Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley.
Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least privilege).
74 trang |
Chia sẻ: hungpv | Lượt xem: 2101 | Lượt tải: 1
Bạn đang xem trước 20 trang nội dung tài liệu Tìm hiểu về tường lửa Firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1
2
M•c l•c
1. An toàn thông tin trên mng _____________ Error! Bookmark not defined.
1.1 Ti sao cn có Internet Firewall ___________ Error! Bookmark not defined.
1.2 Bn mun bo v cái gì?__________________ Error! Bookmark not defined.
1.2.1 D liu ca bn ____________________ Error! Bookmark not defined.
1.2.2 Tài nguyên ca bn _________________ Error! Bookmark not defined.
1.2.3 Danh ting ca bn _________________ Error! Bookmark not defined.
1.3 Bn mun bo v chng li cái gì? _________ Error! Bookmark not defined.
1.3.1 Các kiu tn công __________________ Error! Bookmark not defined.
1.3.2 Phân loi k tn công _______________ Error! Bookmark not defined.
1.4 Vy Internet Firewall là gì? _______________ Error! Bookmark not defined.
1.4.1
nh ngha________________________ Error! Bookmark not defined.
1.4.2 Chc n
ng ________________________ Error! Bookmark not defined.
1.4.3 Cu trúc__________________________ Error! Bookmark not defined.
1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not
defined.
1.4.5 Nhng hn ch ca firewall __________ Error! Bookmark not defined.
1.4.6 Các ví d firewall __________________ Error! Bookmark not defined.
2. Các dch v Internet ______________Error! Bookmark not defined.
2.1 World Wide Web - WWW________________ Error! Bookmark not defined.
2.2 Electronic Mail (Email hay th in t ). ____ Error! Bookmark not defined.
2.3 Ftp (file transfer protocol hay d
ch v chuyn file) ___ Error! Bookmark not
defined.
2.4 Telnet và rlogin _________________________ Error! Bookmark not defined.
2.5 Archie_________________________________ Error! Bookmark not defined.
2.6 Finger _________________________________ Error! Bookmark not defined.
3
3. H thng Firewall xây dng bi CSE_Error! Bookmark not defined.
3.1 T
ng quan _____________________________ Error! Bookmark not defined.
3.2 Các thành phn ca b chng trình proxy:_ Error! Bookmark not defined.
3.2.1 Smap: D
ch v SMTP _______________ Error! Bookmark not defined.
3.2.2 Netacl: công c iu khin truy nhp mng _____ Error! Bookmark not
defined.
3.2.3 Ftp-Gw: Proxy server cho Ftp ________ Error! Bookmark not defined.
3.2.4 Telnet-Gw: Proxy server cho Telnet____ Error! Bookmark not defined.
3.2.5 Rlogin-Gw: Proxy server cho rlogin____ Error! Bookmark not defined.
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net______ Error! Bookmark not
defined.
3.2.7 Plug-Gw: TCP Plug-Board Connection server___ Error! Bookmark not
defined.
3.3 Cài t ________________________________ Error! Bookmark not defined.
3.4 Thit lp cu hình: ______________________ Error! Bookmark not defined.
3.4.1 Cu hình mng ban u______________ Error! Bookmark not defined.
3.4.2 Cu hình cho Bastion Host ___________ Error! Bookmark not defined.
3.4.3 Thit lp tp hp quy tc_____________ Error! Bookmark not defined.
3.4.4 Xác thc và d
ch v xác thc _________ Error! Bookmark not defined.
3.4.5 S dng màn hình iu khin CSE Proxy: ______ Error! Bookmark not
defined.
3.4.6 Các vn cn quan tâm vi ngi s dng ____ Error! Bookmark not
defined.
4
1. An toàn thông tin trên mng
1.1 Ti sao cn có Internet Firewall
Hin nay, khái nim mng toàn cu - Internet không còn
mi m. Nó ã tr nên ph bin ti mc không cn phi chú
gii gì thêm trong nhng tp chí k thut, còn trên nhng
tp chí khác thì tràn ngp nhng bài vit dài, ngn v
Internet. Khi nhng tp chí thông thng chú tr ng vào
Internet thì gi ây, nhng tp chí k thut li tp trung vào
khía cnh khác: an toàn thông tin. ó cùng là mt quá trình
tin trin hp logic: khi nhng vui thích ban u v mt
siêu xa l thông tin, bn nht
nh nhn thy r!ng không ch"
cho phép bn truy nhp vào nhiu ni trên th gii, Internet
còn cho phép nhiu ngi không mi mà t ý ghé th
m máy
tính ca bn.
