Cónhững lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, như các tấn công DoSDenial of Service – Tấn công từ chối dịch vụ, có những lỗ hổng ảnh hưởng nghiêmtrọng tới toàn bộ hệ thố
Trang 1MỤC LỤC
MỤC LỤC 1
DANH MỤC HÌNH VẼ 3
LỜI MỞ ĐẦU 4
CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH 5
I.1 Các nguy cơ đe dọa hệ thống mạng máy tính 5
II.2 Các hình thức tấn công mạng phổ biến 7
II.2.1 Tấn công trực tiếp 7
II.2.2 Nghe trộm 7
II.2.3 Giả mạo địa chỉ 7
II.2.4 Vô hiệu hoá các chức năng của hệ thống (denial of service) 8
II.2.5 Tấn công vào yếu tố con người 8
CHƯƠNG II: TƯỜNG LỬA VÀ CÁC CÔNG NGHỆ TƯỜNG LỬA 9
II.1 Tường lửa là gì? 9
II.1.1 Định nghĩa 9
II.1.2 Chức năng 9
II.1.3 Ưu điểm của tường lửa 10
II.1.4 Hạn chế của tường lửa 10
II.2 Các công nghệ tường lửa 10
II.2.1 Bộ lọc gói tin 11
II.2.1.1 Nguyên lý hoạt động 11
II.2.1.2 Ưu điểm 13
II.2.1.3 Hạn chế 13
II.2.2 Cổng chuyển mạch 14
Trang 2II.2.3.1 Nguyên lý hoạt động 15
II.2.3.2 Ưu điểm 16
II.2.3.3 Hạn chế 17
II.2.4 Công nghệ Stateful Inspection 17
II.3 Một số tường lửa sử dụng công nghệ Stateful Inspection 18
II.3.1 Tường lửa của Check Point 18
II.3.2 Tường lửa của Cisco 19
II.3.3 Tường lửa của Netscreen 20
CHƯƠNG III: ỨNG DỤNG TƯỜNG LỬA VPN-1 CỦA CHECK POINT ĐỂ BẢO VỆ MẠNG VÀ PHÒNG CHỐNG TẤN CÔNG 22
III.1 Giới thiệu chung về tường lửa VPN-1 22
III.2 Một số khái niệm cơ bản 22
III.3 Ứng dụng tường lửa VPN-1 của Check Point 25
III.3.1 Cho phép dải địa chỉ trong Internal ra Internet 25
III.3.2 Cấm máy SmartConsole truy nhập ra ngoài Internet 26
III.3.2 Ngăn chặn tấn công dựa vào lỗ hổng Slowloris HTTP DoS của Apache .27
KẾT LUẬN 31
TÀI LIỆU THAM KHẢO 32
Trang 3DANH MỤC HÌNH VẼ
Hình 1: Sơ đồ chức năng hệ thống của tường lửa 10
Hình 2: Sơ đồ làm việc của Packet Filtering 11
Hình 3: Các lớp OSI được bộ lọc gói tin sử dụng 12
Hình 4: Cổng chuyển mạch 14
Hình 5: Các lớp sử dụng trong công nghệ Proxy service 15
Hình 6: Tường lửa Check Point VPN-1 trong hệ thống mạng 19
Hình 7: Tường lửa Cisco PIX trong hệ thống mạng 20
Hình 8: Tường lửa NetScreen trong hệ thống mạng 20
Hình 9: Ví dụ về tập luật 23
Hình 10: Luật Cleanup 24
Hình 11: Luật Stealth 24
Trang 4LỜI MỞ ĐẦU
An toàn thông tin trên mạng máy tính là một lĩnh vực rộng lớn, nó bao gồm tất cảcác kỹ thuật, các phương pháp, phương tiện bảo vệ thông tin Nó liên quan đến cáckiến thức về khoa học mật mã, công nghệ mạng, các ứng dụng trên mạng Bước đầutiên và cũng là bước hiệu quả nhất cần nghĩ đến đó là đưa các kỹ thuật, các ứng dụngcông nghệ vào vấn đề bảo vệ an toàn thông tin
Bài giảng này không đề cập đến tất cả các phương pháp bảo vệ thông tin mà chỉquan tâm chủ yếu đến giải pháp bảo mật thông tin sử dụng tường lửa – một biện phápđầu tiên cần phải thực hiện khi cần bảo vệ thông tin
Bài giảng này cung cấp những kiến thức cơ bản về tường lửa, các công nghệ tườnglửa và qua đó cũng giới thiệu qua về một số hãng sản xuất tường lửa nổi tiếng nhấthiện này: Check Point, Cisco, Juniper Đặc biệt, bài giảng còn đưa ra một số ứng dụngthực tiễn với sản phẩm tường lửa của Check Point – VPN-1 để minh chứng về lợi íchcủa tường lửa, tính hiệu quả của tường lửa trong vấn đề chống tấn công mạng
