Trang 1 CHƯƠNG 7BẢO MẬT: FIREWALL, PROXY SERVER VÀ ROUTERThS.. Trần Bá NhiệmWebsite: sites.google.com/site/tranbanhiemEmail: tranbanhiem@gmail.comNội dung• Giới thiệu• Xây dựng hệ thống
6/29/2011 CHƯƠNG BẢO MẬT: FIREWALL, PROXY SERVER VÀ ROUTER ThS Trần Bá Nhiệm Website: sites.google.com/site/tranbanhiem Email: tranbanhiem@gmail.com Nội dung • Giới thiệu • Xây dựng hệ thống mạng từ đầu • Xây dựng hệ thống mạng doanh nghiệp • Tunneling mạng doanh nghiệp • Vấn đề cần tránh xây dựng hệ thống mạng 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 6/29/2011 Giới thiệu • Thảo luận vấn đề thực tế thiết lập mạng • Nhìn nhận việc thiết kế/xây dựng hệ thống mạng lăng kính lập trình • Chia làm phần: – Giải thích cách tạo mạng tự chủ, máy độc lập – Nghiên cứu thiết bị trung gian có vai trò quan trọng mạng Internet: gateways, router, firewall,… 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router Xây dựng hệ thống mạng từ đầu • Chọn kiến trúc mạng • kiểu kết nối vật lý chính: UTP, BNC, wireless • UTP dành cho dạng cấu trúc star Trong mạng nhỏ máy tính dùng modem thiết bị khác kết nối với ISP, máy khác dùng chung kết nối Với mạng lớn router kết nối trực tiếp với đường dây tới ISP 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 6/29/2011 Xây dựng hệ thống mạng từ đầu • BNC dùng cho kiến trúc bus Hiện sử dụng • Người dùng mong đợi chế chia sẻ file mạng Để hạn chế quyền truy xuất nên ý đến Permissions 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router Thiết lập VPN • Virtual Private Network (VPN) cho phép client từ xa truy xuất an tồn vào mạng LAN • Việc thiết kế bảo đảm người dùng từ xa “trong suốt” việc truy xuất để chia sẻ file, dùng máy in chung,… • VPN hoạt động giao thức PPTP L2TP 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 6/29/2011 Xây dựng hệ thống mạng thương mại • Trong thực tế nay, việc cấp phát cho người dùng địa public để truy cập trực tiếp vào Internet việc khơng thể làm (do khan địa chỉ) • Khắc phục: nhóm người dùng kết nối với gateway, từ có kết nối trực tiếp đến Internet 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router Xây dựng hệ thống mạng thương mại • Gateway từ tổng quát thiết bị kết nối mạng LAN Internet • Gateway máy tính thiết bị chuyên dụng hoạt động độc lập • Proxy router gateway • Proxy dạng phần mềm chạy máy tính • Router thiết bị phần cứng chun dụng hoạt động độc lập 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 6/29/2011 Router • Proxy có nhược điểm hiệu suất hoạt động • Router xử lý mức gói tin (packet) nên tốc độ xử lý vượt trội so với proxy Nó hướng gói đến hướng, thay gửi cách mù quáng đến router • Router gần “trong suốt” client nên độ linh hoạt cao 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router Router • Router phải có interface, chắn có dùng để nối tiếp đến mạng WAN(kết nối nối ISP) Mỗi port LAN nối vào máy tính hub, switch • Các vấn đề cần thu thập từ ISP: – Địa IP cố định phép dùng – IP default gateway – Subnet mask? – Primary secondary DNS 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 10 6/29/2011 Router • Mỗi máy tính nằm sau router phải thiết lập địa default gateway DNS server đến giá trị gateway 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 11 Firewall • Firewall thực chức kiểm sốt dịng liệu vào khỏi mạng LAN với tốc độ xử lý cao • Firewall thực phần mềm phần cứng 29/06/2011 Chương 7: Bảo mật firewall, proxy 12 server, router 6/29/2011 Proxy • Proxy phương án xem xét ta có kinh phí số lượng host truy cập nhỏ • Proxy làm chậm tốc độ truy cập tương đối rõ • Thiết kế cách sử dụng máy tính đóng vai trị proxy, chia sẻ kết nối Internet cho máy khác mạng 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 13 Proxy • Tất máy khác cần phải biết địa IP máy proxy • Cách thiết lập IE: Tools→Internet Options→Connections→LAN Settings→Use a proxy server • dạng proxy: – Proxy mức ứng dụng – Proxy mức mạch điện tử 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 14 6/29/2011 Proxy • Proxy mức ứng dụng thông thường chấp nhận giao thức HTTP • Proxy mức mạch điện tử chấp nhận giao thức IP Phổ biến thuộc loại SOCKS (xem RFC 1928) • Để dùng SOCKS client phải chứng thực 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 