Sự khác nhau giữa Firewall và IDS/IPS

tải xuống 1 10

Contents

Firewall là gì ?

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật đ­ược tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tư­ởng (Trusted network) khỏi các mạng không tin t­ưởng (Untrusted network).

Thông thư­ờng Firewall đ­ợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

Mọi Firewall đều phải có ít nhất hai giao tiếp mạng, một đầu ra nối với hệ thống mạng cần bảo vệ, một đầu vào nối với hệ thống mạng bên ngoài. Nó có thế ở gateway, bridge,…

Network firewall được thiết kế để bảo vệ các host trong mạng trước sự tấn công. Một số ví dụ về appliance-based network firewalls như Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall. Và một số ví dụ về software-base firewalls include Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables, Sophos UTM (trước đây là Astaro Secure Gateway).

REPORT THIS AD

Hầu hết các firewall thương mại đều được tích hợp các tính năng thêm như VPN, phát hiện xâm nhập và khả năng kiểm tra sâu bên trong gói tin. Trong khi đó, các firewall mã nguồn mở chỉ tập trung vào việc lọc các gói tin mà không tích hợp thêm các chứng năng khác và nhường chổ các chức năng này cho các phần mềm khác.

Thiết bị Firewall được phân chia làm theo nhiều tiêu chí:

– Tường lửa cá nhân và tưởng lửa hệ thống

– Lọc tại tầng mạng hay tầng ứng dụng

– Thiết bị firewall cứng và firewall mềm

Software firewalls

– Software firewalls – firewall mềm – là những firewall được cài đặt trên một hệ điều hành. Firewall mềm bao gồm các sản phẩm như SunScreen firewall, IPF, Microsoft ISA server, Check Point NG, Linux’s IPTables …Firewall mềm thường đảm nhận nhiều vai trò hơn firewall cứng, nó có thể đóng vai trò như một DNS server hay một DHCP server.

– Một nhược điểm của firewall mềm là nó được cài đặt trên một hệ điều hành và do đó khả năng có lỗ hổng trên hệ điều hành này là có thể xẩy ra. Khi lỗ hổng được phát hiện và được cập nhật bản vá lỗi, rất có thể sau khi cập nhật bản vá lỗi cho hệ điều hành thì firewall không hoạt động bình thường như trước, do đó cần tiến hành cập nhật bản vá cho firewall từ nhà cung cấp sản phẩm firewall.

REPORT THIS AD

– Một ưu điểm nổi trội của firewall mềm là việc thay đổi và nâng cấp thiết bị phần cứng là tương đối dễ dàng và nhanh chóng.

– Do hệ điều hành mà firewall mềm chạy trên nó không được thiết kế tối ưu cho firewall nên firewall mềm có hiệu suất thấp hơn firewall cứng.

Appliance firewalls

– Appliance firewalls – firewall cứng – là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall. Các sản phẩm firewall cứng đáng chú ý như Cisco PIX, NetScreen firewall, SonicWall Appliaces, WatchGuard Fireboxes, Nokia firewall…

– Trong nhiều trường hợp firewall cứng cung cấp hiệu suất tốt hơn so firewall mềm vì hệ điều hành của firewall cứng được thiết kế để tối ưu cho firewall.

– Lợi ích điển hình khi sử dụng firewall cứng là hiệu suất tổng thể tốt hơn firewall mềm, tính bảo mật được nâng cao, tổng chi phí thấp hơn so với firewall mềm.

– Firewall cứng không được linh hoạt như firewall mềm ( không thể thêm chức năng, thêm các quy tắc như trên firewall mềm)

– Hạn chế của firewall cứng là khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng còn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này.

