Chương 1 : TỔNG QUAN
3.8 Một số kỹ thuật bảo mật khác trong VPN
3.8.1 Tường lửa (Firewall)
Như đã nói ở trên, tường lửa (firewall) là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng. Tường lửa thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Các loại tường lửa phổ biến hiện nay gồm có:
• Packet filter firewalls.
• Stateful packet filter firewalls. • Application proxy firewalls.
Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để cho phép chúng có thể lưu thơng qua lại hay khơng. Các thơng số có thể lọc được của một packet như sau:
• Địa chỉ IP nơi xuất phát (source IP address). • Địa chỉ IP nơi nhận (destination IP address). • Cổng TCP nơi xuất phát (TCP source port). • Cổng TCP nơi nhận (TCP destination port).
Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào những máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ từ những địa chỉ không cho phép.
Hơn nữa việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP,...) được phép mới chạy được trên hệ thống mạng nội bộ.
b. Stateful packet filter firewalls ( Tường lửa lọc gói trạng thái)
Cũng giống với tường lửa lọc gói, nhưng nó giới hạn thơng tin vào ra 1 mạng không chỉ dựa trên địa chỉ nguồn, đích mà cịn dựa trên nội dung của các gói tin.
c. Application proxy firewalls (Tường lửa uỷ thác ứng dụng)
Tường lửa uỷ thác tách biệt kết nối giữa người gửi (Sender) và người nhận (Receiver). Nó đóng vai trị là một hệ thống chuyển tiếp (Relay) giữa 2 đối tượng này. Nhờ chức năng chuyển tiếp (trung chuyển có kiểm sốt) này , các hệ thống Proxy (hay Proxy servers) được sử dụng để giúp ngăn chặn attacker xâm nhập vào Mạng nội bộ.
Từ proxy cịn có nghĩa "hành động nhân danh một người khác" và thực sự Proxy server đã làm điều đó, nó hành động nhân danh cho người nhận và cả
người gửi ở 2 phía trong và ngồi mạng nội bộ (mạng công cộng). Tất cả các yêu cầu từ trong mạng nội bộ ra Internet trước hết phải đến Proxy, Proxy kiểm tra xem yêu cầu nếu được cho phép, sẽ chuyển tiếp có kiểm sốt u cầu ra Internet đến server cung cấp dịch vụ (Internet Hosts). Và cũng tương tự sẽ phản hồi (response) hoặc khởi hoạt các yêu cầu đã được kiểm tra từ Internet.
d. Tường lửa kết hợp với VPN
Tường lửa có thể được cử dụng kết hợp với VPN để tăng cường độ an toàn cho các kết nối VPN theo 2 cách sau đây:
• Tường lửa đặt sau VPN server • VPN Server đặt sau tường lửa
Trong mơ hình tường lửa đặt sau VPN server, VPN Server được nối trực tiếp với mạng công cộng, tường lửa được đặt ở giữa VPN server và mạng nội bộ. Trong mơ hình này, tường lửa thường được cấu hình ở dạng packet filtering.
Hình 3-10: Tường lửa đặt sau VPN server
Khi VPN server nhận gói tin đến từ mạng cơng cộng, nó sẽ giải mã gói tin và forward chúng tói tường lửa. Sau đó tường lửa sẽ kiểm tra gói tin, nếu gói tin an tồn nó sẽ chuyển gói tin đến nút đích, nếu gói tin có các thơng tin có hại, thì sẽ bị chặn bởi các luật định trước của tường lửa.
Trong mơ hình VPN server đặt sau tường lửa, tương lủa sẽ được nối trực tiếp với mạng công cộng, VPN server được đặt giữa tường lửa và mạng nội bộ.
Hình 3-11: VPN Server đặt sau tường lửa
Trong mơ hình này, tưởng lửa sẽ xử lý các gói tin được đóng gói theo các giao thức đường hầm, bởi vậy chúng phải lọc các gói tin dựa trên plaintex header để đưa ra các quyết định chuyển hay khơng chuyển các gói tin.