Bài giảng Thương mại điện tử (E-Commerce): Bài 8

Bài 8

ệ

ự

ả Th c Hi n B o M t trong ạ

ậ ệ

ươ

ử

ng M i Đi n T

Th

ươ

ệ

ạ

ử

Th

ng M i Đi n T

Nội Dung

ề ề

ở ữ ố ả ỹ ệ  B o v b n quy n, quy n s h u trí tu  K thu t WaterMarking và 1 s công ty

i pháp ệ ệ t l p b o v trong trình duy t Web

ự ố ệ ả ậ ả ấ cung c p gi ả ế ậ  Thi ứ  Ch ng th c s

Nội Dung

ề

ậ ả ứ ậ ả  B o m t khi truy n g i thông tin  Các gi ử i thu t mã hóa, các nghi th c

ề

ữ ệ ử

truy n thông mã hóa ớ ả  Văn b n v i ch ký đi n t  Proxy, FireWall

Bảo vệ tài sản TMĐT

 C n ph i ghi rõ (văn b n) vi c phân tích

ầ

ệ ả

ự

ệ

ầ

ể ả ọ ả

ệ

ị

ả ư

ả ệ ậ ả cũng nh chính sách b o m t ả ượ ả  Các tài s n nào c n đ c b o v ệ  C n th c hi n gì đ b o v tài s n ố  Phân tích các m i đe d a ề ệ  Các qui đ nh v vi c b o v

Bảo vệ tài sản TMĐT

ữ

ạ

ầ ạ

ử

ế  C n quan tâm đ n nh ng nguy h i xâm ả ế ph m đ n tài s n khi kinh doanh TMĐT ấ ợ ậ  Truy c p b t h p pháp ậ ậ ữ  S a ch a, c p nh t thông tin ạ  Phá ho i thông tin

ậ ủ

ế

 Liên quan đ n thông tin bí m t c a doanh

ế ộ ớ ấ ỳ

v i b t k ai bên ngoài doanh

t l

nghi pệ  Không ti nghi pệ

ầ ố

ể

ả

ậ

Yêu c u t

ệ i thi u trong vi c b o m t TMĐT

ậ ả Tính b o m t

Tính toàn v nẹ

Q.Lý khóa

ố ỏ

ố

Ch ng ch i b

Tính xác th cự

Bảo vệ quyền sở hữu trí tuệ

ị ấ ề

ậ ả ầ ế t

ấ ợ

ặ

ọ ử ụ

ề ế ạ  V n đ : giao d ch mua bán trên m ng ẫ Internet nh ng v n có kh năng xác ở ữ nh n quy n s h u khi c n thi ề ở ữ ệ

ị ả  Các khuy n ngh b o v quy n s h u ả trong không gian o(Cyberspace):  Ngăn ch n các host name b t h p pháp  L c gói tin Packet filtering  S d ng các Proxy servers

Một số công ty cung cấp các phần mềm bảo vệ bản quyền

 ARIS Technologies

 H th ng Digital audio watermarking

ể ệ

ệ ố ậ  Nhúng mã vào các t p tin âm thanh th hi n

ả

ề

ể

ầ

b n quy n  Digimarc Corporation ứ ạ ớ ậ  “Watermarking” v i t p tin nhi u d ng th c ế ị ề  Các ph n m m đi u khi n, các thi t b phát

Câu Hỏi

 Gi

ệ ả

ằ

ấ

ả

ớ ả ị ẽ ẩ

ấ ợ

ả ử s công ty anh ch s kinh doanh ạ trên m ng v i s n ph m là các video clip ca nhac. ử ề  Th đ xu t 1 vài cách nh m b o v b n quy n ?ề ử ề

 Th đ xu t 1 vài cách thanh toán ự ế ớ  (C n phù h p v i tình hình th c t )

ầ

WaterMarking

ả

 Cho phép nhúng thông tin tác gi

ố

ệ ủ

ự

ệ

ể

ạ i đ ậ

ượ ả

ằ

ọ (g i là watermark) vào các tài li u s hoá sao cho ị ấ ượ ng tr c quan c a tài li u không b ch t l ả ầ ưở ng và khi c n có th dò l c nh h watermark đã nhúng nh m xác nh n b n quy n.ề

ấ

 Đây

ậ thu t ặ

ả

ệ

ỹ ẽ

ự

ạ

ố ỏ

ạ ấ

ượ

ỏ  Ngoài ra, k thu t watermarking còn đòi h i ệ i các thao c

ẩ ỹ tin thông n gi u là k ấ ư ằ ệ t nh m đ a các d u (steganography) đ c bi ố hi u vào nh s . ậ s m nh m trong vi c ch ng l ằ tác t n công nh m xóa b thông tin đ nhúng.

