1. Trang chủ >
  2. Kỹ thuật >
  3. Điện - Điện tử - Viễn thông >

3 Kết hợp các kỹ thuật và thiết bị để xây dựng các cấu trúc tường lửa khác nhau

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (613.59 KB, 124 trang )


Tìm hiểu về an toàn và bảo mật trên mạng



Cấu trúc này tương đối đơn giản, máy chủ hai giao diện nằm ở giữa và

được kết nối với Internet và mạng bên trong.

Máy chủ hai giao diện có thể cung cấp quản lý ở mức cao. Trong một

số trường hợp, máy chủ hai giao diện có thể cho phép hệ thống ngắt bỏ kết

nối của một số dịch vụ khi các dịch vụ này truyền sai kiểu dữ liệu. ( Một hệ

thống lọc gói dữ liệu khó có thể làm gì với mức quản lý này). Tuy nhiên, nó

cũng đòi hỏi phải thực hiện một số lớn công việc để có thể có được tính

năng này.

Một máy chủ đại diện chỉ có thể cung cấp các dịch vụ bằng việc chạy

chương trình “proxy program” đã nói ở trên hay cho phép người dùng truy

nhập vào máy chủ một cách trực tiếp. Tuy nhiên việc cung cấp dịch vụ bằng

cách cho người dùng truy nhập trực tiếp có thể gây ra nguy hiểm cho hệ

thống nếu người dùng không cẩn thận ( để mất mật khẩu, chạy sai chương

trình ...), hơn nữa, nhiều người dùng cảm thấy không thuận lợi khi phải truy

nhập vào máy chủ hai giao diện trước khi sử dụng các dịch vụ.

Dùng chương trình proxy thuận tiện hơn, nhưng như đã nói ở trên,

không thể cung cấp cho tất cả các dịch vụ. Cấu trúc tường lửa mạng con có

lọc phần kế tiếp đưa ra một số lựa chọn cho việc cung cấp các dịch vụ mới

và không tin cậy lắm.

6.3.2 Cấu trúc máy chủ có lọc

Ngược với cấu trúc máy chủ hai giao diện, cấu trúc máy chủ có lọc

cung cấp các dịch vụ từ máy chủ chỉ nối với mạng bên trong, sử dụng router

riêng. Trong cấu trúc này, bảo mật đầu tiên được cung cấp bởi lọc gói dữ

liệu



Tìm hiểu về an toàn và bảo mật trên mạng



Hình 3.3.2 Cấu trúc máy chủ có lọc

Máy chủ pháo đài nằm ở mạng bên trong. Lọc gói dữ liệu trên router

có lọc được cài đặt sao cho máy chủ pháo đài là nơi duy nhất ở mạng bên

trong mà các máy chủ trên Internet có thể kết nối tới ( ví dụ như để phân

phối những thư điện tử đi tới). Thậm chí hơn nữa là chỉ một số kiểu kết nối

là được chấp nhận. Bất kỳ mạng bên ngoài nào muốn truy nhập vào hệ thống

hay dịch vụ bên trong đều phải nối tới máy chủ này. Máy chủ pháo đài do đó

cần phải thiết lập bảo mật máy chủ ở mức cao.

Lọc gói dữ liệu cũng cho phép máy chủ pháo đài mở những kết nối

được phép (“ được phộp” ở đây được quyết định bởi chính sách bảo mật của

hệ thống) tới Internet bên ngoài. Lọc gói dữ liệu được cấu hình trong router

có lọc sẽ thực hiện một trong những liệt kê dưới đây:

• Cho phép những máy chủ bên trong có thể mở những kết nối tới

những máy chủ trên Internet cho những dịch vụ nhất định ( cho phép những

dịch vụ đó qua lọc gói dữ liệu)



Tìm hiểu về an toàn và bảo mật trên mạng



• Cấm tất cả những kết nối từ những máy chủ bên trong ra ngoài (bắt

tất cả những máy chủ đó phải qua máy chủ đại diện là máy chủ pháo đài sử

dụng chương trình proxy)

Hệ thống có thể kết hợp các kiểu trên cho những dịch vụ khác nhau;

một số dịch vụ có thể được cho phép qua lọc gói dữ liệu trong khi những

dịch vụ khác chỉ được cho phép đi không trực tiếp qua máy chủ đại diện. Tất

cả đều phụ thuộc vào chính sách riêng của từng mạng.

Vì cấu trúc này cho phép cỏc gúi tin truyền từ Internet tới mạng bên

trong, do đó dường như nó có thể gây nguy hiểm cho hệ thống hơn cấu trúc

máy chủ hai giao diện, là kiểu được thiết kế sao cho không có gói dữ liệu

bên ngoài nào có thể trực tiếp đến được mạng bên trong. Nhưng trong thực

tế, cấu trúc máy chủ hai giao diện cũng dễ bị phá hỏng làm cho cỏc gúi tin

có thể thực sự truyền từ mạng bên ngoài vào mạng bên trong. (Do kiểu hỏng

này khó dự đoán được, cho nên dường như không thể chống lại kiểu tấn

công theo kiểu này). Hơn thế nữa, việc bảo vệ router là dễ hơn (do router chỉ

cung cấp một số hữu hạn các dịch vụ) so với bảo vệ máy chủ. Để đáp ứng

hầu hết các mục đích , cấu trúc máy chủ có lọc là bảo mật hơn và tính năng

sử dụng cũng tốt hơn so với cấu trúc máy chủ hai giao diện.

Tuy nhiên khi so sánh với các cấu trúc khác, như cấu trúc mạng con

có lọc được trình bày trong phần tiếp theo, thì cấu trúc máy chủ có lọc có

một số hạn chế nhất định. Hạn chế lớn nhất là nếu tin tặc xâm nhập được

vào máy chủ pháo đài thì không còn có tuyến bảo vệ nào nữa giữa máy chủ

pháo đài và các máy chủ còn lại của hệ thống. Router cũng là một điểm dễ bị

tổn thương. Nếu router bị xâm nhập vào, thì toàn bộ hệ thống mạng bị nguy

hiểm. Vì lý do này, cấu trúc mạng con có lọc trở nên phổ biến.



Tìm hiểu về an toàn và bảo mật trên mạng



6.3.3 Cấu trúc mạng con có lọc

Cấu trúc mạng con có lọc là cấu trúc máy chủ có lọc cộng thêm một

lớp bảo mật nữa bằng cách đưa thêm một mạng vòng ngoài để cách ly giữa

mạng bên trong và Internet. Ta sẽ giải thích lý do tại sao lại thực hiện như

vậy.

Như thiết kế ban đầu, máy chủ pháo đài là những máy dễ bị tấn công

nhất trong mạng máy tính. Mặc dù người quản trị mạng luôn cố gắng tối đa

để bảo vệ chúng, nhưng những máy này dường như thường xuyên bị tấn

công. Và với cấu trúc máy chủ có lọc, khi máy chủ pháo đài bị xâm nhập

vào thì không có sự bảo vệ nào khác giữa nó và những máy chủ khác trong

mạng. Nếu như tin tặc thành công trong việc xâm nhập vào máy chủ pháo

đài, cả hệ thống mạng sẽ gặp nguy hiểm.

Bằng việc cách ly máy chủ pháo đài trên mạng vòng ngoài, hệ thống

có thể giảm bớt nguy hiểm khi máy chủ pháo đài bị xâm nhập.

Kiểu đơn giản nhất của cấu trúc mạng con có lọc gồm có hai router có

lọc, mỗi cái được nối với mạng vòng ngoài. Một cái ở giữa mạng vòng ngoài

và mạng bên trong, và cái còn lại nằm giữa mạng vòng ngoài và Internet. Để

xâm nhập vào mạng bên trong của cấu trúc này, tin tặc phải vượt qua cả hai

router. Nếu như bằng cách nào đó mà tin tặc xâm nhập vào được máy chủ

pháo đài, hắn ta phải vượt qua router bên trong. ở đây không có điểm nguy

hiểm nào để có thể gây tổn hại đến mạng bên trong.

