TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA CÔNG NGHỆ THƠNG TIN BỘ MƠN MẠNG MÁY TÍNH & VIỄN THƠNG PHAN TRUNG HIẾU - TRẦN LÊ QUÂN CÁC PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL KHĨA LUẬN CỬ NHÂN TIN HỌC NIÊN KHĨA 2001 - 2005 GVHD: ThS Đỗ Hồng Cường Luận văn tốt nghiệp Mạng máy tính TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA CÔNG NGHỆ THÔNG TIN BỘ MƠN MẠNG MÁY TÍNH & VIỄN THƠNG PHAN TRUNG HIẾU TRẦN LÊ QUÂN 0112463 0112319 CÁC PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL KHÓA LUẬN CỬ NHÂN TIN HỌC GIÁO VIÊN HƯỚNG DẪN Th.S ĐỖ HỒNG CƯỜNG NIÊN KHĨA 2001 – 2005 Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính LỜI NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính LỜI NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính LỜI CẢM ƠN Sau tháng nỗ lực thực hiện, luận văn nghiên cứu “Các phương pháp lập trình vượt firewall” phần hoàn thành Ngoài nỗ lực thân, chúng em nhận khích lệ nhiều từ phía nhà trường, thầy cơ, gia đình bạn bè khoa Chính điều mang lại cho chúng em động viên lớn để chúng em hồn thành tốt luận văn Trước hết, chúng xin cảm ơn bậc làm cha, làm mẹ ln ủng hộ, chăm sóc chúng tạo điều kiện tốt để chúng hồn thành nhiệm vụ Chúng em xin cảm ơn nhà trường nói chung Khoa CNTT nói riêng đem lại cho chúng em nguồn kiến thức vơ q giá để chúng em có đủ kiến thức hoàn thành luận văn làm hành trang bước vào đời Em xin cảm ơn thầy cô thuộc môn MMT, đặc biệt thầy Đỗ Hoàng Cường – giáo viên hướng dẫn chúng em tận tình hướng dẫn giúp đỡ chúng em chúng em có khó khăn q trình học tập trình làm luận văn tốt nghiệp Xin cảm ơn tất bạn bè thân yêu động viên, giúp đỡ chúng em suốt trình học tập làm đề tài Một lần nữa, xin cảm ơn tất người… TPHCM 7/2005 Nhóm sinh viên thực Phan Trung Hiếu – Trần Lê Quân Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hồng Cường Luận văn tốt nghiệp Mạng máy tính LỜI NĨI ĐẦU Nội dung luận văn trình bày chương thuộc phần khác : Phần thứ nhất: CƠ SỞ LÝ THUYẾT • Chương 1: Giới thiệu firewall • Chương 2: Khái niệm proxy • Chương 3: Các phương pháp lập trình vượt firewall Phần thứ hai: CÁC PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL • Chương 4: Vượt firewall HTTP proxy Servers • Chương 5: Vượt firewall Web-based proxy Phần thứ ba: MODULE CHỐNG VƯỢT FIREWALL • Chương 6: Plug-in chống vượt firewall cho trình dut Internet Explorer • Chương 7: Service chống vượt Firewall Phần thứ tư: TỔNG KẾT • Chương 8: Kết luận Phân thứ năm: PHỤ LỤC Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính MỤC LỤC Chương 1: GIỚI THIỆU VỀ FIREWALL 11 1.1 Đặt vấn đề: 11 1.2 Nhu cầu bảo vệ thông tin: .11 1.2.1 Nguyên nhân: 11 1.2.2 Bảo vệ liệu: .13 1.2.3 Bảo vệ tài nguyên sử dụng mạng: .13 1.2.4 Bảo vệ danh tiếng quan: 13 1.3 Các kiểu công: 14 1.3.1 Tấn công trực tiếp: 14 1.3.2 Nghe trộm: 15 1.3.3 Giả mạo địa chỉ: .15 1.3.4 Vô hiệu chức hệ thống (DoS, DDoS): 15 1.3.5 Lỗi người quản trị hệ thống: 16 1.3.6 Tấn công vào yếu tố người: 17 1.4 Firewall ? 17 1.5 Các chức chính: 19 1.5.1 Chức năng: 19 1.5.2 Thành phần: 20 1.6 Nguyên lý: 21 1.7 Các dạng firewall: 23 1.8 Các ý niệm chung Firewall: 25 1.8.1 Firewall dựa Application gateway: .25 1.8.2 Cổng vòng(Circuit level gateway): 27 1.8.3 Hạn chế Firewall: .28 1.8.4 Firewall phá hay không: 28 1.9 Một số mơ hình Firewall: .30 1.9.1 Packet-Filtering Router: 30 1.9.2 Mô hình Single-Homed Bastion Host: .32 1.9.3 Mơ hình Dual-Homed Bastion Host: 34 1.9.4 Proxy server: 36 1.9.5 Phần mềm Firewall – Proxy server: 37 1.10 Lời kết: 46 Chương 2: KHÁI NIỆM PROXY 47 2.1 Proxy gì: 47 2.2 Tại proxy lại đời: 48 2.3 Tổng kết chung proxy: 48 Chương 3: CÁC PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL .50 3.1 Vượt firewall gì: .50 3.2 Phương pháp thứ nhất: HTTP Proxy .50 Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính 3.3 Phương pháp thứ hai: Web-Based Proxy .51 3.4 Phương pháp thứ ba: Http Tunneling 51 Chương 4: VƯỢT FIREWALL BẰNG HTTP PROXY .53 4.1 Khi HTTP Proxy Server trở nên hữu ích: 53 4.2 Chức chính: 56 4.2.1 Truy cập Internet: 56 4.2.2 Caching documents: .57 4.2.3 Điều khiển truy cập Internet cách có chọn lọc: 59 4.2.4 Cung cấp dịch vụ Internet cho quan sử dụng IP ảo: 60 4.3 Một phiên giao dịch (transaction) thông qua proxy : 60 4.4 Kết nối thông qua proxy server: .61 4.5 HTTP proxy: 61 4.6 FTP proxy: 62 4.7 Tiện lợi bất tiện cache trang Web: 63 4.8 Những bất cập proxy: .63 4.9 Kĩ thuật lập trình HTTP Proxy bản: 64 Chương 5: Vượt firewall Web-Based Proxy 65 5.1 Thế web-based anonymous proxy ? 65 5.2 Cách thức hoạt động WBP : 66 5.3 Giới thiệu trang Web Based Proxy: .67 5.3.1 Giao diện: 67 5.3.2 Chức năng: 67 5.3.3 Thuật toán: 69 Chương 6: Plug-in chống vượt firewall cho trình duyệt Internet Explorer .73 6.1 Giới thiệu sơ lược : 73 6.2 Các tính chính: .74 6.2.1 Lọc trang web dựa việc duyệt danh sách trang web có sẵn sở liệu: .74 6.2.2 Lọc trang web dựa chế kiểm tra địa (URL): 74 6.2.3 Lọc dựa nội dung Input Form trang web: 75 6.2.4 Cập nhật trang web based proxy: .76 6.2.5 Vơ hiệu hóa/kích hoạt plugin: 76 6.3 Một số vấn đề cần lưu ý viết plugin cho trình duyệt IE : 76 6.3.1 Khái niệm Browser Helper Objects (BHO): 76 6.3.2 Một số hàm xử lí quan trọng: 78 6.4 Chi tiết lưu trữ liệu : 79 6.4.1 Bảng Forbidden 79 6.4.2 Bảng Trusted 79 6.5 Thuật tốn ứng dụng : 79 6.5.1 Mơ hình hoạt động Plugin : .79 6.5.2 Diễn giải mơ hình : 81 Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính 6.6 Những ưu điểm hạn chế: 82 Chương 7: SERVICE CHỐNG VƯỢT FIREWALL 83 7.1 Giới thiệu sơ lược : 83 7.2 Các tính module: 83 7.3 Module bắt gói tin : .84 7.3.1 Đặc điểm gói tin HTTP request đến HTTP Proxy Server: 84 7.3.2 Tóm tắt bước cần lưu ý xây dựng module; 84 7.3.3 Chi tiết đối tượng, hàm xử lí module : 85 7.4 Module chặn địa IP: 85 7.4.1 Giới thiệu Filter-Hook Driver : 85 7.4.2 Tóm tắt bước xây dựng Filter-Hook Driver để bắt gói tin: .86 7.5 Chi tiết lưu trữ liệu : 86 7.5.1 Bảng ForbiddenProxy 86 7.5.2 Bảng TrustedProxy: 86 7.6 Sơ đồ hoạt động Module chặn địa IP : 87 7.7 Diễn giải mơ hình : 87 7.8 Nhận xét – đánh giá : 88 7.8.1 Ưu điểm: .88 7.8.2 Khuyết điểm: 89 Chương 8: KẾT LUẬN 90 8.1 Những kết đạt được: .90 8.2 Hướng phát triển : 91 DANH SÁCH HÌNH Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Mơ hình cơng DDoS 16 Mơ hình firewall .18 Lọc gói tin firewall .18 Một số chức Firewall .20 Lọc gói tin 21 Firewall cấu hình router .23 Firewall mềm 26 Tấn cơng hệ thống từ bên ngồi .29 Packet filtering 31 10 Mơ hình single-Homed Bastion Host 33 11 Mơ hình Dual-Homed Bastion Host 35 12 Mơ hình Proxy đơn giản 37 13 Một số protocol sau proxy 39 14 Mơ hình proxy .48 15 Mơ hình hoạt động chung proxy 55 Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Một số protocol hỗ trợ 56 Caching 58 Caching bị lỗi (failure) 59 Một transaction qua proxy 60 Truy xuất thông tin thông qua HTTP proxy 62 Truy xuất thông tin thông qua FTP proxy 62 Giao diện Web Base Proxy .67 Mini form đầu trang 68 Sơ đồ hoạt động trang Web-Based Proxy 69 Giao diện plug-in 73 Trang thông báo người dùng duyệt trang web vi phạm .74 Cách trình bày thông thường trang web base proxy .75 Quá trình trình duyệt khởi động nạp BHO 77 Mơ hình hoạt động Plugin 80 Định dạng gói tin gửi đến proxy server 84 Sơ đồ hoạt động module chặn địa IP 87 DANH SÁCH BẢNG Phan Trung Hiếu Mssv: 0112463 - Trang 10 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hồng Cường Luận văn tốt nghiệp Mạng máy tính Hình Mơ hình firewall Một cách vắn tắt, firewall hệ thống ngăn chặn việc truy nhập trái phép từ bên vào mạng kết nối không hợp lệ từ bên Firewall thực việc lọc bỏ địa không hợp lệ dựa theo quy tắc hay tiêu định trước Hình Lọc gói tin firewall Firewall hệ thống phần cứng, phần mềm kết hợp hai Nếu phần cứng, bao gồm lọc gói tin thiết bị định tuyến (router tích hợp sẵn chức lọc gói tin) Bộ định tuyến có tính bảo mật cao cấp, có khả kiểm sốt địa IP Quy trình kiểm sốt cho phép bạn định địa IP kết nối với mạng bạn ngược lại Tính chất Phan Trung Hiếu Mssv: 0112463 - Trang 18 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính chung Firewall phân biệt địa IP dựa gói tin hay từ chối việc truy nhập bất hợp pháp địa nguồn 1.5 Các chức chính: 1.5.1 Chức năng: Chức Firewall kiểm sốt luồng thơng tin từ Intranet Internet Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet Cụ thể là: • Cho phép cấm dịch vụ truy nhập ngồi (từ Intranet Internet) • Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) • Theo dõi luồng liệu mạng Internet Intranet • Kiểm sốt địa truy nhập, cấm địa truy nhập • Kiểm sốt người sử dụng việc truy nhập người sử dụng Kiểm sốt nội dung thơng tin lưu chuyển mạng Phan Trung Hiếu Mssv: 0112463 - Trang 19 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính Hình M ột số chức Firewall 1.5.2 Thành phần: Firewall chuẩn bao gồm hay nhiều thành phần sau đây: • Bộ lọc packet (packet-filtering router) • Cổng ứng dụng (application-level gateway hay proxy server) • Cổng mạch (circuite level gateway) • Bộ lọc paket (Paket filtering router) Phan Trung Hiếu Mssv: 0112463 - Trang 20 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính 1.6 Ngun lý: Khi nói đến việc lưu thơng liệu mạng với thông qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data pakets) gán cho paket địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Hình Lọc gói tin Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thoả mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (packet header), dùng phép truyền packet mạng Đó là: Phan Trung Hiếu Mssv: 0112463 - Trang 21 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính • Địa IP nơi xuất phát ( IP Source address) • Địa IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thông báo ICMP ( ICMP message type) • Giao diện packet đến ( incomming interface of packet) • Giao diện packet ( outcomming interface of packet) Nếu luật lệ lọc packet thoả mãn packet chuyển qua Firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục Ưu điểm: • Đa số hệ thống Firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router • Ngoài ra, lọc packet suốt người sử dụng ứng dụng, không yêu cầu huấn luyện đặc biệt Hạn chế: • Việc định nghĩa chế độ lọc package việc phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể nhận trường Khi Phan Trung Hiếu Mssv: 0112463 - Trang 22 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính • Do làm việc dựa header packet, rõ ràng lọc packet khơng kiểm sốt nơi dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 1.7 Các dạng firewall: Mỗi dạng Firewall khác có thuận lợi hạn chế riêng Dạng phổ biến Firewall mức mạng (Network-level firewall) Loại Firewall thường dựa định tuyến, quy tắc quy định tính hợp pháp cho việc truy nhập thiết lập định tuyến Mơ hình Firewall sử dụng kỹ thuật lọc gói tin (packetfiltering technique), tiến trình kiểm sốt gói tin qua định tuyến Hình Firewall cấu hình router Phan Trung Hiếu Mssv: 0112463 - Trang 23 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính Khi hoạt động, Firewall dựa định tuyến mà kiểm tra địa nguồn (source address) hay địa xuất phát gói tin Sau nhận diện xong, địa nguồn IP kiểm tra theo quy tắc người quản trị mạng định trước Firewall dựa định tuyến làm việc nhanh kiểm tra lướt địa nguồn mà khơng có yêu cầu thực định tuyến, không tốn thời gian xử lý địa sai hay không hợp lệ Tuy nhiên, bạn phải trả giá: ngoại trừ điều khiển chống truy nhập, gói tin mang địa giả mạo thâm nhập mức máy chủ bạn Một số kỹ thuật lọc gói tin sử dụng kết hợp với Firewall để khắc phục nhược điểm nói Địa IP khơng phải thành phần gói tin mắc bẫy định tuyến Người quản trị nên áp dụng đồng thời quy tắc, sử dụng thông tin định danh kèm theo gói tin thời gian, giao thức, cổng để tăng cường điều kiện lọc Tuy nhiên, yếu kỹ thuật lọc gói tin Firewall dựa định tuyến khơng có Một số dịch vụ gọi thủ tục từ xa (Remote Procedure Call - RPC) khó lọc cách hiệu server liên kết phụ thuộc vào cổng gán ngẫu nhiên khởi động hệ thống Dịch vụ gọi ánh xạ cổng (portmapper) ánh xạ lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, nhiên, khơng có tương ứng số dịch vụ với định tuyến lọc gói tin, nên định tuyến khơng nhận biết dịch vụ dùng cổng nào, khơng thể ngăn chặn hồn tồn dịch vụ này, trừ định tuyến ngăn tồn gói tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User Datagram Protocol) Việc ngăn chặn tất gói tin UDP ngăn ln dịch vụ cần thiết, ví dụ DNS (Domain Name Service ố dịch vụ đặt tên vùng) Vì thế, dẫn đến tình trạng tiến thối lưỡng nan Phan Trung Hiếu Mssv: 0112463 - Trang 24 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính 1.8 Các ý niệm chung Firewall: Một ý tưởng Firewall che chắn cho mạng bạn khỏi tầm nhìn người dùng bên ngồi khơng phép kết nối, hay chí khơng cho phép họ rớ tới mạng Quá trình thực thi tiêu lọc bỏ người quản trị ấn định Trên lý thuyết, Firewall phương pháp bảo mật an toàn mạng bạn có kết nối Internet Tuy nhiên, tồn vấn đề xung quanh môi trường bảo mật Nếu Firewall cấu hình chặt chẽ, tiến trình làm việc mạng bị ảnh hưởng, đặc biệt mơi trường người dùng phụ thuộc hồn toàn vào ứng dụng phân tán Do Firewall thực thi sách bảo mật chặt chẽ nên bị sa lầy Tóm lại, chế bảo mật chặt chẽ bao nhiêu, tính bị hạn chế nhiêu Một vấn đề khác Firewall tương tự việc xếp trứng vào rổ Do rào chắn chống kết nối bất hợp pháp nên khe hở dễ dàng phá huỷ mạng bạn Firewall trì mơi trường bảo mật, đóng vai trị điều khiển truy nhập thực thi sơ đồ bảo mật Firewall thường mô tả cửa ngõ mạng, nơi xác nhận quyền truy nhập Tuy nhiên điều xảy bị vơ hiệu hố? Nếu kỹ thuật phá Firewall phát hiện, có nghĩa người vệ sĩ bị tiêu diệt hội sống sót mạng mỏng manh Vì trước xây dựng Firewall, bạn nên xem xét kỹ tất nhiên phải hiểu tường tận mạng Một điều nữa, Firewall có khả cấm kết nối khơng cho phép từ bên Điều này, suy nghĩ đơn giản thấy có lợi, nhiên vài trường hợp có mặt hạn chế 1.8.1 Firewall dựa Application gateway: Một dạng phổ biến Firewall dựa ứng dụng application-proxy Loại hoạt động khác với Firewall dựa định tuyến lọc gói tin Application gateway dựa sở phần mềm Khi người dùng không xác định kết nối từ Phan Trung Hiếu Mssv: 0112463 - Trang 25 