Đặt vấn đề
Với sự phát triển của công nghệ thông tin và viễn thông, các dịch vụ quan trọng như thương mại điện tử, chính phủ điện tử và các dịch vụ ngân hàng, ngày càng được triển khai nhiều hơn trên Internet. Thay dần cho việc liên lạc, giao tiếp với nhau bằng các hình thức truyền thống như gửi thư (post), gọi điện thoại, các doanh nghiệp đã và đang sử dụng Internet để trao đổi thông tin thông qua thư điện tử (email), đối thoại trực tiếp (chat)... và Internet đã mang nhiều tiện lợi và tiết kiệm được chi phí. Bên cạnh những lợi ích to lớn, Internet còn mang những mối đe dọa về nguy cơ về mất an toàn thông tin ngày càng tăng. Để chống các hacker truy nhập vào mạng LAN phá hoại hoặc ăn cắp thông tin, các doanh nghiệp thường triển khai một máy chủ làm firewall (Bức tường lửa) đặt ở cổng kết nối (gateway - là điểm nối giữa mạng LAN và mạng Internet). Firewall làm nhiệm vụ xem xét luồng truyền thông mạng để ngăn chặn các gói tin không cho phép đi vào mạng LAN, đồng thời firewall này làm nhiệm vụ bảo mật dữ liệu trên đường truyền Internet dựa trên mô hình mạng riêng ảo VPN (Virtual Private Network). Sơ đồ kết nối mạng như hình 1:
Hình 1 - Mô hình VPN cho site-to-site
Việc chỉ dùng 1 máy chủ làm gateway (thực hiện bài toán firewall và bảo mật) có ưu điểm là dễ cài đặt, vận hành và đơn giản. Tuy nhiên bên cạnh đó nó có những nhược điểm là mạng LAN và mạng WAN chỉ được phân tách với nhau bởi duy nhất một thiết bị gateway. Do đó, nếu hacker chiếm được quyền điều khiển gateway thì họ có thể kết nối trực tiếp với các máy trong mạng LAN. Lúc đó, việc bảo mật thông tin trên đường truyền Internet sử dụng VPN giữa 2 thiết bị gateway sẽ không còn ý nghĩa bởi vì hacker sẽ chặn bắt và thu được thông tin của các gói dữ liệu tại giao diện mạng kết nối trực tiếp với mạng LAN của thiết bị gateway.
Để khắc phục hạn chế trên, bài báo này sẽ trình bày một giải pháp xây dựng gateway (có firewall và bảo mật) dựa trên công nghệ cách ly phi chuẩn IP.
2. Ý tưởng xây dựng thiết bị cách ly phi chuẩn IP
Hiện nay, giao thức phổ biến nhất được sử dụng để trao đổi thông tin là TCP/IP. Ngoài những ưu điểm, mặt trái của việc sử dụng TCP/IP là các dịch vụ chạy trên nền IP trở nên quen thuộc đối với tất cả mọi người, một sai sót nhỏ trong thiết kế giao thức hay dịch vụ chạy trên nền giao thức này sẽ có thể trở thành tai họa vì nhiều đối tượng có thể khai thác để tấn công các lỗi sơ hở này.
Giải pháp đưa ra là xây dựng một thiết bị cách ly phi chuẩn (firewall) mà trong đó có một thành phần không vận hành theo giao thức TCP/IP, được đặt tại điểm kết nối giữa mạng LAN và Internet. Thiết bị cách ly phi chuẩn IP sẽ tạo ra một môi trường truyền gói dữ liệu IP không theo chuẩn thiết kế thực tế giữa mạng ngoài (Internet) và mạng trong (LAN). Do thiết bị cách ly phi chuẩn có một thành phần sử dụng giao thức không theo chuẩn IP như IEEE 1394, USB 2.0, RS 485..., nên việc tấn công chiếm quyền quản trị firewall rồi qua đó tấn công vào mạng trong sẽ rất khó khăn, vì hacker cần phải tìm hiểu và xây dựng các công cụ tấn công trên chuẩn không IP này. Mô hình kết nối này được mô tả trong hình 2.
