1. Giới thiệu
Firewall điều khiển truy cập bằng việc cho phép hoặc từ chối các dòng dữ liệu vào/ra, dựa trên một tập luật, mà ta thường gọi là chính sách Firewall (hình1).
Tuy nhiên, việc quản lý hiệu quả các luật của Firewall có thể trở thành vấn đề khó trong các hệ thống mạng lớn, phức tạp và có nhiều biến động. Tập luật của Firewall thường được tạo ra bằng cách thủ công, tuân thủ theo các chính sách an ninh của các tổ chức và kinh nghiệm của những người làm công tác quản trị mạng. Việc tạo ra tập luật bằng cách thủ công có thể có những nhầm lẫn và tạo ra các tập luật không nhất quán, dẫn đến các vấn đề như dư thừa các luật, các luật bao trùm lẫn nhau hoặc mâu thuẫn nhau… điều này có thể làm giảm năng lực xử lý của Firewall và bỏ qua những truy cập bất hợp pháp vào trong hệ thống mạng.
Các hoạt động truy cập vào\ra của người dùng thường được firewall lưu trữ vào tập log. Vì vậy, tập log phản ánh đầy đủ và chính xác chính sách đã được cấu hình trong firewall.
Bài báo đề xuất một phương pháp phân tích dữ liệu log của Firewall bằng những thuật toán đơn giản, nhưng dễ dàng triển khai trong thực tế, mục đích là để khám phá các luật dư thừa của Firewall, phát hiện sự vi phạm chính sách an ninh người dùng và các truy nhập trái phép vào trong hệ thống mạng. Việc phân tích dữ liệu log sẽ là cơ sở quan trọng cho việc chuẩn hoá và cập nhật lại chính sách của Firewall.
2. Cấu trúc tập luật và dữ liệu log của Firewall
2.1 Chñnh saách Firewall
Chính sách của Firewall thường được cấu hình dựa trên tri thức của người quản trị và trên cơ sở những phát biểu trong chính sách an ninh của một tổ chức. Chính sách Firewall bao gồm một tập các luật, nó xác định một hành động từ chối (deny) hoặc chấp nhận (accept) đối với một gói tin đi qua Firewall. Ví dụ, một luật cho phép tất cả các gói tin đi đến dịch vụ web trên một máy chủ có địa chỉ IP là 192.128.17.10, được cấu hình trong Pix Firewall như sau (VD1):
Mỗi luật trong Firewall thường có 7 thuộc tính mô tả dưới đây:
<direction>: Chiều đi của gói tin (vào hoặc ra)
<protocol>: Giao thûác TCP hoùåc UDP
<source IP>: Địa chỉ IP nguồn, hoặc một dải địa chỉ IP nguồn
<source port>: Cổng nguồn
<destination IP>: Địa chỉ IP đích hoặc một dải địa chỉ IP đích
<destination port>: Cổng đích
<action>: Hành động chấp nhận hoặc từ chối
2.2 Dữ liệu log của Firewall
Dữ liệu log Firewall bao gồm các thông tin về một phiên làm việc từ các kết nối vào/ra được Firewall tập hợp thành các tệp dữ liệu thường có định dạng ASCII.
Ví dụ dưới đây là một dòng trong tệp log của Pix Firewall (VD2):
Như vậy, trong một dòng log sẽ chứa đựng đầy đủ các thông tin liên quan đến một luật đã được cấu hình trong Firewall. Việc rút trích từ tệp log sẽ cho phép ta xác định được tập luật đã được sử dụng.
3. Khai phá các luật từ dữ liệu log của Firewall
3.1 Khai phá luật
Phần này chúng tôi trình bày một thuật toán đơn giản, mục đích là để trích từ các tệp log ra các luật bao gồm các thành phần giống như các luật của Firewall. Ví dụ, từ dòng log trong VD2, chúng ta trích được một luật sau:
Chúng tôi mô tả thuật toán dưới dạng giả mã như sau:
3.2 Rút gọn tập luật
Nhiều luật được sinh ra từ thuật toán trên có thể được rút gọn thành một luật khái quát hơn, mục đích là để tạo ra tập luật có số luật tối thiểu. Việc rút gọn tập luật sẽ làm cho quá trình phân tích chính sách Firewall tích thuận tiện và hiệu quả hơn.
Ý tưởng của thuật toán rút gọn là tạo ra một cây mà mỗi nhánh (cấp) của cây là một thuộc tính của các luật. Mỗi thuộc tính của một luật rút ra từ tệp log sẽ được kiểm tra để nhóm vào trong một nhánh, nếu giá trị của nó thuộc tập giá trị của nhánh đó, ngược lại sẽ tạo ra một nhánh mới. Kết quả của thuật toán là một tập luật có cấu trúc dữ liệu dạng cây, mà mỗi đường đi từ node gốc đến node lá là một luật tổng quát. Sau đây là các bước khái quát của thuật toán viết dưới dạng giả ngôn ngữ:
4. Chuẩn hoá tập luật
4.1 Phát hiện các luật bất thường
Kết hợp hai tập luật, một tập luật thu được từ việc trích ra từ các tệp log và tập luật được cấu hình trong Firewall sẽ có thể:
- Phát hiện các luật không được sử dụng đến.
- Phát hiện các luật vi phạm chính sách an ninh tổ chức. Ví dụ, các luật cho phép các truy nhập vào những tài nguyên không được phép..
4.2 Chuẩn hóa tập luật
Để thu được tập luật chuẩn hó từ tập luật kết hợp, cần phải tiến hđnh thâm một số bước sau đy:
- Loại bỏ cc luật bị bao bởi luật khác.
- Loại bỏ cc luật mu thuẫn với luật khác.
- Loại bỏ cc luật dư thừa.
- Loại bỏ cc luật vi phạm chnh sch an ninh.
Tập luật cuối cùng sẽ được sử dụng để cập nhật chính sách mới cho Firewall. Tiến trình tổng quát cho việc phân tích và chuẩn hoá chính sách Firewall được tiến hành như (hình2):
Hình 2: Tiến trình phân tích và chuẩn hoá chính sách firewall
5. Kết luận
Chính sách Firewall là một trong những thành phần quan trọng trong hệ thống an ninh mạng. Quản lý tốt chính sách Firewall sẽ làm tăng năng lực xử lý của mạng đồng thời tránh được các nguy cơ tấn công. Bài báo đã đề xuất một phương pháp phân tích và chuẩn hoá chính sách Firewall. Khác với các phương pháp trước đây thường thực hiện trực tiếp trên tập luật đã được định nghĩa tĩnh của Firewall. Phương pháp của chúng tôi thực hiện dựa trên việc đối sánh giữa tập luật tĩnh và tập luật được quan sát trên các tệp dữ liệu log. Việc phân tích dựa trên các tệp log sẽ phản ánh kịp thời xu hướng sử dụng mạng, để cập nhật chính sách Firewall một cách hợp lý và kịp thời phát hiện những nguy cơ đối với hệ thống mạng. Phương pháp này có thể sử dụng làm cơ sở cho việc xây dựng các ứng dụng quản lý Firewall, các đề xuất trong bài báo này đang được tiếp tục phát triển để trở thành một giải pháp hoàn thiện