Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )
Tìm hiểu về an toàn và bảo mật trên mạng
Kỹ thuật lọc gói dữ liệu thường được thiết kế trong các bộ dẫn đường
router là thiết bị cơ bản để liên kết giữa các mạng IP .Cỏc gúi dữ liệu được
truyền từ router này đến router khác cho đến khi nó tới được đích.
Router thực hiện việc chỉ đường cho mỗi gói dữ liệu mà nó nhận
được. Mỗi router có chứa bảng đường truyền trong bộ nhớ và router dựng
chỳng để thực hiện việc truyền cỏc gúi tin nhận được đến đích. Trong router
lọc gói dữ liệu, khi nhận được gói dữ liệu, nó không truyền ngay đến đích
mà kiểm tra xem gói dữ liệu này có được phép truyền không, bằng cách dựa
vào các luật (rule) đã được thiết lập trong hệ thống. Cỏc gúi dữ liệu không
hợp lệ sẽ bị giữ lại và cũng không gửi phản hồi lại cho nơi phát.
Hình aa.2 Lọc gói dữ liệu dùng router có lọc
b. Các ưu điểm của lọc gói dữ liệu
1. Một router lọc gói dữ liệu có thể bảo vệ cả một hệ thống
Một trong những ưu điểm chính của lọc gói dữ liệu là một router được
thiết lập tốt có thể bảo vệ cả một hệ thống. Nếu như chỉ có một router để nối
giữa mạng và Internet, hệ thống có được khả năng to lớn trong việc bảo mật,
Tìm hiểu về an toàn và bảo mật trên mạng
không phụ thuộc vào kích cỡ của hệ thống mạng, bằng việc sử dụng lọc gói
dữ liệu trong router.
2. Lọc gói dữ liệu đơn giản trong sử dụng
Lọc gói dữ liệu không cần bất kỳ phần mềm bổ trợ nào và cũng không
phải định dạng cho máy chủ. Các thao tác của người dùng vẫn như vậy,
không đòi hỏi bất kỳ yêu cầu nào đối với người dùng trong mạng. Thậm chí
người dùng trong mạng không biết đến sự có mặt của việc lọc gói dữ liệu
trong hệ thống, trừ khi họ gửi đi những dữ liệu không hợp lệ với các luật
được thiết lập trong router lọc gói dữ liệu.
3. Lọc gói dữ liệu được sử dụng rộng rãi ở rất nhiều router
Kỹ thuật lọc gói dữ liệu được sử dụng rộng rãi ở nhiều sản phẩm phần
cứng và phần mềm. Hầu hết các router trong các hệ thống mạng đều có tính
năng lọc gói dữ liệu.
c. Yếu điểm của phương pháp lọc gói dữ liệu
1. Những công cụ lọc gói dữ liệu chưa thật sự hoàn hảo
• Những luật trong lọc gói dữ liệu khó thiết lập
• Khi thiết lập xong,cỏc luật để lọc gói dữ liệu khó có thể
kiểm tra được
• Tính năng lọc gói dữ liệu trong nhiều sản phẩm không đầy
đủ, làm cho việc bổ sung thờm cỏc kiểu lọc với yêu cầu cao
hơn khó hay nhiều lúc không thể làm được.
• Cỏc gói dữ liệu sau khi lọc có thể có lỗi
2. Một số giao thức không tương thích với lọc gói dữ liệu
Tìm hiểu về an toàn và bảo mật trên mạng
Một số giao thức không tương thích với lọc gói dữ liệu, do đó sẽ có
lỗi khi dữ liệu dùng giao thức đó truyền qua bộ lọc.
3. Một số luật không thể dễ dàng thực hiện được với các router lọc gói dữ
liệu thông thường
Do hạn chế trong thông tin mà router lọc gói dữ liệu có được, một số
luật không thể thực hiện được. Ví dụ như cỏc gúi chỉ cho biết địa chỉ đến,
chứ không cho biết tên người dùng gửi thông tin, do đó không thể hạn chế
những người dùng khác nhau.
Router lọc gói dữ liệu thường được gọi là router có lọc (screened
router). Nú chớnh là router thông thường cú thờm tính năng lọc gói dữ liệu.
