Luận văn tốt nghiệp Phương Pháp Lập Trình vượt firewall

Luận văn tốt nghiệp Phương Pháp Lập Trình vượt firewall.

Luận văn tốt nghiệp

công vượt tường lửa

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN

ĐỀ TÀI THỰC TẬP CƠ SỞ CÁC PHƯƠNG PHÁPLẬP TRÌNH VƯỢT FIREWALL Lời nhận xét của giáo viên hướng dẫn: ………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

Điểm chuy n cần củ nh m:

Điểm chấm kết quả bản in hoàn chỉnh củ b o c o thực t p

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

MỤC LỤC

Chương I: Tổng Quan Về Firewall 6

1.1 Đặt vấn đề: 6

1.2 Phân loại Các kiểu tấn công: 7

1.2.1 Tấn công trực tiếp: 7

1.2.2 Nghe trộm: 8

1.2.3 Vô hiệu các chức năng của hệ thống (DoS, DDoS): 8

1.2.4 Tấn công vào yếu tố con người: 9

1.3 Firewall là gì ? 9

1.3.1 Các chức năng chính: 10

1.3.2 Nguyên lý 11

1.3.3 Các dạng firewall 13

1.3.3.1 Firewall cứng 13

1.3.3.2 - Firewall mềm 14

1.4 Hạn chế của Firewall 16

1.5 Một số mô hình Firewall 17

1.5.1 Packet-Filtering Router 17

1.5.2 Mô hình Single-Homed Bastion Host 18

1.5.3 Mô hình Dual-Homed Bastion Host 19

1.5.4 Proxy server 21

Chương II: Các Phương Pháp Lập Trình Vượt Firewall 22

2.1 Vượt firewall là gì 22

2.2 Một sô phương pháp vượt firewall 22

2.2.1.Phương pháp HTTP Proxy 22

2.2.1.1 Khi các HTTP Proxy Server trở nên hữu ích 22

2.2.1.2 Những bất cập do proxy 24

2.2.1.3 Kĩ thuật lập trình một HTTP Proxy cơ bản 24

2.2.1.4 Sử dụng trang web trung gian 25

2.2.1.5 Thay đổi địa chỉ proxy của trình duyệt 26

2.2.2 Phương pháp HTTP Tunneling 30 2.2.2.1 Cấu hình 31

2.2.3 Vượt tường lửa bằng web base proxy 34

2.2.3.1 Thế nào là 1 web-based anonymous proxy ? 34

2.2.3.2 Cách thức hoạt động của một web base proxy 35

2.2.3.3 Giới thiệu về trang Web Based Proxy 35

2.2.3.3.1 Giao diện 35

2.2.3.3.2 Diễn giải mô hình 35

2.2.4 Web-based Proxy Servers 36

2.2.4.1 Ý nghĩa 37

2.2.5 Sử dụngphần mềm vượt tường lửa 38

Chương III : Thực Nghiệm Các Phương Pháp Vượt Firewall Thông Dụng40 3.1 Sử dụng proxy server 40

3.2 Dùng Anonymizer web / web proxy để vượt tường lửa 40

3.3 Vượt tường lửa bằng công cụ của Google 41

3.4 Vượt tường lửa DNS của FPT 41

3.5 Dùng phần mềm đặc biệt để vượt tường lửa 41

3.6 Kết luận 42

PHỤ LỤC 43

DANH SÁCH CÁC TÀI LIỆU THAM KHẢO 43

Lời Nói Đầu

Ngày n y, công nghệ thông tin đã c những b c ph t trển m nh mẽ theo

cả chiều sâu và chiều rộng M y tính không còn là một h ơng tiện quý hiếm mà ngày càng trở thành công cụ làm việc và giải trí thông dụng củ con ng ời Đứng tr c v i trò củ thông tin ho t động c nh tr nh g y gắt, c c tổ chức và

c c do nh nghiệp đều t m mọi biện ph p để xây dựng hoàn thiện hệ thống thông tin củ m nh nhằm tin học h c c ho t động t c nghiệp củ đơn vị

Ở Việt N m cũng c rất nhiều do nh nghiệp đ ng tiến hành th ơng m i h

tr n Internet nh ng do những kh kh n về cơ sở h tầng nh viễn thông ch

ph t triển m nh, c c dịch vụ th nh to n điện tử qu ngân hàng ch phổ biến

n n chỉ dừng l i ở mức độ gi i thiệu sản phẩm và tiếp nh n đơn đặt hàng thông qua web

