Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

An toàn trong mạng máy tính và về bức tường lửa

96 1 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG…………… LUẬN VĂN An tồn mạng máy tính tường lửa Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp LỜI NÓI ĐẦU Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin, đặc biệt công nghệ máy vi tính mạng máy tính với bựng nổ hàng ngàn cỏch mạng lớn nhỏ Từ đời, máy vi tính ngày giữ vai trũ quan trọng lĩnh vực khoa học kỹ thuật sống hàng ngày người Từ đời máy tính điện tử lớn ENIAC năm 1945, sau đời máy vi tính hóng IBM vào năm 1981 nay, sau 20 năm, với thay đổi tốc độ vi xử lý cỏc phần mềm ứng dụng, cụng nghệ thụng tin bước phát triển cao, số hóa tất liệu thông tin, đồng thời kết nối chúng lại với luân chuyển mạnh mẽ Hiện nay, loại thông tin, số liệu, hỡnh ảnh, õm … đưa dạng kỹ thuật số để máy tính lưu trữ, xử lý chuyển tiếp với máy tính hay thiết bị kỹ thuật số khỏc Sự đời mạng máy tính dịch vụ mang lại cho người nhiều lợi ích to lớn, góp phần thúc đẩy kinh tế phát triển mạnh mẽ, đơn giản hóa thủ tục lưu trữ, xử lý, trao chuyển thụng tin phức tạp, liờn lạc kết nối vị trớ, khoảng cỏch lớn cỏch nhanh chúng, hiệu … Và mạng máy tính trở thành yếu tố khụng thể thiếu phát triển kinh tế, trị văn hóa, tư tưởng quốc gia hay châu lục Con người khụng cũn bị giới hạn khoảng cỏch địa lý, có đầy đủ quyền để sáng tạo giá trị vô giá vật chất tinh thần, thỏa khỏt vọng lớn lao chớnh họ toàn nhõn loại Cũng chớnh vỡ vậy, khụng cú mạng mỏy tớnh, mạng mỏy tớnh khụng thể hoạt động ý muốn thỡ hậu nghiêm trọng Và vấn đề an tồn cho mạng máy tính phải đặt lên hàng đầu thiết kế, lắp đặt đưa vào sử dụng hệ thống mạng máy tính dù đơn giản Bờn cạnh đú, thụng tin giữ vai trũ quan trọng vỡ thiếu thông tin, người trở nên lạc hậu dẫn tới hậu nghiêm trọng, kinh tế chậm phát triển Vỡ lý đó, việc lưu giữ, trao đổi quản lý tốt nguồn tài nguyờn thụng tin để sử dụng mục đích, khơng bị thất mục tiờu hướng tới không ngành, quốc gia mà toàn giới Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Trong quỏ trỡnh thực tập làm đồ án tốt nghiệp, đồng ý hướng dẫn, bảo tận tỡnh thầy giỏo hướng dẫn Nguyễn Thống Nhất, với giúp đỡ bạn bè cơng ty nơi thực tập, em cú thêm nhiều điều kiện để tỡm hiểu mạng mỏy tớnh, vấn đề an tồn mạng máy tính tường lửa Đó đề tài mà em muốn nghiên cứu trỡnh bày đồ án tốt nghiệp Nội dung đồ án gồm:  Phần I: Tổng quan mạng mỏy tớnh  Phần II: Vấn đề an toàn mạng mỏy tớnh  Phần III: Bức tường lửa (Firewall) Đồ án đề cập đến vấn đề lớn tương đối phức tạp, đũi hỏi nhiều thời gian kiến thức lý thuyết thực tế Do thời gian nghiên cứu chưa nhiều trỡnh độ thõn cũn hạn chế, nờn đồ án không tránh khỏi khiếm khuyết Em mong nhận hướng dẫn, bảo thầy, cô giáo đóng góp nhiệt tỡnh cỏc bạn để giúp em bổ sung vốn kiến thức tiếp tục nghiên cứu đề tài nêu cách tốt hơn, hoàn chỉnh Em xin chân thành cám ơn! Hà Nội tháng năm 2010 Sinh viờn thực Nguyễn Duy Hà Vũ Sơn Thành Phạm Văn An PHẦN I: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƯƠNG 1: GIỚI THIỆU VỀ MÁY TÍNH 1.1 Lịch sử mỏy tớnh Trong thời đại khoa học kỹ thuật ngày nay, máy tính điện tử đóng vai trũ quan trọng yếu tố khụng thể thiếu hầu hết ngành nghề, cỏc dịch vụ đời sống sinh hoạt người Để trở thành cơng cụ hữu ích, cơng Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp nghệ cao nay, máy tính điện tử trải qua nhiều thời kỡ phỏt triển, đáp ứng đũi hỏi ngày cao người Với đời thành công máy ENIAC, năm 1946 xem năm mở đầu cho kỷ nguyên máy tính điện tử, kết thúc nỗ lực nghiên cứu nhà khoa học kộo dài nhiểu năm trước đó, mở thời kỳ phát triển mạnh mẽ công nghệ phần cứng sở chế tạo máy tính điện tử với tính ngày cao, sử dụng rộng rói nhiều lĩnh vực sống Lịch sử phỏt triển mỏy tớnh cú thể chia thành giai đoạn sau: 1.1.1 Giai đoạn 1: Từ 1945 đến 1958, với máy tính hệ thứ sử dụng công nghệ đèn chân khơng  Máy tính ENIAC (Electronic Numerical Integrator And Computer), John Mauchly John Presper Eckert (đại học Pensylvania, Mỹ) thiết kế chế tạo, máy số hoá điện tử đa giới - Nguồn gốc: Dự án chế tạo máy ENIAC bắt đầu vào năm 1943 Đây nỗ lực nhằm đáp ứng yêu cầu thời chiến BRL (Ballistics Research Laboratory – Phũng nghiờn cứu đạn đạo quân đội Mỹ) việc tính tốn xác nhanh chóng bảng số liệu đạn đạo cho loại vũ khí - Số liệu kỹ thuật: ENIAC máy khổng lồ với 18000 bóng đèn chân không, nặng 30 tấn, tiêu thụ lượng điện vào khoảng 140kW chiếm diện tích xấp xỉ 1393 m2 Mặc dù vậy, làm việc nhanh nhiều so với loại máy tính điện thời với khả thực 5000 phép cộng giây đồng hồ Điểm khác biệt ENIAC & máy tính khác: ENIAC sử dụng hệ đếm thập phân nhị phân tất máy tính khác Với ENIAC, số biểu diễn dạng thập phân việc tính toán thực hệ thập phân Bộ nhớ máy gồm 20 “bộ tớch lũy”, có khả lưu giữ số thập phân có 10 chữ số Mỗi chữ số thể vũng gồm 10 đèn chân khơng, thời điểm, có đèn trạng thái bật để thể mười chữ số từ đến hệ thập phân Việc lập trỡnh trờn ENIAC cụng việc vất vả vỡ phải thực nối dõy tay qua việc đóng/mở công tắc cắm vào rút dây cáp điện - Hoạt động thực tế: Máy ENIAC bắt đầu hoạt động vào tháng 11/1945 với nhiệm vụ khơng phải tính tốn đạn đạo (vỡ chiến tranh giới lần thứ hai kết thỳc) mà để thực tính tốn phức tạp dùng việc xác định tính khả thi bom H Việc sử dụng máy vào mục đích khác với mục đích chế tạo ban đầu cho thấy tính đa ENIAC Máy tiếp tục hoạt động quản lý BRL tháo rời vào năm 1955  Mỏy tớnh Von Neumann Như đề cập trên, việc lập trỡnh trờn mỏy ENIAC cụng việc tẻ nhạt tốn kộm nhiều thời gian Cụng việc cú lẻ đơn giản chương trỡnh cú thể biểu diễn dạng thích hợp cho việc lưu trữ nhớ với liệu cần xử lý Khi máy tính cần lấy thị cách đọc từ nhớ, chương trỡnh cú Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp thể thiết lập hay thay đổi thông qua chỉnh sửa giá trị lưu phần nhớ í tưởng này, biết đến với tên gọi “khái niệm chương trỡnh lưu trữ”, nhà toán học John von Neumann, cố vấn dự án ENIAC, đưa ngày 8/11/1945, đề xuất loại máy tính có tên gọi EDVAC (Electronic Discrete Variable Computer) Máy tính cho phép nhiều thuật tốn khác tiến hành máy tính mà khơng cần phải nối dây lại máy ENIAC  Mỏy IAS Tiếp tục với ý tưởng mỡnh, vào năm 1946, von Neuman đồng nghiệp bắt tay vào thiết kế máy tính có chương trỡnh lưu trữ với tên gọi IAS (Institute for Advanced Studies) học viện nghiên cứu cao cấp Princeton, Mỹ Mặc dù mói đến năm 1952 máy IAS hồn tất, mô hỡnh cho tất cỏc mỏy tớnh đa sau 1.1.2 Giai đoạn 2: Từ 1958 đến 1964, với máy tính hệ thứ hai sử dụng cơng nghệ chất bán dẫn Sự thay đổi lĩnh vực máy tính điện tử xuất có thay đèn chân không đèn bán dẫn Đèn bán dẫn nhỏ hơn, rẻ hơn, tỏa nhiệt sử dụng theo cách thức đèn chân không để tạo nên máy tính Khơng đèn chân khơng vốn đũi hỏi phải có dây, có bảng kim loại, có bao thủy tinh chân không, đèn bán dẫn thiết bị trạng thái rắn chế tạo từ silicon có nhiều cát có tự nhiên Đèn bán dẫn phát minh lớn phũng thớ nghiệm Bell Labs năm 1947 Nó tạo cách mạng điện tử năm 50 kỷ 20 Dù vậy, mói đến cuối năm 50, máy tính bán dẫn hóa hồn tồn bắt đầu xuất thị trường máy tính Việc sử dụng đèn bán dẫn chế tạo máy tính xỏc định hệ máy tính thứ hai, với đại diện tiêu biểu máy PDP–1 công ty DEC (Digital EquIPment Corporation) IBM 7094 IBM DEC thành lập vào năm 1957 năm cho đời sản phẩm mỡnh mỏy PDP–1 đề cập Đây máy mở đầu cho dũng mỏy tớnh mini DEC, vốn phổ biến cỏc mỏy tớnh hệ thứ ba 1.1.3 Giai đoạn 3: Từ 1964 đến 1974, với máy tính hệ thứ ba sử dụng cụng nghệ mạch tớch hợp Một đèn bán dẫn tự chứa, đơn lẻ thường gọi thành phần rời rạc Trong suốt năm 50 đầu năm 60 kỷ 20, thiết bị điện tử phần lớn kết hợp từ thành phần rời rạc – đèn bán dẫn, điện trở, tụ điện, v.v Các thành phần rời rạc sản xuất riêng biệt, đóng gói chứa riêng, sau dùng để nối lại với bảng mạch Các bảng lại gắn vào máy tính, máy kiểm tra dao động, thiết bị điện tử khác Bất thiết bị điện tử cần đến đèn bán dẫn, ống kim loại nhỏ chứa mẫu silicon phải hàn vào bảng mạch Toàn trỡnh sản xuất, từ đèn bán dẫn đến bảng mạch, trỡnh Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp tốn kộm khụng hiệu Những vấn đề làm tảng cho việc dẫn đến tốn cơng nghiệp máy tính Các máy tính hệ thứ hai ban đầu chứa khoảng 10000 đèn bán dẫn Con số tăng lên nhanh chóng đến hàng trăm ngàn, làm cho việc sản xuất máy mạnh hơn, gặp nhiều khó khăn Sự phát minh mạch tích hợp vào năm 1958 cỏch mạng húa điện tử bắt đầu cho kỷ nguyên vi điện tử với nhiều thành tựu rực rỡ Mạch tích hợp yếu tố xác định hệ thứ ba máy tính Trong mục tiếp sau tỡm hiểu cỏch ngắn gọn cụng nghệ mạch tớch hợp Sau đó, hai thành viên quan trọng máy tính hệ thứ ba, máy IBM System/360 máy DEC PDP–8, giới thiệu với tính bật chúng 1.1.4 Giai đoạn 4: Từ 1974 đến nay, với máy tính hệ thứ tư sử dụng cơng nghệ mạch tích hợp vơ lớn/siêu lớn (VLSI/ULSI) Với tốc độ phát triển nhanh chóng cơng nghệ, mức độ cho đời sản phẩm mức cao, tầm quan trọng phần mềm, truyền thông phần cứng, việc phân loại máy tính theo hệ trở nên rừ ràng ớt cú ý nghĩa trước rong phần tiếp theo, hai thành tựu tiêu biểu cơng nghệ máy tính hệ thứ tư giới thiệu cách tóm lược  Bộ nhớ bỏn dẫn Vào khoảng năm 50 đến 60 kỷ này, hầu hết nhớ máy tính chế tạo từ vũng nhỏ làm vật liệu sắt từ, vũng cú đường kính khoảng 1/16 inch Các vũng treo lưới nhỏ bên máy tính Khi từ hóa theo chiều, vũng (gọi lừi) biểu thị giỏ trị 1, cũn từ hóa theo chiều ngược lại, lừi đại diện cho giỏ trị Bộ nhớ lừi từ kiểu làm việc khỏ nhanh Nú cần phần triệu giõy để đọc bit lưu nhớ Nhưng đắt tiền, cồng kềnh, sử dụng chế hoạt động loại trừ: thao tác đơn giản đọc lừi xúa liệu lưu lừi Do cần phải cài đặt mạch phục hồi liệu lấy Năm 1970, Fairchild chế tạo nhớ bán dẫn có dung lượng tương đối ChIP có kích thước lừi đơn, lưu 256 bit nhớ, hoạt động khơng theo chế loại trừ nhanh nhớ lừi từ Nú cần 70 phần tỉ giõy để đọc bit liệu nhớ Tuy nhiên giá thành cho bit cao so với lừi từ Kể từ năm 1970, nhớ bán dẫn qua tám hệ: 1K, 4K, 16K, 64K, 256K, 1M, 4M, 16M bit trờn chIP đơn (1K = 210, 1M = 220) Mỗi hệ cung cấp khả lưu trữ nhiều gấp bốn lần so với hệ trước, với giảm thiểu giá thành bit thời gian truy cập  Bộ vi xử lý Vào năm 1971, hóng Intel cho đời chIP 4004, chIP có chứa tất thành phần CPU chIP đơn Kỷ nguyên vi xử lý khai sinh từ ChIP 4004 cú thể cộng hai số bit nhõn cỏch lập lại phộp cộng Theo tiờu chuẩn ngày nay, chIP 4004 rừ ràng quỏ đơn giản, đánh dấu bắt đầu trỡnh tiến húa liờn tục dung lượng sức mạnh vi xử lý Bước chuyển biến Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp trỡnh tiến húa núi trờn giới thiệu chIP Intel 8008 vào năm 1972 Đây vi xử lý bit đầu tiờn có độ phức tạp gấp đơi chIP 4004 Đến năm 1974, Intel đưa chIP 8080, vi xử lý đa dụng thiết kế để trở thành CPU máy vi tính đa dụng So với chIP 8008, chIP 8080 nhanh hơn, có tập thị phong phú có khả định địa lớn Cũng thời gian đó, vi xử lý 16 bit bắt đầu phát triển Mặc dù vậy, mói đến cuối năm 70, vi xử lý 16 bit đa dụng xuất thị trường Sau đến năm 1981, Bell Lab Hewlett–packard phỏt triển vi xử lý đơn chIP 32 bit Trong đó, Intel giới thiệu vi xử lý 32 bit riờng mỡnh chIP 80386 vào năm 1985 1.2 Cấu trúc chức máy tính 1.2.1 Cấu trỳc tổng quỏt mỏy tớnh Mỏy tớnh hệ thống phức tạp với hàng triệu thành phần điện tử sở Ở mức đơn giản nhất, máy tính xem thực thể tương tác theo cách thức với mơi trường bên ngồi Một cách tổng qt, mối quan hệ với mơi trường