WaterMarking ụ

ủ

ậ thu t

 Hai h

ỹ ng áp d ng chính c a k

ự ệ ả

ề

ổ ế ạ

ụ

ề

c ng d ng ph bi n t ữ

ố

ứ

ụ

ướ watermarking là ứ ậ  xác nh n (ch ng th c) thông tin ả ấ  đánh d u b o v b n quy n ượ ứ ậ ỹ  K thu t này đã đ i nhi u ỹ ừ ớ ướ i. T cu i nh ng năm 1990, k c trên th gi ậ ộ ố ượ c m t s công ty ng d ng trong ươ

ệ ủ

ế n thu t này đã đ ạ ng m i th ụ ử ụ  S d ng Liquid Audio áp d ng công ngh c a Verance

ớ

Corporation (âm nh c).ạ  Photoshop: v i Digimarc.

 Ngày nay, các công ty chuyên kinh doanh các h ệ

ể

ố

th ng watermarking đã tăng đáng k .

Một số công ty cung cấp các phần mềm bảo vệ bản quyền

 SoftLock Services

ậ ạ

ậ

ử ử ụ

ả

ả ề

ể i mã (sau khi tr ti n) đ

 Cho phép khóa các t p tin  G i các t p tin lên m ng  S d ng 1 khóa gi ể ử ụ có th s d ng

SoftLock Services Home Page Figure 62

Bảo vệ các máy khách

 Các thông tin d ng Active content, đ

ạ c

ộ ượ các trang web đ ng là 1 i v máy t

ừ ể ủ ớ ọ

ả ề i v

ầ

 M i đe do đ n t  Các trang web ả  Các hình nh, plugin,.. t  Các ph n đính kèm trong email

ả ề t trong các hi m h a v i máy tính c a NSD ố ạ ế ừ

Bảo vệ các máy khách

ể

 Hi m h a t

ọ ừ ẩ

Cookies ạ

ư ả

ứ ấ ỳ

ể

 Các m u thông d ng text l u trên máy khách và ạ ch a các thông tin nh y c m, không mã hóa ể ọ  B t k ai cũng có th đ c và hi u các thông tin

ề ẩ

ể

trong cookies ế

ạ  Không tr c ti p phá ho i nh ng ti m n các hi m

ạ ộ

ạ

ự ố ọ h a phá r i ho t đ ng ọ ừ ể  Hi m h a t

các website m o danh

ả ạ

ằ

ậ

Misplaced trust  Các Web site gi

ể ộ

m o nh m l a NSD đăng nh p ả

ừ ạ

vào và đ l

các thông tin nh y c m

Kiểm soát các nội dung dạng Active

 Các trình duy t Netscape

ệ

ế ị

Navigator,Microsoft Internet Explorer cho ả ề ể phép NSD ki m soát và quy t đ nh t i v các thông tin d ng Active

ự ứ ả ạ ố

ả

 Ch ng th c s (Digital certificate) b o đ m cho c clients và servers tính xác ủ th c, đúng đ n c a 2 phía tham gia

ả ự ắ

Xác nhận số-Digital Certificates

ọ c g i là digital ID ớ c đính kèm v i email

ườ ể ậ i

 Đ c mã hóa đ không ai có th đ c

ượ  Còn đ ể ượ  Có th đ ượ  Đ c nhúng trong 1 trang web ử ụ  S d ng đ xác nh n chính xác ng ở ữ ượ s h u digital ID ể ể ọ

hay nhân b nả

Trung tâm Chứng thực kỹ thuật số - CA

ố

ấ

ự

ứ

ấ ả t c ườ ng

ị

ạ

, nh các giao d ch ồ

ư ng m i và trao đôi thông tin, g m

ứ

ữ

ổ ệ ử

ệ ch c và các h .

ươ ự

ố

ổ

ị

ậ

ệ ự ệ ử ườ ng đi n t

, nh g i nh n email,

ư ử ổ

ể

ề

ả  C p và qu n lý ch ng th c s cho t ố ượ ng tham gia trong môi tr các đ i t ệ ử ị giao d ch đi n t ươ th ữ nh ng cá nhân, nh ng t ạ ố ng m i đi n t th ng th ứ  Ch ng th c s cho các cá nhân và t ứ ch c th c hi n an toàn các giao d ch trong môi tr mua bán hàng hoá, trao đ i thông tin, phát ầ tri n ph n m m...

