Xây dựng máy chủ pháo đài

Tìm hiểu về an toàn và bảo mật trên mạng



Cài đặt máy chủ với hệ điều hành chuẩn và thực hiện bảo mật hệ điều

hành càng cao càng tốt. Thực hiện sửa hết các lỗi trong hệ điều hành bằng

các chương trình sửa lỗi mới nhất

b. Bỏ đi những dịch vụ không cần thiết

Những dịch vụ máy chủ pháo đài cung cấp đều có thể có lỗi và có thể

bị thiết lập sai. Điều này dẫn đến nguy cơ với bảo mật cho máy chủ pháo

đài. Do đó những dịch vụ không thực sự cần thiết trong máy chủ pháo đài

nên bỏ đi ngay vì càng ít dịch vụ thì càng hạn chế các lỗi bảo mật.

c. Cài đặt các dịch vụ cần cung cấp và xây dựng các thiết lập cho

dịch vụ

Các dịch vụ cần cung cấp sẽ được cài đặt lên máy chủ cùng với các

thiết lập cân nhắc kỹ lưỡng để đảm bảo bảo mật cho từng loại hình dịch vụ.

Chú ý cập nhật các bản sửa lỗi mới nhất để nâng cấp tính bảo mật của dịch

vụ

d. Kiểm tra lại máy chủ một lần nữa trước khi vận hành

Sau khi cài đặt các dịch vụ, việc kế tiếp là kiểm tra toàn bộ hệ thống

của máy chủ pháo đài, bỏ đi những chương trình không cần thiết trong máy

chủ. Các tệp dữ liệu và hệ điều hành chuyển đến số lượng tối đa cho phép

sang chế độ chỉ đọc .

e. Chạy trương trình kiểm tra bảo mật

Nờn dùng một số phần mềm kiểm tra các lỗi bảo mật để kiểm tra máy

chủ pháo đài. Các phần mềm này sẽ phát hiện những lỗi bảo mật cũn sút

trong hệ thống. Sau đó thực hiện sửa các lỗi bảo mật đó.

f. Kết nối máy chủ pháo đài với Internet



Tìm hiểu về an toàn và bảo mật trên mạng



Sau khi hoàn thành việc bảo mật cho máy chủ pháo đài ta tiến hành

việc kết nối máy chủ pháo đài vào mạng và kết nối với Internet. Trong quá

trình hoạt động của máy chủ pháo đài phải thường xuyên kiểm tra theo dõi

các nhật ký để phát hiện kịp thời các lỗi bảo mật.

6.3 Kết hợp các kỹ thuật và thiết bị để xây dựng các cấu trúc

tường lửa khác nhau

6.3.1 Cấu trúc máy chủ hai giao diện

Cấu trúc máy chủ hai giao diện được xây dựng trên một máy tính có

hai giao diện mạng. Máy chủ này có thể đóng vai là một bộ dẫn đường giữa

hai hệ thống mạng mà máy chủ nối tới. Hệ thống bên trong tường lửa có thể

liên hệ với máy chủ hai giao diện, và những mạng bên ngoài tường lửa

(Internet ) có thể liên hệ với máy chủ hai giao diện, nhưng giữa bên trong và

bên ngoài không thể liên hệ trực tiếp với nhau.



Cấu trúc máy chủ hai giao diện



Tìm hiểu về an toàn và bảo mật trên mạng



Cấu trúc này tương đối đơn giản, máy chủ hai giao diện nằm ở giữa và

được kết nối với Internet và mạng bên trong.

Máy chủ hai giao diện có thể cung cấp quản lý ở mức cao. Trong một

số trường hợp, máy chủ hai giao diện có thể cho phép hệ thống ngắt bỏ kết

nối của một số dịch vụ khi các dịch vụ này truyền sai kiểu dữ liệu. ( Một hệ

thống lọc gói dữ liệu khó có thể làm gì với mức quản lý này). Tuy nhiên, nó

cũng đòi hỏi phải thực hiện một số lớn công việc để có thể có được tính

năng này.