Nội dung của bài giảng được chia thành 3 chương như sau:
Chương I: Tổng quan về vấn đề an toàn thông tin trên mạng máy tính
Trình bày về các mối đe dọa có thể xảy đến đối với hệ thống thông tin Các mối đedọa đó có thể ảnh hưởng đến tính bí mật, tính toàn ven, tính sẵn sàng của thông tin.Chương II: Tường lửa và các công nghệ tường lửa
Trình bày khái niệm tường lửa, chức năng cũng như các công nghệ tường lửa Đặcbiệt chương này còn nói về công nghệ Stateful Inspection – một công nghệ tường lửatiên tiến nhất hiện nay và đưa ra một số ứng dụng điển hình sử dụng công nghệStateful Inspection của một số hãng nổi tiếng: Check Point, Cisco, Juniper
Chương III: Ứng dụng tường lửa VPN-1 của Check Point để bảo vệ mạng vàphòng chống tấn công
Chương này là chương ứng dụng thực tế, sử dụng tường lửa VPN-1 của CheckPoint để cho phép cũng như hạn chế truy nhập và ngăn chặn tấn công
Hà nội, tháng 10 năm 2009
Phạm Minh Thuấn
Trang 5CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN
THÔNG TIN TRÊN MẠNG MÁY TÍNH
An toàn thông tin là một nhu cầu rất quan trọng đối với các cá nhân cũng như các
tổ chức xã hội và các quốc gia trên thế giới An toàn thông tin cần thiết trong mọi lĩnhvực đặc biệt là hệ thống mạng, hệ thống Internet Từ khi ra đời cho đến nay, mạng vàInternet đã là món ăn tinh thần không thể thiếu cho bất kỳ người sử dụng nào, bởi lẽ sựtiện dụng cũng như hiệu quả đến thần kỳ của nó Thế nhưng bên cạnh mặt tiện lợi,người sử dụng cũng luôn phải đối mặt với các hiểm họa do thông tin trên mạng của họ
bị tấn công An toàn thông tin trên mạng máy tính đang là vấn đề được đặc biệt quantâm đồng thời cũng là một công việc hết sức khó khăn và phức tạp
Chương này trình bày về các nguy cơ đe dọa hệ thống thông tin và các hình thứctấn công phổ biến trên mạng hiện nay
I.1 Các nguy cơ đe dọa hệ thống mạng máy tính
Trong thời gian gần đây, số vụ xâm nhập trái phép vào các hệ thống thông tin quamạng ngày càng tăng Có nhiều nguyên nhân dẫn đến việc các hệ thống mạng bị tấncông nhiều hơn, trong số những nguyên nhân chính có thể kể đến là các lỗ hổng trong
hệ điều hành, trong các ứng dụng thương mại điện tử, và những nguyên nhân xuất phát
từ sự mất cảnh giác của người dùng, chủ ý của kẻ phá hoại…, tạo nên những nguy cơmất an toàn thông tin Cũng cần lưu ý rằng những nguy cơ mất an toàn mạng khôngchỉ do tấn công từ bên ngoài mà một phần lớn lại chính là từ nội bộ: nhân viên bất mãn,sai sót của người sử dụng, ý thức bảo mật kém,…
Trung tâm nghiên cứu an ninh X-Force của IBM đã công bố báo cáo giữa năm vềtình hình an ninh mạng 2009 Báo cáo cho thấy tình trạng mất an ninh chưa từng thấyliên quan đến web thông qua các thống kê về lỗ hổng an ninh, các tấn công nhằm vàoclient, vào ứng dụng web:
Trang 6Số lượng các lỗ hổng an ninh được phát hiện trong nửa đầu năm 2009 không thuakém so với năm 2007, 2008 thậm chí còn có phần nhiều hơn Đặc biệt là trong ứngdụng Web, số lượng các lỗ hổng tăng lên hàng năm, nhất là các điểm yếu về SQLInjection và ActiveX.
Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi của bảnthân hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểusâu sắc các dịch vụ cung cấp Mức độ ảnh hưởng của các lỗ hổng là khác nhau Cónhững lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, như các tấn công DoS(Denial of Service – Tấn công từ chối dịch vụ), có những lỗ hổng ảnh hưởng nghiêmtrọng tới toàn bộ hệ thống, cho phép người sử dụng bên ngoài truy nhập bất hợp phápvào hệ thống và chiếm quyền điều khiển hệ thống, như lỗ hổng RPC DCOM trongWindows, lỗ hổng Cross-Site Scripting trong ứng dụng Web
Trang 7II.2 Các hình thức tấn công mạng phổ biến
Có rất nhiều các lỗ hổng trong hệ điều hành, trong ứng dụng Web hay trong các tàiliệu văn bản do đó cũng có rất nhiều kiểu tấn công nhằm khai thác các lỗ hổng đó.Dưới đây là một vài phương pháp tấn công thường xảy ra vào hệ thống, vào ứng dụng
và dịch vụ:
II.2.1 Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu đểchiếm được quyền truy nhập bên trong Một phương pháp tấn công cổ điển là dò cặptên người sử dụng-mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòihỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể sử dụng những thông tinnhư tên người dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật khẩu Trong trườnghợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, kẻtấn công có thể dễ dàng sử dụng phần mềm để tìm ra mật khẩu trong các tài khoản hợplệ
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành
đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyềntruy nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được
quyền của người quản trị hệ thống (root hay administrator).
II.2.2 Nghe trộm
Nghe trộm thông tin trên mạng có thể đưa lại cho kẻ tấn công những thông tin cóích như tên-mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việcnghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truynhập hệ thống, thông qua các chương trình cho phép ghi lại các gói tin đi qua cardmạng (Network Interface Card - NIC) Những thông tin này cũng có thể dễ dàng lấyđược trên Internet
II.2.3 Giả mạo địa chỉ
Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn
đường trực tiếp (source-routing) Với cách tấn công này, kẻ tấn công gửi các gói tin
IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một
Trang 8mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõđường dẫn mà các gói tin IP phải gửi đi.
II.2.4 Vô hiệu hoá các chức năng của hệ thống (denial of service)
Đây là kểu tấn công nhằm làm tê liệt hệ thống, không cho nó thực hiện chức năng
mà nó thiết kế Kiểu tấn công này rất khó có thể thể ngăn chặn, do những phương tiệnđược tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông
tin trên mạng Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống
tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, khôngcòn các tài nguyên để thực hiện những công việc có ích khác
II.2.5 Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sửdụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệthống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phươngpháp tấn công khác Với kiểu tấn công này không một thiết bị nào có thể ngăn chặnmột cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về nhữngyêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi Nói chung yếu
tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáodục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàncủa hệ thống bảo vệ
Trang 9CHƯƠNG II: TƯỜNG LỬA VÀ CÁC CÔNG
NGHỆ TƯỜNG LỬA II.1 Tường lửa là gì?