Một số mạng còn làm hơn thế nữa bằng cách tạo một loạt các mạng

vòng ngoài giữa Internet và mạng bên trong. Những dịch vụ kém tin tưởng

và nhiều nguy hiểm được đặt ở những lớp mạng vòng ngoài xa mạng bên

trong nhất. ý tưởng này là nếu tin tặc thành công trong việc xâm nhập vào



Tìm hiểu về an toàn và bảo mật trên mạng



máy chủ trên mạng vòng ngoài thì sẽ phải mất nhiều thời gian để có thể xâm

nhập vào mạng bên trong. Điều này chỉ đúng nếu như hệ thống lọc giữa các

lớp mạng được thiết lập khác nhau. Nếu như bảo mật giữa các lớp mạng là

như nhau thì việc tạo nhiều lớp mạng vòng ngoài là không có ý nghĩa.



Cấu trúc mạng con có lọc ( sử dụng hai router)

Sau đây ta sẽ tìm hiểu sâu hơn về các thành phần của cấu trúc này.

a. Mạng vòng ngoài

Mạng vòng ngoài là một lớp khác của bảo mật, một mạng đưa thêm

vào giữa mạng bên trong và Internet. Nếu tin tặc thành công trong việc xâm

nhập vào phần ngoài của tường lửa, mạng vòng ngoài sẽ thực hiện việc bảo

mật ngăn cản tin tặc với mạng bên trong.

Sau đây là một ví dụ cho thấy tác dụng của mạng vòng ngoài. Rất

nhiều phần thiết lập mạng cho phép bất kỳ máy tính nào trong mạng cũng có

thể nhìn thấy được thông tin truyền trên mạng của tất cả cỏc mỏy khỏc. (Ví

dụ với các mạng Ethernet). Những tin tặc có thể thành công trong việc lấy



Tìm hiểu về an toàn và bảo mật trên mạng



cắp được mật khẩu bằng cách theo dõi các luồng thông tin đó bằng cách sử

dụng các lệnh của Telnet, FTP hay rlogin. Thậm chí nếu không ăn cắp được

mật khẩu, tin tặc cũng có thể xem trộm được nội dung của các tệp dữ liệu

quan trọng khi người dùng đang sử dụng.

Với mạng vòng ngoài, nếu như tin tặc xâm nhập vào máy chủ pháo

đài trong mạng vòng ngoài, hắn ta chỉ có thể theo dừi cỏc luồng thông tin

trên mạng đó mà thôi. Tất cả các luồng thông tin trên mạng vòng ngoài có

thể là từ máy chủ pháo đài hay từ Internet. Do chắc chắn không có luồng

thông tin trao đổi bên trong được truyền qua mạng vòng ngoài, luồng thông

tin trao đổi bên trong luôn được an toàn trước con mắt rình mò của tin tặc.

Tuy nhiên, luồng thông tin trao đổi từ máy chủ pháo đài hay mạng

bên ngoài vẫn có thể nhìn thấy. Một phần trong việc xây dựng tường lửa là

phải đảm bảo những luồng thông tin đó không có chứa những thông tin bí

mật mà việc đọc trộm được nó không thể gây nguy hại cho toàn bộ hệ thống

mạng.

b. Máy chủ pháo đài

Với cấu trúc mạng con có lọc, hệ thống gắn máy chủ pháo đài vào

mạng vòng ngoài. Máy chủ này là điểm liên kết chính cho các kết nối đi vào

từ Internet, ví dụ như :

• Cho những kết nối email đi vào (SMTP) để truyền thư điện tử tới

mạng

• Cho những kết nối FTP đi vào tới các máy chủ FTP

• Cho những yêu cầu dịch vụ cung cấp tên miền đi vào

Những dịch vụ bên ngoài ( từ máy trạm bên trong tới các máy chủ

trên Internet) được thực hiện theo các cách thức sau :



Tìm hiểu về an toàn và bảo mật trên mạng



• Thiết lập lọc gói dữ liệu trên cả router bên ngoài và router bên trong

cho phép máy trạm bên trong có thể truy nhập trực tiếp ra các máy chủ trên

Internet

• Thiết lập chương trình proxy chạy trên máy chủ pháo đài cho phép

máy trạm bên trong có thể truy nhập gián tiếp ra các máy chủ trên Internet.

Cũng có thể thiết lập lọc gói dữ liệu cho phép máy trạm bên trong có thể nói

chuyện được với máy chủ pháo đài và ngược lại thông qua chương trình

proxy, nhưng cấm kết nối trực tiếp giữa máy trạm bên trong và Internet.



