Do giai đoạn 1 của dự án bắt đầu từ năm 2000 nhưng đến tận năm 2002 mới được phê duyệt do đó, ngay khi được phê duyệt thì những vấn đề về an ninh mạng lúc đó mới nhận thức ra được (vì tại thời điểm năm 2000 thì vấn đề an ninh không được quá quan trọng). Đây cũng là bất cập đối với dự án sử dụng ngân sách nhà nước. Do vậy, hiện tại, đối với giải pháp mạng thì Hà Nội Portal đang được bảo mật bằng các biện pháp sau:
a) Sử dụng Firewall mềm là ISA Server 2003.
Một trong những phần quan trọng nhất trên hệ thống ISA Server, đó là hiểu chính xác các Services đang vận hành trên ISA server, cách thức những Services này làm
Các dịch vụ chính trên ISA server:
+ ISA Control Service (MSPADMIN.EXE)
ISA control service điều khiển các chức năng trên ISA Server sau:
1/. IP packet filters, khi Enable và ghi Log chức năng này trên ISA server
2/. Đưa ra những cảnh báo Alerts và có những hành động cụ thể khi Alerts được kích hoạt (ví dụ khi ISA server nhận thấy có dấu hiệu bị tấn công, chức năng alert sẽ được kích hoạt và hành động kế tiếp là send mail cảnh báo cho Admin, hoặc stop toàn bộ ISA Server Firewall)
3/. Tiến hành đồng bộ (Synchronizing) mỗi ISA server với phần còn lại của ISA servers array.
4/. Cập nhật các File cấu hình Client (client configuration files), như msplat.txt và mspclnt.ini và delete bất cứ log files nào không sử dụng.
5/. Restarting lại các ISA services khác khi có sự thay đổi về cấu hình trên những Service này.
35
+ Scheduled Cache Content Download Service (W3PREFCH.EXE)
1/. Service này cho phép có thể tải về (download) nội dung liên quan đến Web (HTTP contents) vào bộ lưu trữ trên ISA server (ISA Server Local cache), theo đúng những thời điểm đã được Config trước (Download scheduled).
2/. Có thể cấu hình những nội dung từ những website nào và ở thời điểm nào sẽ tiến hành tải về Cache (pre-cache), điều này rất ích lợi trong trường hợp các Clients muốn tăng tốc truy cập vào nội dung của những website này hay trong trường hợp website ngưng hoạt động, Client vẫn có thể truy cập nội dung thông qua Cache.
Ví dụ: Lập kế hoạch Scheduled Cache Content Download như sau: Tiến hành tải về nội dung của Website www.nis.com.vn ở mức độ 2 (deep level =2), có nghĩa là: nếu trang chủ của NIS là deep 1, thi các link tiếp theo từ homepage sẽ là deep 2.
Thời gian tiến hành download vào lúc 12:00 PM. Sáng hôm sau Clients sẽ được phục vụ bởi Pre-cache này mà không cần phải đưa yêu cầu lên Website online.
3/. Dùng service này có thể tải về toàn bộ Website nếu muốn làm điều đó
+ HTTP redirector filter
Bộ lọc này cho phép Firewall và SecureNAT clients gặp thuận lợi hơn khi làm việc với các tính năng của ISA caching, khi HTTP redirector được enable (điều này là mặc đinh rên ISA server), service này sẽ chuyển hướng các yêu cầu liên quan đến HTTP (redirect HTTP request) đến trực tiếp Web proxy service thay vì đến các Service khác.
+ Application Level and Circuit Level Proxy
Các proxy servers sẵn sàng cho các dịch vụ thông thường trên internet, ví dụ như: một HTTP proxy được dùng cho truy cập Web, một FTP proxy được dùng cho truyền File. Những Proxies trên, được gọi là application-level proxies hay "application-level gateways", bởi vì chúng được chỉ định để làm việc với những application và protocol và nhận ra được nội dung các Packet được gửi đến nó. Một hệ thống proxy khác được gọi là circuit-level proxy, hỗ trợ nhiều applications cùng lúc. ví dụ, SOCKS là một IP-based proxy server (circuit-level proxy), hổ trợ hầu hếtcác applications trên nền TCP và UDP
36
+ NAT protocol driver
Driver này cho phép client trên Mạng nội bộ có thể truy cập tài nguyên trên Internet. Các Clients trong Mạng nội bộ sẽ dùng Private IP Addresses theo quy định của IANA (InternetAssigned NumbersAuthority), là thuộc các vùng IP sau:
+ 10.0.0.0 - 10.255.255.255
+ 172.16.0.0 - 172.31.255.255
+ 192.168.0.0 - 192.168.255.255
Khi Clients dùng IP Address trong vùng vừa liệt kê, các yêu cầu ra Internet của Clients sẽ được chuyển đến Driver này, và packet header chứa IP address của Clients sẽ được thay thế bởi IP address của External Interface trên ISA server (vì các IP trong vùng Private IP Address Ranges của Clients không có giá trị communication trực tiếp trên Internet, và tất cả các Computer trên Internet không sử dụng các IP address này), sau khi ISA server lấy được các tài nguyên trên Internet về sẽ phản hồi lại cho Clients trong Mạng nội bộ.
+ Firewall Service(FWSRV.EXE)
Firewall service là một circuit-level proxy cho các ứng dụng (Winsock applications) + Proxy: Chỉ một hệ thống Computer hoặc một Router tách biệt kết nối giữa người gửi (Sender) và người nhận (Receiver). Nó đóng vai trò là một hệ thống chuyển tiếp (Relay) giữa 2 đối tượng: Client(muốn truy cập tài nguyên) và Server (cung cấp tài nguyên mà Client cần) Nhờ chức năng chuyển tiếp (trung chuyển có kiểm soát) này , các hệ thống Proxy (hay Proxy servers) được sử dụng để giúp ngăn chặn attacker xâm nhập vào Mạng nội bộ Và các proxy cũng là một trong những công cụ được sử dụng để xây dựng Firewall. (adsbygoogle = window.adsbygoogle || []).push({});
Từ proxy còn có nghĩa "hành động nhân danh một người khác" và thực sư Proxy server đã làm điều đó, nó hành động nhân danh cho Client và cả Server . Tất cả các yêu cầu từ Client ra Internet trước hết phải đến Proxy, Proxy kiểm tra xem yêu cầu nếu được cho phép, sẽ chuyển tiếp có kiểm soát yêu cầu ra Internet đến server cung cấp dịch vụ (Internet Hosts). Và cũng tương tự sẽ phản hồi (response) hoặc khởi hoạt các yêu cầu đã được kiểm tra từ Internet và chuyển yêu cầu này đến Client.
37
+ SOCKS hay Sockets
Chính là một circuit-level proxy server cho các IP networks theo định nghĩa từ (IETF (Internet Engineering Task Force)- một cộng đồng các chuyên gia về network designers, operators, vendors, and researchers tham gia vào cuộc xây dựng kiến trúc Internet và ngày càng hoàn thiện Internet hơn.) SOCKS được viết bởi David và Michelle Koblas vào những năm đầu của thập niên 90. SOCKS đã nhanh chóng trở thành một de facto standard (hardware hay software được dùng rộng rãi nhưng không được chứng nhận từ những tổ chức chuyên cung cấp các định chuẩn), ngược lại là de jure standard. Mặc dù SOCKS ra đời sớm và được dùng phổ biến, nhưng SOCKS được IETF thông qua lần đầu tiên là SOCKS5. SOCKS ban đầu là hệ thống Proxy được sủ dụng cho các traffic như FTP, Telnet, v.vv, nhưng không dành cho HTTP. SOCKS4 kiểm soát các TCP connections (là phần lớn các Application trên Internet), SOCKS5 còn hỗ trợ thêm UDP, ICMP, xác thực User (user authentication) và giải quyết hostname (DNS service).
SOCKS bắt buộc Client phải được cấu hình để chuyển trực tiếp các yêu cầu đến SOCKS server, hoặc ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyển các yêu cầu non-SOCKS application. Nhiều Web browsers và các Internet applications khác hiện nay hỗ trợ SOCKS, cho nên khá dễ dàng khi làm việc với các SOCKS server.