REPORT THIS AD

Integrated firewalls

– Integrated firewalls – firewall tích hợp – ngoài chức năng cơ bản của firewall thì nó còn đảm nhận các chức năng khác như VPN, phát hiện phòng chống xâm nhập, lọc thư rác, chống virus. Lợi ích của việc dùng firewall tích hợp là đơn giản hóa thiết kế mạng bằng cách giảm lượng thiết bị mạng cũng như giảm chi phí quản lý, giảm gánh nặng cho các chuyên viên quản trị, ngoài ra nó còn tiết kiệm chi phí hơn so với việc dùng nhiều thiết bị cho nhiều mục đích khác nhau.

– Tuy nhiên việc tích hợp nhiều chức năng trên cùng một thiết bị dẫn đến khó khăn trong khắc phục sự cố vì tính phức tạp của hệ thống khi tích hợp.

1, Linux IPtables – Firewall mềm/mã nguồn mở.

Iptables Linux firewall được sử dụng để theo dõi lưu lượng truy cập đến và đi ở một máy chủ và lọc nó dựa trên các rules do người dùng định nghĩa trước đó để ngăn chặn bất cứ ai truy cập vào hệ thống. Sử dụng Iptables, bạn có thể định nghĩa các rules chỉ cho phép lưu lượng được chọn lọc trên máy chủ của bạn. Trong bài hướng dẫn này, bạn sẽ học được cách làm thế nào để bảo vệ ứng dụng web bằng cách sử dụng Iptables.

Tất cả các dữ liệu được gửi đi trong các gói tin được định dạng qua internet. Linux kernel cung cấp một giao diện để lọc cả các gói tin đi vào và ra sử dụng một bảng các bộ lọc gói tin. Iptables là một ứng dụng dòng lệnh và là một bức tường lửa Linux mà bạn có thể sử dụng để thiết lập, duy trì và kiểm tra các bảng này. Bạn có thể thiết lập nhiều bảng khác nhau, mỗi bảng có thể chứa nhiều chuỗi, mỗi một chuỗi là một bộ quy tắc. Mỗi quy tắc định nghĩa phải làm gì với gói tin nếu nó phù hợp với gói đó. Khi một gói tin được xác định, nó sẽ đưa ra một TARGET. Một target (mục tiêu) có thể là một chuỗi khác để khớp với một trong các giá trị đặc biệt sau đây:

  • ACCEPT: gói tin sẽ được phép đi qua.
  • DROP: gói tin sẽ không được phép đi qua.
  • RETURN: bỏ qua chuỗi hiện tại và quay trở lại quy tắc tiếp theo từ chuỗi mà nó được gọi.

Trong phạm vi của bài hướng dẫn iptables này, chúng ta sẽ làm việc với một trong những bảng mặc định được gọi là bộ lọc. Bảng bộ lọc có ba chuỗi bộ quy tắc.

  • INPUT – được sử dụng để điều khiển các gói tin đến tới máy chủ. Bạn có thể chặn hoặc cho phép kết nối dựa trên cổng, giao thức hoặc địa chỉ IP nguồn.
  • FORWARD – được sử dụng để lọc các gói dữ liệu đến máy chủ nhưng sẽ được chuyển tiếp ở một nơi khác.
  • OUTPUT – được sử dụng để lọc các gói tin đi ra từ máy chủ của bạn.

2, Firewall Juniper SSG-350M-SH – Firewall cứng(tích hợp)/mã nguồn đóng [hãng thiết bị Juniper].

Firewall Juniper SSG-350M-SH là dòng sản phẩm thế hệ tiếp theo hỗ trợ phù hợp cho các doanh nghiệp vừa và nhỏ hoặc các chi nhánh với chi phí hiệu quả đáp ứng nhu cầu an ninh định tuyến.