Một máy chủ đại diện chỉ có thể cung cấp các dịch vụ bằng việc chạy

chương trình “proxy program” đã nói ở trên hay cho phép người dùng truy

nhập vào máy chủ một cách trực tiếp. Tuy nhiên việc cung cấp dịch vụ bằng

cách cho người dùng truy nhập trực tiếp có thể gây ra nguy hiểm cho hệ

thống nếu người dùng không cẩn thận ( để mất mật khẩu, chạy sai chương

trình ...), hơn nữa, nhiều người dùng cảm thấy không thuận lợi khi phải truy

nhập vào máy chủ hai giao diện trước khi sử dụng các dịch vụ.

Dùng chương trình proxy thuận tiện hơn, nhưng như đã nói ở trên,

không thể cung cấp cho tất cả các dịch vụ. Cấu trúc tường lửa mạng con có

lọc phần kế tiếp đưa ra một số lựa chọn cho việc cung cấp các dịch vụ mới

và không tin cậy lắm.

6.3.2 Cấu trúc máy chủ có lọc

Ngược với cấu trúc máy chủ hai giao diện, cấu trúc máy chủ có lọc

cung cấp các dịch vụ từ máy chủ chỉ nối với mạng bên trong, sử dụng router

riêng. Trong cấu trúc này, bảo mật đầu tiên được cung cấp bởi lọc gói dữ

liệu



Tìm hiểu về an toàn và bảo mật trên mạng



Hình 3.3.2 Cấu trúc máy chủ có lọc

Máy chủ pháo đài nằm ở mạng bên trong. Lọc gói dữ liệu trên router

có lọc được cài đặt sao cho máy chủ pháo đài là nơi duy nhất ở mạng bên

trong mà các máy chủ trên Internet có thể kết nối tới ( ví dụ như để phân

phối những thư điện tử đi tới). Thậm chí hơn nữa là chỉ một số kiểu kết nối

là được chấp nhận. Bất kỳ mạng bên ngoài nào muốn truy nhập vào hệ thống

hay dịch vụ bên trong đều phải nối tới máy chủ này. Máy chủ pháo đài do đó

cần phải thiết lập bảo mật máy chủ ở mức cao.

Lọc gói dữ liệu cũng cho phép máy chủ pháo đài mở những kết nối

được phép (“ được phộp” ở đây được quyết định bởi chính sách bảo mật của

hệ thống) tới Internet bên ngoài. Lọc gói dữ liệu được cấu hình trong router

có lọc sẽ thực hiện một trong những liệt kê dưới đây:

• Cho phép những máy chủ bên trong có thể mở những kết nối tới

những máy chủ trên Internet cho những dịch vụ nhất định ( cho phép những

dịch vụ đó qua lọc gói dữ liệu)



Tìm hiểu về an toàn và bảo mật trên mạng



• Cấm tất cả những kết nối từ những máy chủ bên trong ra ngoài (bắt

tất cả những máy chủ đó phải qua máy chủ đại diện là máy chủ pháo đài sử

dụng chương trình proxy)

Hệ thống có thể kết hợp các kiểu trên cho những dịch vụ khác nhau;

một số dịch vụ có thể được cho phép qua lọc gói dữ liệu trong khi những

dịch vụ khác chỉ được cho phép đi không trực tiếp qua máy chủ đại diện. Tất

cả đều phụ thuộc vào chính sách riêng của từng mạng.

Vì cấu trúc này cho phép cỏc gúi tin truyền từ Internet tới mạng bên

trong, do đó dường như nó có thể gây nguy hiểm cho hệ thống hơn cấu trúc

máy chủ hai giao diện, là kiểu được thiết kế sao cho không có gói dữ liệu

bên ngoài nào có thể trực tiếp đến được mạng bên trong. Nhưng trong thực

tế, cấu trúc máy chủ hai giao diện cũng dễ bị phá hỏng làm cho cỏc gúi tin

có thể thực sự truyền từ mạng bên ngoài vào mạng bên trong. (Do kiểu hỏng

này khó dự đoán được, cho nên dường như không thể chống lại kiểu tấn

công theo kiểu này). Hơn thế nữa, việc bảo vệ router là dễ hơn (do router chỉ

cung cấp một số hữu hạn các dịch vụ) so với bảo vệ máy chủ. Để đáp ứng

hầu hết các mục đích , cấu trúc máy chủ có lọc là bảo mật hơn và tính năng

sử dụng cũng tốt hơn so với cấu trúc máy chủ hai giao diện.