6.1.2 Đặt cấu hình cho router có lọc
Để đặt cấu hình cho router có lọc, chúng ta phải quyết định loại dịch
vụ nào được phép truyền và loại dịch vụ nào bị loại bỏ, sau đó chuyển những
quyết định đó thành những luật cho cỏc gúi tin. Phần này đưa ra một số khái
niệm chung mà ta cần ghi nhớ khi chuyển những quyết định về các loại dịch
vụ thành những luật cho cỏc gúi tin.
a. Các giao thức thường là hai hướng
Các giao thức truyền thường có hai hướng; đó là một hướng gửi yêu
cầu hay lệnh và hướng ngược lại để trả lời. Do đó khi ta đưa ra các luật, ta
phải nhớ là cỏc gúi tin đi theo hai chiều.
b. Chế độ mặc định cho router nên là từ chối
Thông thường khi thiết lập các luật, khi loại hình dịch vụ nào ta không
đề cập đến trong các luật thì loại hình đó sẽ nhận được giá trị mặc định của
router. Nếu router để chế độ mặc định là cho phép thì rất dễ gây nguy hiểm
Tìm hiểu về an toàn và bảo mật trên mạng
cho hệ thống vỡ cỏc loại dịch vụ mới có thể đi qua lọc gói dữ liệu xâm nhập
vào. Do đó tốt hơn cả là chế độ mặc định của router là từ chối, sau đó ta thiết
lập các luật cho từng dịch vụ mà ta quan tâm.
6.1.3 Phương pháp dùng máy chủ đại diện (proxy server)
Nguyên lý của phương pháp này là dùng một máy chủ, được cài đặt
một chương trình chuyên dụng là “proxy program” để trở thành máy chủ đại
diện. Máy chủ này có thể là máy chủ có hai giao diện “dual-home host” với
một giao diện kết nối với mạng bên trong và một giao diện kết nối với mạng
bên ngoài hay có thể là máy chủ pháo đài “bastion host” có quyền truy nhập
vào Internet và cỏc mỏy khỏc có thể truy nhập vào nó. Chương trình proxy
chạy trên máy chủ đại diện tiếp nhận các yêu cầu dịch vụ của các máy trạm
bên trong mạng, gửi những yêu cầu đó đi ra bên ngoài tuỳ thuộc vào các luật
bảo mật của mạng, và sau đó lại gửi trả lại kết quả cho các máy trạm. Như
vậy máy chủ đại diện như là một cổng kết nối giữa mạng bên trong và mạng
bên ngoài.
Máy chủ đại diện như tên gọi, là trung gian cho các giao tiếp dịch vụ
giữa các máy trạm trong mạng và Internet. Thay cho việc dựng cỏc dịch vụ
Internet trực tiếp, từng máy trạm làm việc với máy chủ đại diện. Máy chủ
đại diện thực hiện tất cả giao tiếp giữa người dùng và những dịch vụ Internet
một cách bí mật.
Tìm hiểu về an toàn và bảo mật trên mạng
Dùng máy chủ đại diện là máy chủ hai giao diện
Tính trong suốt là một lợi thế lớn của việc sử dụng chương trình
proxy. Về phía người dùng, máy chủ đại diện làm cho người dùng tưởng
rằng đang làm việc trực tiếp với Internet. Về phía Internet, máy chủ làm cho
cỏc mỏy trờn Internet tưởng là đang làm việc trực tiếp với người dùng bên
trong mạng.
Một điều cần lưu ý là việc sử dụng máy chủ đại diện chỉ có ý nghĩa
khi chúng được sử dụng cùng với các kỹ thuật khác không cho phép kết nối
trực tiếp giữa mạng bên trong và Internet. Dùng máy chủ hai giao diện hay
lọc gói dữ liệu là hai kỹ thuật đi kèm. Nếu máy bên trong có thể kết nối trực
tiếp với bên ngoài, người dùng sẽ không cần sử dụng máy chủ đại diện, và
thường là họ không sử dụng. Việc này sẽ không phù hợp với các luật bảo
mật của mạng.
Chương trình proxy thông thường gồm hai phiên bản, phiên bản
“proxy server” dùng để cài cho máy chủ và phiên bản “proxy client” dùng
cho máy trạm của mạng. Phiên bản proxy cho máy trạm có thể là một phần
Tìm hiểu về an toàn và bảo mật trên mạng
của các chương trình thông thường chạy trên máy trạm. Khi làm việc, máy
trạm gửi các yêu cầu đến máy chủ đại diện. Máy chủ kiểm tra các yêu cầu
đó, và quyết định xem yêu cầu nào là chấp nhận được và yêu cầu nào bị loại
bỏ. Với các yêu cầu được chấp nhận, máy chủ đại diện kết nối với cỏc mỏy
ở trên Internet bên ngoài gửi yêu cầu, sau đó nhận trả lời và dùng kết quả đó
gửi trả cho các máy trạm.