Tính năng:

  • Kiểm soát truy cập (Access Control)
  • Bảo vệ phần mềm độc hại (Malware Protection)
  • Phân đoạn vùng bảo mật (Security Zone Segmentation)
  • Quét Worm (Worm Scanning)
  • Trojan Horse
  • Phát hiện tấn công mạng (Network Attack Detection)
  • Từ chối Dịch vụ (DoS)
  • Distributed Denial of Service (DDoS)
  • Tập hợp lại TCP để bảo vệ gói tin phân mảnh (TCP Reassembly for Fragmented Packet Protection)
  • Giảm nhẹ tấn công Brute Force Attack (Brute Force Attack Mitigation)
  • Giả mạo IP (IP Spoofing)
  • Tấn công gói không hợp lệ (Malformed Packet Attack)
  • Phòng chống tấn công Replay (Replay Attack Prevention)

3, Firewall Cisco ASA 5508-X – Firewall cứng(tích hợp)/mã nguồn đóng.

4, Firewall FortiGate 100D – Firewall cứng(tích hợp)/mã nguồn đóng [hãng thiết bị Fortinet].

Tường lửa FortiGate 100D là một giải pháp an ninh lý tưởng cho các doanh nghiệp vừa và nhỏ hoặc các văn phòng chi nhánh từ xa kết nối tới trung tâm. Nó kết hợp tường lửa, IPSec và SSL VPN, kiểm soát ứng dụng, phòng chống xâm nhập, chống virus, malware, antispam, an ninh P2P, và web lọc vào một thiết bị duy nhất.

Để phù hợp với pháp luật và đảm bảo các dữ liệu có giá trị đi qua mạng, doanh nghiệp vừa và nhỏ và các văn phòng chi nhánh ở xa cần một giải pháp bảo mật tích hợp nhiều công nghệ nhận dạng tấn công vào một thiết bị duy nhất.

Tính năng:

  • Stateful Firewall: ngăn chặn các truy cập trái phép, phân vùng truy cập.
  • IPsec & SSL VPN: cung cấp các kết nối bảo mật đến những tài nguyên đặc biệt.
  • Phòng chống xâm nhập tường lửa ứng dụng (Intrusion Prevention Application Firewall): ngăn chặn việc khai thác các lỗ hổng bảo mật; thấu hiểu các giao thức, kiểm soát tốt hơn các ứng dụng.
  • Xác thực VPN (VPN Authentication)
  • Xác thực Firewall (Firewall Authentication)
  • Bảo vệ phần mềm độc hại (Malware Protection)
  • Chặn P2P (P2P Blocking)
  • Antivirus/ Antispyware: ngăn các nội dung độc hại lan truyền trong mạng.
  • Lọc nội dung Web (Web Content Filtering): ngăn cấm truy xuất đến những địa chỉ đáng ngờ, lừa đảo, spam hoặc chứa nội dung độc hại hoặc chứa các nội dung vi phạm chính sách bảo mật của tổ chức.
  • Đánh giá tổn thương (Vulnerability Assessment)
  • Chống thư rác (Anti-spam): lọc và loại bỏ các thư rác.
  • Chống lừa đảo (Anti-phishing)
  • Bảo vệ tấn công đa luồng (Multivector Attack Protection)
  • FortiGate kiểm soát các hiểm họa trong mạng bằng một tập khai báo gọi là UTM profiles. Thật ra UTM profiles là tập hợp các profiles cho từng hiểm họa hoặc đối tượng mà FortiGate cần kiểm soát, ví dụ như DoS, các tấn công xâm nhập, Antispam, ứng dụng …

IDS/IPS là gì?

IDS (Intrusion Detection Systems – Hệ thống phát hiện xâm nhập): 1 khái niệm cũ dùng để chỉ những thiết bị có khả năng phát hiện ra các cuộc tấn công, tuy nhiên để ngăn chặn thì phải kết hợp với những thiết bị khác như firewall, NAC…

IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập): khái niệm mới, trường hợp mở rộng của hệ thống IDS, cách thức hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau, vừa có khả năng phát hiện vừa tự động ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn. Hệ thống IPS sử dụng tập luật tương tự như hệ thống IDS.

Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.

Phân loại:

Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion Prevention) thường được triển khai trước hoặc sau firewall.

  • Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả firewall, vùng DMZ,  đặc biệt là các tấn công thuộc dạng DoS, DDoS. Nhược điểm là làm phát sinh nhiều log khiến việc quản trị gặp khó khăn.
  • Khi triển khai IPS sau firewall (dạng này thường thấy hơn, vì vị trí này làm giảm phát sinh log) có thể phòng tránh được một số kiểu tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong như tấn công DoS, DDoS.

Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention) thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập trên các host. Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp antivirus. Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự thay đổi các tập tin cấu hình.

Một số sản phẩm hỗ trợ như:

  • Fortigate-800
  • Broadweb NetKeeper NK-3256T v3.6
  • Cisco IPS-4240
  • Cisco IPS-4255
  • ISS Proventia NIPS GX4004
  • ISS Proventia NIPS GX5108
  • Juniper IDP 600F
  • McAfee IntruShield 3000 / IntruShield 4010
  • SecureWorks iSensor 850
  • Check point FW-1
  • IIS Real Secure IDS
  • ..,

1, Snort – Mã nguồn mở [phát triển bởi Sourcefire].

Khái niệm:

Snort là một hệ thống phòng chống và phát hiện xâm nhập dựa trên mạng (IPS/IDS) nguồn mở được phát triển bởi Sourcefire. Snort hoạt động như một phần mềm đứng giữa sự giao tiếp của hai máy tính. Không chỉ chạy trên các hệ điều hành nguồn mở như GNU/Linux mà Snort còn có thể chạy được trên các nền tảng thương mại như Microsoft Windows, OpenBSD, Solaris, HP-UX…

Tương tự như các bộ quét virus (virus scanner), Snort chỉ có thể chống lại các cuộc tấn công một cách hiệu quả nếu như nó biết được dấu hiệu (signature) của các cuộc tấn công đó. Dựa vào điểm này, các hacker “cao thủ” có thể điều chỉnh các cuộc tấn công để thay đổi signature của cuộc tấn công đó. Từ đó các cuộc tấn công này có thể “qua mặt” được sự giám sát của Snort. Như vậy có thể thấy rằng, để Snort hoạt động một cách hiệu quả thì một trong những yếu tố quan trọng cần phải chú ý là các luật viết cho Snort, kể cả việc tạo ra các luật mới.

Tính năng:

Snort có khả năng phát hiện, chống sự xâm nhập trái phép nhằm đảm bảo bảo mật hệ thống mạng. Vì Snort là một hệ thống phát hiện xâm nhập dựa trên mạng nên nếu có một đĩa cứng có dung lượng lưu trữ lớn và tốc độ quay nhanh thì hệ thống Snort sẽ hoạt động tốt hơn. Các packet trước khi được gửi đến máy tính đích sẽ được snort kiểm tra, thẩm định. Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…

Chức năng chính của Snort đó là packet sniffing, packet logging và network-based
intrusion detection. Khi snort hoạt động, nó sẽ đọc các tập luật, giám sát luồng dữ liệu chạy qua hệ thống và sẽ phản ứng nếu có bất kì luồng dữ liệu nào phù hợp với tập luật của nó. Cụ thể hơn, tập luật có thể được tạo ra để giám sát các nỗ lực quét cổng (scanning), tìm dấu vết (footprinting), hoặc nhiều phương pháp khác mà các hacker dùng để tìm cách chiếm quyền hệ thống. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.

Cấu hình Snort:

  • var HOME_NET: định nghĩa mạng cần bảo vệ.
  • var EXTERNAL_NET: định nghĩa mạng bên ngoài.
  • var DNS_SERVERS: định nghĩa các server DNS cần bảo vệ.
  • var SMTP_SERVERS: định nghĩa các server SMTP cần bảo vệ.
  • portvar HTTP_PORTS : định nghĩa port của ứng dụng

Cấu trúc luật của Snort:

  • Rule header: rule action, protocol, địa chỉ IP nguồn và địa chỉ IP đích, port nguồn và port đích .
  • Rule option: thông điệp cảnh báo, phần thông tin để xác định packet nào sẽ bị giữ lại.

