TRUY CẬP HỖ TRỢ TỪ XA
5.2. Cấu hình mạng khách hàng
5.2.1. Cấu hình mạng cơ bản
Để điều khiển Đội hỗ trợ truy cập vào mạng khách hàng và tránh các dạng tấn công từ bên ngoài thì có hai dạng cấu hình mạng cơ bản thể hiện trong hình 5.1 và 5.2. Hình 5.1 thể hiện cấu hình không có thành phần độc lập ngược lại với hình 5.2 là có thành phần các Host dịch vụđộc lập với các Host trong mạng.
Cấu hình tham khảo.
Trong hình 5.1, Firewall đặt giữa WAN và mạng nội bộ khách hàng sẽ thực hiện việc xác thực truy cập đối với Đội hỗ trợ và chỉ cho phép truy cập tới các Host dịch vụ. Khi đó ta có thể kiểm soát được các truy cập trên.
Vấn đề trong cấu hình tham khảo này là mạng khách sẽ được bảo vệ đối với các truy cập hỗ trợ bất hợp pháp từ Máy trạm dịch vụ nhưng nó không được bảo vệ đối với các
dạng truy cập hỗ trợ bất hợp pháp từ các Host dịch vụ.
Hình 5.1: Cấu hình mạng cơ bản
70 Cấu hình Host dịch vụ độc lập.
Hình 5.2: Cấu hình Host dịchvụ độc lập.
Trong hình 5.2 thì việc tách biệt các Host dịch vụ được thực hiện bằng cách đặt Firewall giữa nó với phần còn lại của mạng nội bộ khách hàng. Lúc này có thể ngăn chặn các dạng truy cập bất hợp pháp từ Host dịch vụvào mạng khách hàng và dữ liệu truyền nhận của chúng. Thành phần mạng đặt giữa hai Firewall chứa các Host dịch vụ được gọi là khu vựcBị kiểm soát DMZ (Demilitarized Zone). Do vậy đội hỗ trợ không thể sử dụng các Host dịch vụ để truy cập và đánh cắp thông tin truyền dẫn giữa các máy trong mạng khách hàng và các Server thông tin của chúng.
Firewall thứ hai này có chức năng ngăn cấm Đội hỗ trợ có thể thông qua Host dịch vụ để truy cập vào các Host khác trong mạng theo các các xác thực , điều khiển truy cập và kiểm soát thông thường.
Tuy nhiên có một điều bất lợi ở đây là Cấu hình của Firewall thứ hai phải đảm bảo cho phép tất cả các yêu cầu truyền thông giữa các Host dịch vụ và phần còn lại của mạng khách hàng. Đối với các Host dịch vụmà đặc biệt là hệ thống quản lý mạngphải liên tục tiếp xúc và thực hiện với các dịch vụ và Host khác trong mạng khách hàng. Do vậy việc thực hiện cấu hình các Firewall và thiết lập an ninh cùng với mạng khách hàng là phải có những nhiệm vụ mang tính khả thi cao.
71 Giới hạn tài khoản truy cập.
Trong cấu hình thể hiện ở hình 5.2 thì các Host dịch vụ vẫn có thể được sử dụng để truy cập vào các Host khác thông qua khu vực DMZ với mục đích đánh cắp thông tin truyền dẫn qua khu vực đó. Để hạn chế việc trên thì cần phải cung cấp giới hạn các tài khoản củađội hỗ trợ truy cập các Host đó. Cụ thể sẽ thực hiện tại các đầu cuối từ xa và các ứng dụng kiểm soát mạng như các Host quản lý, Router dò tìm Host và các ứng dụng tra cứu. Nếu như cần thiết phải yêu cầu các đầu cuối từ xa tại các Host khác trong mạng khách hàng thì giới hạn tài khoản truy cập trên phải cung cấp thêm về điều kiện dung lượng truy cập và phải biết chính xác các yêu cầu kết nối từ Host nào tới Host nào.
Có thể thay thế việc quản lý tài khoản truy cập bằng mã hoá dữ liệu truyền dẫn khi truyền qua khu vùng DMZ và cung cấp chức năng điều khiển truy cập Inbound cho mỗi Host dịch vụtrong vùng DMZ. Mặc dù những cơ chế trên trong nhiều trường hợp cũng cần thiết và đã sử dụng trước thì Nhà cung cấp dịch vụ cũng không thể khẳng định là mạng khách hàng sẽ được bảo vệ từ các dạng tấn công bởi Đội hỗ trợ.
Tất cả những phân tích trên cho thấy là việc bảo vệ thông tin khi truyền dẫn và điều khiển truy cập cho các Host là một thành phần của cơ sở hạ tầng mạng khách hàng.
Điều này có nghĩa là việc truy nhập các Host trong vùng DMZ phải được cấu hình và dữ liệu truyền qua khu vực DMZ phải được mã hoá.
5.2.2. Truy cập các Host khác trong mạng khách hàng.
Căn cứ vào trạng thái hỗ trợ mà Đội hỗ trợ có thể yêu cầu truy cập vào các Host khác trong mạng khách hàng. Cấu hình mạng thể hiện trong hình 5.1 thì việc truy cập vào
các Host khác trong mạng được thực hiện bằng cách thêm vào các yêu cầu về lọc gói trong Firewall là cho phép đội hỗ trợ có thể truy cập vào các Host trong mạng. Tuy nhiên lúc này sẽ tiềm tàng một dạng truy cập mới và có thể thâm nhập hệ thống qua đường WAN. Do vậy chỉ còn cách lựa chọn chức năng Giới hạn tài khoản truy cập cho các dạng truy cập đã sử dụng , vì lúc này lợi thế là chỉ tạo ra các dạng truy cập mới thông qua Đội hỗ trợ. Do vậy, việc truy cập hợp pháp vào các Host trong mạng sẽ được quản lý thông qua chức năng Giới hạn tài khoản truy cập.