Tìm hiểu về Tường Lửa-Fire Wall
Hiện nay, khái niệm mạng toàn cầu-Internet không còn mới mẻ. Nó đã trở nên phổ biến tới mức không cần phải chú giải gì thêm trong những tạp chí kỹ thuật, còn trên những tạp chí khác thì tràn ngập các bài viết ngắn, dài về internet...
1
M•c l•c
1. An toàn thông tin trên m ng _____________ Error! Bookmark not defined.
1.1 T i sao c n có Internet Firewall ___________ Error! Bookmark not defined.
1.2 B n mu n b o v cái gì?__________________ Error! Bookmark not defined.
1.2.1 D li u c a b n ____________________ Error! Bookmark not defined.
1.2.2 Tài nguyên c a b n _________________ Error! Bookmark not defined.
1.2.3 Danh ti ng c a b n _________________ Error! Bookmark not defined.
1.3 B n mu n b o v ch ng l i cái gì? _________ Error! Bookmark not defined.
1.3.1 Các ki u t n công __________________ Error! Bookmark not defined.
1.3.2 Phân lo i k t n công _______________ Error! Bookmark not defined.
1.4 V y Internet Firewall là gì? _______________ Error! Bookmark not defined.
1.4.1 nh ngh a________________________ Error! Bookmark not defined.
1.4.2 Ch c n ng ________________________ Error! Bookmark not defined.
1.4.3 C u trúc__________________________ Error! Bookmark not defined.
1.4.4 Các thành ph n c a Firewall và c ch ho t ng Error! Bookmark not
defined.
1.4.5 Nh ng h n ch c a firewall __________ Error! Bookmark not defined.
1.4.6 Các ví d firewall __________________ Error! Bookmark not defined.
2. Các d ch v Internet ______________Error! Bookmark not defined.
2.1 World Wide Web - WWW ________________ Error! Bookmark not defined.
2.2 Electronic Mail (Email hay th i n t ). ____ Error! Bookmark not defined.
2.3 Ftp (file transfer protocol hay d ch v chuy n file) ___ Error! Bookmark not
defined.
2.4 Telnet và rlogin _________________________ Error! Bookmark not defined.
2.5 Archie _________________________________ Error! Bookmark not defined.
2.6 Finger _________________________________ Error! Bookmark not defined.
2
3. H th ng Firewall xây d ng b i CSE_Error! Bookmark not defined.
3.1 T ng quan _____________________________ Error! Bookmark not defined.
3.2 Các thành ph n c a b ch ng trình proxy: _ Error! Bookmark not defined.
3.2.1 Smap: D ch v SMTP _______________ Error! Bookmark not defined.
3.2.2 Netacl: công c i u khi n truy nh p m ng _____ Error! Bookmark not
defined.
3.2.3 Ftp-Gw: Proxy server cho Ftp ________ Error! Bookmark not defined.
3.2.4 Telnet-Gw: Proxy server cho Telnet____ Error! Bookmark not defined.
3.2.5 Rlogin-Gw: Proxy server cho rlogin____ Error! Bookmark not defined.
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net ______ Error! Bookmark not
defined.
3.2.7 Plug-Gw: TCP Plug-Board Connection server ___ Error! Bookmark not
defined.
3.3 Cài t ________________________________ Error! Bookmark not defined.
3.4 Thi t l p c u hình: ______________________ Error! Bookmark not defined.
3.4.1 C u hình m ng ban u______________ Error! Bookmark not defined.
3.4.2 C u hình cho Bastion Host ___________ Error! Bookmark not defined.
3.4.3 Thi t l p t p h p quy t c_____________ Error! Bookmark not defined.
3.4.4 Xác th c và d ch v xác th c _________ Error! Bookmark not defined.
3.4.5 S d ng màn hình i u khi n CSE Proxy: ______ Error! Bookmark not
defined.
3.4.6 Các v n c n quan tâm v i ng i s d ng ____ Error! Bookmark not
defined.