bên ngồi phân loại thành thiết bị ngoại vi hay đường liên lạc Hỡnh 1: Cấu trỳc tổng quỏt mỏy tớnh  Thành phần chính, quan trọng máy tính Đơn vị xử lý trung tõm (CPU – Central Processing Unit): Điều khiển hoạt động máy tính thực chức xử lý liệu Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Hỡnh 2: Bộ xử lý trung tõm mỏy tớnh (CPU) CPU thường đề cập đến với tên gọi xử lý Mỏy tớnh cú thể cú nhiều thành phần núi trờn, Vớ Dụ nhiều CPU Trước đa phần máy tính có CPU, gần có gia tăng sử dụng nhiều CPU hệ thống máy đơn CPU luôn đối tượng quan trọng vỡ thành phần phức tạp hệ thống Cấu trúc CPU gồm thành phần chính: - Đơn vị điều khiển: Điều khiển hoạt động CPU điều khiển hoạt động máy tính - Đơn vị luận lý số học (ALU – Arithmetic and Logic Unit): Thực chức xử lý liệu máy tính - Tập ghi: Cung cấp nơi lưu trữ bên CPU - Thành phần nối kết nội CPU: Cơ chế cung cấp khả liên lạc đơn vị điều khiển, ALU tập ghi Trong thành phần nói CPU, đơn vị điều khiển lại giữ vai trũ quan trọng Sự cài đặt đơn vị dẫn đến khái niệm tảng chế tạo vi xử lý máy tính Đó khỏi niệm vi lập trỡnh Hỡnh mô tả tổ chức bên đơn vị điều khiển với ba thành phần gồm: - Bộ lập dóy logic - Bộ giải mó tập cỏc ghi điều khiển - Bộ nhớ điều khiển Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Hỡnh 3: Đơn vị điều khiển CPU Cỏc thành phần khỏc mỏy tớnh:  Bộ nhớ chớnh: Dùng để lưu trữ liệu  Cỏc thành phần nhập xuất: Dùng để di chuyển liệu máy tính mơi trường bên ngồi  Cỏc thành phần nối kết hệ thống: Cung cấp chế liên lạc CPU, nhớ thành phần nhập xuất 1.2.2 Chức mỏy tớnh Một cỏch tổng qt, máy tính thực bốn chức sau: - Di chuyển liệu - Điều khiển - Lưu trữ liệu - Xử lý liệu Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Hỡnh 4: Cỏc chức máy tính  Xử lý liệu: Máy tính phải có khả xử lý liệu Dữ liệu có nhiều dạng phạm vi yờu cầu xử lý rộng Tuy nhiờn cú số phương pháp xử lý liệu  Lưu trữ liệu: Máy tính cần phải có khả lưu trữ liệu Ngay máy tính xử lý liệu, nú phải lưu trữ tạm thời thời điểm phần liệu xử lý Do cần thiết phải có chức lưu trữ ngắn hạn Tuy nhiên, chức lưu trữ dài hạn có tầm quan trọng tương đóng liệu cần lưu trữ máy cho lần cập nhật tỡm kiếm  Di chuyển liệu: Máy tính phải có khả di chuyển liệu giới bên Khả thể thơng qua việc di chuyển liệu máy tính với thiết bị nối kết trực tiếp hay từ xa đến Tùy thuộc vào kiểu kết nối cự ly di chuyển liệu, mà cú tiến trỡnh nhập xuất liệu hay truyền liệu: - Tiến trỡnh nhập xuất liệu: Thực di chuyển liệu cự ly ngắn mỏy tớnh thiết bị nối kết trực tiếp - Tiến trỡnh truyền liệu: Thực di chuyển liệu cự ly xa mỏy tớnh thiết bị nối kết từ xa - Điều khiển: Bên hệ thống máy tính, đơn vị điều khiển có nhiệm vụ quản lý cỏc tài nguyờn mỏy tớnh điều phối vận hành thành phần chức phù hợp với yêu cầu nhận từ người sử dụng Tương ứng với chức tổng quát nói trên, có bốn loại hoạt động xảy gồm:  Máy tính dùng thiết bị di chuyển liệu, có nhiệm vụ đơn giản chuyển liệu từ phận ngoại vi hay đường liên lạc sang phận ngoại vi hay đường liên lạc khỏc Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp CHƯƠNG 4: HỆ THỐNG PACKET FILTERING 4.1 Giới thiệu Packet Filtering Firewall cú thể thực lớp khỏc Protocol stack Hai dạng thụng dụng thực lớp ứng dụng “Forwarding application Firewall” lớp mạng “Filtering Router” Một cỏch tổng quỏt Firewall cú thể thực lớp Protocol stack Protocol Nhưng Firewall thường dựng để bảo vệ hệ thống mạng mỏy tớnh nối vào Internet, mà nghi thức giao tiếp trờn Internet TCP/IP nờn phần trỡnh bày dạng Firewall lớp IP Hỡnh 43: Sơ đồ làm việc Packet Filtering Hệ thống Packet Filtering (Packet Filtering System) hệ thống sử dụng cỏch lọc (filter) cỏc Packet vào/ra khỏi mạng để bảo vệ hệ thống mạng Để truyền thụng tin từ mạng sang mạng khỏc, thụng tin cần truyền phải chia nhỏ thành gúi, gúi gửi riờng biệt Bằng việc chia nhỏ thụng tin thành gúi mà nhiều mỏy cú thể dựng chung kờnh truyền thụng Trong hệ thống mạng IP, gúi thụng tin gọi Packet Tất liệu truyền trờn mạng IP dạng Packet Trong việc kết nối nhiều mạng mỏy tớnh lại với nhau, thiết bị dựng Router Router cú thể phần cứng đặc biệt chuyờn biệt làm Router nú cú thể phần mềm chạy trờn mỏy UNIX PC (MS–DOS, Windows, … ) Những Packet qua liờn mạng (mạng nhiều mạng), thường xuất phỏt từ mỏy gửi đến Router này, Router gửi Packet đến Router khỏc đến Packet đến mỏy đích cuối cựng Chức Router nhận gửi Packet nú nhận Nú phải định làm để gửi Packet hướng đến mỏy đích cuối cựng nú Thụng thường thỡ Packet khụng mang thụng tin giỳp Router việc tỡm đuờng, ngoại trừ địa IP mỏy mà Packet đến Thụng tin Packet cho Router biết nơi nú Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 82 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp đến, mà khụng cung cấp cho Router biết làm để đến đích Router trao đổi thụng tin với Router khác dùng giao thức định tuyến (Routing Protocol) “Routing Information Protocol (RIP) Open Shortest Path First (OSPF) để xõy dựng bảng routing (routing table) nhớ để tỡm đường gửi Packet hướng đến nơi đến nú Để gửi Packet đi, Router so sỏnh địa đến Packet với điểm vào routing table để xỏc định đường đến đích cho Packet Thụng thường khụng cú đường đến nơi đó, Router dựng đường mặc định, thường gửi Packet đến Router thụng minh gửi Packet Internet Để xỏc định làm để gửi Packet đến nơi đến cuối nú, Router thụng thường dựa vào địa mỏy đến để gửi Packet Một Packet Filtering Router cũn phải thực thờm việc khỏc liệu Packet cú cho phộp để gửi hay khụng? Để biết liệu Router cú thể gửi Packet hay khụng, thường thỡ nú dựa vào chớnh sỏch bảo vệ cấu hỡnh trước, thường chớnh sỏch bảo vệ tập hợp cỏc qui tắc gọi “Filtering rules” 4.2 Những chức Packet Filtering Router Packet