Trung tâm Chứng thực kỹ thuật số

 Các ch c năng chính c a Trung tâm

ủ

ứ ứ

ự ự

ố ố ề

ự ụ

ứ

ự

ế

ứ

số

ầ

ổ

ự

ứ

ả

(cid:0) Yêu c u thay đ i, gia h n … (cid:0) Qu n lý ch ng th c s

ạ ố

ứ ự ố ch ng th c s (cid:0) Đăng ký xin c p ch ng th c s ấ (cid:0) Xác th c và c p ch ng th c s ấ (cid:0) Truy l c và tìm ki m thông tin v ch ng th c

Trung tâm Chứng thực kỹ thuật số

ợ

ậ

ụ

ự ươ

ạ ng m i

ệ ử

ạ ộ ị : các web site giao d ch B2B, các web site

ự

ử ụ

ế ả

ự

. Tránh đ

ả ạ

ả

ậ

ị m o thông tin, l

ổ ộ

ạ

ả  Công c an toàn, b o m t và xác th c h p ệ ố pháp cho các h th ng ho t đ ng th đi n t ệ ố bán hàng, h th ng thanh toán tr c tuy n... ả ố ứ  S d ng ch ng th c s giúp cho b o đ m an ượ ệ ử c các nguy toàn các giao d ch đi n t ộ ơ c , gi các thông tin nh y c m, ạ m o danh, xuyên t c và thay đ i n i dung thông tin.

Câu Hỏi

ấ

đâu ??? ự ơ ố ở ứ ự  Xin c p ch ng th c s ứ ấ  Đã có c quan c p ch ng th c s t ố ạ i

VN???

Tại Việt Nam ????

ố ố

ự ự  Trung tâm ch ng th c ch ký s qu c ụ Ứ

 Trung tâm ch ng th c k thu t s

ữ ứ ệ ộ C c ng d ng công ngh ụ gia tr c thu c ộ thông tin – B Thông tin và truy n thông ự ứ ề ậ ố ỹ

ệ ệ ụ ạ

ơ ở ế ị t b chuyên d ng, an ứ ậ

ẩ ọ ộ Trung tâm tin h c & Nacencomm / B ự KH & CN. Xây d ng trên c s công ngh hi n đ i, thi ả toàn và b o m t m c cao theo tiêu ệ chu n hi n hành.

www.diap.gov.vn

VeriSign

r t lâu

 Cung c p nhi u c p đ xác nh n ấ

ế ợ

ộ

ề ậ ấ

 Apply to servers and their organizations  Offers assurance of an individual’s identity and

relationship to a specified organization

ổ ơ  C quan CA Certification Authority n i ậ ừ ấ ế ti ng và thành l p t ộ ấ ấ ớ  Class 1 (L p th p nh t) ư ệ ử ớ  K t h p th đi n t v i mã khóa công c ng ấ ớ  Class 4 (L p cao nh t)

ủ

ấ

C u trúc 1 Digital ID c a VeriSign

Microsoft Internet Explorer

 Cung c p kh năng b o v máy khách

ệ ấ ả

ả (ngay trong trình duy t)ệ

 Có kh năng ki m tra các n i dung d ng

ể ạ ả ộ

ủ ộ ActiveX, Java applet ự  Ki m tra tính xác th c c a các n i dung

ể ượ ả ề c t i v đ

ố ộ ế ị ộ ậ  NSD xác nh n l n cu i đ tin c y vào n i ả ề i v hay ậ ầ ượ ả ề c t i v (quy t đ nh t

dung đ không)

Security Warning và Certificate Validation

Internet Explorer Zones và Security Levels

Internet Explorer Security Zone Default Settings

Netscape Navigator

 NSD có th xác l p ch n l a đ t

ọ ự ể ậ ể ả ề i v

ộ n i dung Active

ữ ể ớ  Có th quan sát các ch ký đính kèm v i

Java Applet và JavaScript

ộ ế ộ ậ ộ ạ  Security : h p tho i Preferences dialog  Xác l p ch đ Cookie:h p Preferences

Netscape Navigator Preferences

Java Security Alert Trong Netscape Navigatot

ủ

ộ

N i dung c a ID Certificate

Phối hợp với Cookies

 Có th thi

ể ế ậ ạ ạ t l p h n ng ch th i gian

ờ trong vòng 10, 20, hay 30 ngày

 Ch có th truy c p đ n nh ng site t o ra

ữ ế ể ạ ậ ỉ

chính nó

ư ữ ườ i dùng không

ố

 L u tr thông tin mà ng ậ mu n nh p vào th website (tên tài kh an, m t kh u)

ng xuyên khi thăm 1 ẩ ườ ỏ ậ

Phối hợp với Cookies

 Các trình duy t tr

ệ ướ ự ộ ườ ng t đ ng

ư ạ l u l

do các cookie

ả

ố

ạ

ữ ự  L u tr t ệ ấ  Xu t hi n c nh báo khi có tình hu ng ghi  Không cho phép ghi l

i cookie trên máy

c đây th ả i các cookie (không c nh báo NSD) ề ệ ệ  Các trình duy t hi n nay đ u cho phép

