Nghiên cứu hệ thống đảm bảo an toàn khi kết nối Internet

Nghiên cứu hệ thống đảm bảo an toàn khi kết nối Internet

CHUONG TRINH KHOA HOC CONG NGHE ĐIỆN TỦ- TIN HỌC - VIỄN THÔNG ĐỂ TĂI KHCN - 01 - 02 NGHIÍN CÚU HỆ THỐNG ĐẢM BẢO AN TOĂN KHI NOI MANG INTERNET Chủ nhiệm đẻ tăi PTS Dĩ Xuan Tho Thănh viín tham gia đề tăi PTS Nguyĩn Van Ngọc PTS H6 Van Kanh ; KS Nguyĩn Hitu Binh ~~~ KS Trdn Van Cam KS Dang Thu Huong

CUC KHOA HOC VIEN THONG TIN HOC - BO CONG AN

HĂ NỘI, 6/1998

PHAN | Chuong I Chương H Chương HH Chương IV Chương V Chương VI Chương VII PHAN H PHAN Ii Chuong I Chương H Chương TH MỤC LỤC

BAO CAO VE VAN DE AN NINH CUA MOT SO DICH VU

TREN MANG INTERNET O VIET NAM

DAM BAO AN TOAN THONG TIN CHO CAC MANG MAY TINH KHI KẾT NỔI VỚI INTERNET

Giới thiệu chung về câc biện phâp đảm bảo an toăn thong tin cho câc mạng mây tính khi kết nối với Internet

EIREWALL - Giải phâp đảm bảo an toăn cho kết nối mạng

Internet - Intranet : :

1- Câc nguyín tắc trong thiết kế hệ thống bảo vệ mạng

II- EIREWALL - Một giải phâp đảm bảo an toăn cho mạng Bức tường lửa dựa trín hệ thống LINUX

Chuong trinh FIREWALL "GUARDIAN" MICROSOFT PROXY SERVER

Chương trình PROXY dựa trín bộ công cụ TIS Chương trình PROXCY dựa trín bộ công SOCKS MA HOA DU'LIEU BAO MAT THONG TIN TRONG MANG HE THONG THUTIN DIEN TU E-MAIL

Vấn để kiểm soât tu động trín hệ thống E-MAIL

1- Giới thiệu tổng quan về kiểm sôt thơng tín trín Internet 'I1- Phương phâp giải băi tôn tơng qt :

IV- Những kết luận vă đề nghị

Hướng dẫn sử dụng chương trinh E-MAIL

I- Khoi dong vă thoât khỏi E-MAL,

II- Thay đổi mật khẩu

PHAN MO Daa

Internet lă mạng của câc mạng mây tính, nó xuất phât từ Mỹ vă hiện tại lực

lượng tham gia kể cả chủ động vă thụ động cũng nhiều nhất lă ở Mỹ Song nó đê được câc nước trín thế giới tham gia rất nhiệt tình Số lượng câc mạng kết nối với Internet, số lượng cấc mây chủ đặt trín mạng tăng rất nhiều Rieng chỉ tính số

lượng người sử dụng, số tăng có thời kỳ hăng 100% hăng thâng Điều đó đê nói lín

sự hấp dẫn của mạng mây tính năy

Hiện nay Internet được coi lă một mạng truyền thông có hiệu quả, nhanh

chóng, rẻ tiền Đồng thời nó cũng lă một "thư viện" lớn nhất thế giới, trong thư

viện nầy có rất nhiều tăi liệu quý giâ có ích cho câc nhă hoạt động chính trị để góp phần định hướng, hoạch định chính sâch quốc gia, cho câc nhă hoạt động khoa

học, kỹ thuật trín những lĩnh vực khâc nhau

Song trín đó cũng có nhiều tăi liệu "xa lạ” với cuộc sống, câch suy nghĩ, thuần phong mỹ tục của Việt Nam ta, từ câc tăi liệu của câc nhóm người Việt hai ngoại chống đối han học với cuộc sống mới của chúng ta, đến câc tăi liệu của câc nhđn vật bất đồng chính kiến vă của cả câc tổ chức quốc tế, vă câc câ nhđn người nước ngoăi nhìn theo một chiều muốn ấp đặt câch nghĩ của họ cho chúng ta Trín đó còn có nhiều tăi liệu không phù hợp với thuần phong mỹ tục của Việt Nam ta,

như tuyín truyền bạo.lực, tình dục ¬

So sânh cđn đối việc sử dụng công nghệ mới năy để phục vụ cho công cuộc công nghiệp hoâ, hiện đại hoâ xđy dựng đất nước ta, Đảng vă Chính phủ đê đồng ý cho từng bước sử dụng Internet theo nguyín tắc "mỡ dần dần, kiểm soât đến đđu mở đến đấy", trong vòng kiểm soât của cơ quan chức năng Do đó việc nghiín cứu vấn đề đảm bảo an toăn khi kết nối với Internet lă rất quan trọng vă cần thiết, để góp phần đảm bảơ sử dụng Internet có hiệu quả vă an toăn

Trong việc nghiín cứu câc-khả năng gđy nguy-hại cho chúng ta khi.sử dụng Internet, chúng tôi thấy có hai loại: chủ động vă thụ động Loại chủ động có thể họ chủ động gửi câc thông tin "xa lạ” trín văo nhiều địa chỉ của nước ta, thảm nhập trâi phĩp văo câc hệ thống mây tính nối với Internet của chúng ta để lấy câc thông tin, phâ hoại sự vận hănh của chúng Loại thụ động lă chúng đặt câc tăi liệu tại câc mây chủ ở ngoăi, vă có câc hướng dẫn đẻ người dùng coa thẻ lấy câc thông tin "đó về -

BAO CAO VE VAN DE AN NINH

ctis MOT SO DICH VU TREN MANG INTERNET O VIET NAM

1 Khảo sât thực tế qua mội thời gian triĩn khai dich vu INTERNET o Vist

Nam: ,

DICH VU THUDIEN TỬ:

INTERNET với dịch vụ thư điện từ được đưa văo khai thâc sử dụng từ năm

1994 Theo thống kẻ số lượng thư lưu chuyển trín mạng INTERNET Tại Hă nội: Năm 1995 trung bình 700 - 900 thu ngiy

Năm 1996 trung bình 1300 - 2000 thư ngăy Đầu năm 1997 trung bình 3000 thư ngăy

Cuối năm 1997 truñg bình 4000 - 5000 thu ngăy

Đầu năm 1998 số lượng lưu chuyển hăng chục ngăn thư/1 ngăy Qua câc số liệu trín chúng ta thấy số lượng thư điện tử lưu chuyển trĩn INTERMNET tăng lín với tốc độ rất nhanh

Phđn tích theo xuất xứ, ngôn ngữ sử dụng vă tính chất chúng ta thấy: Thư từ nước ngoăi văo Việt Nam chiếm khoảng 95

Thư từ trong nước gửi ra nước ngoăi chiếm 5%

Văn bản tiếng Anh chiếm tỉ lệ 7l : :

Tiếng Việt 13% (UUENCODE VIOR-7 bit, WNT VSCH VPS,

TCVNô ) Tiếng Phâp 4%

Câc ngôn ngữ khâc 12%

Tỷ lệ thư được mê hoâ chiĩm tt 5 - 6%

Những thông tin có nội dung xấu vẻ chính trị vă những thông tin lăm tồn hại - đến.thuần phong mỹ tục cửa Việt Nam chiếm khoảng 5,8% trong tổng số thông tín lưu

truyền văo Việt Nam aoe , -

Thư điện tử cớ thể gửi cho một địa chỉ hoặc nhiều địa chỉ -

Việc ngăn chặn thư theo địa chỉ cũng có những hạn chế: Việc xâc định được

những địa chỉ xấu lă khong dĩ dăng Hơn nữa kẻ xấu có thể sử dụng địa chỉ của người

tốt để gửi thư

Vấn để chính vẫn lă phải quản lý tốt ở bền trong Câc cơ quan phải có trâch nhiệm trong việc quản lý hồ sơ tăi liệu Không để những tin tức, tăi liệu mật lộ, lọt ra

ngoăi

Vẻ khía cạnh kỹ thuật chỉ có loại hình thứ nhất (E-mail) lă có thể phât hiện vă ngăn chặn câc thong tin độc hại tại thời điểm thông tin chưa vẻ tới dich Tuy nhiín

DỊCH VỤ SIÍU VĂN BẢN WORD WIDE WEB:

Phải khẳng định hầu hết nội dung thông tin trín WWWV lă tốt vă bổ ích, phục vụ cho cĩng tâc giâo dục, đăo tạo, nghiín cứu khoa học, dịch vụ, thương mại Bín cạnh đó một số tổ chức phản động trong số người Việt ở nước ngoăi thường sử dụng mạng

Internet trín câc trang VVEB đẻ dưa câc băi viết xuyín tạc đường lối chính sâch của

Đảng, nói xấu chế độ, lênh tụ, kích động câc phản từ xấu ở trong nước nhằm phâ hoại, chống đối chế độ:

Mặt trận quốc ø gia thống nhất giải phòng ` Việt nam

“Tế chức phục hưng

Nhóm người Việt tự do (Free Viet Group)

Quyền con người Việt nam (Viemam Human Rights)

Tổ chức liín minh Việt nam tự do (Free Vietnam Alliance Organization)

Câc tổ chức phản động trong số người Việt ở nước ngoăi đê lập ra câc bản tin, tập san, nguyệt san, tuần bâo, nhật bâo với câc tín như : "Việt nam đđn chủ”, "Thế ký

21”, "Hợp nhất", "Người Việt dally news”, nhiều tờ bâo đê sử dụng Internet như một

phương riện phản phối chính

Xiột số địa chỉ trín [NTERNET thường xuyín có những thông tin với nội dung xêu hướng văo Việt nam:

ˆ_1- Liín mình Việt nam tự do ( Trong Việt kiểu ở Phâp) có tập san "Liín minh" ra mĩi thang

- Tổ chức Phục hưng Việt nam:

3 - Chính phù Việt nam tự đo:

(Thủ tướng: Nguyễn Hoăng Dđn Ta đê bắt một nhóm của tổ chức năy khi

xđm nhập về Việt nam, trong đó có Nguyễn Minh Miẫn tức Ly Thara)

