(123doc) Nghien Cuu Ve Tuong Lua Firewall

Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa
.......................
Đề Tài
Nghiên cứu về tưởng lửa
1
Giáo viên hướng dẫn: TS. Nguyễn Mạnh Hùng
Sinh viên thực hiện: Trần Thị Hạnh_Mã sinh viên:5417123
Mục Lục
PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG........................................3
CÁC HÌNH THỨC TẤN CÔNG.....................................................................................................5
1.1 Tấn công trực tiếp:..................................................................................................................5
1.2. Nghe trộm:..............................................................................................................................6
1.3. Giả mạo địa chỉ:......................................................................................................................7
1.4. Vô hiệu các chức năng của hệ thống (DoS, DDoS):...............................................................7
1.5. Lỗi của người quản trị hệ thống:.............................................................................................9
1.6. Tấn công vào yếu tố con người:..............................................................................................9
CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG.................................................................9
Dịch vụ bí mật (Confidentiality)....................................................................................................10
Dịch vụ xác thực (Authentication).................................................................................................11
Không thể chối bỏ (Nonrepudiation).............................................................................................12
CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG...........................................................13
GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG TIN TRÊN MẠNG...................................16
PHẦN II: FIREWALL...................................................................................................................24
GIỚI THIỆU VỀ FIREWALL.......................................................................................................24
ĐỐI TƯỢNG BẢO VỆ..............................................................................................................25
PHÂN LOẠI KẺ TẤN CÔNG......................................................................................................27
INTERNET FIREWALL...............................................................................................................28
a. Ưu điểm:....................................................................................................................................44
b. Hạn chế:.....................................................................................................................................44
BASTION HOST...........................................................................................................................52
NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST............................52
CÁC LOẠI BASTION HOST ĐẶC BIỆT....................................................................................53
CHỌN MÁY..................................................................................................................................54
CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST........................................................................55
VỊ TRÍ BASTION HOST TRÊN MẠNG.....................................................................................55
CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP.................................................56
LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST...................57
XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG..............57
CÁC DỊCH VỤ INTERNET.........................................................................................................59
WORLD WIDE WEB (WWW).....................................................................................................59
ELECTRONIC MAIL ( EMAIL-THƯ ĐIỆN TỬ )......................................................................60
FTP(FILE TRANSFER PROTOCOLS)........................................................................................61
PROXY..........................................................................................................................................62
PROXY LÀ GÌ???.........................................................................................................................62
TẠI SAO PROXY RA ĐỜI...........................................................................................................64
TỔNG KẾT CHUNG VỀ PROXY...............................................................................................65
2
PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN

TRÊN MẠNG
An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với
xã hội và các quốc gia trên thế giới. Mạng máy tính an toàn thông tin được tiến
hành thông qua cá phương pháp vật lý và hành chính. Từ khi ra đời cho đến nay
mạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đời
sống. Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trên
mạng của họ bị tấn công. An toàn thông tin trên mạng máy tính bao gồm các
phương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng. An toàn
thông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồng
thời cũng là một công việc hết sức khó khăn và phức tạp.
Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn công
thông tin trong quá trình xử lý, truyền và lưu giữ thông tin. Những tác động bất
hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ
tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong
các mạng máy tính. Sau đây là một vài ví dụ điển hình về các tác động bất hợp
pháp vào các mạng máy tính:
Các sinh viên trường Đại học Tổng hợp Mỹ đã lập và cài đặt vào máy tính
một chương trình bắt chước sự làm việc với người sử dụng ở xa. Bằng chương
trình họ đã nắm trước được nhu cầu của người sử dụng và hỏi mật khẩu của họ.
Đến khi bị phát hiện các sinh viên này đã kịp lấy được mật khẩu của hơn 100
người sử dụng hợp pháp hệ thống máy tính.
3
Các nhân viên của hãng CDC(Mỹ) đã “xâm nhập” vào trung tâm tính toán
của một hãng sản xuất hóa phẩm và đã phá hủy các dữ liệu lưu giữ trên băng từ
gây thiệt hại cho hãng này tới hơn 100.000$.
Hãng bách khoa toàn thư của Anh đã đưa ra tòa 3 kĩ thuật viên trong trung
tâm máy tính của mình với lời buộc tội họ đã sao chép từ ổ đĩa của máy chủ tên
tuổi gần 3 triệu khách hàng đáng giá của hãng để bán cho hãng khác.
Chiếm vị trí đáng kể hơn cả trong số các hành động phi pháp tấn công mạng
máy tính là các hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏng
đường cáp kết nối và các hệ thống mã hóa. Song phổ biến nhất vẫn là việc phá hủy
các phần mềm xử lý thông tin tự động, chính các hành vi này thường gây thiệt hại
vô cùng lớn lao.
Cùng với sự gia tăng của nguy cơ đe dọa thông tin trong các mạng máy tính,
vấn đề bảo vệ thông tin càng được quan tâm nhiều hơn. Sau kết quả nghiên cứu
điều tra của của viện Stendfooc (Mỹ), tình hình bảo vệ thông tin đã có những thay
đổi đáng kể. Đến năm 1985 nhiều chuyên gia Mỹ đi đến kết luận rằng các tác động
phi pháp trong hệ thống thông tin tính toán đã trở thành tai họa quốc gia.Khi có đủ
các tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành một cuộc nghiên cứu đặc
biệt. Kết quả là gần một nửa số ý kiến thăm dò thông báo rằng trong năm 1984 họ
đã là nạn nhân của các hành động tội phạm được thực hiện bằng máy tính, rất
nhiều trong số các nạn nhân này đã thông báo cho chính quyền về tội phạm., 39%
số nạn nhân tuy có thông báo nhưng lại không chỉ ra được mục tiêu mà mình nghi
vấn. Đặc biệt nhiểu là các vụ phạm pháp xảy ra trên mạng máy tính của các cơ
quan kinh doanh và nhà băng. Theo các chuyên gia, tính đến trước năm 1990 ở Mỹ
lợi lộc thu được từ việc thâm nhập phi pháp vào các hệ thống thông tin đã lên tới
gần 10 triệu đô la. Tổn thất trung bình mà nạn nhân phải trả vì các vụ phạm pháp
ấy từ 400.000 đến 1.5 triệu đô la. Có hãng đã phải tuyên bố phá sản vì một nhân
4
viên cố ý phá bỏ tất cả các tài liệu kế toán chứa trong bộ nhớ của máy tính về số nợ
của các con nợ.
CÁC HÌNH THỨC TẤN CÔNG.
1.1 Tấn công trực tiếp:

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai
đoạn đầu để chiếm được quyền truy nhập bên trong. Một phương pháp tấn công
cổ điển là dò tìm tên ngời sử dụng và mật khẩu. Đây là phương pháp đơn giản,
dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn
công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số
nhà vv.. để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng
và những thông tin về môi trường làm việc, có một trương trình tự động hoá về
việc dò tìm mật khẩu này.
Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật
khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ
hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định
nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có
thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ
điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục
để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép
kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).
5
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này
là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành
UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng
ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của
người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư
của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về
thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở
thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa
vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên
và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng
nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi
đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.
1.2. Nghe trộm:

Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích
như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc
nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được
quyền truy nhập hệ thống, thông qua các chương trình cho phép bắt các
gói tin vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những
thông tin này cũng có thể dễ dàng lấy được trên Internet.
6
1.3. Giả mạo địa chỉ:

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng
khả năng dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn
công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông
thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng
bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.
1.4. Vô hiệu các chức năng của hệ thống (DoS,

DDoS):
Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức
năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những
phương tiện đợc tổ chức tấn công cũng chính là các phương tiện để làm việc và
truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có
thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng
để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc
có ích khác.
7
Hình 1 Mô hình tấn công DdoS
• Client là một attacker sắp xếp một cuộc tấn công

• Handler là một host đã được thỏa hiệp để chạy những chương trình
đặc biệt dùng đê tấn công
• Mỗi handler có khả năng điều khiển nhiều agent
• Mỗi agent có trách nhiệm gửi stream data tới victim
8
1.5. Lỗi của người quản trị hệ thống:

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên
lỗi của người quản trị hệ thống thờng tạo ra những lỗ hổng cho phép kẻ tấn
công sử dụng để truy nhập vào mạng nội bộ.
1.6. Tấn công vào yếu tố con người:

Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm một
người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của
mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để
thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một
thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục
người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với
những hiện tượng đáng nghi. Nói chung yếu tố con ngời là một điểm yếu trong
bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp
tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.
CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG
9
Chúng ta có thể coi các dịch vụ bảo vệ thông tin như là “bản sao” của các
thao tác bảo vệ tài liệu vật lý. Các tài liệu vật lý có các chữ kí và thông tin về ngày
tạo ra nó. Chúng được bảo vệ nhằm chống lại việc đọc trộm, giả mạo, phá hủy…
Chúng có thể được công chứng, chứng thực, ghi âm, chụp ảnh…
Tuy nhiên có các điểm khác nhau giữa tài liệu điện tử và tài liệu giấy:
- Ta có thể phân biệt giữa tài liệu giấy nguyên bản và một tài liệu sao chép.
Nhưng tài liệu điện tử chỉ là một dãy các bit nên không thể phân bệt được đâu là tài
liệu “nguyên bản” đâu là tài liệu sao chép.
- Một sự thay đổi trong tài liệu giấy đều để lại dấu vết như vết xóa, tẩy…
Tuy nhiên sự thay đổi tài liệu điện tử hoàn toàn không để lại dấu vết.
Dưới đây là các dịch vụ bảo vệ thông tin trên mạng máy tính.
Dịch vụ bí mật (Confidentiality)

Dịch vụ bí mật bảo đảm rằng thông tin trong hệ thống máy tính và thông
tin được truyền chỉ được đọc bởi những bên được ủy quyển. Thao tác đọc bao
gồm in, hiển thị,…Nói cách khác, dịch vụ bí mật bảo vệ dữ liệu được truyền
chống lại các tấn công bị động nhằm khám phá nội dung thông báo.
Thông tin được bảo vệ có thể là tất cả dữ liệu được truyền giữa hai người
dùng trong một khoảng thời gian hoặc một thông báo lẻ hay một số trường
trong thông báo.
Dịch vụ này còn cung cấp khả năng bảo vệ luồng thông tin khỏi bị tấn
công phân tích tình huống.
10
Dịch vụ xác thực (Authentication)

Dịch vụ xác thực đảm bảo rằng việc truyền thông là xác thực nghĩa là cả
người gửi và người nhận không bị mạo danh.
Trong trường hợp có một thông báo đơn như một tín hiệu cảnh báo, tín
hiệu chuông, dịch vụ xác thực đảm bảo với bên nhận rằng thông báo đến từ
đúng bên nêu danh. Trong trường hợp có một giao dịch đang xảy ra, dịch vụ
xác thực đảm bảo rằng hai bên giao dịch là xác thực và không có kẻ nào giả
danh làm một trong các bên trao đổi.
Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo được
nhận dạng đúng với các định danh đúng.
2.1. Dịch vụ toàn vẹn (Integrity)

Dịch vụ toàn vẹn đòi hỏi rằng các tài nguyên hệ thống máy tính và thông
tin được truyền không bị sử đổi trái phép. Việc sửa đổi bao gồm các thao tác
viết, thay đổi, thay đổi trạng thái, xóa thông báo, tạo thông báo, làm trể hoặc
dùng lại các thông báo được truyền.
Dịch vụ toàn vẹn có thể áp dụng cho một thông báo, một luồng thông báo
hay chỉ một số trường trong thông báo.
Dịch vụ toàn vẹn định hướng kết nối (connection-oriented) áp dụng cho
một luồng thông báo và nó bảo đảm rằng các thông báo được nhận có nội dung
giống như khi được gửi, không bị nhân bản, chèn, sửa đổi, thay đổi trật tự hay
dùng lại kể cả hủy hoại số liệu. Như vậy dịch vụ toàn vẹn định hướng kết nối
quan tâm đến cả việc thay đổi thông báo và từ chối dịch vụ. Mặt khác, dịch vụ
toàn vẹn phi kết nối chỉ quan tâm đến việc sử đổi thông báo. Dịch vụ toàn vẹn
này thiên về phát hiện hơn là ngăn chặn.
11
Không thể chối bỏ (Nonrepudiation)

Dịch vụ không thể chối bỏ ngăn chặn người gửi hay người nhận chối bỏ
thông báo được truyền. Khi thông báo được gửi đi người nhận có thể chứng
minh rằng người gửi nêu danh đã gửi nó đi. Khi thông báo nhận được, người
gửi có thể chứng minh thông báo đã được nhận bởi người nhận hợp pháp.
2.2. Kiểm soát truy nhập (Access control)

Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập đến các
hệ thống máy tính và các ứng dụng theo các đường truyền thông. Mỗi thực thể
muốn truy nhập đuề phải định danh hay xác nhận có quyền truy nhập phù hợp.
2.3. Sẵn sàng phục vụ (Availability)

Sẵn sàng phục vụ đòi hỏi rằng các tài nguyên hệ thống máy tính luôn sẵn
sàng đối với những bên được ủy quyền khi cần thiết.
Các tấn công có thể làm mất hoặc giảm khả năng sẵn sàng phục vụ của
các chương trình phần mềm và các tài nguyên phần cứng của mạng máy tính.
Các phần mềm hoạt động sai chức năng có thể gây hậu quả không lường trước
được.
Các mối đe dọa chủ yếu tới sự an toàn trong các hệ thống mạng xuất phát từ
tính mở của các kênh truyền thông (chúng là các cổng được dùng cho truyền thông
hợp pháp giữa các tiến trình như client, server) và hậu quả là làm cho hệ thống bị
tấn công. Chúng ta phải thừa nhận rằng trong mọi kênh truyền thông, tại tất cả các
mức của phần cứng và phần mềm của hệ thống đều chịu sự nguy hiểm của các mối
đe dọa đó.
12
Biện pháp để ngăn chặn các kiểu tấn công ở trên là:
- Xây dựng các kênh truyền thông an toàn để tránh việc nghe trộm
- Thiết kế các giao thức xác nhận lẫn nhau giữa máy khách hàng và máy chủ:
+ Các máy chủ phải đảm bảo rằng các máy khách hàng đúng là máy của
những người dùng mà chúng đòi hỏi
+ Các máy khách hàng phải đảm bảo rằng các máy chủ cung cấp các dịch
vụ đặc trưng là các máy chủ được ủy quyền cho các dịch vụ đó.
+ Đảm bảo rằng kênh truyền thông là “tươi” nhằm tránh việc dùng lại thông
báo.
CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN

MẠNG
Mã hóa
Việc mã hóa các thông báo có các vai trò sau:
1. Nó dùng để che dấu thông tin mật được đặt trong hệ thống. Như chúng ta
đã biết, các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm và
xuyên tạc thông báo. Theo truyền thống, việc trao đổi thư từ bằng mật mã được
dùng trong các hoạt động quân sự, tình báo. Điều này dựa trên nguyên tắc là
một thông báo được mã hóa với một khóa mã xác định và chỉ có thể được giải
mã bởi người biết khóa ngược tương ứng.
2. Nó được dùng để hỗ trợ cho cơ chế truyền thông xác thực giữa các cặp
người dùng hợp pháp mà ta gọi là người ủy nhiệm (Principal). Một người ủy
nhiệm sau khi giải mã thành công một thông báo bằng cách dùng một khóa dịch
13
xác định có thể thừa nhận rằng thông báo được xác thực nếu nó chứa một vài
giá trị mong muốn. Từ đó người nhận có thể suy ra rằng người gửi của thông
báo có khóa mã tương ứng. Như vậy nếu ác khóa được giữ bí mật thì việc giả
mã thành công sẽ xác thực thông báo đến từ một người gửi xác định.
3. Nó được dùng để cài đặt một cơ chế chữ kí số. Chữ kí số có vai trò quan
trọng như một chữ kí thông thường trong việc xác nhận với một thành viên thứ
ba rằng một thông báo là một bản sao không bị thay đổi của một thông báo
được tạo bởi người ủy nhiệm đặc biệt. Khả năng để cung cấp một chữ kí số dựa
trên nguyên tắc : có những việc chỉ có người ủy nhiệm là người gửi thực sự mới
có thể làm còn những người khác thì không thể. Điều này có thể đạt được bằng
việc đòi hỏi một thành viên thứ 3 tin cậy mà anh ta có bằng chứng định danh
của người yêu cầu để mã thông báo hoặc để mã một dạng ngắn của thông báo
được gọi là digest tương tự như một checksum. Thông báo hoặc digest được mã
đóng vai trò như một chữ kí đi kèm với thông báo.
Cơ chế sát thực

Trong các hệ thống nhiều người dùng tập trung các cơ chế xác thực
thường là đơn giản. Định danh của người dùng có thể được xác thực bởi việc
kiểm tra mật khẩu của mỗi phiên giao dịch. Cách tiếp cận này dựa vào cơ chế
quản lí tài nguyên hệt thống của nhân hệ điều hành. Nó chặn tất cả các phiên
giao dịch mới bằng cách giả mạo người khác.
Trong các mạng máy tính, việc xác thực là biện pháp mà nhờ nó các định
danh của các máy chủ và các máy khách hàng được xác minh là đáng tin cậy.
Cơ chế được dùng để đạt điều này là dựa trên quyền sở hữu các khóa mã. Từ
thực tế rằng chỉ một người ủy nhiệm mới có quyền sở hữu khóa bí mật, chúng
ta suy ra rằng người ủy nhiệm chính là người có định danh mà nó đòi hỏi. Việc
14
sở hữu một mật khẩu bí mật cũng được dùng để xác nhận định danh của người
sở hữu. Các dịch vụ xác thực dựa vào việc dùng mật mã có độ an toàn cao .
Dịch vụ phân phối khóa có chức năng tạo, lưu giữ và phân phối tất cả các khóa
mật mã cần thiết cho tất cả người dùng trên mạng.
Các cơ chế điều khiển truy nhập

