ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP ĐỀ TÀI THỰC TẬP Mạng máy tính tường lửa NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP LỜI NÓI ĐẦU Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin, đặc biệt công nghệ máy vi tính mạng máy tính với bùng nổ hàng ngàn cách mạng lớn nhỏ Sự đời mạng máy tính dịch vụ mang lại cho người nhiều lợi ích to lớn, góp phần thúc đẩy kinh tế phát triển mạnh mẽ, đơn giản hóa thủ tục lưu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc kết nối vị trí, khoảng cách lớn cách nhanh chóng, hiệu … Và mạng máy tính trở thành yếu tố thiếu phát triển kinh tế, trị văn hóa, tư tưởng quốc gia hay châu lục Con người không bị giới hạn khoảng cách địa lý, có đầy đủ quyền để sáng tạo giá trị vô giá vật chất tinh thần, thỏa mãn khát vọng lớn lao họ toàn nhân loại Cũng vậy, mạng máy tính, mạng máy tính hoạt động ý muốn hậu nghiêm trọng Và vấn đề an toàn cho mạng máy tính phải đặt lên hàng đầu thiết kế, lắp đặt đưa vào sử dụng hệ thống mạng máy tính dù đơn giản Bên cạnh đó, thông tin giữ vai trò quan trọng thiếu thông tin, người trở nên lạc hậu dẫn tới hậu nghiêm trọng, kinh tế chậm phát triển Vì lý đó, việc lưu giữ, trao đổi quản lý tốt nguồn tài nguyên thông tin để sử dụng mục đích, không bị thất thoát mục tiêu hướng tới không ngành, quốc gia mà toàn giới Vì em muốn tìm hiểu đề tài mạng máy tính tường lửa Do vốn kiến thức than chưa rộng, thời gian, điều kiện tiếp xúc thực tiễn nghiên cứu hạn chế nên em chưa thể tìm hiểu trình bày thật tốt kỹ lưỡng vấn đề nghiên cứu Trên kiến thức em tìm hiểu nắm trình thực tập, nghiên cứu qua hướng dẫn, bảo tận tình thầy giáo hướng dẫn NGUYỄN VĂN TÙNG Em cám ơn mong nhận giúp đỡ, bảo thầy NGUYỄN VĂN TÙNG thầy, cô để trang bị thêm cho kiến thức cần thiết đề tài em nêu Những kiến thức kiến thức trang bị trình học tập, nghiên cứu trường gốc để từ em có sở nghiên cứu, phát huy tiếp đề tài NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP Em xin chân thành cám ơn! PHẦN I: TỔNG QUAN VỀ MẠNG MÁY TÍNH CHƯƠNG 1: GIỚI THIỆU VỀ MÁY TÍNH 1.1 Lịch sử máy tính Trong thời đại khoa học kỹ thuật ngày nay, máy tính điện tử đóng vai trò quan trọng yếu tố thiếu hầu hết ngành nghề, dịch vụ đời sống sinh hoạt người Để trở thành công cụ hữu ích, công nghệ cao nay, máy tính điện tử trải qua nhiều thời kì phát triển, đáp ứng đòi hỏi ngày cao người Với đời thành công máy ENIAC, năm 1946 xem năm mở đầu cho kỷ nguyên máy tính điện tử, kết thúc nỗ lực nghiên cứu nhà khoa học kéo dài nhiểu năm trước đó, mở thời kỳ phát triển mạnh mẽ công nghệ phần cứng sở chế tạo máy tính điện tử với tính ngày cao, sử dụng rộng rãi nhiều lĩnh vực sống Lịch sử phát triển máy tính chia thành giai đoạn sau: 1.1.1 Giai đoạn 1: Từ 1945 đến 1958, với máy tính hệ thứ sử dụng công nghệ đèn chân không  Máy tính ENIAC (Electronic Numerical Integrator And Computer), John Mauchly John Presper Eckert (đại học Pensylvania, Mỹ) thiết kế chế tạo, máy số hoá điện tử đa giới - Nguồn gốc: Dự án chế tạo máy ENIAC bắt đầu vào năm 1943 Đây nỗ lực nhằm đáp ứng yêu cầu thời chiến BRL (Ballistics Research Laboratory – Phòng nghiên cứu đạn đạo quân đội Mỹ) việc tính toán xác nhanh chóng bảng số liệu đạn đạo cho loại vũ khí - Số liệu kỹ thuật: ENIAC máy khổng lồ với 17000 bóng đèn chân không, nặng 30 tấn, tiêu thụ lượng điện vào khoảng 140kW chiếm diện tích xấp xỉ 1393 m2 Mặc dù vậy, làm việc nhanh nhiều so với loại máy tính điện thời với khả thực 100000 tao tác giây đồng hồ NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP Điểm khác biệt ENIAC & máy tính khác: ENIAC sử dụng hệ đếm thập phân nhị phân tất máy tính khác - Hoạt động thực tế: Máy ENIAC bắt đầu hoạt động vào tháng 11/1945 với nhiệm vụ tính toán đạn đạo (vì chiến tranh giới lần thứ hai kết thúc) mà để thực tính toán phức tạp dùng việc xác định tính khả thi bom H Việc sử dụng máy vào mục đích khác với mục đích chế tạo ban đầu cho thấy tính đa ENIAC Máy tiếp tục hoạt động quản lý BRL tháo rời vào năm 1955  Máy tính Von Neumann  Như đề cập trên, việc lập trình máy ENIAC công việc tẻ nhạt tốn nhiều thời gian Công việc có lẻ đơn giản chương trình biểu diễn dạng thích hợp cho việc lưu trữ nhớ với liệu cần xử lý Khi máy tính cần lấy thị cách đọc từ nhớ, chương trình thiết lập hay thay đổi thông qua chỉnh sửa giá trị lưu phần nhớ  Ý tưởng này, biết đến với tên gọi “khái niệm chương trình lưu trữ”, nhà toán học John von Neumann, cố vấn dự án ENIAC, đưa ngày 8/11/1945, đề xuất loại máy tính có tên