Ứng dụng truyền thông và an ninh thông tin designing firewalls

Những quan niệm về bảo mật mạng ngày nay rất đa dạng và những đề tài thách thức được thảo luận. Có nhiều khu vực khác nhau của các loại kiến trúc mạng được quan tâm, nó bắt đầu từ những thông báo hệ thống để cơ sở dữ liệu, từ tập tin đến in ra các giải pháp để truy nhập mạng từ xa. Nó không bắt đầu chưa lâu mà bảo mật và bảo vệ mạng là tài sản căn bản được làm làm rõ lĩnh vực của kỹ sư mạng, đó là người có sự hiểu biết về công nghệ, kỹ năng cao và thường chăm chỉ để nói và hiểu các vấn đề nếu bạn không phải là một kỹ sư mạng. Những thử thách mà người kỹ sư mạng phải đối mặt đó là khả năng truy nhập, bảo vệ tài sản và giảm thiểu nguy cơ không an toàn, không có sự thay đổi cho tất cả và tại cùng một thời điểm, công nghệ được sử dụng địa chỉ cấp phát trải qua sự biến đổi trong cả một khu vực phức tạp. Chie cần nhìn vào duy nhất một khu vực mở rộng trong khu vực tường lửa để thấy cụ thể làm thế nào để biến đổi một cách trực tiếp, và tác động sâu để hệ thống bảo mật mạng và trên khả năng nhận biết của người dùng về bảo mật và cả người cung cấp nó.

docx32 trang | Chia sẻ: lvbuiluyen | Lượt xem: 1696 | Lượt tải: 2download
Bạn đang xem trước 20 trang tài liệu Ứng dụng truyền thông và an ninh thông tin designing firewalls, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Khoa Mạng máy tính và truyền thông Trường Đại học Công Nghệ Thông Tin Ứng Dụng Truyền Thông Và An Ninh Thông Tin Designing Firewalls Designing Firewalls Giảng Viên Hướng Dẫn : ThS. NCS. Tô Nguyễn Nhật Quang Nhóm 2 : 08520435 Nguyễn Thành Trung 08520530 Trương Thị Thùy Duyên 08520292 Phạm Phú Phúc 08520548 Lê Kim Hùng Contents Các thành phần của Firewall Những quan niệm về bảo mật mạng ngày nay rất đa dạng và những đề tài thách thức được thảo luận. Có nhiều khu vực khác nhau của các loại kiến trúc mạng được quan tâm, nó bắt đầu từ những thông báo hệ thống để cơ sở dữ liệu, từ tập tin đến in ra các giải pháp để truy nhập mạng từ xa. Nó không bắt đầu chưa lâu mà bảo mật và bảo vệ mạng là tài sản căn bản được làm làm rõ lĩnh vực của kỹ sư mạng, đó là người có sự hiểu biết về công nghệ, kỹ năng cao và thường chăm chỉ để nói và hiểu các vấn đề nếu bạn không phải là một kỹ sư mạng. Những thử thách mà người kỹ sư mạng phải đối mặt đó là khả năng truy nhập, bảo vệ tài sản và giảm thiểu nguy cơ không an toàn, không có sự thay đổi cho tất cả và tại cùng một thời điểm, công nghệ được sử dụng địa chỉ cấp phát trải qua sự biến đổi trong cả một khu vực phức tạp. Chie cần nhìn vào duy nhất một khu vực mở rộng trong khu vực tường lửa để thấy cụ thể làm thế nào để biến đổi một cách trực tiếp, và tác động sâu để hệ thống bảo mật mạng và trên khả năng nhận biết của người dùng về bảo mật và cả người cung cấp nó. Sau đây là một ví dụ đơn giản về Firewall Tường lửa nằm ở một vị trí hợp lý đó là nằm giữa mạng nội bộ và mạng Wan. Tưởng lửa ở đó để thực hiện mục đích của nó chính là cấm và cho phép các kết nối trên các luật mà được người quả trị tạo ra và đăng ký trên thiết