Giải pháp chia sẻ và bảo mật mạng với Proxy Server Khái quát Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway, theo đó một bộ chơng trình proxy đợc đặt ở gateway ngăn cách một mạng bên trong (Intranet) với Internet. Bộ chơng trình proxy đợc phát triển dựa trên bộ công cụ xây dựng Internet Firewall TIS (Trusted Information System), bao gồm một bộ các chơng trình và sự đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một firewall. Bộ chơng trình đợc thiết kế để chạy trên hệ UNIX sử dụng TCP/IP với giao diện socket Berkeley. Bộ chơng trình proxy đợc thiết kế cho một số cấu hình firewall, theo các dạng cơ bản: dual-home gateway, screened host gateway, và screened subnet gateway. Thành phần Bastion host trong Firewall, đóng vai trò nh một ngời chuyển tiếp thông tin, ghi nhật ký truyền thông, và cung cấp các dịch vụ, đòi hỏi độ an toàn cao. Phần mềm firewall - proxy SERVER Bộ chơng trình proxy gồm những chơng trình mức ứng dụng (application- level programs), dùng để thay thế hoặc là thêm vào phần mềm hệ thống. Đối với mỗi dịch vụ, cần có một phần mềm tơng ứng làm nhiệm vụ lọc các bản tin. Trên cơ sở phân tích cấu trúc và nội dung thông, bản tin này sẽ đợc cho đi qua hoặc cấm, tuỳ theo chính sách bảo vệ. Bộ chơng trình proxy có những thành phần chính bao gồm: SMTP Gateway - Proxy server cho dịch vụ SMTP (Simple Mail Tranfer Protocol) FTP Gateway - Proxy server cho dịch vụ Ftp Telnet Gateway - Proxy server cho dịch vụ Telnet HTTP Gateway - Proxy server cho dịch vụ HTTP (World Wide Web) Rlogin Gateway - Proxy server cho dịch vu rlogin Plug Gateway - Proxy server cho dịch vụ kết nối server tức thời dùng giao thức TCP (TCP Plug-Board Connection server) SOCKS - Proxy server cho các dịch vụ theo chuẩn SOCKS NETACL - Điều khiển truy nhập mạng dùng cho cac dịch vụ khác IP filter ? Proxy điều khiển mức IP SMTP Gateway - Proxy server cho cổng SMTP Chơng trình SMTP Gateway đợc xây dựng trên cơ sở sử dụng hai phần mềm smap và smapd, dùng để chống lại sự truy nhập thông qua giao thức SMTP. Nguyên lý thực hiện là chặn trớc chơng trình mail server nguyên thuỷ của hệ thống, không cho phép các hệ thống bên ngoài kết nối trực tiếp với mail server. Vì ở trong mạng tin cậy mail server thờng có một số quyền u tiên khá cao. Trên hệ điều hành UNIX chơng trình mail server đợc thực hiện bởi sendmail. Khi một hệ thống ở xa nối tới cổng SMTP. Chơng trình smap sẽ dành quyền phục vụ và chuyển tới th mục dành riêng và đặt user-id ở mức bình thờng (không có quyền u tiên). Mục đích duy nhất của smap là đối thoại SMTP với các hệ thống khác, thu lợm mail, ghi vào đĩa, ghi nhật ký, và kết thúc. Smapd thờng xuyên quét th mục này, khi phát hiện có th sẽ chuyển dữ liệu cho sendmail để phân phát vào các hòm th cá nhân hoặc chuyển tiếp tới các mail server khác. Nh vậy, một user lạ trên mạng không thể kết nối trực tiếp với Mail Server. Tất cả các thông tin đi theo đờng này hoàn toàn có thể kiểm soát đợc. Tuy nhiên, chơng trình cũng không thể giải quyết vấn đề giả mạo th hoặc các loại tấn công bằng đờng khác. FTP Getway Proxy server cho dịch vụ FTP Proxy server cho dịch vụ FTP cung cấp khả năng kiểm soát truy nhập dịch vụ FTP dựa trên địa chỉ IP và hostname, và cung cấp điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá hoặc ghi nhật ký bất kỳ lệnh FTP nào. Các địa chỉ đích của dịch vụ này cũng có thể tuỳ chọn đợc phép hay bị cấm. Tất cả các sự kết nối và dung lợng dữ liệu chuyển qua đều bị ghi nhật kí lại. FTP Gateway tự bản thân nó không đe doạ an toàn của hệ thống Firewall, bởi vì nó chạy chroot tới một th mục rỗng và không thực hiện một thủ tục vào ra file nào cả ngoài việc đọc file cấu hình của nó. FTP Server chỉ cung cấp dịch vụ FTP, mà không quan tâm đến ai có quyền hay không có quyền kết xuất (download) file. Do vậy, việc xác định quyền phải đợc thiết lập trên FTP Gateway và phải thực hiện trớc khi thực hiện việc kết xuất (download) hay nhập (upload) file. Ftp Gateway nên đợc cấu hình dựa theo chính sách an toàn của mạng. Bộ chơng trình proxy cho phép ngời quản trị mạng cung cấp cả dịch vụ ftp và ftp proxy trên cùng một hệ thống nhng việc làm này là không đảm bảo an ninh của firewall. Tóm lại, sử dụng FTP Gateway có thể ngăn ngừa mọi sự thâm nhập vào mạng qua cổng FTP một cách khá linh hoạt (cho phép ngăn cản từng địa chỉ hay toàn bộ mạng) và cũng kiểm soát việc truy nhập tới từng khả năng nh download hay upload thông tin. Telnet Gateway - Proxy server cho Telnet Telnet Gateway là một proxy server quản lý truy nhập mạng dựa trên địa chỉ IP và/hoặc hostname, và cung cấp sự điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá bất kỳ đích nào. Tất cả các sự kết nối dữ liệu chuyển qua đều đợc ghi nhật ký lại. Mỗi một lần user nối tới Telnet Gateway, ngời sử dụng phải lựa chọn phơng thức kết nối. Telnet Gateway không phơng hại tới an toàn hệ thống, vì nó chỉ hoạt động trong một phạm vi cho phép nhất định. Cụ thể, hệ thống sẽ chuyển điều kiển tới một th mục dành riêng. Đồng thời cấm truy nhập tới các th mục và file khác. Telnet Gateway đợc sử dụng để kiểm soát các truy nhập vào hệ thống mạng nội bộ. Các truy nhập không đợc phép sẽ không thể thực hiện đợc còn các truy nhập hợp pháp sẽ bị ghi lại nhật ký về thời gian truy nhập và các thao tác đã thực hiện. HTTP Gateway - Proxy server cho web HTTP Gateway là một Proxy Server quản lý truy nhập hệ thống qua cổng HTTP (Web). Chơng trình này, dựa trên địa chỉ đích và địa chỉ nguồn để ngăn cấm hoặc cho phép yêu cầu truy nhập đi qua. Đồng thời căn cứ và mã lệnh của giao thức HTTP, phần mềm này sẽ cho phép thực hiện hoặc loại bỏ yêu cầu. Các yêu cầu truy nhập đều đợc ghi vào nhật ký nhằm quản lý và thống kê. Với cơ chế đón nhận thông tin trực tiếp từ cổng HTTP, phần mềm này đảm bảo kiểm soát đợc toàn bộ nhng truy nhập vào hệ thống thông qua Web. Đồng thời việc xử lý bản tin, thực hiện trong bộ nhớ, nên không ảnh hởng đến hệ thống. Rlogin Gateway - Proxy server cho rlogin Các terminal truy nhập qua thủ tục BSD rlogin đợc kiểm soát bởi rlogin gateway. Chơng trình cho phép kiểm tra và điều khiển truy nhập mạng tơng tự nh telnet gateway. Rlogin client có thể chỉ ra một hệ thống ở xa ngay khi bắt đầu nối vào proxy. Chơng trình sẽ hạn chế yêu cầu tơng tác giữa user với máy. Plug Gateway - TCP Plug-Board Connection server Firewall cung cấp các dịch vụ thông