II.1.1 Định nghĩa
Thuật ngữ tường lửa (Firewall) có nguồn gốc từ một kỹ thuật thiết kế trong xâydựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, tường lửa làmột kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằmbảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống củamột số thông tin khác không mong muốn
Cũng có thể hiểu rằng tường lửa là một cơ chế để bảo vệ mạng tin cậy (trustednetwork) khỏi các mạng không tin cậy (untrusted network)
Tường lửa có thể là thiết bị phần cứng hoặc phần mềm nằm ở vành đai mạng củamột tổ chức, một công ty, hay một quốc gia (Intranet) và Internet Nó thực hiện vai tròbảo mật các thông tin cho hệ thống mạng Intranet từ thế giới Internet bên ngoài
Triển khai giám sát các sự kiện an ninh mạng: Các hệ thống cảnh báo, IDS &IPS có thể triển khai trên hệ thống tường lửa
Triển khai một vài chức năng trên nền tường lửa: NAT, thống kê, logs
Để tường lửa làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài vàngược lại đều phải thực hiện thông qua Firewall
Sơ đồ chức năng hệ thống của tường lửa:
Trang 10Hình 1: Sơ đồ chức năng hệ thống của tường lửa
II.1.3 Ưu điểm của tường lửa
Tường lửa là một điểm quan trọng trong chính sách kiểm soát truy nhập Nó là
“cửa khẩu” duy nhất nối mạng được bảo vệ với bên ngoài, do đó có thể ghi nhận mọicuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, giao thức… Tường lửa cóthể phục vụ như một công cụ theo dõi các cuộc tấn công với ý đồ xấu từ bên ngoàinhằm dự báo khả năng bị tấn công trước khi cuộc tấn công xẩy ra Nhìn chung, tườnglửa có rất nhiều các ưu điểm như:
Bảo vệ hệ thống chống lại những kẻ đột nhập qua khả năng ngăn chặn nhữngphiên làm việc từ xa (remote login)
Ngăn chặn thông tin từ bên ngoài vào trong mạng được bảo vệ, trong khi chophép người sử dụng hợp pháp được truy cập tới mạng bên ngoài
II.1.4 Hạn chế của tường lửa
Bên cạnh ưu điểm, tường lửa còn có 1 số hạn chế như:
Tường lửa không thể chống lại các tấn công vòng qua tường lửa
Tường lửa không thể chống lại các nguy cơ đe dọa từ bên trong
Tường lửa không thể chống lại các tấn công bởi virus, sâu mạng và mã độc hại(data – driven attack)
Tuy nhiên, tường lửa vẫn là giải pháp hữu hiệu được áp dụng rộng rãi
II.2 Các công nghệ tường lửa
Trên thế giới có nhiều quan điểm khác nhau trong việc phân loại các công nghệtường lửa, đó là:
Trang 11 Phân loại theo phạm vi sử dụng
Tường lửa cá nhân: thường là phần mềm sử dụng cho một máy tính đơn
Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyêndụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu DMZ (phi quânsự)
Phân loại dựa trên mô hình tầng mạng
Tầng mạng – Bộ lọc gói tin
Tầng ứng dụng – Cổng ứng dụng
Tầng giao vận – Cổng vòng
Phân loại dựa trên trạng thái
Tường lửa có trạng thái (Stateful firewall)
Tường lửa phi trạng thái (Stateless firewall)
II.2.1 Bộ lọc gói tin
II.2.1.1 Nguyên lý hoạt động
Tường lửa hoạt động chặt chẽ với giao thức TCP/IP do nó làm nhiệm vụ lưu thông
dữ liệu giữa các mạng với nhau Giao thức này làm việc theo thuật toán chia nhỏ các
dữ liệu nhận được từ các ứng dụng trên mạng thành các gói dữ liệu (data packets) rồigán cho các gói này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến.Các gói tin sẽ được truyền qua tường lửa, bộ lọc gói sẽ có nhiệm vụ kiểm tra các góitin theo một chính sách đã định trước
Hình 2: Sơ đồ làm việc của Packet Filtering
Trang 12Bộ lọc gói tin cho phép hay từ chối mỗi gói tin nhận được Nó kiểm tra toàn bộđoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệcủa lọc gói tin hay không.
