Tường lửa luôn luôn có vấn đề, và ngày nay hầu như không có lý do gì để có một bức tường lửa. Tường lửa từ trước đến nay không còn có hiệu quả trong việc chống lại các cuộc tấn công hiện đại nữa.
Các cuộc tấn công tường lửa truyền thống
Tường lửa truyền thống, với khả năng chặn hoặc cho phép các địa chỉ IP và các cổng cụ thể, thực sự chỉ bảo vệ chống lại một vài thứ. Kịch bản phổ biến nhất là ngăn chặn một chương trình phần mềm độc hại hoặc người không được phép kết nối với một dịch vụ nghe hoặc daemon (trong các hệ điều hành máy tính đa nhiệm, một daemon là một chương trình máy tính chạy như một tiến trình nền, thay vì nằm dưới sự kiểm soát trực tiếp của một người dùng tương tác) không được bảo vệ hoặc dễ bị tổn thương. Bỏ qua thời điểm mà các bộ định tuyến nhanh hơn nhiều trong việc thực hiện hành động đó, thời gian và các loại tấn công đã thay đổi.
Hai mươi năm trước, việc chặn các kết nối trái phép mang nhiều ý nghĩa. Hầu hết các máy tính có sự bảo mật thấp và có mật khẩu yếu. Máy tính không chỉ chứa đầy các phần mềm chưa được vá lỗi, mà thường có các dịch vụ cho phép bất kỳ ai có thể đăng nhập hoặc kết nối. Bạn có thể hạ gục một máy chủ trung bình bằng cách gửi một gói mạng không đúng định dạng và bạn sẽ dễ dàng thành công nếu quản trị viên không có một số quyền quản trị dịch vụ từ xa cho phép các kết nối ẩn danh. Vậy ai cũng loại bỏ hết các kết nối NETBIOS ẩn danh trong Windows? Đúng là như vậy. Đó là mỏ vàng cho các hacker trong vòng 15 năm, cho đến khi Microsoft chặn nó theo mặc định với Microsoft Windows XP.
Nếu bạn sử dụng tường lửa để chủ yếu chặn các địa chỉ IP hoặc giao thức trái phép, sử dụng một bộ định tuyến sẽ tốt hơn và nhanh hơn. Có một câu nói trong thế giới bảo mật máy tính: "Hãy sử dụng thiết bị nhanh nhất của bạn trước." Điều đó có nghĩa là nếu một thứ gì đó có thể bị chặn bằng cách sử dụng thiết bị nhanh hơn và hiệu quả hơn, hãy sử dụng thiết bị đó làm tuyến phòng thủ đầu tiên của bạn. Nó sẽ giảm lưu lượng truy cập không mong muốn nhanh hơn và hiệu quả hơn. Các bộ định tuyến có ít mã “lớp trên” và các bộ quy tắc ngắn hơn so với tường lửa trung bình. Vòng lặp quyết định “if-then” của bộ định tuyến có cường độ nhanh hơn tường lửa. Nhưng tôi thậm chí không chắc chắn rằng bạn có cần chặn hầu hết các kết nối trái phép nữa hay không.
Tường lửa là cách tốt nhất để dừng các kết nối từ xa trái phép với các dịch vụ nghe, sau đó có thể khiến việc tràn bộ đệm để kiểm soát hoàn toàn máy tính. Đây là một lý do chính tại sao tường lửa được phát minh. Các dịch vụ bị lỗi được sử dụng phổ biến đến mức chúng được coi là tiêu chuẩn. Các chương trình phần mềm độc hại như MS-Blaster và SQL-based Slammer worm đã tấn công máy tính của bạn chỉ trong vòng vài phút sau khi sử dụng chúng.
Các dịch vụ của ngày hôm nay không dễ bị tổn thương. Các ngôn ngữ lập trình mà các lập trình viên sử dụng kiểm tra việc tràn bộ đệm theo mặc định. An ninh của các hệ điều hành máy tính được thiết kế để ngăn chặn các phương pháp khai thác truyền thống và chúng đã rất thành công. Mỗi năm, Microsoft đã tìm thấy 130 đến 150 lỗi trên tất cả các sản phẩm mà họ tạo ra. Kể từ năm 2003, con số đó lên tới 2.000 lỗi khác nhau. Chỉ có 5 đến 10 lỗi là có thể khai thác từ xa. Các máy tính Apple và Linux đã có nhiều lỗi hơn trong cùng khoảng thời gian, nhưng tỷ lệ phần trăm của các trình tiện ích có thể khai thác từ xa là như nhau.
Để được rõ ràng, đã có hàng chục và hàng trăm lỗi có thể khai thác, nhưng gần như tất cả đều yêu cầu một người dùng cuối thực hiện một điều gì đó để bắt đầu cuộc tấn công. Người dùng phải bấm vào một liên kết độc hại hoặc bị lừa để truy cập vào một trang web Trojan. Tại sao nó lại quan trọng? Bởi vì khi người dùng cuối thực hiện điều này, nó tạo ra một kết nối gửi đi " sự cho phép" để khởi tạo "sự cho phép" sau đó dẫn đến kết nối gửi đến máy tính của người dùng. Đối với các cuộc tấn công “phía máy khách” này, gần như 100% tường lửa không đủ tốt ngăn để chặn các loại kết nối đó.