Tuy nhiên khi so sánh với các cấu trúc khác, như cấu trúc mạng con

có lọc được trình bày trong phần tiếp theo, thì cấu trúc máy chủ có lọc có

một số hạn chế nhất định. Hạn chế lớn nhất là nếu tin tặc xâm nhập được

vào máy chủ pháo đài thì không còn có tuyến bảo vệ nào nữa giữa máy chủ

pháo đài và các máy chủ còn lại của hệ thống. Router cũng là một điểm dễ bị

tổn thương. Nếu router bị xâm nhập vào, thì toàn bộ hệ thống mạng bị nguy

hiểm. Vì lý do này, cấu trúc mạng con có lọc trở nên phổ biến.



Tìm hiểu về an toàn và bảo mật trên mạng



6.3.3 Cấu trúc mạng con có lọc

Cấu trúc mạng con có lọc là cấu trúc máy chủ có lọc cộng thêm một

lớp bảo mật nữa bằng cách đưa thêm một mạng vòng ngoài để cách ly giữa

mạng bên trong và Internet. Ta sẽ giải thích lý do tại sao lại thực hiện như

vậy.

Như thiết kế ban đầu, máy chủ pháo đài là những máy dễ bị tấn công

nhất trong mạng máy tính. Mặc dù người quản trị mạng luôn cố gắng tối đa

để bảo vệ chúng, nhưng những máy này dường như thường xuyên bị tấn

công. Và với cấu trúc máy chủ có lọc, khi máy chủ pháo đài bị xâm nhập

vào thì không có sự bảo vệ nào khác giữa nó và những máy chủ khác trong

mạng. Nếu như tin tặc thành công trong việc xâm nhập vào máy chủ pháo

đài, cả hệ thống mạng sẽ gặp nguy hiểm.

Bằng việc cách ly máy chủ pháo đài trên mạng vòng ngoài, hệ thống

có thể giảm bớt nguy hiểm khi máy chủ pháo đài bị xâm nhập.

Kiểu đơn giản nhất của cấu trúc mạng con có lọc gồm có hai router có

lọc, mỗi cái được nối với mạng vòng ngoài. Một cái ở giữa mạng vòng ngoài

và mạng bên trong, và cái còn lại nằm giữa mạng vòng ngoài và Internet. Để

xâm nhập vào mạng bên trong của cấu trúc này, tin tặc phải vượt qua cả hai

router. Nếu như bằng cách nào đó mà tin tặc xâm nhập vào được máy chủ

pháo đài, hắn ta phải vượt qua router bên trong. ở đây không có điểm nguy

hiểm nào để có thể gây tổn hại đến mạng bên trong.

Một số mạng còn làm hơn thế nữa bằng cách tạo một loạt các mạng

vòng ngoài giữa Internet và mạng bên trong. Những dịch vụ kém tin tưởng

và nhiều nguy hiểm được đặt ở những lớp mạng vòng ngoài xa mạng bên

trong nhất. ý tưởng này là nếu tin tặc thành công trong việc xâm nhập vào



Tìm hiểu về an toàn và bảo mật trên mạng



máy chủ trên mạng vòng ngoài thì sẽ phải mất nhiều thời gian để có thể xâm

nhập vào mạng bên trong. Điều này chỉ đúng nếu như hệ thống lọc giữa các

lớp mạng được thiết lập khác nhau. Nếu như bảo mật giữa các lớp mạng là

như nhau thì việc tạo nhiều lớp mạng vòng ngoài là không có ý nghĩa.