4 - "Thông điệp xanh" đặt trín American Online Web năy của nhóm Việt kiểu ở Đông đu chạy sang Đức) Có khoảng 10 tờ bâo ra từ một thâng -

một kỳ tới 3 thâng một kỳ Trong đó có một số nội dung như: Trang về "Nhđn vấn giai phẩm”

Trang về '" Vụ ân xĩt lại chống dang"

5 - Trĩn INTERNET hiĩn cũng lan truyền những cuốn sâch, băi bâo dai

về:

Nguyễn Văn Tuần: "Viết cho Me vă Quốc hội”

Vũ Thư Hiín: "Đím giữa ban ngăy”

4iiững công bố của Bùi Tín (Trong thông điệp xanh)

Một số ý kiến đề nghị:

Cần có cơ quan chức năng để xâc định những nguồn thông tin độc hại trín

Internet, trín cơ sở đó kiến nghị để Ban điều phối quốc gia (hoặc một cơ quan có thẩm quyền) phí duyệt dânh sâch những địa chỉ cấm truy nhập để câc nhă cung cấp dịch vụ

Internet (ASP,ISP) có trâch nhiệm ngăn chặn (qua LP filter hoặc Proxy Server cia họ)

PHAN I

DAM BAO AN TOAN THONG TIN

CHO CAC MANG MAY TINH KHI KET NOI VOLINTERNET

SO CHUONG I

GIOI THIEU CHUNG VE CAC BIEN PHAP DAM BAO AN TOAN THONG TIN

CHO CAC MANG MAY TINH KHI KET NOI VOI INTERNET Intemet JA mang mdy tính toăn cầu với câc địch vụ thông n phong phú Trín Intemet câc mạng mây tính được kết nối với nhau bằng thủ tục TCT/H* cùng với sự phât triển không ngừng của Intemel, số lượng câc vu tấn cÔng trín

Internet cũng tăng theo cấp số nhđn Trong khí câc phương tiện thông tin dai chúng ngăy căng nhắc nhiều đến Internet với những khả nêng truy nhập thông

tín đường như lă vô lận của nó, thì câc nhă chuyín môn bất đầu để cập nhiều

đến vấn để đảm bio an todn cho cdc may tinh duge kĩt noi vao mang Internct Theo số liệu thống kí hăng năm mạng mây tính của Hộ quốc phòng Mỹ có đến 250.000 lầu kể gian muốn xđm nhập, trong đó có đến 160.000 xđm nhập

thănh công Những vụ tín công năy nhằm văo tất cả câc mây tính cố mặt trín

Tntemet, từ mây tính của câc công Ly lớn như AT&1, 1BM, câc trường đại học,

câc cơ quan nhă nước, câc tổ chức quđn su, nha bang

- Những số liệu thống kí được công bố chỉ lă phần nổi của tẳng bang Mo!

phần rất lớn câc vụ tấn công không được thông bâo, vì nhiều lý do, trong đó có

thể kể đến nỗi lo b{,mất uy tín, hoặc đơn giản những người quan trị hệ thống

khong hĩ hay biết về những cưộc tấn công nhầm văo hệ thếng của họ

1Hiện nay không chỉ số lượng câc cuộc tấu công tầng lín uhanh chong, ma câc phương phâp tấn công cũng liín tục dược hoăn thiện Điều đó một phần do

câc nhđn viín quản trị câc hệ thống được kết nối với IntertcL ngăy cảng dễ cao cảnh giâc Trước kia (thời kỳ 1988-1989) những cuộc tín công văo chủ yếu lă đoân tín người sử dụng - miật khẩu (UserH2-Password ) Hoặc sư dụng một số lỗi của câc chương trình vă hệ điểu hănh lăm vô hiệu hệ thống bảo vệ, thời gim gần đđy những cuộc tấn công bao gồm cả câc tiao tâc như giả mạo địa chi iP,

theo đõi thông tin truyền qua mạng, chiếm câc phiín lăm việc từ xa (telnet hoặc rlogin) Đo đố cần có những biện phâp để đấm bảo an ninh va an loan cho cac mạng mây tính khí kết nối với INTERNET lă cđn thiết Có thể phđn loại 3 biện

phâp chính đản bảo an toăn khi nối mạng INTERNET:

I Câc biín phâp về giâo dục : Nuiíu quốc gia dĩu cho rang đđy lă biện phâp có tính cơ bản nhất Cần đẩy mạnh giâo dục phổ cập câc mặt lợi vă khong loi cla mang INTERNET để mọi người chủ động phòng ngữa, biết điều gì nín lăm vă không nín lăm khi sử đưụng mạng

- TNIERNET ` Ti nó ai

2 Câc biín phâp về ttănh chính; Nhă nước cẩn ban hănh phâp luật, câc van ban phâp quy về quy chế lâi thâc sử dụng HINIERHET Trong đó

quy định chặt chế việc truy nhap thông tin vao mang vă thu thông lin, tư liệu ti mang INTERNET, cũng như những người sử dụng

INTERNET phiai dang ký,

Ví dụ: Ngăy 04/02/1996 Chính phủ Trung Quốc dê công bố câc diều

luật nhầm quần lý nang TNTTRNDE khi cho hệ thống nêy được phổ

biển tai Trung quốc Theo đó câc công ty điện toấn năo khi kết nối với INTERNET ctia TQ dĩu phai dang ky va phải được chấp nhận của cơ quan quản lý quốc gia, cấm thu vă tân phât câc tăi liệu cớ nội dung

độc hăi, bạo lực, khiíu đđm Nhiều nước khâc cũng có những quy định tương tự

Ở Việt Nam ngăy 5/3/97 chính phủ đê ban hănh “Quy chế tạm thời về quản lý, thiết lập, sử dụng mạng INTERNET ở Việt nam” Ngăy 24/5/1997 có "Thông tư liín tịch hướng dẫn cấp phĩp việc kết nối, cung cấp vă sử dụng INTERNET ở Việt nam" của Tổng cục Bưu điện,

Bộ Bội vụ, Bộ Văn hô thơng tín :

3 Câc giải phâp về R§ thuât: Hiện nay c6 nhiều giải phâp kỹ thuật để đảm

bảo an toăn khi nối mạng INTEBNET Xin níu một số giải phâp chính: Xđy dựng những bức tường lửa (Firewalf) Một trong những giải phâp kỹ thuật để dim bảo an toăn cho câc mạng mây tính khi kết nối với INITERNET lă xđy dựng bức tường lữa(fircwall) firewall lă tổ hợp phần cứng vă phần mềm

cho phĩp người ở trong mạng [NTRANET truy cập được dữ liệu bín ngoăi, nhưng ngăn chặn sự đột nhập từ bín ngoăi văo INTRANET 'Trong cơ chế "bức

tường lửa", địa chỉ của những mây chứa câc thông tin cố nội dung không phù hợp sẽ bị dưa văo câc danh sâch bị cấin nhờ một phần mĩm canh bdo chuyín

dung Khi đó câc thông tín năy sẽ không thể được truy cập tới Tuy vậy firewall

cũng chỉ lă một phần của hệ thống bảo mật trín [NTER NIT

_- Routeur đồng vai trd quan trong trong firewall Routcur cho phĩp dữ liệu

ty INTRANET năy sang INTRANET khâc Mọi đữ liệu truyền qua nhau đều phải qua Routenr Vì vậy đđy chính lă vị trí thích hợp dĩ đặt câc biện phân bảo mật Có nhiều biện phâp khâc nhau Đầu tiín lA lọc (Hteriag) bởi Rouleur lọc

Rontetir lọc xem xĩt rỗi gói đữ liệu đi văo vă đi ra khỏi IN1ILANETE Dựn văo quy định mă quan trị hệ thống, Ioufteur sẽ cho gói dữ liệu dị qua hoặc ngăn lại

Sử dụng cơ chế mây chủ uỷ quyín (Proxy Server) Mây chủ uỷ quyền

cũng lă công cụ của cơ chế-đẩm hảo an (oần (hông tin.-Trong cơ chế "ủy

quyển”, người ta không đâp ứng ngay lập tức nhủ cầu khai thâo Lí mê mọi yeeu cầu kết nối với IN1IRNET của người sử dụng va moi thĩng tin (INTERNET về người sử dụng có yíu cầu đều phải thông qua Proxy Server Server nay glit chếp tất cả câc cuộc trao đổi vă đđm bảo lần theo lại được dấu vết câc vự xđm

nhập

Sử dụng cơ chế mây chủ phâo dăi ( astion Server) Đđy cũng lă một

giải phâp quan trọng để đảm bảo an loần cho mang INTRANET Bastion Server dược thiết kế đạc biệt chống sự tđn công xđm nhập Thông thường Bastion

Server được đặt tâch biệt ở mạng vòng ngoăi Khi Server năy bị tấn công vă giả

sử bị phâ vỡ thì INTRANET vẫn dược bảo về, phần bị tốn thương chỉ lă Bastion Server

Sử dụng mat khau va hĩthĩng chu quyĩn Mat khẩu vă hệ thống chủ

-tin cho mạng ïNTRANET Liín để chống lấy cắp mật khẩu người ta dùng câc

mẠt khẩu sử dụng một lần (One - lime password) Việc câo mật khẩu truyền trín

mạng đễ bị câc chương trình dò tìm mật khẩu tấn công Dởi vậy cứ sau một lần sử dụng thì mội mật khẩu bị thải loại không dùng nữa

Sử dụng phương phâp mê hoâ thông tỉn vă chữ ký điện từ MIA hoâ được sử dụng để đảm bảo an toăn thông tin trín mạng Mê hoâ dùng để bảo vệ đữ liệu vă mật khẩu Có thể sử dụng khô đối xứng hoặc khơng đối xứng (hóa công cộng) Chữ Ký số hay chữ ký diện tử được sử dung để xâc định tính chđn thực của văn bản khi gửi di không bị sửa chữa, thay thế

Thiết lần cơ chế giấm sât lưu thong (Traffic monitoring) cling JA mot

phương phâp để đảm bảo an toăn cho INTRANET Đđy Tă phần mễm chạy tiín ,

giấm sât mọi lưu thông nội bộ trong INTRANET cũng như mọi lưu thông giữa

INTERNET vă INTRANET Người quản trị INTRANET có thể đặt ra câc quy tắc quyết định loại lưu thông năo được hoạt động trín INTRANET