Filtering (hay việc lọc giỏm sỏt cỏc Packet vào khỏi mạng) cho phộp (hoặc khụng cho phộp) chỳng ta điều khiển trao đổi liệu mạng cần bảo vệ với Internet chủ yếu dựa trờn cỏc thụng tin sau:  Địa nơi xuất phỏt liệu  Địa nơi liệu đến  Nghi thức cấp ứng dụng sử dụng để truyền liệu Hầu hết cỏc Packet filtering Router thực việc lọc cỏc Packet khụng dựa trờn nội dung liệu Packet Filtering Router thường cú khả cú dạng sau:  Khụng cho phộp người dựng Telnet (một nghi thức cấp ứng dụng application Protocol) để login từ bờn vào hệ thống mạng cần bảo vệ  Cho phộp cú thể gửi e–mail dựng SMTP (một nghi thức cấp ứng dụng) cho cỏc user mạng cần bảo vệ ngược lại  Mỏy cú địa X cú thể gửi tin tức cho chỳng ta dựng nghi thức đó, mỏy khỏc khụng cú đặc quyền Do Packet filter lọc cỏc gúi IP chủ yếu dựa vào địa mỏy gửi mỏy nhận cho nờn nú khụng thể cho phộp user A dựng dịch vụ Telnet mà user khỏc thỡ khụng Packet filter khụng cú khả cấm việc truyền file mà khụng cho phộp việc truyền cỏc file khỏc Ưu điểm chớnh Packet Filtering khả tỏc dụng toàn cục nú Nú cung cấp khả bảo vệ tương đối cho toàn mạng mà đặt nơi Một vớ dụ cho thấy điều việc cấm dịch vụ Telnet Nếu chỳng ta cấm dịch vụ Telnet vào cỏch tắt tất cỏc Telnet Server chỳng ta chưa chỳng ta cấm hồn tồn dịch vụ Telnet từ bờn ngồi vỡ cú thể cú người quan cài đặt mỏy (hoặc cài đặt lại mỏy cũ) cú Telnet Server chạy Nhưng mà Telnet bị cấm Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 83 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Packet Filtering Router thỡ mỏy cài đặt bảo vệ mặc dự Telnet Server mỏy cú bật lờn hay khụng Núi túm lại Packet Filtering Router cú thể bảo vệ tồn mạng mức cỏch triệt để Khả bảo vệ mạng mức độ cú thể cần cung cấp Filtering Router Nhờ Packet Filtering Router chỳng ta cú thể bảo vệ việc cụng hệ thống mạng dạng đánh lừa địa (address – spoofing attacks) Với dạng cụng này, người cụng vào hệ thống thường lấy địa mỏy cục mà họ muốn cụng làm địa nguồn liệu mà họ gửi Chỉ cú Router biết Packet loại đến từ mạng bờn (Internet) mà cú địa nguồn giống địa mạng mà nú bảo vệ, nờn nú cú thể phỏt kiểu đánh lừa địa 4.3 Ưu, nhược điểm hệ thống Packet Filtering Hệ thống sử dụng Packet Filtering Router có ưu điểm sau:  Một Filtering Router cú thể bảo vệ toàn mạng: Một ưu điểm quan trọng Packet Filtering cần vị trớ chiến lược mà Packet Filtering Router cú thể bảo vệ toàn mạng Nếu cú Router nối mạng cần bảo vệ với Internet, thỡ cần Filtering Router cú thể bảo vệ toàn mạng mà khụng phụ thuộc vào mức độ lớn nhỏ mạng cần bảo vệ, mặc dự khả bảo vệ mức mà thụi (việc bảo vệ mang tớnh tồn cục – global)  Packet Filtering System cú thể cấm cho phộp số loại dịch vụ, hay số địa IP số hệ thống  Packet Filtering cú thể khụng ảnh hưởng đến user : Packet Filtering khụng cần thay đổi phần mềm Client thay đổi cấu hỡnh mỏy Client, user khụng cần phải huấn luyện để sử dụng hệ thống Packet filering mặc dự cú cộng tỏc user thỡ tốt hơn, tớnh suốt (tranparency) user Khi Filtering Router nhận Packet, xem xột thấy nú thỏa qui tắc bảo vệ, lỳc Router forward Packet Router thụng thường làm cho nờn khụng thấy rừ khỏc biệt Filtering Router Router thụng thường  Khả lọc dựa trờn địa IP số port mà khụng dựa trờn user/ application mặc dự cú số Packet Filtering system cho phộp lọc dựa trờn hostname khụng nờn đặc tả cỏc qui tắc để lọc dựa trờn hostname vỡ hệ thống bị cụng cỏch khỏc – Vớ Dụ làm tờ liệt DNS Server hoặt giả DNS Server để trả lời query tờn mỏy thành địa IP  Hiện cú nhiều Router cung cấp khả Packet Filtering: khả lọc gúi nhiều nhà sản xuất phần cứng phần mềm hỗ trợ sản phẩm họ, sản phẩn thương mại miễn phớ trờn Internet Mặc dự Packet Filtering cú nhiều ưu điểm trờn nú cú số nhược điểm sau:  Đối với Packet Filtering System cú thể bị cụng theo loại network denial of service attacks Khi người cụng biết hệ thống cú Packet filter, họ cố gắng làm tờ liệt Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 84 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp hoạt động hệ thống nhờ cỏc kỹ thuật “message flooding”, “service overloading” Message flooding dạng cụng vào hệ thống làm tờ liệt hoạt động hệ thống cỏch gõy lũ liệu hệ thống bị cụng Người cụng thường gửi hàng loạt cỏc message vào hệ thống mà họ cụng Kết hệ thống bị cụng khụng cũn thời gian để xử lý yờu cầu khỏc, đôi lỳc nú cú thể làm treo hệ thống bị cụng Dạng cụng điển hỡnh kiểu người cụng cho thực việc gửi hành loạt cỏc mail–message vào hệ thống mà họ cụng dẫn đến kết mail–Server khụng cũn vựng nhớ để lưu mail hay thụng tin khỏc, tỡnh trạng đĩa đầy  Những cụng cụ Packet Filtering hành khụng hoàn thiện: Mặc dự khả Packet Filtering cung cấp nhiều nhà cung cấp phần cứng phần mềm sản phẩm chưa hoàn thiện Những Packet Filtering thường cú số hạn chế sau:  Việc xỏc định qui tắc để lọc cỏc Packet thường khú thực khú cấu hỡnh Vỡ phải thực việc chuyển chớnh sỏch bảo vệ thành tập cỏc qui tắc lọc thường khú  Khi cấu hỡnh thỡ việc kiểm tra cỏc luật lệ (rules) khú khăn  Khả nhiều sản phẩm Packet Filtering thường khụng hoàn thiện, khả trợ giỳp cho việc thực số dạng lọc gúi mức cao thường khú thực hiện, nhiều lỳc khụng thể thực  Giống sản phẩm khỏc, Packet Filtering cú thể cú số lỗi mà lỗi cú thể gõy số kết khụng mong muốn Những lỗi cú thể gõy cho nú hoạt động sai, nú cú thể cho phộp số Packet qua thay vỡ cấm  Một số giao thức (Protocol) khụng thớch hợp với Packet Filtering, sản phẩm Packet Filtering hoàn hảo, chỳng ta thấy cú số nghi thức mà khả bảo vệ Packet Filtering khụng thể bảo vệ mạng dịch vụ sử dụng Protocol loại phải bị cấm Những Protocol điển hỡnh cho dạng cỏc Berkley “r” command (rcp, rlogin, rdist, rsh, .) RPC–based Protocol NFS, NIS/YP  Một