Trong cả hai trường hợp, lọc gói dữ liệu cho phép máy chủ pháo đài

có thể nối tới và cho phép nối tới với các máy chủ trên Internet. Máy chủ

nào, và dịch vụ nào được chỉ định bởi chính sách bảo mật của mạng.

c. Router bên trong

Router bên trong bảo vệ mạng bên trong chống lại nguy cơ từ cả

mạng vòng ngoài và Internet.

Router bên trong thực hiện hầu hết việc lọc gói dữ liệu cho tường lửa

hệ thống. Nó cho phép những dịch vụ đã được chọn lựa từ mạng bên trong

ra bên ngoài Internet. Những dịch vụ này là những dịch vụ mà hệ thống

mạng có thể cung cấp an toàn bằng việc sử dụng lọc gói dữ liệu hơn là dùng

chương trình proxy. Những dịch vụ router bên trong cho phép truyền giữa

máy chủ pháo đài (ở trên mạng vòng ngoài) và mạng bên trong không nhất

thiết phải giống như những dịch vụ router bên trong cho phép truyền giữa

Internet và mạng bên trong. Lý do của việc hạn chế những dịch vụ giữa máy

chủ pháo đài và mạng bên trong là để giảm số lượng máy tính có thể bị tấn

công từ máy chủ pháo đài.



Tìm hiểu về an toàn và bảo mật trên mạng



Người quản trị mạng nên giới hạn những dịch vụ cho phép giữa máy

chủ pháo đài và mạng bên trong tới mức ít nhất, chỉ cho phép những dịch vụ

cần thiết nhất đi qua như SMTP ( để máy chủ pháo đài có thể gửi thư đến),

DNS ( để máy chủ pháo đài có thể trả lời những yêu cầu của cỏc mỏy bên

trong, hay hỏi những máy bên trong, tuỳ thuộc vào việc đặt cấu hình của

mạng) ... Người quản trị mạng cũng nên giới hạn phạm vi của dịch vụ, như

chỉ cho phép chúng từ máy chủ pháo đài truyền tới một số máy cụ thể ở bên

trong. Ví dụ SMTP được hạn chế chỉ cho kết nối giữa máy chủ pháo đài tới

máy chủ thư điện tử bên trong.

d. Router bên ngoài

Theo lý thuyết, router bên ngoài được dùng để bảo vệ mạng vòng

ngoài và mạng bên trong chống lại nguy cơ từ Internet. Trên thực tế, router

bên ngoài có xu hướng cho phép hầu hết mọi thứ từ mạng vòng ngoài đi ra

ngoài, và router bên ngoài thực hiện lọc gói dữ liệu rất ít. Những luật lọc gói

dữ liệu để bảo vệ mạng bên trong về cơ bản cần phải giống nhau giữa router

bên trong và router bên ngoài. Nếu có lỗi trong các luật dẫn đến việc cho

phép tin tặc bên ngoài truy nhập vào, sẽ có thông báo lỗi thể hiện trên cả hai

router.

Những luật lọc gói dữ liệu thực sự riêng biệt trên router bên ngoài là

những luật để bảo vệ những máy tính trên mạng vòng ngoài ( đó là những

máy chủ pháo đài và router bên trong). Tuy nhiên thông thường thì không

cần thiết phải có nhiều luật bảo vệ vì máy chủ trên mạng vòng ngoài thường

được bảo vệ chủ yếu bằng bảo mật máy chủ.

những luật còn lại mà người quản trị nên thiết lập trên router bên

ngoài là sao lại những luật trên router bên trong. Đó là những luật dùng để



Tìm hiểu về an toàn và bảo mật trên mạng



ngăn chặn những luồng thông tin không an toàn giữa những máy chủ bên

trong và Internet.

Tóm lại, công việc mà router bên ngoài thực hiện tốt nhất và việc này

chỉ thực hiện được tốt ở router bên ngoài là chặn tất cả những gói tin đi vào

từ Internet có địa chỉ giả mạo. Những gói tin đó giả như đi từ mạng bên

trong, nhưng thực sự đi từ Internet vào.

Router bên trong cũng có thể làm được việc đó, nhưng nó không thể

làm gì nếu như những gói tin giả mạo đó dường như đi từ mạng vòng ngoài.



Phần II: Máy chủ pháo đài

Trong chương này:

Các nguyên lý chung.