Để tiếp c n và g p phần đẩy m nh sự phổ biến củ công nghệ thông tin chúng em đã t m hiểu về đề tài “C c ph ơng ph p tấn công v t t ờng lử ”

V i sự h ng d n t n t nh củ thầy Ph m V n H ởng nh m em đã hoàn thành bản b o c o này Tuy đã cố gắng hết sức t m hiểu, phân tích nh ng chắc rằng không tr nh khỏi những thiếu s t.Nh m em rất mong nh n đ c sự thông cảm

và g p ý củ quí Thầy cô.Nh m em xin chân thành cảm ơn

Hà Nội th¸ng 12 n¨m 2010

Nhóm sinh Viên Thực Hiện:

Trương Văn Trường Nguyễn Xuân Phao Phạm Văn Trọng

Chương I: Tổng Quan Về Firewall 1.1 Đặt vấn đề:

Song song v i việc xây dựng nền tảng về công nghệ thông tin, cũng nh

ph t triển c c ứng dụng m y tính trong sản xuất, kinh do nh, kho học, gi o dục, xã hội, th việc bảo về những thành quả đ là một điều không thể thiếu

Sử dụng c c bức t ờng lử (Firew ll) để bảo vệ m ng nội bộ (Intr net), tr nh sự tấn công từ b n ngoài là một giải ph p hữu hiệu

Những thông tin l u trữ tr n hệ thống m y tính cần đ c bảo vệ do c c

y u cầu s u:

* Bảo m t: Những thông tin c gi trị về kinh tế, quân sự, chính s ch vv cần đ c giữ kín

* Tính toàn vẹn: Thông tin không bị mất m t hoặc sử đổi, đ nh tr o

* Tính kịp thời: Y u cầu truy nh p thông tin vào đúng thời điểm cần thiết Trong c c y u cầu này, thông th ờng y u cầu về bảo m t đ c coi là y u cầu số 1 đối v i thông tin l u trữ tr n m ng Tuy nhi n, ng y cả khi những thông tin này không đ c giữ bí m t, th những y u cầu về tính toàn vẹn cũng rất qu n trọng Không một c nhân, một tổ chức nào lãng phí tài nguy n v t chất và thời gi n để l u trữ những thông tin mà không biết về tính đúng đắn củ những thông tin đ

1.2 Phân loại Các kiểu tấn công:

1.2.1 Tấn công trực tiếp:

Kẻ tấn công c thể sử dụng những thông tin nh t n ng ời dùng, ngày sinh, đị chỉ, số nhà vv để đo n m t khẩu Trong tr ờng h p c đ c d nh

s ch ng ời sử dụng và những thông tin về môi tr ờng làm việc, c một tr ơng

tr nh tự động ho về việc dò t m m t khẩu này Một ch ơng tr nh c thể dễ dàng lấy đ c từ Internet để giải c c m t khẩu đã mã ho củ c c hệ thống unix c

t n là cr ck, c khả n ng thử c c tổ h p c c từ trong một từ điển l n, theo những quy tắc do ng ời dùng tự định nghĩ Trong một số tr ờng h p, khả n ng thành công củ ph ơng ph p này c thể l n t i 30%

Sử dụng c c lỗi củ ch ơng tr nh ứng dụng và bản thân hệ điều hành đã

đ c sử dụng từ những vụ tấn công đầu ti n và v n đ c tiếp tục để chiếm quyền truy nh p Trong một số tr ờng h p ph ơng ph p này cho phép kẻ tấn công c đ c quyền củ ng ời quản trị hệ thống (root h y dministr tor) Hai

ví dụ th ờng xuy n đ c đ r để minh ho cho ph ơng ph p này là ví dụ v i

ch ơng tr nh sendm il và ch ơng tr nh rlogin củ hệ điều hành UNIX

Sendm il là một ch ơng tr nh phức t p, v i mã nguồn b o gồm hàng

ngàn dòng lệnh củ ngôn ngữ C Sendmail được chạy với quyền ưu tiên của

người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài Đây chính là những yếu tố làm cho sendm il trở

thành một nguồn cung cấp những lỗ hổng về bảo m t để truy nh p hệ thống

Rlogin cho phép ng ời sử dụng từ một m y tr n m ng truy nh p từ x

vào một m y kh c sử dụng tài nguy n củ m y này Trong quá trình nhận tên

và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đ kẻ tấn công c thể đ vào một xâu đã đ c tính to n tr c để ghi