số chớnh sỏch bảo vệ khụng thể thực nhờ vào Packet Filtering: Qui tắc mà Packet Filtering cho chỳng ta đặc tả cú thể khụng phự hợp với yờu cầu thực chỳng ta Khụng cú khả bảo vệ cấp application, khụng thể thay đổi hoạt động dịch vụ, khụng giỏm sỏt chức trờn dịch vụ cụ thể để cú thể cấm cho phộp chức trờn dịch vụ (núi tựy thuộc vào thực Packet Filtering System mà hầu hết cỏc khả cú thể làm trờn) Packet Filtering khụng cho phộp chỳng ta cấm cho phộp user cú thể sử dụng dịch vụ mà user khỏc thỡ khụng phộp 4.4 Nguyờn tắc hoạt động hệ thống Packet Filtering Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 85 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Như giới thiệu phần trờn, Packet filter lọc gúi, cung cấp khả lọc cỏc IP Packet mức gửi Packet (Packet routing level) với kết định cho qua (pass) hay từ chối (drop) Packet Kết việc xử lý mức thấp tốc độ xử lý cao ớt an toàn application–level gateway Filtering Router giữ chức Router thờm chức filter Nhiệm vụ Packet Filtering Router gửi (route) nhận cho vào (receive) cỏc Packet cú chọn lựa internal host external host Packet Filtering cú thể thực nhiều cấp kết hợp cỏc cấp Dưới sơ sơ đồ luõn chuyển liệu điển hỡnh (hỡnh 44) Hỡnh 44: Sơ đồ luân chuyển liệu điển hỡnh hệ thống Packet Filtering Cỏc sản phẩm Packet Filtering cú thể lọc cỏc Packet dựa trờn header Packet thụng tin Packet từ interface card (mỗi Packet gồm phần: header data) Túm lại việc lọc dựa trờn thụng tin điều khiển Với cụng nghệ nay, Packet filter chưa cú khả lọc cỏc Packet dựa vào nội dung (not make content–based decisions) Do Packet filter lọc cỏc Packet dựa trờn cỏc thụng tin điều khiển cỏc header Protocol stack, nờn cỏc IP Packet filter thỡ thụng tin header sử dụng thụng tin IP header TCP header 4.4.1 Lọc cỏc Packet dựa trờn địa (address) Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 86 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Dạng đơn giản mà Filtering Router cú thể thực việc lọc cỏc Packet dựa tờn địa Lọc cỏc Packet theo dạng cho phộp chỳng ta điều khiển liệu dựa trờn địa mỏy gửi địa mỏy nhận Packet mà khụng quan tõm đến nghi thức sử dụng Khả lọc gúi theo dạng cú thể dựng phộp số mỏy bờn ngồi cú thể trao đổi liệu với số mỏy mạng cần bảo vệ, cú thể bảo vệ dạng đánh lừa thụng tin Packet (những Packet xuất phỏt từ Internet (bờn ngoài) mà cú địa mỏy gửi lại địa mỏy mạng mạng bảo vệ Những rủi ro việc lọc dựa trờn địa mỏy gửi: Thụng tin Packet header cú chứa địa nguồn mỏy gửi Packet (khụng nờn tin tưởng hoàn toàn vào thụng tin việc địa mỏy gửi cú thể bị giả mạo) Trừ chỳng ta sử dụng kỹ thuật chứng thực (cryptographic authentication) hai mỏy trao đổi liệu cho nhau, chỳng ta thực khụng thể biết chắn mỏy mà chỳng ta trao đổi liệu với nú thực chớnh nú hay mỏy khỏc giả danh mỏy (giống lấy địa người khỏc để gửi thư đi) Qui tắc lọc trờn loại trừ khả mỏy bờn giả mạo thành mỏy bờn trong, nú khụng phỏt việc mỏy bờn giả mạo địa mỏy bờn ngồi khỏc Do đó, người cơng có hai dạng cụng dựa trờn việc giả mạo địa : giả mạo địa mỏy gửi “source address” “man in the middle”  Dạng cụng giả danh giả mạo địa mỏy gửi (source address), người cụng gửi liệu cho chỳng ta mà sử dụng địa mỏy gửi khụng phải địa mỏy họ, thường họ đoỏn số địa mà hệ thống chỳng ta tin tưởng, sau họ sử dụng địa địa mỏy gửi với hy vọng chỳng ta cho Packet họ gửi vào mạng chỳng ta, khụng mong chờ Packet kết trả lời từ mỏy hệ thống mạng chỳng ta Nếu người cụng khụng quan tõm đến việc nhận Packet trả từ hệ thống chỳng ta, thỡ khụng cần thiết họ phải lộ trỡnh chỳng ta hệ thống bị họ giả danh, họ cú thể nơi đâu Trong thực tế, Packet trả lời từ hệ thống chỳng ta gửi đến mỏy (những mỏy người cụng vào hệ thống chỳng ta sử dụng địa họ), mà Packet khụng gửi đến mỏy người cụng Tuy nhiờn, người cụng cú thể đoỏn đáp ứng từ hệ thống chỳng ta thỡ họ khụng cần phải nhận Packet Cú khỏ nhiều nghi thức (Protocol) mà người cụng hiểu biết sõu thỡ việc đoỏn đáp ứng từ hệ thống chỳng ta khụng khú khăn Cú nhiều dạng cụng kiểu cú thể thực mà người cụng khụng cần nhận Packet trả lời trực tiếp từ hệ thống chỳng ta Một Vớ Dụ cho thấy điều người cụng cú thể gửi cho hệ thụng chỳng ta lệnh đó, mà kết hệ thống chỳng ta gửi cho người cụng password file hệ thống chỳng ta Bằng cỏch thỡ người cụng khụng cần nhận trực tiếp Packet trả lời từ hệ thống chỳng ta Trong số trường hợp, nghi thức cú kết nối TCP, mỏy nguồn thực (mỏy mà người cụng lấy địa để giả danh) phản hồi lại Packet mà hệ thống chỳng ta gửi cho họ (những Packet mà hệ thống chỳng ta trả lời cho Packet người cụng) dẫn đến kết kết nối hành giữ mỏy chỳng ta với mỏy Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 87 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp người cụng cú thể bị reset Dĩ nhiờn người cụng khụng muốn điều xảy Người cụng muốn thực việc cụng hoàn thành trước mỏy bị giả danh nhận Packet mà chỳng ta gửi trước chỳng ta nhận reset Packet từ mỏy bị giả danh Người cụng cú thể cú nhiều cỏch để thực điều này: + Thực việc cụng mỏy bị giả danh tắt + Làm cho mỏy bị giả danh treo thực cụng + Gõy lũ (flooding) liệu mỏy giả danh thực cụng + Làm sai lệch thụng tin đường (routing) mỏy gửi mỏy nhận thực + Tấn cụng vào dịch vụ cần gửi Packet cú thể gõy tỏc động mà vấn đề reset khụng bị ảnh hưởng  Dạng cụng thứ hai “man in the middle” kiểu cụng người cụng cần cú khả thực đầy đủ quỏ trỡnh trao đổi liệu giả danh địa mỏy khỏc Để thực điều người cụng, mỏy mà người cụng sử dụng khụng gửi Packet cho hệ thống chỳng ta mà cũn mong muốn nhận Packet trả lời từ hệ thống cuả chỳng ta Để thực điều người cụng phải thực hai việc sau: + Mỏy người cụng trờn đường hệ thống chỳng ta hệ thống bị giả danh Trường hợp dễ thực gần mỏy hệ thống chỳng ta gần mỏy bị giả danh, trường hợp gần khú lộ trỡnh đường vỡ mạng IP lộ trỡnh đường Packet cú thể thay đổi đặc biệt cỏc mỏy lộ trỡnh cú thể cú lỳc qua cú thể khụng + Thay đổi đường mỏy gửi mỏy nhận thực để nú qua mỏy người cụng Điều cú thể thực dễ dàng khú khăn tựy theo topology mạng hệ thống routing cỏc mạng liờn quan 4.4.2 Lọc cỏc Packet dựa trờn số cổng (port) Nguyên tắc giống lọc gúi dựa địa máy gửi, khác Packet filter lọc số cổng mỏy gửi (port nguồn) thay vỡ địa Những rủi ro việc lọc dựa trờn số port mỏy gửi: Cũng giống trường hợp lọc theo địa nguồn (source address), việc lọc cỏc Packet dựa theo thụng tin số port nguồn (source port) cú rủi ro tương tự Đối với cỏc dịch vụ cú cầu nối (connection – oriented) TCP, trước hai network application trao đổi liệu với chỳng phải thiết lập kết nối (connection), chỳng trao đổi liệu xong chỳng đóng kết nối Quỏ trỡnh từ lỳc thiết lập kết nối đóng kết nối gọi session, dịch vụ dạng việc lọc cỏc Packet cú thể sử dụng thụng tin thiết lập kết nối TCP flags field Nhưng dịch vụ khụng cú kết nối (connectionless) UDP thỡ việc lọc cỏc Packet theo dạng cú thể thực sau:  Session filter: trường hợp đặt biệt Packet filters nú cũn giữ thờm thụng tin trờn tất cỏc active session qua Firewall Bộ lọc (filter) Packet dựng Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 88 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp thụng tin để xỏc định Packet di chuyển theo hướng ngược lại thuộc vào connection chấp nhận hay khụng Đồng thời cú thể dựng thụng tin session để thực việc theo dừi mức session (session –level auditing)  Dynamic Packet Filtering : Theo dừi cỏc outgoing UDP Packet vào/ra Chỉ cho phộp cỏc incoming UDP Packet tương ứng với cỏc outgoing UDP Packet dựa vào thụng tin host port, cho vào UDP cú cựng host cựng port với cỏc outgoing UDP Packet Nhưng cho phộp khoảng cỏch outgoing UDP Packet incoming UDP Packet giới hạn (tựy chọn cho thớch hợp) (time – limited) Mặc dự dựng phương phỏp trờn cú thể lọc internal host hay external host người đưa yờu cầu (request) trả lời (reply) nú để lộ số lỗ hở dẫn đến người cụng (attacker) lợi dụng việc cho vào reply tương ứng để gửi vào request in tương ứng với host/port trờn may mắn, cú thể thành cụng Những thụng tin dựng cho việc đặc tả cỏc rule Packet filter là: IP source/destination address : địa IP mỏy gửi nhận Packet Protocol (TCP | UDP | ICMP ): nghi thức trờn lớp IP sử dụng TCP or UDP source/destination port : dịch vụ cấp ứng dụng ICMP message type: loại ICMP message IP options Start –of– connection (ACK bit) information cho TCP packages Tất cỏc thụng tin trờn IP header TCP| UDP header Và thờm thụng tin quan trọng Packet từ interface (từ Internet hay từ internal network) Một số thụng tin phụ khỏc thời gian truy nhập, lượng Packet trờn dịch vụ, thời điểm truy cập Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 89 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp CHƯƠNG 5: HỆ THỐNG PROXY Proxy cung cấp cho người sử dụng truy xuất Internet với host đơn Những Proxy Server phục vụ nghi thức đặc biệt tập nghi thức thực thi trờn dual– homed host Bastion Host Những chương trỡnh Client người sử dụng qua trung gian Proxy Server thay Server thật mà người sử dụng cần giao tiếp Proxy Server xỏc định yờu cầu từ Client định đáp ứng hay khụng đáp ứng, yờu cầu đáp ứng, Proxy Server kết nối đến Server thật thay cho Client tiếp tục chuyển tiếp yờu cầu từ Client đến Server, chuyển tiếp đáp ứng Server trở lại Client Vỡ Proxy Server giống cầu nối trung gian Server thật Client 5.1 Tác dụng chức Proxy Để đáp ứng nhu cầu người sử dụng cần truy xuất đến ứng dụng cung cấp Internet đảm bảo an toàn cho hệ thống cục bộ, hầu hết phương phỏp đưa để giải điều cung cấp host đơn truy xuất đến Internet cho tất người sử dụng Tuy nhiờn, phương phỏp khụng phải phương phỏp giải thỏa vỡ nú tạo cho người sử dụng cảm thấy khụng thoải mỏi Khi truy xuất đến Internet thỡ họ khụng thể thực cụng việc cỏch trực tiếp, phải log in vào dual–homed host, thực tất cụng việc đây, sau phương phỏp chuyển đổi kết đạt cụng việc trở lại workstation sở hữu Điều trở nờn tồi tệ hệ thống với nhiều hệ điều hành khỏc (Vớ dụ trường hợp hệ thống Macintosh riờng dual–homed host hệ thống Unix) Khi dual homed host thiết kế trờn mụ hỡnh khụng cú Proxy, điều khiến cho người sử dụng thờm bực bội đáng chỳ ý làm giảm tiện ớch mà Internet cung cấp, tồi tệ chỳng thường khụng cung cấp an toàn cỏch đầy đủ, mỏy gồm nhiều người sử dụng tất nhiờn độ an toàn nú giảm, đặc biệt họ cố gắng nắm bắt với vạn vật bờn Proxy System giỳp người sử dụng thoải mỏi an toàn cho dual–homed host, thay yờu cầu người sử dụng cỏch giỏn tiếp thụng qua dual–homed host Hệ thống Proxy cho phộp tất tương tỏc nằm hỡnh thức Người sử dụng cú cảm giỏc trực tiếp làm việc với Server trờn Internet mà họ thật muốn truy xuất Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 90 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Hỡnh 45 : Kết nối sử dụng Application–Level Gateway Proxy Application chớnh chương trỡnh trờn application–level gateway Firewall hành động trờn hỡnh thức chuyển đổi yờu cầu người sử dụng thụng qua Firewall, tiến trỡnh thực trỡnh tự sau:  Thành lập kết nối đến Proxy application trờn Firewall  Proxy Application thu nhập thụng tin việc kết nối yờu cầu người sử dụng  Sử dụng thụng tin để xỏc định yờu cầu cú chấp nhận khụng, chấp nhận, Proxy tạo kết nối khỏc từ Firewall đến mỏy đích  Sau thực giao tiếp trung gian, truyền liệu qua lại Client Server Proxy System giải rủi ro trờn hệ thống trỏnh người sử dụng log in vào hệ thống ộp buộc thụng qua phần mềm điều khiển 5.1.1 Sự cần thiết Proxy Proxy