Phần ềm Firewall – Proxy server:

Một phần của tài liệu luận văn tin học các phương pháp và thủ thuật vượt qua firewall (Trang 62)

Bộchươngtrìnhproxygồmnhữngchươngtrìnhmứcứngdụng(ap plication-

levelprograms),dùngđểthaythếhoặclàthêmvàophầnmềmhệthống.Đ ốivới

mỗidịchvụ,cầncómộtphầnmềmtươngứnglàmnhiệmvụlọccácbảnti n.Trên

PhanTrungHiếu -Trang37- Trần

LêQuân

Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

Cường

• SMTPGateway-ProxyserverchodịchvụSMTP(SimpleMail Tranfer

Protocol)

• FTPGateway- ProxyserverchodịchvụFtp • TelnetGateway-Proxy serverchodịchvụTelnet

• HTTPGateway- ProxyserverchodịchvụHTTP(WorldWide Web)

• RloginGateway-Proxyserverchodịchvurlogin

• PlugGateway-Proxy serverchodịchvụ kếtnốiservertứcthời dùng

giaothứcTCP(TCPPlug-BoardConnectionserver)

• SOCKS- Proxyserverchocácdịch vụtheochuẩnSOCKS • NETACL-Điềukhiểntruynhậpmạng dùngchocácdịchvụ khác

• IPfilter–Proxy điềukhiểnmứcIP

PhanTrungHiếu - Trang38- Trần LêQuân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

Cường

1.9.5.1 SMTP Gateway - Proxy server cho dịch vụ SMTP (Simple Ma il

Hình13Mộtsốprotocolsauproxy

ChươngtrìnhSMTPGatewayđượcxâydựngtrêncơsởsửdụngha iphần

mềmsmapvàsmapd,dùngđểchốnglạisựtruy nhậpthôngquagia othức

SMTP.Nguyênlýthực hiệnlàchặntrước chươngtrìnhmailserver nguyên

thuỷcủahệthống,khôngchophépcáchệthốngbênngoàikếtnốit rựctiếp

vớimailserver.Vìởtrongmạngtin cậymailserverthườngcómột sốquyền

PhanTrungHiếu -Trang39- Trần

LêQuân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

Cường

Khimột hệthốngởxanốitớicổngSMTP.Chươngtrình smapsẽd ành

quyềnphụcvụvàchuyểntớithưmụcdànhriêngvàđặtuser-idở mứcbình

thường(khôngcóquyềnưutiên).Mụcđíchduynhấtcủasmaplàđ ốithoại

SMTPvớicáchệthốngkhác,thulượmmail, ghivàođĩa,ghinhậtk ý,vàkết

thúc.Smapdthườngxuyênquétthưmụcnày,khipháthiệncóthưs ẽchuyển

dữliệuchosendmailđểphânphátvàocáchòmthưcánhânhoặcch uyển

tiếptớicácmail serverkhác.

Như vậy,mộtuser lạtrên mạngkhôngthểkếtnốitrựctiếpvớiMail Server.

Tấtcảcácthôngtin đitheođườngnàyhoàntoàncó thểkiểmsoátđ ược.Tuy

nhiên,chươngtrìnhcũngkhôngthểgiảiquyếtvấnđềgiảmạothưh oặccác

loạitấncôngbằngđườngkhác.

1.9.5.2 FTP Gateway Proxy Server cho dịch vụ FTP:

Proxy serverchodịch vụFTPcungcấpkhảnăngkiểmsoáttruynh ậpdịch

vụFTPdựatrênđịachỉIPvàhostname,vàcungcấpđiều khiểntru ynhập

thứcấpchophéptuỳchọnkhoáhoặcghinhậtkýbấtkỳlệnhFTPn ào.Các

địachỉđíchcủadịchvụnàycũngcóthểtuỳchọnđượcphéphaybị cấm.Tất

cảcácsựkếtnốivàdunglượngdữliệuchuyểnquađềubịghinhật kílại.

