Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )
Tìm hiểu về an toàn và bảo mật trên mạng
được cấu hình trên máy chủ. Nếu như cho phép người dùng truy nhập trực
tiếp vào máy chủ hai giao diện, bảo mật mạng có thể bị phá vỡ. Đó là vì máy
chủ hai giao diện là tâm điểm của kết nối giữa mạng bên trong và mạng bên
ngoài, hay nói cách khác là máy chủ hai giao diện ở trong vùng nguy hiểm.
Nếu như người dùng sử dụng mật khẩu dễ đoán, vùng nguy hiểm sẽ lan đến
mạng bên trong, dẫn đến làm mất tác dụng của máy chủ hai giao diện.
6.2.2 Máy chủ pháo đài
Máy chủ pháo đài là những máy chủ đại diện của hệ thống mạng trên
Internet. Một máy chủ pháo đài là một hệ thống mà tất cả những ai ở ngoài
hệ thống mạng, phải nối với nó để truy nhập vào dịch vụ hay hệ thống ở bên
trong tường lửa.
Như thiết kế, một máy chủ pháo đài thường bị phơi bày ra ngoài vì sự
hiện diện của nó được Internet biết đến. Vì lý do này, những người xây dựng
tường lửa cần tập trung những biện pháp bảo mật vào máy chủ pháo đài.
Máy chủ pháo đài là những máy chủ dễ bị nguy hiểm nhất trong bảo mật
mạng. Một máy chủ pháo đài là một máy chủ trung tâm trong hệ thống bảo
mật. Do nó dễ gặp nguy hiểm trong bảo mật nờn nú phải được bảo vệ tốt
nhất. Điều này có nghĩa là máy chủ pháo đài được giám sát chặt chẽ bởi
người quản trị mạng. Những phần mềm trong máy chủ pháo đài và bảo mật
hệ thống cần được đều đặn kiểm tra. Những nhật ký truy nhập phải được
kiểm tra thường xuyên để tìm ra những lỗ hổng trong bảo mật cũng như
những hành động nhằm tấn công vào máy chủ pháo đài.
Xây dựng máy chủ pháo đài
Việc xây dựng máy chủ pháo đài được thực hiện theo các bước sau:
a. Làm tin cậy máy chủ
Tìm hiểu về an toàn và bảo mật trên mạng
Cài đặt máy chủ với hệ điều hành chuẩn và thực hiện bảo mật hệ điều
hành càng cao càng tốt. Thực hiện sửa hết các lỗi trong hệ điều hành bằng
các chương trình sửa lỗi mới nhất
b. Bỏ đi những dịch vụ không cần thiết
Những dịch vụ máy chủ pháo đài cung cấp đều có thể có lỗi và có thể
bị thiết lập sai. Điều này dẫn đến nguy cơ với bảo mật cho máy chủ pháo
đài. Do đó những dịch vụ không thực sự cần thiết trong máy chủ pháo đài
nên bỏ đi ngay vì càng ít dịch vụ thì càng hạn chế các lỗi bảo mật.
c. Cài đặt các dịch vụ cần cung cấp và xây dựng các thiết lập cho
dịch vụ
Các dịch vụ cần cung cấp sẽ được cài đặt lên máy chủ cùng với các
thiết lập cân nhắc kỹ lưỡng để đảm bảo bảo mật cho từng loại hình dịch vụ.
Chú ý cập nhật các bản sửa lỗi mới nhất để nâng cấp tính bảo mật của dịch
vụ
d. Kiểm tra lại máy chủ một lần nữa trước khi vận hành
Sau khi cài đặt các dịch vụ, việc kế tiếp là kiểm tra toàn bộ hệ thống
của máy chủ pháo đài, bỏ đi những chương trình không cần thiết trong máy
chủ. Các tệp dữ liệu và hệ điều hành chuyển đến số lượng tối đa cho phép
sang chế độ chỉ đọc .
e. Chạy trương trình kiểm tra bảo mật
Nờn dùng một số phần mềm kiểm tra các lỗi bảo mật để kiểm tra máy
chủ pháo đài. Các phần mềm này sẽ phát hiện những lỗi bảo mật cũn sút
trong hệ thống. Sau đó thực hiện sửa các lỗi bảo mật đó.
f. Kết nối máy chủ pháo đài với Internet
Tìm hiểu về an toàn và bảo mật trên mạng
Sau khi hoàn thành việc bảo mật cho máy chủ pháo đài ta tiến hành
việc kết nối máy chủ pháo đài vào mạng và kết nối với Internet. Trong quá
trình hoạt động của máy chủ pháo đài phải thường xuyên kiểm tra theo dõi
các nhật ký để phát hiện kịp thời các lỗi bảo mật.
6.3 Kết hợp các kỹ thuật và thiết bị để xây dựng các cấu trúc
tường lửa khác nhau
6.3.1 Cấu trúc máy chủ hai giao diện
Cấu trúc máy chủ hai giao diện được xây dựng trên một máy tính có
hai giao diện mạng. Máy chủ này có thể đóng vai là một bộ dẫn đường giữa
hai hệ thống mạng mà máy chủ nối tới. Hệ thống bên trong tường lửa có thể
liên hệ với máy chủ hai giao diện, và những mạng bên ngoài tường lửa
(Internet ) có thể liên hệ với máy chủ hai giao diện, nhưng giữa bên trong và
bên ngoài không thể liên hệ trực tiếp với nhau.
Cấu trúc máy chủ hai giao diện
Tìm hiểu về an toàn và bảo mật trên mạng
Cấu trúc này tương đối đơn giản, máy chủ hai giao diện nằm ở giữa và
được kết nối với Internet và mạng bên trong.
Máy chủ hai giao diện có thể cung cấp quản lý ở mức cao. Trong một
số trường hợp, máy chủ hai giao diện có thể cho phép hệ thống ngắt bỏ kết
nối của một số dịch vụ khi các dịch vụ này truyền sai kiểu dữ liệu. ( Một hệ
thống lọc gói dữ liệu khó có thể làm gì với mức quản lý này). Tuy nhiên, nó
cũng đòi hỏi phải thực hiện một số lớn công việc để có thể có được tính
năng này.
Một máy chủ đại diện chỉ có thể cung cấp các dịch vụ bằng việc chạy
chương trình “proxy program” đã nói ở trên hay cho phép người dùng truy
nhập vào máy chủ một cách trực tiếp. Tuy nhiên việc cung cấp dịch vụ bằng
cách cho người dùng truy nhập trực tiếp có thể gây ra nguy hiểm cho hệ
thống nếu người dùng không cẩn thận ( để mất mật khẩu, chạy sai chương
trình ...), hơn nữa, nhiều người dùng cảm thấy không thuận lợi khi phải truy
nhập vào máy chủ hai giao diện trước khi sử dụng các dịch vụ.
Dùng chương trình proxy thuận tiện hơn, nhưng như đã nói ở trên,
không thể cung cấp cho tất cả các dịch vụ. Cấu trúc tường lửa mạng con có
lọc phần kế tiếp đưa ra một số lựa chọn cho việc cung cấp các dịch vụ mới
và không tin cậy lắm.
6.3.2 Cấu trúc máy chủ có lọc
Ngược với cấu trúc máy chủ hai giao diện, cấu trúc máy chủ có lọc
cung cấp các dịch vụ từ máy chủ chỉ nối với mạng bên trong, sử dụng router
riêng. Trong cấu trúc này, bảo mật đầu tiên được cung cấp bởi lọc gói dữ
liệu