3
1. An toàn thông tin trên m ng
1.1 T i sao c n có Internet Firewall
Hi n nay, khái ni m m ng toàn c u - Internet không còn
m i m . Nó ã tr nên ph bi n t i m c không c n ph i chú
gi i gì thêm trong nh ng t p chí k thu t, còn trên nh ng
t p chí khác thì tràn ng p nh ng bài vi t dài, ng n v
Internet. Khi nh ng t p chí thông th ng chú tr ng vào
Internet thì gi ây, nh ng t p chí k thu t l i t p trung vào
khía c nh khác: an toàn thông tin. ó cùng là m t quá trình
ti n tri n h p logic: khi nh ng vui thích ban u v m t
siêu xa l thông tin, b n nh t nh nh n th y r!ng không ch"
cho phép b n truy nh p vào nhi u n i trên th gi i, Internet
còn cho phép nhi u ng i không m i mà t ý ghé th m máy
tính c a b n.
Th c v y, Internet có nh ng k thu t tuy t v i cho phép
m i ng i truy nh p, khai thác, chia s thông tin. Nh ng nó
c#ng là nguy c chính d$n n thông tin c a b n b h h%ng
ho&c phá hu' hoàn toàn.
Theo s( li u c a CERT(Computer Emegency Response
Team - “ i c p c u máy tính”), s( l ng các v t n công
trên Internet c thông báo cho t ch c này là ít h n 200
vào n m 1989, kho ng 400 vào n m 1991, 1400 vào n m
1993, và 2241 vào n m 1994. Nh ng v t n công này nh!m
vào t t c các máy tính có m&t trên Internet, các máy tính
c a t t c các công ty l n nh AT&T, IBM, các tr ng i
h c, các c quan nhà n c, các t ch c quân s , nhà b ng...
M t s( v t n công có quy mô kh ng l) (có t i 100.000
máy tính b t n công). H n n a, nh ng con s( này ch" là
ph n n i c a t ng b ng. M t ph n r t l n các v t n công
4
không c thông báo, vì nhi u lý do, trong ó có th k
n n*i lo b m t uy tín, ho&c n gi n nh ng ng i qu n
tr h th(ng không h hay bi t nh ng cu c t n công nh!m
vào h th(ng c a h .
Không ch" s( l ng các cu c t n công t ng lên nhanh
chóng, mà các ph ng pháp t n công c#ng liên t c c
hoàn thi n. i u ó m t ph n do các nhân viên qu n tr h
th(ng c k t n(i v i Internet ngày càng cao c nh
giác. C#ng theo CERT, nh ng cu c t n công th i k+ 1988-
1989 ch y u oán tên ng i s d ng-m t kh,u (UserID-
password) ho&c s d ng m t s( l*i c a các ch ng trình và
h i u hành (security hole) làm vô hi u h th(ng b o v ,
tuy nhiên các cu c t n công vào th i gian g n ây bao
g)m c các thao tác nh gi m o a ch" IP, theo dõi thông
tin truy n qua m ng, chi m các phiên làm vi c t- xa (telnet
ho&c rlogin).
5
1.2 B n mu n b o v cái gì?
Nhi m v c b n c a Firewall là b o v . N u b n mu(n xây
d ng firewall, vi c u tiên b n c n xem xét chính là b n
c n b o v cái gì.
1.2.1 D li u c a b n
Nh ng thông tin l u tr trên h th(ng máy tính c n c
b o v do các yêu c u sau:
B o m t: Nh ng thông tin có giá tr v kinh t , quân s ,
chính sách vv... c n c gi kín.
Tính toàn v.n: Thông tin không b m t mát ho&c s a
i, ánh tráo.
Tính k p th i: Yêu c u truy nh p thông tin vào úng
th i i m c n thi t.
Trong các yêu c u này, thông th ng yêu c u v b o m t
c coi là yêu c u s( 1 (i v i thông tin l u tr trên m ng.
Tuy nhiên, ngay c khi nh ng thông tin này không c gi
bí m t, thì nh ng yêu c u v tính toàn v.n c#ng r t quan
tr ng. Không m t cá nhân, m t t ch c nào lãng phí tài
nguyên v t ch t và th i gian l u tr nh ng thông tin mà
không bi t v tính úng n c a nh ng thông tin ó.