Bảo Vệ Khi Truyền Thông

ả ả

 B o v thông tin, tài s n trong quá trình i gi a các máy khách và máy

ữ

ả ả ả

ợ ệ

ệ ể ả chuy n t ụ ph c vụ ồ

ầ  Bao g m các yêu c u ậ ề  B o m t kênh truy n ữ ệ ẹ ả  B o đ m toàn v n d li u ả ợ  B o đ m h p l , phù h p ậ  Xác nh n Authentication

Phương pháp bảo vệ

 Mã hóa Encryption

ổ

ng pháp

ể ọ

ươ

ươ ng trình

ể

khó hi u

ấ

ằ  Chuy n đ i thông tin b ng ph ự toán h c d a trên 1 ch ự ậ ể ạ + khóa bí m t đ t o ra các ký t Ẩ  n gi u thông tinSteganography

ướ

 Thông tin vô hình tr

c NSD

 Mã hóa thông tinCryptography ạ ổ ữ ệ

ể

ể ố  Chuy n đ i d li u g c sang d ng không th

ọ

đ c, không có ý nghĩa,...

Mã hóa-Encryption

ử ụ

ể

ố

ớ  T i thi u : s d ng khóa 40bit, mã hóa v i

ộ

khóa có đ dài 128 bit an toàn h n

 Có th phân thành 3 nhóm

ể  Hash Coding

ỗ ố

ấ ứ

ự

ầ

ớ

ộ

 Xây d ng 1 chu i s duy nh t ng v i 1 n i dung c n mã

hóa

ấ ố ứ

 Mã hóa b t đ i x ngAsymmetric (Publickey)

Encryption

i mã b ng 2 khóa khác nhau

ả  Mã hóa và gi ố ứ

ằ  Mã hóa đ i x ng Symmetric (Privatekey)

Encryption

ể

ả

 Dùng 1 khóa đ mã hóa và gi

i mã

Câu Hỏi

 Hash Coding  Mã hóa b t đ i x ngAsymmetric

 Mã hóa đ i x ng Symmetric (Private

ấ ố ứ

(Publickey) Encryption ố ứ key) Encryption

Hash Coding, Privatekey, và Publickey Encryption

ộ ố ả

ụ

ậ

M t s gi

i thu t mã hóa thông d ng

Secure Sockets Layer (SSL) Protocol

 Th c hi n b o m t n i k t gi a 2 máy

ậ ố ế ữ ệ ả

ự tính

 Máy khách và máy ch qui

ủ ấ

ả ơ ộ ướ c c p đ ậ c xác nh n và các ạ

 Nhi u c ch , ki u lo i b o m t cho vi c ữ

ướ ậ b o m t, các qui ế ả c ch b o v thông tin liên l c khác ơ ệ ế ạ ả ệ ề ậ

ạ ể thông tin liên l c gi a các máy tính

Câu Hỏi

ạ ộ ứ ủ  Ho t đ ng c a nghi th c SSL

Secure Sockets Layer (SSL) Protocol

ấ

 Cung c p mã hóa 40 bit hay 128 bit  S d ng Session key đ mã hóa d li u

ử ụ ữ ệ ể

ả ả trong phiên làm vi cệ ớ  Đ dài khóa càng l n thì kh năng b o

ộ ậ m t càng cao

ế ậ

Thi

t L p phiên mã hóa SSL

SSL Web Server

HTTP Secure (https) Protocol

 Là s k t h p HTTP và SSL/TLS nh m

ự ế ợ ằ

ấ ả

ụ

ề ả

ng pháp mã hóa symmetric

ậ cung c p nhi u tính năng b o m t ậ  Xác nh n c phía máy khách và máy ph c v ự ộ ế ơ  C ch mã hóa t đ ng ệ ố ơ ế ự  Th c hi n t t c ch Request/response ươ ỗ ợ  H tr các ph , publickey, message digests

Câu Hỏi

ấ ề ả ử ệ

 Các v n đ n y sinh khi g i 1 tài li u quan tr ng, 1 đ n hàng, 1 h p đ ng,...

ọ

 Ch ký đi n t

ồ ớ ự ữ c th c hi n v i 1 văn

ả ợ ơ ệ ệ ử ượ đ ư ế ệ b n, tài li u nh th nào ???

Văn bản với chữ ký điện tử

Bảo đảm hoàn thành các giao dịch

ả ượ ệ ở

ắ

ố ộ ả

ứ

ệ ị

 Các gói thông tin đ c b o v b i mã ố ị ữ hóa hay ch ký s không b đánh c p ử ả ề  T c đ truy n g i đ m b o  Nghi th c TCP (Transmission Control Protocol) ch u trách nhi m theo dõi và ki m soát các gói tin

ể

ầ ử  Nghi th c TCP yêu c u máy khách g i

ạ ấ ạ ứ ữ ệ l i gói d li u khi chúng th t l c

Bảo vệ máy chủ Commerce Server

ậ ự ậ

 Quy n truy c p và s xác nh n ể

ề

ậ

ụ

d ng trên máy ph c v

ụ ử

ầ

ậ

ử  Nh ng ai có th đăng nh p và quy n s ụ  Yêu c u máy khách g i 1 “xác nh n”

ể ị

(certificate) đ đ nh danh

ủ

ấ

ậ

ằ

ể ờ ể ử ụ ị

ớ

ỉ

 Server ki m tra “timestamp” c a gi y xác ệ ự nh n : th i gian hi u l c ệ ố  Có th s d ng 1 h th ng callback nh m ể ki m tra đ a ch và tên máy khách v i 1 danh sách

ề ữ

Bảo vệ máy chủ Commerce Server

ậ ử ụ  Tên tài kho n s d ng cùng v i m t

ẩ ớ ụ kh u và ph ng pháp thông d ng

ạ ả

ượ ả ươ ả M t kh u : đ

ậ ậ ẩ ẩ ượ

ủ

ớ ượ ư ữ ử ụ  Tên tài kho n s d ng : d ng văn b n, c mã hóa ậ  M t kh u khi nh p vào đ ớ c l u tr c mã hóa và so kh p v i thông tin cá nhân c a NSD đ

ệ ố

ả

ậ

ẩ

ớ Đăng nh p vào h th ng v i tên tài kho n và m t kh u

Bảo vệ với chức năng của HĐH

ử ụ ậ ẩ

ự ườ ng án th

ề

ạ

 M i thông tin vào/ra kh i m ng đ u ph i đi

ườ

ử

ng l a

ơ ệ ề  Ph n l n các h đi u hành s d ng c ch ch ng th c : tài kho n/m t kh u firewall ả ả ử ụ ng s d ng: ỏ

ị

ả ấ

ằ

ố

ạ i

ậ

ộ

 Ch cho phép các gói thông tin xác đ nh  Firewall ph i c u hình t t nh m ch ng l các cu c xâm nh p

ầ ớ ứ ế ươ  Ph ọ qua t ỉ

Tường Lửa-Firewalls

 Ch c năng chính c a Firewall là ki m soát lu ng thông

ủ gi a Intranet và Internet. Thi

ồ ể ế ậ ơ ế ề t l p c ch đi u

ữ

ạ

ặ ấ

ữ

ụ

ừ

ậ

ị

ứ ừ ữ tin t ể khi n dòng thông tin gi a m ng bên trong (Intranet) và ạ m ng Internet  Cho phép ho c c m nh ng d ch v truy nh p ra ngoài (t

Intranet ra Internet).

ặ ấ

ụ

ậ

ị  Cho phép ho c c m nh ng d ch v phép truy nh p vào trong

ừ

ữ Internet vào Intranet).

ữ

ấ

ậ

ị

ỉ

ườ ử ụ

ậ ủ

ệ

ạ ồ ữ ệ  Theo dõi lu ng d li u m ng gi a Internet và Intranet. ậ ỉ ị  Ki m soát đ a ch truy nh p, c m đ a ch truy nh p.  Ki m soát ng i s d ng và vi c truy nh p c a ng

ườ ử i s

ể

ộ

 Ki m soát n i dung thông tin thông tin l u chuy n trên

ể ể d ng.ụ ể m ng ạ

Tường Lửa-Firewalls

ề ẩ ộ ồ  Firewall chu n bao g m m t hay nhi u các

ộ ọ ổ ứ

 B l c packet (packetfiltering router)  C ng ng d ng (applicationlevel gateway hay

ụ proxy server)

ạ

ổ

 C ng m ch (circuit level gateway)

ầ thành ph n sau đây:

Tường Lửa-Firewalls

ườ

ử

t c các gói tin đi ngang qua t

ng l a

ọ ể  Ki m tra t ạ ộ ọ

 Ho t đ ng nh 1 Gateway ầ

ụ

ứ

 L c gói tin d a trên yêu c u các ng d ng

 L c các gói tin(Packet filters) ấ ả ư ự  Proxy servers

ạ

ụ

ạ

ớ

ộ

ệ

ạ  Liên l c v i m ng bên ngoài thay cho m ng c c b  Vùng đ m cho các trang web

ứ ề ầ ủ  Các ch c năng c a ph n m m firewall

Câu Hỏi

ộ ọ  B L c Packet  Proxy  Gateway  Router

Nguyên Lý Bộ Lọc Packet

 B l c packet cho phép hay t

ỗ ộ ọ

ừ ố ch i m i ể

ả ố

ự

l c packet này là d a trên các đ u m i packet (packet header),

ề ở

ậ ượ c.Nó ki m tra toàn packet mà nó nh n đ ế ị ộ ạ ể ạ ữ ệ b đo n d li u đ quy t đ nh xem đo n ộ ữ ệ d li u đó có tho mãn m t trong s các ậ ệ ủ ọ c a l c packet hay không. lu t l ậ ệ ọ  Các lu t l ỗ ở ầ thông tin ể dùng đ cho phép truy n các packet đó trên m ng:ạ

ị ị

ỉ ỉ

ề

ơ ơ ủ ụ

ế

Nguyên Lý Bộ Lọc Packet(tt) ấ  Đ a ch IP n i xu t phát ( IP Source address) ậ Đ a ch IP n i nh n (IP Destination address) ữ Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel) ấ ổ C ng TCP/UDP n i xu t phát (TCP/UDP source port) ậ ổ C ng TCP/UDP n i nh n (TCP/UDP destination port) ạ D ng thông báo ICMP ( ICMP message type) ệ Giao di n packet đ n ( incomming interface of packet) ệ Giao di n packet đi ( outcomming interface of packet)

ả

Nguyên Lý Bộ Lọc Packet(tt)  N u lu t l l c packet đ

ậ ệ ọ ể

ượ c tho mãn thì packet ẽ ế c chuy n qua firewall. N u không packet s

ả ượ

 Nh v y mà Firewall có th ngăn c n đ

c các

ạ

ặ

ậ

ộ ộ ừ ữ

ạ

ị

ể ủ ặ ệ ệ c xác đ nh, ho c khoá vi c truy c p vào h ỉ nh ng đ a ch không cho

ể

ổ  Vi c ki m soát các c ng làm cho Firewall có

ế ượ đ ị ỏ b b đi. ờ ậ ế ố k t n i vào các máy ch ho c m ng nào đó ị ượ đ ố th ng m ng n i b t phép. ệ ả

ỉ

ạ

ặ

ỉ

ị

ụ ớ c phép m i ch y đ

ệ ố c trên h th ng m ng

ấ ộ ố ạ ế ố kh năng ch cho phép m t s lo i k t n i nh t ủ ị đ nh vào các lo i máy ch nào đó, ho c ch có ữ nh ng d ch v nào đó (Telnet, SMTP, FTP...) ạ ạ ượ ượ đ c c bụ ộ

Packet Filter

Ưu/Khuyết điểm

ề ử ụ

ệ ố

ộ  Đa s các h th ng firewall đ u s d ng b

 Ưu đi mể ố ọ l c packet. ấ

ượ

c bao

ỗ

ơ ế ọ ề

ệ

ậ ả t nào c .

 H n chạ

ế ộ ọ

 Vi c đ nh nghĩa các ch đ l c package là

 Chi phí th p vì c ch l c packet đã đ ầ ồ g m trong m i ph n m m router. ộ ọ ườ ử ố ố ớ  B l c packet là trong su t đ i v i ng i s ụ ứ ụ d ng và các ng d ng, vì v y nó không yêu ầ ự ấ ặ c u s hu n luy n đ c bi ế ệ ị ệ ộ

ứ ạ m t vi c khá ph c t p

Ưu/Khuyết điểm

ớ

ấ

ở ể

ỏ ể ự ọ Khi đòi h i v s l c càng l n, v l c càng tr nên ả

các lu t l dài và ph c t p, r t khó đ qu n ề lý và đi u khi n.

ể

ậ ệ ể ọ ứ ạ ể B l c packet không ki m soát

ủ

ể ữ

ể

ắ

ớ

ạ ủ ẻ ấ

ộ ọ ượ đ c nôi dung thông tin c a packet. Các packet chuy n qua ẫ v n có th mang theo nh ng hành ồ ộ đ ng v i ý đ ăn c p thông tin hay phá ho i c a k x u.

ổ ứ

ụ

C ng ng d ng (ApplicationLevel Gateway)

 Nguyên lý ộ

ế ế ể

c thi

ứ

ậ

ườ ứ ượ ạ ộ

ự

ệ  Proxy service là các b code đ c bi ả ụ

ừ ứ

ượ ạ ng Đây là m t lo i Firewall đ t k đ tăng c ạ ị ụ ể c cho ch c năng ki m soát các lo i d ch v , giao th c đ ủ ơ ế ạ ệ ố phép truy c p vào h th ng m ng. C ch ho t đ ng c a ứ ọ nó d a trên cách th c g i là Proxy service. ộ ế ộ ứ

ụ ươ ể

ượ

ẽ

ấ

ặ ặ t cài đ t trên gateway ườ ị ạ i qu n tr m ng không cài ị ụ ng ể c cung c p và do đó không th chuy n

cho t ng ng d ng. N u ng ặ đ t proxy code cho m t ng d ng nào đó, d ch v t ứ ng s không đ thông tin qua firewall.