Các cơ chế điều khiển truy nhập được dùng để đảm bảo rằng chỉ có một
số người dùng được gán quyền mới có thể truy nhập đến các tài nguyên thông
tin (tệp, tiến trình, cổng truyền thông…) và các tài nguyên phần cứng (máy chủ,
processor, Gateway…)
Các cơ chế điều khiển truy nhập xảy ra trong các hệ điều hành đa người
dùng không phân tán. Trong UNIX và các hệ thống nhiều người dùng khác, các
tệp là các tài nguyên thông tin có thể chia xẻ quan trọng nhất và một cơ chế
điều khiển truy nhập được cung cấp để cho phép mỗi người dùng quản lí một số
tệp bí mật và để chia xẻ chúng trong một cách thức được điều khiển nào đó.
15
GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG

TIN TRÊN MẠNG
Khi nói đến giả pháp tổng thể cho an toàn thông tin trên mạng, các chuyên
gia đểu nhấn mạnh một thực tế là không có thứ gì là an toàn tuyệt đối. Hệ thống
bảo vệ có chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hóa bởi những kẻ
phá hoại điêu luyện về kĩ xảo và có đủ thời gian. Chưa kể trong nhiều trường hợp
kẻ phá hoại lại nằm ngay trong nội bộ cơ quan có mạng cần bảo vệ. Từ đó có thể
thấy rằng vấn đề an toàn mạng máy tính thực tế là một cuộc chạy tiếp sức không
ngừng và không ai dám khẳng định là có đích cuối cùng hay không.
Các mức bảo vệ thông tin trên mạng

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn”
đối với các hoạt động xâm phạm. Ngoài việc bảo vệ thông tin trên đường
truyền, chúng ta còn phải bảo vệ thông tin được cất giữ trong các máy tính, đặc
biệt là trong các máy chủ trên mạng. Bởi thế ngoài một số biện pháp nhằm
chống lại việc tấn công vào thông tin trên đường truyền, mọi cố gắng phải tập
trung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệ
thống kết nối vào mạng. Hình 1.3 mô tả các lớp “rào chắn” thông dụng hiện nay
để bảo vệ thông tin trên mạng máy tính:
16
Thông
tin
Quyền truy nhập
Login/password
Mã hóa dữ liệu
Bảo vệ vật lý
Firewall
Hình 2: Các mức bảo vệ thông tin trên mạng máy tính
• Quyền truy nhập:

Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên
thông tin của mạng và quyền hạn của người sử dụng trên tài nguyên đó. Hiện tại
việc kiểm soát thường ở mức tệp.
• Đăng kí tên và mật khẩu:
Lớp bảo vệ tiếp theo là đăng kí tên/ mật khẩu (login/password). Thực ra
đây cũng là lớp kiểm soát quyền truy nhập, nhưng không phải truy nhập ở mức
thông tin mà ở mức hệ thống. Đây là phương pháp bảo vệ phổ biến nhất vì nó
đơn giản, ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng, kể cả người quản
trị mạng muốn vào được mạng để sử dụng các tài nguyên của mạng đều phải
17
đăng kí tên và mật khẩu trước. Người quản trị mạng có trách nhiệm quản lí,
kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những
người sử dụng khác tùy theo thời gian và không gian, nghĩa là một người sử
dụng chỉ được phép vào mạng ở những thời điểm và từ những vị trí xác định.
Về lí thuyết, nếu mọi người đều giữ kín được tên và mật khẩu đăng kí của mình
thì sẽ không xảy ra các truy nhập trái phép. Song điều đó rất khó đảm bảo trong
thực tế vì nhiều nguyên nhân, chẳng hạn như người sử dụng thiếu cẩn thận khi
chọn mật khẩu trùng với ngày sinh, tên người thân hoặc ghi mật khẩu ra giấy…
Điều đó làm giảm hiệu quả của lớp bảo vệ này. Có thể khắc phục bằng nhiều
cách như người quản trị có trách nhiệm đặt mật khẩu, thay đổi mật khẩu theo
thời gian…
• Mã hóa dữ liệu;
Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương
pháp mã hóa. Dữ liệu được biến đổi từ dạng nhận thức được sang dạng không
nhận thức được theo một thuật toán nào đó (lập mã) và sẽ được biến đổi ngược
lại (dịch mã) ở nơi nhận. Đây là lớp bảo vệ thông tin rất quan trọng và được sử
dụng rộng rãi trong môi trường mạng.
• Bảo vệ vật lý
Nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Người ta
thường dùng các biện pháp truyền thống như cấm tuyệt đối người không phận
sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính (ngắt nguồn điện đến
màn hình và bàn phím nhưng vẫn giữ liên lạc trực tuyến giữa máy tính với
mạng, hoặc cài cơ chế báo động khi có truy nhập vào hệ thống) hoặc dùng các
trạm không có ổ đĩa mềm…
18
• Bức tường lửa (Firewall)

Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người ta
thường dùng các hệ thống đặc biệt là tường lửa. Chức năng của các tường lửa là
ngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định trước) và
thậm chí có thể “lọc” bỏ các gói tin mà ta không muốn gửi đi hoặc nhận vì
những lí do nào đó. Phương thức này được sử dụng nhiều trong môi trường
mạng Internet.
Một cách tiếp cận khác trong việc xây dựng giải pháp tổng thể về an toàn
thông tin trên mạng máy tính là đưa ra các phương pháp và phương tiện bảo vệ
thông tin.
Các phương pháp và phương tiện bảo vệ thông tin

Trong giai đoạn đầu tiên, người ta cho rằng việc bảo vệ thông tin trong hệ
thống thông tin tính toán có thể được thực hiện tương đối dễ dàng, thuần túy
bằng các chương trình phần mềm. Chính vì vậy các phương tiện chương trình
có kèm theo việc bổ sung các biện pháp tổ chức cần thiết được phát triển một
cách đáng kể. Nhưng cho đến lúc chỉ riêng các phương tiện tỏ ra không thể đảm
bảo chắc chắn việc bảo vệ thông tin thì các thiết bị kỹ thuật đa năng, thậm chí
cả một hệ thống kĩ thuật lại phát triển một cách mạnh mẽ. Từ đó cần thiết phải
triển khai một cách đồng bộ tất cả các phương tiện bảo vệ thông tin. Các
phương pháp bảo vệ thông tin bao gồm
• Các chướng ngại:
Chướng ngại là nhằm ngăn cản kẻ tấn công tiếp cận thông tin được bảo
vệ.
19
• Điều khiển sự tiếp cận:

Điều khiển sự tiếp cận là phương pháp bảo vệ thông tin bằng cách kiểm
soát việc sử dụng tất cả các tài nguyên của hệ thống. Trong một mạng máy tính
cần xây dựng các qui định rõ ràng và chặt chẽ về chế độ làm việc của người sử
dụng, các kĩ thuật viên sử dụng các chương trình phần mềm, các cơ sở dữ liệu
và các thiết bị mang tin.
Cần phải quy định thời gian làm việc trong tuần, trong ngày cho người sử
dụng và nhân viên kĩ thuật trên mạng. Trong thời gian làm việc, cần phải xác
định một danh mục những tài nguyên của mạng được phép tiếp cận và trình tự
tiếp cận chúng. Cần thiết phải có cả một danh sách các cá nhân được quyền sử
dụng các phương tiện kĩ thuật, các chương trình.
Với các ngân hàng dữ liệu người ta cũng chỉ ra một danh sách những
người sử dụng dược quyền tiếp cận nó. Đối với các thiết bị mang tin, phải xác
định chặt chẽ vị trí lưu giữ thường xuyên, danh sách các cá nhân có quyền nhận
các thiết bị này.
20
Các chướng
Vật lý
ngại
Điều khiển Máy móc
Mã hóa thông Chương

Các
Các tin trình
phương
phương
tiện bảo
pháp bảo
vệ
vệ Quy định Tổ chức
Cướng bức Luật pháp
Kích thích Đạo đức
Hình 3: Các phương pháp và phương tiện bảo vệ thông tin.
21
• Mã hóa thông tin:

Là phương pháp bảo vệ thông tin trên mạng máy tính bằng cách dùng các
phương pháp mật mã để che dấu thông tin mật. Dạng bảo vệ này được sử dụng
rộng rãi trong quá trình truyền và lưu giữ thông tin. Khi truyền tin theo kênh
truyền công khai thì việc mã hóa là phương pháp duy nhất để bảo vệ thông tin.
• Các qui định:

Các qui định nhằm tránh được một cách tối đa các khả năng tiếp cận phi
pháp thông tin trong các hệ thống xử lí tự động. Để bảo vệ một cách có hiệu
quả cũng cần phải quy định một cách chặt chẽ về kiến trúc của hệ thống thông
tin tính toán, về lược đồ công nghệ của việc xử lí tự động các thông tin cần bảo
vệ , tổ chức và đảm bảo điều kiện làm việc của tất cả các nhân viên xử lí thông
tin…
• Cưỡng bức:
Là phương pháp bảo vệ bắt buộc người sử dụng và các nhân viên của hệ
thống phải tuân theo nguyên tắc xử lí và sử dụng thông tin cần bảo vệ dưới áp
lực của các hình phạt về tài chính và trách nhiệm hình sự.
• Kích thích:
Là các biện pháp động viên giáo dục ý thức, tính tự giác đối với vấn đề
bảo vệ thông tin người sử dụng.
Các phương pháp bảo vệ thông tin đã xét ở trên thường được thực hiện bằng
cách sử dụng các phương tiện bảo vệ khác nhau, đồng thời các phương tiện bảo vệ
này cũng được phân chia thành các phương tiện kĩ thuật, các phương tiện chương
trình, tổ chức, luật pháp và đạo đức.
Các phương tiện bảo vệ là tất cả các biện pháp tổ chức và kỹ thuật. Các biện
pháp tổ chức và pháp lí được thực hiện trong quá trình thiết kế và vận hành hệ
22
thống thông tin. Các biện pháp tổ chức cần được quan tâm một cáh đầy đủ trong
quá trình thiết kế, xây dựng và hoạt động của hệ thống.
Các phương tiện luật pháp bao gồm các điều khoản luật pháp của nhà nước
qui định về nguyên tắc sử dụng và xử lí thông tin, về việc tiếp cận có hạn chế
thông tin và những biện pháp xử lí khi vi phạm những nguyên tắc đó.
Quá trình xây dựng hệ thống bảo vệ thông tin trải qua nhiều giai đoạn.
Trong giai đoạn đầu các phương tiện chương trình chiếm ưu thế phát triển còn đến
giai đoạn hai thì tất cả các phương tiện bảo vệ đều được quan tâm. Nhưng đến giai
đoạn ba thì hình thành rõ rệt các khuynh hướng sau:
- Tạo ra những thiết bị có chức năng bảo vệ cơ bản.
- Xây dựng các phương tiện bảo vệ phức hợp có thể thực hiện một vài
chức năng bảo vệ khác nhau.
- Thống nhất và chuẩn hóa các phương tiện bảo vệ.
23
PHẦN II: FIREWALL
GIỚI THIỆU VỀ FIREWALL
Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, các
phương tiện thông tin đại chúng như báo chí, phát thanh, truyền hình…
Qua mạng Internet, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếp
cận được khối lượng thông tin khổng lồ, cập nhật trong thời gian nhanh. Lợi ích
của Internet mang lại là không nhỏ, nhưng nguy hiểm khi tham gia vào mạng cũng
không ít. Nguy hiểm chính là ngày càng có nhiều mối đe dạo đến sự bảo mật và
mất mát thông tin.
Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốc
gia. Do đó thông tin là vô giá. Chúng ta bằng mọi cách để bảo vệ chúng tránh các
mối nguy hiểm, một trong những giải pháp tốt hiện nay là xây dựng Firewall. Sử
dụng các bức tường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoài
đảm bảo được các yếu tố:
• An toàn cho sự hoạt động của toàn bộ hệ thống mạng
• Bảo mật cao trên nhiều phương diện
• Khả năng kiểm soát cao
• Đảm bảo tốc độ nhanh
• Mềm dẻo và dễ sử dụng
• Trong suốt với người sử dụng
• Đảm bảo kiến trúc mở
24
ĐỐI TƯỢNG BẢO VỆ
Nhu cầu bảo vệ thông tin trên mạng có thể chia thành ba loại gồm: Bảo vệ
dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ uy tín của cơ quan.
1.1 Đối với dữ liệu

Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các
yêu cầu sau:
- Tính bí mật (Secrecy): Những thông tin có giá trị về kinh tế, quân sự,
chính sách vv... cần được giữ kín. Lộ lọt thông tin có thể do con người hoặc hệ
thống bảo mật kém.
- Tính toàn vẹn (Integriry): Thông tin không bị mất mát hoặc sửa đổi, đánh
tráo. Những người sử dụng có thể là nguyên nhân lớn nhất gây ra lỗi. Việc lưu
trữ các thông tin không chính xác trong hệ thống cũng có thể gây nên những kết
quả xấu như là bị mất dữ liệu. Những kẻ tấn công hệ thống có thể sửa đổi, xóa
bỏ hoặc làm hỏng thông tin quan trọng mang tính sống còn cho các hoạt động
của tổ chức.
- Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết.
Trong các yêu cầu này, thông thường yêu cầu về tính bí mật được coi là
yêu cầu số 1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những
thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng
rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật
chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của
những thông tin đó.
25
1.2 Đối với tài nguyên

Tài nguyên nói ở đây bao gồm không gian bộ nhớ, không gian đĩa, các
chương trình ứng dụng, thời gian thực thi chương trình, năng lực của bộ vi xử
lí….
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi
đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ
cho mục đích của mình nhằm chạy các chương trình dò mật khẩu người sử
dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác
vv...
1.3 Đối với uy tín

Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một
trong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các
công ty lớn và các cơ quan quan trọng trong bộ máy nhà nước. Trong trường
hợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình
được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là
rất lớn và có thể để lại hậu quả lâu dài.
26
PHÂN LOẠI KẺ TẤN CÔNG
Có rất nhiều kẻ tấn công trên mạng toàn cầu-Internet và chúng ta cũng
không thể phân loại chúng một cách chính xác, bất cứ một bản phân loại kiểu này
cũng chỉ nên được xem như là một sự giứi thiệu hơn là một cách nhìn rập khuôn.
2.1 Người qua đường

Là những kẻ buồn chán với các công việc hàng ngày, họ muốn tìm những
trò giả trí mới. Họ đột nhập vào máy tính của bạn vì họ nghĩ bạn có thể có
những dữ liệu hay, hoặc bởi họ cảm thấy thích thú khi được sử dụng máy tính
của người khác, hoặc chỉ đơn giản là họ không tìm được một việc gì hay hơn để
làm. Họ có thể là người tò mò nhưng không chủ đinh làm hại bạn. Tuy nhiên,
họ thường gây hư hỏng hệ thống khi đột nhập hay khi xóa bỏ dấu vết của họ.
2.2 Kẻ phá hoại

Là những kẻ chủ định phá hoại hệ thống của bạn, họ có thể không thích
bạn, họ cũng có thể không biết bạn nhưng họ tìm thấy niềm vui khi đi phá hoại.
Thông thường, trên Internet kẻ phá hoại khá hiếm. Mọi người không
thích họ. Nhiều người còn thích tìm và chặn đứng những kẻ phá hoại. Tuy ít
nhưng kẻ phá hoại thường gây hỏng trầm trọng cho hệ thống của bạn như xóa
toàn bọ dữ liệu, phá hỏng các thiết bị trên máy tính của bạn.
27
2.3 Kẻ ghi điểm

Rất nhiều kẻ qua đường bị cuốn hút vào việc đột nhập, phá hoại. Họ
muốn được khẳng định mình thông qua số lượng và các kiểu hệ thống mà họ đã
đột nhập qua. Đột nhập được vào những nơi nổi tiếng, những nơi phòng bị chặt
chẽ, những nơi thiết kế tinh xảo có giá trị nhiều điểm đối với họ. Tuy nhiên họ
cũng sẽ tấn công tất cả những nơi họ có thể, với mục đích số lượng cũng như
mục đích chất lượng. Những người này không quan tâm đến những thông tin
bạn có hay những đặc tính khác về tài nguyên của bạn. Tuy nhiên, để đạt được
mục đích là đột nhập, vô tình hay hữu ý họ sẽ làm hư hỏng hệ thống của bạn.
2.4 Gián điệp

Hiện nay có rất nhiều thông tin quan trọng được lưu giữ trên máy tính
như các thông tin về quân sự, kinh tế…Gián điệp máy tính là một vấn đề phức
tạp và khó phát hiện. Thực tế, phần lớn các tổ chức không thể phòng thủ kiểu
tấn công này một cách hiệu quả và bạn có thể chắc rằng đường lên kết với
Internet không phải là con đường dễ nhất để gián điệp thu lượm thông tin.
INTERNET FIREWALL
Firewall là gì ?
Một vài thuật ngữ:
- Mạng nội bộ (Inernal network) : bao gồm các máy tính, các thiết bị
mạng. Mạng máy tính thuộc một đơn vị quản lý (Trường học, công ty, tổ chức.
28
đoàn thể, Quốc gia…) cùng nằm một bên với firewall, mà thông tin đến và đi từ
một máy thuộc nó đến một máy không thuộc nó đều phải qua firewall đó.
- Host bên trong (Internal Host) : máy thuộc mạng nội bộ.
- Host bên ngoài (External Host): máy bất kỳ kết nối vào liên mạng và
không thuộc mạng nội bộ nói trên.
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép,
nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong
muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để
bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng
(Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong của
một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo
mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm
truy nhập từ bên trong tới một số địa chỉ nhất định trên Internet.
Hình 4: Mô hình firewall
29
Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép
từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra.
Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc
hay chỉ tiêu định trước.
Hình 5: Lọc gói tin tại Firewall
Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.
Nếu là phần cứng, nó có thể chỉ bao gồm duy nhất bộ lọc gói tin hoặc là thiết bị
định tuyến (router được tích hợp sẵn chức năng lọc gói tin). Bộ định tuyến có
các tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP. Quy
trình kiểm soát cho phép bạn định ra những địa chỉ IP có thể kết nối với mạng
30
của bạn và ngược lại. Tính chất chung của các Firewall là phân biệt địa chỉ IP
dựa trên các gói tin hay từ chối việc truy nhập bất hợp pháp căn cứ trên địa chỉ
nguồn.
Chức năng
Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng
bên trong (Intranet) và mạng Internet. Thiết lập cơ chế điều khiển dòng thông
tin giữa mạng Intranet và mạng Internet. Cụ thể là:
• Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).
• Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet
vào Intranet).
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
• Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát
nội dung thông tin lưu chuyển trên mạng.
31
Hình 6: Một số chức năng của Firewall
Các thành phần