1.2.2 Tài nguyên c a b n
Trên th c t , trong các cu c t n công trên Internet, k t n
công, sau khi ã làm ch c h th(ng bên trong, có th s
d ng các máy này ph c v cho m c ích c a mình nh
ch y các ch ng trình dò m t kh,u ng i s d ng, s d ng
các liên k t m ng s/n có ti p t c t n công các h th(ng
khác vv...
6
1.2.3 Danh ti ng c a b n
Nh trên ã nêu, m t ph n l n các cu c t n công không
c thông báo r ng rãi, và m t trong nh ng nguyên nhân
là n*i lo b m t uy tín c a c quan, &c bi t là các công ty
l n và các c quan quan tr ng trong b máy nhà n c.
Trong tr ng h p ng i qu n tr h th(ng ch" c bi t
n sau khi chính h th(ng c a mình c dùng làm bàn
p t n công các h th(ng khác, thì t n th t v uy tín là
r t l n và có th l i h u qu lâu dài.
7
1.3 B n mu n b o v ch ng l i cái gì?
Còn nh ng gì b n c n ph i lo l ng. B n s0 ph i ng u
v i nh ng ki u t n công nào trên Internet và nh ng k nào
s0 th c hi n chúng?
1.3.1 Các ki u t n công
Có r t nhi u ki u t n công vào h th(ng, và có nhi u cách
phân lo i nh ng ki u t n công này. ây, chúng ta chia
thành 3 ki u chính nh sau:
1.3.1.1 T n công tr c ti p
Nh ng cu c t n công tr c ti p thông th ng c s d ng
trong giai o n u chi m c quy n truy nh p bên
trong. M t ph ng pháp t n công c i n là dò c&p tên
ng i s d ng-m t kh,u. ây là ph ng pháp n gi n, d1
th c hi n và không òi h%i m t i u ki n &c bi t nào
b t u. K t n công có th s d ng nh ng thông tin nh
tên ng i dùng, ngày sinh, a ch", s( nhà vv.. oán m t
kh,u. Trong tr ng h p có c danh sách ng i s d ng
và nh ng thông tin v môi tr ng làm vi c, có m t tr ng
trình t ng hoá v vi c dò tìm m t kh,u này. m t tr ng
trình có th d1 dàng l y c t- Internet gi i các m t
kh,u ã mã hoá c a các h th(ng unix có tên là crack, có
kh n ng th các t h p các t- trong m t t- i n l n, theo
nh ng quy t c do ng i dùng t nh ngh a. Trong m t s(
tr ng h p, kh n ng thành công c a ph ng pháp này có
th lên t i 30%.
Ph ng pháp s d ng các l*i c a ch ng trình ng d ng và
b n thân h i u hành ã c s d ng t- nh ng v t n
công u tiên và v$n c ti p t c chi m quy n truy
8
nh p. Trong m t s( tr ng h p ph ng pháp này cho phép
k t n công có c quy n c a ng i qu n tr h th(ng
(root hay administrator).
Hai ví d th ng xuyên c a ra minh ho cho
ph ng pháp này là ví d v i ch ng trình sendmail và
ch ng trình rlogin c a h i u hành UNIX.
Sendmail là m t ch ng trình ph c t p, v i mã ngu)n bao
g)m hàng ngàn dòng l nh c a ngôn ng C. Sendmail c
ch y v i quy n u tiên c a ng i qu n tr h th(ng, do
ch ng trình ph i có quy n ghi vào h p th c a nh ng
ng i s d ng máy. Và Sendmail tr c ti p nh n các yêu
c u v th tín trên m ng bên ngoài. ây chính là nh ng
y u t( làm cho sendmail tr thành m t ngu)n cung c p
nh ng l* h ng v b o m t truy nh p h th(ng.
Rlogin cho phép ng i s d ng t- m t máy trên m ng truy
nh p t- xa vào m t máy khác s d ng tài nguyên c a máy
này. Trong quá trình nh n tên và m t kh,u c a ng is
d ng, rlogin không ki m tra dài c a dòng nh p, do ó
k t n công có th a vào m t xâu ã c tính toán tr c
ghi è lên mã ch ng trình c a rlogin, qua ó chi m
c quy n truy nh p.