bị. Ở những năm trước, những tùy chọn được cung cấp để dễ dàng cho phép hay cấm các truy nhập một các đặc trưng đủ để cung cấp bảo mật và bảo vệ ở mức độ cơ bản là hầu hết nếu không phải là tất cả mạng của chúng ta. Thách thức được đặt ra là làm sao xây dựng được một hệ thống vững chắc dựa trên các mối quan hệ để cung cấp những yếu tố bảo mật cơ bản, hacker và kẻ phá hoại đã ngồi lại và bàn cách làm sao có thể phá vỡ được hệ thống tường lữa. và kết qua là nhiều chi tiết mới được thêm vào để tường lữa trở thành một phần không thể thiếu của bảo mật mạng để bảo vệ mạng từ những truy nhập trái phép và không mong muốn từ mạng trong các trường hợp cụ thể. Ngoài việc cấm và cho phép các truy nhập, ngày nay trong một tường lữa còn cũng cấp các dịch vụ sau: NAT: được dùng bởi router để có thể dich một địa chỉ nội bộ thành một địa chỉ bên ngoài Bắt dữ liệu: tùy chọn này cho phép router lưu trử dữ liệu được cho phép bởi các người dùng mạng. Hạn chế trên nội dung: Tùy chọn này có giá trị trên những hệ thống mới. Cho phép người quản trị hạn chế truy nhập nội dung internet bằng cách sử dụng từ khóa. Các phương thức của tường lửa: Tường lửa có 2 phương thức chính dùng để thực hiện bảo mật bên trong một mạng. Mặc dù có nhiều biến thể xong chúng vẫn xoay quanh 2 loại chính đó là : Lọc gói tin Máy chủ proxy hay các cổng chương trình. Lọc gói tin là loại đầu tiên của tường lữa được sử dụng trong nhiều hệ thống để bảo vệ mạng. Nó có nhiều phương thức phổ biến được thực thi để bắt một gói tin sử dụng router. Nhiều router có khả năng cho phép hay cấm các gói tin dựa trên các luật mà người quản trị đặt ra. Mặc dù có nhiều loại tường lửa thực hiện chức năng lọc, chúng bị giới hạn bởi chúng chỉ được thiết kế để phân tích tiêu đề của gói tin. Ví dụ chúng ta có thể cấm FTP nhưng chúng ta chỉ cấm lệnh PUT trong FTP. Thêm vào máy chủ proxy giúm cho tường lửa có khả năng tạo ra nhiều cơ sở bảo mật hơn là sử dụng lọc gói tin chính thống. Phần mềm proxy được sử dụng để tạo ra để có thể phân tích nhiều hơn các tiêu đề của gói tin. Proxy servers sử dụng phần mềm để chặn đứng các truyền thông trên mạng mà được định trù từ trước. Chương trình có thể nhận ra các yêu cầu và đại diện cho người dùng tạo ra các yêu cầu để gửi cho máy chủ. Trong trường hợp này một người dùng bên trong không thể có một kết nối trực tiếp đến môt máy chủ ở bên ngoài, thay vì một kết nối trực tiếp, một cấu trúc proxy giống như man-in-middle giúp tạo ra một kết nối giữa người dùng mà máy chủ này. Thuận lợi chính trong việc sử dụng phần mềm proxy là có thể thực hiện cho phép hay cấm sự giao tiếp dựa trên dữ liệu thật sự của gói tin, chứ không chỉ header. Trong những công việc khác thì proxy giúp nhận ra những phương thức giao tiếp, và sẻ phản ứng lại, không chỉ là đóng mở các cổng theo sự chỉ đạo. Tường lửa có thể làm gì Vì thế nếu một tường lữa có thể dùng để lọc gói tin, máy chủ proxy, một sự kết hợp cả hai hay tùy chọn lọc được tạo ra môi trường an toàn cho dữ liệu của bạn. Một cách không may, giống như những trường hợp thông thường, đây