Cổngvònglàmột chứcnăngđặcbiệtcóthểthựchiệnđượcbởimộ tcổng
ứngdụng(applicationgateway).Cổngvòngđơngiảnchỉchuyểntiếp(rela y)cáckết
nốiTCPmàkhôngthựchiệnbấtkỳmộthànhđộngxửlýhaylọcpacketn ào.
VD:Cổngvòngđơngiảnchuyểntiếpkếtnốitelnetquafirewallmà không
thựchiệnmộtsựkiểmtra,lọchayđiềukhiểncácthủtụcTelnetnào.Cổng vònglàm
việcnhưmộtsợidây,saochépcácbytegiữakếtnốibêntrong(insidecon nection)
vàcáckếtnốibênngoài(outsideconnection).Tuynhiên,vìsựkếtnốinà yxuất
hiệntừhệthốngfirewall,nênnóchedấuthôngtinvềmạngnộibộ.
Cổngvòngthườngđượcsửdụngchonhữngkếtnốirangoài,nơim àcác
quảntrịmạngthậtsựtintưởngnhữngngườidùngbêntrong.Ưuđiểmlớn nhấtlà
mộtbastionhostcóthểđượccấuhìnhnhưlàmộthỗnhợpcungcấpCổng ứngdụng
chonhữngkếtnốiđến,vàcổngvòngchocáckếtnốiđi.Điềunàylàmcho hệthống
Firewalldễdàngsửdụngchonhữngngườitrongmạngnộibộmuốn trựct iếptruy
nhậptớicácdịchvụInternet,trongkhivẫncungcấpchứcnăngFirewallđ ểbảovệ
mạngnộibộtừnhữngsựtấncôngbênngoài.
PhanTrungHiếu -Trang27- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
1.8.3 Hạ n ch ế c ủ a Firewall:
• Firewallkhôngđủthôngminhnhưconngờiđểcóthểđọchiểu từngloại
thôngtinvàphântíchnộidungtốthayxấucủanó.Firewallchỉ có thể
ngănchặnsựxâmnhậpcủanhữngnguồnthông tinkhôngmong muốn
nhưngphảixácđịnhrõcácthôngsốđịachỉ.
• Firewallkhôngthểngănchặnmộtcuộctấncôngnếucuộctấn côngnày
không"điqua"nó.Mộtcáchcụ thể,firewallkhôngthểchốnglạ imột
cuộctấncôngtừmộtđườngdial-up,hoặcsựdòrỉthôngtindo dữliệubị
saochépbấthợppháplênđĩamềm.
• Firewallcũngkhôngthểchốnglạicáccuộctấncôngbằngdữ liệu(data-
drivenattack).Khicómộtsốchươngtrìnhđượcchuyểntheoth ưđiệntử,
vượtquafirewallvàotrongmạngđượcbảovệvà bắtđầuhoạtđ ộngở
đây.
• Một vídụ làcácvirusmáytính.Firewallkhôngthểlàmnhiệm vụ ràquét
virustrêncácdữliệuđượcchuyểnquanó, dotốcđộlàmviệc,s ựxuất
hiệnliêntụccủacácvirusmớivàdocó rấtnhiềucáchđểmãhó adữliệu,
thoátkhỏikhảnăngkiểmsoátcủafirewall.
Tuynhiên,Firewallvẫnlàgiảipháphữuhiệu đượcápdụngrộn grãi.
1.8.4 Firewall có d ễ phá hay không:
Câu trảlờilàkhông.Lýthuyếtkhôngchứngminhđượccókhehởt rên
Firewall,tuynhiênthựctiễnthìlạicó.Cáchackerđãnghiêncứunhiềucá ch phá
Firewall.QuátrìnhpháFirewallgồmhaigiaiđoạn:đầutiênphảitìmradạ ng
Firewallmàmạngsửdụngcùngcácloạidịchvụhoạt độngphía saunó;ti ếp theolà
pháthiệnkhehởtrênFirewallđó,giaiđoạnnàythườngkhókhănhơn.Th eo nghiên
cứucủacáchacker,khehởtrênFirewalltồntạilàdolỗiđịnhcấuhìnhcủa người
quảntrịhệthống,saisótnàycũngkhônghiếmkhixảyra.Ngườiquảntrị phải chắc
PhanTrungHiếu -Trang28- Trần
Lê Quân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
chắnsẽkhôngcóbấttrắcchodùsửdụnghệđiềuhành(HĐH)mạngnào, đâylàcả
mộtvấnđềnangiải.TrongcácmạngUNIX,điềunàymộtphầnlàdoHĐ HUNIX
quáphứctạp,cótớihàngtrămứngdụng,giaothứcvàlệnhriêng.Saisótt rongxây
dựngFirewallcóthểdongườiquảntrịmạngkhôngnắmvữngvềTCP/IP. Một trongnhữngviệcphảilàmcủacáchackerlàtáchcácthànhph ần thựcra
khỏicácthành phầngiảmạo.NhiềuFirewallsửdụngtrạmhysinh(sacrifi cial
hosts)- làhệ thốngđượcthiếtkếnhưcácserverWeb(cóthểsẵnsàngbỏđ i)hay
bẫy(decoys),dùngđểbắtcáchànhvithâmnhậpcủahacker.Bẫycóthểcầ ndùng
tớinhữngthiếtbịngụytrangphứctạpnhằmchedấutínhchấtthậtcủanó, vídụ:
đưaracâutrảlờitươngtựhệthốngtậptinhaycácứngdụngthực.Vì vậy, công
việcđầutiên củahackerlàphảixácđịnhđâylàcácđốitượngtồntạithật.