Ví dụ:  alert tcp any any -> any any (content:”|00 01 86 a5|”; msg: “mountd access”;)

  • meta-data: cung cấp thông tin về rule nhưng không gây ra bất cứ ảnh hưởng nào đến quá trình phát hiện packet.
  • payload: tìm kiếm thông tin trong phần payload của packet.
  • non-payload: tìm kiếm thông tin trong phần non-payload của packet.
  • post-detection: xảy ra sau khi một rule được kích hoạt

2, McAfee IntruShield 3000 [hãng thiết bị McAfee].

  • Giảm thiểu rủi ro cho hệ thống theo phương pháp chủ động – Thiết bị phát hiện và ngăn chặn xâm nhập trái phép McAfee IntruShield đảm bảo tính sẵn sàng và bảo mật của của các thành phần quan trọng của cơ sở hạ tầng mạng thông qua các biện pháp chủ động phát hiện và ngăn chặn xâm nhập trái phép cho phép phát hiện và ngăn chặn các hình thức tấn công trước khi chúng tác động đến hệ thống.
  • Phản ứng của McAfee là IntruShield 3000, tăng cường mật độ cổng cao và công nghệ IPS ảo để mở rộng khả năng phát hiện mạng cho từng thiết bị. IntruShield có thể hỗ trợ tối đa 1.000 IPS trên mỗi thiết bị. Hơn thế nữa, IntruShield có 12 cổng giám sát gigabit để giám sát sáu liên kết song công toàn bộ. IntruShield tích hợp với dữ liệu máy quét VM từ máy quét Foundstone của McAfee, cũng như Nessus, giúp IPS đánh giá các cuộc tấn công dựa trên các lỗ hổng thực tế.
  • Bảo vệ hệ thống trước các nguy cơ tấn công ngày càng đa dạng – thiết bị IntruShield 3000 đi kèm với một công cụ quy tắc và một bộ các bộ lọc mạnh mẽ được thiết kế để chặn tràn bộ đệm, spyware, các cuộc tấn công shellcode, bot và dị thường giao thức. Các tính năng tiên tiến của nó bao gồm bảo vệ VoIP, khả năng tích hợp trình quét lỗ hổng và khả năng giải mã và kiểm tra giao dịch SSL.
  • Tính chính xác cao, mức độ cảnh báo giả thấp – Với sự kết hợp cả 3 công nghệ nhận dạng tiên tiến là: Signature detection, anomaly detection và DDoS detection, IntruShield cải thiện đáng kể tính chính xác của thiết bị IDS và giảm thiểu các cảnh báo giả của hệ thống.
  • So sánh Firewall và IDS/IPS:

IPS (Hệ thống Ngăn chặn Sự xâm nhập): xâm nhập vào hệ thống. IPS nằm trên đường đi của dữ liệu, chủ động, nên có thể ngăn chặn trước khi bị tấn công. Do đường đi nên để chặn nhiều dữ liệu dòng qua, nó có thể cần nhiều giao diện.

IDS (Hệ thống Phát hiện Sự xâm nhập): hệ thống phát hiện xâm nhập. IDS đặt một vị trí để giám sát mạng (bị động), vì không trực tiếp trên đường đi của dữ liệu, nó chỉ có thể ngăn chặn sau khi phát được tấn công, vì chỉ cần giám sát nên thường chỉ cần 1 giao diện . Nó ngăn chặn bằng cách gửi TCP thiết lập lại về nguồn mà không bị tấn công. Viet môi trường SW không thể bắt gói tin trực tiếp, nên yêu cầu SW phải hỗ trợ cổng giám sát, IDS mới theo dõi lưu lượng truy cập trong mạng.

Firewall : Là an toàn hệ thống trước khi các gói tin trong mạng nội bộ.

 

 

 

Để lại một bình luận