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
• Bộ lọc gói tin (packet-filtering router)
• Cổng ứng dụng (application-level gateway hay proxy server)
• Cổng vòng (circuite level gateway)
32
Bộ lọc gói tin (packet-filtering router)

a. Nguyên lý:
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận
được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy
trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ
liệu (data pakets) rồi gán cho các packet này những địa chỉ để có thể nhận
dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan
rất nhiều đến các packet và những con số địa chỉ của chúng
Hình 7: Lọc gói tin
33
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả
mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet
này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho
phép truyền các packet đó ở trên mạng. Đó là:
- Địa chỉ IP nơi xuất phát ( IP Source address)
- Địa chỉ IP nơi nhận (IP Destination address)
- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
- Dạng thông báo ICMP ( ICMP message type)
- Giao diện packet đến ( incomming interface of packet)
- Giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua
Firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn
cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định,
hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không
cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng
chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc
chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy
được trên hệ thống mạng cục bộ.
b. Ưu điểm:
- Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong
những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ
chế lọc packet đã được bao gồm trong mỗi phần mềm router.
34
- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng
dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
c. Hạn chế:
- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi
hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các
dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường.
- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet
không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua
vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá
hoại của kẻ xấu.
Cổng ứng dụng(application-level gateway hay proxy server)

a. Nguyên lý:
Một dạng phổ biến là Firewall dựa trên ứng dụng application-proxy.
Loại này hoạt động hơi khác với Firewall dựa trên bộ định tuyến lọc gói tin.
Application gateway dựa trên cơ sở phần mềm. Khi một người dùng không
xác định kết nối từ xa vào mạng chạy application gateway, gateway sẽ ngăn
chặn kết nối từ xa này.
Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối
theo những quy tắc định trước. Nếu thoả mãn các quy tắc, gateway sẽ tạo
cầu nối (bridge) giữa trạm nguồn và trạm đích.
35
Hình 8: Firewall mềm
Cầu nối đóng vai trò trung gian giữa hai giao thức. Ví dụ, trong một
mô hình gateway đặc trưng, gói tin theo giao thức IP không được chuyển
tiếp tới mạng cục bộ, lúc đó sẽ hình thành quá trình dịch mà gateway đóng
vai trò bộ phiên dịch.
36
b. Ưu điểm:
Ưu điểm của Firewall application gateway là không phải chuyển tiếp
IP. Quan trọng hơn, các điều khiển thực hiện ngay trên kết nối. Sau cùng,
mỗi công cụ đều cung cấp những tính năng thuận tiện cho việc truy nhập
mạng. Do sự lưu chuyển của các gói tin đều được chấp nhận, xem xét, dịch
và chuyển lại nênFirewall loại này bị hạn chế về tốc độ. Quá trình chuyển
tiếp IP diễn ra khi một server nhận được tín hiệu từ bên ngoài yêu cầu
chuyển tiếp thông tin theo định dạng IP vào mạng nội bộ. Việc cho phép
chuyển tiếp IP là lỗi không tránh khỏi, khi đó, hacker có thể thâm nhập vào
trạm làm việc trên mạng của bạn.
c. Hạn chế:
Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật
(proxy application) phải được tạo ra cho từng dịch vụ mạng. Như vậy một
ứng dụng dùng cho Telnet, ứng dụng khác dùng cho HTTP, v.v..
Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉ
không xác định sẽ không thể tới máy tính trong mạng của bạn, do đó hệ
thống application gateway có độ bảo mật cao hơn.
Cổng vòng (circuite level gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một
cổng ứng dụng(application gateway). Cổng vòng đơn giản chỉ chuyển tiếp
(relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay
lọc packet nào.
VD: Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà
không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet
nào.Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên
37
trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy
nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nên nó che dấu thông
tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà
các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm
lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung
cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi.
Điều này làm cho hệ thống Firewall dễ dàng sử dụng cho những người trong
mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn
cung cấp chức năng Firewall để bảo vệ mạng nội bộ từ những sự tấn công
bên ngoài.
out in
out in
out in
outside host Inside host
Circuit-level Gateway
Hình 9: Cổng vòng
38
Các dạng Firewall

Mỗi dạng Firewall khác nhau có những thuận lợi và hạn chế riêng. Dạng
phổ biến nhất là Firewall mức mạng (Network-level firewall). Loại Firewall
này thường dựa trên bộ định tuyến, vì vậy các quy tắc quy định tính hợp pháp
cho việc truy nhập được thiết lập ngay trên bộ định tuyến. Mô hình Firewall này
sử dụng kỹ thuật lọc gói tin (packetfiltering technique), đó là tiến trình kiểm
soát các gói tin qua bộ định tuyến.
Hình 10: Firewall được cấu hình tại router
39
Khi hoạt động, Firewall sẽ dựa trên bộ định tuyến mà kiểm tra địa chỉ
nguồn (source address) hay địa chỉ xuất phát của gói tin. Sau khi nhận diện
xong, mỗi địa chỉ nguồn IP sẽ được kiểm tra theo các quy tắc do người quản trị
mạng định trước.
Firewall dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra
lướt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định
tuyến, không tốn thời gian xử lý những địa chỉ sai hay không hợp lệ. Tuy nhiên,
bạn phải trả giá: ngoại trừ những điều khiển chống truy nhập, các gói tin mang
địa chỉ giả mạo vẫn có thể thâm nhập ở một mức nào đó trên máy chủ của bạn.
Một số kỹ thuật lọc gói tin có thể được sử dụng kết hợp với Firewall để
khắc phục nhược điểm nói trên. Địa chỉ IP không phải là thành phần duy nhất
của gói tin có thể mắc bẫy bộ định tuyến. Người quản trị nên áp dụng đồng thời
các quy tắc, sử dụng thông tin định danh kèm theo gói tin như thời gian, giao
thức, cổng... để tăng cường điều kiện lọc. Tuy nhiên, sự yếu kém trong kỹ thuật
lọc gói tin của Firewall dựa trên bộ định tuyến không chỉ có vậy.
Một số dịch vụ gọi thủ tục từ xa (Remote Procedure Call - RPC) rất khó
lọc một cách hiệu quả do các server liên kết phụ thuộc vào các cổng được gán
ngẫu nhiên khi khởi động hệ thống. Dịch vụ gọi là ánh xạ cổng (portmapper) sẽ
ánh xạ các lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, tuy nhiên, do
không có sự tương ứng giữa số dịch vụ với bộ định tuyến lọc gói tin, nên bộ
định tuyến không nhận biết được dịch vụ nào dùng cổng nào, vì thế nó không
thể ngăn chặn hoàn toàn các dịch vụ này, trừ khi bộ định tuyến ngăn toàn bộ
các gói tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User
Datagram Protocol). Việc ngăn chặn tất cả các gói tin UDP cũng sẽ ngăn luôn
cả các dịch vụ cần thiết, ví dụ như DNS (Domain Name Service ố dịch vụ đặt
tên vùng). Vì thế, dẫn đến tình trạng tiến thoái lưỡng nan.
40
Hạn chế của Firewall.

• Firewall không đủ thông minh như con ngời để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn
chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải
xác định rõ các thông số địa chỉ.
• Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn
công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất
hợp pháp lên đĩa mềm.
• Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu
(datadriven attack). Khi có một số chương trình được chuyển theo thư điện tử,
vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
• Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên
tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả
năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
Firewall có dễ phá hay không?