gọi EDVAC (Electronic Discrete Variable Computer) Máy tính cho phép nhiều thuật toán khác tiến hành máy tính mà không cần phải nối dây lại máy ENIAC  Máy IAS Tiếp tục với ý tưởng mình, vào năm 1946, von Neuman đồng nghiệp bắt tay vào thiết kế máy tính có chương trình lưu trữ với tên gọi IAS (Institute for Advanced Studies) học viện nghiên cứu cao cấp Princeton, Mỹ Mặc dù đến năm 1952 máy IAS hoàn tất, mô hình cho tất máy tính đa sau 1.1.2 Giai đoạn 2: Từ 1958 đến 1964, với máy tính hệ thứ hai sử dụng công nghệ chất bán dẫn  Sự thay đổi lĩnh vực máy tính điện tử xuất có thay đèn chân không đèn bán dẫn Đèn bán dẫn nhỏ hơn, rẻ hơn, tỏa nhiệt sử dụng theo cách thức đèn chân không để tạo nên máy tính Không đèn chân không vốn đòi hỏi phải có dây, có bảng kim loại, có bao thủy tinh chân không, đèn bán NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP dẫn thiết bị trạng thái rắn chế tạo từ silicon có nhiều cát có tự nhiên  Đèn bán dẫn phát minh lớn phòng thí nghiệm Bell Labs năm 1947 Nó tạo cách mạng điện tử năm 50 kỷ 20 Dù vậy, đến cuối năm 50, máy tính bán dẫn hóa hoàn toàn bắt đầu xuất thị trường máy tính Việc sử dụng đèn bán dẫn chế tạo máy tính xác định hệ máy tính thứ hai, với đại diện tiêu biểu máy PDP–1 công ty DEC (Digital EquIPment Corporation) IBM 7094 IBM DEC thành lập vào năm 1957 năm cho đời sản phẩm máy PDP– đề cập Đây máy mở đầu cho dòng máy tính mini DEC, vốn phổ biến máy tính hệ thứ ba 1.1.3 Giai đoạn 3: Từ 1964 đến 1974, với máy tính hệ thứ ba sử dụng công nghệ mạch tích hợp Một đèn bán dẫn tự chứa, đơn lẻ thường gọi thành phần rời rạc Trong suốt năm 50 đầu năm 60 kỷ 20, thiết bị điện tử phần lớn kết hợp từ thành phần rời rạc – đèn bán dẫn, điện trở, tụ điện, v.v Các thành phần rời rạc sản xuất riêng biệt, đóng gói chứa riêng, sau dùng để nối lại với bảng mạch Các bảng lại gắn vào máy tính, máy kiểm tra dao động, thiết bị điện tử khác Bất thiết bị điện tử cần đến đèn bán dẫn, ống kim loại nhỏ chứa mẫu silicon phải hàn vào bảng mạch Toàn trình sản xuất, từ đèn bán dẫn đến bảng mạch, trình tốn không hiệu Những vấn đề làm tảng cho việc dẫn đến toán công nghiệp máy tính Các máy tính hệ thứ hai ban đầu chứa khoảng 10000 đèn bán dẫn Con số sau tăng lên nhanh chóng đến hàng trăm ngàn, làm cho việc sản xuất máy mạnh hơn, gặp nhiều khó khăn Sự phát minh mạch tích hợp vào năm 1958 cách mạng hóa điện tử bắt đầu cho kỷ nguyên vi điện tử với nhiều thành tựu rực rỡ Mạch tích hợp yếu tố xác định hệ thứ ba máy tính Trong mục tiếp sau tìm hiểu cách ngắn gọn công nghệ mạch tích hợp Sau đó, hai thành viên quan trọng máy tính hệ thứ ba, máy IBM System/360 máy DEC PDP–8, giới thiệu với tính bật chúng NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP 1.1.4 Giai đoạn 4: Từ 1974 đến nay, với máy tính hệ thứ tư sử dụng công nghệ mạch tích hợp vô lớn/siêu lớn (VLSI/ULSI) Với tốc độ phát triển nhanh chóng công nghệ, mức độ cho đời sản phẩm mức cao, tầm quan trọng phần mềm, truyền thông phần cứng, việc phân loại máy tính theo hệ trở nên rõ ràng có ý nghĩa trước  Bộ nhớ bán dẫn Vào khoảng năm 50 đến 60 kỷ này, hầu hết nhớ máy tính chế tạo từ vòng nhỏ làm vật liệu sắt từ, vòng có đường kính khoảng 1/16 inch Các vòng treo lưới nhỏ bên máy tính Khi từ hóa theo chiều, vòng (gọi lõi) biểu thị giá trị 1, từ hóa theo chiều ngược lại, lõi đại diện cho giá trị Bộ nhớ lõi từ kiểu làm việc nhanh Nó cần phần triệu giây để đọc bit lưu nhớ Nhưng đắt tiền, cồng kềnh, sử dụng chế hoạt động loại trừ: thao tác đơn giản đọc lõi xóa liệu lưu lõi Do cần phải cài đặt mạch phục hồi liệu lấy Năm 1970, Fairchild chế tạo nhớ bán dẫn có dung lượng tương đối ChIP có kích thước lõi đơn, lưu 256 bit nhớ, hoạt động không theo chế loại trừ nhanh nhớ lõi từ Nó cần 70 phần tỉ giây để đọc bit liệu nhớ Tuy nhiên giá thành cho bit cao so với lõi từ Kể từ năm 1970, nhớ bán dẫn qua tám hệ: 1K, 4K, 16K, 64K, 256K, 1M, 4M, 16M bit chIP đơn (1K = 210, 1M = 220) Mỗi hệ cung cấp khả lưu trữ nhiều gấp bốn lần so với hệ trước, với giảm thiểu giá thành bit thời gian truy cập  Bộ vi xử lý Vào năm 1971, hãng Intel cho đời chIP 4004, chIP có chứa tất thành phần CPU chIP đơn Kỷ nguyên vi xử lý khai sinh từ ChIP 4004 cộng hai số bit nhân cách lập lại phép cộng Theo tiêu chuẩn ngày nay, chIP 4004 rõ ràng đơn giản, đánh dấu bắt đầu trình tiến hóa liên tục dung lượng sức mạnh vi xử lý Bước chuyển biến trình tiến hóa nói giới thiệu chIP Intel 8008 vào năm 1972 Đây vi xử lý bit có độ phức tạp gấp đôi chIP 4004 Đến năm 1974, Intel