Thc vy, Internet có nhng k thut tuyt vi cho phép
m i ngi truy nhp, khai thác, chia s thông tin. Nhng nó
c#ng là nguy c chính d$n n thông tin ca bn b
h h%ng
ho&c phá hu' hoàn toàn.
Theo s( liu ca CERT(Computer Emegency Response
Team - “ i cp cu máy tính”), s( lng các v tn công
trên Internet c thông báo cho t chc này là ít hn 200
vào n
m 1989, khong 400 vào n
m 1991, 1400 vào n
m
1993, và 2241 vào n
m 1994. Nhng v tn công này nh!m
vào tt c các máy tính có m&t trên Internet, các máy tính
ca tt c các công ty ln nh AT&T, IBM, các trng i
h c, các c quan nhà nc, các t chc quân s, nhà b
ng...
Mt s( v tn công có quy mô khng l) (có ti 100.000
máy tính b
tn công). Hn na, nhng con s( này ch" là
phn ni ca tng b
ng. Mt phn rt ln các v tn công
5
không c thông báo, vì nhiu lý do, trong ó có th k
n n*i lo b
mt uy tín, ho&c n gin nhng ngi qun
tr
h th(ng không h hay bit nhng cuc tn công nh!m
vào h th(ng ca h .
Không ch" s( lng các cuc tn công t
ng lên nhanh
chóng, mà các phng pháp tn công c#ng liên tc c
hoàn thin. iu ó mt phn do các nhân viên qun tr
h
th(ng c kt n(i vi Internet ngày càng cao cnh
giác. C#ng theo CERT, nhng cuc tn công thi k+ 1988-
1989 ch yu oán tên ngi s dng-mt kh,u (UserID-
password) ho&c s dng mt s( l*i ca các chng trình và
h iu hành (security hole) làm vô hiu h th(ng bo v,
tuy nhiên các cuc tn công vào thi gian gn ây bao
g)m c các thao tác nh gi mo
a ch" IP, theo dõi thông
tin truyn qua mng, chim các phiên làm vic t- xa (telnet
ho&c rlogin).
6
1.2 Bn mun bo v cái gì?
Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây
dng firewall, vic u tiên bn cn xem xét chính là bn
cn bo v cái gì.
1.2.1 D liu ca bn
Nhng thông tin lu tr trên h th(ng máy tính cn c
bo v do các yêu cu sau:
Bo mt: Nhng thông tin có giá tr
v kinh t, quân s,
chính sách vv... cn c gi kín.
Tính toàn v.n: Thông tin không b
mt mát ho&c sa
i, ánh tráo.
Tính k
p thi: Yêu cu truy nhp thông tin vào úng
thi im cn thit.
Trong các yêu cu này, thông thng yêu cu v bo mt
c coi là yêu cu s( 1 (i vi thông tin lu tr trên mng.
Tuy nhiên, ngay c khi nhng thông tin này không c gi
bí mt, thì nhng yêu cu v tính toàn v.n c#ng rt quan
tr ng. Không mt cá nhân, mt t chc nào lãng phí tài
nguyên vt cht và thi gian lu tr nhng thông tin mà
không bit v tính úng n ca nhng thông tin ó.
1.2.2 Tài nguyên ca bn
Trên thc t, trong các cuc tn công trên Internet, k tn
công, sau khi ã làm ch c h th(ng bên trong, có th s
dng các máy này phc v cho mc ích ca mình nh
chy các chng trình dò mt kh,u ngi s dng, s dng
các liên kt mng s/n có tip tc tn công các h th(ng
khác vv...
7
1.2.3 Danh ting ca bn
Nh trên ã nêu, mt phn ln các cuc tn công không
c thông báo rng rãi, và mt trong nhng nguyên nhân
là n*i lo b
mt uy tín ca c quan, &c bit là các công ty
ln và các c quan quan tr ng trong b máy nhà nc.
