VI. Internet
3. Nguyên tắc hoạt động của hệ thống Packet Filtering
3.2. Lọc các Packet dựa trên số cổng (port)
Nguyên tắc này cũng giống nh lọc gói dựa trên địa chỉ máy gửi , chỉ khác là Packet filter sẽ lọc số cổng máy gửi ( Port nguồn) thay vì địa chỉ của nó.
Những rủi do của việc lọc dựa trên số port của máy gửi:
Cũng giống nh trờng hợp lọc theo địa chỉ nguồn ( source address) , việc lọc các Packet dựa theo thông tin số Port nguồn ( source port) cũng có nhứng rủi do tơng tự.
Đối với các dịch vụ có cầu nối ( conection- oriented ) nh TCP, trớc khi hai network application trao đổi giữ liệu với nhau chúng ta phải thiết lập kết nối (connection ) , khi chúng ta đã trao đổi giữ liệu xong, chúng ta sẽ đóng kết nối . Quá trình từ lúc thiết lập kết nối cho đến khi đóng kết nối gọi là một session, đối với những dịch vụ dạng này việc lọc Packet có thể sử dụng thông tin thiết lập kết nối ở trong TCP flags field. Nhng đối với những dịch vụ không có kết nối ( connectionless) nh UDP thì việc lọc các Packet theo dạng này có thể thực hiện đợc nh sau:
- Session filter : là trờng hợp đặc biệt của Packet filters nhng nó còn giữ thêm những thông tin trên tất cả các active session đi qua FireWall . Bộ lọc ( filter) Packet sẽ dùng thông tin này để xác định Packet di chuyển theo hớng ngợc lại thuộc vào connection đợc chấp nhận hay không . Đông thời có thể sử dụng thông tin về session này để thực hiện việc theo dõi ở mức session ( session – level auditing) .
- Dynamic Packet Filtering : Theo dõi các outgoing UDP Packet đã đi vào/ ra Chỉ cho phép các incoming UDP Packet tơng ứng với các outgoing UDP Packet dựa vào thông tin host và port, chỉ cho vào những UDP có cùng host và cùng port với các outgoing UDP Packet và incoming UDP Packet ở giới hạn nào đó (tuỳ chọn sao cho thích hợp) (time – limited).
Mặc dù dùng phơng pháp trên có thể lọc đợc internal host hay external host ai là ngời đa ra yêu cầu (request) và ai là trả lời (reply) nhng nó vẫn để lộ một số lỗ hở dẫn đến ngời tấn công (attacker) lợi dụng việc cho vào reply tơng ứng để gửi vào request in tơng ứng với host/port trên và nếu may mắn, anh ta có thể thành công.
Những thông tin dùng cho việc đặc tả các rule trong Packet filter là: IP source/destination address: địa chỉ IP của máy gửi và nhận Packet. Protocol (TCP | UDP | ICMP): nghi thức ở trên lơp IP đợc sử dụng. TCP or UDP source/destination port: dịch vụ ở cấp ứng dụng. ICMP message type: loại ICMP message.
IP options.
Start – of – connection (ACK bit) information cho TVP packages. Tất cả các thông tin trên là ở trong IP header và TCP | UDP header. Và thêm một thông tin quan trọng đó là Packet từ interface nào (từ Internet hay từ internal network). Một số thông tin phụ khác nh thời gian truy nhập, lợng Packet trên một dịch vụ, thời điểm truy cập.
Chơng IV: Hệ thống Proxy
Proxy cung cấp cho ngời sử dụng truy xuất Internet với những host đơn. Những Proxy Server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên dualb – homed host hoặc Bastion Host. Những chơng trình Client của ngời sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà ngời sử dụng cần giao tiếp.
Proxy Server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu đợc đáp ứng, Proxy Server sẽ kết nối đến Server thật thay cho Client và tiếp tục chuyển tiếp những yêu cầu từ Client đến Server thật thay cho Client và tiếp tục chuyển những đáp ứng của Server trở lại Client. Vì vậy Proxy Server giống nh cầu nối trung gian giữa Server thật và Client.