đưa chIP 8080, vi xử lý đa dụng thiết kế để trở thành CPU máy vi tính đa dụng So với chIP 8008, NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP chIP 8080 nhanh hơn, có tập thị phong phú có khả định địa lớn Cũng thời gian đó, vi xử lý 16 bit bắt đầu phát triển Mặc dù vậy, đến cuối năm 70, vi xử lý 16 bit đa dụng xuất thị trường Sau đến năm 1981, Bell Lab Hewlett– packard phát triển vi xử lý đơn chIP 32 bit Trong đó, Intel giới thiệu vi xử lý 32 bit riêng chIP 80386 vào năm 1985 1.2 Cấu trúc chức máy tính 1.2.1 Cấu trúc tổng quát máy tính Máy tính hệ thống phức tạp với hàng triệu thành phần điện tử sở Ở mức đơn giản nhất, máy tính xem thực thể tương tác theo cách thức với môi trường bên Một cách tổng quát, mối quan hệ với môi trường bên phân loại thành thiết bị ngoại vi hay đường liên lạc Hình 1: Cấu trúc tổng quát máy tính  Thành phần chính, quan trọng máy tính Đơn vị xử lý trung tâm (CPU – Central Processing Unit): Điều khiển hoạt động máy tính thực chức xử lý liệu NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP Hình 2: Bộ xử lý trung tâm máy tính (CPU) CPU thường đề cập đến với tên gọi xử lý Máy tính có nhiều thành phần nói trên, Ví Dụ nhiều CPU Trước đa phần máy tính có CPU, gần có gia tăng sử dụng nhiều CPU hệ thống máy đơn CPU luôn đối tượng quan trọng thành phần phức tạp hệ thống Cấu trúc CPU gồm thành phần chính: - Đơn vị điều khiển: Điều khiển hoạt động CPU điều khiển hoạt động máy tính - Đơn vị luận lý số học (ALU – Arithmetic and Logic Unit): Thực chức xử lý liệu máy tính - Tập ghi: Cung cấp nơi lưu trữ bên CPU - Thành phần nối kết nội CPU: Cơ chế cung cấp khả liên lạc đơn vị điều khiển, ALU tập ghi Trong thành phần nói CPU, đơn vị điều khiển lại giữ vai trò quan trọng Sự cài đặt đơn vị dẫn đến khái niệm tảng chế tạo vi xử lý máy tính Đó khái niệm vi lập trình Hình mô tả tổ chức bên đơn vị điều khiển với ba thành phần gồm: - Bộ lập dãy logic - Bộ giải mã tập ghi điều khiển NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP - Bộ nhớ điều khiển Hình 3: Đơn vị điều khiển CPU Các thành phần khác máy tính:  Bộ nhớ chính: Dùng để lưu trữ liệu  Các thành phần nhập xuất: Dùng để di chuyển liệu máy tính môi trường bên  Các thành phần nối kết hệ thống: Cung cấp chế liên lạc CPU, nhớ thành phần nhập xuất 1.2.2 Chức máy tính Một cách tổng quát, máy tính thực bốn chức sau: - Di chuyển liệu - Điều khiển - Lưu trữ liệu - Xử lý liệu NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP Hình 4: Các chức máy tính  Xử lý liệu: Máy tính phải có khả xử lý liệu Dữ liệu có nhiều dạng phạm vi yêu cầu xử lý rộng Tuy nhiên có số phương pháp xử lý liệu  Lưu trữ liệu: Máy tính cần phải có khả lưu trữ liệu Ngay máy tính xử lý liệu, phải lưu trữ tạm thời thời điểm phần liệu xử lý Do cần thiết phải có chức lưu trữ ngắn hạn Tuy nhiên, chức lưu trữ dài hạn có tầm quan trọng tương đãng liệu cần lưu trữ máy cho lần cập nhật tìm kiếm  Di chuyển liệu: Máy tính phải có khả di chuyển liệu giới bên Khả thể thông qua việc di chuyển liệu máy tính với thiết bị nối kết trực tiếp hay từ xa đến Tùy thuộc vào kiểu kết nối cự ly di chuyển liệu, mà có tiến trình nhập xuất liệu hay truyền liệu: - Tiến trình nhập xuất liệu: Thực di chuyển liệu cự ly ngắn máy tính thiết bị nối kết trực tiếp - Tiến trình truyền liệu: Thực di chuyển liệu cự ly xa máy tính thiết bị nối kết từ xa - Điều khiển: Bên hệ thống máy tính, đơn vị điều khiển có nhiệm vụ quản lý tài nguyên máy tính điều phối vận hành thành phần chức phù hợp với yêu cầu nhận từ người sử dụng Tương ứng với chức tổng quát nói trên, có bốn loại hoạt động xảy gồm: NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 10 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP Hình 44: Sơ đồ luân chuyển liệu điển hình hệ thống Packet Filtering Các sản phẩm Packet Filtering lọc Packet dựa header Packet thông tin Packet từ interface card (mỗi Packet gồm phần: header data) Tóm lại việc lọc dựa thông tin điều khiển Với công nghệ nay, Packet filter chưa có khả lọc Packet dựa vào nội dung (not make content–based decisions) Do Packet filter lọc Packet dựa thông tin điều khiển header Protocol stack, nên IP Packet filter thông tin header sử dụng thông tin IP header TCP header 4.4.1 Lọc Packet dựa địa (address) Dạng đơn giản mà Filtering Router thực việc lọc Packet dựa tên địa Lọc Packet theo dạng cho phép điều khiển liệu dựa địa máy gửi địa máy nhận Packet mà không quan tâm đến nghi thức sử dụng Khả lọc gói theo dạng dùng phép số máy bên NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 100 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP trao đổi liệu với số máy mạng cần bảo vệ, bảo vệ dạng đánh lừa thông tin Packet (những Packet xuất phát từ Internet (bên ngoài) mà có địa máy gửi lại địa máy mạng mạng bảo vệ Những rủi ro việc lọc dựa địa máy gửi: Thông tin Packet header có chứa địa nguồn máy gửi Packet (không nên tin tưởng hoàn toàn vào thông tin việc địa máy gửi bị giả mạo) Trừ sử dụng kỹ thuật chứng thực (cryptographic authentication) hai máy trao đổi liệu cho nhau, thực biết chắn máy mà trao đổi liệu với thực hay máy khác giả danh máy (giống lấy địa người khác để gửi thư đi) Qui tắc lọc loại trừ khả máy bên giả mạo thành máy bên trong, không phát việc máy bên giả mạo địa máy bên khác Do đó, người công có hai dạng công dựa việc giả mạo địa : giả mạo địa máy gửi “source address” “man in the middle”  Dạng công giả danh giả mạo địa máy gửi (source address), người công gửi liệu cho mà sử dụng địa máy gửi địa máy họ, thường họ đoán số địa mà hệ thống tin tưởng, sau họ sử dụng địa địa máy gửi với hy vọng cho Packet họ gửi vào mạng chúng ta, không mong chờ Packet kết trả lời từ máy hệ thống mạng Nếu người công không quan tâm đến việc nhận Packet trả từ hệ thống chúng ta, không cần thiết họ phải lộ trình hệ thống bị họ giả danh, họ nơi đâu Trong thực tế, Packet trả lời từ hệ thống gửi đến máy (những máy người công vào hệ thống sử dụng địa họ), mà Packet không gửi đến máy người công Tuy nhiên, người công đoán đáp ứng từ hệ thống họ không cần phải nhận Packet Có nhiều nghi thức (Protocol) mà người công hiểu biết sâu việc đoán đáp ứng từ hệ thống không khó khăn Có nhiều dạng công kiểu thực mà người công không cần nhận Packet trả lời trực tiếp từ hệ thống Một Ví Dụ cho thấy điều người công gửi cho hệ thông lệnh đó, mà kết hệ thống gửi cho người NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 101 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP công password file hệ thống Bằng cách người công không cần nhận trực tiếp Packet trả lời từ hệ thống Trong số trường hợp, nghi thức có kết nối TCP, máy nguồn thực (máy mà người công lấy địa để giả danh) phản hồi lại Packet mà hệ thống gửi cho họ (những Packet mà hệ thống trả lời cho Packet người công) dẫn đến kết kết nối hành giữ máy với máy người công bị reset Dĩ nhiên người công không muốn điều xảy Người công muốn thực việc công hoàn thành trước máy bị giả danh nhận Packet mà gửi trước nhận reset Packet từ máy bị giả danh Người công có nhiều cách để thực điều này: + Thực việc công máy bị giả danh tắt + Làm cho máy bị giả danh treo thực công + Gây lũ (flooding) liệu máy giả danh thực công + Làm sai lệch thông tin đường (routing) máy gửi máy nhận thực + Tấn công vào dịch vụ cần gửi Packet gây tác động mà vấn đề reset không bị ảnh hưởng  Dạng công thứ hai “man in the middle” kiểu công người công cần có khả thực đầy đủ trình trao đổi liệu giả danh địa máy khác Để thực điều người công, máy mà người công sử dụng gửi Packet cho hệ thống mà mong muốn nhận Packet trả lời từ hệ thống cuả Để thực điều người công phải thực hai việc sau: + Máy người công đường hệ thống hệ thống bị giả danh Trường hợp dễ thực gần máy hệ thống gần máy bị giả danh, trường hợp gần khó lộ trình đường mạng IP lộ trình đường Packet thay đổi đặc biệt máy lộ trình có lúc qua không + Thay đổi đường máy gửi máy nhận thực để qua máy người công Điều thực dễ dàng khó khăn tùy theo topology mạng hệ thống routing mạng liên quan NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 102 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP 4.4.2 Lọc Packet dựa số cổng (port) Nguyên tắc giống lọc gói dựa địa máy gửi, khác Packet filter lọc số cổng máy gửi (port nguồn) thay địa Những rủi ro việc lọc dựa số port máy gửi: Cũng giống trường hợp lọc theo địa nguồn (source address), việc lọc Packet dựa theo thông tin số port nguồn (source port) có rủi ro tương tự Đối với dịch vụ có cầu nối (connection – oriented) TCP, trước hai network application trao đổi liệu với chúng phải thiết lập kết nối (connection), chúng trao đổi liệu xong chúng đóng kết nối Quá trình từ lúc thiết lập kết nối đóng kết nối gọi session, dịch vụ dạng việc lọc Packet sử dụng thông tin thiết lập kết nối TCP flags field Nhưng dịch vụ kết nối (connectionless) UDP việc lọc Packet theo dạng thực sau:  Session filter: trường hợp đặt biệt Packet filters giữ thêm thông tin tất active session qua Firewall Bộ lọc (filter) Packet