đè l n mã ch ơng tr nh củ rlogin, qu đ chiếm đ c quyền truy nh p

1.2.2 Nghe trộm:

Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép bắt các gói tin vào chế độ nh n toàn bộ c c thông tin l u truyền tr n

m ng Những thông tin này cũng c thể dễ dàng lấy đ c tr n Internet

1.2.3 Vô hiệu các chức năng của hệ thống (DoS, DDoS):

Đây là kểu tấn công nhằm t liệt hệ thống, không cho n thực hiện chức

n ng mà n thiết kế Kiểu tấn công này không thể ngăn chặn được, do những

ph ơng tiện đ c tổ chức tấn công cũng chính là c c ph ơng tiện để làm việc và truy nh p thông tin tr n m ng Ví dụ sử dụng lệnh ping v i tốc độ c o nhất c thể, buộc một hệ thống ti u h o toàn bộ tốc độ tính to n và khả n ng củ m ng

để trả lời c c lệnh này, không còn c c tài nguy n để thực hiện những công việc

c ích kh c

Hình 1 Mô hình tấn công DDoS

Client là một tt cker sắp xếp một cuộc tấn công

H ndler là một host đã đ c thỏ hiệp để ch y những ch ơng tr nh

đặc biệt dùng đ tấn công

Mỗi h ndler c khả n ng điều khiển nhiều gent

Mỗi gent c tr ch nhiệm gửi stre m d t t i victim

1.2.4 Tấn công vào yếu tố con người:

Kẻ tấn công c thể li n l c v i một ngời quản trị hệ thống, giả làm một

ng ời sử dụng để y u cầu th y đổi m t khẩu, th y đổi quyền truy nh p củ

m nh đối v i hệ thống, hoặc th m chí th y đổi một số cấu h nh củ hệ thống để thực hiện c c ph ơng ph p tấn công kh c V i kiểu tấn công này không một thiết bị nào c thể ng n chặn một c ch hữu hiệu, và chỉ c một c ch gi o dục

ng ời sử dụng m ng nội bộ về những y u cầu bảo m t để đề c o cảnh gi c v i những hiện t ng đ ng nghi N i chung yếu tố con ngời là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ c sự gi o dục cộng v i tinh thần h p

t c từ phí ng ời sử dụng c thể nâng c o đ c độ n toàn củ hệ thống bảo vệ

1.3 Firewall là gì ?

Trong công nghệ m ng thông tin, Firew ll là một kỹ thu t đ c tích h p vào hệ thống m ng để chống sự truy c p tr i phép, nhằm bảo vệ c c nguồn thông tin nội bộ và h n chế sự xâm nh p không mong muốn vào hệ thống Cũng

c thể hiểu Firew ll là một cơ chế (mech nism) để bảo vệ m ng tin t ởng (Trustednetwork) khỏi c c m ng không tin t ởng (Untrusted network)

Hình 2 Mô hình firewall

Một c ch vắn tắt, firew ll là hệ thống ng n chặn việc truy nh p tr i phép

từ b n ngoài vào m ng cũng nh những kết nối không h p lệ từ b n trong r Firew ll thực hiện việc lọc bỏ những đị chỉ không h p lệ dự theo c c quy tắc

h y chỉ ti u định tr c

Hình 3 Lọc gói tin tại firewall

Firew ll c thể là hệ thống phần cứng, phần mềm hoặc kết h p cả h i Nếu là phần cứng, n c thể chỉ b o gồm duy nhất bộ lọc g i tin hoặc là thiết bị định tuyến (router đ c tích h p sẵn chức n ng lọc g i tin) Bộ định tuyến c

c c tính n ng bảo m t c o cấp, trong đ c khả n ng kiểm so t đị chỉ IP Quy

tr nh kiểm so t cho phép b n định r những đị chỉ IP c thể kết nối v i m ng

củ b n và ng c l i Tính chất chung củ c c Firew ll là phân biệt đị chỉ IP

dự tr n c c g i tin h y từ chối việc truy nh p bất h p ph p c n cứ tr n đị chỉ nguồn