Trong trng hp ngi qun tr
h th(ng ch" c bit
n sau khi chính h th(ng ca mình c dùng làm bàn
p tn công các h th(ng khác, thì tn tht v uy tín là
rt ln và có th li hu qu lâu dài.
8
1.3 Bn mun bo v chng li cái gì?
Còn nhng gì bn cn phi lo lng. Bn s0 phi ng u
vi nhng kiu tn công nào trên Internet và nhng k nào
s0 thc hin chúng?
1.3.1 Các kiu tn công
Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách
phân loi nhng kiu tn công này. ây, chúng ta chia
thành 3 kiu chính nh sau:
1.3.1.1 Tn công trc ti p
Nhng cuc tn công trc tip thông thng c s dng
trong giai on u chim c quyn truy nhp bên
trong. Mt phng pháp tn công c in là dò c&p tên
ngi s dng-mt kh,u. ây là phng pháp n gin, d1
thc hin và không òi h%i mt iu kin &c bit nào
bt u. K tn công có th s dng nhng thông tin nh
tên ngi dùng, ngày sinh,
a ch", s( nhà vv.. oán mt
kh,u. Trong trng hp có c danh sách ngi s dng
và nhng thông tin v môi trng làm vic, có mt trng
trình t ng hoá v vic dò tìm mt kh,u này. mt trng
trình có th d1 dàng ly c t- Internet gii các mt
kh,u ã mã hoá ca các h th(ng unix có tên là crack, có
kh n
ng th các t hp các t- trong mt t- in ln, theo
nhng quy tc do ngi dùng t
nh ngha. Trong mt s(
trng hp, kh n
ng thành công ca phng pháp này có
th lên ti 30%.
Phng pháp s dng các l*i ca chng trình ng dng và
bn thân h iu hành ã c s dng t- nhng v tn
công u tiên và v$n c tip tc chim quyn truy
9
nhp. Trong mt s( trng hp phng pháp này cho phép
k tn công có c quyn ca ngi qun tr
h th(ng
(root hay administrator).
Hai ví d thng xuyên c a ra minh ho cho
phng pháp này là ví d vi chng trình sendmail và
chng trình rlogin ca h iu hành UNIX.
Sendmail là mt chng trình phc tp, vi mã ngu)n bao
g)m hàng ngàn dòng lnh ca ngôn ng C. Sendmail c
chy vi quyn u tiên ca ngi qun tr
h th(ng, do
chng trình phi có quyn ghi vào hp th ca nhng
ngi s dng máy. Và Sendmail trc tip nhn các yêu
cu v th tín trên mng bên ngoài. ây chính là nhng
yu t( làm cho sendmail tr thành mt ngu)n cung cp
nhng l* hng v bo mt truy nhp h th(ng.
Rlogin cho phép ngi s dng t- mt máy trên mng truy
nhp t- xa vào mt máy khác s dng tài nguyên ca máy
này. Trong quá trình nhn tên và mt kh,u ca ngi s
dng, rlogin không kim tra dài ca dòng nhp, do ó
k tn công có th a vào mt xâu ã c tính toán trc
ghi è lên mã chng trình ca rlogin, qua ó chim
c quyn truy nhp.
1.3.1.2 Nghe tr
m
Vic nghe trm thông tin trên mng có th a li nhng
thông tin có ích nh tên-mt kh,u ca ngi s dng, các
thông tin mt chuyn qua mng. Vic nghe trm thng
c tin hành ngay sau khi k tn công ã chim c
quyn truy nhp h th(ng, thông qua các chng trình cho
phép a v" giao tip mng (Network Interface Card-NIC)
vào ch nhn toàn b các thông tin lu truyn trên mng.
10
Nhng thông tin này c#ng có th d1 dàng ly c trên
Internet.
1.3.1.3 Gi mo a ch
Vic gi mo
a ch" IP có th c thc hin thông qua
vic s dng kh n
ng d$n ng trc tip (source-
routing). Vi cách tn công này, k tn công gi các gói tin
IP ti mng bên trong vi mt
a ch" IP gi mo (thông
thng là
a ch" ca mt mng ho&c mt máy c coi là
an toàn (i vi mng bên trong), )ng thi ch" rõ ng
d$n mà các gói tin IP phi gi i.