15 NAT • Network address translator (NAT) • NAT chuyển đổi địa IP từ private thành public gói tin khỏi mạng LAN, ghi nhận vào bảng chuyển đổi NAT • Khi gói tin phản hồi đến, NAT tra bảng chuyển đổi biết IP private để chuyển đến host bên 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 16 6/29/2011 NAT • NAT phát triển hãng CISCO, trở thành chuẩn Internet (xem RFC 1631) • Static NAT kiểu mà địa private có địa public tương ứng, điều có nghĩa máy tính phân biệt mạng ngoài, chưa phép truy cập đến 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 17 NAT • Dynamic NAT kiểu mà địa private ánh xạ đến địa public nhất, khác tham số bổ sung local port • NAT cần lưu thơng tin gói tin gửi • Một mạng có 100 máy tạo triệu phiên làm việc đồng thời 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 18 6/29/2011 Tunneling mạng doanh nghiệp • Nếu khách hàng có mạng hoạt động ứng dụng khơng làm việc khơng thể bỏ qua vấn đề • Tình có thể: ví dụ ứng dụng hội thảo trực tuyến khơng làm việc sau firewall, có phương án giải quyết: – chuyển server firewall 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 19 Tunneling mạng doanh nghiệp – thiết lập port chuyển qua tunnel đến firewall (hoặc router) – liệu tung lên máy chủ proxy để tránh firewall • Hai phương án đầu triển khai server • Phương án sau phải thuê server độc lập chuyên dụng lập trình 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 20 10 6/29/2011 Proxy tunneling • Không giống router, proxy không ‘trong suốt” client • Cần phải chỉnh sửa code để tham chiếu đến proxy • Khai báo sử dụng proxy thông qua lớp WebProxy HTTPWebRequest 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 21 Proxy tunneling WebProxy myProxy= new WebProxy("proxyserver",8080); myProxy.BypassProxyOnLocal = true; String url = "http://www.yahoo.com"; HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create( url); request.Proxy = myProxy; 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 22 11 6/29/2011 Firewall tunneling • Nếu firewall thiết lập block tất cổng, sau bạn thay đổi firewall cho phép truy cập vào cổng u cầu • Truy cập firewall thơng qua địa web: http://192.168.1.1 tương tự, thông qua kết nối serial • Một số router cho phép thiết lập cổng chuyển liệu thẳng mà không qua firewall 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 23 Firewall tunneling • Tổng qt, khơng muốn truy cập vào firewall muốn cung cấp giải pháp thân thiện người dùng ràng buộc liệu proxy Máy tính sau firewall mở kết nối TCP với proxy, liệu từ client đến proxy chuyển qua kết nối Đây kỹ thuật mà ứng dụng Instant Messenger dùng 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 24 12 6/29/2011 Phịng tránh • Phịng tránh ln cách tốt để xảy cố tìm cách chữa trị • Một số vấn đề cần phòng tránh bao gồm: – Xung đột port – Vấn đề cấp phát IP động 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 25 Xung đột port • Nếu phần mềm khơng thể chạy port mặc định nó, ta nghĩ đến việc chuyển sang port khác, nhắc nhở cho người dùng chuyển sang port khác Nếu không ta gặp vấn đề: – Người dùng chắn chạy phần mềm dùng trùng port với bạn họ không muốn ngừng phần mềm 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 26 13 6/29/2011 Xung đột port – Firewall thiết lập phép lưu thơng qua số port, chí trường hợp người dùng phần mềm không dùng ISP họ có • Các client chờ kết nối vào ứng dụng cần phải biết port thay đổi Bạn đơn giản cần hiển thị hộp thoại cho phép người dùng nhập vào port mới, dùng DNS request để biết server lắng nghe port 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 27 Vấn đề cấp phát IP động • Đây vấn đề thường gặp phải • Các ứng dụng thường mắc sai lầm giả định địa IP cục tĩnh suốt hoạt động • Cách giải dùng chế theo dõi IP • Phần mềm “khơng IP” dùng kiểu ánh xạ địa IP động từ DNS name • Khi post địa IP cần bảo đảm địa public Địa 192.168.0.1 cho client ý tưởng tốt giới bên 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 28 14 6/29/2011 Bài tập • Đọc nghiên cứu tài liệu RFC giới thiệu chương • Vận dụng khả cài đặt hệ thống ảo máy tính để thực chế hoạt động thiết bị router, firewall,… 29/06/2011 Chương 7: Bảo mật firewall, proxy server, router 29 15