là phạm vi của việc hợp nhất, không có những cuộc trao đổi khác tại nơi mà sẽ có sự cho phép của người quản lý mạng để thu được những hiểu biết tốt hơn về những nguyên nhân phía sau cần cho một tường lửa. Và những tiêu chí cho nơi đặt tường lửa bên trong một mô hình mạng để có được sự phục vụ tốt nhất. Trong những mối quan hệ của người quản trị mạng chúng ta và những băn khoăn về việc mua một thiết bị mà sẻ làm một lượng lớn công việc, tất cả hay hầu hết những thức đó, có hoặc không có sự bảo mật mạng được thiết lập trong câu hỏi. Nó sẽ giúp cho chúng ta tóm tắc được việc tường lửa không thế làm gì, vì thế chúng ta có thể bắt đầu hiểu những gì chúng có thể làm. Một vài khu vực nơi mà tường lửa sẽ khó khan trong việc bảo mật mạng theo các dạng sau: Virus: Một vài tường lửa có thể có khả năng phát hiện virus, tuy nhiên kể tấn công có thể đóng gói virus vào trong nhiều dạng và tường lửa không được thể kế giống như hệ thông diệt vurus, Vì thế tường lửa có thể phát hiện ra virus nhưng chúng ta vẫn cần một hệ thống diệt vurus. Sự lạm dụng của người làm công: Đây là một điểm khó, nhưng là điểm có giá trị. Những người làm công thường làm những việc vô thức. Họ có thể quên địa chỉ mail hay chạy các chương trình không an toàn từ bạn bè. Kết nối phụ: Nếu người dùng có một modems trong máy của họ thì họ có thể sử dụng các kết nối không dây, họ có thể tạo ra một kết nối internet cho riêng minh. Những kết nối này không được bảo vệ bởi tường lửa. Nếu bật chế độ chia sẻ tập tin và máy in, nó sẽ đem lại những kết quả nguy hiểm. Trong khi tường lửa được cấu hình một cách đúng đắng. Lừa đảo trong xã hội: Hình thức này thì không thể tránh khỏi nếu người quản lý làm lộ thông tin về tường lửa. Kiến trúc thấp: Nếu không có một thiết kế kỹ cho tường lửa, nó sẽ trở nên rất khó khăn có thể là không thể cấu hình tường lửa theo đúng để bảo đảm sự an toàn cần thiết phòng ngừa bên trong mạng trong một thời gian dài. Thi hành các chính sách cho tường lửa: Không có một loại tường lửa nào được coi là tiêu chuẩn bên trong một mạng. Những nội dung đề cập ở dưới đây trình bày nhiều loại tường lửa được phát triển khác nhau: Một thiết bị lọc gói tin: Hình mô tả dưới đây là một mạng được bảo vệ bởi 1 thiết bị được cấu hình như một bộ lọc gói tin, cho phép hay cấm các truy cập dựa trên tiêu đề của gói tin. Thiết bị “Multi-home”: Mạng được bảo vệ bởi một thiết bị có kết cấu gồm nhiều card mạng, trên đó sẽ cài phần mềm proxy, phần mềm này sẽ điều chỉnh các gói tin đi theo các hướng xác định: Một Screened Host: Giống như hình ở dưới đây, một mạng được bảo vệ bởi sự kết hợp của các cấu trúc của máy chủ proxy và cấu trúc lọc gói tin. Bộ lọc gói tin cho phép vào bên trong nếu nó lưu thông qua máy chủ proxy. Nếu một người dùng giao tiếp trực tiếp với bộ lọc proxy thì dữ liệu sẽ bị từ chối. Miền phi quân sự: Trong hình mô phỏng dưới đây, một mạng được chỉ định là một “zone” hay một miền, nó được tạo ra để cho đặt máy chủ, cần được cho phép để vào internet và cả các người dùng bên trong. Đây là một vùng đặc biệt, nó yêu cầu 