1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial
of service)
ây là ku tn công nh!m tê lit h th(ng, không cho nó
thc hin chc n
ng mà nó thit k. Kiu tn công này
không th ng
n ch&n c, do nhng phng tin c t
chc tn công c#ng chính là các phng tin làm vic và
truy nhp thông tin trên mng. Ví d s dng lnh ping vi
t(c cao nht có th, buc mt h th(ng tiêu hao toàn b
t(c tính toán và kh n
ng ca mng tr li các lnh
này, không còn các tài nguyên thc hin nhng công
vic có ích khác.
1.3.1.5 Li ca ngi qun tr h thng
ây không phi là mt kiu tn công ca nhng k t
nhp, tuy nhiên l*i ca ngi qun tr
h th(ng thng to
ra nhng l* hng cho phép k tn công s dng truy
nhp vào mng ni b.
11
1.3.1.6 Tn công vào y u t con ngi
K tn công có th liên lc vi mt ngi qun tr
h th(ng,
gi làm mt ngi s dng yêu cu thay i mt kh,u,
thay i quyn truy nhp ca mình (i vi h th(ng, ho&c
thm chí thay i mt s( cu hình ca h th(ng thc hin
các phng pháp tn công khác. Vi kiu tn công này
không mt thit b
nào có th ng
n ch&n mt cách hu hiu,
và ch" có mt cách giáo dc ngi s dng mng ni b v
nhng yêu cu bo mt cao cnh giác vi nhng hin
tng áng nghi. Nói chung yu t( con ngi là mt im
yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo
dc cng vi tinh thn hp tác t- phía ngi s dng có th
nâng cao c an toàn ca h th(ng bo v.
1.3.2 Phân loi k tn công
Có rt nhiu k tn công trên mng toàn cu – Internet và
chúng ta c#ng không th phân loi chúng mt cách chính
xác, bt c mt bn phân loi kiu này c#ng ch" nên c
xem nh là mt s gii thiu hn là mt cách nhìn rp
khuôn.
1.3.2.1 Ngi qua ng
Ngi qua ng là nhng k bu)n chán vi nhng công
vic thng ngày, h mu(n tìm nhng trò gii trí mi. H
t nhp vào máy tính ca bn vì h ngh bn có th có
nhng d liu hay, ho&c bi vì h cm thy thích thú khi s
dng máy tính ca ngi khác, ho&c ch" n gin là h
không tìm c mt vic gì hay hn làm. H có th là
ngi tò mò nhng không ch
nh làm hi bn. Tuy nhiên,
h thng gây h h%ng h th(ng khi t nhp hay khi xoá
b% du vt ca h .
12
1.3.2.2 K phá hoi
K phá hoi ch
nh phá hoi h th(ng ca bn, h có th
không thích bn, h c#ng có th không bit bn nhng h
tìm thy nim vui khi i phá hoi.
Thông thng, trên Internet k phá hoi khá him. M i
ngi không thích h . Nhiu ngi còn thích tìm và ch&n
ng nhng k phá hoi. Tuy ít nhng k phá hoi thng
gây h%ng trm tr ng cho h th(ng ca bn nh xoá toàn b
d liu, phá h%ng các thit b
trên máy tính ca bn...
1.3.2.3 K ghi im
Rt nhiu k qua ng b
cu(n hút vào vic t nhp, phá
hoi. H mu(n c kh2ng
nh mình thông qua s( lng
và các kiu h th(ng mà h ã t nhp qua. t nhp c
vào nhng ni ni ting, nhng ni phòng b
ch&t ch0,
nhng ni thit k tinh xo có giá tr
nhiu im (i vi h .
Tuy nhiên h c#ng s0 tn công tt c nhng ni h có th,
vi mc ích s( lng c#ng nh mc ích cht lng.
Nhng ngi này không quan tâm n nhng thông tin bn
có hay nhng &c tính khác v tài nguyên ca bn. Tuy
nhiên t c mc ích là t nhp, vô tình hay hu ý
h s0 làm h h%ng h th(ng ca bn.