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính xa vào mạng chạy application gateway, gateway ngăn chặn kết nối từ xa Thay nối thông, gateway kiểm tra thành phần kết nối theo quy tắc định trước Nếu thoả mãn quy tắc, gateway tạo cầu nối (bridge) trạm nguồn trạm đích Hình Firewall mềm Cầu nối đóng vai trị trung gian hai giao thức Ví dụ, mơ hình gateway đặc trưng, gói tin theo giao thức IP khơng chuyển tiếp tới mạng cục bộ, lúc hình thành q trình dịch mà gateway đóng vai trị phiên dịch Ưu điểm Firewall application gateway chuyển tiếp IP Quan trọng hơn, điều khiển thực kết nối Sau cùng, công cụ cung cấp tính thuận tiện cho việc truy nhập mạng Do lưu chuyển gói tin chấp nhận, xem xét, dịch chuyển lại nên Phan Trung Hiếu Mssv: 0112463 - Trang 26 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính Firewall loại bị hạn chế tốc độ Quá trình chuyển tiếp IP diễn server nhận tín hiệu từ bên ngồi u cầu chuyển tiếp thơng tin theo định dạng IP vào mạng nội Việc cho phép chuyển tiếp IP lỗi khơng tránh khỏi, đó, hacker thâm nhập vào trạm làm việc mạng bạn Hạn chế khác mơ hình Firewall ứng dụng bảo mật (proxy application) phải tạo cho dịch vụ mạng Như ứng dụng dùng cho Telnet, ứng dụng khác dùng cho HTTP, v.v Do khơng thơng qua q trình chuyển dịch IP nên gói tin IP từ địa khơng xác định khơng thể tới máy tính mạng bạn, hệ thống application gateway có độ bảo mật cao 1.8.2 Cổng vòng(Circuit level gateway): Cổng vòng chức đặc biệt thực cổng ứng dụng(application gateway) Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc packet VD: Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục Telnet nào.Cổng vòng làm việc sợi dây, chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống firewall, nên che dấu thơng tin mạng nội Cổng vòng thường sử dụng cho kết nối ngoài, nơi mà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp Cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống Firewall dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức Firewall để bảo vệ mạng nội từ cơng bên ngồi Phan Trung Hiếu Mssv: 0112463 - Trang 27 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hồng Cường Luận văn tốt nghiệp Mạng máy tính 1.8.3 Hạn chế Firewall: • Firewall khơng đủ thơng minh ngời để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thơng số địa • Firewall ngăn chặn công cơng khơng "đi qua" Một cách cụ thể, firewall chống lại cơng từ đường dial-up, dị rỉ thơng tin liệu bị chép bất hợp pháp lên đĩa mềm • Firewall khơng thể chống lại công liệu (datadriven attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua firewall vào mạng bảo vệ bắt đầu hoạt động • Một ví dụ virus máy tính Firewall khơng thể làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm soát firewall Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi 1.8.4 Firewall phá hay khơng: Câu trả lời khơng Lý thuyết khơng chứng minh có khe hở Firewall, nhiên thực tiễn lại có Các hacker nghiên cứu nhiều cách phá Firewall Quá trình phá Firewall gồm hai giai đoạn: phải tìm dạng Firewall mà mạng sử dụng loại dịch vụ hoạt động phía sau nó; phát khe hở Firewall đó, giai đoạn thường khó khăn Theo nghiên cứu hacker, khe hở Firewall tồn lỗi định cấu hình người quản trị hệ thống, sai sót khơng xảy Người quản trị phải Phan Trung Hiếu Mssv: 0112463 - Trang 28 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hoàng Cường Luận văn tốt nghiệp Mạng máy tính chắn khơng có bất trắc cho dù sử dụng hệ điều hành (HĐH) mạng nào, vấn đề nan giải Trong mạng UNIX, điều phần HĐH UNIX phức tạp, có tới hàng trăm ứng dụng, giao thức lệnh riêng Sai sót xây dựng Firewall người quản trị mạng không nắm vững TCP/IP Một việc phải làm hacker tách thành phần thực khỏi thành phần giả mạo Nhiều Firewall sử dụng trạm hy sinh (sacrificial hosts) - hệ thống thiết kế server Web (có thể sẵn sàng bỏ đi) hay bẫy (decoys), dùng để bắt hành vi thâm nhập hacker Bẫy cần dùng tới thiết bị ngụy trang phức tạp nhằm che dấu tính chất thật nó, ví dụ: đưa câu trả lời tương tự hệ thống tập tin hay ứng dụng thực Vì vậy, cơng việc hacker phải xác định đối tượng tồn thật Hình Tấn cơng hệ thống từ bên Phan Trung Hiếu Mssv: 0112463 - Trang 29 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hồng Cường Luận văn tốt nghiệp Mạng máy tính Để có thơng tin hệ thống, hacker cần dùng tới thiết bị có khả phục vụ mail dịch vụ khác Hacker tìm cách để nhận thông điệp đến từ bên hệ thống, đó, đường kiểm tra tìm manh mối cấu trúc hệ thống Ngồi ra, khơng Firewall ngăn cản việc phá hoại từ bên Nếu hacker tồn nội tổ chức, chẳng mạng bạn bị hack Thực tế xảy với công ty dầu lửa lớn: tay hacker trà trộn vào đội ngũ nhân viên thu thập thông tin quan trọng không mạng mà cịn trạm Firewall 1.9 Một số mơ hình Firewall: 1.9.1 Packet-Filtering Router: Hệ thống Internet firewall phổ biến bao gồm packet-filtering router đặt mạng nội Internet Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông hai mạng sử dụng quy luật lọc gói phép hay từ chối truyền thông Phan Trung Hiếu Mssv: 0112463 - Trang 30 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hồng Cường Luận văn tốt nghiệp Mạng máy tính Hình Packet filtering Phan Trung Hiếu Mssv: 0112463 - Trang 31 - Trần Lê Quân Mssv:0112319 GVHD: ThS Đỗ Hồng Cường Luận văn tốt nghiệp Mạng máy tính Căn bản, quy luật lọc đựơc định nghĩa cho host mạng nội quyền truy nhập trực tiếp tới Internet, host Internet có số giới hạn truy nhập vào máy tính mạng nội Tư tưởng mơ cấu trúc firewall tất khơng rõ ràng cho phép có nghĩa bị từ chối Ưu điểm: • Giá thành thấp, cấu hình đơn giản • Trong suốt(transparent) user Hạn chế: • Có nhiều hạn chế packet-filtering router, dễ bị cơng vào lọc mà cấu hình đặt khơng hồn hảo, bị cơng ngầm dịch vụ phép • Bởi packet trao đổi trực tiếp hai mạng thông qua router, nguy bị công định số lợng host dịch vụ phép Điều dẫn đến host phép truy nhập trực tiếp vào Internet cần phải cung cấp hệ thống xác thực phức tạp, thường xuyên kiểm tra người quản trị mạng xem có dấu hiệu cơng khơng • Nếu packet-filtering router cố ngừng hoạt động, tất hệ thống mạng nội bị cơng 1.9.2 Mơ hình Single-Homed Bastion Host: Hệ thống bao gồm packet-filtering router bastion host Hệ thống cung cấp độ bảo mật cao hệ thống trên, thực bảo mật tầng network (packet-filtering) tầng ứng dụng (application level) Đồng thời, kẻ công phải phá vỡ hai tầng bảo mật để công vào mạng nội Phan Trung Hiếu Mssv: 0112463 - Trang 32 - Trần Lê Quân Mssv:0112319 ... niệm proxy • Chương 3: Các phương pháp lập trình vượt firewall Phần thứ hai: CÁC PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL • Chương 4: Vượt firewall HTTP proxy Servers • Chương 5: Vượt firewall Web-based... Chương 3: CÁC PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL .50 3.1 Vượt firewall gì: .50 3.2 Phương pháp thứ nhất: HTTP Proxy .50 Phan Trung Hiếu Mssv: 0112463 - Trang - Trần Lê Quân Mssv:0112319... THÔNG PHAN TRUNG HIẾU TRẦN LÊ QUÂN 0112463 0112319 CÁC PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL KHĨA LUẬN CỬ NHÂN TIN HỌC GIÁO VIÊN HƯỚNG DẪN Th.S ĐỖ HOÀNG CƯỜNG NIÊN KHÓA 2001 – 2005 Phan Trung Hiếu