Nghiên cứu các cơ chế đảm bảo an ninh cho mạng máy tính mà có thể thực hiện từ Proxy Server

Nghiên cứu các cơ chế đảm bảo an ninh cho mạng máy tính mà có thể thực hiện từ Proxy Server

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YấN

KHOA CễNG NGHỆ THễNG TIN



-Bài tiểu luận

MÔN HọC: an toàn và bảo mật thông tin

Đề 4:

Nghiên cứu các cơ chế đảm bảo an ninh cho mạng máy

tính mà có thể thực hiện từ Proxy Server.

Giỏo viờn hướng dẫn : Nguyễn Duy Tõn

Sinh viờn thực hiện : Nguyễn Thanh Hà

Hưng Yờn, thỏng 12 năm 2009

Lời núi đầu

Ngày nay với sự phỏt triển khụng ngừng, tột bậc và sự bựng nổ của cụng nghệ

thông tin, hầu hết các doanh nghiệp, các nhà đầu tư kinh doanh đều coi công nghệ thông tin như là chiến lược kinh doanh của mình Họ tìm hiểu thông tin khách hàng, thông tin sản phẩm mình kinh doanh đều qua hệ thống thông tin trên mạng và họ lưu trữ những thông tin đó trên hệ thống máy tính

Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu các doanh nghiệp phải chia sẻ thông tin của mình cho nhiều đối tượng khách hàng khác nhau qua Internet hay Intranet Việc mất mát, rò rỉ thông tin

có thể ảnh hưởng nghiêm trọng tới tài chính, danh tiếng của công ty và nhiều mối quan

hệ kinh doanh khác

Thông tin của mỗi doanh nghiệp, mỗi công ty là rất quan trọng Vì vậy việc đảm bảo an toàn an ninh mạng là rất cần thiết Dưới đây là đề tài mà em nghiên cứu: "Nghiên cứu các cơ chế đảm bảo an ninh cho mạng máy tính mà có thể thực hiện từ Proxy Server" Trong khi thực hiện đề tài này em vẫn còn nhiều thiếu sót Em kính mong thầy xem và nhận xét để bài tiểu luận của em được hoàn thiện hơn nữa

Em xin chân thành cảm ơn!

Sinh viên thực hiện:

Nguyễn Thanh Hà

1 Vài nét về Proxy.

Proxy cung cấp cho người sử dụng truy xuất internet với những host đơn Những proxy server phục vụ những nghi thức đặt biệt hoặc một tập những nghi thức thực thi trên dual_homed host hoặc basion host Những chương trình client của người sử dung sẽ qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp

Proxy server xác định những yêu cầu từ client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho client và tiếp tục chuyển tiếp đến những yêu cầu từ clientđến server, cũng như đáp ứng những yêu cầu của server đến client

Vì vậy proxy server giống cầu nối trung gian giữa server và client

Để đáp ứng những nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng cung cấp bởi internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ

Proxy server gíup người sử dụng thoải mái hơn và an toàn cho dual homed host, thay thế yêu cầu của người sử dụng bằng cách gián tiến thông qua dual homed host Hệ thống proxy cho phép tất cả những tương tác nằng dưới một hình thức nào đó User có cảm giác làm việc trực tiếp với server trên internetmà họ thật sự muốn truy xuất

Proxy applycation chính là chương trình trên applycation level getaway firewall hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua firewall, tiến trình này được thực hiện trình tự như sau:

 Thành lập một kết nối applycation trên firewall

 Proxy applycation thu nhận thông tin về việc kết nối và yêu cùa của user

 Sử dụng thông tin để xác nhận yêu cuầ đó được xác nhận không, nếu chấp nhận proxy sẽ tạo sự kết nối khác từ firewall đến máy đích

 Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa client và server proxy system giải quyết được những rủi ro trên hệ thống bởi tránh user login vào hệ thống và ép buộc thông qua phần mềm điều khiển