1.3.2.4 Gián ip
Hin nay có rt nhiu thông tin quan tr ng c lu tr trên
máy tính nh các thông tin v quân s, kinh t... Gián ip
máy tính là mt vn phc tp và khó phát hin. Thc t,
phn ln các t chc không th phòng th kiu tn công này
mt cách hiu qu và bn có th chc r!ng ng liên kt
13
vi Internet không phi là con ng d1 nht gián ip
thu lm thông tin.
14
1.4 Vy Internet Firewall là gì?
1.4.1
nh ngha
Thut ng Firewall có ngu)n g(c t- mt k thut thit k
trong xây dng ng
n ch&n, hn ch ho hon. Trong
công ngh mng thông tin, Firewall là mt k thut c
tích hp vào h th(ng mng ch(ng s truy cp trái phép
nh!m bo v các ngu)n thông tin ni b c#ng nh hn ch
s xâm nhp vào h th(ng ca mt s( thông tin khác không
mong mu(n. C#ng có th hiu r!ng Firewall là mt c ch
bo v mng tin tng (trusted network) kh%i các mng
không tin tng (untrusted network).
Internet Firewall là mt thit b
(phn cng+phn mm)
gia mng ca mt t chc, mt công ty, hay mt qu(c gia
(Intranet) và Internet. Nó thc hin vai trò bo mt các
thông tin Intranet t- th gii Internet bên ngoài.
1.4.2 Chc nng
Internet Firewall (t- nay v sau g i tt là firewall) là mt
thành phn &t gia Intranet và Internet kim soát tt c
các vic lu thông và truy cp gia chúng vi nhau bao
g)m:
• Firewall quyt
nh nhng d
ch v nào t- bên trong
c phép truy cp t- bên ngoài, nhng ngi nào t-
bên ngoài c phép truy cp n các d
ch v bên
trong, và c nhng d
ch v nào bên ngoài c phép
truy cp bi nhng ngi bên trong.
15
• firewall làm vic hiu qu, tt c trao i thông tin
t- trong ra ngoài và ngc li u phi thc hin thông
qua Firewall.
• Ch" có nhng trao i nào c phép bi ch an ninh
ca h th(ng mng ni b mi c quyn lu thông
qua Firewall.
S ) chc n
ng h th(ng ca firewall c mô t nh
trong hình 2.1
Intranet firewall Internet
Hình 2.1 S ) chc n
ng h th(ng ca firewall
1.4.3 Cu trúc
Firewall bao g)m:
• Mt ho&c nhiu h th(ng máy ch kt n(i vi các b
nh tuyn (router) ho&c có chc n
ng router.
• Các phn mm qun lý an ninh chy trên h th(ng máy
ch. Thông thng là các h qun tr
xác thc
(Authentication), cp quyn (Authorization) và k toán
(Accounting).
Chúng ta s0 cp k hn các hot ng ca nhng h này
phn sau.
16
1.4.4 Các thành phn ca Firewall và c ch hot ng
Mt Firewall chu,n bao g)m mt hay nhiu các thành phn
sau ây:
• B l c packet ( packet-filtering router )
• Cng ng dng (application-level gateway hay proxy
server )
• Cng mch (circuite level gateway)
1.4.4.1 B
lc gói tin (Packet filtering router)
1.4.4.1.1 Nguyên lý:
Khi nói n vic lu thông d liu gia các mng vi nhau
thông qua Firewall thì iu ó có ngha r!ng Firewall hot
ng ch&t ch0 vi giao thc liên mng TCP/IP. Vì giao thc
này làm vic theo thut toán chia nh% các d liu nhn c
t- các ng dng trên mng, hay nói chính xác hn là các
d
ch v chy trên các giao thc (Telnet, SMTP, DNS,
SMNP, NFS...) thành các gói d liu (data packets) r)i gán
cho các packet này nhng
a ch" có th nhn dng, tái
lp li ích cn gi n, do ó các loi Firewall c#ng liên
quan rt nhiu n các packet và nhng con s(
a ch" ca
chúng.