2 thiết bị lọc, và có thể có nhiều máy tồn tại bên trong đường biên giới. Xây dựng một chính sách tường lửa Trước khi tiến hành cấu hình ta cần phải có một Firewall Policy (Chính sách về tường lửa). Để tránh trường hợp lựa chọn và cài đặt Firewall không chính xác, hiệu quả. Một tường được thiết kế và triển khai một cách chính xác, phải dựa trên một chính sách cụ thể. Đó là một phần trong chính sách bảo mật tổng thể của tổ chức sử dụng firewall đó. Thường firewall policy thực hiện theo hai hướng sau : Từ chối tất cả, chỉ cho phép những lưu thông hợp lệ. Cho phép tất cả, cấm những lưu thông không hợp lệ. Công việc này là một phần của việc quản trị và bảo mật mạng, ví dụ : tạo một danh sách các cổng mà trojan, các ứng dụng mà người dùng không đươc phép sử dụng … sau đó tạo ra các chính sách để chặn chúng. Ngược lại sẽ cho phép những lưu thông hợp lệ. Có nhiều thành phần khác nhau trong chính sách bảo mật, phổ biến như : Acceptable Usage Statement Network Connection Statement Contracted Worker Statement Firewall Administrator Statement. Sau khi xây dựng chính sách bảo mật tổng thể, nó sẽ bao gồm nhiều vấn đề khác nhau nên khối lượng thông tin sẽ rất lớn.Từ những thông tin đó, ta sẽ trích dẫn những thông tin riêng biệt để xây dựng chính sách cho tường lửa. The Acceptable Use Statement Thực hiện cần có sự thống nhất của tổ chức để miêu tả chi tiết cách thực một máy tính hoạt động trong mạng, việc này tương đối khó khăn đối với một số tổ chức.Cần phải đạt được sự cân bằng để duy trì an ninh một cách chặt chẽ và đảm bảo cho nhân viên có đủ khả năng thực hiện tốt công việc của họ. Máy tính là thiết bị thường bị sử dụng sai mục đích nhất trong hệ thống. Người sử dụ thường cố gắng thoát khỏi sự kiểm soát của các chính sách bảo mật. Một số điểm cần lưu ý trong thành phần này là : Các ứng dụng không được phép cài đặt.(Từ những nguồn như internet, CD, USB, đĩa mềm ). Việc sao lưu ứng dụng được cài đặt tại một máy tính của tổ chức. (cho phép / không do tổ chức đó quyết định ) Việc sử dụng tài khoản tại các máy tính, khi không có người sử dụng, máy phải ở trong trạng thái khóa và có chế độ bảo vệ mật khẩu Máy tính và các ứng dụng cài đặt trên nó chỉ liên quan đến hoạt động của tổ chức đó. Không được phép sử dụng để đe dọa hay quấy rối bất cứ cá nhân nào. Các dịch vụ email được phép sự dụng. Chúng ta xem xét những vấn đề trên để xem có hoặc không thể áp đặt chúng trên tường lửa. Một số như việc cài đặt ứng dụng, đe dọa đến cá nhân không thể thực thi trên tường lửa nhưng chúng sẽ có ích trong chính sách bảo mật tổng thể. The Network Connection Statement Phần này của chính sách liên quan đến các loại thiết bị được cấp kết nối vào mạng. Đây là nơi bạn có thể xác định các vấn đề liên quan đến việc vận hành hệ thống  mạng, các thiết bị sử dụng mạng, và việc các thiết bị được cấu hình cho phép sử dụng mạng một cách an toàn như thế nào. Phần này được thi hành trên tường lửa nhiều nhất, xác định lưu lượng thực tế của mạng. Một số thành phần cần chú ý : Chỉ quản trị viên mới có quyền thực hiện quét