dùng thông tin để xác định Packet di chuyển theo hướng ngược lại thuộc vào connection chấp nhận hay không Đồng thời dùng thông tin session để thực việc theo dõi mức session (session –level auditing)  Dynamic Packet Filtering : Theo dõi outgoing UDP Packet vào/ra Chỉ cho phép incoming UDP Packet tương ứng với outgoing UDP Packet dựa vào thông tin host port, cho vào UDP có host port với outgoing UDP Packet Nhưng cho phép khoảng cách outgoing UDP Packet incoming UDP Packet giới hạn (tùy chọn cho thích hợp) (time – limited) Mặc dù dùng phương pháp lọc internal host hay external host người đưa yêu cầu (request) trả lời (reply) để lộ số lỗ hở dẫn đến người công (attacker) lợi dụng việc cho vào reply tương ứng để gửi vào request in tương ứng với host/port may mắn, thành công Những thông tin dùng cho việc đặc tả rule Packet filter là: IP source/destination address : địa IP máy gửi nhận Packet Protocol (TCP | UDP | ICMP ): nghi thức lớp IP sử dụng TCP or UDP source/destination port : dịch vụ cấp ứng dụng NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 103 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP ICMP message type: loại ICMP message IP options Start –of– connection (ACK bit) information cho TCP packages Tất thông tin IP header TCP| UDP header Và thêm thông tin quan trọng Packet từ interface (từ Internet hay từ internal network) Một số thông tin phụ khác thời gian truy nhập, lượng Packet dịch vụ, thời điểm truy cập Ch-¬ng 5: hÖ thèng Proxy Proxy cung cấp cho người sử dụng truy xuất Internet với host đơn Những Proxy Server phục vụ nghi thức đặc biệt tập nghi thức thực thi dual–homed host Bastion Host Những chương trình Client người sử dụng qua trung gian Proxy Server thay Server thật mà người sử dụng cần giao tiếp Proxy Server xác định yêu cầu từ Client định đáp ứng hay không đáp ứng, yêu cầu đáp ứng, Proxy Server kết nối đến Server thật thay cho Client tiếp tục chuyển tiếp yêu cầu từ Client đến Server, chuyển tiếp đáp ứng Server trở lại Client Vì Proxy Server giống cầu nối trung gian Server thật Client 5.1 Tác dụng chức Proxy Để đáp ứng nhu cầu người sử dụng cần truy xuất đến ứng dụng cung cấp Internet đảm bảo an toàn cho hệ thống cục bộ, hầu hết phương pháp đưa để giải điều cung cấp host đơn truy xuất đến Internet cho tất người sử dụng Tuy nhiên, phương pháp phương pháp giải thỏa mãn tạo cho người sử dụng cảm thấy không thoải mái Khi truy xuất đến Internet họ thực công việc cách trực tiếp, phải log in vào dual–homed host, thực tất công việc đây, sau phương pháp chuyển đổi kết đạt công việc trở lại workstation sở hữu NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 104 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP Điều trở nên tồi tệ hệ thống với nhiều hệ điều hành khác (Ví dụ trường hợp hệ thống Macintosh riêng dual– homed host hệ thống Unix) Khi dual homed host thiết kế mô hình Proxy, điều khiến cho người sử dụng thêm bực bội đáng ý làm giảm tiện ích mà Internet cung cấp, tồi tệ chúng thường không cung cấp an toàn cách đầy đủ, máy gồm nhiều người sử dụng tất nhiên độ an toàn giảm, đặc biệt họ cố gắng nắm bắt với vạn vật bên Proxy System giúp người sử dụng thoải mái an toàn cho dual– homed host, thay yêu cầu người sử dụng cách gián tiếp thông qua dual–homed host Hệ thống Proxy cho phép tất tương tác nằm hình thức Người sử dụng có cảm giác trực tiếp làm việc với Server Internet mà họ thật muốn truy xuất Hình 45 : Kết nối sử dụng Application–Level Gateway Proxy Application chương trình application–level gateway Firewall hành động hình thức chuyển đổi yêu cầu người sử dụng thông qua Firewall, tiến trình thực trình tự sau:  Thành lập kết nối đến Proxy application Firewall  Proxy Application thu nhập thông tin việc kết nối yêu cầu người sử dụng NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 105 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP  Sử dụng thông tin để xác định yêu cầu có chấp nhận không, chấp nhận, Proxy tạo kết nối khác từ Firewall đến máy đích  Sau thực giao tiếp trung gian, truyền liệu qua lại Client Server Proxy System giải rủi ro hệ thống tránh người sử dụng log in vào hệ thống ép buộc thông qua phần mềm điều khiển 5.1.1 Sự cần thiết Proxy Proxy cho phép người sử dụng truy xuất dịch vụ Internet theo nghĩa trực tiếp Với dual–homed host cần phải login vào host trước sử dụng dịch vụ Internet Điều thường không tiện lợi, số người trở nên thất vọng họ có cảm giác phải thông qua Firewall, với Proxy, giải vấn đề Tất nhiên