1/. The ISA Firewall service cung cấp cho các Winsock client applications khả năng kết nối đến Internet, như thể được kết nối trực tiếp.
2/. Nếu HTTP redirector được xác lập Default (đây cũng là cấu hình mặc định), sau đó các yêu cầu HTTP sẽ được gửi đến Web proxy service (như vậy Firewall Service không trực tiếp quản lý những yêu cầu loại nay, và tận dụng ưu điểm của Cache. 3/. Firewall service sẽ vận hành như một service đơn độc(stand-alone service) trên Windows 2000 server nếu khi cài đặt ISA server chọn Firewall mode. Lưu ý: Nếu cài ISA ở chế độ Firewall mode, ISA Server không có khả năng tạo vùng lưu giữ Cache (no caching)
4/. Firewall service thiết lập cổng kết nối (gateway connections) giữa Winsock applications trên Client và Internet Hosts. mạng nội bộ vẫn đảm bảo an toàn, bởi vì giao tiếp được thông qua ISA.
38 5/. Firewall service có thể được tăng cường chức năng hoạt động thông qua Application filters
6/. Firewall client sẽ nhận biết các giao tiếp từ Winsock applications trên Computer của mình và chuyển hướng chúng đến Firewall service, nơi mà giao tiếp thực sự với các Hostbên ngoài sẽ diễn ra.
7/. Kênh điều khiển (control channel) sẽ quản lý các Winsock messages từ xa và phân phối bảng IP nội bộ LAT (Local Address Table) đến firewall client. Kênh này cũng thiết lập các TCP connections từ client tới ISA server và nó được dùng đề xây dựng các kết nối ảo (virtual connections) trong khi ISA server đang kết nối thực sư với remote applications trên remote Hosts.
8/. Firewall service cũng sử dụng kênh điều khiển để giao tiếp với service management, connection và onauthentication information trên UDP port 1745.
9/. Service này cũng dùng LAT để xác định các Clients gửi yêu cầu đến nó, có phải xuất phát từ Mạng nội bộ hay là từ một Mạng nào đó thiếu an toàn..(từ attacker networks v.vv)
+ Web Proxy Service (W3PROXY.EXE)
1/. Service này cho phép bất kì CERN clients nào (các Web Browser hoặc các application tương thích chuẩn do CERN- (website www.cern.ch), quy định, như Internet Explorer hoặc Netscape là ví dụ), có khả năng truy cập các tài nguyên Internet như HTTP, HTTPS (HTTP secure), Gopher (chương trình tìm kiếm File names và các resource khác trên Internet và sắp xếp dưới dạng các menu cho user chọn, các resourse này thực tế nằm rãi rác khắp hàng ngàn Gopher server trên Internet - hiện có trên 7000 Gopher servers) và FTP protocols.
2/. Web Proxy Service là một application level service phục vụ cho các CERN- compliant applications (như đã trình bày ở trên ) và những ứng dụng này đã config để dùng Web proxy service (dùng Internet Explorer co thể xác lập dùng Web proxy service như sau. Chọn Tools, Internet Options, Connections, LAN settings và đưa vào các thông số.
39
b) Sử dụng ACL của Router.
Trong kiến trúc này, một router được nối với Internet (exterior router), buộc mỗi giao tiếp mạng đi vào application gateway (cổng ứng dụng ).
Một router được nối với mạng nội bộ (interior router) chỉ tiếp nhận những gói tin từ cổng ứng dụng.
Cổng ứng dụng thiết lập policies ( chính sách ) đối với từng người dùng và từng ứng dụng. Hệ quả là nó điều khiển được sử phân phát của các dịch vụ cả đến và đi từ mạng nội bộ. Ví dụ, chỉ một số người dùng được phép giao tiếp với Internet, hay chỉ một số ứng dụng được phép thiết lập kết nối với bên ngoài. Nếu chỉ 1 ứng dụng được phép gửi thư, chỉ những gói thư được đi qua router.
Việc thực hiện cấu hình ACL của Router được thực hiện theo cú pháp cấu hình accesslist...
40