1.3.1 Các chức năng chính:

Chức n ng chính củ Firew ll là kiểm so t luồng thông tin từ giữ Intranet và Internet Thiết l p cơ chế điều khiển dòng thông tin giữ m ng b n trong (Intr net) và m ng Internet Cụ thể là:

• Cho phép hoặc cấm những dịch vụ truy nh p r ngoài (từ Intr net r Internet)

• Cho phép hoặc cấm những dịch vụ phép truy nh p vào trong (từ Internet vào Intranet)

• Theo dõi luồng dữ liệu m ng giữ Internet và Intr net

• Kiểm so t đị chỉ truy nh p, cấm đị chỉ truy nh p

• Kiểm so t ng ời sử dụng và việc truy nh p củ ng ời sử dụng Kiểm

so t nội dung thông tin l u chuyển tr n m ng

Hình 4 Một số chức năng của Firewall

1.3.2 Nguyên lý

Khi n i đến việc l u thông dữ liệu giữ c c m ng v i nh u thông qu Firew ll th điều đ c nghĩ rằng Firew ll ho t động chặt chẽ v i gi o thức TCI/IP V gi o thức này làm việc theo thu t to n chi nhỏ c c dữ liệu nh n

đ c từ c c ứng dụng tr n m ng, h y n i chính x c hơn là c c dịch vụ ch y tr n

c c gi o thức (Telnet, SMTP, DNS, SMNP, NFS ) thành c c g i dữ liệu (d t

p kets) rồi g n cho c c p ket này những đị chỉ để c thể nh n d ng, t i l p l i

ở đích cần gửi đến, do đ c c lo i Firew ll cũng li n qu n rất nhiều đến c c

p cket và những con số đị chỉ củ chúng

Hình 5 Lọc gói tin

Bộ lọc p cket cho phép h y từ chối mỗi p cket mà n nh n đ c N kiểm tr toàn bộ đo n dữ liệu để quyết định xem đo n dữ liệu đ c thoả mãn một trong số c c lu t lệ củ lọc p cket h y không C c lu t lệ lọc p cket này là

dự tr n c c thông tin ở đầu mỗi p cket (p cket he der), dùng để cho phép truyền c c p cket đ ở tr n m ng

Đ là:

• Đị chỉ IP nơi xuất ph t ( IP Source ddress)

• Đị chỉ IP nơi nh n (IP Destin tion ddress)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

• Cổng TCP/UDP nơi xuất ph t (TCP/UDP source port)

• Cổng TCP/UDP nơi nh n (TCP/UDP destin tion port)

• D ng thông b o ICMP ( ICMP mess ge type)

• Gi o diện p cket đến ( incomming interf ce of p cket)

• Gi o diện p cket đi ( outcomming interf ce of p cket)

Nếu lu t lệ lọc p cket đ c thoả mãn th p cket đ c chuyển qu Firew ll Nếu không p cket sẽ bị bỏ đi Nhờ v y mà Firew ll c thể ng n cản

đ c c c kết nối vào c c m y chủ hoặc m ng nào đ đ c x c định, hoặc kho việc truy c p vào hệ thống m ng nội bộ từ những đị chỉ không cho phép Hơn

nữ , việc kiểm so t c c cổng làm cho Firew ll c khả n ng chỉ cho phép một số

lo i kết nối nhất định vào c c lo i m y chủ nào đ , hoặc chỉ c những dịch vụ nào đ (Telnet, SMTP, FTP ) đ c phép m i ch y đ c tr n hệ thống m ng cục bộ

Ƣu điểm:

Đ số c c hệ thống Firew ll đều sử dụng bộ lọc p cket Một trong những

u điểm củ ph ơng ph p dùng bộ lọc p cket là chi phí thấp v cơ chế lọc

p cket đã đ c b o gồm trong mỗi phần mềm router

Ngoài r , bộ lọc p cket là trong suốt đối v i ng ời sử dụng và c c ứng dụng, v v y n không y u cầu sự hiểu biết chuy n sâu nào cả

Hạn chế:

Việc định nghĩ c c chế độ lọc p cket là một việc kh phức t p; đòi hỏi

ng ời quản trị m ng cần c hiểu biết chi tiết vể c c dịch vụ Internet, c c d ng

p cket he der, và c c gi trị cụ thể c thể nh n tr n mỗi tr ờng

Do làm việc dự tr n he der củ c c p cket, rõ ràng là bộ lọc p cket không kiểm so t đ c nội dung thông tin củ p cket C c p cket chuyển qua

v n c thể m ng theo những hành động v i ý đồ n cắp thông tin h y ph ho i

củ kẻ xấu

1.3.3 Các dạng firewall

1.3.3.1 Firewall cứng

Thiết bị sản xuất r chuy n làm một nhiệm vụ firew ll

Đơn giản, dễ lắp đặt, cấu h nh, quản lý

* Không làm đ c c che, lo i c c che th qu đắt C che chỉ ph t huy t c dụng khi rất nhiều ng ời vào cùng một site, dữ liệu sẽ đ c c che server đ p ứng cho ng ời dùng (loc l n n rất nh nh) và c che sẽ định kỳ refresh l i c c thông tin c che Nếu trong m ng củ m nh c khoảng <10PC th c che chẳng c

ý nghĩ g mấy, th m chí còn ng c l i Stick out tongue

* Feature rich, ta n n dùng UTM firew ll (UTM - Unified Threat

M n gement) là lo i không chỉ là firew ll mà còn chống virus, chống tấn công, chống sp m, lọc nội dung web, quản lý điều tiết b ng thông cho từng dịch vụ, chống P2P,

* C thể quản lý t p trung về firew ll và bảo m t, ng ời làm SI n n cũng biết một số lo i firew ll, để lự chọn cho kh ch hàng tùy theo mục đích, y u cầu, t m l i trong tr ờng h p triển kh i rộng, cho nhiều đơn vị, c c đơn vị không c dân IT chuy n nghiệp, n n dùng firew ll cứng

+ Ưu điểm: tối u h cho một công việc n n ổn định và tin c y c o + Nh c điểm: Ít c khả n ng linh động và kh nâng cấp

* C thể làm đ c gần nh "mọi thứ" Smile h y dùng nhất là firew ll (thiết l p

c c policy truy nh p) và c che để t ng tốc truy nh p c c tr ng web, đây c lẽ

là u điểm nổi trội nhất

* Nh c điểm "nổi trội"

* Cần ng ời hiểu biết: biết cài đặt và biết xử lý khi c sự cố

- Biết cài đặt: muốn cài đặt ISA n n : cài windows, chỉ cài c c thành phần cần thiết, c c thành phần dịch vụ không cần thiết phải bỏ đi; cài c c bản v lỗi củ Windows (critical + recommend); "h rdening your server" nghĩ là tunning một

số registry về network, t ng buffer để m y tính c khả n ng chịu tấn công tốt hơn, xử lý m ng tốt hơn, ; cài ISA cấu h nh và tunning ISA

* Bản quyền cũng là một vấn - nếu muốn dùng Smiles

+ Ưu điểm : linh ho t và dễ nâng cấp

+ Nh c điểm : Phụ thuộc nhiều vào hệ điều hành và softw re

- C c công ty l n th ờng sử dụng cả 2 lo i "mềm" và "cứng" tùy theo để lọc ở trong h y ở ngoài

Hình 7 Firewall mềm

Cầu nối đ ng v i trò trung gi n giữ h i gi o thức Ví dụ, trong một mô

h nh g tew y đặc tr ng, g i tin theo gi o thức IP không đ c chuyển tiếp t i

m ng cục bộ, lúc đ sẽ h nh thành qu tr nh dịch mà g tew y đ ng v i trò bộ phi n dịch

Ưu điểm củ Firew ll pplic tion g tew y là không phải chuyển tiếp IP

Qu n trọng hơn, c c điều khiển thực hiện ng y tr n kết nối Qu tr nh chuyển tiếp IP diễn r khi một server nh n đ c tín hiệu từ b n ngoài y u cầu chuyển tiếp thông tin theo định d ng IP vào m ng nội bộ Việc cho phép chuyển tiếp IP

là lỗi không tr nh khỏi, khi đ , h cker c thể thâm nh p vào tr m làm việc tr n

m ng củ b n

H n chế kh c củ mô h nh Firew ll này là mỗi ứng dụng bảo m t (proxy pplic tion) phải đ c t o r cho từng dịch vụ m ng Nh v y một ứng dụng dùng cho Telnet, ứng dụng kh c dùng cho HTTP, v.v Do không thông qu qu

tr nh chuyển dịch IP n n g i tin IP từ đị chỉ không x c định sẽ không thể t i m y tính trong m ng củ b n, do đ hệ thống pplic tiong tew y c độ bảo m t c o hơn