2 Sự cần thiết của Proxy.

Proxy cho user truy xuất dịch vụ trên internet theo nghĩa trực tiếp Với dual host homed cần phải login vào host trước khi sử dụng dịch vụ nào trên internet Điều này thường không tiện lợi, và một số người trể nên thất vọng khi họ có cảm giác thông qua firewall, với proxy nó giải quyết được vấn đề này

Tất nhiên nó còn có những giao thức mới nhưng nói chung nó cũng khá tiện lợi cho user Bởi vì proxy cho phép user truy xuất những dịch vụ trên internet từ hệ thống cá nhân của họ, vì vậy nó không cho phép packet đi trực tiếp giữa hệ thống sử dụng và internet đường đi là gián tiếp thông qua dual homed host hoặc thông qua sự kết hợp giữa bastion host và screening rounter

Thực tế proxy hiểu được những nghi thức dưới, nên logging được thực hiện theo hướng hiệu quả đặc biệt

VD: Thay vì đăng nhập tất cả thông tin thông qua đường truyền, một proxy FPT server chỉ log những lệnh phát ra và server đáp ứng mà nhận được Kết quả này đơn giản

và hữu dụng hơn rất nhiều

3 Proxy Server là gì?

Proxy Server là một server Internet làm chức năng kiểm soát việc truy cập Internet của các máy khách Sử dụng Proxy Server , công ty có thể cấm nhân viên truy cập những địa chỉ Web không mong muốn, cải thiện tốc độ nhờ lưu trữ cục bộ các trang Web và giấu định danh của mạng nội bộ để gây khó khăn cho người muốn thâm nhập từ bên ngoài

Proxy Server là một server đóng vai trò trung gian giữa người dùng

trạm( workstation user) và Internet Với Proxy Server, các máy khách( clients) tạo ra các kết nối đến các dịch mạng một cách gián tiếp

Proxy Server giống như một vệ sĩ: bảo vệ máy khách khỏi những rắc rối thường có trên Internet Một Proxy Server thường nằm bên trong tường lửa, giữa trình duyệt Web

và server thực, làm chức năng tạm giữ những yêu cầu Internet của các máy khách để chúng không thể giao tiếp trực tiếp với Internet

Điều này bảo đảm rằng người dùng không truy cập được thông tin không mong muốn, chẳng hạn như những cơ sở Web về hình ảnh khiêu dâm hay những trang Web bị công ty “cấm cửa”

Với Proxy Server , các công ty có thể kiểm soát được việc truy cập Internet bằng cách loại bỏ một số địa chỉ Web khỏi danh sách các Web site được phép truy cập của máy khách Ví dụ không muốn nhân viên mua bán cổ phiếu trong giờ làm việc thì nhà quản trị mạng có thể dùng Proxy Server để khóa việc truy cập vào các site tài chính trong một số giờ

Mọi yêu cầu của máy khách đều phải đi đến Proxy Server , nếu địa chỉ IP có trên proxy, nghĩa là Web site này được lưu trữ cục bộ, thì trang này sẽ được phép truy cập mà không cần phải kết nối với Internet; nếu không có trên PS và trang Web không thuộc loại

bị cấm, yêu cầu sẽ được chuyển đến server thực và sau đó ra Internet

Proxy Server cho phép các công ty lưu trữ cục bộ các trang Web thường được truy cập nhất trong bộ đệm và như thế sẽ tiết kiệm được chi phí Việc ghi xuống bộ đệm những trang Web cũng làm tăng tốc độ hiển thị các trang Web vì chúng được truy cập nhanh chóng từ đĩa cứng thay vì phải qua Internet

Người dùng phổ biến nhất của Proxy Server là những nhà cung cấp dịch vụ Internet như America Online và những công ty lớn, không chỉ muốn tải xuống nhanh mà còn muốn chia sẻ một tập những địa chỉ IP, với số lượng hạn chế, cho các nhóm người dùng của mình, hơn nữa việc gán địa chỉ Internet cho tất cả người dùng rất tốn thời gian