B l c packet cho phép hay t- ch(i m*i packet mà nó nhn
c. Nó kim tra toàn b on d liu quyt
nh xem
on d liu ó có tho mãn mt trong s( các lut l ca l c
packet hay không. Các lut l l c packet này là da trên các
thông tin u m*i packet (packet header), dùng cho
phép truyn các packet ó trên mng. ó là:
•
a ch" IP ni xut phát ( IP Source address)
17
•
a ch" IP ni nhn (IP Destination address)
• Nhng th tc truyn tin (TCP, UDP, ICMP, IP tunnel)
• Cng TCP/UDP ni xut phát (TCP/UDP source port)
• Cng TCP/UDP ni nhn (TCP/UDP destination port)
• Dng thông báo ICMP ( ICMP message type)
• giao din packet n ( incomming interface of packet)
• giao din packet i ( outcomming interface of packet)
Nu lut l l c packet c tho mãn thì packet c
chuyn qua firewall. Nu không packet s0 b
b% i. Nh vy
mà Firewall có th ng
n cn c các kt n(i vào các máy
ch ho&c mng nào ó c xác
nh, ho&c khoá vic truy
cp vào h th(ng mng ni b t- nhng
a ch" không cho
phép. Hn na, vic kim soát các cng làm cho Firewall có
kh n
ng ch" cho phép mt s( loi kt n(i nht
nh vào
các loi máy ch nào ó, ho&c ch" có nhng d
ch v nào ó
(Telnet, SMTP, FTP...) c phép mi chy c trên h
th(ng mng cc b.
1.4.4.1.2 3u im
a s( các h th(ng firewall u s dng b l c packet.
Mt trong nhng u im ca phng pháp dùng b l c
packet là chi phí thp vì c ch l c packet ã c bao
g)m trong m*i phn mm router.
Ngoài ra, b l c packet là trong su(t (i vi ngi s
dng và các ng dng, vì vy nó không yêu cu s hun
luyn &c bit nào c.
1.4.4.1.3 Hn ch:
18
Vic
nh ngha các ch l c packet là mt vic khá phc
tp, nó òi h%i ngi qun tr
mng cn có hiu bit chi tit
v các d
ch v Internet, các dng packet header, và các giá
tr
c th mà h có th nhn trên m*i trng. Khi òi h%i v
s l c càng ln, các lut l v l c càng tr nên dài và phc
tp, rt khó qun lý và iu khin.
Do làm vic da trên header ca các packet, rõ ràng là b
l c packet không kim soát c ni dung thông tin ca
packet. Các packet chuyn qua v$n có th mang theo nhng
hành ng vi ý )
n cp thông tin hay phá hoi ca k
xu.
1.4.4.2 Cng ng dng (application-level gateway)
1.4.4.2.1 Nguyên lý
ây là mt loi Firewall c thit k t
ng cng chc
n
ng kim soát các loi d
ch v, giao thc c cho phép
truy cp vào h th(ng mng. C ch hot ng ca nó da
trên cách thc g i là Proxy service (d
ch v i din).
Proxy service là các b chng trình &c bit cài &t trên
gateway cho t-ng ng dng. Nu ngi qun tr
mng
không cài &t chng trình proxy cho mt ng dng nào ó,
d
ch v tng ng s0 không c cung cp và do ó không
th chuyn thông tin qua firewall. Ngoài ra, proxy code có
th c
nh cu hình h* tr ch" mt s( &c im trong
ng dng mà ngòi qun tr
mng cho là chp nhn c
trong khi t- ch(i nhng &c im khác.
Mt cng ng dng thng c coi nh là mt pháo ài
(bastion host), bi vì nó c thit k &t bit ch(ng li
s tn công t- bên ngoài. Nhng bin pháp m bo an ninh
ca mt bastion host là:
19
Bastion host luôn chy các version an toàn (secure
version) ca các phn mm h th(ng (Operating
system). Các version an toàn này c thit k chuyên
cho mc ích ch(ng li s tn công vào Operating
System, c#ng nh là m bo s tích hp firewall.
Ch" nhng d
ch v mà ngi qun tr
mng cho là cn
thit mi c cài &t trên bastion host, n gin ch" vì
nu mt d
ch v không c cài &t, nó không th b
tn
công. Thông thng, ch" mt s( gii hn các ng dng
cho các d
ch v Telnet, DNS, FTP, SMTP và xác thc
user là c cài &t trên bastion host.
