VI. Internet
2.3.Proxy vô hình
2. Các dạng Proxy
2.3.Proxy vô hình
Một số phơng pháp phát triển gần đây cho phép truy xuất đến Proxy, trong vài hệ thống Firewall đợc biết nh Proxy vô hình. Trong mô hình này, không cần phải có những ứng dụng thêm vào với ngời sử dụng và không phải kết nối trực tiếp đến Firewall hoặc biết rằng Firewall có tồn tại. Sử dụng sự điều khiển đờng đi cơ bản, tất cả sự kết đến mạng bên ngoài đợc chỉ đờng thông qua Firewall. Nh những Packet nhập vào Firewall, tự động chúng đợc đổi hớng đến ứng dụng Proxy đang chờ. Theo hớng này, Firewall thực hiện rất tốt trong việc giả nh host đích. Khi kết nối đợc tạo ra Firewall Proxy, Client application nghĩ rằng nó đợc kết nối với Servrev thật, nếu đợc phép, Proxy
application sau đó thực hiện hàm Proxy chuẩn trong việc tạo kết nối thứ hai đến Server thật.
Proxy lớp ứng dụng tì đối nghịch với Proxy lớp circuit: application – level Proxy đợc thực thi ở lớp ứng dụng. Nó cung cấp cho từng dịch vụ riêng và interpret những dòng lệch trong những nghi thức đó. Một circuit – level Proxy tạo nên một circuit giữa Client và Server không cần phải interpret những nghi thức này. Nói chung, application – level Proxy sử dụng modified procedure và circuit – level Proxy sử dụng modified Client. Để tạo ra kết nối Proxy, phải viết vị trí nào muốn kết nối đến. Một hybrid gateway đơn giản có thể chặn đứng kết nối, nhng một Proxy host chỉ có thể nhận kết nối mà đề nghị với nó, và phải chỉ ra vị trí muốn kết nối. Một application – level Proxy không thể nhận thông tin trong tong nghi thức riêng. Một circuit – level Proxy không thể interpret theo từng nghi thức và cần phải có thông tin hỗ trợ cho nó thông qua một cách nào khác. Ưu điểm của circuit – level Proxy là ở đó nó cung cấp cho hầu hết những nghi thức khác nhau, hầu nh circuit – level Proxy Server cũng là những Proxy Server chung cho tất cả các dạng nghi thức, tuy nhiên không phải mọi nghi thức đều dễ dàng đợc điều khiển bởi circuit – level Proxy, khuyết điểm của circuit – level Proxy Server là nó điều khiển những kết nối cơ bản dựa vào địa chỉ nguồn và địa chỉ đích và không có thể xác định những lệnh đi qua nó là an toàn hoặc những sự kiện mà nghi thức đó mong muốn, circuit – level Proxy dễ dàng bị đánh lừa bởi những Server setup lại những cổng gán đến những Server khác.
Proxy chung thì đối nghịch với những Proxy chuyên biệt: mặc dù “application – level” và :circuit – level” thờng đợc dùng, nhng đôi khi cũng phân biệt giữa “dedicated” và “generic” Proxy Server. Một dedicated Proxy Server là Server chỉ phục vụ một nghi thức đơn, generic Proxy Server là Server phục vụ cho nhiều nghi thức. Thật ra, dedicated Proxy Server là application – level, và generic Proxy Server là circuit – level.
Intelligent Proxy server: Một Proxy Server có thể làm nhiều điều chứ không phải chỉ là sự chuyển tiếp những yêu cầu, đó chính là một intelligent Proxy server, Ví Dụ: Cern http Proxy Server caches data, vì vậy nhiều yêu cầu data không đi ra khỏi hệ thống khi cha có sự xử lý của Proxy server. Proxy server (đặc biệt là application – level Server) có thể cung câp logging dễ dàng và điều khiển truy xuất tốt hơn, còn circuit – level Proxy thờng bị giứoi hạn bởi những khả năng này.
Using Proxying với nhứng dịch vụ Internet: Vì Proxy chèn vào giữa sự kết nối Client và Server, nó phải đợc thích ứng với tong dịch vụ riêng, đôi khi một số dịch vụ rất dễ với cách thức hiện bình thờng nhng lại rất khó khi thêm vào Proxy.
TCP cũng đối nghịch với những nghi thức khác: TCP là nghi thức connection – oriented, nên nó chỉ khó khăn trong khoảng thời gian ban đầu để tạo cầu nối sau đó nó tiếp tục sử dụng cầu nối đó để truyền thông, còn UDP thì ngời lại nên khó hơn, ICMP là low Protocol nên có thể dùng Proxy.