Proxy Server cũng bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài Nó thực hiện chức năng này bằng cách mang lại cho mạng hai định danh: một để dùng trong nội

bộ và một để dùng cho bên ngoài Điều này tạo nên một “bí danh” đối với thế giới bên ngoài, nhờ thế sẽ gây khó khăn nếu người dùng muốn “tự tung tự tác” hay các tay bẻ khoá muốn xâm nhập trực tiếp đến một máy nào đó

Ngoài ra, cách này cũng giúp mạng duy trì được tính “nặc danh tương đối” để những nhà tiếp thị khó lòng lần theo dấu vết những Web site mà người dùng có truy cập đến

Proxy Server còn làm cho việc sử dụng băng thông hiệu quả hơn Với băng thông hạn chế mà yêu cầu truy cập Internet lại rất cao, thì Proxy Server là cách có lợi

a> Lợi ích của việc dùng Proxy Server

Sử dụng chức năng bộ đệm Cache: tăng hiệu suất dịch vụ mạng( user nhận được response nhanh chóng)

Dữ liệu yêu cầu được gởi đến Server chỉ định bằng địa chỉ IP của Proxy Server nên ngăn không cho những truy cập không hợp lệ vào máy user thông qua Internet

Dữ liệu trả lời gửi về từ Server chỉ định được Proxy Server xử lý( kiểm tra virus, lọc dữ liệu để loại bỏ những dữ liệu không mong muốn…) trước khi chuyển về cho user

b> Những khuyết điểm của Proxy

Mặc dù phần mềm prory có hiệu quả rộng rải những dịch vụ lâu đời và đơn giàn như FPT và Telnet, những phần mềm mới và ít được sử dụng rộng raãi thì hiếm khi thấy Thường đó chính là sự chậm trễ giữa thời gian xuất xuất hiện một dịch vụ mới và proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phương pháp thiết kế proxy cho dịch vụ

đó, điều này cho thấy khá khó khăn khi đưa dịch vụ mới vào hệ thống khi chưa có proxy cho nó thì nên đặt bên ngoài fire wall, bởi vì nếu đặt bên trong hệ thống thì đó chính là yếu điểm

Đôi khi cần một proxy khác nhau cho mỗi nghi thức, bởi vì proxy server phải hiểu nghi thức đó để xác định những gì được phép và không được phép Để thực hiện nhiệm

vụ như là client đến server thật và server thật đến proxy client, sự kết hợp , install và config tất cả những server khác nhau đó có thể rất khó khăn

Những dịch vụ proxy thường sửa đổi chương trình client, procedure hoặc cả hai Ngoại trừ một số dịch vụ được thiết kế cho proxying , proxy server yêu cầu sửa đổi với client hăọc procedure, mỗi sự sửa đổi có những bất tiện riêng của nó, không thể luôn luôn

sử dụng công cụ có sẵn với những cấu trúc hiện tại của nó

Proxying dựa vào khà năng chèn vào proxy server giữa server thật và client mà yêu cầu tác động tương đối thẳn thắn cả hai

Những dịch vụ proxy không bảo vệ cho hệ thống ứng với những nghi thức kém chất lượng Như một giải pháp an toàn, proxying dựa vào những khả năng xác định những tác vụ trong nghi thức an toàn Không phải tất cả các dịch vụ đều cung cấp theo khuynh hướng an toàn này, như nghi thức Xwindows cung cấp khá nhiều những tác vụ không an toàn

4 Các dạng Proxy System.

a> Dạng kết nối trực tiếp

Phương pháp đầu tiên được sử dụngtrong kỹ thuật proxy là cho user kết nối trực tiếp đến firewall proxy, sau đó proxy hỏi user cho địa chỉ host hướng đến, đó là một phương pháp brute force sử dụng bởi firewall một cách dễ dàng, và đó cũng là nguyên nhân tại sao nó là phương pháp ít thích hợp