cho phộp người sử dụng truy xuất dịch vụ trờn Internet theo nghĩa trực tiếp Với dual–homed host thỡ cần phải login vào host trước sử dụng dịch vụ trờn Internet Điều thường khụng tiện lợi, số người trở nờn thất vọng họ cú cảm giỏc phải thụng qua Firewall, với Proxy, nú giải vấn đề Tất nhiờn nú cũn cú giao thức núi chung nú khỏ tiện lợi với người sử dụng Bởi vỡ Proxy cho phộp người sử dụng truy xuất dịch vụ Internet từ hệ thống cỏ nhõn họ, vỡ nú khụng cho phộp Packet trực tiếp hệ thống người sử dụng Internet Đường giỏn tiếp thụng qua dual–homed host thụng qua kết hợp Bastion Host screening Router Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 91 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Thực tế Proxy hiểu nghi thức dưới, nờn quỏ trỡnh truy cập (logging) thực theo hướng hiệu đặc biệt Vớ Dụ: thay vỡ logging tất thụng tin ngang qua đường truyền, Proxy FTP Server log lệnh phỏt Server đáp ứng mà nhận Kết đơn giản hữu dụng nhiều 5.1.2 Những nhược điểm Proxy  Mặc dự phần mềm Proxy cú hiệu rộng rói cho dịch vụ lõu đời đơn giản FTP Telnet, phần mềm sử dụng rộng rói thỡ tỡm thấy Thường thỡ chớnh chậm trễ thời gian xuất dịch vụ Proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phương phỏp để thiết kế Proxy cho dịch vụ đó, điều cho thấy khỏ khú khăn đưa dịch vụ vào hệ thống Thường để đưa dịch vụ vào hệ thống chưa cú Proxy cho nú thỡ nờn đặt bờn Firewall, vỡ đặt bờn hệ thống thỡ chớnh yếu điểm  Đôi cần Proxy Server khỏc cho nghi thức, vỡ Proxy Server phải hiểu nghi thức để xỏc định gỡ phộp khụng phộp Để thực nhiệm vụ Client đến Server thật Server thật đến Proxy Client, kết hợp, cài đặt (install) cấu hỡnh (config) tất Server khỏc cú thể khú khăn  Những dịch vụ Proxy thường sửa đổi chương trỡnh Client, procedure hai Loại trừ vài dịch vụ thiết kế cho Proxying, Proxy Server yờu cầu sửa đổi với Client procedure, sửa đổi cú bất tiện riờng nú, khụng thể luụn luụn sử dụng cụng cụ cú sẵn với cấu trỳc nú  Proxying dựa vào khả chốn vào Proxy Server Client Server thật mà yờu cầu tỏc động tương đối thẳn thắn hai  Những dịch vụ Proxy khụng bảo vệ cho hệ thống ứng với nghi thức kộm chất lượng Như giải phỏp an toàn, Proxying dựa vào khả xỏc định tỏc vụ nghi thức an toàn khụng phải tất cỏc dịch vụ cựng cấp theo khuynh hướng an toàn này, nghi thức Xwindows cung cấp khỏ nhiều tỏc vụ khụng an toàn 5.2 Sự kết nối thụng qua Proxy (Proxying) Những chi tiết việc Proxying thực khỏc từ dịch vụ đến dịch vụ khỏc, cài đặt (set up) Proxying, cú vài dịch vụ thực dễ dàng tự động, vài dịch vụ cú chuyển đổi khú khăn Tuy nhiờn, hầu hết dịch vụ, yờu cầu phần mềm Proxy Server tương ứng, trờn Client phải cần yờu cầu sau: Custom Client software: phần mềm loại phải biết để liờn kết với Proxy Server thay Server thật người sử dụng yờu cầu yờu cầu Proxy Server gỡ Server thật kết nối đến Nhưng phần mềm custom Client thường cú hiệu vài platform Vớ Dụ: Package igateway từ Sun Proxy package cho FTP Telnet, nú sử dụng trờn hệ thống Sun vỡ nú cung cấp recompiled Sun binaries Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 92 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Hỡnh 46: Kết nối người dùng (Client) với Server qua Proxy Mặc dự phần mềm cú hiệu cho platform tương ứng, nú cú thể khụng phải điều mà người sử dụng mong muốn, Vớ Dụ: trờn Macintosh cú hàng chục chương trỡnh FTP Client, vài số thật cú giao diện khỏ ấn tượng với người sử dụng, phần khỏc cú đặc điểm hữu dụng khỏc Anarchie chương trỡnh mà nú kết hợp archie Client FTP Client bờn chương trỡnh đơn, vỡ người sử dụng cú thể tỡm file với archie dựng FTP để lấy nú, tất với giao diện người sử dụng thớch hợp, điều khụng may mắn cho chỳng ta muốn hỗ trợ Proxy Server Sử dụng chuyển đổi Client cho Proxying khụng dễ dàng thuyết phục người sử dụng Trong hầu hết hệ thống sử dụng Client khụng chuyển đổi kết nối bờn số chuyển đổi với kết nối bờn ngoài, lỳc người sử dụng cần phải sử dụng thờm chương trỡnh thờm vào để tạo kết nối bờn Custom user procedure: người sử dụng dựng phần mềm Client chuẩn để giao tiếp với Proxy Server nú kết nối đến Server thật, thay trực tiếp Server thật Proxy Server thiết kế thực thi với phần mềm Client chuẩn Tuy nhiờn, chỳng yờu cầu người sử dụng theo custom procedure Người sử dụng trước tiờn kết nối đến Proxy Server sau cung cấp cho Proxy Server tờn host mà họ muốn kết nối đến Bởi vỡ vài nghi thức thiết kế để truyền thụng tin này, người sử dụng khụng phải nhớ tờn Proxy Server phải nhớ host khỏc mà họ muốn giao tiếp Như để thực cụng việc này, cần phải nắm thủ tục đặc trưng theo sau nghi thức 5.3 Cỏc dạng Proxy Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 93 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp 5.3.1 Dạng kết nối trực tiếp Phương phỏp đầu tiờn sử dụng kỹ thuật Proxy cho người sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa Firewall số cổng Proxy, sau Proxy hỏi người sử dụng cho địa host hướng đến, phương phỏp brute force sử dụng Firewall cỏch dễ dàng, vài nguyờn nhõn nú phương phỏp ớt thớch hợp Trước tiờn, yờu cầu người sử dụng biết địa Firewall, nú yờu cầu người sử dụng nhập vào hai địa cho kết nối: Địa Firewall địa đích hướng đến Cuối cựng nú ngăn cản ứng dụng nguyờn trờn mỏy tớnh người sử dụng điều tạo kết nối cho người sử dụng, vỡ chỳng khụng biết điều khiển yờu cầu đặc biệt cho truyền thụng với Proxy 5.3.2 Dạng thay đổi Client Phương phỏp sử dụng Proxy setup phải thờm vào ứng dụng mỏy tớnh người sử dụng Người sử dụng thực thi ứng dụng đặc biệt với việc tạo kết nối thụng qua Firewall Người sử dụng với ứng dụng hành động ứng dụng khụng sửa đổi Người sử dụng cho địa host đích hướng tới Những ứng dụng thờm vào biết địa Firewall từ file