1.4 Hạn chế của Firewall

• Firewall không đủ thông minh nh con ng ời để c thể đọc hiểu từng lo i thông tin và phân tích nội dung tốt h y xấu củ n Firew ll chỉ c thể ng n chặn sự xâm nh p củ những nguồn thông tin không mong muốn nh ng phải

x c định rõ c c thông số đị chỉ

•Firew ll không thể ng n chặn một cuộc tấn công nếu cuộc tấn công này không "đi qu " n Một c ch cụ thể, firew ll không thể chống l i một cuộc tấn công từ một đ ờng di l-up, hoặc sự dò rỉ thông tin do dữ liệu bị s o chép bất

h p ph p l n đĩ mềm

• Firewall cũng không thể chống l i c c cuộc tấn công bằng dữ liệu (d t driven tt ck) Khi c một số ch ơng tr nh đ c chuyển theo th điện tử, v t

-qu firew ll vào trong m ng đ c bảo vệ và bắt đầu ho t động ở đây

• Một ví dụ là c c virus m y tính Firew ll không thể làm nhiệm vụ rà quét virus tr n c c dữ liệu đ c chuyển qu n , do tốc độ làm việc, sự xuất hiện li n tục củ c c virus m i và do c rất nhiều c ch để mã h dữ liệu, tho t khỏi khả

n ng kiểm so t củ firew ll Tuy nhi n, Firew ll v n là giải ph p hữu hiệu đ c

p dụng rộng rãi

1.5 Một số mô hình Firewall

1.5.1 Packet-Filtering Router

Hệ thống Internet firew ll phổ biến nhất chỉ b o gồm một p cket-filtering router đặt giữ m ng nội bộ và Internet Một p cket-filtering router c h i chức

n ng: chuyển tiếp truyền thông giữ h i m ng và sử dụng c c quy lu t về lọc

g i để cho phép h y từ chối truyền thông

Hình 9 Packet filtering

C n bản, c c quy lu t lọc đựơc định nghĩ s o cho c c host tr n m ng nội bộ đ c quyền truy nh p trực tiếp t i Internet, trong khi c c host tr n Internet chỉ c một số gi i h n c c truy nh p vào c c m y tính tr n m ng nội

bộ T t ởng củ mô cấu trúc firew ll này là tất cả những g không đ c chỉ r

rõ ràng là cho phép th c nghĩ là bị từ chối

Ƣu điểm:

• Gi thành thấp, cấu h nh đơn giản

• Trong suốt(tr nsp rent) đối v i user

Hạn chế:

C rất nhiều h n chế đối v i một p cket-filtering router, nh là dễ bị tấn công vào c c bộ lọc mà cấu h nh đ c đặt không hoàn hảo, hoặc là bị tấn công ngầm d i những dịch vụ đã đ c phép Bởi v c c p cket đ c tr o đổi trực tiếp giữ h i m ng thông qu router, nguy cơ bị tấn công quyết định bởi số l ng

c c host và dịch vụ đ c phép

Điều đ d n đến mỗi một host đ c phép truy nh p trực tiếp vào Internet cần phải đ c cung cấp một hệ thống x c thực phức t p, và th ờng xuy n kiểm

tr bởi ng ời quản trị m ng xem c dấu hiệu củ sự tấn công nào không

Nếu một p cket-filtering router do một sự cố nào đ ngừng ho t động, tất

cả hệ thống tr n m ng nội bộ c thể bị tấn công

1.5.2 Mô hình Single-Homed Bastion Host

Hình 10 Mô hình single-Homed Bastion Host

Hệ thống này b o gồm một p cket-filtering router và một b stion host

Hệ thống này cung cấp độ bảo m t c o hơn hệ thống tr n, v n thực hiện cả bảo m t ở tầng network (p cket-filtering) và ở tầng ứng dụng ( pplic tion level) Đồng thời, kẻ tấn công phải ph vỡ cả h i tầng bảo m t để tấn công vào

m ng nội bộ

Trong hệ thống này, b stion host đ c cấu h nh ở trong m ng nội bộ Quy lu t filtering tr n p cket-filtering router đ c định nghĩ s o cho tất cả c c

hệ thống ở b n ngoài chỉ c thể truy nh p b stion host; Việc truyền thông t i tất

cả c c hệ thống b n trong đều bị kho thống nội bộ và Bởi v c c hệ bastion host ở tr n cùng một m ng, chính s ch bảo m t củ một tổ chức sẽ quyết định xem c c hệ thống nội bộ đ c phép truy nh p trực tiếp vào bastion Internet hay

là chúng phải sử dụng dịch vụ proxy tr n b stion host Việc bắt buộc những user nội bộ đ c thực hiện bằng c ch đặt cấu h nh bộ lọc củ router s o cho chỉ chấp nh n những truyền thông nội bộ xuất ph t từ bastion host