Trước tiên, yêu cầu user phải biết địa chỉ của firewall, kế tiếp nó yêu cầu user nhập vào hai địa chỉ hai địa chỉ cho mỗi kết nối: địa chỉ của filewall và địa chỉ đích hướng đến Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy tính của user điều đó tạo sự kết nối cho user, bởi vì chúng không biết như thế nào điều khiển những yêu cầu đặc biệt cho sự truyền thông với proxy

b> Dạng thay đổi Client

Phương pháp kế tiếp sử dụng proxy setup phải thêm vào những ứng dụng tại máy tính của user User thực thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông qua firewall User với ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi User cho địa chỉ của host hướng tới Những ứng dụng thêm vào biết địa chỉ firewall từ file config cuc bộ, setup sự kết nối đến ứng dụng proxy trên firewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng Phương pháp này rất khó hiệu quả và có khả năng che dấu người sử dụng, tuy nhiên cần có một ứng dụng client thêm vào cho mỗi dịch vụ mạng là một đặt tính trở ngại

c> Proxy vô hình

Một phương pháp phát triển gần đây cho phép truy xuất đến proxy, trong vài hệ thống firewall được biết như proxy vô hình Trong mô hình này, không cần có những ứng dụng thêm vào với user và không kết nối trực tiếp đến firewall hoặc biết rằng firewall có tồn tại Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài được chỉ đường thông qua firewall

Như những packet nhập vào firewall, tự động chúng được đổi hướng đến proxy đang chờ Theo hướng này,firewall thực hiện rất tốt việc giả như host đích

Khi kết nối tạo ra firewall proxy , client applycation nghỉ rằng nó được kết nối đến server thật, nếu được phép, proxy applycation sau đó thực hiện hàm proxy chuẩn trong việc tạo kết nối thứ hai đến server thật

Một proxy server, giống như firewall (bức tường lửa), được thiết kế để bảo vệ tài nguyên trong các mạng cục bộ khi nối kết các mạng khác như mạng Internet

Chúng ta cũng khó phân biệt sự khác nhau giữa proxy server và firewall Bạn có thể nghĩ rằng proxy là dịch vụ chạy trên firewall, nơi mà firewall là một server vật lí nằm giữa Internet và mạng cục bộ

Tổng quát, firewall cung cấp điều khiển mở rộng để lọc và giám sát thông tin ra vào mạng

Ví dụ, firewall có thể thực thi dịch vụ lọc gói dữ liệu ở tầng mạng (network layer)

để đóng gói dữ liệu mà có địa chỉ nguồn riêng biệt hay dành cho một dịch vụ nào đó Dịch vụ proxy chạy trên firewall ở mức ứng dụng cung cấp một hệ thống điều khiển truyền tải tinh vi

Dịch vụ proxy là dịch vụ một chiều ngăn cản người dùng Internet cố tình truy cập mạng cục bộ

Các dịch vụ này được thiết kế cho người dùng dịch vụ mạng cục bộ Chỉ có những gói dữ liệu được yêu cầu của người dùng mạng cục bộ mới được truyền qua qua firewall

Ví dụ, giả sử một trạm làm việc của mạng cục bộ muốn truy cập vào một Web server trên Internet

Dịch vụ HTTP proxy chạy trên firewall chặn đứng gói dữ liệu HTTP của người dùng, đóng gói lại dữ liệu và truyền yêu cầu đã đóng gói lại tới Web server trên Internet Gói dữ liệu chứa địa chỉ nguồn IP của proxy server, không phải địa chỉ IP của trạm làm việc của người dùng

Nhìn bề ngoài, chúng giống như là tất cả các gói dữ liệu được truyền từ proxy server, nơi cung cấp một mức an toàn bảo mật tất cả các địa chỉ bên trong

Khi một Web server trả lời các yêu cầu, proxy server nhận và chuyển các trả lời nầy đến các trạm làm việc cục bộ

Thuận lợi của phương pháp nầy là các mạng cục bộ không phải thích ứng với các chuẩn đánh địa chỉ của Internet, một yếu tố quan trọng khi mà Internet chạy không dựa trên địa chỉ IP

Vì lý do an toàn, các gói dữ liệu đi vào sẽ được kiểm virút hay khả năng thay đổi

dữ liệu bởi những kẻ phá hoại bên ngoài Proxy server có thể tạo một bộ mã hóa trên Web server ngăn sự phá hoại các tài nguyên hữu dụng