có giao thức nói chung tiện lợi với người sử dụng Bởi Proxy cho phép người sử dụng truy xuất dịch vụ Internet từ hệ thống cá nhân họ, không cho phép Packet trực tiếp hệ thống người sử dụng Internet Đường gián tiếp thông qua dual–homed host thông qua kết hợp Bastion Host screening Router Thực tế Proxy hiểu nghi thức dưới, nên trình truy cập (logging) thực theo hướng hiệu đặc biệt Ví Dụ: thay logging tất thông tin ngang qua đường truyền, Proxy FTP Server log lệnh phát Server đáp ứng mà nhận Kết đơn giản hữu dụng nhiều 5.1.2 Những nhược điểm Proxy  Mặc dù phần mềm Proxy có hiệu rộng rãi cho dịch vụ lâu đời đơn giản FTP Telnet, phần mềm sử dụng rộng rãi tìm thấy Thường chậm trễ thời gian xuất dịch vụ Proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phương pháp để thiết kế Proxy cho dịch vụ đó, điều cho thấy khó khăn đưa dịch vụ vào hệ thống Thường để đưa dịch vụ vào hệ thống chưa có Proxy cho nên đặt bên Firewall, đặt bên hệ thống yếu điểm  Đôi cần Proxy Server khác cho nghi thức, Proxy Server phải hiểu nghi thức để xác định phép NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 106 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP không phép Để thực nhiệm vụ Client đến Server thật Server thật đến Proxy Client, kết hợp, cài đặt (install) cấu hình (config) tất Server khác khó khăn  Những dịch vụ Proxy thường sửa đổi chương trình Client, procedure hai Loại trừ vài dịch vụ thiết kế cho Proxying, Proxy Server yêu cầu sửa đổi với Client procedure, sửa đổi có bất tiện riêng nó, luôn sử dụng công cụ có sẵn với cấu trúc  Proxying dựa vào khả chèn vào Proxy Server Client Server thật mà yêu cầu tác động tương đối thẳn thắn hai  Những dịch vụ Proxy không bảo vệ cho hệ thống ứng với nghi thức chất lượng Như giải pháp an toàn, Proxying dựa vào khả xác định tác vụ nghi thức an toàn tất dịch vụ cấp theo khuynh hướng an toàn này, nghi thức Xwindows cung cấp nhiều tác vụ không an toàn 5.2 Sự kết nối thông qua Proxy (Proxying) Những chi tiết việc Proxying thực khác từ dịch vụ đến dịch vụ khác, cài đặt (set up) Proxying, có vài dịch vụ thực dễ dàng tự động, vài dịch vụ có chuyển đổi khó khăn Tuy nhiên, hầu hết dịch vụ, yêu cầu phần mềm Proxy Server tương ứng, Client phải cần yêu cầu sau: Custom Client software: phần mềm loại phải biết để liên kết với Proxy Server thay Server thật người sử dụng yêu cầu yêu cầu Proxy Server Server thật kết nối đến Nhưng phần mềm custom Client thường có hiệu vài platform Ví Dụ: Package igateway từ Sun Proxy package cho FTP Telnet, sử dụng hệ thống Sun cung cấp recompiled Sun binaries NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 107 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP Hình 46: Kết nối người dùng (Client) với Server qua Proxy Mặc dù phần mềm có hiệu cho platform tương ứng, điều mà người sử dụng mong muốn, Ví Dụ: Macintosh có hàng chục chương trình FTP Client, vài số thật có giao diện ấn tượng với người sử dụng, phần khác có đặc điểm hữu dụng khác Anarchie chương trình mà kết hợp archie Client FTP Client bên chương trình đơn, người sử dụng tìm file với archie dùng FTP để lấy nó, tất với giao diện người sử dụng thích hợp, điều không may mắn cho muốn hỗ trợ Proxy Server Sử dụng chuyển đổi Client cho Proxying không dễ dàng thuyết phục người sử dụng Trong hầu hết hệ thống sử dụng Client không chuyển đổi kết nối bên số chuyển đổi với kết nối bên ngoài, lúc người sử dụng cần phải sử dụng thêm chương trình thêm vào để tạo kết nối bên Custom user procedure: người sử dụng dùng phần mềm Client chuẩn để giao tiếp với Proxy Server kết nối đến Server thật, thay trực tiếp Server thật Proxy Server thiết kế thực thi với phần mềm Client chuẩn Tuy nhiên, chúng yêu cầu người sử dụng theo custom procedure Người sử dụng trước tiên kết nối đến Proxy Server sau cung cấp cho Proxy Server tên host mà họ muốn kết nối đến Bởi vài nghi thức thiết kế để truyền thông tin này, người sử dụng phải nhớ NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 108 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP tên Proxy Server phải nhớ host khác mà họ muốn giao tiếp Như để thực công việc này, cần phải nắm thủ tục đặc trưng theo sau nghi thức 5.3 Các dạng Proxy 5.3.1 Dạng kết nối trực tiếp Phương pháp sử dụng kỹ thuật Proxy cho người sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa Firewall số cổng Proxy, sau Proxy hỏi người sử dụng cho địa host hướng đến, phương pháp brute force sử dụng Firewall cách dễ dàng, vài nguyên nhân phương