Câc biện phâp phòng chống virus Yirus cũng lă vấn để đâng quan lđm

NAIS AND FIREWALT SERVER

, - CHUGNG If

FIREWALL - GIẢI PHÂP ĐẦM BẢO AN TOĂN

CHO KST NOL MANG INTERNET - INTRANET

1-CAC NGUYEN TAC TRONG THIẾT KẾT HỆ THỐNG BẢO VỆ MẠNG

Khi thiết kế vă căi đặt câc hệ thong bao ve mang nói chung vă firewall nói

riíng cần tuđn thủ một số nguyín tắc cơ bản sau: 1- Nguyín tắc quyền tối thiểu (Least Privilege)

Một trong những nguyín tÂc căn bản của câc hệ thống bảo vệ lă nguyĩn

tâc quyền tối thiểu Nguyín tắc năy được phât biểu như sau:

Tiất kỳ một đối tượng năo (người sử dụng, người quản trị hệ thống, chương trình ứng dụng, hỆ điểu-hănh ) có những quyển vừa đủ để đối tượng đó hoăn

thănh nhiệm vụ của mình ‘

Nguyín tắc quyền tối thiểu được âp dụng triệt để trong việc thiết kế, căi

“dat firewall Tất cả câc thănh phần lăm việc tye (ip voi mang ben ngoăi, đặc

biệt lă câc modul proxy đều được chạy ở mức quyền ưu tiín thấp, vă không gian

lăm việc giới hạn (hông qua khả năng của hệ điều hănh) 2 Nguyín tắc phòng thủ (heo chiều sđu

Một nguyín tắc khâc của câc hệ thống bảo vệ nói chung lă nguyín lẤc

phòng thủ theo chiíu sđu Người thiết kế vă căi đặt hệ thống năy có khả nững bảo vệ rất tốt, do mọi hệ thống đếu có kha nang hong hse Khi do, viee mot trong câc vòng bảo vệ ngừng hoạt động kuông Jani toăn bộ hệ thống không được bảo vệ - ‘

Một ví dụ điển hình lă việc sử dụng firewall Igoăi việc LẠO ra miột Tớp hao vệ bằng câch chỉ cho phĩp một số dịa chỉ có quyển yíu cầu ket nei voi mang

bín trong, việc lọc câc gói tin rou(€F con Jam giảm lượng thông tứn mă

firewall

phải xử lý, giảm khả năng tấn công bằng phương phâp lăm quâ tải hệ thống

firewall ˆ TỐ oa

Mặt khâc, câc quy tâc kiểm soâi dược dựa r4 với một dộ dự thừa lớn, Cho - đũ tại router đê có quy tắc loại bỏ những gói in đến từ một số địa chỉ nhất định,

tại firewall nam sau router van c6 những quy {Ac loại bỗ những gồi tin năy Trín thực (Š, những gói tin đó không bao giờ tới được firewall, do do tốc dộ xử lý của firewall bị ảnh hưởng không đâng kể, tuy nhiín khi những quy tâc năy không - lam viĩe tal router, thi mang nội bộ vẫn dược bao vĩ boi firewall tờ

3: Nguyín tắc kiểm soât tập [rung | :

“Tập trung tất cả câc liín hệ với thế giới bín ngoăi thông qua một điểm duy

nhất, đồng thời tăng cường bảo vệ vă giâm sât điểm năy

Yíu cầu năy có thĩ dĩ dang thực hiện với một hệ thdng mang có quy mô

sử dụng một firewall duy nhất Một điểm bất lợi của việc tập trung kiểm soât lă vấn đề không có đường dự trữ (backup) mot Kid firewall gip sự cố Để giải

'quyết vấn để năy, câc thiết bi firewall mdi dang tập trung văo hướng căi đặt

firewall phđn tân, nhưng quản lý lập trung, thong qua hệ thống mạng với những ˆ -giao thức mạng dược gđn thím kha nang bao mật như mê hóa vă xâc thực thông

tin vă người sử dụng

4 Nguyín tắc đơn giản

Việc đặt ra yíu cầu đơn giản cho hệ thống bảovệ có hai lý đo chính:

+ Dễ hiểu: khi một hệ thống được thiết kế đơn giản la dĩ dang hiểu được câc hoạt động của hệ thống, do đó hiểu được hệ thống có hoạt động dúng như ta mong muốn không

+ A lêi: một hệ thống căng phức tạp căng chứa nhiều lỗi Ngay cả khi hệ thống không có lỗi vă không có câc 16 hồng bảo mật, thì hệ thống phức tap

cũng sẽ lăm phức tạp quâ trình phđn tích vă xử lý câc vấn để trong những tinh

huống không định trước TT

Câc hệ thống firewall thường dược xđy dựng trín những hệ điều hănh đê dược sửa đổi, loại bỏ những chức năng không cần thiết, câc công cụ trợ giúp

người sử dụng, câc công cụ phât triển (bao gồm câc trìnu giín địch vă thông ˆ

dịch, hệ thống debug v.v ) Một số firewall còn loại bỏ gần như toăn bộ câc

công cụ quần trị từ xa : - 7

5 Độ an toăn của hệ thống phụ thuộc điểm yếu nhất

Độ an toăn của hệ thống chính Ja độ an toăn của uất xích yếu nhất trong

hệ thống Vì vậy không cần thiết kế, căi đặt một hệ thống bảo mật phức tạp, tốn

kĩm trong khí độ an toăn của một điểm năo đó trong toăn bộ hệ thống không

dam bảo Diều năy cũng giống như trường hợp Xđy dựng một cửa ra văo chắc

chắn với nhiều lớp khóa, trong khi cửa sổ của ngỡi nhă lại để ngỏ

Như trín đê nhận định, điểm yếu nhất trong câc hệ thống bảo vệ thông thường lă yếu tố con người, vă chỉ có sự giâo đục về câc yíu cầu bảo mật, cộng với thâi độ hợp tâc của người sử dụng mạng nội bộ mới có thể nđng cao được độ

an toăn của mắt xích năy ˆ , TT

6 Nguyín tắc hệ thống dừng ở trang thâi an toăn

Câc hệ thống bảo mật cần được thiết kế để khi hệ thống ngừng hoạt động

đo sự cố (do hồng hóc phần cứng, Jỗi chương trình, lỖi nủa người sử dụng v.V )

toăn bộ mạng bín trong vẫn được bảo vệ, mă thông thường lă ngất liín lạc với

mạng bín-nguăi Trín thực tế đê có những cuộc tấn công bằng câch lầm quâ tải firewall, khiến ñrewall không thực hiện dược chức năng kiểm soât câc kết nối mới Trong trường hợp đố mội hệ thống dược thiết kế theo quy tÂc năy không

được tiếp nhận câc kết nối mới, có thể chuyển hệ thống sang trạng thâi dừng vă

thông bâo cho người quản trị

7, Trang thâi ngầm định: cấm mọi sự rao đổi thông tín

Hệ thống bảo vệ nhìn chung được xđy dựng treo tuđn theo 2 chính sâch

bảo vệ đối ngược nhau:

- Cho phĩp tất cẢ câc thao tâc bị kết nối trữ những hao tâc vă kết nối đê

được biết trước la nguy hiểm vă bị cấm

~ Cấm mọi.thao tâc vă kết nối, trừ những thao tâc vă kết nối được coi lă an

toăn vă dược cho phĩp rõ răng

Quy tic đầu chở phĩp một sự tự đo lớn hơn đối với người sử dụng, đồng thời đảm bảo khả năng hoạt động của câc địch vụ sẽ xuất hiện trong tương lai,

tuy nhiín nó đi ngược lại với quy tắc về trạng thâi dừng aủ toăn cũng như quy

tắc về quyền tối thiểu, đồng thời dưa hệ thống bảo vệ mạng văo cuộc chạy dua khong chấm đứt với danh sâch nhĩmng thao tâc vă kết nối nguy hiểm, hơn nữa, hệ thống bảo vệ mạng luôn thụ dộng trước sự tiến hóa của câc phương phâp tiến công vă luôn phât triển chậm hơn câc phương phâp tiến công

=" Quy tac tlut hai dam bảo một sự an toăn lớn hơn quy (ắc đầu cho hệ thống mạng bín trong Nó cũng đảm bảo được quy tắc về trạng thâi đừng en toăn vă

quy tắc về quyền tối thiểu

8 Quan tđm tới yếu tố con người ví

- Hệ thống bảo vệ mạng không thể hoạt động có hiệu quả nếu không có sự hợp tâc của tất cả những người sử đựng Khi một người sử đụng không muốn bị bó buộc bởi những quy tắc chặt chế của hệ lhống bảo vệ vă thiết lập một kết nối -

mới với bín ngoăi (ví dự qua mot dudng dial-up) thì toăn bộ hệ thống bảo vệ bị vô hiệu hóa vă mạng bín trong có thể bị tấn công dễ đăng thông qua kn mới

nay Trach nhiệm của người quản trị hệ thống phải bao gồm việc thông bâo cho người sử dụng mạng về câc yíu cầu bảo mật, những thao tâc dược phĩp vă không được thiết lập đường đial-up với mạng bín ngoăi, chọn mật khẩu khó đôn, thơng bâo về câc hiện tượng khả nghỉ v.v ) đồng thời người quản trị hệ,

thống phải thường xuyín giấm sât việc tuđn thủ câc quy tấc bảo mật của người

sử dụng

9 Nguyín tắc sự đa dạng của câc hệ (hống bín trong:

Sự đa đạng của câc hệ thống trong mạng bín trong có thế tầng khả năng

bảo vệ mạng Nếu mạng bín trong bao gồm câc hệ thống giống nhau, một lỗi

chung trong hệ điều hănh hoặc một chương trình ứng dụng có thể lầm cho toần

bộ mạng bị tấn công theo cùng một phương phâp Tuy nhiín, sự da dạng trong

mạng cũng đồng nghĩa với sự phức tạp khi phải quản lý câc hệ thống khâc

~ nhau, đồng thời tăng chí phí trang bị phần cứng vă phần inĩm, : 10 Quan (đm tới yếu tố chỉ pH: -

_Yếu tố giâ cả có thể lă yếu tố quyết dịnh nếu khả năng tăi chính của cơ -¿ quan có mạng nội:bộ không được đẩy đủ Tuy vậy, vẫn có những bộ phan mĩm