Bastion host có th yêu cu nhiu mc xác thc khác
nhau, ví d nh user password hay smart card.
M*i proxy c &t cu hình cho phép truy nhp ch"
mt s) các máy ch nht
nh. iu này có ngha r!ng
b lnh và &c im thit lp cho m*i proxy ch" úng
vi mt s( máy ch trên toàn h th(ng.
M*i proxy duy trì mt quyn nht ký ghi chép li toàn
b chi tit ca giao thông qua nó, m*i s kt n(i,
khong thi gian kt n(i. Nht ký này rt có ích trong
vic tìm theo du vt hay ng
n ch&n k phá hoi.
M*i proxy u c lp vi các proxies khác trên bastion
host. iu này cho phép d1 dàng quá trình cài &t mt
proxy mi, hay tháo g4 môt proxy ang có vn .
Ví d: Telnet Proxy
Ví d mt ngi (g i là outside client) mu(n s dng d
ch
v TELNET kt n(i vào h th(ng mng qua môt bastion
host có Telnet proxy. Quá trình xy ra nh sau:
20
1. Outside client telnets n bastion host. Bastion host
kim tra password, nu hp l thì outside client c
phép vào giao din ca Telnet proxy. Telnet proxy cho
phép mt tp nh% nhng lnh ca Telnet, và quyt
nh
nhng máy ch ni b nào outside client c phép truy
nhp.
2. Outside client ch" ra máy ch ích và Telnet proxy to
mt kt n(i ca riêng nó ti máy ch bên trong, và
chuyn các lnh ti máy ch di s u' quyn ca
outside client. Outside client thì tin r!ng Telnet proxy là
máy ch tht bên trong, trong khi máy ch bên trong
thì tin r!ng Telnet proxy là client tht.
1.4.4.2.2 3u im:
Cho phép ngi qun tr
mng hoàn toàn iu khin
c t-ng d
ch v trên mng, bi vì ng dng proxy
hn ch b lnh và quyt
nh nhng máy ch nào có
th truy nhp c bi các d
ch v.
Cho phép ngi qun tr
mng hoàn toàn iu khin
c nhng d
ch v nào cho phép, bi vì s vng m&t
ca các proxy cho các d
ch v tng ng có ngha là các
d
ch v y b
khoá.
Cng ng dng cho phép kim tra xác thc rt t(t, và
nó có nht ký ghi chép li thông tin v truy nhp h
th(ng.
Lut l filltering (l c) cho cng ng dng là d1 dàng cu
hình và kim tra hn so vi b l c packet.
1.4.4.2.3 Hn ch:
21
Yêu cu các users bin i (modìy) thao tác, ho&c modìy
phn mm ã cài &t trên máy client cho truy nhp vào các
d
ch v proxy. Ví d, Telnet truy nhp qua cng ng dng
òi h%i hai bc ê n(i vi máy ch ch không phi là mt
bc thôi. Tuy nhiên, c#ng ã có mt s( phn mm client
cho phép ng dng trên cng ng dng là trong su(t, b!ng
cách cho phép user ch" ra máy ích ch không phi cng
ng dng trên lnh Telnet.
1.4.4.3 Cng vòng (circuit-Level Gateway)
Cng vòng là mt chc n
ng &c bit có th thc hin c
bi mt cng ng dng. Cng vòng n gin ch" chuyn
tip (relay) các kt n(i TCP mà không thc hin bt k+ mt
hành ng x lý hay l c packet nào.
Hình 2.2 minh ho mt hành ng s dng n(i telnet qua
cng vòng. Cng vòng n gin chuyn tip kt n(i telnet
qua firewall mà không thc hin mt s kim tra, l c hay
iu khin các th tc Telnet nào.Cng vòng làm vic nh
mt si dây,sao chép các byte gia kt n(i bên trong (inside
connection) và các kt n(i bên ngoài (outside connection).
Tuy nhiên, vì s kt n(i này xut hin t- h th(ng firewall,
nó che du thông tin v mng ni b.
Cng vòng th
Các file đính kèm theo tài liệu này:
- Tìm hiểu về tường lửa Firewall.pdf