ể ượ ị

ấ

ể

ấ

ỉ ộ ố ặ ạ ể

ể ỗ ợ  Ngoài ra, proxy code có th đ c đ nh c u hình đ h tr ả ứ ị ư ụ ch m t s đ c đi m trong ng d ng mà ng òi qu n tr ặ ữ ừ ố ậ ượ ch i nh ng đ c c trong khi t m ng cho là ch p nh n đ đi m khác.

ổ ứ

ụ

C ng ng d ng

ộ ổ ứ

 M t c ng ng d ng th

ng đ ượ

ộ t đ ch ng

ượ c thi

ệ ể ố ả ả

ụ ở ừ i s t n công t

ư c coi nh là m t pháo đài ế ế ặ t k đ t bi ệ ữ bên ngoài. Nh ng bi n pháp đ m b o an

ườ (bastion host), b i vì nó đ ạ ự ấ l ủ ninh c a m t bastion host là:

ủ

 Luôn ch y các version an toàn (secure version) c a các

ầ

ụ

ượ

ế ế

ạ

ố

ệ ố c thi

t k chuyên cho m c đích ch ng l

ả

ộ ạ ề ph n m m h th ng (Operating system). Các version an i toàn này đ ả ự ấ s t n công vào Operating System, cũng nh là đ m b o ợ ự s tích h p firewall ụ

ị ạ

ườ

ả

ỉ ữ ế

ả

ặ

ượ

ng, ch m t s gi

ườ ụ

ị ượ

ặ

ị ầ  Ch nh ng d ch v mà ng i qu n tr m ng cho là c n ớ ượ ơ ỉ t m i đ thi c cài đ t trên bastion host, đ n gi n ch vì ể ị ộ ị ế ặ ụ c cài đ t, nó không th b n u m t d ch v không đ ứ ỉ ộ ố ớ ạ ấ i h n các ng t n công. Thông th ụ d ng cho các d ch v Telnet, DNS, FTP, SMTP và xác ự th c user là đ

c cài đ t trên bastion host.

ổ ứ

ụ

C ng ng d ng

ổ ứ

ụ

C ng ng d ng

ề

ứ ộ

ể

ề

ặ

ế ậ

ủ

ệ ố

ể

ậ

ộ

i toàn

ể ự ầ  Bastion host có th yêu c u nhi u m c đ xác th c ụ ư khác nhau, ví d nh user password hay smart card. ậ ượ ặ ấ ỗ M i proxy đ c đ t c u hình đ cho phép truy nh p ủ ấ ị ỉ ộ ồ ch m t s các máy ch nh t đ nh. Đi u này có nghĩa ộ ệ ỉ ỗ ể ằ r ng b l nh và đ c đi m thi t l p cho m i proxy ch ộ ố ớ đúng v i m t s máy ch trên toàn h th ng. ạ  M i proxy duy trì m t quy n nh t ký ghi chép l ỗ ự ế ố ế ủ t c a giao thông qua nó, m i s k t n i, ậ ờ

ấ

ẻ

ấ

ặ

ế ố ế ộ ậ

ệ ỗ

ề

ễ

ề

ộ

ớ

ỡ

ỗ ộ b chi ti ả kho ng th i gian k t n i. Nh t ký này r t có ích trong ạ vi c tìm theo d u v t hay ngăn ch n k phá ho i. ớ  M i proxy đ u đ c l p v i các proxies khác trên bastion host. Đi u này cho phép d dàng quá trình cài ấ ặ đ t m t proxy m i, hay tháo g môt proxy đang có v n đ . ể

ổ ứ

ụ

C ng ng d ng

Ư ể  u đi m

ả

ể

ở

ụ

ứ

ề ụ

ủ

ị

ậ ượ ở

ể

 Cho phép ng

ữ

c nh ng d ch v nào cho phép, b i vì s v ng m t

ở ụ ươ ứ

ị

ề ự ắ ng ng có nghĩa là các

ụ ấ

ị ạ ườ  Cho phép ng i qu n tr m ng hoàn toàn đi u khi n ạ ị ượ ừ đ c t ng d ch v trên m ng, b i vì ng d ng proxy ữ ế ị ế ộ ệ ạ h n ch b l nh và quy t đ nh nh ng máy ch nào có ụ ể c b i các d ch v . th truy nh p đ ị ạ ả ườ i qu n tr m ng hoàn toàn đi u khi n ặ ụ ị ượ đ ủ c a các proxy cho các d ch v t ị d ch v y b khoá. ổ ứ

ể

t, và

ậ

ộ ự ấ ố  C ng ng d ng cho phép ki m tra đ xác th c r t t ệ ề ạ i thông tin v truy nh p h

ụ

ễ

ấ

ị ụ nó có nh t ký ghi chép l th ng.ố  Lu t l

l c filltering cho c ng ng d ng là d dàng c u

ậ ệ ọ ể

ổ ứ ớ ộ ọ

hình và ki m tra h n so v i b l c packet.

ổ ứ

ụ

C ng ng d ng

ế

 H n chạ

ổ

ặ

ề

ầ ầ ậ

ẳ

ị

ạ ỏ

ậ

ụ ủ ứ

c đ n i v i máy ch ch không ph i

ướ ể ố ớ ộ ướ

Yêu c u các users thay đ i thao tác, ho c thay ặ ổ đ i ph n m m đã cài đ t trên máy client cho ụ truy nh p vào các d ch v proxy. Ch ng h n, ổ ứ Telnet truy nh p qua c ng ng d ng đòi h i ả hai b là m t b

c thôi.

ề

ầ

Tuy nhiên, cũng đã có m t s ph n m m client

ụ

ứ

ụ

ộ ố ổ ứ

ằ

ỉ

ố ứ

ụ

ệ

cho phép ng d ng trên c ng ng d ng là trong su t, b ng cách cho phép user ch ra máy ả ổ ứ đích ch không ph i c ng ng d ng trên l nh Telnet.

ổ ứ

ụ

C ng ng d ng

ổ

C ng vòng (CircuitLevel Gateway)

ệ

ặ ụ

ể ự c b i m t c ng ng d ng. C ng vòng

t có th th c ổ ế ố ộ

ế ấ ỳ ộ

ử

ọ

ứ ộ ổ C ng vòng là m t ch c năng đ c bi ộ ổ ứ ệ ượ ở hi n đ ể ỉ ả ơ đ n gi n ch chuy n ti p (relay) các k t n i TCP ệ ự mà không th c hi n b t k m t hành đ ng x lý hay l c packet nào. ả

ể

ổ

C ng vòng đ n gi n chuy n ti p k t n i telnet

ế ệ

ế ố ộ ự ể

ề

ổ

ệ

ể ư ộ ợ

ấ

ự ế ố ấ

ề ạ

ự qua firewall mà không th c hi n m t s ki m tra, ủ ụ ọ l c hay đi u khi n các th t c Telnet nào.C ng vòng làm vi c nh m t s i dây,sao chép các byte ữ ế ố gi a k t n i bên trong (inside connection) và các ế ố k t n i bên ngoài (outside connection). Tuy nhiên, ệ ừ ệ ố vì s k t n i này xu t hi n t h th ng firewall, ộ ộ nó che d u thông tin v m ng n i b .

CircuitLevel Gateway

ổ

C ng vòng (CircuitLevel Gateway)

ế

C ng vòng th

ng đ

ả

ữ ậ ự

ớ

ườ

ườ ơ ữ ng nh ng ng ộ ộ ỗ

ụ

ữ

ợ ế ố ế

ữ

ề ử ụ ố

ứ

ử ể ả

ượ ử ụ ổ c s d ng cho nh ng k t ị ạ ố n i ra ngoài, n i mà các qu n tr m ng th t s tin Ư ể ưở i dùng bên trong. u đi m l n t ể ượ ấ ấ c c u hình nh t là m t bastion host có th đ ấ ổ ứ ư nh là m t h n h p cung c p C ng ng d ng ổ ế cho nh ng k t n i đ n, và c ng vòng cho các k t ử ệ ố ố ứ ườ ng l a n i đi. Đi u này làm cho h th ng b c t ễ ạ ườ i trong m ng d dàng s d ng cho nh ng ng ụ ị ậ ớ ộ ộ ự ế i các d ch v n i b mu n tr c ti p truy nh p t ấ ẫ ứ Internet, trong khi v n cung c p ch c năng b c ự ộ ộ ừ ữ ệ ạ ườ nh ng s ng l a đ b o v m ng n i b t t ấ t n công bên ngoài.

ế ủ

ữ

ạ

Nh ng h n ch c a firewall

ườ ể

Không đ thông minh nh con ng

ể i đ có th ộ

ủ ể ừ ố

ể

ữ

ọ đ c hi u t ng lo i thông tin và phân tích n i dung t ỉ

ồ

ậ ủ ố

ị

ế

ể

ặ

Không th ngăn ch n m t cu c t n công n u

ể ố

ừ ộ ườ m t đ ữ ệ

ấ ợ

ạ ấ ủ t hay x u c a nó. ặ ự Ch có th ngăn ch n s xâm nh p c a nh ng ả ngu n thông tin không mong mu n nh ng ph i ỉ ố ị xác đ nh rõ các thông s đ a ch . ộ ấ ộ ộ ộ ấ cu c t n công này không "đi qua" nó. M t cách ộ ộ ạ ụ ể i m t cu c c th , firewall không th ch ng l ỉ ặ ự ấ ng dialup, ho c s dò r t n công t ị thông tin do d li u b sao chép b t h p pháp lên đĩa m mề