Dùng kiểu máy chủ đại diện là một giải pháp phần mềm, do đó nó có
thể kết hợp với các cấu trúc tường lửa khác nhau, ta sẽ núi sõu trong phần
tiếp theo.
a. Ưu điểm của phương pháp dùng đại diện
- Máy chủ đại diện cho phép người dùng có thể truy cập vào Internet
“trực tiếp”
Với máy chủ kiểu hai giao diện( sẽ nói phần sau), người dùng phải
đăng nhập vào máy chủ trước khi sử dụng các dịch vụ Internet. Điều này
thường không thuận tiện cho người dùng và dễ khiến người dùng chán nản.
Với máy chủ đại diện, người dùng có cảm giác là đang kết nối trực tiếp với
Internet.
- Dễ dàng cho việc ghi lại
Do máy chủ đại diện có thể hiểu được các giao thức cấp thấp, chúng
cho phép ghi lại các sự kiện một cách hiệu quả. Ví dụ thay cho việc ghi lại
tất cả dữ liệu truyền qua, một máy chủ đại diện chỉ ghi lại các lệnh và các trả
lời, các kết quả này nhỏ hơn và có ích hơn.
b. Nhược điểm của phương pháp
- Những dịch vụ mà máy chủ đại diện cung cấp thường ít hơn so với
các dịch vụ trên Internet. Việc này gây ra khó khăn cho mạng khi muốn
Tìm hiểu về an toàn và bảo mật trên mạng
cung cấp những dịch vụ mới. Trước khi chờ việc nâng cấp chương trình
proxy cho các dịch vụ mới, hệ thống muốn cung cấp dịch vụ mới thì phải đặt
chúng ở bên ngoài tường lửa, dẫn đến gây lỗ hổng trong bảo mật hệ thống.
- Phương pháp này thường đòi hỏi việc sửa đổi cấu hình trong chương
trình sử dụng dịch vụ, trong máy trạm
Ngoại trừ một số dịch vụ được thiết kế phù hợp với phương pháp máy
chủ đại diện, máy chủ đại diện thường đòi hỏi phải cấu hình lại cho chương
trình sử dụng dịch vụ và cho máy trạm, dẫn đến gây khó khăn cho người
dùng trong việc sử dụng các dịch vụ đó. Do có sự sửa đổi đó, những dịch vụ
qua máy chủ đại diện thường chạy không tốt bằng chạy trực tiếp.
- Phương pháp này không áp dụng được cho một số dịch vụ
Một số dịch vụ không thể chạy qua máy chủ đại diện vỡ tớnh phức tạp
của dịch vụ như nói chuyện trên mạng.
- Phương pháp này không thể bảo vệ hệ thống khỏi các yếu điểm của
giao thức truyền
Là một giải pháp bảo mật, phương pháp dựa trên khả năng có thể xác
định thao tác nào trong giao thức là an toàn. Với một số giao thức, việc đó là
khó có thể thực hiện được. Ví dụ với giao thức X Window System, giao thức
đưa ra một số lượng lớn các thao tác không an toàn, và giao thức này sẽ
không chạy được nếu bỏ đi những thao tác không an toàn đó. HTTP được
thiết kế để làm việc thích nghi với máy chủ đại diện, nhưng nó cũng được
thiết kế với tính mở rộng cao, và với việc mở rộng đú nú cho phép nhiều loại
dữ liệu đi qua. Máy chủ đại diện không thể bảo vệ hệ thống khỏi những dữ
liệu đó nếu những dữ liệu đó là không an toàn.