thờng nh Usernet news. Ngời quản trị mạng có thể chọn hoặc là chạy dịch vụ này ngay trong firewall, hoặc cài đặt một proxy server cho dịch vụ này. Do dịch vụ News chạy trực tiếp trên firewall thì dễ gây lỗi hệ thống, nên cách an toàn hơn là sử dụng proxy. Plug gateway đợc thiết kế để kiểm soát dịch vụ Usernet News và một số dịch vụ khác nh Lotus Notes, Oracle, etc. Plug gateway dựa trên địa chỉ IP hoặc hostname, sẽ cho phép kiểm soát tất cả các truy nhập hệ thống thông qua các cổng dịch vụ đợc đăng ký. Trên cơ sở đó sẽ cho phép hoặc cấm các yêu cầu truy nhập. Tất cả yêu cầu kết nối bao gồm cả dữ liệu có thể đợc ghi lại nhật ký để theo dõi và kiểm soát. SQL Gateway - Proxy Server for SQL-Net SQL Net sử dụng giao thức riêng không giống nh của News hay Lotus Notes, Do vậy, không thể sử dụng Plug Gateway cho dịch vụ này đợc. SQL Gateway đợc phát triển từ Plug Gateway và dành riêng cho SQL-Net. Plug gateway dựa trên địa chỉ IP hoặc hostname, sẽ cho phép kiểm soát tất cả các truy nhập hệ thống thông qua các cổng dịch vụ đợc đăng ký. Trên cơ sở đó sẽ cho phép hoặc cấm các yêu cầu truy nhập. Tất cả yêu cầu kết nối bao gồm cả dữ liệu có thể đợc ghi lại nhật ký để theo dõi và kiểm soát. SOCKS Gateway - Proxy server cho các dịch vụ theo chuẩn SOCKS SOCKS là giao thức kết nối mạng giữa các máy chủ cùng hỗ trợ giao thức này. Hai máy chủ khi sử dụng giao thức này sẽ không cần quan tâm tới việc giữa chúng có thể nối ghép thông qua IP hay không. SOCKS sẽ địch hớng lại các yêu cầu ghép nối từ máy chủ đầu kia. Máy chủ SOCKS sẽ xác định quyền truy nhập và thiết lập kênh truyền thông tin giữa hai máy. SOCKS Gateway dùng để chống lại các truy nhập vào mạng thông qua cổng này. NETACL - Công cụ điều khiển truy nhập mạng Các dịch vụ thông thờng trên mạng không cung cấp khả năng kiểm soát truy [...]... khả năng và phạm vi cũng khác nhau Do khuôn khổ của giải pháp này là thiết lập Firewall cho một mạng đã có, nên những yếu tố về thiết bị, phần mềm, đờng truyền trong mạng, đợc xem nh đã có và không đề cập đến nữa Nếu cần chúng tôi sẽ trình bày trong bản giải pháp về mạng Kết nối đơn trc tiếp Bộ Firewall đợc đặt giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn... chọn giải pháp Mục đích Một bộ Firewall bao gồm một hệ thống phần mềm máy chủ mạnh với hệ điều hành cụ thể, ghép nối vào mạng thông qua các thiết bị mạng: Hub, Switch, Router, Do vậy việc la chọn máy chủ, thiết bị mạng, hệ điều hành và phần mềm bảo về và kiểm soát sẽ quyết định khả năng ứng dụng, tốc độ truy nhập và giá thành thực hiện Trong phần này chúng tôi sẽ trình bày 3 phơng án ghép nối Đối với. .. Internet là mạng bên ngoài) Tất cả các đờng truyền đi ra hoặc đi và đều phải thông qua Firewall Mô hình mạng Đờng truyền từ ngoài đợc nối vào router, qua HUB vào máy chủ Firewall, sau đó đi vào mạng bên trong Tất cả các gói tin từ ngoài vào sẽ đợc Firewall Server đón nhận, kiểm tra nếu hợp lệ sẽ chuyển tiếp vào bên trong Ngợc lại, nếu không hợp lệ sẽ bi loại bỏ ngay Tơng tự nh vậy đối với đối với các yêu... tiết mô hình ghép nối, yêu cầu phần cứng và những điểm lợi và điểm bất lợi Các giải pháp thực hiện Với một yêu cầu bảo vệ và kiểm soát hệ thống, có