Hình8Tấncônghệthốngtừbênngoài
PhanTrungHiếu -Trang29- Trần
Lê Quân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Đểcóđượcthôngtin vềhệthống,hackercầndùngtớithiếtbịcó k hảnăng
phụcvụmailvàcácdịchvụ khác.Hackersẽtìmcáchđểnhậnđượcmộtt hôngđiệp
đếntừbêntronghệthống,khiđó,đườngđiđượckiểmtravàcóthểtìmra những
manhmốivềcấutrúchệthống.
Ngoàira,khôngFirewallnàocóthểngăncảnviệcpháhoạitừbênt rong.
Nếuhackertồntạingaytrongnộibộtổchức,chẳngbaolâumạngcủabạn sẽbị
hack.Thựctếđãxảyravớimộtcôngtydầulửalớn:mộttayhackertràtrộ nvàođội
ngũnhânviênvàthuthậpnhữngthôngtin quantrọngkhôngchỉvềmạng màcòn
vềcáctrạmFirewall.
1.9 Mộtsốmô hìnhFirewall:
1.9.1 Packet-Filtering Router:
HệthốngInternetfirewallphổbiếnnhấtchỉbaogồmmộtpacket- filtering
routerđặtgiữamạngnộibộvàInternet.Mộtpacket-filteringroutercó hai chức
năng:chuyểntiếptruyềnthônggiữahaimạngvàsửdụngcácquyluậtvềl ọcgóiđể
PhanTrungHiếu - Trang30- Trần LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Hình9Packetfiltering
PhanTrungHiếu -Trang31- TrầnLê
Quân
Mssv: 0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Cănbản,cácquyluậtlọcđựơcđịnhnghĩasaochocáchosttrênmạ ngnộibộ
đượcquyềntruynhậptrựctiếptớiInternet,trongkhicáchosttrênInternet chỉcó
mộtsốgiớihạncáctruynhậpvàocácmáytínhtrênmạngnộibộ.Tưtưởn gcủamô
cấutrúcfirewallnàylàtấtcảnhữnggìkhôngđượcchỉrarõrànglàchop hépthìcó
Ưu điểm:
• Giáthànhthấp,cấuhìnhđơngiản • Trongsuốt(transparent)đốivớiuser.
Hạn chế:
• Córấtnhiềuhạnchếđốivớimột packet-filteringrouter, nhưlà dễbịtấn
côngvàocácbộlọcmàcấuhìnhđượcđặtkhônghoànhảo,hoặ clàbịtấn
côngngầmdướinhữngdịch vụđãđượcphép.
• Bởivìcácpacketđượctraođổitrựctiếpgiữahaimạngthông quarouter,
nguycơbịtấncôngquyếtđịnhbởisốlợngcáchostvàdịch vụ được
phép.Điềuđódẫnđếnmỗimộthostđượcphéptruynhậptrựcti ếpvào
Internetcầnphảiđượccungcấpmộthệthốngxácthựcphứctạp ,và
thườngxuyênkiểmtrabởingườiquảntrịmạngxemcódấuhiệ ucủasự
tấncôngnàokhông.
•Nếumộtpacket-filteringrouterdomộtsựcốnàođóngừnghoạt động,tất
cảhệthốngtrênmạngnộibộcóthểbịtấncông.
1.9.2 Mô hình Single-Homed Bastion Host:
Hệthốngnàybaogồm mộtpacket-filteringroutervàmộtbastion host.Hệ
thốngnàycungcấpđộbảomậtcaohơnhệthốngtrên,vìnóthựchi ệncảbảo
mậtởtầngnetwork(packet-filtering)vàởtầngứngdụng (applicationlevel).
Đồngthời,kẻtấncôngphảiphávỡcảhaitầngbảomậtđểtấncông vào
mạngnộibộ.
PhanTrungHiếu -Trang32- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Hình10Môhìnhsingle-HomedBastionHost
Tronghệthốngnày,bastionhostđượccấuhìnhởtrongmạng nộib ộ.Qui
luậtfilteringtrênpacket-filteringrouterđượcđịnhnghĩasaochotất cảcác
hệthốngởbênngoàichỉcóthểtruynhậpbastionhost;Việctruyền thôngtới
tấtcảcáchệthốngbêntrongđềubịkhoá.Bởivìcáchệ thốngnộib ộvà
bastionhostởtrêncùngmộtmạng,chínhsách bảomậtcủamộttổ chứcsẽ
quyếtđịnhxem cáchệ thốngnộibộđượcphéptruynhậptrựctiếpv ào
bastionInternethaylàchúngphảisửdụngdịch vụproxytrênbasti onhost.
Việcbắtbuộcnhữngusernộibộđượcthựchiệnbằngcáchđặtcấu hìnhbộ
lọccủaroutersaochochỉchấpnhậnnhữngtruyềnthôngnộibộxuấ tpháttừ
bastionhost.
Ưu điểm:
Máychủcungcấpcácthôngtin côngcộngquadịchvụWebvàFT Pcóthể
đặttrênpacket-filteringroutervàbastion.Trongtrườnghợpyêu cầuđộan
toàncaonhất, bastionhostcóthểchạycácdịchvụproxyyêucầutấ tcảcác
PhanTrungHiếu - Trang33- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng Cường
Bởivìbastionhostlàhệthốngbêntrongduynhấtcóthểtruynhập đượctừ
Internet,sựtấncôngcũngchỉgiớihạnđếnbastionhost màthôi.Tu ynhiên,
nếunhưuserlogonđượcvàobastionhostthìhọcóthểdễdàngtru ynhập
toànbộmạngnộibộ. Vìvậycầnphảicấmkhôngchouser logonvà obastion
host.
1.9.3 Mô hình Dual-Homed Bastion Host:
DemilitarizedZone(DMZ)hayScreened-subnetFirewall
Hệthốngbaogồmhaipacket-filteringroutervàmộtbastionhost. Hệcóđộ
antoàncaonhấtvìnócungcấpcảmứcbảomậtnetworkvàapplica tion,
trongkhiđịnhnghĩamộtmạng"phiquânsự".MạngDMZđóngvai trònhư
mộtmạngnhỏ,côlậpđặtgiữaInternetvàmạngnộibộ.Cơbản,mộ tDMZ
đượccấuhìnhsaochocáchệthốngtrênInternetvàmạngnộibộch ỉcóthể
truynhậpđượcmộtsốgiớihạncáchệthốngtrênmạngDMZ,vàsự truyền
trựctiếpquamạngDMZlàkhôngthểđược.
PhanTrungHiếu -Trang34- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Hình11MôhìnhDual-HomedBastionHost
Vớinhữngthôngtinđến,routerngoàichốnglạinhữngsựtấncông chuẩn
(nhưgiảmạođịachỉIP),vàđiềukhiểntruy nhậptớiDMZ.Hệthố ngchỉcho
phépbênngoài truynhậpvàobastionhost. Routertrongcungcấps ựbảovệ
thứhaibằngcáchđiềukhiểnDMZtruynhậpmạng nộibộchỉvớin hững
truyềnthôngbắtđầutừbastionhost.
Vớinhữngthôngtinđi,routertrongđiềukhiểnmạngnộibộtruyn hậptới
DMZ. Nóchỉchophépcáchệthốngbêntrongtruynhậpbastionh ostvàcó
thểcảinformationserver. Quyluậtfilteringtrênrouterngoàiyêuc ầusử
dungdichvụproxy bằngcáchchỉchophépthôngtinrabắtnguồnt ừbastion
host.
Ưu điểm:
Kẻtấncôngcầnphávỡba tầngbảovệ:routerngoài,bastionhostv àrouter
PhanTrungHiếu - Trang35- Trần
LêQuân
Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Chỉcómộtsốhệth ốngđã
đượcchọnratrênDMZlàđượcbiếtđếnbởiInternetquaroutingta blevà
DNSinformationexchange(DomainNameServer).
BởivìroutertrongchỉquảngcáoDMZ networktớimạngnộibộ,c áchệ
thốngtrongmạngnộibộkhôngthểtruynhậptrựctiếpvàoInternet. Điều
nayđảmbảorằngnhữnguserbêntrongbắtbuộcphảitruynhậpInt ernetqua
dịch vụproxy.
1.9.4 Proxy server:
ChúngtasẽxâydựngFirewalltheokiếntrúcapplication-level gateway,theo
đómộtbộchươngtrìnhproxyđượcđặtởgateway ngăncáchmột mạngbên
trong(Intranet)vớiInternet.
