Tổng quan Firewall (Phần 4): Một số kiến trúc Firewall thông dụng

1. Kiến trúc Dual – homed Host

Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual-homed host. Một máy tính được gọi là dual-homed host nếu nó có ít nhât hai network interface, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau, do đó máy tính này đóng vai trò là router mềm. Kiến trúc dual-homed host rất đơn giản, máy dual-homed host ở giữa, một bên được nối với internet va bên còn lại nới với mạng nội bộ (mạng cần được bảo vệ).

Mô hình kiến trúc dual-homed host

Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền (proxy) hoặc cho phép user đăng nhập trực tiếp vào dual-homed host. Mọi giao tiếp từ một host trong nội bộ và host bên ngoài đều bị cấm, dual-homed host là nơi giao tiếp duy nhất.

Ưu điểm của Dual-homed host:

– Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.

– Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do đó trên các hệ điều hành linux chỉ cần cấu hình lại nhân của hệ điều hành là đủ.

Nhược điểm của Dual-homed host:

– Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những phần mềm mới được tung ra trên thị trường.

– Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân của dual-homed host, và khi dual-homed host bị đột nhập nó sẽ trở thành nơi lý tưởng để tấn công vào mạng nội bộ, người tấn công (attacker) sẽ thấy được toàn bộ lưu lượng trên mạng.

Đánh giá về kiến trúc dual-homed host

Để cung cấp dịch vụ cho người sử dụng trong mạng có một số giải pháp như sau:

– Kết hợp với các proxy server cung cấp những proxy service

– Cấp các account cho người sử dụng trên máy dual-homed host, khi người sử dụng muốn sử dụng dịch vụ từ internet hay dịch vụ từ external network thì họ phải đăng nhập bằng username và password được cài sẵn trên dual-homed host.

Nếu dùng proxy server thì khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì không phải dịch vụ nào cũng có phần mềm proxy server và proxy client. Mặc khác, khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống bị giảm xuống vì tất cả các proxy server đều đặt trên cùng một máy.

Nếu dùng phương pháp account cho người sử dụng trên máy dual-homed host thì người sử dụng không thích vì mỗi lần họ muốn sử dụng dịch vụ phải đăng nhập vào máy dual-homed host.

2. Kiến trúc Screened Host

Screened host có cấu trúc ngược lại với cấu trúc dual-homed host. Kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ (basstion host) và một router tách rời với mạng bên ngoài. Kiến trúc này kết hợp hai kỹ thuật đó là packet filtering và proxy service. Packet filtering được cài trên router. Bastion host được đặt bên trong mạng nội bộ và nó là hệ thống duy nhất mà những host trên internet có thể kết nối tới, bất kì một hệ thống bên ngoài nào cố gắn truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Vì thế Bastion host cần được duy trì ở chế độ bảo mật cao, packet filtering cũng cho phép bastion host có thể mở kết nối ra bên ngoài.

image

Mô hình kiến trúc Screened Host

– Packet filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử dụng proxy server, bắng người sử dụng nếu muốn dùng dịch vụ thì phải kết nối đến proxy server mà không được bỏ qua proxy server để kết nối trực tiếp với mạng bên trong/bên ngoài, đồng thời cho phép Bastion host mở một số kết nối tới internel/external host.

– Proxy service: Bastion host sẽ chứa các proxy server để phục vụ một số dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server.

Kiến trúc screened host ưu việt hơn kiến trúc dual-homed host ở một số điểm như sau:

– Dual-homed host: Khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp nhiều dịch vụ, vi phạm quy tắc căn bản là mỗi phần tử hay thành phần nên giữ ít chức năng nếu có thể được, cũng như tốc độ đáp ứng khó có thê cao vì cùng lúc đảm nhận nhiều chức năng.

– Screened host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt. Packet filtering chỉ giữ những chức năng lọc gói nên có thể kiểm soát cũng như khó gây ra lỗi. Proxy server được đặt ở máy khác nên khả năng phục vụ người sử dụng cao hơn ở kiến trúc Dual-homed host.

Tương tự như kiến trúc Dual-homed host, kiến trúc Screened host khi bị đột nhập thành công thì lưu lượng mạng của internal network cũng bị kiểm soát bởi attacker. Từ khuyết điểm chính của hai kiến trúc trên ta có kiến trúc Screened Subnet Host ra đời nhằm giải quyết hai khuyết điểm này.