FTPGatewaytựbảnthânnókhôngđedọaantoàncủahệthốngFir ewall,

bởivìnóchạytớimộtthưmụcrỗngvàkhôngthựchiệnmộtthủtục vàora

filenàocảngoàiviệc đọcfilecấuhìnhcủanó.

FTPServerchỉcungcấpdịchvụFTP,màkhôngquantâmđếnaic óquyền

haykhôngcóquyềnkếtxuất(download)file.Dovậy,việcxácđịnh quyền

phảiđượcthiếtlậptrênFTPGatewayvàphảithựchiệntrướckhith ựchiện

việckếtxuất(download)haynhập(upload)file.FtpGateway nênđ ượccấu

PhanTrungHiếu -Trang40- Trần

LêQuân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

1.9.5.3 Telnet Gateway Proxy Server cho dịch vụ Telnet:

TelnetGatewaylàmột proxyserverquảnlýtruynhậpmạngdựatr ênđịachỉ

IPvà/hoặchostname,vàcungcấpsựđiềukhiểntruynhậpthứcấp chophép

tuỳchọnkhoábấtkỳđíchnào.Tấtcảcácsựkếtnốidữliệuchuyển quađều

đượcghinhậtkýlại.MỗimộtlầnusernốitớiTelnetGateway,ngư ờisử

dụngphảilựachọnphươngthứckếtnối.

TelnetGatewaykhôngphươnghạitớiantoànhệthống,vìnóchỉh oạtđộng

trongmộtphạmvichophépnhấtđịnh.Cụthể,hệthốngsẽchuyển điều

khiểntớimột thưmụcdànhriêng.Đồngthờicấmtruy nhậptớicác thưmục

vàfilekhác.

TelnetGatewayđượcsửdụngđểkiểmsoátcáctruynhậpvàohệth ốngmạng

nộibộ.Cáctruynhậpkhôngđượcphépsẽkhôngthểthựchiệnđượ ccòncác

truynhậphợpphápsẽbịghilạinhậtkývềthờigiantruynhậpvàc ácthao

tácđãthựchiện.

HTTP Gateway - Proxy server cho web:

HTTPGatewaylàmộtProxyServerquảnlýtruynhậphệthốngqu acổng

HTTP(Web).Chơngtrìnhnày,dựatrênđịachỉđíchvàđịachỉngu ồnđể

ĐồngthờicăncứvàmãlệnhcủagiaothứcHTTP,phầnmềmnàys ẽcho

PhanTrungHiếu -Trang41- Trần

LêQuân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

Cường

Rlogin Gateway - Proxy server cho rlogin:

CácterminaltruynhậpquathủtụcBSDrloginđượckiểmsoátbởi rlogin

gateway.Chươngtrìnhchophépkiểmtravà điềukhiểntruynhập mạng

tươngtựnhưtelnetgateway.Rloginclientcóthểchỉramộthệthốn gởxa

ngaykhibắtđầunốivàoproxy.Chươngtrìnhsẽhạnchếyêucầutư ơngtác

giữauservớimáy.

Plug Gateway - TCP Plug-Board Connection server:

Firewallcungcấpcácdịch vụthôngthườngnhư Usernetnews.Ng ườiquản

trịmạngcó thểchọnhoặclàchạydịchvụnàyngaytrongfirewall, hoặccài

đặtmộtproxyserverchodịchvụ này.

DodịchvụNewschạytrựctiếptrênfirewallthìdễgâylỗihệthống ,nên

cáchantoànhơnlàsửdụngproxy.Pluggatewayđượcthiếtkếđểk iểmsoát

dịch vụUsernetNewsvà mộtsốdịchvụkhácnhư LotusNotes,Or acle,etc.