mạng. Người dùng có thể truy cập vào các trang site FTP để upload và download các tập tin cần thiết,  nhưng  máy tính  nội bộ có thể sẽ không cài đặt FTP server. Người dùng có thể truy cập WWW trên cổng 80 và Email trên cổng 25. Nhưng không thể truy cập NNTP trên mọi cổng. Người sử dụng  subnet 10.0.10.0 được phép sử dụng SSH cho việc quản trị từ xa và ngược lại. Người dùng có thể không được chạy bất kỳ phần mềm chat Internet nào. Không được download file lớn hơn 5Mb Phần mềm Anti-virus phải được cài đặt, hoạt động tốt, cập nhật thường xuyên hàng tuần trên máy trạm và cập nhật hằng ngày trên server. Chỉ có quản trị viên mới được phép cài đặt phần cứng mới trên máy tính (Bao gồm cả NIC và modem) Không cho phép những kết nối trái phép ra internet dưới bất kỳ hình thức nào. Trong phần này nhựng kỹ thuật cho phép các cổng, subnet hay các máy tính trong mạng. Những vấn đề này có thể được thực thi trên tường lửa The Contracted Worker Statement Phần  này thường bị bỏ qua. Đó là các chính sách phải giải quyết các vấn đề của người lao động theo hợp đồng, hoặc chỉ là tạm thời. Những cá nhân có thể chỉ yêu cầu truy cập thường xuyên đển các tài nguyên trên mạng. Một số vấn đề cần chú ý là : Không có những người sử dụng tạm thời, hoặc theo hợp đồng không được phép truy cập trái phép đến các tài nguyên, hay thực hiện quét mạng, copy dữ liệu từ máy tính ra bất kỳ thiết bị nào khác. Không được sử dụng FTP, telnet, SSH cho khi chưa được sự cho phép dựa trên văn bản. The Firewall Administrator Statement Firewall administrator phải được chứng nhận bởi các nhà cung cấp firewall. Phải có chứng chỉ SCNA Phải nắm rõ các ứng dụng được cài đặt trên các máy tính trong mạng. Phải báo cáo trực tiếp với trưởng bộ phận bảo mật. Phải luôn trong tư thế sẵn sàng 24/24 Những vấn đề liệt kê ở đây sẽ có ích trong việc soạn ra chính sách cho firewall. Ngoài ra cách chính sách về Firewall cần phải được thay đổi thường xuyên cho phụ hợp với an ninh thế giới. Packet Filter và việc thiết lập tập các quy tắc trong Packet Filter Tổng quan về Packet Filter Thiết lập được một chính sách bảo mật chặt chẽ là một trong những điểm quan trọng trong việc hình thành hệ thống firewall hoàn chỉnh. Tuy nhiên, bên cạnh đó người quản trị còn phải nắm được các kiểu firewall hiện nay cũng như tác động của chúng tới hệ thống mạng cần bảo vệ. Phần tiếp theo sẽ đi vào chi tiết một kiểu firewall đã có từ rất sớm và hiện tại vẫn là thành phần cơ bản nhất của hệ thống firewall, đó là Packet Filter. Packet Filter là kiểu firewall đầu tiên được sử dụng để bảo vệ mạng nội bộ. Thông thường (và cho đến tận bây giờ), Packet Filterđược cài đặt sẵn trên các router và thực thi dưới dạng access control list. Packet Filter sử dụng một tập các quy tắc để quyết định xem gói tin nào được phép cho qua, gói tin nào bị cấm. Quy tắc này được xây dựng dựa trên các thông tin trong phần header của gói tin. Packet Filterkhông kiểm tra phần payload sinh ra từ lớp ứng dụng. Router trở thành điểm truy nhập vào mạng và là nơi Packet Filterthực thi chức năng của