Câu trả lời là không. Lý thuyết không chứng minh được có khe hở trên
Firewall, tuy nhiên thực tiễn thì lại có. Các hacker đã nghiên cứu nhiều cách
phá Firewall. Quá trình phá Firewall gồm hai giai đoạn: đầu tiên phải tìm ra
dạng Firewall mà mạng sử dụng cùng các loại dịch vụ hoạt động phía sau nó;
tiếp theo là phát hiện khe hở trên Firewall đó, giai đoạn này thường khó khăn
hơn. Theo nghiên cứu của các hacker, khe hở trên Firewall tồn tại là do lỗi định
cấu hình của người quản trị hệ thống, sai sót này cũng không hiếm khi xảy ra.
41
Người quản trị phải chắc chắn sẽ không có bất trắc cho dù sử dụng hệ điều hành
(HĐH) mạng nào, đây là cả một vấn đề nan giải. Trong các mạng UNIX, điều
này một phần là do HĐH UNIX quá phức tạp, có tới hàng trăm ứng dụng, giao
thức và lệnh riêng. Sai sót trong xây dựng Firewall có thể do người quản trị
mạng không nắm vững về TCP/IP.
Một trong những việc phải làm của các hacker là tách các thành phần
thực ra khỏi các thành phần giả mạo. Nhiều Firewall sử dụng trạm hy sinh
(sacrificial hosts) - là hệ thống được thiết kế như các server Web (có thể sẵn
sàng bỏ đi) hay bẫy (decoys), dùng để bắt các hành vi thâm nhập của hacker.
Bẫy có thể cần dùng tới những thiết bị ngụy trang phức tạp nhằm che dấu tính
chất thật của nó, ví dụ: đưa ra câu trả lời tương tự hệ thống tập tin hay các ứng
dụng thực. Vì vậy, công việc đầu tiên của hacker là phải xác định đây là các đối
tượng tồn tại thật.
42
Hình 11: Tấn công hệ thống từ bên ngoài.
Để có được thông tin về hệ thống, hacker cần dùng tới thiết bị có khả
năng phục vụ mail và các dịch vụ khác. Hacker sẽ tìm cách để nhận được một
thông điệp đến từ bên trong hệ thống, khi đó, đường đi được kiểm tra và có thể
tìm ra những manh mối về cấu trúc hệ thống.
Ngoài ra, không Firewall nào có thể ngăn cản việc phá hoại từ bên trong.
Nếu hacker tồn tại ngay trong nội bộ tổ chức, chẳng bao lâu mạng của bạn sẽ bị
43
hack. Thực tế đã xảy ra với một công ty dầu lửa lớn: một tay hacker trà trộn vào
đội ngũ nhân viên và thu thập những thông tin quan trọng không chỉ về mạng
mà còn về các trạm Firewall.
Một số mô hình Firewall

Packet-Filtering Router (Bộ trung chuyển có lọc gói)
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-
filtering router đặt giữa mạng nội bộ và Internet. Một packet-filtering router
có hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các
quy luật về lọc gói để cho phép hay từ chối truyền thông.
Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng
nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên
Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội
bộ. Tư tưởng của mô cấu trúc firewall này là tất cả những gì không được chỉ
ra rõ ràng là cho phép thì có nghĩa là bị từ chối.
a. Ưu điểm:
- Giá thành thấp, cấu hình đơn giản
- Trong suốt(transparent) đối với user.
b. Hạn chế:
- Có rất nhiều hạn chế đối với một packet-filtering router, như là dễ bị
tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn
công ngầm dưới những dịch vụ đã được phép.
44
- Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua
router, nguy cơ bị tấn công quyết định bởi số lợng các host và dịch vụ được
phép. Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào
Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường
xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công
nào không.
- Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động,
tất cả hệ thống trên mạng nội bộ có thể bị tấn công.
45
Bªn ngoµi Packet filtering Bªn trong

router
M¹ng néi bé
The Internet
Hình 12: Packet-Filtering Router

46
Mô hình Screened Host Firewall

Hệ thống này bao gồm một packet-filtering router và một bastion host.
Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả
bảo mật ở tầng network (packet-filtering) và ở tầng ứng dụng (application
level). Đồng thời, kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn công
vào mạng nội bộ.
Bªn trong
Bªn ngoµi Packet filtering Bastion host

router
m¸y néi bé
The Internet
Information server
Hình 13: Mô hình Screened Host Firewall( single-Homed Bastion Host)
47
Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ.
Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cả
các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host; Việc truyền
thông tới tất cả các hệ thống bên trong đều bị khoá. Bởi vì các hệ thống nội
bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ
chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp
vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion
host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu
hình bộlọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất
phát từ bastion host.
Ưu điểm:
Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP
có thể đặt trên packet-filtering router và bastion. Trong trường hợp yêu cầu
độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất
cả các user cả trong và ngoài truy cập qua bastion host trước khi nối với máy
chủ. Trong trường hợp không yêu cầu độ an toàn cao thì các máy nội bộ có
thể nối thẳng với máy chủ.
Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống Firewall
dual-homed(hai chiều) bastion host (hình 14). Một hệ thống bastion host như
vậy có hai giao diện mạng (network interface), nhưng khi đó khả năng
truyền thông trực tiếp giữa hai giao diện qua dịch vụ proxy là bị cấm.
48
Bªn trong

router
m¸y néi bé
The Internet
Information server
Hình 14: Mô hình Screened Host Firewall (Dual-Homed Bastion Host)
Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập
được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi.
Tuy nhiên, nếu như user log on được vào bastion host thì họ có thể dễ dàng
truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho user logon
vào bastion host.
Mô hình Demilitarized Zone (DMZ-khu vực phi quân sự) hay

Screened-subnet Firewall.
Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ
có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và
application, trong khi định nghĩa một mạng "phi quân sự". Mạng DMZ đóng
vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản,
một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ
chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và
sự truyền trực tiếp qua mạng DMZ là không thể được.
49
Bªn trong
DMZ

router
The Internet
Outside router Inside router
Information server
Hình 15: Mô hình DMZ
50
Với những thông tin đến, router ngoài chống lại những sự tấn công
chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống
chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự
bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với
những truyền thông bắt đầu từ bastion host.
Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập
tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và
có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử
dung dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion
host.
Ưu điểm:
Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và
router trong.
Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống
mạng nội bộ là không thể nhìn thấy được (invisible). Chỉ có một số hệ thống
đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và
DNS information exchange (Domain Name Server)
Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các
hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều
nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua
dịch vụ proxy
51
BASTION HOST
Bastion Host là một máy tính có độ an toàn cao, được bố trí như là điểm
giao tiếp chính đối với người sử dụng trên mạng nội bộ và mạng bên ngoài, do đó
nó là nơi thường bị tấn công nhất trong mạng nội bộ.
NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY

DỰNG BASTION HOST
Sự đơn giản: Một bastion host càng đơn giản thì càng dễ bảo vệ. bất kỳ một
bastion host đều có thể có lỗi phần mềm hay lỗi cấu hình trong nó, đây là vấn đề
cần quan tâm trong bảo mật. Vì thế để một bastion host ít khả năng lỗi thì nó chỉ
nên cung cấp một tập nhỏ các dịch vụ với đặc quyền tối thiểu mà vẫn còn đầy đủ
vai trò của nó.
Dự phòng cho phương án khi bastion host bị tổn thương mà không ảnh
hưởng đến mạng nội bộ. Nên đoán trước những gì xấu nhất có thể xảy ra để có kế
hoạch cho nó, luôn dặt câu hỏi điều gì sẽ xảy ra nếu baston host bị tổn thương.
Chúng ta nhấn mạnh điều này vì máy bastion host dễ bị tấn công nhất, do mạng
bên ngoài truy cập đến nó và nó còn chống lại sự tấn công từ mạng bên ngoài vào
hệ thống mạng nội bộ.
52
CÁC LOẠI BASTION HOST ĐẶC BIỆT
Có nhiều loại bastion host, có loại được xây dựng trong Screened host hoặc
host cung cấp dịch vụ trên một Screened network. Thường được cấu hình tương tự
nhau nhưng có một vài yêu cầu đặc biệt.
Dual-homed host không có chức năng định tuyến

Bản thân nó có thể là firewall, hoặc một phần của firewall phức tạp. Nó
được cấu hình như các bastion host khác nhưng phải rất cẩn thận.
Victim machines(máy dùng để thử nghiệm)

Victim machine hữu dụng để chạy các dịch vụ khó cung cấp an toàn với
proxy, packet filtering hoặc cá dịch vụ mới mà chúng ta chưa biết chính sách
bảo mật thích hợp.
Nó chỉ cung cấp nhu cầu tối thiểu cần thiết cho dịch vụ, để tránh các
tương tác không cần thiết.
Nó được cấu hình như các bastion host khác, ngoài trừ chúng luôn cho
người sử dụng login vào.
Internal bastion host

Là host trên mạng nội bộ được cài đặt như một bastion host và tương tác
với bastion host chính. Nó không giống như các bastion host khác trong mạng
nộ bộ, vai trò của nó là một bastion host phụ, các bastion host trong mạng nộ bộ
tương tác với bastion host phụ.
53
External bastion host.