Việc chặn cổng không còn hiệu quả nữa
Tường lửa truyền thống trở nên hữu ích hơn khi mọi dịch vụ trên thế giới sử dụng cổng TCP/IP riêng của mình — FTP trên 21, SMTP trên 25, v.v… Ngày nay, thế giới chủ yếu được thực hiện qua các cổng 80 và 443. Lưu lượng truy cập mạng nào không được thực hiện qua cổng 443 sẽ có thể được thực hiện trong vài năm tới. Nếu tất cả mọi thứ hoạt động trên một (hoặc thậm chí một vài) cổng, thì việc chặn cổng sẽ không còn mang lại ý nghĩa? Không chỉ vậy, nhưng bản chất được mã hóa mặc định của HTTPS làm cho việc lọc lưu lượng truy cập trở nên khó thực hiện hơn.
Ranh giới đang dần mờ đi
Tường lửa là hình ảnh thu nhỏ của các ranh giới miền bảo mật. Bạn xác định hai hoặc nhiều ranh giới bảo mật và sau đó sử dụng tường lửa để điều tiết lưu lượng giữa chúng. Sự thật là những ranh giới hiệu quả, được bảo mật đã chết trong hơn một thập kỷ. Chúng chưa bao giờ thực sự hoàn hảo, những ranh giới thực sự bắt đầu chết khi chúng ta bắt đầu kết nối internet với các mạng khác và kết nối các bộ định tuyến Wi-Fi vào tất cả những điều đó.
Tường lửa có thể có ý nghĩa khi nó chỉ là một hoặc hai ranh giới mạng, nhưng nó nhanh chóng bị phá vỡ khi chúng ta bắt đầu thêm “DMZ” (một vùng mạng trung lập giữa mạng nội bộ và mạng internet, là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ internet) và các mạng “được ủy quyền” bổ sung. Sau khi thêm quyền luôn kết nối truy cập internet, về cơ bản thì trò chơi kết thúc.
Trong một thời gian dài, nhiều chuyên gia bảo mật công nghệ thông tin nghĩ rằng chúng ta vẫn có ranh giới an toàn, nhưng bất kỳ kiểm tra nào cũng sẽ tiết lộ điều ngược lại. Tôi chưa bao giờ kiểm tra một hệ thống internet nào mà không có nhiều kết nối mạng không thể giải thích mà quản trị viên mạng về cơ bản cho phép mọi kết nối không xác định được tiếp tục vì họ sợ phá vỡ một số dịch vụ hoặc ứng dụng quan trọng.
Tường lửa không được quản lý tốt
Hầu hết tất cả người dùng gia đình đều không biết tường lửa là gì và cách thức tường lửa hoạt động như thế nào, vì vậy ngay cả khi một người dùng được bật máy tính của họ, theo mặc định, họ chưa từng thấy hoặc định cài đặt nó.
Tôi chưa từng thấy tường lửa của công ty được định cấu hình đúng cách. Một nửa tường lừa có một số nguyên tắc "
Tường lửa truyền thống đều chứa các bản ghi khủng khiếu. Mọi bản ghi tường lửa đều chứa hàng triệu sự kiện, trong khi sự thực là, hoàn toàn không có tính hữu ích nào liên quan đến vấn đề bảo mật thực. Tường lửa gây "nhiễu" rất nhiều và quản trị viên có thể sẽ bị mất tập trung thay vì chú ý đến bất kỳ sự kiện có khả năng hữu ích.
Cuối cùng, tường lửa doanh nghiệp thường chưa bao giờ được cập nhật đầy đủ. Trên hết, nhiều thiết bị tường lửa được xem xét đã có những lỗi công khai trong đó. Thay vì là pháo đài an ninh, chúng đã trở thành một điểm yếu để các hacker có thể nhắm tới.
Vậy tường lửa thông minh thì thế nào?
Tường lửa hiện đại ngày nay hoạt động nhiều hơn là chỉ lọc cổng. Chúng có thể hoạt động như VPN (Virtual private network - mạng riêng ảo) hoặc proxy để kiểm tra HTTPS. Chúng có thể thực hiện phát hiện/ngăn chặn xâm nhập, lọc URL, chặn các cuộc tấn công tầng trên, ngăn chặn các cuộc tấn công DDOS và thậm chí thực hiện việc vá nội tuyến. Tường lửa đã trở thành một thứ gì đó có ý nghĩa hơn là cổng đơn giản và giao thức chặn.
Tường lửa truyền thống không có nhiều giá trị trong việc chặn và cho phép các địa chỉ IP và cổng khác nhau, nhưng hầu hết các tường lửa ngày nay đều có thể làm được nhiều hơn thế. Tường lửa đã biến hình từ các hậu vệ thành vành đai nghiêm ngặt để bảo vệ lớp “mềm” bên trong. Nếu bạn xem danh sách các dịch vụ được cung cấp bởi tường lửa của hiện nay, bạn sẽ thấy nhiều bảo vệ về “phía máy khách” khi bạn thực hiện bảo vệ mạng. Đó là một điều tốt và có giá trị.
Nếu bạn đang xem xét một tường lửa mới, hãy xem xét các tính năng kiểm soát để bù đắp các rủi ro lớn nhất (ví dụ: lọc URL, lọc tệp đính kèm, khám phá bản vá hoặc bản vá nội tuyến).