3. Kiến trúc Screened Subnet Host

Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho Bastion host, tách bastion host khỏi các host khác người ta đưa ra kiến trúc firewall có tên là Screened Subnet Host.

image

Mô hình kiến trúc Screened Subnet Host

Kiến trúc Screened subnet host bắt nguồn từ kiến trúc screened host bằng cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu screened subnet host đơn giản bao gồm hai screened router:

– Router ngoài (Exterior router): Nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi (Bastion host, interior router). Exterior router chống lại những sự tấn công chuẩn như giả mạo địa chỉ IP và điều khiển truy cập tới Bastion host. Quy luật filtering trên router ngoài yêu cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin bắt nguồn từ Bastion host.

– Router trong (Interior router): Nằm giữa mạng ngoại vi va mạng nội bộ nhằm bảo vệ mạng nội bộ và mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa Bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Interior router chỉ cho phép các hệ thống bên trong truy cập Bastion host.

Ưu điểm của Screened Subnet Host:

– Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và Router trong.

– Bởi vì router ngoài chỉ quảng bá Bastion host tới internet nên hệ thống mạng nội bộ không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server).

– Bởi vì router trong chỉ quảng bá Bastion host tới mạng nội bộ nên các hệ thống bên trong mạng nội bộ không thể truy cập trực tiếp tới Internet. Điều này đảm bảo rằng những user bên trong bắt buộc phải truy cập qua Internet qua dịch vụ Proxy.

– Đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh và an toàn cho nhiều người sử dụng đồng thời nâng cao khả năng theo dõi lưu thông của mỗi người sử dụng trong hệ thống và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ thì kiến trúc cơ bản trên là phù hợp.

– Để tăng độ an toàn trong internal network, kiến trúc Screened Subnet Host ở trên sử dụng thêm một dạng ngoại vi (perimeter network) để che phần nào lưu thông bên trong internal network, tách biệt internal network với internet.

Ngoài ra, còn có những kiến trúc biến thể khác như sử dụng nhiều Bastion host, ghép chung router trong và router ngoài, ghép chung Bastion host và router ngoài.

3.1 Sử dụng nhiều Bastion Host

Mô hình này ra đời do các yêu cầu về hiệu năng (performance) và dư thừa (redudancy) cũng như tách biệt các Server khác nhau.

Sử dụng một Bastion host cung cấp những dịch vụ cho người dùng bên trong (internal user) như dịch vụ SNMP, DNS, Proxy Server…

Sử dụng một Bastion host khác cung cấp dịch vụ cho người dùng ngoài Internet hoặc những người dùng bên ngoài (external user), như dịch vụ FTP Server, Web Server…

image

Mô hình sử dụng nhiều Bastion Host

Với mô hình này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user) một phần nào đó không bị ảnh hưởng bởi những hoạt động của người sử dụng bên ngoài mạng (external user).

Chúng ta cũng có thể sử dụng nhiều Bastion host chỉ cung cấp một dịch vụ nào đó để tăng tốc độ đáp ứng, nâng cao hiệu năng hoạt động.

Việc sử dụng nhiều Bastion host cho các server khác nhau để khi một server nào đó bị đột nhập hoặc server bị hỏng thì server khác vẫn hoạt động tốt.

3.2 Kiến trúc ghép chung router trong và router ngoài

image

Kiến trúc ghép chung router trong và router ngoài

Muốn sử dụng kiến trúc này thì tốc độ của máy làm router phải được nâng cao, vì vừa phải đảm nhiệm vai trò router ngoài và vừa đảm nhiệm vai trò của router trong.

Kiến trúc này gần giống với kiến trúc Screened host trong trường hợp khi mà exterior/interior router bị đột nhập thì lưu thông trong mạng bên trong sẽ bị lộ ra bên ngoài. Nhưng kiến trúc này tốt hơn Screened host ở chổ nếu Bastion host bị đột nhập thì thông tin trong mạng bên trong cũng không bị lộ ra ngoài.

Do ghép chung router trong và router ngoài nên kiến trúc này làm giảm đi lớp bảo vệ mạng bên trong, có thể nói kiến trúc ghép chung router trong và router ngoài nằm ở giữa kiến trúc Screened host và Screened Subnet host.

3.3 Kiến trúc ghép chung Bastion host và router ngoài

image

Kiến trúc ghép chung Bastion host và router ngoài

Kiến trúc này chỉ sử dụng cho mạng chỉ có một đường nối dùng giao thức SLIP hoặc PPP ra internet.

Kiểu ghép chung Bastion host và router ngoài (Exterior router) này gần giống với Screened Subnet Host. Nó cho tốc độ đáp ứng thường thấp nhưng mà vẫn có thể chấp nhận được do tốt độ đường truyền thấp, chức năng lọc của router ngoài ít, chức năng lọc gói chủ yếu là router trong.

Advertisements

About Argron Nguyen's Blog

Vietnamese. Photographer. Writer. Illustrator. IT-er. All to some extent.

Posted on 25.09.2012, in Network Security. Bookmark the permalink. Để lại phản hồi.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: