Bài 8
ệ
ự
ả Th c Hi n B o M t trong ạ
ậ ệ
ươ
ử
ng M i Đi n T
Th
ươ
ệ
ạ
ử
Th
ng M i Đi n T
Nội Dung
ề ề
ở ữ ố ả ỹ ệ B o v b n quy n, quy n s h u trí tu K thu t WaterMarking và 1 s công ty
i pháp ệ ệ t l p b o v trong trình duy t Web
ự ố ệ ả ậ ả ấ cung c p gi ả ế ậ Thi ứ Ch ng th c s
Nội Dung
ề
ậ ả ứ ậ ả B o m t khi truy n g i thông tin Các gi ử i thu t mã hóa, các nghi th c
ề
ữ ệ ử
truy n thông mã hóa ớ ả Văn b n v i ch ký đi n t Proxy, FireWall
Bảo vệ tài sản TMĐT
C n ph i ghi rõ (văn b n) vi c phân tích
ầ
ầ
ệ ả
ự
ệ
ầ
ể ả ọ ả
ệ
ị
ả ư
ả ệ ậ ả cũng nh chính sách b o m t ả ượ ả Các tài s n nào c n đ c b o v ệ C n th c hi n gì đ b o v tài s n ố Phân tích các m i đe d a ề ệ Các qui đ nh v vi c b o v
Bảo vệ tài sản TMĐT
ữ
ạ
ầ ạ
ử
ế C n quan tâm đ n nh ng nguy h i xâm ả ế ph m đ n tài s n khi kinh doanh TMĐT ấ ợ ậ Truy c p b t h p pháp ậ ậ ữ S a ch a, c p nh t thông tin ạ Phá ho i thông tin
ậ ủ
ế
Liên quan đ n thông tin bí m t c a doanh
ế ộ ớ ấ ỳ
v i b t k ai bên ngoài doanh
t l
nghi pệ Không ti nghi pệ
ầ ố
ể
ả
ậ
Yêu c u t
ệ i thi u trong vi c b o m t TMĐT
ậ ả Tính b o m t
Tính toàn v nẹ
Q.Lý khóa
ố ỏ
ố
Ch ng ch i b
Tính xác th cự
Bảo vệ quyền sở hữu trí tuệ
ị ấ ề
ư
ậ ả ầ ế t
ấ ợ
ặ
ọ ử ụ
ề ế ạ V n đ : giao d ch mua bán trên m ng ẫ Internet nh ng v n có kh năng xác ở ữ nh n quy n s h u khi c n thi ề ở ữ ệ
ị ả Các khuy n ngh b o v quy n s h u ả trong không gian o(Cyberspace): Ngăn ch n các host name b t h p pháp L c gói tin Packet filtering S d ng các Proxy servers
Một số công ty cung cấp các phần mềm bảo vệ bản quyền
ARIS Technologies
H th ng Digital audio watermarking
ể ệ
ệ ố ậ Nhúng mã vào các t p tin âm thanh th hi n
ả
ề
ề
ề
ể
ầ
b n quy n Digimarc Corporation ứ ạ ớ ậ “Watermarking” v i t p tin nhi u d ng th c ế ị ề Các ph n m m đi u khi n, các thi t b phát
Câu Hỏi
Gi
ệ ả
ằ
ấ
ả
ớ ả ị ẽ ẩ
ấ ợ
ả ử s công ty anh ch s kinh doanh ạ trên m ng v i s n ph m là các video clip ca nhac. ử ề Th đ xu t 1 vài cách nh m b o v b n quy n ?ề ử ề
Th đ xu t 1 vài cách thanh toán ự ế ớ (C n phù h p v i tình hình th c t )
ầ
WaterMarking
ả
Cho phép nhúng thông tin tác gi
ố
ệ ủ
ự
ệ
ể
ạ i đ ậ
ượ ả
ằ
ọ (g i là watermark) vào các tài li u s hoá sao cho ị ấ ượ ng tr c quan c a tài li u không b ch t l ả ầ ưở ng và khi c n có th dò l c nh h watermark đã nhúng nh m xác nh n b n quy n.ề
ấ
Đây
ậ thu t ặ
ả
ệ
ỹ ẽ
ự
ạ
ố ỏ
ạ ấ
ượ
ỏ Ngoài ra, k thu t watermarking còn đòi h i ệ i các thao c
ẩ ỹ tin thông n gi u là k ấ ư ằ ệ t nh m đ a các d u (steganography) đ c bi ố hi u vào nh s . ậ s m nh m trong vi c ch ng l ằ tác t n công nh m xóa b thông tin đ nhúng.