PluggatewaydựatrênđịachỉIP hoặchostname,sẽchophépkiểm soáttất

cảcáctruynhậphệthốngthôngquacáccổngdịchvụđượcđăngk ý.Trêncơ

sởđósẽchophéphoặccấm cácyêucầutruynhập.Tấtcảyêucầu kếtnối

baogồmcả dữliệucó thểđượcghilạinhậtkýđểtheodõivàkiểm soát.

1.9.5.4 SQL Gateway Proxy Server cho SQL-Net:

SQLNetsửdụnggiaothứcriêngkhônggiốngnhưcủaNewshayL otus

Notes,Dovậy,khôngthểsửdụngPlugGatewaychodịchvụnàyđ ược.SQL

PhanTrungHiếu -Trang42- Trần

Lê Quân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

1.9.5.5 SOCKS Gateway và NETACL:

SOCKS Gateway - Proxy server cho các dịch vụ theo chuẩn SOCK S:

SOCKSlàgiaothứckếtnốimạnggiữacácmáychủcùnghỗtrợgia othức

này.Haimáychủkhisửdụnggiaothứcnàysẽkhôngcầnquantâm tớiviệc

giữachúngcóthểnốighépthôngquaIPhaykhông.

SOCKSsẽđịchhướnglạicácyêucầughépnốitừmáychủđầukia. Máy

chủSOCKSsẽxácđịnhquyềntruynhậpvàthiếtlậpkênhtruyềnth ôngtin

giữahaimáy.SOCKSGatewaydùngđểchốnglạicáctruynhậpvào mạng

thôngquacổngnày.

NETACL - Công cụ điều khiển truy nhập mạng:

Cácdịchvụ thôngthườngtrênmạngkhôngcungcấpkhảnăngkiểm soát

truycậptớichúngdo vậychúnglàcácđiểmyếuđểtấncông.Kểcả trênhệ

thốngfirewallcácdịchvụthôngthườngđãđượclợcbỏkhánhiềuđ ểđảm

bảoantoànhệ thốngnhưngmộtsốdichvụvẫncầnthiếtđểduytrìh ệthống

nhưtelnet,rlogin...

Netacllàmộtcôngcụđể điềukhiểntruynhậpmạng,dựatrênđịach ỉ

networkcủamáy client,vàdịchvụđợcyêucầu.Nóbaotrùmnêncá cdịch

vụcơbảncungcấpthêmkhảnăngkiểmsoátchodịchvụđó.Vì vậy một

client(xácđịnhbởiđịachỉIPhoặchostname)cóthểtruynhậptớite lnet

serverkhinónốivớicổngdịch vụtelnettrênfirewall.

PhanTrungHiếu - Trang43- Trần

LêQuân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

Cường

Thườngthườngtrongcáccấuhìnhfirewall,NETACLđượcsửdụn gđểcấm

tấtcảcácmáytrừmộtvàihostđượcquyềnlogintớifirewallquah oặclà

telnethoặclàrlogin,vàđể khoácáctruynhậptừnhữngkẻtấncôn g.

ĐộantoàncủaNetacldựatrênđịachỉIPvà/hoặchostname.Vớicá chệ

thốngcầnđộan toàncao,nêndụngđịachỉIPđểtránhsựgiảmạo DNS.

NetaclkhôngchốnglạiđượcsựgiảđịachỉIPquachuyểnnguồn(s ource

routing)hoặcnhữngphươngtiệnkhác.Nếucócácloạitấncôngnh ưvậy,

cầnphảisửdụngmộtroutercó khảnăngsoinhữngpacketđãđược chuyển

nguồn(screeningsourceroutedpackages).

ChúýlànetaclkhôngcungcấpđiềukhiểntruynhậpUDP,bởivìc ôngnghệ

hiệnnaykhôngđảmbảosựxácthựccủaUDP.Antoànchocácdịc hvụ

UDPởđâyđồngnghĩavớisựkhôngchophéptấtcảcácdịchvụU DP.