Cấu trúc mạng con có lọc ( sử dụng hai router)

Sau đây ta sẽ tìm hiểu sâu hơn về các thành phần của cấu trúc này.

a. Mạng vòng ngoài

Mạng vòng ngoài là một lớp khác của bảo mật, một mạng đưa thêm

vào giữa mạng bên trong và Internet. Nếu tin tặc thành công trong việc xâm

nhập vào phần ngoài của tường lửa, mạng vòng ngoài sẽ thực hiện việc bảo

mật ngăn cản tin tặc với mạng bên trong.

Sau đây là một ví dụ cho thấy tác dụng của mạng vòng ngoài. Rất

nhiều phần thiết lập mạng cho phép bất kỳ máy tính nào trong mạng cũng có

thể nhìn thấy được thông tin truyền trên mạng của tất cả cỏc mỏy khỏc. (Ví

dụ với các mạng Ethernet). Những tin tặc có thể thành công trong việc lấy



Tìm hiểu về an toàn và bảo mật trên mạng



cắp được mật khẩu bằng cách theo dõi các luồng thông tin đó bằng cách sử

dụng các lệnh của Telnet, FTP hay rlogin. Thậm chí nếu không ăn cắp được

mật khẩu, tin tặc cũng có thể xem trộm được nội dung của các tệp dữ liệu

quan trọng khi người dùng đang sử dụng.

Với mạng vòng ngoài, nếu như tin tặc xâm nhập vào máy chủ pháo

đài trong mạng vòng ngoài, hắn ta chỉ có thể theo dừi cỏc luồng thông tin

trên mạng đó mà thôi. Tất cả các luồng thông tin trên mạng vòng ngoài có

thể là từ máy chủ pháo đài hay từ Internet. Do chắc chắn không có luồng

thông tin trao đổi bên trong được truyền qua mạng vòng ngoài, luồng thông

tin trao đổi bên trong luôn được an toàn trước con mắt rình mò của tin tặc.

Tuy nhiên, luồng thông tin trao đổi từ máy chủ pháo đài hay mạng

bên ngoài vẫn có thể nhìn thấy. Một phần trong việc xây dựng tường lửa là

phải đảm bảo những luồng thông tin đó không có chứa những thông tin bí

mật mà việc đọc trộm được nó không thể gây nguy hại cho toàn bộ hệ thống

mạng.

b. Máy chủ pháo đài

Với cấu trúc mạng con có lọc, hệ thống gắn máy chủ pháo đài vào

mạng vòng ngoài. Máy chủ này là điểm liên kết chính cho các kết nối đi vào

từ Internet, ví dụ như :

• Cho những kết nối email đi vào (SMTP) để truyền thư điện tử tới

mạng

• Cho những kết nối FTP đi vào tới các máy chủ FTP

• Cho những yêu cầu dịch vụ cung cấp tên miền đi vào

Những dịch vụ bên ngoài ( từ máy trạm bên trong tới các máy chủ

trên Internet) được thực hiện theo các cách thức sau :



Tìm hiểu về an toàn và bảo mật trên mạng



• Thiết lập lọc gói dữ liệu trên cả router bên ngoài và router bên trong

cho phép máy trạm bên trong có thể truy nhập trực tiếp ra các máy chủ trên

Internet

• Thiết lập chương trình proxy chạy trên máy chủ pháo đài cho phép

máy trạm bên trong có thể truy nhập gián tiếp ra các máy chủ trên Internet.

Cũng có thể thiết lập lọc gói dữ liệu cho phép máy trạm bên trong có thể nói

chuyện được với máy chủ pháo đài và ngược lại thông qua chương trình

proxy, nhưng cấm kết nối trực tiếp giữa máy trạm bên trong và Internet.



Trong cả hai trường hợp, lọc gói dữ liệu cho phép máy chủ pháo đài

có thể nối tới và cho phép nối tới với các máy chủ trên Internet. Máy chủ

nào, và dịch vụ nào được chỉ định bởi chính sách bảo mật của mạng.

c. Router bên trong

Router bên trong bảo vệ mạng bên trong chống lại nguy cơ từ cả

mạng vòng ngoài và Internet.