Hình 2 - Mô hình ghép nối của thiết bị cách ly phi chuẩn IP
Thiết bị cách ly phi chuẩn thực hiện chức năng chuyển đổi giao thức truyền dữ liệu từ giao thức chuẩn (TCP/IP) sang giao thức khác như IEEE 1394, RS 485, USB 2.0,... và ngược lại đồng thời tiến hành mã hóa dữ liệu trong quá trình truyền phi chuẩn mà không ảnh hưởng nhiều đến tốc độ truyền dữ liệu. Luồng dữ liệu gói tin IP đi qua thiết bị cách ly phi chuẩn được mô tả trong hình 3.
Hình 3 - Đường đi của gói tin IP trong thiết bị cách ly phi chuẩn
Gói tin IP được truyền đến card mạng Ethernet 0 của Inter-Block (khối trong), tại đây driver card mạng sẽ nhận gói tin và chuyển cho nhân của hệ điều hành (Linux kernel của Inter-Block), gói tin IP được lưu trữ dưới dạng cấu trúc bộ đệm sk_buff (socket buffer), nhân linux chuyển bộ đệm sk_buff đến driver của thiết bị phần cứng USB 2.0. Trình điều khiển USB 2.0 sẽ thực hiện gửi gói tin sang cho giao diện USB của Exter-Block (khối ngoài). Dữ liệu được truyền giữa hai thiết bị phần cứng có định dạng hoàn toàn khác với dữ liệu ban đầu trong giao thức TCP/IP. Khi dữ liệu đã được chuyển đến cho driver của giao diện USB của Exter-Block, thì driver này có nhiệm vụ chuyển ngược dạng dữ liệu về theo giao thức TCP/IP. Tại đây, nhân Linux của Exter-Block sẽ gửi gói tin IP cho giao diện mạng Ethernet 0 để chuyển tiếp đến đích cần đến.
3. Các chức năng của thiết bị cách ly phi chuẩn
Mô hình ghép nối của thiết bị cách ly phi chuẩn IP được mô tả trong hình 4
Hình 4 - Các chức năng của thiết bị cách ly phi chuẩn
Thực hiện chức năng Firewall
Để an toàn, chúng ta cài đặt các chức năng firewall (bức tường lửa) đối với 2 khối của thiết bị cách ly phi chuẩn IP như sau:
Khối ngoài (Exter Block – External Block): cài đặt các phần mềm thực hiện các công việc sau:
- Firewall lọc gói (sử dụng công cụ iptables trong Linux): Chỉ cho phép các gói tin có dịch vụ, giao thức và địa chỉ IP nguồn/đích... hợp lệ được giao dịch qua mạng WAN.
- IDS-IPS: Dùng để phát hiện và ngăn chặn các xâm nhập trái phép.
- Chống virus (Anti Virus).
Khối trong (Inter Block – Internal Block): cài đặt phần mềm lọc gói IP (iptables ) để chỉ cho phép các giao dịch nào được quyền chuyển gói tin IP từ mạng LAN ra ngoài mạng Internet và ngược lại.
Thực hiện chức năng bảo mật
Với thiết bị cách ly phi chuẩn IP bài toán bảo mật được thực hiện thông qua hai lớp:
Lớp thứ nhất
Được dùng cho việc bảo mật dữ liệu giữa 2 khối Exter Block (khối ngoài) theo mô hình VPN. Cụ thể ở đây chúng ta sử dụng IPSec VPN có mã nguồn mở trên hệ điều hành Linux.
Lớp thứ 2
Được dùng cho việc mã hoá gói tin IP ở Inter Block. Gói tin IP được mã ở Inter Block (Khối trong) sử dụng hàm mã hoá AES.
4. Các đánh giá
Firewall cách ly phi chuẩn IP an toàn hơn đối với các tấn công
Nếu chúng ta bảo vệ mạng LAN chỉ bằng một máy tính làm firewall khi các hacker chiếm quyền điều khiển thiết bị firewall này thì họ có thể tương tác (kết nối) trực tiếp tới các máy trong mạng LAN được bảo vệ (như mô tả trong hình 5).
Hình 5 - Mô hình tấn công đối với firewall thông thường
Đối với firewall phi chuẩn thì để tấn công vào được mạng LAN theo kiểu tấn công hop-by-hop (tấn công mạng LAN từ mạng Internet, đầu tiên hacker tấn công thiết bị được đặt ở mạng vành đai sau đó tấn công dần vào các máy tính ở mạng LAN) thì bước 1, hacker phải chiếm được quyền điều khiển khối Exter Block thông qua giao diện mạng (Exter IP addr) kết nối trực tiếp ra mạng Internet. Bước 2, hacker sẽ tấn công vào khối Inter Block từ khối Exter Block. Sau khi chiếm được quyền điều khiển của Inter Block thì hacker sẽ thực hiện bước 3 là tấn công vào mạng LAN.