Bộchươngtrìnhproxyđượcpháttriểndựatrênbộcôngcụxâydựn g
InternetFirewallTIS(TrustedInformationSystem),baogồmmột bộcác
chươngtrìnhvàsựđặtlạicấuhìnhhệthốngđể nhằmmụcđíchxây dựng
mộtFirewall.BộchươngtrìnhđượcthiếtkếđểchạytrênhệUNIX sửdụng
TCP/IPvớigiaodiệnsocketBerkeley.
PhanTrungHiếu -Trang36- Trần
Lê Quân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Hình12 Môhình1Proxyđơngiản
Bộchươngtrìnhproxyđượcthiếtkếchomộtsốcấuhìnhfirewall,t heocác
dạngcơbản:dual-homegateway,screenedhost gateway,và screenedsubnet
gateway.
Thành phầnBastion hosttrongFirewall,đóngvaitrònhưmột ngư ờichuyển
tiếpthôngtin,ghinhậtkýtruyềnthông,vàcungcấpcácdịch vụ,đ òihỏiđộ
antoàncao.
Proxy serverchúngtasẽtìmhiểukĩhơnởphầnsau.
1.9.5 Phầ n m ề m Firewall – Proxy server:
Bộchươngtrìnhproxygồmnhữngchươngtrìnhmứcứngdụng(ap plication-
levelprograms),dùngđểthaythếhoặclàthêmvàophầnmềmhệthống.Đ ốivới
mỗidịchvụ,cầncómộtphầnmềmtươngứnglàmnhiệmvụlọccácbảnti n.Trên
PhanTrungHiếu -Trang37- Trần
LêQuân
Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
• SMTPGateway-ProxyserverchodịchvụSMTP(SimpleMail Tranfer
Protocol)
• FTPGateway- ProxyserverchodịchvụFtp • TelnetGateway-Proxy serverchodịchvụTelnet
• HTTPGateway- ProxyserverchodịchvụHTTP(WorldWide Web)
• RloginGateway-Proxyserverchodịchvurlogin
• PlugGateway-Proxy serverchodịchvụ kếtnốiservertứcthời dùng
giaothứcTCP(TCPPlug-BoardConnectionserver)
• SOCKS- Proxyserverchocácdịch vụtheochuẩnSOCKS • NETACL-Điềukhiểntruynhậpmạng dùngchocácdịchvụ khác
• IPfilter–Proxy điềukhiểnmứcIP
PhanTrungHiếu - Trang38- Trần LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
1.9.5.1 SMTP Gateway - Proxy server cho dịch vụ SMTP (Simple Ma il
Hình13Mộtsốprotocolsauproxy
ChươngtrìnhSMTPGatewayđượcxâydựngtrêncơsởsửdụngha iphần
mềmsmapvàsmapd,dùngđểchốnglạisựtruy nhậpthôngquagia othức
SMTP.Nguyênlýthực hiệnlàchặntrước chươngtrìnhmailserver nguyên
thuỷcủahệthống,khôngchophépcáchệthốngbênngoàikếtnốit rựctiếp
vớimailserver.Vìởtrongmạngtin cậymailserverthườngcómột sốquyền
PhanTrungHiếu -Trang39- Trần
LêQuân
Mssv:0112463 Mssv:0112319
Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng
Cường
Khimột hệthốngởxanốitớicổngSMTP.Chươngtrình smapsẽd ành
quyềnphụcvụvàchuyểntớithưmụcdànhriêngvàđặtuser-idở mứcbình
thường(khôngcóquyềnưutiên).Mụcđíchduynhấtcủasmaplàđ ốithoại
SMTPvớicáchệthốngkhác,thulượmmail, ghivàođĩa,ghinhậtk ý,vàkết
thúc.Smapdthườngxuyênquétthưmụcnày,khipháthiệncóthưs ẽchuyển
dữliệuchosendmailđểphânphátvàocáchòmthưcánhânhoặcch uyển
tiếptớicácmail serverkhác.
Như vậy,mộtuser lạtrên mạngkhôngthểkếtnốitrựctiếpvớiMail Server.
Tấtcảcácthôngtin đitheođườngnàyhoàntoàncó thểkiểmsoátđ ược.Tuy
nhiên,chươngtrìnhcũngkhôngthểgiảiquyếtvấnđềgiảmạothưh oặccác
loạitấncôngbằngđườngkhác.
1.9.5.2 FTP Gateway Proxy Server cho dịch vụ FTP:
Proxy serverchodịch vụFTPcungcấpkhảnăngkiểmsoáttruynh ậpdịch
vụFTPdựatrênđịachỉIPvàhostname,vàcungcấpđiều khiểntru ynhập
thứcấpchophéptuỳchọnkhoáhoặcghinhậtkýbấtkỳlệnhFTPn ào.Các
địachỉđíchcủadịchvụnàycũngcóthểtuỳchọnđượcphéphaybị