Bộ lọc gói tin hoạt động ở lớp 3 trong mô hình OSI, cung cấp chức năng chính làkiểm soát truy cập mạng dựa trên các thông tin header của gói tin:
Địa chỉ IP nguồn (ví dụ địa chỉ IP 192.168.1.1)
Địa chỉ IP đích (ví dụ địa chỉ IP 192.168.1.2)
Giao thức truyền tin (TCP, UDP, ICMP, IP)
Một số thông tin trong phiên giao tiếp của tầng 4 ví dụ như địa chỉ cổngTCP/UDP nguồn, cổng TCP/UDP đích
Dạng thông báo ICMP ( ICMP message type)
Giao diện gói tin đến, giao diện gói tin đi
Các thông số này thường hữu ích cho các bộ định tuyến có ba giao diện mạng trởlên
Hình 3: Các lớp OSI được bộ lọc gói tin sử dụng
Nếu các điều kiện lọc gói tin được thoả mãn thì gói tin được chuyển qua tườnglửa, ngược lại thì gói tin sẽ bị chặn lại Nhờ vậy mà tường lửa có thể ngăn cản đượccác kết nối vào các máy chủ hoặc mạng nhất định, hoặc cấm việc truy cập vào hệthống mạng từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làmcho tường lửa có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máychủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mớiđược chạy trên hệ thống mạng cục bộ
Trang 13II.2.1.2 Ưu điểm
Đa số các hệ thống tường lửa đều sử dụng công nghệ lọc gói tin vì các ưu điểm sau:
Tốc độ xử lý nhanh do các bộ lọc gói thường ít khi xử lý dữ liệu ở các lớp 4 trởlên
Phần lớn các giao thức đều hoạt động từ lớp 3 trở lên nên các bộ lọc gói thườngtrong suốt đối với người sử dụng và các ứng dụng
Khả năng ngăn chặn các tấn công từ chối dịch vụ tốt
Với các ưu điểm ở trên, công nghệ lọc gói tin rất hay được tích hợp vào các các bộđịnh tuyến vành đai (boundary router) kết nối đến các vùng mạng không tin cậy Các
bộ định tuyến này đảm nhận nhiệm vụ ngăn chặn một số tấn công, kiểm soát truy cậpmức đơn giản, lọc “thô” bớt các giao thức không được phép, sau đó chuyển dữ liệu lọcvào cho các tường lửa bên trong xử lý tiếp
Các tường lửa lọc gói tin rất phù hợp cho các môi trường cần tốc độ xử lý cao, việcghi nhật ký và xác thực người dùng không phải là các yêu cầu quan trọng
Các công nghệ tường lửa hiện đại gồm rất nhiều chức năng, rất hiếm các loại tườnglửa chỉ có tính năng lọc gói tin Phần lớn các tường lửa dành cho các doanh nghiệp nhỏ,người dùng ở nhà SOHO (Small Office Home Office), các hệ điều hành đều có tíchhợp sẵn công nghệ lọc gói tin
II.2.1.3 Hạn chế
Công nghệ lọc gói tin có một số điểm hạn chế:
Các tường lửa dựa trên công nghệ lọc gói tin không kiểm soát dữ liệu từ lớp 4trở lên nên không kiểm soát được ứng dụng theo từng chức năng, không chốngđược các tấn công lợi dụng điểm yếu của ứng dụng
Khả năng đưa ra các thông tin nhật ký hạn chế do tường lửa chỉ kiểm soát một
số lượng rất giới hạn các thông tin trong gói tin Các gói tin nhật ký thường chỉgiới hạn trong số các thông tin dùng để tạo lên chính sách điều khiển truy cập(địa chỉ nguồn, đích, kiểu dữ liệu)
Phần lớn các tường lửa lọc gói tin không hỗ trợ các tính năng xác thực ngườidùng
Không ngăn chặn được các tấn công lợi dụng các điểm yếu trong giao thức
Trang 14được một gói tin đã bị thay đổi các thông tin địa chỉ lớp 3 Loại tấn công giảmạo địa chỉ này cho phép kẻ tấn công vượt qua được rất nhiều các chính sáchbảo mật cài đặt trên tường lửa
Việc định nghĩa các chế độ lọc gói tin là một việc khá phức tạp; đòi hỏi ngườiquản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng headercủa gói tin, và các giá trị cụ thể trên mỗi trường Khi số lượng các quy tắc lọctrở nên dài và phức tạp thì mức độ phức tạp trong quản lý tăng lên, xác suấtnhầm lẫn xảy ra rất cao
II.2.2 Cổng chuyển mạch