Là một bastion host chỉ cung cấp các dịch vụ trên Internet, nó là nơi dễ bị
tấn công, nên các máy này cần tăng cường bảo mật.
Nó chỉ cần giới hạn việc truy cập đến mạng bên trong, chúng thường chỉ
cung cấp một ít dịch vụ với một số định nghĩa tốt về bảo mật và không cần hỗ
trợ các người sử dụng bên trong.
CHỌN MÁY
Bước đầu tiên để xây dựng bastion host là quyết định sử dụng loại máy gì?
Hệ điều hành gì? Bastion host cần nhanh như thế nào? Phần cứng nào được hỗ trợ.
Hệ điều hành
Nên chọn hệ điều hành UNIX/LINUX/WINDOWS NT/ WINDOWS 2K
tùy theo khả năng làm chủ hệ điều hành nào, sao cho cài đặt được proxy server,
bộ lọc packet, server phục vụ cho SMTP và DNS.
Chọn máy tính nhanh như thế nào

Thường thì bastion host không cần máy tính mạnh bởi sự giới hạn tốc độ
kết nối ra Internet và không xử lí nhiều, trừ khi mạng nội bộ cung cấp dịch vụ
trên Internet và mạng nội bộ được nhiều người biết đến trên phạm vi rộng lớn.
Nếu mạng nội bộ cung cấp dịch vụ web thì cần bastion host có khả năng
chịu tải cao.
54
Một vài lí do mà bastion host không cần máy tính quá mạnh:
- Một máy chậm không là sự tăng uy tín của kẻ tấn công.
- Nếu bastion host bị tổn thương, nó ít hữu dụng cho việc tấn công vào
mạng nội bộ hoặc dò mật khẩu.
- Một bastion host chậm sẽ ít hấp dẫn cho những người trong mạng nội
bộ làm tổn thương. Máy tính tốc độ nhanh làm tăng thời hian chờ nên kết nối
chậm.
Chọn phần cứng

Chọn phần cứng có tốc độ xử lí không cần mạnh, nhưng bộ nhớ phải
nhiều và dung lượng đĩa lớn để có thể lưu trữ thông tin đã yêu cầu để cung cấp
cho những yêu cầu giống yêu cầu đã có hoặc ghi lại dấu vết của các kết nối.
CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST

Cần đặt bastion host ở một vị trí vật lí an toàn, những người không có trách
nhiệm sẽ không được đến đó. Ngoài ra cần chú ý đến nhiệt độ, nguồn điện thích
hợp.
VỊ TRÍ BASTION HOST TRÊN MẠNG

Tùy theo nhu cầu có thể đặt trên mạng nội bộ, nhưng nên đặt trên mạng
ngoại vi.
55
CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST

CUNG CẤP
Có thể chia các dịch vụ thành 4 lớp:
• Các dịch vụ an toàn có thể được cung cấp qua packet filtering.
• Các dịch vụ không an toàn khi được cung cấp bình thường nhưng có khả
năng đạt được an toàn ở điều kiện khác.
• Các dịch vụ không an toàn khi được cung cấp bình thường và không thể
đạt được an toàn, dịch vụ này phải được vô hiệu hóa và cung cấp trên máy thử
nghiệm.
• Các dịch vụ không đến, hoặc không dùng trong việc kết nối với Internet.
Các dịch vụ thường được cung cấp trên bastion host:

• SMTP (thư điện tử)
• FTP (truyền dữ liệu)
• HTTP (web)
• DNS (chuyển đổi host thành địa chỉ IP và ngược lại). DNS ít khi được
dùng trực tiếp.
Về ý tưởng chúng ta có thể đặt mỗi dịch vụ trên một bastion host, nhưng
trên thực tế thì ít khi đạt được điều này. Do vấn đề tài chính và quản lí sẽ khó hơn
khi có quá nhiều máy.
56
Có một vài nhận xét khi nhóm các dịch vụ với nhau thành một nhóm:
• Các dịch vụ quan trọng: Web server phục vụ khách hàng.
• Các dịch vụ theo đối tượng: người sử dụng bên trong, người siwr dụng
bên ngoài….
• Các dịch vụ an toàn: dịch vụ tin cậy và dịch vụ không tin cậy trên các
máy khác nhau.
• Các dịch vụ truy cập có mức độ khác nhau: thông tin công cộng và thông
tin riêng tư.
LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY

CẬP TRÊN BASTION HOST
Không cung cấp tài khoản cho người sử dụng truy cập trên Bastion host vì
các lí do sau:
• Tài khoản của người sử dụng dễ bị tổn thương
• Giảm độ ổn định và tin cậy của Bastion host.
• Sự vô ý của người sử dụng làm phá vỡ tính bảo mật
• Gia tăng khó khăn khi dò tìm sự tấn công.
XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ

CHỐNG LẠI SỰ TẤN CÔNG
Bảo đảm máy không kết nối với Internet cho đến bước cuối cùng.
57
Bảo vệ an toàn cho máy

Cài đặt một hệ điều hành sạch tối thiểu theo yêu cầu
Sửa các lỗi của hệ điều hành qua thông tin của các nhà sản xuất hệ điều
hành.
Sử dụng bảng liệt kê các mục cần kiểm tra an toàn phù hợp với phiên bản
của hệ điều hành.
Bảo vệ an toàn cho các tập tin nhật kí hệ thống (system log): là phương
pháp thể hiện hoạt động của bastion host, cơ sở để kiểm tra bị tấn công. Nên có
hai bản sao system log để phòng trường hợp tai họa lớn xảy ra, hai bản system
log này phải được đặt ở vị trí khác nhau.
Hủy các dịch vụ không dùng

Hủy bất kì dịch vụ không cần thiết cung cấp cho bastion host.
Nếu không biết chức năng của một dịch vụ nào đó thì nên tắt nó, nếu tắt
nó có vấn đề thì ta biết ngay được chức năng của nó.
Tắt các chức năng định tuyến

Tắt tất cả các chương trình có chức năng định tuyến.
Hủy chức năng chuyển tiếp địa chỉ IP
Cấu hình cho dịch vụ chạy tốt nhất và kết nối bastion host vào
mạng
- Cấu hình hệ điều hành lần cuối.
- Loại bỏ các chương trình không cần thiết.
58
- Dựng hệ thống file chỉ đọc.
- Chạy kiểm tra (dùng phần mềm) sự an toàn: Để biết lỗ hổng bảo mật,
thiết lập một cơ sở dữ liệu tổng hợp thông tin của tất cả các tập tin trong hệ
thống để nhận biết được sự thay đổi các tập tin này về sau bởi những người thay
đổi trái phép.
CÁC DỊCH VỤ INTERNET

Internet cung cấp một hệ thống các dịch vụ cho phép người dùng nối vào
Internet, truy nhập và sử dụng các thông tin trên mạng Internet. Hệ thống các dịch
vụ này đã, đang được bổ sung thwo sự phát triển không ngừng của Internet. Các
dịch vụ này bao gồm: World Wide Web (viết tắt là WWW hay Web), Email (thư
điện tử), FTP (File transfer protocols-dịch vụ chuyển file), Telnet (ứng dụng cho
phép truy nhập máy tính ở xa), Archie (hệ thống xác định thông tin ở các file và
directory), Finger (hệ thống xác định các user trên Internet), Rlogin (remote login-
vào mạng từ xa) và một số dịch vụ khác.
WORLD WIDE WEB (WWW)

WWW là dịch vụ Internet ra đời gần đây nhất và phát triển nhanh nhất hiện
nay. Nó cung cấp một giao diện rất thân thiện đối với người sử dụng, dễ sử dụng,
vô cùng đơn giản và thuận lợi cho việc tìm kiếm thông tin.WWW liên kết thông tin
dựa trên công nghệ hyper-link (siêu liên kết), cho phép các trang web liên kết trực
tiếp với nhau qua địa chỉ của chúng. Thông qua WWW người dùng có thể:
59
• Phát hành tin tức của mình và đọc tin tức từ khắp nơi trên thế giới.
• Quảng cáo về mình, về công ty hay tổ chưc của mình cũng như xem các
loại quảng cáo trên Thế giới, từ kiếm việc làm, tuyển mộ nhân viên, coonng
nghệ và sản phẩm mới, tìm bạn…
• Trao đổi thông tn với bạn bè, các tổ chức xã hội, trung tâm nghiên cứu
trường học…
• Thực hiện các dịch vụ chuyển tiền hay mua bán hàng hóa
• Truy cập Cơ sở dữ liệu của các tổ chức nếu như được phép.
Và còn nhiều hoạt động khác…
ELECTRONIC MAIL ( EMAIL-THƯ ĐIỆN TỬ )

Email là dịch vụ Internet được sử dụng rộng rãi nhât hiện nay. Hầu hết các
thông báo ở dạng text (văn bản) đơn giản, nhưng người sử dụng có thê gửi kèm các
file dạng hình ảnh, âm thanh. Hệ thống email trên Internet là hệ thống thư điện tử
lớn nhất trên thế giới hiện nay, và thường được sử dụng với các hệ thống chuyển
thư khác.
Khả năng chuyển thư điện tử trên Web có bị hạn chế hơn so với các hệ
thống chuyển thư trên Internet, bởi vì Web là một phương tiện trao đổi công cộng,
còn thư có tính chất riêng tư. Vì vậy, không phải tất cả các Web brower đều cung
cấp chức năng email. Hai brower lớn nhất hiện nay là Netscape và Internet
Explorer đều cunng cấp chức năng email.
60
FTP(FILE TRANSFER PROTOCOLS)