“cho khong (freeware) dugc phd bin rong rai ĩn Intemet cho phĩp tu xay dung

cfc hĩ thong firewall, kiểm tra hệ thống bảo mật, giả lập tấn công v.v Với câc công cụ năy, cộng với thời gian vă trí thức của người quản trị hệ thống ta vẫn có thể bảo vệ m nội bộ mă không phải đầu tụ chợ một hệ thống firewall trị giâ

hăng chục ngần đến hăng trăm ngăn đôla Mỹ

Mặt khâc, việc mua một hệ thếng frewalỞl đưa lại những hỗ trợ kỹ thuật từ những chuyín gia giầu kinh nghiệm - một yếu tố ảnh hướng không nhỏ đến quâ

trình chọn lựa vă thúết đặt hệ thống bảo vệ Cùng với sự hỗ trợ kỹ thuật năy lă

những thông tin được cập nhật thường xuyín về câo nhương phâp lấn công mới

`

vă biện phấp phòng chống, khả năng nđng cấp, hoăn thiện firewall trong tưởng

lai với một chỉ phí thấp

Trong mợi trường hợp , việc thiết đặt một hệ thống firewall để bảo vệ

mạng nội bộ không cần thiết phải tiíu tốn những nguồn nhđn lực vă vật lực quâ

lớn Việc đânh cấp thông tin có thể diễn ra bằng nhiều con đường khâc nhau, vă

firewall chỉ cẩn đảm bảo việc truy nhập đến câc thông tín đó qua con đường -

mạng mây với mạng bín ngoăi

II-FIREWALL MỘT GIẢI PHIÂP DẢM BẢO AN TOĂN CHO MẠNG

TirewaH có nghĩa lă bức tường chấn lửa Trước kia trong quâ tình thiết kế câc khu nhă, người ta thường xđy câc bức tường giữa những khối nhă gần nhau

để để phòng trường hợp lửa chây lan trong khi hoả hoạn Với ý ngiữa năy mă

thiết bị kiểm soât truy nhập giữa mạng nội bộ vă Intemet được gợi tín Ìă

Firewall - -

Firewall c6 thĩ bao g6m mĩt mây tính hoặc mỘt thiết bị phần cứng chuyín

dùng, có nhiệm vụ kiểm soât câc kết nối vă quâ trình trao đổi thông tin giữa một

hệ thông mạng cần dược bảo vệ (rạng bín trong) với tnỘt mạng được cot lă không an toăn về mặt bảo mật (nạng bín ngoăi) Firewall cũng có thể lă một hệ

thống câc thiết bị, dược kết nối thănh mỌt mạng trưng gian giữa hai mạng năy Tuy nhiín; nhiệm vụ của hệ thống năy vẫn không thay đổi, đó lă thực hiện câc

quy tic kiểm sôt truy nhập thơng tin giifa hat mang hận trong vă bín ngoăi

Hình 1: Vị trí của Firewall trong kĩt nối mang nội bộ với Intemet

Sau đđy lă một số phđn tích về những nguy cơ ức dọa mạng bín trong vă

câc khả năng của hệ thống Firewall

A - NHỮNG YÍU YÍU CẤU BẢO VỆ MANG INTRANET:

x

Những thông tin tưu trí trín hệ thống mạng mây tính cần dược bảo vệ do câc yíu cầu sau: ˆ

- Bảo mật: Những thông tin có giâ trị cần dược giữ kín - - Tinh toan ven: Thông tín không Dị mất nât Hoặc sửa đổi, đânh trâo

- Tính kịp thời: Đảm bảo yíu cầu truy nhập thông 1in văo đúng thời điểm -ˆ

cần thiết TC TU

Trong 3 yín cầu níu trín yíu cầu bảo mật dược coi lă yíu cầu số 1 đối với

thong tin lưu trữ trín mạng Tuy nhiín, ngay cả khi những thông tín năy không cần được giữ bí mật, thì yíu cầu về tính toần vẹn cũng rất quan trọng Không

một câ nhđn, một tổ chức năo lêng phí tăi nguyín vật chất vă thời gian để lưu trữ những thông tín mă không biết về tĩnh đúng đấn của câc thông tín đó

2 đảo vệ câc tăi nguyín si dung trĩn mang:

'Trín thực tế, trong câc Cuộc tấn công trín Internet, kẻ tẤn công, s80 khi đê

lăm chủ được hệ thống bín trong, có thể sử dụng câc mây năy để phục vụ cho

mục đích của mình nữ chạy câc chương tình dò mặt khẩn người sử đụng, sử

dụng câc liín kết hang sẵn có để tiếp tục tấn công câc hệ thống khâc v.v Firewall, trong khí bảo vệ hệ thống mạng bín trong, đảm bảo câc hệ thống sẽ lam đúng chức năng được thiết kế, không bị sử dụng để tạo thím công cụ cho

những kẻ đột nhập - : "

5 - CÂC KIỂU TẤN CƠNG

1 Tấn cơng trực tiến ;

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn dầu để chiếm được quyền truy nhập hệ Hiống mạng bín trong

Một phương phâp tấn công cổ điển lă đồ cặp lín người sử dụng - mật

khẩu Đđy lă nhương phâp đơn giản, đê thực hiện vă không đồi hỏi một diĩu

kiện đặc biệt năo dể bất đầu Kẻ tấn công cố thể sử dụng những thông ln nhự

tín người đùng, ngăy sinh, địa chỉ, số nhê v.v để đoân mẠi khẩu, Trong trường

hợp có được danh sâch người sử dụng vă những thông lín về môi trường lầm ˆ việc, có một số chương trình tự động hóa việc đồ tim mat khẩu năy MộI

chuong tinh cĩ thĩ dĩ dang My duge tir Internet để giải câc mật khẩu di mai hóa của câc hệ thống Unix có (ĩn 18 Crack, c6 kha nang thử những tổ hợp câc-

tix trong indt tir diển lớn, theo những quy tắc do ngườidùng tự định nghĩa Trong

một số trường hợp, khả năng thănh công của phương phâp năy có thể lín đến

30%

Thương phâp sử dụng câc lỗi của chương trình ứng dụng vă bản thđn hệ “điều hănh đê dược sử dụng từ những vụ Lấn công đầu tiín vă cđu lidep tuc được

sử dụng để chiếm quyền truy nhận Treng một số trường hợp, phương phâp năy

cho phĩp kẻ lấn công có dược quyền của người quản trị hệ tiống (rooi hay

adiministrator)

Vai vi du thugng xuyĩn duge đưa ra để mình họa cho phương phâp năy lă ví dụ với chương trình sendmail vă chương trình rlogin của hệ điều hănh Unix

Sendimail Tă một chương trình phúc t4p, với mê nguồn bao gồm hăng ngăn đồng lệnh của ngôn ngft C, Sendmail được chạy với quyển ưu tiín của người

quản trị hệ thống, do chương trình phải có quyĩn ghi vag hop fig của những người sử đụng mây Vă Sendmail trực tiếp nhận câc:yíu cầu về thư tín từ nang

bín ngoăi dđy chính lă những yếu tố lăm cho Sendinnil trở thănh tiột nguồn

cưng cấp những lỗ hồng về bảo mật để truy nhập hệ thống

_Rlogin cho phĩp người sử đụng từ một mấy trín nạng truy nhập từ xa văo một mây khâc sử dụng câc tăi nguyín của mây năy Trong quâ trình nhận (ín vă

mật khẩu của người sử dụng, rlogin không kiểm tra độ đăi của dòng nhập, do đó kẻ tấn công có thể đựa văo một xau đê được tính toân trước để phi đề lín mê

chương trình của rlogm, qua đó chiếm đhược quyển truy nhập, ˆ 2 Nghe trom (rĩn mang:

Việc nghe trộm trín trạng có thể đưa lại câc thông tín cổ ích như tín-mật khẩu của người sử dụng, câc thông tin mật chuyển qua mạng VIỆC nghe trom

thường được tiến hănh sau khi kẻ tấn công đê chiếm được quyển truy nhập hệ

thống, thông qua câc chương trình cho phĩp dua vi giao tiếp mạng (Network

Interface Card-NIC) văo chế độ nhận toần bộ câc thông tin hr chuyển trín

mạng Những chương trình năy cũng có thể lấy được đễ dăng trín Internet 3 Giả nao 2 địa chỉ:

Việc giả mạo dja chỉ 1U có thể được thực hiện thông qua kha nang str dung

kha nang dan đường trực tiếp (source-rotting) Với câc tấn công năy, kẻ tấn công gửi câc gói tin IP tới mạng bín trong với một địa chỉ II giả mạo (hông thường lă địa chỉ của một mạng hoặc mây được coi lă an toăn đối với mạng bín trong), đồng thời chỉ rõ đường đẫn mă câc gói in HP phải di

4 Vô liệu hóa câc chức năng của lệ thống

„ Đđy lă kiểu tấn Công nhằm lăm (í liệt hệ thống, không cho nó thực hiện được chức năng mă nố được thiết kế Kiểu tấn công năy không thể ngăn chặn

được đo những phương tiện được sử đụng để tổ chức tấn công cũng chính lă

những phương tiện để lău việu vă truy nhập thông tín trín mạng Ví dự sử dụng pệnh ping với tốc độ cao nhất cớ thể, buộc một hệ thống tiíu hao toăn bộ tốc độ

tính toân vă kha nang của mang để trả lời câc lệnh năy, không còn lại tăi -

nguyín để thực hiện những công việc có ích khâc

'% Sử dụng lêi của người quản trị lệ thống:

Đđy không phải Tă một Kiểu lấu công của những kẻ đột nhập, tuy nhiín lỗi

của người quần trị hệ thống thường lạo ra những lỗ hổng cho phĩp kế tấn công

sử đụng để thđm nhập văo mạng nội bộ

6 Tiến công văo câc yếu lố củn ng ưÒi : -

Kẻ tấn công, có thể liín lạc với mội người quản trị bệ thống, giả lđm | một người sử dụng để yíu cầu lhay đổi mật khẩu, thay đổi quyín truy nhập của

mình đối với hệ (hống, hoặc thậm chí thay đổi một số thiết đại của hệ thống để thực hiện câc phương phâp tấn công khâc Với kiểu tấn công năy, không mỘt thiết bị năo có thể ngăn chặn một câch hin hiệu, mă chỉ có phương phâp giâo dục người sử dụng mạng nội bộ về những yíu cầu bảo miật để dễ cao cảnh giâo

trước những hiện tượng đâng nghỉ Nói chung yếu tố con người lă một điểm yếu

-trong bất kỳ một hệ thống bảo vệ năo, vă cíi có sự giâo dục cộng với tính thần ~~ ~~~

hợp tâc từ phín người sử đụng cố thể nđng caa được độ am toăn của hệ thống hảo

vệ :