Router bên trong thực hiện hầu hết việc lọc gói dữ liệu cho tường lửa

hệ thống. Nó cho phép những dịch vụ đã được chọn lựa từ mạng bên trong

ra bên ngoài Internet. Những dịch vụ này là những dịch vụ mà hệ thống

mạng có thể cung cấp an toàn bằng việc sử dụng lọc gói dữ liệu hơn là dùng

chương trình proxy. Những dịch vụ router bên trong cho phép truyền giữa

máy chủ pháo đài (ở trên mạng vòng ngoài) và mạng bên trong không nhất

thiết phải giống như những dịch vụ router bên trong cho phép truyền giữa

Internet và mạng bên trong. Lý do của việc hạn chế những dịch vụ giữa máy

chủ pháo đài và mạng bên trong là để giảm số lượng máy tính có thể bị tấn

công từ máy chủ pháo đài.



Tìm hiểu về an toàn và bảo mật trên mạng



Người quản trị mạng nên giới hạn những dịch vụ cho phép giữa máy

chủ pháo đài và mạng bên trong tới mức ít nhất, chỉ cho phép những dịch vụ

cần thiết nhất đi qua như SMTP ( để máy chủ pháo đài có thể gửi thư đến),

DNS ( để máy chủ pháo đài có thể trả lời những yêu cầu của cỏc mỏy bên

trong, hay hỏi những máy bên trong, tuỳ thuộc vào việc đặt cấu hình của

mạng) ... Người quản trị mạng cũng nên giới hạn phạm vi của dịch vụ, như

chỉ cho phép chúng từ máy chủ pháo đài truyền tới một số máy cụ thể ở bên

trong. Ví dụ SMTP được hạn chế chỉ cho kết nối giữa máy chủ pháo đài tới

máy chủ thư điện tử bên trong.

d. Router bên ngoài

Theo lý thuyết, router bên ngoài được dùng để bảo vệ mạng vòng

ngoài và mạng bên trong chống lại nguy cơ từ Internet. Trên thực tế, router

bên ngoài có xu hướng cho phép hầu hết mọi thứ từ mạng vòng ngoài đi ra

ngoài, và router bên ngoài thực hiện lọc gói dữ liệu rất ít. Những luật lọc gói

dữ liệu để bảo vệ mạng bên trong về cơ bản cần phải giống nhau giữa router

bên trong và router bên ngoài. Nếu có lỗi trong các luật dẫn đến việc cho

phép tin tặc bên ngoài truy nhập vào, sẽ có thông báo lỗi thể hiện trên cả hai

router.

Những luật lọc gói dữ liệu thực sự riêng biệt trên router bên ngoài là

những luật để bảo vệ những máy tính trên mạng vòng ngoài ( đó là những

máy chủ pháo đài và router bên trong). Tuy nhiên thông thường thì không

cần thiết phải có nhiều luật bảo vệ vì máy chủ trên mạng vòng ngoài thường

được bảo vệ chủ yếu bằng bảo mật máy chủ.

những luật còn lại mà người quản trị nên thiết lập trên router bên

ngoài là sao lại những luật trên router bên trong. Đó là những luật dùng để



Tìm hiểu về an toàn và bảo mật trên mạng



ngăn chặn những luồng thông tin không an toàn giữa những máy chủ bên

trong và Internet.

Tóm lại, công việc mà router bên ngoài thực hiện tốt nhất và việc này

chỉ thực hiện được tốt ở router bên ngoài là chặn tất cả những gói tin đi vào

từ Internet có địa chỉ giả mạo. Những gói tin đó giả như đi từ mạng bên

trong, nhưng thực sự đi từ Internet vào.

Router bên trong cũng có thể làm được việc đó, nhưng nó không thể

làm gì nếu như những gói tin giả mạo đó dường như đi từ mạng vòng ngoài.



Phần II: Máy chủ pháo đài

Trong chương này:

Các nguyên lý chung.