FTP là một dịch vụ cho phép sao chép file từ một hệ thống máy tính này
sang hệ thống máy tính khác. FTP bao gồm thủ tục và chương trình ứng dụng, và
là một trong số dịch vụ ra đờ sớm nhất trên Internet.
FTP có thể được dùng ở mức hệ thống (gõ lệnh vào command-line) trong
web brower hay trên một số tiện ích khác. FTP vô cùng hữu ích cho người dùng
Internet, bởi vì khi tìm kiếm trên Internet bạn có thể thấy rất nhiều thư viện phần
mềm hữu ích trên các lĩnh vực mà bạn muốn sao chép về máy để sử dụng.
II. TELNET VÀ RLOGIN

Telnet là một dịch vụ cho phép bạn truy nhập vào một máy tính ở xa và chạy
các ứng dụng trên máy đó. Telnet rất hữu ích khi bạn muốn chạy một ứng dụng mà
không có hoặc không chạy dược trên máy tính của bạn, ví dụ bạn muốn chạy một
ứng dụng UNIX nhưng máy của bạn lại là PC. Hay máy tính của bạn không đủ
mạnh hoặc không có các file dữ liệu cần thiết.
Telnet cho bạn khả năng làm việc trên một máy tính ở xa hàng ngàn cây số
mà bạn vẫn có cảm giác như đang ngồi trước máy đó.
Chức năng của Rlogin(vào mạng từ xa) cũng tương tự như Telnet.
III. ARCHIE
61
Archie là một loại thư viện thường xuyên tự động tìm kiếm các máy tính
trên Internet, tạo ra một kho dữ liệu về danh sách các file có thể nạp xuống (down
load) từ Internet. Do đó dữ liệu trong các file này là luôn luôn mới nhất.
Archie do đó rất tiện dụng cho người dùng trong việc tìm kiếm và download
các file. Người dùng chỉ cần gửi tên file hoặc từ khóa tìm kiếm đến Archie, Archie
sẽ cho lại địa chỉ của các file có tên đó hoặc chứa những từ khóa đó.
IV. FINGER
Finger là một chương trình ứng dụng cho phép tìm địa chỉ của các user khác
trên mạng Internet. Tối thiểu Finger có thể cho bạn biết ai đang truy nhập một hệ
thống máy tính nào đó, tên login của người đó là gì.
Fnger hay được sử dụng để tìm địa chỉ email của bạn bè trên Internet. Finger
còn có thể cung cấp cho bạn các thông tin khác, như là một người nào đó đã login
vào mạng bao lâu. Vì thế Finger có thể được coi là người trợ giúp đắc lực nhưng
cũng là mối hiểm họa cho an toàn mạng.
PROXY
PROXY LÀ GÌ???
• Theo www.learnthat.com: proxy là một thiết bị cho phép kết nối vào
internet, nó đứng giữa các workstation trong một mạng và internet, cho phép
bảo mật kết nối, chỉ cho phép một số cổng và protocol nào đó, vd: tcp, http,
telnet trên các cổng 80, 23…. Khi một client yêu cầu một trang nào đó, yêu cầu
này sẽ được chuyển đến proxy server, proxy server sẽ chuyển tiếp yêu cầu này
đến site đó. Khi yêu cầu được đáp trả, proxy sẽ trả kết quả này lại cho client
62
tương ứng. Proxy server có thể được dùng để ghi nhận việc sử dụng internet và
ngăn chặn những trang bị cấm
• Theo www.nyu.edu: proxy server là một server đứng giữa một ứng dụng
của client, như web browser, và một server ở xa (remote server). Proxy server
xem xét các request xem nó có thể xử lý bằng cache của nó không, nếu không
thể, nó sẽ chuyển yêu cầu này đến remote server.Theo www.webopedia.com:
proxy server là một server đứng giữa một ứng dụng client, như web browser, và
một server thực. Nó chặn tất cả các yêu cầu đến các server thực để xem xem nó
có khả năng đá ứng được không, nếu không thể, nó sẽ chuyển các yêu cầu này
đến các server thực.
• Theo www.stayinvisible.com: proxy server là một loại buffer giữa máy
tính của bạn và các tài nguyên trên mạng internet mà bạn đang truy cập, dữ liệu
bạn yêu cầu sẽ đến proxy trước, sau đó mới được chuyển đến máy của bạn.
Hình 16: Mô hình Proxy
63
Hình 17: Mô hình 1 proxy đơn giản
TẠI SAO PROXY RA ĐỜI

• Tăng tốc kết nối: các proxy có một cơ chế gọi là cache, cơ chế cache cho
phép proxy lưu trữ lại những trang được truy cập nhiều nhất, điều này làm cho
việc truy cập của bạn sẽ nhanh hơn, vì bạn được đáp ứng yêu cầu một cách nội
bộ mà không phải lấy thông tin trực tiếp từ internet.
• Bảo mật: mọi truy cập đều phải thông qua proxy nên việc bảo mật được
thực hiện triệt để.
• Filtering: ngăn cản các truy cập không được cho phép như các trang đồi
trụy, các trang phản động…
64
TỔNG KẾT CHUNG VỀ PROXY.

Theo các định nghĩa cũng như những giá trị mà proxy mang lại như đề cập ở
trên, ta có thể thấy proxy quả thật rất có lợi.
• Tuy nhiên, lợi dụng về ý tưởng proxy, một số server trên mạng đã tự biến
mình thành những trạm chung chuyển, những trung gian cho các kết nối không
được cho phép. Chính điều này đã đưa ra thêm một định nghĩa mới, một ý nghĩa
mới giành cho proxy.
• Rất nhiều địa chỉ trên mạng do một lý do nào đó mà bị cấm truy cập đối
với người dùng như là các trang web đồi trụy, các trang phản động, nội dung
không lành mạnh…. Tuy nhiên, để chống lại điều này, như đã nói ở trên, một số
server đã biến mình thành proxy để giúp cho những kết nối cấm này có thể thực
hiện được.
65

(123doc) Nghien Cuu Ve Tuong Lua Firewall

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

(123doc) Nghien Cuu Ve Tuong Lua Firewall

Uploaded by

Copyright:

Available Formats

Nghiên cứu khoa học Đề tài: Nghiên cứu về tường lửa

PHẦN I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN

CÁC HÌNH THỨC TẤN CÔNG.

1.1 Tấn công trực tiếp:

1.2. Nghe trộm:

1.3. Giả mạo địa chỉ:

1.4. Vô hiệu các chức năng của hệ thống (DoS,

Hình 1 Mô hình tấn công DdoS

• Client là một attacker sắp xếp một cuộc tấn công

1.5. Lỗi của người quản trị hệ thống:

1.6. Tấn công vào yếu tố con người:

CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG

Dịch vụ bí mật (Confidentiality)

Dịch vụ xác thực (Authentication)

2.1. Dịch vụ toàn vẹn (Integrity)

Không thể chối bỏ (Nonrepudiation)

2.2. Kiểm soát truy nhập (Access control)

2.3. Sẵn sàng phục vụ (Availability)

CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN

Cơ chế sát thực

Các cơ chế điều khiển truy nhập

GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG

Các mức bảo vệ thông tin trên mạng

• Quyền truy nhập:

• Bức tường lửa (Firewall)

Các phương pháp và phương tiện bảo vệ thông tin

• Điều khiển sự tiếp cận:

Điều khiển Máy móc

Mã hóa thông Chương

Cướng bức Luật pháp

Kích thích Đạo đức

Hình 3: Các phương pháp và phương tiện bảo vệ thông tin.

• Mã hóa thông tin:

• Các qui định:

PHẦN II: FIREWALL

GIỚI THIỆU VỀ FIREWALL

ĐỐI TƯỢNG BẢO VỆ

1.1 Đối với dữ liệu

1.2 Đối với tài nguyên

1.3 Đối với uy tín

PHÂN LOẠI KẺ TẤN CÔNG

2.1 Người qua đường

2.2 Kẻ phá hoại

2.3 Kẻ ghi điểm

2.4 Gián điệp

Hình 4: Mô hình firewall

Hình 5: Lọc gói tin tại Firewall

Hình 6: Một số chức năng của Firewall

Các thành phần

Bộ lọc gói tin (packet-filtering router)

Hình 7: Lọc gói tin

Cổng ứng dụng(application-level gateway hay proxy server)

Hình 8: Firewall mềm

Cổng vòng (circuite level gateway)

Hình 9: Cổng vòng

Các dạng Firewall

Hình 10: Firewall được cấu hình tại router

Hạn chế của Firewall.

Firewall có dễ phá hay không?

Hình 11: Tấn công hệ thống từ bên ngoài.

Một số mô hình Firewall

Bªn ngoµi Packet filtering Bªn trong

Hình 12: Packet-Filtering Router