C -KHA NANG PHONG THU CUA FIREWALL

i Những khd nding ngan chdn eda Firewall:

_Việc kiểm soât những yíu cầu kết nối đến từ bín ngoăi cho phĩp giảm tối

đa những cơ hội kẻ tấn công có thể lăm việc trực tiếp với một mấy tính trong hệ

thống mạng bín trong, do đố giảm được nguy cơ của những phương phâp lấn

công trực tiếp Hơn nữa, với sự phâi triển của câc chương trình proxy, nhímg chương trình phức tạp không trực tiếp lienec hệ với mạng bến ngoăi mă phải thông qua câc proxy Câc chương trình pioxy dược thiết kế dặc biệt, lầm nhiĩm vụ chuyển thông tín qua lại pia câc server cung cấp dịch vụ vă người str dung,

dược kiểm tra kỹ lưỡng dĩ loai bo cae J6i Ton nita, nhi¢m vu cla cdc chuong trình năy đơn giản hơn rất nhiều, do đó chúng được chạy với những quyển ưu

tiín thấp giảm dược nảuw cơ khi chương trình có lỗi cũng không đưa lại cho kế tấn công quyền quản trị ing thống ,

Một số firewall được thiết kế với những phần giấm sất việc sử dụng câc 16

hồng bảo rnật đê biết, Trong trường hợp Rẻ tấn công thử sử dụng những lỗ hồng năy, Firewall sẽ phí nhận điểm xuất phât của cuộc (ñn công,vă thông hâo cho người quản trị hệ thống kịp thời

Tirewall không ngăn chặn được việc nghe trộm: trong phạm vi mang cuc bộ Tuy nhiín với phương phâp căi đặt nhiều fircwall để ngăn câch những phần

của mạng cục bộ có yíu cầu bảo mật khâc nhau, firewall cho phĩp giảm đến mức tối đa những thông tín không cần thiết lan tuyển trín hệ thống mạng 2o đó, firewall có thể giẩm được nguy cơ bị lộ thông lu ngay trong hệ thống mạng

cục bộ - - /

Một trong những công-nghệ mới được dua ra cùng với sự xuất hiện của

fircwall lă công nghệ tạo mạng riíng 4o (virtual private nctwork) tren Tntemet

Bằng câch mê hóa cde g6i tin ở firewall khi chúng di ra khỏi mạng nội bộ vă

giải mê khí chúng đi văo, câc firewail tạo lập một kính liín lạc an toần trín Intemet, cho phĩp thông tia bí mật có thể được chuyển gia câc mạng mă

không bị lô ĐAy lă một lĩnh vực yíu cẩu cả những giải phâp về inê hóa, xâc

thực thông tín , ¬

Tircwall được thiết kế để chống lại những cuộc lấn công sử dụng việc giả

mạo địa chỉ, đồng thời ghỉ nhận những ý đồ giả mạo địa chí mạng bín trong dĩ

tấn công hệ thống

2 Nhitug kid năng hạn chế của lirewall :

Firewall khong thể ngđn chặn dược nhữmg ý đồ tấn công nhầm lăm quâ tai

hệ thống Tuy nhiín, ñrewall phải được thiết kế để ứng trường hợp bị quâ tÊI sẽ từ chối mọi yíu cẩu kết nối mới, do vậy vẫn bảo vệ được mang bín trong khỏi

sự xđm nhập bất hợp phâp từ mạng bín ngoăi

Iirewall không ngăn chặn mội câch hiệu quâ câc chộc tấn công xuft phâi

từ mạng bín trong, khí một chương trình được lai vio mang bĩn trong vă chạy

từ đđy Tuy nhiín để lầm được điểu năv:-kktấn công trước tiín phải thđm nhập

được văo nìạng bín trong, điểu mă firewall có thế ngăn chặn kiiâ hiệu quả Một yíu cầu thường được níu ra lĂ kiểm sôi nội đụng thơng tín chuyín qua firewall, như câc thông tin mạng, nội dung nguy hiĩm, virus Tuy c6 ict số te cho phĩp lầm những thao tâc năy trín fircwall, đó không phải 1ô mục dich chính của firewall Những chương tảnh năy đồng trời cũng lầm tăng thím sự phức tạp của thiết kế firevwvall, tức Ja lăm giâm độ an toần của nó Ï len nữa, việc

căi đặt câc chương trình kiểm tra như vậy sẽ lầm giảm tốc độ truyền tín, vă trong trường hợp câc ứng đụng chạy với yíu cầu cao về độ trễ của thông fin OF

du cĩc tmg dung multimedia tĩn mạng) th khó có thể thực hiện được những thao tâc kiểm soât nội dung mă không lầm ảnh hưởng đến tốc độ truvển

Virewall cfing khong thể ngăn chặn những cuộc tấu công mă: kết nối mạng không đi cua nó MỸ dụ khí một người sử dụng thiết lập một kết nối với

mang ben ngoai thong qua dudng dial-up, thi Kẻ ifn cOng c6 thĩ sử đụng kết nối

CHƯƠNG In

BỨC TƯỜNG LỬA DỰA TRÍH HỆ THỐNG LINUX

Nitap dĩ

An toăn mạng vă đặc biệt hơn lă dùng câc bức tường lửa Internet lă một trong những điểm nóng nhất trong kinh doanh mây tính hiện nay Mối mạng mây tính riíng khi cần nốt với Intermet cần một bức tường lửa tương ứng, mă nó lă sự kết hợp giữa phần cứng, phẩn mềm vă câc quy trình để bảo vệ mạng Đa số câc sản phẩm bức tường lửa thương mai dĩu

khâ đất, nhất lă đối với câc công ty cỡ nhỏ , ,

Có một câch thay thế lă dùng Linux, một hệ điều hănh miễn phí Ta sẽ tập trung văo một số sắc thâi của Linux, tính năng thea dõi câc edi TP, mă đó lă một cấu thănh để xđy dựng câc bức tường lữa trín Linux Một bức tường lửa tốt còn cần nhiều thứ hơn một chút, chứ không chỉ một bộ lọc gói mă thôi Cuối cùng chúng ta sẽ thấy một số lời gợt ý để dùng hệ thống Linux như lă một giải phâp bức tường lửa hoăn chỉnh

Bỏ lạc gói EP

Trước khi mÔ tả sự sự cầt đặt trín linux số lọc gói E1, chúng 1â sẽ lầm quen với câc khâi niệm chúng

Câc bộ lọc gói kiểm tra câc gói đữ liệu tren mang (câc gói IP) vă quyết dinh xem cho phĩp câc gói ấy đi qua bộ lọc hay không Sự kiểm tra năy có thí ở nhiều công doạn, kÌH câc gói tin đến hệ thống hoặc khi nó dược chuyển qua hệ thống khâc

Việc quyết định cho phĩp hộ lọc ngăn chđn câc gói thường dựa trín mại số tiíu- chuẩn, dược kiểm tra qua nội dung câc gói [P vă môi số thông số môi trường

Địa chỉ IP của nguồn vă dích Điều đó cho phĩp người quản trị thú hẹp lưu thông

qua hệ thống bằng câch chỉ cho phĩp những gói đi đến (hoặc gửi di) đến một tập câc

mây chủ hoặc mạng đê biết Những dịa chỉ măy có thể lìm được trín phần đầu cửa

mỗi gói ÍP-

- Câc nghỉ thức như lă TCP, UDP hoặc ICMP cũng có thể tìm thấy trín phần đầu

của mỗi gói IP

Câc thuộc tính TP Một trong những thuộc tính dược biết dến nhiều nhất lă source rout (định đường di nguồn), mă nó được coi lă nguy hiểm Câc gói tin có mang

thuộc tính năy thường br chối từ

Câc số hiệu cổng nguồn vă đích tưng tk voi ede ede dich wu TCP va UDP

Những số hiện cổng năy có thể dược tìm thấy ở phầu dầu câc gói TCP vA UDP Cade

bộ lọc sử dụng câc số hiệu cổng có thẻ ta hẹp lưu thông tren mane đến một tập hạn

chế câc dịch vụ, mỗi loại ng ven mot cong đê quen biết,

Câc dấu hiệu TCP, mă chúng lă một phần của phan đầu của gói TCP da sd câc bộ

lọc cho phĩp câc bu ACK vă/hoặc SYN cia TCp được kiểm tra, xâc dịnh xem có

một phiín nối dược thiết lập không Điều đó rất có ích khita muốn cho phĩp câc

phiín TCP chỉ được kích hoạt ở bín trong (tức lă, chỉ từ câc mắy trong mạng nệng

của ta)

Câc kiểu thông điệp [CMP, mă dược dịnh nghĩa trong câc gói tin ICMIP Nó cho

phĩp ta thu hep luu thong [CMP văo một tập câc kiểu thông điệp Thí dụ, ta có thể

lagi trừ câc gói Echo Request (như được sử dụng trong lệnh ping)

Dữ liệu của người sử dụng, tìm thấy trong phần dữ liệu (phụ thuộc nghỉ thức) của câc gói IP Điều năy thật hạn chế, mă thường nó không thuộc văo câc bộ lọc gói tin

ỊP , : BPE To co

Thiệt bị mạng, thông qua đó gói được nhận hoặc sẽ dược gửi đi Nó cho phĩp ta có thể cho bộ lọc lăm việc với câc thiết bị mạng khắc nhau một câch khâc nhau (như câc giao diện bín trong vă bín ngoăi)

Ngăy vă giờ Thí dụ như nó có thể được dùng để hạn chế một số kiểu lưu thông

mạng văo giờ hănh chính

Một số tiíu chuẩn rất dễ kiểm tra, như câc loại thông tĩn có trín phần đầu của câc gói

IP Một số tiíu chuẩn khâc khớ: xử lý hơn, như những thông tin tim thay trín phần dầu của

gói TCP/UDP Thí dụ, một gói TCP có thĩ bi chia lam nhiều mênh [, tronE đó chỉ có mảnh

dầu có chứa phần đầu của gói TCP Hơn nữa, câc gói IP không chi qua lọc theo thứ tự, hởi

vì việc kiểm tra phiín được xử Lý ở tầng TCP Một số hộ lọc có thể đụng đến câc vấn dễ ấy,

còn một số bộ lọc thì không :