pháp thích hợp Trước tiên, yêu cầu người sử dụng biết địa Firewall, yêu cầu người sử dụng nhập vào hai địa cho kết nối: Địa Firewall địa đích hướng đến Cuối ngăn cản ứng dụng nguyên máy tính người sử dụng điều tạo kết nối cho người sử dụng, chúng điều khiển yêu cầu đặc biệt cho truyền thông với Proxy 5.3.2 Dạng thay đổi Client Phương pháp sử dụng Proxy setup phải thêm vào ứng dụng máy tính người sử dụng Người sử dụng thực thi ứng dụng đặc biệt với việc tạo kết nối thông qua Firewall Người sử dụng với ứng dụng hành động ứng dụng không sửa đổi Người sử dụng cho địa host đích hướng tới Những ứng dụng thêm vào biết địa Firewall từ file config cục bộ, set up kết nối đến ứng dụng Proxy Firewall, truyền cho địa cung cấp người sử dụng Phương pháp có hiệu có khả che dấu người sử dụng, nhiên, cần có ứng dụng Client thêm vào cho dịch vụ mạng đặc tính trở ngại 5.4.3 Proxy vô hình Một số phương pháp phát triển gần cho phép truy xuất đến Proxy, vài hệ thống Firewall biết Proxy vô hình mô hình này, không cần phải có ứng dụng thêm vào với người sử dụng không NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 109 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP phải kết nối trực tiếp đến Firewall biết Firewall có tồn Sử dụng điều khiển đường bản, tất kết nối đến mạng bên đường thông qua Firewall Như Packet nhập vào Firewall, tự động chúng đổi hướng đến ứng dụng Proxy chờ Theo hướng này, Firewall thực tốt việc host đích kết nối tạo Firewall Proxy, Client application nghĩ kết nối với Server thật, phép, Proxy application sau thực hàm Proxy chuẩn việc tạo kết nối thứ hai đến Server thật Proxy lớp ứng dụng đối nghịch với Proxy lớp circuit: application–level Proxy thực thi lớp ứng dụng Nó cung cấp cho dịch vụ riêng interpret dòng lệnh nghi thức Một circuit–level Proxy tạo nên circuit Client Server không cần phải interpret nghi thức Nói chung, application–level Proxy sử dụng modified procedure circuit–level Proxy sử dụng modified Client Để tạo kết nối Proxy, phải biết vị trí muốn kết nối đến Một hybrid gateway đơn giản chặn đứng kết nối, Proxy host nhận kết nối mà đề nghị với nó, phải vị trí muốn kết nối Một application–level Proxy thể nhận thông tin nghi thức riêng Một circuit–level Proxy interpret theo nghi thức cần phải có thông tin hồ trợ cho thông qua cách khác Ưu điểm circuit–level Proxy cung cấp cho hầu hết nghi thức khác nhau, circuit–level Proxy Server Proxy Server chung cho tất dạng nghi thức, nhiên nghi thức dễ dàng điều khiển circuit–level Proxy, khuyết điểm circuit–level Proxy Server điều khiển dựa vào xảy thông qua Proxy Packet filter, điều khiển kết nối dựa vào địa nguồn địa địa đíchvà không xác định lệnh qua an toàn kiện mà nghi thức mong muốn, circuit–level Proxy dể dàng bị đánh lừa Server setup lại cổng gán đến Server khác Proxy chung đối nghịch với Proxy chuyên biệt: “application–level” “circuit–level” thường dùng, phân biệt “dedicated” “generic” Proxy Server Một dedicated Proxy Server Server phục vụ nghi thức đơn, generic Proxy Server Server phục vụ cho nhiều nghi thức Thật ra, dedicated Proxy Server application–level, generic Proxy Server circuit–level Intelligent Proxy Server: Proxy Server làm nhiều điều chuyễn tiếp yêu cầu, intelligent Proxy Server, Ví Dụ: cern http Proxy Server caches data, nhiều yêu cầu data không khỏi hệ thống chưa có xử lý Proxy Server Proxy NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 110 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP Server (đặc biệt application–level Server ) cung cấp logging dễ dàng điều khiển truy xuất tốt hơn, circuit–level Proxy thường bị giới hạn khả Using Proxying với dịch vụ Internet: Proxy chèn vào kết nối Client Server, phải thích ứng với dịch vụ riêng, số dịch vụ dễ với cách thực bình thường lại khó thêm vào Proxy TCP đối nghịch với nghi thức khác: TCP nghi thức connection_oriented, nên khó khăn khoảng thời gian ban đầu để tạo cầu nối sau tiếp tục sử dụng cầu nối để truyền thông, UDP ngược lại nên khó hơn, ICMP low Protocol nên dùng Proxy Unidirectional versus multidirectional connection: dễ dàng cho Proxy Server chặn đứng kết nối khởi đầu từ Client đến Server, khó cho việc ngăn chặn kết nối ngược lại, Server phải interpret sửa đổi thêm vào Protocol để tạo kết nối xác Ví Dụ: Normal mode FTP yêu cầu Proxy Server chặn port Client gửi đến Server, mở kết nối từ Proxy đến Client với cổng gửi cổng khác đến Server thật Nó không cung cấp cho Proxy Server đơn giản đọc port hướng đó, cổng sử