1.9.5.6 Authentication:

BộFirewallchứachươngtrìnhserverxácthựcđượcthiếtkếđểhỗ trợcơchế

phânquyền.Authsrvchứamộtcơsởdữ liệuvềngườidùngtrong mạng,mỗi

bảnghitươngứngvớimộtngờidùng,chứacơchếxácthực chom ỗianhta,

trongđóbaogồmtênnhóm,tênđầyđủcủangờidùng,lầntruycập mới

nhất.Mậtkhẩukhôngmãhoá(Plaintextpassword)đượcsửdụng chongười

dùngtrongmạngđểviệcquảntrịđượcđơngiản.Mậtkhẩukhông mãhoá

Ngườidùngtrongcơsởdữliệucủacóthểđượcchia thànhcácnhó mkhác

nhauđượcquảntrịbởiquảntrịnhóm làngườicótoànquyềntrong nhómcả

việcthêm,bớtngờidùng.Điềunàythuậnlợikhinhiềutổchứccùn gdùng

chungmột Firewall.

Authsrvquảnlýnhómrấtmềmdẻo,quảntrịcóthểnhómngườidù ngthành

nhómdùng"groupwiz",ngườicóquyềnquảntrịnhóm cóthểxoá, thêm,tạo

PhanTrungHiếu - Trang44- Trần

LêQuân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

1.9.5.7 IP Filter – Bộ lọc mức IP:

IPFilterlàbộlọccácgóitinTCP/IP,đượcxemnhưthànhphầnkhôn gthể

thiếukhithiếtlậpFirewalltrongsuốtđốivớingờisửdụng.Phầnmề mnày

sẽđợccàiđặttronglõicủahệthống(như UNIXkernel),đượcchạyn gầm

khihệ thốnghoặtđộng,đểđónnhậnvàphântíchtấtcảcácgóiIP(IP Package).

Bộ lọc IP filter có thể thực hiện các việc sau:

- Chođiquahoặccấmbấtkỳmột góitin nào. - Nhậnbiếtđượccácdịchvụkhácnhau - LọctheođịachỉIPhoặchosts

- ChophéplọcchọnlựagiaothứcIPbấtkỳ - ChophéplọcchọnlựatheocácmảnhIP - ChophéplọcchọnlựatheocáctuỳchọnIP

- GửitrảlạicáckhốiICMP/TCPlỗivà đặtlạisốhiệupacket

- LưugiữcácthôngtintrạngtháiđốivớicácdòngTCP,UDPand ICMP

- LưugiữcácthôngtintrạngtháiđốivớicácmảnhIPpacketbất kỳ

- Cóchức năngnhưNetworkAddressTranslator(NAT)

PhanTrungHiếu -Trang45- TrầnLê

Quân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

- -

Làmcơsởthiếtlậpcáckếtnốitrongsuốt đốivớingườisửdụng Cungcấpcácheaderchocácchươngtrìnhcủangườisửdụngđể xá c

nhận.

- Ngoàirahỗtrợkhônggiantạmchocácquytắcxácnhậnđốivới cácgói

tinđiqua.

ĐặcbiệtđốivớicácgiaothứccơbảncủaInternet,TCP,UDPvà ICMP,

thìIPfilterchophéplọctheo: • Invertedhost/netmatching

• Sốhiệucổngcủacácgóitin TCP/UDP • KiểuhoặcmãcủacácgóitinICMP • Thiếtlậpcácgóitin TCP

• TổhợptuỳýcáccờtrạngtháiTCP • Lọc/loạibỏnhữnggóiIPchakếtthúc • Lọctheokiểudịchvụ

• Chophépghinhậtkýcácbảntinbaogồm: - HeadercủacácgóitinTCP/UDP/ICMPandIP -Mộtphầnhoặctấtcảdữliệucủagóitin