Ƣu điểm: Bởi v b stion host là hệ thống b n trong duy nhất c thể truy nh p

đ c từ Internet, sự tấn công cũng chỉ gi i h n đến b stion host mà thôi Tuy nhi n, nếu nh user log on đ c vào b stion host th họ c thể dễ dàng truy

nh p toàn bộ m ng nội bộ V v y cần phải cấm không cho user logon vào bastion host

1.5.3 Mô hình Dual-Homed Bastion Host

Demilitarized Zone (DMZ) hay Screened-subnet Firewall Hệ thống b o gồm h i p cket-filtering router và một b stion host Hệ c độ n toàn c o nhất

v n cung cấp cả mức bảo m t network và pplic tion M ng DMZ đ ng v i trò nh một m ng nhỏ, cô l p đặt giữ Internet và m ng nội bộ Cơ bản, một DMZ đ c cấu h nh s o cho c c hệ thống tr n Internet và m ng nội bộ chỉ c thể truy nh p đ c một số gi i h n c c hệ thống tr n m ng DMZ, và sự truyền trực tiếp qu m ng DMZ là không thể đ c

Hình 11 Mô hình Dual-Homed Bastion Host

V i những thông tin đến, router ngoài chống l i những sự tấn công chuẩn (nh giả m o đị chỉ IP), và điều khiển truy nh p t i DMZ Hệ thống chỉ cho phép b n ngoài truy nh p vào b stion host Router trong cung cấp sự bảo vệ thứ

h i bằng c ch điều khiển DMZ truy nh p m ng nội bộ chỉ v i những truyền thông bắt đầu từ b stion host V i những thông tin đi, router trong điều khiển

m ng nội bộ truy nh p t i DMZ N chỉ cho phép c c hệ thống b n trong truy

nh p b stion host và c thể cả inform tion server Quy lu t filtering tr n router ngoài y u cầu sử dung dich vụ proxy bằng c ch chỉ cho phép thông tin r bắt nguồn từ b stion host

Ƣu điểm: Kẻ tấn công cần ph vỡ b tầng bảo vệ: router ngoài, b stion host và

route

Chỉ c một số hệ thống đã đ c chọn r tr n DMZ là đ c biết đến bởi Internet qua routing t ble và DNS information exchange (Domain Name Server) Bởi v router trong chỉ quảng c o DMZ network t i m ng nội bộ, c c

hệ thống trong m ng nội bộ không thể truy nh p trực tiếp vào Internet Điều

n y đảm bảo rằng những user b n trong bắt buộc phải truy nh p Internet qu dịch vụ proxy

1.5.4 Proxy server

Chúng t sẽ xây dựng Firew ll theo kiến trúc pplic tion-level gateway, theo đ một bộ ch ơng tr nh proxy đ c đặt ở g tew y ng n c ch một m ng

b n trong (Intr net) v i Internet Bộ ch ơng tr nh proxy đ c ph t triển dự

tr n bộ công cụ xây dựng Internet Firewall TIS (Trusted Information System),

b o gồm một bộ c c ch ơng tr nh và sự đặt l i cấu h nh hệ thống để nhằm mục đích xây dựng một Firew ll Bộ ch ơng tr nh đ c thiết kế để ch y tr n hệ UNIX sử dụng TCP/IP v i gi o diện socket Berkeley

Hình 12 Mô hình 1 Proxy đơn giản

Bộ ch ơng tr nh proxy đ c thiết kế cho một số cấu h nh firew ll, theo

c c d ng cơ bản: du l-home g tew y, screened host g tew y, và screened subnet gateway Thành phần B stion host trong Firew ll, đ ng v i trò nh một

ng ời chuyển tiếp thông tin, ghi nh t ký truyền thông, và cung cấp c c dịch vụ,

đòi hỏi độ n toàn c o Proxy server chúng t sẽ t m hiểu kĩ hơn ở phần s u.