1.3.1.2 Nghe tr m
Vi c nghe tr m thông tin trên m ng có th a l i nh ng
thông tin có ích nh tên-m t kh,u c a ng i s d ng, các
thông tin m t chuy n qua m ng. Vi c nghe tr m th ng
c ti n hành ngay sau khi k t n công ã chi m c
quy n truy nh p h th(ng, thông qua các ch ng trình cho
phép a v" giao ti p m ng (Network Interface Card-NIC)
vào ch nh n toàn b các thông tin l u truy n trên m ng.
9
Nh ng thông tin này c#ng có th d1 dàng l y c trên
Internet.
1.3.1.3 Gi m o a ch
Vi c gi m o a ch" IP có th c th c hi n thông qua
vi c s d ng kh n ng d$n ng tr c ti p (source-
routing). V i cách t n công này, k t n công g i các gói tin
IP t i m ng bên trong v i m t a ch" IP gi m o (thông
th ng là a ch" c a m t m ng ho&c m t máy c coi là
an toàn (i v i m ng bên trong), )ng th i ch" rõ ng
d$n mà các gói tin IP ph i g i i.
1.3.1.4 Vô hi u hoá các ch c n ng c a h th ng (denial
of service)
ây là k u t n công nh!m tê li t h th(ng, không cho nó
th c hi n ch c n ng mà nó thi t k . Ki u t n công này
không th ng n ch&n c, do nh ng ph ng ti n ct
ch c t n công c#ng chính là các ph ng ti n làm vi c và
truy nh p thông tin trên m ng. Ví d s d ng l nh ping v i
t(c cao nh t có th , bu c m t h th(ng tiêu hao toàn b
t(c tính toán và kh n ng c a m ng tr l i các l nh
này, không còn các tài nguyên th c hi n nh ng công
vi c có ích khác.
1.3.1.5 L i c a ng i qu n tr h th ng
ây không ph i là m t ki u t n công c a nh ng k t
nh p, tuy nhiên l*i c a ng i qu n tr h th(ng th ng t o
ra nh ng l* h ng cho phép k t n công s d ng truy
nh p vào m ng n i b .
10
1.3.1.6 T n công vào y u t con ng i
K t n công có th liên l c v i m t ng i qu n tr h th(ng,
gi làm m t ng i s d ng yêu c u thay i m t kh,u,
thay i quy n truy nh p c a mình (i v i h th(ng, ho&c
th m chí thay i m t s( c u hình c a h th(ng th c hi n
các ph ng pháp t n công khác. V i ki u t n công này
không m t thi t b nào có th ng n ch&n m t cách h u hi u,
và ch" có m t cách giáo d c ng i s d ng m ng n i b v
nh ng yêu c u b o m t cao c nh giác v i nh ng hi n
t ng áng nghi. Nói chung y u t( con ng i là m t i m
y u trong b t k+ m t h th(ng b o v nào, và ch" có s giáo
d c c ng v i tinh th n h p tác t- phía ng i s d ng có th
nâng cao c an toàn c a h th(ng b o v .
1.3.2 Phân lo i k t n công
Có r t nhi u k t n công trên m ng toàn c u – Internet và
chúng ta c#ng không th phân lo i chúng m t cách chính
xác, b t c m t b n phân lo i ki u này c#ng ch" nên c
xem nh là m t s gi i thi u h n là m t cách nhìn r p
khuôn.
1.3.2.1 Ng i qua ng
Ng i qua ng là nh ng k bu)n chán v i nh ng công
vi c th ng ngày, h mu(n tìm nh ng trò gi i trí m i. H
t nh p vào máy tính c a b n vì h ngh b n có th có
nh ng d li u hay, ho&c b i vì h c m th y thích thú khi s
d ng máy tính c a ng i khác, ho&c ch" n gi n là h
không tìm c m t vi c gì hay h n làm. H có th là
ng i tò mò nh ng không ch nh làm h i b n. Tuy nhiên,
h th ng gây h h%ng h th(ng khi t nh p hay khi xoá
b% d u v t c a h .
11
1.3.2.2 K phá ho i
K phá ho i ch nh phá ho i h th(ng c a b n, h có th
không thích b n, h c#ng có th không bi t b n nh ng h
tìm th y ni m vui khi i phá ho i.
