện diện của một honeypot. Các công cụ phát hiện honeypots như:
- Send-Safe Honeypot Hunter
- Nessus
- Hping