Bộ lọc gói Gin IP cd thể phần ứng với câc góỹi tín khâc nhau, phụ thuộc văo bộ lạc VĂ khả năng của hệ thống lọc Tâc động thông thường nhất của nó lă: cho phĩp gói tin thông qua lọc một câch bình thường hoặc huỷ bộ xâc nhận (như thông bâo ICMP Destinanon gói tin một câch cưỡng bức MIỘC só bộlọc còn cũng cấp kha nang gửi một thông tỉn

Unreachable - không tới được đích) trở lại cho người gũi, trong trường hợp gói bị lọc can

trở Ngoăi ra, bộ lọc thường gồm tính nẵng chỉ nhận đăng nhập, giúp người quần trị mang

trong việc phâi hiện người thđm nhập văo mạng trâi phĩp

Có một số câch để câi đặt câc bộ lọc gối tu trín hệ thống Unix Câch hiệu quả nhất

Lược đê lạc hạt nhđn

Hạt nhđn Linux cung cấp một bộ lọc ÏP tại mội số thời điểm: khi gói được nhận, khi

gói được gửi vă khi gói được chuyển tiếp (xem hình 1)

Đến hệ thống cục bộ Đi khỏi hệ thống cực bộ

Từ thiết bị nung tiến thiĩt bi mung Hink |

Mỗi trong ba bộ lọc trín bao gồm một chính sâch ngầm dinh vă một danh sâch câc quy tắc lọc Mỗi một quy tắc lọc xâc định một số đâc trưng của goi, như địa chỉ HP, có thể lă thiệt bị mạng, vă mỘt văi thuộc tính khâc Hơn nữa, mỗi quy lắc có chính sâch tương Ứng với

nó, xâc định phải lầm gì khí gói tin phù hợp với quy tâc ấy: - Sete -

Giải thuật dược dùng trong bộ lọc có thể dược mô tả như sau:

1 Từng bước duyệt danh sâch câc quy tắc lọc ứng với lọc vă kiểm tra xem gói tin có phù hợp quy tắc lọc năo không

2 Quy tắc đầu tiín mă nó phù hợp xâc dịth mọi hoạt động tiếp theo - Chính sâch của quy tắc được ấp dụng cho gót tím

Mỗi quy tắc có chứa bộ đếm gâi ủn vă câc byte, (bo dĩm sẽ đdượctêng lín khi gói

trưng với quy lắc

- Có thể một số thông tín về gói được ghỉ lại văo tếp log hat nhan của Linux

Cuối cũng, quy lắc có thể chứa câc tham số xâc dịnh thay đối trường TS trong

3 Nếu không có quy tắc lọc năo trùng với g đi, chính sâch ngầm định ứng với hộ lọc

sẽ được sử dụng

Hiện có 3 chính sâch được Linux str dung: Accept: chap nhan gối tin, cho di qua bộ lọc Deny: loại bỏ gói tin

Rejact: không chấp nhận gói tin, gửi thông bâo không tdi dich kiểu ICMP tr lai người gửi như thông bâo lỗi

Câc quy tắc lọc trong Linux gồm những mục sau:

Dia chi IP nguồn vă dích, cả hai dĩu có mặt nạ riĩng 32 bit Mic dù người ta hay dùng mặt nạ như mạng bình thường, nó vẫn cho phĩp quy tắc bao gồm mạng (con), mặt nạ có thể chứa một mẫu bít bất kỳ Nếu mặt nạ chỉ chứa toăn số không, nó : trùng khớp với mọi địa chỉ

: Nghỉ thức, có thể lă TCP, UDP, ICMP hoặc " "any”

Số hiệu cổng (dịch vụ) nguồn vă đích, sử dụng trong kết hợp với câc gói TCP va UDP Cho phĩp xâc dịnh đến 1O cổng nguồn vă dích, gồm cả khoảng câc cổng (thí

dụ như: 1024 - 65535, thể hiện mọi cổng không đặc quyền)

Kiểu thông điệp, sử dụng với câc gói ICMP

Câc bìL để so sânh với câc dấu hiệu TCP ACK vă SYN, dượcdùng để từ chối việc 7° -_ thiết lập mối nối TCP mới trong mội hướng nhất định ¬-

Tín hoặc dịa chỉ IP của thiệt bị mạng Câc quy tâc chứa xâc định thiết bị sẽ chỉ trùng với câc gói tin đến (hoặc sẽ đi) qua một thiết bị xâc đính

Xâc định để thay đổi TOS (Tyne Of Srvice - kiểu dịch vụ) trong phần dầu gói 1U,

được dùng khi gói được chấp thận theo quy lac Ay

Dấu hiệu chỉ dịnh nếu một thông tin cơ sở dược ghỉ văo tệp log mức hạt nhăn - Linux, trong trường hợp gói trùng với quy tắc ấy ¬

Bđy giờ sau khi đê xenmt xĩt khâi niệm cơ sở của bộ lọc bức IV ongf lứa của LinUx, ta

sẽ xem xĩt câch quần trị câc quy tắc từ quan điểm của người quản ti

Quản trí câc bộ loc bức trồng lúa oe

Giao diện cho việc quần trị câc quy tắc lọc mức hạt nhđn ở mức người dùng thường gồm hai phần:

- Câc quy tắc bức tường lữa có thể:-được tạo lập vă xó bỏ thông qua lệnh gọi hệ thống VN Thông qua cơ chế như vậy chính sâch ngầm định của bộ lọc có thể được thay đổi Mioi chỉ tiết của giao diện năy được mô tả ở trang trợ giúp của lệnh #mwt4)

Câc bộ lục có thể được thanh tra bằng câch dọc câc lệp giả (pseudo-files) sau trong

{procluetlin inprit /procinetlip output iprocinetlip_fo ward Mỗi tệp trín liệt kẻ chính sâch ngẫm định, theo sau lă chỉ tiết tất cả câc quy tắc (nếu có) thuộc về câc bộ lọc trong đạng tóm tẮ

Lệnh an cũng cấp mot giao điện dòng lệnh dể quản trị chức nđng bức tường lửa của Linux: nó có thể dùng để thay đổi hoặc thanh tra mọi sắc thâi của bộ lọc hạt nhđn Ta

hêy bắt đầu từ một thí dụ đơn giản: ‘

ifpwadm -I -a deny -S 192.168:22.0/24 -D 0.0.0.0/0

Lệnh năy có ý nghĩa "chối từ tất cả câc gói tin đến từ mạng 192.168.22.0” Nó thím (-a) một quy tắc mới văo danh sâch câc quy tắc lọc thuộc bức tường lửa đồng đến (- Câc bộ lọc đòng đi hoặc dòng chuyển tiếp có thể được thay đổi bằng câch sử dụng câc thuộc tính -O va -F tương ứng Sau lính thím thì chính sâch của quy tắc được xâc dịnh Câc từ khoâ có hiĩu lye & day la accept, deny va reject (chdi từ song gửi trả lời bê ing thong di¢p ICMP) Cac địa chỉ nguồn (-s) vă dích (-d) đều bao gồm cả mặt nạ: câi đuôi /24 vă /0 tương đương với /255.255.255.0 vă /0.0.0.0 tương ứng Mọi địa chỉ IP sẽ được coi lă trùng với đích đê xâc định, ví mặt nạ của nó chỉ chứa`toăn số 0 (chúng ta cũng sẽ viết có câi như sau 11.22.33.44/0) Thí đụ khâc: 0.0.0.0/0 kejner \ ipfwadm -I -a accent -k -S ~D 192.168.37.1 1024:68535 : ipfwadm -O -a accept -F tap -S 192.168.37.1 1024:65535 \ -D 0.9.0.0/0 telnet

Lệnh trín tạo hai quy tắc (một cho bức tường lửa dòng dến, một cho bức tường lửa dòng dÙ mă nó chấp nhận mọi gót tín thuộc về phiín telnet di (cr đđy giả thiết rằng dia chi tp cục bộ của chúng ta lă 192.168.37.1) Nghi thức được xâc định thông qua thuộc tính -P vă sau địa chỉ IP tín dịch vụ (telnet, xâc dịnh cổng 23) vă khoảng cổng (trong trương Thựp năy lă toăn bộ câc cổng không, dặc quyển) dược] xâc dịnh Thuộc tính -K bất quy tắc cến chỉ - khớp với câc gói có đấu hiệu TCP ACK dược dặi Điều đố, ngăn cần mọi người thử khởi động phiín nối từ bín ngoăi (sử dụng cổng 23) đến công không đặc quyển năo đó của hệ thống chúng ta

- Trong trường hợp trín, mọi sự chuyển tiếp bị cấm, trừ phi câc gói phù hợp với một quy tắc chuyển tiếp năo đó, cho phĩp chúng đi qua lọc một câch tường minh Câc lọc có thể được liệt kí khi dùng lệnh <L, như:

ipfwadm -I -1

Lệnh trín sẽ sinh ra kết quả sau, nếu ta đê cung cấp câc lănh ipfwadm cho bức tường lửa dòng nhập như trín: ‘

IP firewall input rules, default policy: accept

typ prot source - destination ports

đen all 192.168.22.0/24 anywhere n/a

acc tcp anywhere “ : gw foo.com telnet -> 1024:65535

acc tcp anywhere - gw foo.com ftp -> 1024:65535 acc tcp anywhere gw.foo.com " £€tp-data -> 1024:65535 Tĩn may duge in ra, ‘gw foo.com, ứng với hệ thống cục bộ, có dia chi IP 192.168.37.1.Có một số thuộc tính để thay đổi hoặc mở rộng việc hiện kết quả của ipftzdm Thí dụ trín chỉ hiện chúng ở dạng đơn giản nhất

Miệt số điểm cần bổ sung cho việc quản trị câc bức tường lửa bộ lọc:

Thứ tự của câc quy tắc rất quan trọng: chỉ có quy tấc đầu tiín phù hợp dược sử dụng, như vậy câc lệnh pfêsadr phải được sắp xếp theo đúng thứ tự mong muốn Hêy cố gắng hết mức dễ kết hợp câc quy tắc với nhau (bằng câch xâc định nhiều

Zz + x ` ` ae 2 â = os ae +

câc cổng vă tín địch vụ), vì việc kiềm tra câc quy tac lec dai vai moi edi IP cúng cẩn một thời gian CPU năo đó : -