dụng, kiện luôn nảy sinh nghi thức yêu cầu kết nối ngược lại Protocol sercurity: vài dịch vụ để thực Proxy cho đơn giản, loại trừ vấn đề security Nếu nghi thức vốn không an toàn, Proxy làm điều khác để tăng độ an toàn cho Thường khó phân biệt tác vụ an toàn không an toàn nên đặt dịch vụ Victim host User specified data: vài dịch vụ, đặc biệt “store and forward” smtp, nntp, thường tự hổ trợ tính Proxying Những dịch vụ thiết kế truyền nhận message Server stored đến chúng gửi Server tương ứng, xem header nhận incoming Internet e_mail, message từ người gửi đến người nhận thông qua bước : Máy gửi – Outgoing mail gateway vị trí người gửi – Incoming mail gateway vị trí người nhận – Cuối đến máy nhận NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 111 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP CÁC TỪ VIẾT TẮT ACK AH ALU ANSI ARP ARPANET BRL CPU CRC DEC DH DNS EDVAC EMI ENIAC Computer FDDI FIN FTP GAN HTML HTTP IAS ICMP IP IRC ISDN ISO LAN MAC MAN MTU NH NIC NSF OSI Acknowledge Application Header Arithmetic and Logic Unit American National Standards Institude Address Resolution Protocol Advanced Research Project Agency Network Ballistics Research Laboratory Central Processing Unit Cyclic Redundancy Check Digital Equipment Corporation Data link Header Domain Name System Electronic Discrete Variable Computer Electromagnetic Intrerference Electronic Numerical Integrator And Fiber Distributed Data Interface Final File Transfer Protocol Global Area Network Hyper Text Markup Language Hyper Text Transport Protocol Institute for Advanced Studies Internet Control Message Protocol Internet Protocol Internet Relay Chat Integated Services Digital Network International Standards Organization Local Area Network Media Access Control Metropolitan Area Network Maximum Transmit Unit Network Header Network Interface Card National Science Foundation Open System Interconnection NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 112 ĐH CÔNG NGHIỆP HÀ NỘI PDU PH RARP RCP RIP SH SLIP SMTP SNMP RST SYN TCP TF TFTP TH TTL UDP VER WAIS WAN ĐỀ TÀI THỰC TẬP Protocol Data Unit Presentation Header Reverse Address Resolution Protocol Remote Call Procedure Routing Information Protocol Session Header Serial Line Internet Protocol Simple Mail Transfer Protocol Simple Network Management Protocol Reset Sychronous Transmission Control Protocol Time of Fall Trivial File Transfer Protocol Transport Header Time To Live User Datagram Protocol Version Wide Area Information Services Wide Area Network TÀI LIỆU THAM KHẢO  Cấu trúc máy vi tính – Tg: Trần Quang Vinh (NXB Giáo Dục)  Giáo trình Cấu trúc máy tính – Tg: Tống Văn On, Hoàng Đức Hải (NXB Lao Động – Xã Hội)  Mạng máy tính hệ thống mở – Tg: Nguyễn Thúc Hải (NXB Giáo Dục)  An toàn bảo mật tin tức mạng – Học viện Công nghệ Bưu Viễn thông (NXB Bưu Điện)  Bức tường lửa Internet An ninh mạng – NXB Bưu Điện  Network and Internetwork Security – Tg: William Stallings  Cisco Networking Academy Program CCNA 1, CCNA NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 113 ĐH CÔNG NGHIỆP HÀ NỘI ĐỀ TÀI THỰC TẬP  Các viết mạng máy tính tường lửa – Tham khảo qua Internet KẾT LUẬN Với bùng nổ ngày mạnh mẽ mạng máy tính Internet, quốc gia, tổ chức, công ty tất người dường xích lại gần Từ máy tính cá nhân PC, mạng cục LAN, mạng diện rộng WAN, … kết nối vào Internet để khai thác truyền bá thông tin Việt Nam ta nay, với gia nhập Internet, việc ứng dụng tin học vào quản lý công tác nghiên cứu, học tập ngày phổ biến; đặc biệt việc tra cứu, tìm kiếm trao đổi thông tin Chính thông tin có tầm quan trọng lớn nên việc bảo vệ, làm nguồn tài nguyên thông tin mạng đã, vấn đề cần thiết chuyên gia an ninh mạng mà với tất người tham gia vào mạng máy tính Internet Với mục tiêu mà đề tài đặt ra, qua phần đồ án, em tìm hiểu đưa nghiên cứu Do vốn kiến thức thân chưa rộng, thời gian, điều kiện tiếp xúc thực tiễn nghiên cứu hạn chế, nên em chưa thể tìm hiểu trình bày thật tốt kỹ lưỡng vấn đề liên quan đến mạng máy tính an toàn, bảo mật thông tin mạng máy tính tường lửa Trên kiến thức em tìm hiểu nắm trình thực tập, nghiên cứu qua hướng dẫn, bảo tận tình thầy giáo hướng dẫn NGUYỄN VĂN TÙNG Em cám ơn mong nhận giúp đỡ, bảo thầy NGUYỄN VĂN TÙNG thầy, cô để trang bị thêm cho kiến thức cần thiết đề tài em nêu Những kiến thức kiến thức trang bị trình học tập, nghiên cứu trường gốc để từ em có sở nghiên cứu, phát huy tiếp đề tài Em xin chân thành cám ơn! NGUYỄN CÔNG HỢP _ ĐIỆN TỬ K10 114