Proxy vô hình

Một phần của tài liệu An ninh mạng máy tính và ứng dụng tai viện phim việt nam (Trang 85)

Một số phương pháp phát triển gần ñây cho phép truy xuất ñến Proxy, trong vài hệ thống Firewall ñược biết như Proxy vô hình. trong mô hình này, không cần phải có những ứng dụng thêm vào với người sử dụng và không phải kết nối trực tiếp

ñến Firewall hoặc biết rằng Firewall có tồn tại. Sử dụng sựñiều khiển ñường ñi cơ

bản, tất cả sự kết nối ñến mạng bên ngoài ñược chỉñường thông qua Firewall. Như

những Packet nhập vào Firewall, tự ñộng chúng ñược ñổi hướng ñến ứng dụng Proxy ñang chờ. Theo hướng này, Firewall thực hiện rất tốt trong việc giả như host

ñích. khi kết nối ñược tạo ra Firewall Proxy, Client application nghĩ rằng nó ñược kết nối với Server thật, nếu ñược phép, Proxy application sau ñó thực hiện hàm Proxy chuẩn trong việc tạo kết nối thứ hai ñến Server thật.

Proxy lớp ứng dụng thì ñối nghịch với Proxy lớp circuit: application–level Proxy ñược thực thi ở lớp ứng dụng. Nó cung cấp cho từng dịch vụ riêng và interpret những dòng lệnh trong những nghi thức ñó. Một circuit–level Proxy tạo nên một circuit giữa Client và Server không cần phải interpret những nghi thức này. Nói chung, application–level Proxy sử dụng modified procedure và circuit–level Proxy sử dụng modified Client. Để tạo ra kết nối Proxy, phải biết vị trí nào muốn kết nối ñến. Một hybrid gateway ñơn giản có thể chặn ñứng kết nối, nhưng một Proxy host chỉ có thể nhận kết nối mà ñề nghị với nó, và phải chỉ ra vị trí muốn kết nối. Một application–level Proxy có thể thể nhận thông tin trong từng nghi thức riêng. Một circuit–level Proxy không thể interpret theo từng nghi thức và cần phải có thông tin hồ trợ cho nó thông qua một cách nào khác. Ưu ñiểm của circuit–level Proxy là ởñó nó cung cấp cho hầu hết những nghi thức khác nhau, hầu như circuit– level Proxy Server cũng là những Proxy Server chung cho tất cả các dạng nghi thức, tuy nhiên không phải mọi nghi thức ñều dễ dàng ñược ñiều khiển bởi circuit–level Proxy, khuyết ñiểm của circuit–level Proxy Server là nó ñiều khiển dựa vào những gì xảy ra thông qua Proxy này như là Packet filter, nó ñiều khiển những kết nối cơ

bản dựa vào ñịa chỉ nguồn và ñịa chỉ ñịa chỉ ñíchvà không có thể xác ñịnh những lệnh ñi qua nó là an toàn hoặc những sự kiện mà nghi thức ñó mong muốn, circuit– level Proxy dể dàng bị ñánh lừa bởi những Server setup lại những cổng gán ñến những Server khác.

Proxy chung thì ñối nghịch với những Proxy chuyên biệt: mặc dù “application–level” và “circuit–level” thường ñược dùng, nhưng ñôi khi cũng phân biệt giữa “dedicated” và “generic” Proxy Server. Một dedicated Proxy Server là Server chỉ phục vụ một nghi thức ñơn, generic Proxy Server là Server phục vụ cho nhiều nghi thức. Thật ra, dedicated Proxy Server là application–level, và generic Proxy Server là circuit–level.

Intelligent Proxy Server: một Proxy Server có thể làm nhiều ñiều chứ không phải chỉ là sự chuyễn tiếp những yêu cầu, ñó chính là một intelligent Proxy Server, Ví Dụ: cern http Proxy Server caches data, vì vậy nhiều yêu cầu data không ñi ra khỏi hệ thống khi chưa có sự xử lý của Proxy Server. Proxy Server (ñặc biệt là application–level Server ) có thể cung cấp logging dễ dàng và ñiều khiển truy xuất tốt hơn, còn circuit–level Proxy thường bị giới hạn bởi những khả năng này.

Using Proxying với những dịch vụ Internet: vì Proxy chèn vào giữa sự kết nối Client và Server, nó phải ñược thích ứng với từng dịch vụ riêng, ñôi khi một số dịch vụ rất dễ với cách thực hiện bình thường nhưng lại rất khó khi thêm vào Proxy.

TCP cũng ñối nghịch với những nghi thức khác: TCP là nghi thức connection_oriented, nên nó chỉ khó khăn trong khoảng thời gian ban ñầu ñể tạo cầu nối sau ñó nó tiếp tục sử dụng cầu nối ñó ñể truyền thông, còn UDP thì ngược lại nên khó hơn, ICMP là low Protocol nên có thể dùng Proxy.

Unidirectional versus multidirectional connection: nó dễ dàng cho một Proxy Server chặn ñứng những kết nối khởi ñầu từ một Client ñến Server, nhưng nó rất khó cho việc ngăn chặn kết nối ngược lại, Server có thể phải interpret hoặc sửa ñổi thêm vào Protocol ñể tạo ra kết nối chính xác.

Ví Dụ: Normal mode FTP yêu cầu Proxy Server chặn port Client gửi ñến Server, mở một kết nối từ Proxy ñến Client với cổng ñó và gửi một cổng khác ñến

Server thật. Nó không cung cấp cho Proxy Server ñơn giản chỉñọc port trên hướng

ñó, bởi vì có thể cổng ñó ñã ñược sử dụng, sự kiện này luôn luôn nảy sinh ñối với nghi thức yêu cầu kết nối ngược lại.

Protocol sercurity: một vài dịch vụ ñể thực hiện Proxy cho nó có thể khá ñơn giản, nhưng loại trừ vấn ñề về security. Nếu một nghi thức vốn không an toàn, Proxy không thể làm ñiều gì khác ñể tăng ñộ an toàn cho nó. Thường nếu khó phân biệt giữa những tác vụ an toàn và không an toàn thì nên ñặt dịch vụ ñó trên Victim host.

User specified data: vài dịch vụ, ñặc biệt “store and forward” như smtp, nntp, ..thường chính nó ñã tự hổ trợ tính Proxying. Những dịch vụ này ñược thiết kế

truyền nhận những message bởi Server và stored ñến khi chúng có thể gửi ñược các Server tương ứng, nếu xem những header nhận của incoming Internet e_mail, những message ñi từ người gửi ñến người nhận thông qua các bước : Máy gửi – Outgoing mail gateway tại vị trí người gửi – Incoming mail gateway tại vị trí người nhận – Cuối cùng ñến ñược máy nhận.

PHN IV: NG DNG FIREWALL CHO VIN PHIM VIT NAM

CHƯƠNG 1: GII THIU V HIN TRNG

Một phần của tài liệu An ninh mạng máy tính và ứng dụng tai viện phim việt nam (Trang 85)

Tải bản đầy đủ (PDF)

(107 trang)