Hêy kiểm tra chắc chấn đê dịnh nghĩa câc bộ lọc thích hợp khi khởi đệng hệ thống Nơi kiểm tra tốt nhất lă trước khi câc thiết bị mạng được cấu hình (sử dụng lĩnh ifconfig) Mac di Avzớn cho phĩp ta xâc định tín mây vă mạng khi định nghĩa câc quy tắc lọc, song chúng không lầm việc tốt Irong đa số câc trường hợp, vì hệ thống không thể phđn tích tín đúng trước khi mạng hoạt động Vì lý do đó, hêy dùng thuộc tính -n (kết xuất dạng số) khi liệt kí câc lọc ở thời điểm mạng chưa hoạt

động , :

Khi chúng ta cần thay đổi lọc trín hệ thống vận hănh, cần cho thực hiện câc lệnh theo đâng trình tự:

1 Đặt chính sâch ngầm định của lọc lă ,ienw

2 Loại bồ tất cả câc quy tắc thuộc về lọc đó (thuộc tính /pẤteim -Í) 3 Thiết lập lại tập hợp câc quy lắc lọc

Đặt lại chính sâch ngẩm dịnh theo giâ trị mong muốn

+

Điều dó lầm ta chắc chấn rằng ta không dể khoảng thời gian năo mă lưu thông trín mạng không bị hức tường lửa kiểm sôi

Để có câc thơng tín chỉ tiết hơn vă câc thuộc tính, hêy xem phụ lục về vai Hoâ trang

Hạt nhđn Linux còn cùng cấp chờ chúng ta một cơ chế dùng trong câc giải phâp bức tường lữa: hoâ trang câc gói IP Điều đó có nghĩa lă một số hoặc tất câc câc gói được chuyển tiếp thông qua hệ thong Linux cd thĩ được thay ‹ 3ï níu schúng được gửi từ hệ thống cục bộ

Như vậy, địa chỉ TP nguồn được thay bằng dịa chỉ [p cục bộ vă cổng nguồn được thay bằng

0005) Do việc quản trị dược lưu trữ rong câc cổng được sinh một câch cục bộ (thí dụ: 6 " một câch tự động vă chuyĩn i

phiín hoâ trang, câc gói dĩn câc cổng sẽ được "giải hoâ trang” tiếp dến cho hệ thống ban đầu khởi sinh ra phiín đó

Bảng dưới đđy tóm tất chức năng hoâ trang cho một phiín telnet từ một mây bín trong (192.168.37.15) đến mây bín ngoăi (10.42.17.8), thông qua hệ thống Linux thực hiện hoâ trang (192.168.37.1): HS Tử : Nguồn Dich bia chi IP Cổng -_ Địa chỉ Ip Cĩng gói tin gốc 1921683715 |1207 |1042178 |23 hoâ trang 192.168.37.1 | 60005 10.42.17.8 - |23 góitảlời |1042178 |23 192.168.37.1 60005 giải hoâ trang | 10.42.17.8 23 192.168.37.15 | 1207

dn sau khi di qua lọc của bức tường lửa dòng chuyển tiếp sau ki nhận gói vă câc gót được giải hoâ trang không phải tiếp nữa Hình 2 chỉ lưu đồ mức hạt nhđn bao gồm Việc hoâ trang được thực hí

_—_ Hô trang khơng đê như người la tưởng: một số nghị thức cần một sự chđm sóc đặc

biệt, Một trong câc lĩnh vực đê được tìm thấy lă nghỉ thức ftp đê dược sử dụng rộng rêi, vì

nghĩ thức năy dùng một phiín thứ hai (thông thường dược khởi động từ trạm xa) để vận chuyển đữ liệu thực sự Vấn đề tương tự cũng xảy ra với nghỉ thức LRC Bản căi dat hea trang TP của Linux lăm việc với câc tính nắn của âcc nghi thúc đặc thù năy riíng biệt qua cấc module khả nạp Một vấn để nữa lă mây uỷ quyển trong suốt lăm việc trín câc nối mức vận chuyển, trong khi việc hoâ trang được căi đặt ở mức mạng: Bản căi đêi hiện nay cố gang dụng đến việc quần trị phiín có giới hạn, song như vậy vẫn sẽ còn một số điểm yếu

Việc hoâ trang có thẻ được cho phĩp bằng câch xâc định chính sâch đặc biệt cho quy tắc lọc chuyển tiếp Lệnh sau đđy tạo một quy tắc mă nó lăm cho mọi gói của phiín teluet di được hoâ trang (cho trước địa chỉ mạng cục bộ của ta lă 192.168.37.0):

ipfwadm -F ~a masquerade -P tcp ~-§ 192.168.37.1/24 \

1024:65535 -D 0.0.0.0/0 telnet :

Lệnh năy tạo quy tắc mă nó sẽ bắt mọi lưu thông TCP vă UDP di phải dược hoâ

trang Song nó cũng cho phĩp tất cả câc gói khâc (như thông bâo FCMIP) được chuyển tiếp

mă không bị thay đổi, vì chúng cúng thoả mạn quy tắc năy Như vậy, có lẽ tốt hơn lă ta xử lý

từng trường hợp như sau: : - Tă ipfwadm -F -p deny ipfwadm -F -a masquerade -P tcp -S 192.168.37.1/24 \ -D 0.0.0.0/0 ipfwadm ~F -a masquerade -P udp -5 192.168.37.1/24 Ă ~D 0.0.0.0/0

Đặc biệt khi sử dụng câc dịa chỉ IP không dang ký trín mạng trong của ta (như câc dia chỉ được định nghĩa trong RFC1597, hoặc trong trường hợp xấu hơn lă câc dia chí bêi hợp phâp), không gút năo có thể chuyển tiếp trực tiếp cả me ¬

Xin lưu ý rằng không có một "quy tắc hoâ trang” nĂo, mă chỉ có câc quy tac chuyển tiếp với chính sâch đặc biệt, Như vậy, ta có thẻ liệt Kẻ câc quy tắc với lệnh như sau:

ipfwadm -I -1

mă nó sẽ cho kết quả như sau (với thí dụ như trín):

IP firewall forward rules, default policy: accept typ prot source destination ports

msq ben 192.188.22.0/24 anywhere any -> any

msq udp 192.168.22.0/24 anywnere any -> any

Ngoăi thông tín tĩnh trín, danh sâch câc phiín hiện tại đang đwocj hoâ trang có thể được thanh tra, Đồ lă câc thông tin động, thay đối liín tục, mă nó có thể dược dùng đề theo dõi câc phiín nối từ ngoăi dang hoạt động Lệnh vĩ 7

ipfwadm -M -1

có thể cho kết quả thí dụ nhữ sau:

IP masquerading entries

prot expire source destination ports

tcp 13:00.15 intl.foo.com ext2.bar-com 1017 (49001) ~> login

tep 14:15.60 int2.foo.com eztl.bar.com 1346 (69010) -> telnet

top 14:52.82 intl foo.com extl.bar.com 1349 (469015) -> ftp

Bảng trín chỉ ra ba phiín dược hô trang Thơng lin được dọc từ lệp gia iproctnetiip_masquerade, ma nd duce chuyển thănh dạng người ta có thể đọc được qua

Tiếng kệ bít thông IP

Trong Linux, lưu thông IP có thể được thống kẻ nhờ câc quy tắc thóng kí, dược định

nghĩa bằng một số dặc trưng như trong câc quy tắc lọc Việc thống kí được thực hiện ở hai

nơi: khi gói tín dược nhận vă khi gói tin được gửi đi (xem hình 3) 4 Đến hệ thống cục bộ -=Đi khỏi hệ thống cục bộ ACCT ACCT “Từ thiết bị mạng , : Đến thiết bị mạng — "5 ¬ Nình 3

ˆ Như vậy gói tín chuyển Hếp được đím hai lần: lần thứ nhất ngay sau khi nó tới, lần thứ hai khi nó dược gửi lạt ra ngoăi Như vậy chỉ có raột danh sâch dơn câc quy tắc thống

R mă nớ được sử dụng cho cả hai lưu đồng đến vă đi, Đối với mọi gót tin, mọi quy tắc rong danh sâch được kiím tra vă câc bộ đếm gói tin va byte của mối quy tấc phù hợp dược

tăng lín Lưu ý sự khâc-nhau so với câc danh schs bức Lường lửa: việc duyệt danh sâch sẻ dừng khi một quy tắc được thấy phù hợp a Lanh ipfivadin sau day sĩ đếm mọợi đồng hp liín quan đến người sử dung may phục WWW từ bín ngoăi: ‘ ipfwadm -A -a —b ~ ethl -P >ep ~8 0.0.0.0/0 \ ~D 192.168.37.L www

Trong đó giả thiết rằng hệ thống cục hệ có đặt mây phục vụ WWW có địa chỉ IP lă

192.168.37.1 Ching ta hay xem xói những thuộc tính mới của lệnh trín, Thuộc tính -b có

nghĩa "cả hai hướng” vă nó lăn: cho mọi gói di te 192 168.37.1 (cdng 80) duge tính Thuộc

tính -W có tham số lă tín giao diện, như vậy chỉ có đồng chạy qua giao điện riíng nầy được

tính mă thôi Câc gối di qua câc giao diện khâc (thí dụ như qua chổ nối với mang trong của

Một số gợi ý để dùng việc thống kế cho có hiệu quả:

Đặt lại câc bệ đếm tại âcc thời điểm nhất định thông qua cron, thí dụ mỗi ngăy hoặc mỗi giờ Hiện tại, bộ đếm lă câc số nguyín không dấu 32-bit, như vậy lă

nó có thể bị quay lại sau 4 GByte ,

Kết hợp câc thuộc tính -l (ẹt kẻ) va -z (dat lại vẻ OQ) sĩ dat câc bộ đếm về lạt Ô ngay sau khi hiện giâ trị hiện thời, như vậy không có gói.năo không được đếm cả

Ta sẽ nhận dược kết xuất khâ hơn vứot việc đặt âcc thuộc tính -Alex có thể cùng với câc thuộc tính -z (đật lại giâ tr) hoặc -n (kết xuất dạng số)

Nếu ta muốn tính tất cả câc lưu thông bao gồm một số nghị thức xâc định, như http vă ffp, ta có thể định nghĩa câc quy tắc để đếm mọi lưu thông vă câc quy tắc để đếm những nghỉ thức trín Sau đó chỉ cần trừ câc giâ trị cho nhau