1.10 Lờikết:

Hiệntại, Firewalllàphươngphápbảovệmạng phổbiếnnhất,95%cộn gđồng

hackerphảithừanhậnlàdườngnhưkhôngthểvượtquaFirewall.Songtrênth ựctế,

Firewallđã từngbịphá.Nếu mạngcủabạncókếtnốiInternetvàchứadữ liệu quan

trọngcầnđượcbảovệ,bêncạnhFirewall,bạnnêntăngcườngcácbiệnphápb ảovệ

khácnhưlàbảomậtởmứcphysical,thườngxuyênbackupdữliệu,chọnlọcn hân

viên…

PhanTrungHiếu -Trang46- Trần

LêQuân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

Cường

Chương 2: KHÁI NIỆM PROXY

2.1 Proxygì:

• Theo www.learnthat.com:proxylàmộtthiếtbịchophépkết nốivào

internet,nóđứnggiữacácworkstationtrongmộtmạngvàinter net,cho

phépbảomậtkếtnối,chỉchophépmộtsốcổngvàprotocolnào đó,vd:

tcp,http,telnettrêncáccổng80,23….Khimộtclientyêucầu một trang

nàođó,yêucầunàysẽđượcchuyểnđếnproxyserver,proxy se rver sẽ

chuyểntiếpyêucầunàyđếnsiteđó.Khi yêucầuđượcđáptrả, proxy sẽ

trảkếtquảnàylạichoclienttươngứng.Proxy servercóthểđư ợcdùng

đểghinhậnviệcsửdụnginternetvàngănchặnnhữngtrangbịc ấm

• Theo www.nyu.edu:proxyserverlàmộtserverđứnggiữamột ứngdụng

củaclient,nhưwebbrowser,và mộtserverởxa(remoteserver) .Proxy

serverxemxétcácrequest xemnócóthểxửlýbằngcachecủa nókhông,

nếukhôngthể,nósẽchuyểnyêucầunàyđếnremoteserver. • Theo www.webopedia.com:proxy serverlàmộtserverđứng giữamột

ứngdụngclient,nhưweb browser,vàmộtserverthực.Nóchặn tấtcảcác

yêucầuđếncácserverthựcđểxem xemnócókhảnăngđáứng được

không,nếukhôngthể,nósẽchuyểncácyêucầunàyđếncácse rver thực.

• Theo www.stayinvisible.com:proxy serverlàmộtloạibuffer giữamáy

tính củabạnvàcáctàinguyêntrênmạng internetmàbạnđangt ruycập,

dữliệubạnyêucầusẽđếnproxytrước,sauđómớiđượcchuyể nđếnmáy

PhanTrungHiếu -Trang47- Trần LêQuân

Mssv:0112463 Mssv:0112319

Luận văn tốt nghiệp Mạng máy tính GVHD: ThS Đỗ Hoàng

Cường

Hình14Môhìnhproxy

2.2 Tạisaoproxylạirađời:

• Tăngtốckếtnối: cácproxy cómộtcơchếgọilàcache,cơchế cachecho

phépproxylưutrữlạinhữngtrangđượctruycậpnhiều nhất,đi ềunày

làmchoviệctruycậpcủabạnsẽnhanhhơn,vìbạnđượcđápứn gyêu

cầumột cáchnộibộmàkhôngphảilấythôngtintrựctiếptừint ernet.

• Bảomật:mọitruycậpđềuphảithôngquaproxynênviệcbảo mậtđược

thựchiệntriệtđể.

• Filtering:ngăncảncáctruy cậpkhôngđượcchophépnhưcác trangđồi

trụy,cáctrangphảnđộng…

2.3 Tổng kết chungvềproxy:

• Theocácđịnhnghĩacũngnhưnhữnggiátrịmàproxymạnglại nhưđề

cậpở trên,tacóthểthấyproxyquảthậtrấtcó lợi

• Tuynhiên,lợidụngvềýtưởngproxy,một sốservertrênmạng

Một phần của tài liệu luận văn tin học các phương pháp và thủ thuật vượt qua firewall (Trang 62)

Tải bản đầy đủ (DOCX)

(152 trang)
w