Proxy server cũng có chức năng bộ đệm quan trọng Vì nó là vị trí trung tâm để người dùng mạng cục bộ có thể truy cập mạng Internet, một proxy server có thể lưu trữ các tài liệu được truy cập thường xuyên trên Internet và cho phép người dùng mạng cục

bộ truy cập chúng khi cần thiết

Ví dụ như, hàng ngàn người dùng có thể truy cập mục hài Dilbert mỗi ngày Nếu một công ty có một máy proxy server lưu trữ, mục hài nầy sẽ được lưu trữ đầu tiên trong ngày

Người dùng sau sẽ truy cập mục nầy từ máy lưu trữ nội bộ mà không phải từ Web site của Dilbert.Vì proxy server kiểm soát các gói dữ liệu cho người dùng mạng cục bộ nên nó cũng dễ dàng kiểm tra virút, lọc dữ liệu và điều khiển truy cập

Các gói chứa dữ liệu không mong muốn có thể được loại bỏ Những proxy server cung cấp dịch vụ proxy cho các ứng dụng như HTTP, FTP, Telnet, và các giao thức Internet khác Có những proxy tương thích cho nhiều ứng dụng khác nhau Trường hợp đặc biệt, các trạm làm việc phải chạy phần mềm đặc biệt để truy cập firewall

Ví dụ, proxy server của Microsoft cho phép máy chạy giao thức IPX (Internetowrk Packet Exchange) truy cập proxy server với phần mềm đặc biệt

Ngoài ra, các proxy server có thể sử dụng SOCKS, một giao thức xác nhận, đòi hỏi trạm làm việc phải có phần mềm để truy cập SOCKS

SOCKS là một hệ thống proxy tổng quát cung cấp các đặc tính an toàn mở rộng như kiểm toán, quản trị, sửa lỗi và báo động

Nó được định nghĩa trong IETF (Internet Engineering Task Force) RFC 1928, mà bạn có thể đọc ở các địa chỉ bên dưới Nhiều proxy server thương mại dựa trên SOCKS

Proxy là một Internet server làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo

sự an toàn cho việc truy cập Internet của các máy khách, còn gọi là khách hàng sử dụng

dịch vụ internet Trạm cài đặt proxy gọi là proxy server Proxy hay trạm cài đặt proxy có

địa chỉ IP và một cổng truy cập cố định Ví dụ: 123.234.111.222:80 Địa chỉ IP của proxy trong ví dụ là 123.234.111.222 và cổng truy cập là 80

Một số mạng gia đình, mạng nội bộ công ty và các nhà cung cấp dịch vụ Internet

(ISP) sử dụng proxy servers Proxy servers đóng vai trò như một “middleman” (tạm

được gọi là người môi giới (trung gian hòa giải)) giữa hai điểm cuối của một kết nối mạng khách/chủ Proxy server làm việc với các trình duyệt và máy chủ, hoặc các ứng dụng bằng cách hỗ trợ các giao thức mạng nằm bên dưới như HTTP

5 Các tính năng của Proxy Servers.

Proxy server cung cấp ba chức năng chính:

1 Tường lửa và filtering

2 Chia sẻ kết nối

3 Caching

Các tính năng của Proxy server rất quan trọng trên các mạng diện rộng giống như các mạng nội bộ của công ty và các mạng ISP Càng nhiều người dùng trong một mạng LAN và càng cần giữ bảo mật cho thông tin riêng tư thì chức năng của Proxy server càng cần thiết

Tường lửa và Filtering

Proxy servers làm việc ở lớp Application, lớp 7 trong mộ hình tham chiếu OSI Chúng không được phổ biến như các tường lửa thông thường mà làm việc ở mức thấp hơn và hỗ trợ lọc ứng dụng một cách độc lập

Proxy servers cũng khó khăn hơn trong việc cài đặt và duy trì so với tường lửa Mặc dù vậy, nếu proxy server được cấu hình đúng cách sẽ cải thiện được vấn đề bảo mật và hiệu suất cho mạng