Thông th ng, trên Internet k phá ho i khá hi m. M i
ng i không thích h . Nhi u ng i còn thích tìm và ch&n
ng nh ng k phá ho i. Tuy ít nh ng k phá ho i th ng
gây h%ng tr m tr ng cho h th(ng c a b n nh xoá toàn b
d li u, phá h%ng các thi t b trên máy tính c a b n...
1.3.2.3 K ghi i m
R t nhi u k qua ng b cu(n hút vào vi c t nh p, phá
ho i. H mu(n c kh2ng nh mình thông qua s( l ng
và các ki u h th(ng mà h ã t nh p qua. t nh p c
vào nh ng n i n i ti ng, nh ng n i phòng b ch&t ch0,
nh ng n i thi t k tinh x o có giá tr nhi u i m (i v i h .
Tuy nhiên h c#ng s0 t n công t t c nh ng n i h có th ,
v i m c ích s( l ng c#ng nh m c ích ch t l ng.
Nh ng ng i này không quan tâm n nh ng thông tin b n
có hay nh ng &c tính khác v tài nguyên c a b n. Tuy
nhiên t c m c ích là t nh p, vô tình hay h u ý
h s0 làm h h%ng h th(ng c a b n.
1.3.2.4 Gián i p
Hi n nay có r t nhi u thông tin quan tr ng c l u tr trên
máy tính nh các thông tin v quân s , kinh t ... Gián i p
máy tính là m t v n ph c t p và khó phát hi n. Th c t ,
ph n l n các t ch c không th phòng th ki u t n công này
m t cách hi u qu và b n có th ch c r!ng ng liên k t
12
v i Internet không ph i là con ng d1 nh t gián i p
thu l m thông tin.
13
1.4 V y Internet Firewall là gì?
1.4.1 nh ngh a
Thu t ng Firewall có ngu)n g(c t- m t k thu t thi t k
trong xây d ng ng n ch&n, h n ch ho ho n. Trong
công ngh m ng thông tin, Firewall là m t k thu t c
tích h p vào h th(ng m ng ch(ng s truy c p trái phép
nh!m b o v các ngu)n thông tin n i b c#ng nh h n ch
s xâm nh p vào h th(ng c a m t s( thông tin khác không
mong mu(n. C#ng có th hi u r!ng Firewall là m t c ch
b o v m ng tin t ng (trusted network) kh%i các m ng
không tin t ng (untrusted network).
Internet Firewall là m t thi t b (ph n c ng+ph n m m)
gi a m ng c a m t t ch c, m t công ty, hay m t qu(c gia
(Intranet) và Internet. Nó th c hi n vai trò b o m t các
thông tin Intranet t- th gi i Internet bên ngoài.
1.4.2 Ch c n ng
Internet Firewall (t- nay v sau g i t t là firewall) là m t
thành ph n &t gi a Intranet và Internet ki m soát t t c
các vi c l u thông và truy c p gi a chúng v i nhau bao
g)m:
• Firewall quy t nh nh ng d ch v nào t- bên trong
c phép truy c p t- bên ngoài, nh ng ng i nào t-
bên ngoài c phép truy c p n các d ch v bên
trong, và c nh ng d ch v nào bên ngoài c phép
truy c p b i nh ng ng i bên trong.
14
• firewall làm vi c hi u qu , t t c trao i thông tin
t- trong ra ngoài và ng c l i u ph i th c hi n thông
qua Firewall.
• Ch" có nh ng trao i nào c phép b i ch an ninh
c a h th(ng m ng n i b m i c quy n l u thông
qua Firewall.
S ) ch c n ng h th(ng c a firewall c mô t nh
trong hình 2.1
Intranet firewall Internet
Hình 2.1 S ) ch c n ng h th(ng c a firewall
1.4.3 C u trúc
Firewall bao g)m:
• M t ho&c nhi u h th(ng máy ch k t n(i v i các b
nh tuy n (router) ho&c có ch c n ng router.
• Các ph n m m qu n lý an ninh ch y trên h th(ng máy
ch . Thông th ng là các h qu n tr xác th c
(Authentication), c p quy n (Authorization) và k toán
(Accounting).
Chúng ta s0 c p k h n các ho t ng c a nh ng h này
ph n sau.