Giả sử hacker chiếm được quyền điều khiển khối Exter Block thì để tấn công được vào mạng LAN các hacker phải qua một bước nữa đó chính là tấn công vào khối Inter Block. Do truyền thông giữa Inter Block và Exter Block không theo giao thức mạng IP chuẩn (tức truyền tin giữa Inter Block và Exter Block không có địa chỉ IP) nên sẽ làm cho việc tấn công của các hacker khó khăn hơn nhiều.
Hình 6 - Mô hình tấn công đối với firewall cách ly phi chuẩn IP
Một trong những cách tấn công một hệ thống nào đó là hacker sẽ dùng các chương trình (nmap...) rà quét các dịch vụ, cổng đang hoạt động trên hệ thống đích. Sau khi xác định được các dịch vụ và cổng đang hoạt động, hacker sẽ tìm kiếm các lỗ hổng bảo mật của các dịch vụ này và thực hiện tấn công.
Để tấn công khối Inter-Block từ khối Exter-Block thì hacker phải biết được nguyên lý truyền thông giữa 2 khối này. Do chúng ta xây dựng chuẩn truyền dữ liệu giữa Inter Block và Exter Block theo một cách không thông thường, vì thế hacker khó có thể can thiệp được vào dữ liệu truyền thông giữa 2 khối đó. Mặt khác, chúng ta thiết kế việc chuyển gói tin từ Exter Block vào Inter Block chỉ thực hiện trong nhân Linux mà không chuyển lên tầng ứng dụng, điều này cũng hạn chế rất nhiều khả năng khai thác lỗ hổng bảo mật của các ứng dụng trên Inter Block.
Bảo mật ở Inter Block đối với tấn công từ bên ngoài vào
Dữ liệu truyền trên kênh phi chuẩn IP giữa hai khối Exter Block và Inter Block được mã hoá (Hình 4). Vì vậy, giả sử hacker chiếm được Exter Block (khối ngoài), để truy cập được vào Inter Block hoặc các máy trong mạng LAN (nằm sau Inter Block) thì hacker phải thám được dữ liệu mã hóa truyền giữa hai khối này. Điều này cũng là một thách thức không nhỏ đối với hacker.
Bảo mật ở Inter Block đối với thất thoát dữ liệu từ bên trong
Cũng tương tự như trên, giả sử có chương trình gián điệp (ví dụ trojans, spyware...) gửi dữ liệu từ các máy trong mạng LAN ra mạng Internet. Nếu hacker chiếm được quyền điều khiển Exter Block thì tại đây hacker cũng không biết gì về thông tin mà các máy trong mạng LAN gửi ra bởi vì các gói tin khi qua Inter Block đã được mã hoá.
Kết luận
Giao thức TCP/IP ra đời đã và đang mang đến nhiều lợi ích cho nhân loại. Bên cạnh đó nó cũng mang rất nhiều hiểm họa đe dọa về mất an ninh, an toàn thông tin. Giải pháp đưa ra ở đây nhằm giải quyết bài toán bảo mật dữ liệu trên đường truyền mạng WAN. Đồng thời cách thiết kế dựa vào công nghệ cách ly phi chuẩn IP sẽ đưa tạo ra thiết bị an toàn hơn đối với các tấn công từ bên ngoài. Để tấn công vào hệ thống được bảo vệ thì kẻ tấn công phải biết cách thức vận hành của thiết bị phi chuẩn IP (dạng truyền thông dữ liệu giữa hai khối, bài toán mã hoá dữ liệu giữa hai khối), mà điều này thì không dễ dàng. Việc cài đặt thiết bị cách ly phi chuẩn IP cho phép chúng ta thực thi bài toán chống thất thoát dữ liệu từ trong mạng LAN một cách có hiệu quả khi hacker tấn công giao thức IP.
Hiện tại sản phẩm nêu trên đã được nghiên cứu và thử nghiệm. Kết quả đã chứng minh cho thấy thiết bị này đáp ứng được 3 vấn đề chính đã nêu ra: Bảo mật, chống tấn công từ bên ngoài và thất thoát dữ liệu từ bên trong đối với các mạng LAN cần bảo vệ.