Cổng chuyển mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổngứng dụng Cổng chuyển mạch đơn giản chỉ chuyển tiếp (relay) các kết nối TCP màkhông thực hiện bất kỳ một hành động xử lý hay lọc packet nào
Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng chuyển mạch.Cổng chuyển mạch đơn giản chuyển tiếp kết nối telnet qua tường lửa mà không thựchiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào Cổng chuyển mạchlàm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (inside connection)
và các kết nối bên ngoài (outside connection) Tuy nhiên, vì sự kết nối này xuất hiện
từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ
Hình 4: Cổng chuyển mạch
Cổng chuyển mạch thường được sử dụng cho những kết nối ra ngoài, nơi mà cácquản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là mộtbastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng chonhững kết nối đến, và cổng chuyển mạch cho các kết nối đi Điều này làm cho hệthống tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếptruy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng tường lửa để bảo
vệ mạng nội bộ từ những sự tấn công bên ngoài
Trang 15II.2.3 Cổng ứng dụng
II.2.3.1 Nguyên lý hoạt động
Đây là một loại tường lửa được thiết kế để tăng cường chức năng kiểm soát cácloại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt độngcủa nó dựa trên cách thức gọi là Proxy service (dịch vụ đại diện) Proxy service là các
bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trịmạng không cài đặt chương trình proxy cho một ứng dụng nào đó, dịch vụ tương ứng
sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra,proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng
mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.Cổng ứng dụng phối hợp giữa kiểm soát truy cập mức thấp với các chức năng lớpcao (lớp 7 - lớp ứng dụng)
Hình 5: Các lớp sử dụng trong công nghệ Proxy service
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nóđược thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảmbảo an ninh của một bastion host là:
Bastion host luôn chạy các version an toàn (secure version) của các phần mềm
hệ thống (Operating system) Các version an toàn này được thiết kế chuyên chomục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sựtích hợp firewall
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặttrên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không
Trang 16thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch
vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như userpassword hay smart card
Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủnhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxychỉ đúng với một số máy chủ trên toàn hệ thống
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giaothông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có íchtrong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại
Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này chophép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang cóvấn đề
2 Outside client chỉ ra máy chủ đích và Telnet proxy tạo một kết nối của riêng
nó tới máy chủ bên trong, và chuyển các lệnh tới máy chủ dưới sự uỷ quyềncủa outside client Outside client thì tin rằng Telnet proxy là máy chủ thật ởbên trong, trong khi máy chủ ở bên trong thì tin rằng Telnet proxy là clientthật
II.2.3.2 Ưu điểm
Cổng ứng dụng có nhiều ưu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trênmạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào
có thể truy nhập được bởi các dịch vụ