Tìm hiểu về an toàn và bảo mật trên mạng
6.2 Các giải pháp thiết bị của một tường lửa
6.2.1 Máy chủ hai giao diện (đa giao diện)
Máy chủ hai giao diện là một máy chủ có cài đặt hai phần cứng mạng
giao tiếp hay hai card mạng. Card mạng là một thiết bị phần cứng cài đặt
trong máy tính để thực hiện giao tiếp với hệ thống mạng. Do có hai giao
tiếp nên máy chủ có thể giao tiếp với hai hệ thống mạng khác nhau. Khi
chức năng dẫn đường(routing) của máy chủ hai giao diện tắt đi, máy chủ có
thể thực hiện việc cách ly giao thông giữa hai hệ thống mạng. Mỗi hệ thống
mạng có thể chạy các ứng dụng trên máy chủ hai giao diện. Hơn thế nữa,
nếu được phép, hai mạng có thể chia sẻ dữ liệu qua máy chủ hai giao diện.
Không có bất kỳ kết nối nào giữa mạng bên trong và mạng bên ngoài, tất cả
các trao đổi thông tin giữa hai mạng là trên máy chủ hai giao diện.
Những dịch vụ trên Internet như thư điện tử hay tin tức trên mạng là
những dịch vụ cơ bản dạng lưu trữ- và - gửi đi. Nếu những dịch vụ đó chạy
trên máy chủ hai giao diện, chúng có thể được cấu hình để truyền những
dịch vụ ứng dụng từ mạng bên trong ra bên ngoài. Nếu những dữ liệu ứng
dụng muốn truyền qua máy chủ hai giao diện, hệ thống thường sử dụng phần
mềm “proxy program” cài đặt trên máy chủ hai giao diện để truyền những
dữ liệu đó. Phần mềm này thực hiện việc gửi các yêu cầu giữa mạng bên
trong và mạng bên ngoài. Dữ liệu gửi đi và nhận về đều được lưu trữ trên
máy chủ hai giao diện, được kiểm tra và sau đó được gửi đi. Một cách khác
để cho phép sử dụng những dịch vụ trên máy chủ hai giao diện là cho phép
người dùng trực tiếp truy nhập vào máy chủ hai giao diện, sau đó truy nhập
ra những dịch vụ bên ngoài từ giao diện với mạng bên ngoài.
Nếu sử dụng chương trình “proxy program”, những luồng thông tin
không thể đi qua máy chủ hai giao diện trừ khi chương trình này chạy và
Tìm hiểu về an toàn và bảo mật trên mạng
được cấu hình trên máy chủ. Nếu như cho phép người dùng truy nhập trực
tiếp vào máy chủ hai giao diện, bảo mật mạng có thể bị phá vỡ. Đó là vì máy
chủ hai giao diện là tâm điểm của kết nối giữa mạng bên trong và mạng bên
ngoài, hay nói cách khác là máy chủ hai giao diện ở trong vùng nguy hiểm.
Nếu như người dùng sử dụng mật khẩu dễ đoán, vùng nguy hiểm sẽ lan đến
mạng bên trong, dẫn đến làm mất tác dụng của máy chủ hai giao diện.
6.2.2 Máy chủ pháo đài
Máy chủ pháo đài là những máy chủ đại diện của hệ thống mạng trên
Internet. Một máy chủ pháo đài là một hệ thống mà tất cả những ai ở ngoài
hệ thống mạng, phải nối với nó để truy nhập vào dịch vụ hay hệ thống ở bên
trong tường lửa.
Như thiết kế, một máy chủ pháo đài thường bị phơi bày ra ngoài vì sự
hiện diện của nó được Internet biết đến. Vì lý do này, những người xây dựng
tường lửa cần tập trung những biện pháp bảo mật vào máy chủ pháo đài.
Máy chủ pháo đài là những máy chủ dễ bị nguy hiểm nhất trong bảo mật
mạng. Một máy chủ pháo đài là một máy chủ trung tâm trong hệ thống bảo
mật. Do nó dễ gặp nguy hiểm trong bảo mật nờn nú phải được bảo vệ tốt
nhất. Điều này có nghĩa là máy chủ pháo đài được giám sát chặt chẽ bởi
người quản trị mạng. Những phần mềm trong máy chủ pháo đài và bảo mật
hệ thống cần được đều đặn kiểm tra. Những nhật ký truy nhập phải được
kiểm tra thường xuyên để tìm ra những lỗ hổng trong bảo mật cũng như
những hành động nhằm tấn công vào máy chủ pháo đài.
Xây dựng máy chủ pháo đài
Việc xây dựng máy chủ pháo đài được thực hiện theo các bước sau:
a. Làm tin cậy máy chủ