nó. Cũng vì vậy mà chức năng của Packet Filtertrên mỗi router sẽ được thiết kế khác nhau, tùy thuộc vào vị trí của router đó trong hệ thống mạng. Hình: Ví dụ về vị trí của Packet Filtertrong hệ thống mạng. Ở ví dụ đầu tiên, chỉ có duy nhất một thiết bị đóng vai trò là Packet Filtercho mạng này. Việc bảo mật phụ thuộc hoàn toàn vào các quy tắc của Packet Filtertrên thiết bị này, do đó nó cần được cấu hình thật chặt chẽ. Ở ví dụ thứ hai, Packet Filtercần được cấu hình sao cho mạng ngoài và mạng nội bộ không được kết nối trực tiếp với nhau. Các phiên giao tiếp cần thiết được thực hiện qua Proxy Server. Ở ví dụ thứ ba, vùng DMZ được thiết lập. Ta có 2 thiết bị đóng vai trò Packet Filtervà chúng sẽ được cấu hình khác nhau. Thiết bị có kết nối trực tiếp ra mạng ngoài cần đảm bảo mạng ngoài chỉ có thể thực hiện kết nối tới các proxe server trong DMZ, không vào được mạng nội bộ. Tương tự, thiết bị kết nối trực tiếp với mạng nội bộ kiểm soát các kết nối từ mạng nội bộ, không cho phép ra mạng ngoài. Các quy tắc trong Packet Filter Các vấn đề cần quan tâm Packet Filterhoạt động dựa trên các quy tắc. Các quy tắc này được đưa ra đảm bảo thực thi đúng mục đích của chính sách ban đầu. Một vài vấn đề cần quan tâm khi thiết lập tập các quy tắc: Mạng nội bộ được truy cập dịch vụ nào trên internet? Internet được truy cập vào dịch vụ nào của mạng nội bộ? Máy nào được quyền truy cập đặc biệt nào đó, mà máy khác không có? Mặc dù mỗi thiết bị có các cách khác nhau để thực thi các quy tắc này, nhưng thường vẫn phải quan tâm đến các vấn đề sau: Bộ luật được đặt tại interface nào? Là interface kết nối tới mạng nội bộ, hay interface kết nối tới mạng ngoài? Hướng của gói tin. Bộ luật thực thi trên các gói tin đi vào interface đó, hay là đi ra? Địa chỉ. Luật này được thiết lập dựa trên ip nguồn, ip đích, hay cả hai? Số hiệu cổng (port) Các giao thức tầng cao hơn. Bộ luật có được thiết lập dựa trên giao thức sử dụng IP, như UDP? TCP? Port, Socket và ACK bit Trước khi đi vào việc thiết lập các luật như thê nào, ta lướt qua lại các khái niệm TCP/IP, port, socket. Địa chỉ IP đại diện cho máy trong phiên làm việc, port đại diện cho điểm đến thực sự của giao tiếp, tức ứng dụng cụ thể. Socket bao gồm một ip đi kèm với một port. Port nhỏ hơn 1023 được sử dụng cho các ứng dụng phổ biến. Port lớn hơn 1023 được sử dụng cho host khi thực hiện kết nối. Ví dụ trên: client gởi yêu cầu request tới website sẽ gởi gói tin với port đích là 80, port nguồn được máy random, ở đây là 2157. Web server khi trả lời cho client sẽ sử dụng 2157 làm port đích. Bây giờ, giả sử ta thiết lập tập quy tắc sao cho mạng nội bộ truy cập đến web pages trên internet và miền DMZ, internet có thể truy cập đến dịch vụ web trên web server, còn lại các dịch vụ khác không được phép truy cập ra internet. Ta thấy, rule 1 cho phép các kết nối từ bên ngoài vào mạng bên trong với port đích là 80, tức dịch vụ web. Để có thể trả về yêu cầu web, rule 2 cho phép mạng bên trong đi ra ngoài với port đích > 1024. Tương tự cho rule 3 và 4 cho phép truy cập web từ mạng nội bộ ra ngoài internet. Nhìn sơ qua có vẻ như tập luật này thực hiện đúng yêu cầu ban đầu, tuy nhiên nó có những lỗ hổng rất lớn: firewall cho phép tất cả các kết nối từ bên ngoài vào mạng bên trong với port đích > 1023. Như vậy một chương trình Trojan đơn giản cũng có thể phá hủy mạng. Để tăng cường bảo mật, ta sử dụng thêm thông tin về port nguồn. Một tùy chọn khác có thể được sử dụng để tăng độ bảo mật, đó là ACK bits. Trong quy trình bắt tay 3 bước, bước thứ nhất gởi yêu cầu request, chỉ mình cờ SYN được bật, bit ACK = 0. Nhưng từ bước thứ 2, khi hồi đáp lại request trước đó, bit ACK sẽ được set = 1. Firewall có thể sử dụng yếu tố này để đảm bảo gói tin là sự hồi âm từ một kết nối xuất phát từ mạng nội bộ. Lúc này rule4 có thể được sửa như sau để đảm bảo an toàn hơn cho hệ thống:Theo đó, chỉ những gói tin trả lời cho kết nối xuất phát từ mạng nội bộ có port nguồn 80 mới được đi qua Packet Filter. Tính nhất quán, trọn vẹn và súc tích của tập quy tắc Thiết kế tập quy tắc cho Packet Filtercần đảm bảo 3 yếu tố sau: tính nhất quán, tính trọn vẹn, và tính súc tích. Tính nhất quán đảm bảo không có sự mâu thuẫn giữa các quy tắc với nhau. Tính trọn vẹn đảm bảo tập quy tắc đã liệt kê hết các trường hợp có thể xảy ra. Và tính súc tích đảm bảo sự ngắn gọn và không bị trùng lấp của tập quy tắc. Ba tính chất này sẽ được giải thích trong ví dụ sau: Ở mô hình trên, Packet Filterđược đặt trên Gateway Router nối mạng nội bộ và mạng Internet. Bộ quy tắc trên được thiết kế nhằm cho phép mạng ngoài truy cập vào dịch vụ Mail trên Mail Server. Mạng bên trong được phép kết nối tới mạng bên ngoài. Và cấm các kết nối xuất phát từ các host được cho là nguy hiểm từ Internet. Tính nhất quán: Ta xét quy tắc thứ 2. Mục đích của nó là hủy tất cả các gói tin xuất phát từ các host không đáng tin cậy ngoài Internet. Tuy nhiên, vì r2 được đặt sau r1 nên các gói tin xuất phát từ các host không đáng tin cậy, nhưng sử dụng dịch vụ SMTP, thì lại được cho qua. Tập quy tắc này không đạt được tính nhất quán. Tính trọn vẹn: ở tập quy tắc trên, với quy tắc r4, các gói tin nếu không trùng với các trường hợp phía trên, sẽ được cho qua. Như vậy tập quy tắc này sẽ chấp nhận các gói tin không phải là mail, tới Mail Server, và các gói tin mail, tới các host thông thường. Đây có thể là một lỗ hổng bị khai thác bởi các attacker, do đó các luồng giao tiếp này cần bị cấm. Ta có thể thêm vào sau quy tắc r1 hai quy tắc sau: (a) ( I =0) ^(S = any ) ^(D = Mail Server )^ (N = any ) ^(P = any ) -> discard (b) ( I =0) ^(S = any ) ^(D = any ) ^(N = 25)^( P = tcp) -> discard Tính súc tích: Một quy tắc được coi là thừa khi bỏ quy tắc đó thì không ảnh hưởng gì tới hoạt động của Packet Filter. Trong ví dụ này, quy tắc r3 là một quy tắc thừa, vì gói tin thỏa mãn r3 thì cũng sẽ thỏa mãn r4, mà r3 và r4 lại có cùng cách xử lý như nhau. Như vậy ta thấy, nếu không đảm bảo được tính nhất quán và tính trọn vẹn, firewall ta xây dựng sẽ bị lỗi. Attacker có thể dựa vào lỗ hổng này để tấn công hệ thống mạng của ta. Trong khi
Luận văn liên quan