config cục bộ, set up kết nối đến ứng dụng Proxy trờn Firewall, truyền cho nú địa cung cấp người sử dụng Phương phỏp cú hiệu cú khả che dấu người sử dụng, nhiờn, cần cú ứng dụng Client thờm vào cho dịch vụ mạng đặc tớnh trở ngại 5.4.3 Proxy vụ hỡnh Một số phương phỏp phỏt triển gần cho phộp truy xuất đến Proxy, vài hệ thống Firewall biết Proxy vụ hỡnh mụ hỡnh này, khụng cần phải cú ứng dụng thờm vào với người sử dụng khụng phải kết nối trực tiếp đến Firewall biết Firewall cú tồn Sử dụng điều khiển đường bản, tất kết nối đến mạng bờn đường thụng qua Firewall Như Packet nhập vào Firewall, tự động chỳng đổi hướng đến ứng dụng Proxy chờ Theo hướng này, Firewall thực tốt việc host đích kết nối tạo Firewall Proxy, Client application nghĩ nú kết nối với Server thật, phộp, Proxy application sau thực hàm Proxy chuẩn việc tạo kết nối thứ hai đến Server thật Proxy lớp ứng dụng thỡ đối nghịch với Proxy lớp circuit: application–level Proxy thực thi lớp ứng dụng Nú cung cấp cho dịch vụ riờng interpret dũng lệnh nghi thức Một circuit–level Proxy tạo nờn circuit Client Server khụng cần phải interpret nghi thức Núi chung, application–level Proxy sử dụng modified procedure circuit–level Proxy sử dụng modified Client Để tạo kết nối Proxy, phải biết vị trớ muốn kết nối đến Một hybrid gateway đơn giản cú thể chặn đứng kết nối, Proxy host cú thể nhận kết nối mà đề nghị với nú, phải vị trớ muốn kết nối Một application–level Proxy cú thể thể nhận thụng tin nghi thức riờng Một circuit–level Proxy khụng thể interpret theo nghi thức cần phải cú thụng tin hồ trợ cho nú thụng qua cỏch khỏc Ưu điểm circuit–level Proxy nú cung cấp cho hầu hết nghi thức khỏc nhau, circuit–level Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 94 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp Proxy Server Proxy Server chung cho tất cỏc dạng nghi thức, nhiờn khụng phải nghi thức dễ dàng điều khiển circuit–level Proxy, khuyết điểm circuit–level Proxy Server nú điều khiển dựa vào gỡ xảy thụng qua Proxy Packet filter, nú điều khiển kết nối dựa vào địa nguồn địa địa đíchvà khụng cú thể xỏc định lệnh qua nú an tồn kiện mà nghi thức mong muốn, circuit–level Proxy dể dàng bị đánh lừa Server setup lại cổng gỏn đến Server khỏc Proxy chung thỡ đối nghịch với Proxy chuyờn biệt: mặc dự “application–level” “circuit–level” thường dựng, phõn biệt “dedicated” “generic” Proxy Server Một dedicated Proxy Server Server phục vụ nghi thức đơn, generic Proxy Server Server phục vụ cho nhiều nghi thức Thật ra, dedicated Proxy Server application–level, generic Proxy Server circuit–level Intelligent Proxy Server: Proxy Server cú thể làm nhiều điều khụng phải chuyễn tiếp yờu cầu, chớnh intelligent Proxy Server, Vớ Dụ: cern http Proxy Server caches data, vỡ nhiều yờu cầu data khụng khỏi hệ thống chưa cú xử lý Proxy Server Proxy Server (đặc biệt application–level Server ) cú thể cung cấp logging dễ dàng điều khiển truy xuất tốt hơn, cũn circuit–level Proxy thường bị giới hạn khả Using Proxying với dịch vụ Internet: vỡ Proxy chốn vào kết nối Client Server, nú phải thớch ứng với dịch vụ riờng, số dịch vụ dễ với cỏch thực bỡnh thường lại khú thờm vào Proxy TCP đối nghịch với nghi thức khỏc: TCP nghi thức connection_oriented, nờn nú khú khăn khoảng thời gian ban đầu để tạo cầu nối sau nú tiếp tục sử dụng cầu nối để truyền thụng, cũn UDP thỡ ngược lại nờn khú hơn, ICMP low Protocol nờn cú thể dựng Proxy Unidirectional versus multidirectional connection: nú dễ dàng cho Proxy Server chặn đứng kết nối khởi đầu từ Client đến Server, nú khú cho việc ngăn chặn kết nối ngược lại, Server cú thể phải interpret sửa đổi thờm vào Protocol để tạo kết nối chớnh xỏc Vớ Dụ: Normal mode FTP yờu cầu Proxy Server chặn port Client gửi đến Server, mở kết nối từ Proxy đến Client với cổng gửi cổng khỏc đến Server thật Nú khụng cung cấp cho Proxy Server đơn giản đọc port trờn hướng đó, vỡ cú thể cổng đó sử dụng, kiện luụn luụn nảy sinh nghi thức yờu cầu kết nối ngược lại Protocol sercurity: vài dịch vụ để thực Proxy cho nú cú thể khỏ đơn giản, loại trừ vấn đề security Nếu nghi thức vốn khụng an toàn, Proxy khụng thể làm điều gỡ khỏc để tăng độ an toàn cho nú Thường khú phõn biệt tỏc vụ an toàn khụng an toàn thỡ nờn đặt dịch vụ trờn Victim host User specified data: vài dịch vụ, đặc biệt “store and forward” smtp, nntp, thường chớnh nú tự hổ trợ tớnh Proxying Những dịch vụ thiết kế truyền nhận message Server stored đến chỳng cú thể gửi cỏc Server tương ứng, xem header nhận incoming Internet e_mail, message từ người gửi đến Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 95 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trường Đại học Bách Khoa Hà Nội Đồ án tốt nghiệp người nhận thụng qua cỏc bước : Mỏy gửi – Outgoing mail gateway vị trớ người gửi – Incoming mail gateway vị trớ người nhận – Cuối cựng đến mỏy nhận Nguyễn Mạnh Chiến – ĐT2, CĐ1A – K45 Trang 96 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... Thành Phạm Văn An PHẦN I: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƯƠNG 1: GIỚI THIỆU VỀ MÁY TÍNH 1.1 Lịch sử mỏy tớnh Trong thời đại khoa học kỹ thuật ngày nay, máy tính điện tử đóng vai trũ quan trọng yếu... hiểu mạng mỏy tớnh, vấn đề an toàn mạng máy tính tường lửa Đó đề tài mà em muốn nghiên cứu trỡnh bày đồ án tốt nghiệp Nội dung đồ án gồm:  Phần I: Tổng quan mạng mỏy tớnh  Phần II: Vấn đề an toàn. .. cố kỹ thuật máy tính mạng  Khai thác có hiệu sở liệu tập trung phân tán, nâng cao khả tích hợp trao đổi loại liệu máy tính mạng 2.3 Đặc trưng kỹ thuật mạng máy tính Một mạng máy tính có đặc

Ngày đăng: 01/11/2022, 14:56

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN

w