Tìm hiểu về an toàn và bảo mật trên mạng



Các dạng đặc biệt của máy chủ pháo đài.

Việc lựa chọn máy.

Vị trí của máy chủ pháo đài trên mạng.

Lựa chọn phục vụ cung cấp bởi máy chủ pháo đài.

Không cho phép account người sử dụng trên máy chủ pháo

đài.

Xây dùng một máy chủ pháo đài.

Điều hành máy chủ pháo đài.

Bảo vệ máy móc và dự trữ.

Một máy chủ pháo đài là sự hiện diện công khai của bạn trên mạng.

Xem xét nó như một hành lang của một toà nhà. Người ngoài có thể không

thể đi lên theo bậc thang hoặc vào trong thang máy, nhưng họ có thể đi bộ tự

do trong hành lang và yêu cầu cái mà họ cần. (Dù có hay không họ sẽ có

được cái mà họ yêu cầu phụ thuộc vào điều khoản an toàn của toà nhà).

Giống như hành lang trong toà nhà của bạn, một máy chủ pháo đài có để

ngăn chăn những phần tử có tiềm năng không thân thiện. Pháo đài là một hệ

thống mà bất kỳ người bên ngoài nào –là bạn hay là kẻ thù – đều cần kết nối

theo cách thông thường với việc truy cập một hệ thống hay một dịch vụ nằm

trong tường lửa của bạn.

Nói chung, một pháo đài được phơi bày ở mức độ cao, bởi vì sự tồn

tại của nó được biết đến trên mạng. Với lý do này, những người xây dựng

tường lửa và những nhà quản lý cần tập trung các nỗ lực bảo mật cho pháo

đài. Bạn sẽ chú ý đặc biệt đến bảo mật của máy chủ khi xây dựng ban đầu và

trong quá trình điều hành. Bởi vì một máy chủ pháo đài là máy chủ được lộ

ra nhiều nhất, nó cũng cần trở thành máy chủ được củng cố nhất.



Tìm hiểu về an toàn và bảo mật trên mạng



Trong phần này chúng ta chỉ bàn về pháo đài đơn, nhưng nên nhớ

rằng có thể có đa pháo đài trong cấu hình tường lửa. Số lượng này phụ thuộc

vào các kích cỡ yêu cầu riêng và các tài nguyên. Nhưng mỗi cái được dựng

lên theo một nguyên lý chung, sử dụng các kỹ thuật chung.

Các pháo đài được sử dụng với nhiều kiến trúc và đường vào tường

lửa khác nhau, hầu hết thông tin trong phần này sẽ là phù hợp kể cả khi bạn

đang xây dựng một pháo đài để sử dụng với một bức tường lửa dựa trên gói

tin lọc, sự uỷ nhiệm, hay một tiếp cận lai. Các nguyên lý và các thủ tục cho

việc xây dựng một pháo đài được mở rộng cho việc bảo mật bất cứ máy chủ

nào. Bạn muốn sử dụng chúng, hay biến thể của chúng, cho máy chủ khác

đang trong tình trạng bảo mật nguy cấp, và có thể cho các máy chủ trong

tình trạng nguy cấp khác (chẳng hạn, máy chủ chính trong mạng nội bộ của

bạn).



1.



Các nguyên lý chung



Đây là hai nguyên lý cơ bản cho việc thiết kế và xây dựng một pháo

đài: giữ cho nó đơn giản, và được chuẩn bị để đề phòng pháo đài bị làm tổn

hại.

Giữ cho nó đơn giản

Pháo đài của bạn càng đơn giản, nó sẽ càng dễ bảo mật hơn.

Bất kể dịch vụ nào pháo đài sử dụng cũng có hỏng hóc phần mềm hay

lỗi cấu hình trong đó, và mỗi hỏng hóc hay lỗi có thể đưa đến các vấn đề về

an toàn. Để bảo mật được tốt nhất nó sẽ cung cấp tập nhỏ nhất các dịch vụ

với đặc quyền Ýt nhất mà nó có thể có, trong khi vẫn hoàn thành được vai

trò của nó.

Được chuẩn bị để đề phòng pháo đài bị làm tổn thương



Xem Thêm
Tải bản đầy đủ (.doc) (124 trang)

×