Khi liệt kí câc quy tắc thống kí (vă câc giâ tương ứng) qua ip#wadm, tệp giả

#preclnetlip_acct được đọc : Sg

Thi du minh hoa:

Phần năy trình băy một thí dụ hoăn chỉnh để thiết lập bộ bức tường lửa lọc gói IP tín hệ thống Linux hoạt động như một cửa khẩu giữa Internet vă mạng nẻng Lưu ý rằng thí dự măy chỉ mang tính chất mình hoạ Mặc dò nó sẽ bảo vệ mạng bín trong một mức độ năo đó song ta chưa coi đó lă một giải nhấp bức tường lửa hoăn chỉnh, khổng lồ -

Thí dự được ấp dụng cho hệ thống cửa khẩu của mạng (09/2ø.com) nối với Tnternet sử dụng giao diện 192.168.22.15 vă với mạng riíng (192.168.37.01 thông qua giao điện 192.168.37.1 Hệ thống lă mây phục vụ WWWV vA FTP cong cong nó có thủ gửi vă nhận thự điện tử, nó hoạt động như trạm dừng thư cho mạng riíng vă lă mây phục vụ tín (DNS) cho vung foo.com

Câc mây trín mạng riềng có thể trực tiếp sir dung telnet, WWW, fip gopher va WAIS trín Internet (mă thường không dược khuyến câo sử dụng cấu trúc bức tường lừa như vậy) Song, lưu thông ICMP cũng được cho phĩp không có sự hạn chế năo (thí dụ, cho phĩp pín£) Lưu ý rằng aczrar/e không lăm việc, vì rằng nó sử dụng câc gói UDIP' đến một số cổng~- không đặc quyền : # Một số định nghĩa để dê bảo trì LOCALRO ST=" GW FOO COM” TFEXTERN="192.168.22 15 LFINTERN="192.165.37.1" LOCALNET=""192-168.3.1.0/24" ANYWHERE={"0.0.0.0/0" - UNPRTIVEFORTS=*1024:65535š # ===== Câc quy tắc cơ bản £ Hêy chắc rằng ta đê cẩn thđn, song ta đê đủ cẩn thđn chưa? ipfwadm -I -p deny ipfwadin -O -p deny ipfwadm -F -p deny

# Kử lý cAc gĩi tin lua phinh ipfwadm -I -a deny -V SIFEXTEA ipfwadm ~I -a deny -V SIFEXTER

N —S GLOCALUET -D SANYWHERE N o-S Ir Fa SANYWHERE

# Không hạn chế lưu thông bận trong mạng CỤC bộ

ipfwadm -I-a accept ~V SIFINTEPN -S SANYWHERE -D SANYWHERE ipfwadm -9 -a accept -V SUFINTERM -S SANYWHERE -D SANYWHERE

# Không han chế lưu thông TCH?P (thông khuyến khích) ipfwadm -I -a accept -P icmp -S SANYWHERE -D SANYWHERE

ipfwadm -O -a accept -P icmp -S SANYYHERE -D SANYWHERE

ipfwadm -F ~-~a accept -P icmp -S SANYWHERE -D SANYWHERE

# ===== SỬ dụng hệ thống của ta từ bín ngoăi

# Truy nhập công cộng cho e-mail ftp, WW vă DNS

ipfwadm -I -a accept -P tcp \

-S SANYWHERE -D $LOCALHOST smtp ftp www domain

ipfwadm -I -a accept -P udp \

: -S SANYWHERE ~D $LOCALHOST domain

ipfwadm -I -a accept -P tcp \

~S $ANYWHERE ~D S$LOCALHOST -ftp-data

ipfwadm -O -a accept -P tcp -S $LOCALHOST smtp ftp\ ftp-data www domain -D SANYWHERE

ipfwadm -O -a accept -P udp \ -

-S SLOCALHOST domain -D SANYWHERE

ít Q 9 Đ > HH " int we xo wn oO ~

-§ SANYWHERE ẾEp wuw telne!

-D SLOCALNET $SUMNPRIVPOR?S

ipfwadm -E -a accept -P tep \

(+S SANYAHERE ftp-data -D SLOCALNET SUNPRIVECRTS

ipfwadm -F -a accept -P udp \ -

~5 SANVWHEEE z3950 -Ð SLOCALNET SUNPRIVFORTS Một văi nhận xĩt về thí dụ ở trín:

Biến SLOCALHOST sẽ chỉ được dùng nếu tín đó được ânh xạ tới hai địa chi IP tương úng, SIFFINTERN va SIFFEXTERN, thong qua tĩp /etc/hosts, không cẩn đến mây phục vụ tín Lệnh ipfwadm sẽ tự động tạo số lượng câc quy tắc lọc cần thiết

khi tín đê cho có nhiều hơn một địa chỉ TP

- Một số quy tắc cần cho tất cả câc mắy trín mạng bín trong vă một số chỉ cầu cho

hệ thống cửa khẩu Trong những trương fhợp đó, hai quy tắc sẽ dwocj tạo ra, mọt cho §LOCALNET vă một cho SIFFEXTERN, cùng nhau phủ hết mọi địa chỉ cần

thiết ˆ oe l

- Khi thím câc dịch vụ, như r(ogin, sẽ cần cho phĩp một khoảng câc cổng rộng hơn dịnh nghĩa trong SUNPRIVPORTS Đối với những löại dịch vụ như vậy, khâch sử

CHƯƠNG IV

CHƯƠNG TRÌNH FIREWALL “GUARDIAN”

Chương trình Guardian lă hệ thống chương trinh an ninh truy

nhập trín Internet Chương trinh sử dụng cơ chế lọc với những chức

năng an toăn cao vă giao diện thđn thiện cho người dùng để thiết lập

cấu hình vă quản trị mạng Chương trình Guardian cung cấp câc chức

năng quản trị mạng trung tđm nhằm bảo vệ mạng cục bộ Câc chức năng năy có thể được thiết lập hộp công cụ quản trị hệ thống mạng

Nhờ có hộp công cụ nảy người quản trị hệ thống có thể hạn chế mức độ truy nhập của người sử dụng văo mạng riíng cần bảo vệ, hạn chế truy nhập trong những ngăy, giờ cao điểm, hạn chế sử dụng những

chương trình quâ lớn có sử dụng nhiều bộ nhớ tải nguyín

Chức năng chính của Guardian

- Xđy dựng hệ thống an toăn vă an ninh mạng

- Xđy dựng cơ chế cảnh bâo vă truy nhập hệ thống

- Chạy câc chương trình ứng dụng một câch trong suốt

- Có khả năng hễ trợ bổ sung khi mạng phải cấu trúc tại hoặc mở ˆ

rộng

Câc chức năng quản trí mang:

- Quản trị bín trong mạng LAN - Theo dõi những sự kiện nghi vẫn

- Theo dõi từng phiín liín lạc theo thời gian thực

Firewall - Guardian ee rr

- Hỗ trợ cho câc dịch vự Internet vă cho phĩp khả năng định nghĩa thím câc dịch vụ mới a

- Câc thủ tục liín lạc giữa FireWall vă người quản trị hệ thống được bảo mật

MĐN HÌNH ĐỐI THOẠI CHÍNH CỦA GUARDIAN

- File 7

- Agents (Định nghĩa câc phiín theo dõi của Guardian) /

Firewall - Guardian

+ Alert (có cảnh bâo mỗi lần đi qua bộ lọc, mỗi một cảnh _ bẩ được ghi nhận lại)

` CHƯƠNG V

MICROSOFT PROXY SERVER

1 GIỚI THIEU CHUNG

Trong vấn đề bảo vệ mạng mây tính những nhă nghiín cứu về an ninh

an toăn mạng đê đề cập nhiều vấn đề Mục tiẻu chung lă tạo được một "bức tường lửa để ngăn chặn mọi sự truy cập bất hợp phâp trín mạng văo mang

mây tính của mình

Câc kỹ thuật để xđy dựng “bức tường lửa” đê, đang vă sẽ tiến hănh nghiín cứu că? đặt vă hoăn thiện để đâp ứng với sự phât triển của công nghệ

thông tin hiện tại vă tương lai

“Thủ thuật Proxy Server lă mội trone những giải phâp nhằm mục đích kiến tạo nín bức tường lửa trong việc bâo vệ mạng mây tính

1 Khâi niệm vẻ Proxy Scrvcr

Proxv server lă một mây chủ được cấu hình lại để thực hiện việc đại

điện cho một nhóm cdc may client Private LỊ \ / network ro \ | Mang ngodi | i — ` Ix oS im IQ} BZ l^ Proxy \ Mang server trong Hình 8

Quâ trình thực hiện chức năng đó thể liệu như sau:

Khi mĩt may client nao dĩ trĩn mang noi bĩ (private network) thực

hiện một víu cầu đối với Ì mây ở trín mạng š ngoăi (Internet) Prexy server o

trín mạng nội bộ trả lời băng câch dịch vă truyền yíu cầu đó tản mạng ngoăi,

Proxy Server —————-

Khi mây ở mạng ngoăi nhận được yíu cầu vă wa loi, Proxy Server chuyĩn tra lời đó cho mây client trín mạng nột bộ vă như vậy 1 yíu cầu được thực hiện

Về vị trí vă câch ghĩp nối thì Proxy server lă mây cửa khẩu (Gateway) giữa mạng nội bộ vă mạng ngoăi; trín đó căi đặt phần mềm đặc biệt để tạo

điều kiện truyền thông giữa hai mạng vật lý khâc nhau ID] : Mang ngoăi

+ + => Yíu cẩu vă nhđn trả lời của 1 mây ở mạng trong

T7 — Nhđn yíu sâu vă trả lời của mây trín mạng ngoăi Hình 9 `

Va nhu vay Proxy server thực thi chức nang cửa khẩu giữa mang noi

bộ vă mạng ngoăi Chúng ta thiết lập cấu hình cho Proxy Server để cho phĩp câc mây trong mạng nội bộ sử dụng âc dịch vụ từ xa tren mạng agoa

(Internet)

Chức năng ở ; đđy tương tự như Đanie cho phĩp thực thị củc yếu vă du Khai

thâc câc dịch vụ Internet nhưng khỏng cho phĩp câc truy nhập cat hop phâp

từ Intemet vă mạng nội bộ

2, Microsoft Proxy Server

Microxom Proxy Server eM{PS) thuc thi mot cach don gin, 40 foun CAO việc triển khai câc UY nhập dín mạng ngoăi cho moi mot may wen mang

nai bo