15
1.4.4 Các thành ph n c a Firewall và c ch ho t ng
M t Firewall chu,n bao g)m m t hay nhi u các thành ph n
sau ây:
• B l c packet ( packet-filtering router )
• C ng ng d ng (application-level gateway hay proxy
server )
• C ng m ch (circuite level gateway)
1.4.4.1 B l c gói tin (Packet filtering router)
1.4.4.1.1 Nguyên lý:
Khi nói n vi c l u thông d li u gi a các m ng v i nhau
thông qua Firewall thì i u ó có ngh a r!ng Firewall ho t
ng ch&t ch0 v i giao th c liên m ng TCP/IP. Vì giao th c
này làm vi c theo thu t toán chia nh% các d li u nh n c
t- các ng d ng trên m ng, hay nói chính xác h n là các
d ch v ch y trên các giao th c (Telnet, SMTP, DNS,
SMNP, NFS...) thành các gói d li u (data packets) r)i gán
cho các packet này nh ng a ch" có th nh n d ng, tái
l pl i ích c n g i n, do ó các lo i Firewall c#ng liên
quan r t nhi u n các packet và nh ng con s( a ch" c a
chúng.
B l c packet cho phép hay t- ch(i m*i packet mà nó nh n
c. Nó ki m tra toàn b o n d li u quy t nh xem
o n d li u ó có tho mãn m t trong s( các lu t l c a l c
packet hay không. Các lu t l l c packet này là d a trên các
thông tin u m*i packet (packet header), dùng cho
phép truy n các packet ó trên m ng. ó là:
• a ch" IP n i xu t phát ( IP Source address)
16
• a ch" IP n i nh n (IP Destination address)
• Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel)
• C ng TCP/UDP n i xu t phát (TCP/UDP source port)
• C ng TCP/UDP n i nh n (TCP/UDP destination port)
• D ng thông báo ICMP ( ICMP message type)
• giao di n packet n ( incomming interface of packet)
• giao di n packet i ( outcomming interface of packet)
N u lu t l l c packet c tho mãn thì packet c
chuy n qua firewall. N u không packet s0 b b% i. Nh v y
mà Firewall có th ng n c n c các k t n(i vào các máy
ch ho&c m ng nào ó c xác nh, ho&c khoá vi c truy
c p vào h th(ng m ng n i b t- nh ng a ch" không cho
phép. H n n a, vi c ki m soát các c ng làm cho Firewall có
kh n ng ch" cho phép m t s( lo i k t n(i nh t nh vào
các lo i máy ch nào ó, ho&c ch" có nh ng d ch v nào ó
(Telnet, SMTP, FTP...) c phép m i ch y c trên h
th(ng m ng c c b .
1.4.4.1.2 3u i m
a s( các h th(ng firewall u s d ng b l c packet.
M t trong nh ng u i m c a ph ng pháp dùng b l c
packet là chi phí th p vì c ch l c packet ã c bao
g)m trong m*i ph n m m router.
Ngoài ra, b l c packet là trong su(t (i v i ng is
d ng và các ng d ng, vì v y nó không yêu c u s hu n
luy n &c bi t nào c .
1.4.4.1.3 H n ch :
17
Vi c nh ngh a các ch l c packet là m t vi c khá ph c
t p, nó òi h%i ng i qu n tr m ng c n có hi u bi t chi ti t
v các d ch v Internet, các d ng packet header, và các giá
tr c th mà h có th nh n trên m*i tr ng. Khi òi h%i v
s l c càng l n, các lu t l v l c càng tr nên dài và ph c
t p, r t khó qu n lý và i u khi n.
Do làm vi c d a trên header c a các packet, rõ ràng là b
l c packet không ki m soát c n i dung thông tin c a
packet. Các packet chuy n qua v$n có th mang theo nh ng
hành ng v i ý ) n c p thông tin hay phá ho i c a k
x u.
1.4.4.2 C ng ng d ng (application-level gateway)
1.4.4.2.1 Nguyên lý
ây là m t lo i Firewall c thi t k t ng c ng ch c
n ng ki m soát các lo i d ch v , giao th c c cho phép
truy c p vào h th(ng m ng. C ch ho t ng c a nó d a
trên cách th c g i là Proxy service (d ch v i di n).
Proxy service là các b ch ng trình &c bi t cài &t trên
gateway cho t-ng ng d ng. N u ng i qu n tr m ng
không cài &t ch ng trình proxy cho m t ng d ng nào ó,
d ch v t ng ng s0 không c cung c p và do ó không
th chuy n thông tin qua firewall. Ngoài ra, proxy code có
th c nh c u hình h* tr ch" m t s( &c i m trong
ng d ng mà ng òi qu n tr m ng cho là ch p nh n c
trong khi t- ch(i nh ng &c i m khác.
M t c ng ng d ng th ng c coi nh là m t pháo ài
(bastion host), b i vì nó c thi t k &t bi t ch(ng l i
s t n công t- bên ngoài. Nh ng bi n pháp m b o an ninh
c a m t bastion host là:
18
Bastion host luôn ch y các version an toàn (secure
version) c a các ph n m m h th(ng (Operating
system). Các version an toàn này c thi t k chuyên
cho m c ích ch(ng l i s t n công vào Operating
System, c#ng nh là m b o s tích h p firewall.
Ch" nh ng d ch v mà ng i qu n tr m ng cho là c n
thi t m i c cài &t trên bastion host, n gi n ch" vì
n u m t d ch v không c cài &t, nó không th b t n
công. Thông th ng, ch" m t s( gi i h n các ng d ng
cho các d ch v Telnet, DNS, FTP, SMTP và xác th c
user là c cài &t trên bastion host.
Bastion host có th yêu c u nhi u m c xác th c khác
nhau, ví d nh user password hay smart card.
M*i proxy c &t c u hình cho phép truy nh p ch"
m t s) các máy ch nh t nh. i u này có ngh a r!ng
b l nh và &c i m thi t l p cho m*i proxy ch" úng
v i m t s( máy ch trên toàn h th(ng.
M*i proxy duy trì m t quy n nh t ký ghi chép l i toàn
b chi ti t c a giao thông qua nó, m*i s k t n(i,
kho ng th i gian k t n(i. Nh t ký này r t có ích trong
vi c tìm theo d u v t hay ng n ch&n k phá ho i.
M*i proxy u c l p v i các proxies khác trên bastion
host. i u này cho phép d1 dàng quá trình cài &t m t
proxy m i, hay tháo g4 môt proxy ang có v n .
Ví d : Telnet Proxy
Ví d m t ng i (g i là outside client) mu(n s d ng d ch
v TELNET k t n(i vào h th(ng m ng qua môt bastion
host có Telnet proxy. Quá trình x y ra nh sau:
19
1. Outside client telnets n bastion host. Bastion host
ki m tra password, n u h p l thì outside client c
phép vào giao di n c a Telnet proxy. Telnet proxy cho
phép m t t p nh% nh ng l nh c a Telnet, và quy t nh
nh ng máy ch n i b nào outside client c phép truy
nh p.
2. Outside client ch" ra máy ch ích và Telnet proxy t o
m t k t n(i c a riêng nó t i máy ch bên trong, và
chuy n các l nh t i máy ch d i s u' quy n c a
outside client. Outside client thì tin r!ng Telnet proxy là
máy ch th t bên trong, trong khi máy ch bên trong
thì tin r!ng Telnet proxy là client th t.
1.4.4.2.2 3u i m:
Cho phép ng i qu n tr m ng hoàn toàn i u khi n
c t-ng d ch v trên m ng, b i vì ng d ng proxy
h n ch b l nh và quy t nh nh ng máy ch nào có
th truy nh p c b i các d ch v .
Cho phép ng i qu n tr m ng hoàn toàn i u khi n
c nh ng d ch v nào cho phép, b i vì s v ng m&t
c a các proxy cho các d ch v t ng ng có ngh a là các
d ch v y b khoá.
C ng ng d ng cho phép ki m tra xác th c r t t(t, và
nó có nh t ký ghi chép l i thông tin v truy nh p h
th(ng.
Lu t l filltering (l c) cho c ng ng d ng là d1 dàng c u
hình và ki m tra h n so v i b l c packet.
1.4.4.2.3 H n ch :
20