một số phơng phát khả thi Tuỳ thuộc vào chiến lợc và mức độ yêu cầu, có thể chọn một trong các mô hình kết nối dới đây: Kết nối trực tiếp đơn Kết nối song song Kết nối gián tiếp Đối với mỗi mô hình, thiết bị phần cứng và phần mềm là khác nhau, kéo theo chi... bộ 2 hệ thống trên máy Kết nối gián tiếp Giải pháp dùng dùng để giám sát truy nhập giữa hai mạng Intranet và Internet mà không làm ảnh hởng tới hoạt động hiện tại của mạng Do vậy, sẽ không có khả năng ngăn cấm truy nhập Bộ Firewall đợc đặt song song với đờng truyền giữa mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài) Các thông tin trao đổi... đợc nối vào router, qua Hub đến máy chủ, sau đó đi vào mạng bên trong Tất cả các gói tin từ ngoài vào sẽ đợc Server đón nhận, kiểm tra nếu hợp lệ sẽ chuyển tiếp vào bên trong Ngợc lại, nếu không hợp lệ sẽ bị loại bỏ Tơng tự nh vậy đối với các yêu cầu truy nhập từ trong ra cũng bị kiểm soát Phần mềm Firewall sẽ đợc cài trên 2 máy chủ (server) Tuy thuộc vào mục đích kiểm soát, nhà quản lý có thể mua toàn... giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài) Tất cả các đờng truyền đi ra hoặc đi và đều phải thông qua Firewall Mô hình này sử dụng hai bộ Firewall thiết lập theo chế độ song hành hoặc kiểu dự phòng (main-standby) Trờng hợp một bộ có sự có thì bộ kia sẽ đảm nhận toàn bộ công việc Mô hình mạng Đờng truyền từ ngoài đợc nối vào router,... Chi phí thực hiện thấp hơn so với các giải pháp khác Có khả năng kiểm soát toàn bộ việc truy nhập từ ngoài vào, và từ trong ra Cho phép thống kê và quản lý, đánh giá việc truy nhập hệ thống Hỗ trợ tốt cho quyết định của nhà quản lý hệ thống Cấu hình hệ thống đơn giản Nhợc điểm Khi Máy chủ có sự cố (treo, hỏng vật lý, ) thì toàn bộ việc truy nhập từ trong ra cũng nh từ ngoài vào sẽ bị dừng lại Kết nối... đồng thời chuyển đến cho Firewall Mô hình mạng Giữa đờng truyền nối hai mạng sẽ đợc đặt một thiết bị chuyển mạch Thiết bị này có chức năng giữ nguyên luồng thông tin trên đờng truyền hiện tại Đồng thời tạo một mới đi vào Firewall với nội dung giống hệt Luồng thông tin này bao gồm cả luồng từ ngoài vào và từ trong ra Phần mềm Firewall sẽ đợc cài trên máy chủ (server) , dùng để đón nhận tất cả thông tin... anh ta, trong đó bao gồm tên nhóm, tên đầy đủ của ngời dùng, lần truy cập mới nhất Mật khẩu không mã hoá (Plain text password) đợc sử dụng cho ngời dùng trong mạng để việc quản trị đợc đơn giản Mật khẩu không mã hoá không nên dùng với những ngòi sử dụng từ mạng bên ngoài Ngời dùng trong cơ sở dữ liệu của có thể đợc chia thành các nhóm khác nhau đợc quản trị bởi quản trị nhóm là ngời có toàn quyền trong . Giải pháp chia sẻ và bảo mật mạng với Proxy Server Khái quát Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway, theo đó một bộ chơng trình proxy đợc đặt. FTP Gateway - Proxy server cho dịch vụ Ftp Telnet Gateway - Proxy server cho dịch vụ Telnet HTTP Gateway - Proxy server cho dịch vụ HTTP (World Wide Web) Rlogin Gateway - Proxy server cho dịch. nối. Đối với mỗi ph- ơng án, chúng tôi sẽ phân tích chi tiết mô hình ghép nối, yêu cầu phần cứng và những điểm lợi và điểm bất lợi. Các giải pháp thực hiện Với một yêu cầu bảo vệ và kiểm