VII. Giải pháp bảo mật
I.4.3 Application gateway firewall
Application gateway firewall, thường gọi là firewall proxy, lọc thông tin ở tầng 3, 4, 5, 7 của mô hình tham chiếu OSI, được chỉ trong hình 2-15. Bởi vì firewall cổng ứng dụng xử lý thông tin ở tầng ứng dụng, hầu hết việc lọc và điều khiển firewall được làm ở phần mềm, cái mà cung cấp nhiều điều khiển lưu lượng hơn so với lọc gói hay firewall stateful
Hình 2-15 firewall ứng dụng cổng và mô hình tham chiếu OSI
I.4.3.1 Tiến trình xác thực
Một trong những đặc điểm của application gateway firewall là chúng thường cho phép bạn xác thực yêu cầu kết nối trước khi cho phép lưu lượng tới tài nguyên bên trong hay bên ngoài. Điều này làm bạn xác thực yêu cầu sử dụng kết nối. Trong khi firewall lọc gói và firewall stateful chỉ kiểm tra thông tin tầng 3, 4, bởi vậy, có thể chỉ xác thực ở địa chỉ tầng 3 của thiết bị.
Hình 2-16 chỉ ra ví dụ đơn giản của application gateway firewall sử dụng tiến trình xác thực. Trong ví dụ này, đầu tiên người dùng phải xác thực với firewall ứng dụng cổng. Điều này được làm bởi có người dùng mở kết nối đặc biệt, ví dụ một web browser kết nối tới firewall ứng dụng cổng. AGF hay server xác thực sau đó cho phép nhận dạng người dùng. Tiến trình xác thực thực hiện trong phần mềm ở tầng ứng dụng. Hình 2-16, xác thực cơ sở dữ liệu trên AGF và sử dụng username và password. Trong cơ sở dữ liệu này, AGF cho phép Richard truy xuất tới Webbrowser A sau khi xác thực thành công, nhưng nó sẽ không cho phép Richard truy xuất tới Web server B. Khi bạn nhìn ví dụ này, khi Richard cho phép, anh ta có thể truy xuất web server A, tuy nhiên, anh ta không thể truy
xuất tới tài nguyên khác, trong hình 2-16, khi Richard cố gửi thông tin tới web server B, AGF hủy thông tin đó.
Hình 2-16 Tiến trình xác thực AGF
AGF có thể được sử dụng để xác thực cả kết nối vào trong và ra ngoài.
I.4.3.2 Phương thức xác thực
AGF có thể sử dụng nhiều phương thức xác thực để xác thực yêu cầu kết nối, bao gồm username và password, thông tin thẻ, địa chỉ nguồn tầng 3, và thông tin sinh trắc học. Thường thì, địa chỉ nguồn tầng 3 không sử dụng cho xác thực, trừ khi chúng được kết hợp với một số phương thức khác. Thông tin xác thực được lưu ở một vùng hay trên server bảo mật hay Server thư mục. Ví dụ của server bảo mật là ACS Cisco Secure. Ví dụ server thư mục bao gồm NDS Novell, Microsoft Active Directory, LDAP.
Bạn không nên tin tưởng chỉ sử dụng nguồn tầng 3 để thực hiện xác thực bởi vì địa chỉ tầng 3 dễ ảnh hưởng tới giả mạo và tấn công lừa đảo. Nếu đang dùng xác thực username và password, AGF gợi ý cho sử dụng username và password. Sau đó nó tìm kiếm cho username và so sánh password với những gì người dùng đánh. Nếu cả hai giống nhau, username phù hợp. Một vấn đề với
phương thức xác thực này là nếu username và password gửi qua kết nối không mã hóa, thông tin này dễ bị nghe trộm, hacker sau đó có thể sử dụng thông tin này thực thi tấn công giả mạo. Bởi vậy, thông tin này nên được mã hóa. Thường, điều này được làm qua giao thức SSL Sercure Socket Layer với kết nối web browser. Điều này có nghĩa rằng người phải mở kết nối HTTP SSL HTTPs tới AGF để thực hiện xác thực. Phương thức khác là sử dụng ứng dụng Telnet đã mã hóa, như Secure Shell SSH.
Thông tin sinh trắc học đảm bảo hơn so với username và password bởi vì username và password bị đoán dễ dàng hơn. Với sinh trắc học, một số đặc điểm cơ thể duy nhất ở một người, như vân tay hay quét võng mạc, được kiểm tra. Tuy nhiên, khi gửi thông tin này tới AGF, nó giống như username và password, là dễ bị ảnh hưởng bởi nghe trộm. Bởi vậy, kết nối bảo mật được sử dụng để truyền thông tin xác thực này.
Tất cả phương thức xác thực, thì dấu hiệu thẻ là đảm bảo nhất. Dấu hiệu thẻ tạo password một lần, password mà được dùng chỉ một lần, sau khi password đã dụng , nó không dùng nữa. Ưu điểm của dấu hiệu thẻ là chúng không bị nghe trộm. Nếu hacker nghe trộm và nhìn thông tin dấu hiệu thẻ, nó là không sử dụng cho anh ta bởi vì nó sẽ có hết hiệu lực ở lần hacker cố sử dụng nó. Nhược điểm của dấu hiệu thẻ là chúng đắt để triển khai trên phạm vi rộng và khó để xử lý sự cố và thiết lập.