Unidirectional versus multidirectional connection: nó dễ dàng cho một Proxy server chặn đứng những kết nối khởi đầu từ một Client đến Server, những nó rất khí cho việc ngăn chặn kết nối ngợc lại, Server có thể phải interpret hoặc sửa đổi thêm vào Protocol để tạo ra kết nối chính xác.
Ví Dụ: Normal mode FTP yêu cầu Proxy server chặn port Client gửi đến Server thật. Nó không cung cấp cho Proxy server đơn giản chỉ đọc port trên hớng đó, bởi vì có thể cổng đó đãc đợc sử dụng, sự kiện này luôn luôn nảy sinh đối với nghi thức yêu cầu kết nối ngợc lại.
Protocol sercurity: Một vài dịch vụ để thực hiện Proxy cho nó có thể khá đơn giản, nhng loại trừ vấn đề về security. Nếu một nghi thức vốn không an toàn cho nó. Thờng nếu kho phân biệt giữa những tác vụ an toàn và không an toàn thì nên đặt dịch vụ đó trên Victim host.
User specified data: Vài dịch vụ, đặc biệt “store and forward” nh smtp, nntp, th… ờng chính nó đã tự hỗ trợ tính Proxying. Những dịch vụ này đợc
thiết kế truyền nhận những message bởi Server và stored đến khi chúng có thể gửi đợc các Server tơng ứng, nếu xem những header nhận của incoming Internet e – mail, những message đi từ ngời gửi đến ngời nhận thông qua các bớc: Máy gửi - ôutging mail gateway tại vị trí ngời gửi – Incoming mail gateway tại vị trí ngời nhận – Cuối cùng đến đợc máy nhận.
Kết luận
Với sự bùng nổ ngày càng mạnh mẽ của mạng máy tính và Internet, các quốc gia, các tổ choc, các công ty và tất cả mọi ngời đang dờng nh xích lại gần nhau hơn. Từ các máy tính cá nhân PC, các mạng cục bộ LAN, các mạng diện rộng WAN, đều có thể kết nối vào Internet để khai thác và truyền bá… thông tin. ở Việt Nam ta hiện nay, cùng với sự gia nhập Internet, việc ứng dụng tin học vào quản lý và công tác nghiên cứu, học tập ngày càng phổ biến ; đặc biệt là việc tra cứu, tìm kiếm và trao đổi thông tin.
Chính vì thông tin có tầm quan trọng lớn nh vậy nên việc bảo vệ, làm trong sạch nguồn tài nguyên thông tin trên mạng đã, đang và sẽ luôn là vấn đề rất cần thiết không chỉ đối với những chuyên gia an ninh mạng mà còn với tất cả những ngời tham gia vào mạng máy tính và Internet.
Trong quá trình tìm hiểu tài liệu và làm đồ án em đã biết thêm đợc rất nhiều kiến thức quý báu. Do vốn khiến thức bản thân còn cha rộng, hơn nữa thời gian, điều kiện tiếp xúc thực tiễn và nghiên cứu còn hạn chế, nên em cha thể tìm hiểu và trình bày thật sự tốt và kỹ lỡng về các vấn đề liên quan đến mạng máy tính cũng nh an toàn, bảo mật thông tin trong mạng máy tính và bức tờng lửa, em rất mong đợc sự chỉ bảo hơn nữa các thấy cô.
Em xin chân thành cảm ơn sự hớng dẫn nhiệt tình của TS Đặng Khánh Hoà, cô giáo chủ nhiệm khoá .. cùng các thầy cô giáo Khoa CN Điện tử –… Thông tin đã tạo mọi điều kiện giúp em hoàn thành đồ án.
Sinh viên thực hiện
Tài liệu tham khảo
1. Hớng dẫn và thiết lập quản trị mạng – Nguyễn Thành Cơng – Mai Nh Thành (NXB Thống kê 2002)
2. Bức tờng lửa Internet và an ninh mạng – NXB Bu Điện 3. Bách khoa toàn th mạng (NXB Thống kê 2001)
4. Giáo trình quản trị mạng – ebool4you.org.pdf
5. Giáo trình thiết kế và xây dung mạng LAN và WAN (Trung tâm khoa học tự nhiên và công nghệ quốc gia – Viện công nghệ thông tin)
6. An toàn bảo mật tin tức trên mạng – Học viện công nghệ bu chính viễn thông (NXB Bu Điện)
7. Giáo trình mạng máy tính – Th.s Ngô Bá Hùng – Ks Phạm Thế Phi (Đại học Cần Thơ - Khoa Công nghệ thông tin 2005)