WaterMarking ụ
ủ
ậ thu t
Hai h
ỹ ng áp d ng chính c a k
ự ệ ả
ề
ổ ế ạ
ụ
ề
c ng d ng ph bi n t ữ
ố
ứ
ụ
ướ watermarking là ứ ậ xác nh n (ch ng th c) thông tin ả ấ đánh d u b o v b n quy n ượ ứ ậ ỹ K thu t này đã đ i nhi u ỹ ừ ớ ướ i. T cu i nh ng năm 1990, k c trên th gi ậ ộ ố ượ c m t s công ty ng d ng trong ươ
ệ ủ
ế n thu t này đã đ ạ ng m i th ụ ử ụ S d ng Liquid Audio áp d ng công ngh c a Verance
ớ
Corporation (âm nh c).ạ Photoshop: v i Digimarc.
Ngày nay, các công ty chuyên kinh doanh các h ệ
ể
ố
th ng watermarking đã tăng đáng k .
Một số công ty cung cấp các phần mềm bảo vệ bản quyền
SoftLock Services
ậ ạ
ậ
ử ử ụ
ả
ả ề
ể i mã (sau khi tr ti n) đ
Cho phép khóa các t p tin G i các t p tin lên m ng S d ng 1 khóa gi ể ử ụ có th s d ng
SoftLock Services Home Page Figure 62
Bảo vệ các máy khách
Các thông tin d ng Active content, đ
ạ c
ộ ượ các trang web đ ng là 1 i v máy t
ừ ể ủ ớ ọ
ả ề i v
ầ
M i đe do đ n t Các trang web ả Các hình nh, plugin,.. t Các ph n đính kèm trong email
ả ề t trong các hi m h a v i máy tính c a NSD ố ạ ế ừ
Bảo vệ các máy khách
ể
Hi m h a t
ọ ừ ẩ
Cookies ạ
ư ả
ứ ấ ỳ
ể
Các m u thông d ng text l u trên máy khách và ạ ch a các thông tin nh y c m, không mã hóa ể ọ B t k ai cũng có th đ c và hi u các thông tin
ề ẩ
ư
ể
trong cookies ế
ạ Không tr c ti p phá ho i nh ng ti m n các hi m
ạ ộ
ạ
ự ố ọ h a phá r i ho t đ ng ọ ừ ể Hi m h a t
các website m o danh
ả ạ
ằ
ậ
Misplaced trust Các Web site gi
ể ộ
m o nh m l a NSD đăng nh p ả
ừ ạ
vào và đ l
các thông tin nh y c m
Kiểm soát các nội dung dạng Active
Các trình duy t Netscape
ệ
ế ị
Navigator,Microsoft Internet Explorer cho ả ề ể phép NSD ki m soát và quy t đ nh t i v các thông tin d ng Active
ự ứ ả ạ ố
ả
Ch ng th c s (Digital certificate) b o đ m cho c clients và servers tính xác ủ th c, đúng đ n c a 2 phía tham gia
ả ự ắ
Xác nhận số-Digital Certificates
ọ c g i là digital ID ớ c đính kèm v i email
ườ ể ậ i
Đ c mã hóa đ không ai có th đ c
ượ Còn đ ể ượ Có th đ ượ Đ c nhúng trong 1 trang web ử ụ S d ng đ xác nh n chính xác ng ở ữ ượ s h u digital ID ể ể ọ
hay nhân b nả
Trung tâm Chứng thực kỹ thuật số - CA
ố
ấ
ự
ứ
ấ ả t c ườ ng
ị
ạ
, nh các giao d ch ồ
ư ng m i và trao đôi thông tin, g m
ứ
ữ
ổ ệ ử
ệ ch c và các h .
ươ ự
ố
ổ
ị
ậ
ệ ự ệ ử ườ ng đi n t
, nh g i nh n email,
ư ử ổ
ể
ề
ả C p và qu n lý ch ng th c s cho t ố ượ ng tham gia trong môi tr các đ i t ệ ử ị giao d ch đi n t ươ th ữ nh ng cá nhân, nh ng t ạ ố ng m i đi n t th ng th ứ Ch ng th c s cho các cá nhân và t ứ ch c th c hi n an toàn các giao d ch trong môi tr mua bán hàng hoá, trao đ i thông tin, phát ầ tri n ph n m m...
Trung tâm Chứng thực kỹ thuật số
Các ch c năng chính c a Trung tâm
ủ
ứ ứ
ự ự
ố ố ề
ự ụ
ứ
ự
ế
ứ
số
ầ
ổ
ự
ứ
ả
(cid:0) Yêu c u thay đ i, gia h n … (cid:0) Qu n lý ch ng th c s
ạ ố
ứ ự ố ch ng th c s (cid:0) Đăng ký xin c p ch ng th c s ấ (cid:0) Xác th c và c p ch ng th c s ấ (cid:0) Truy l c và tìm ki m thông tin v ch ng th c
Trung tâm Chứng thực kỹ thuật số
ợ
ậ
ụ
ự ươ
ạ ng m i
ệ ử
ạ ộ ị : các web site giao d ch B2B, các web site
ự
ử ụ
ế ả
ự
. Tránh đ
ả ạ
ả
ậ
ị m o thông tin, l
ổ ộ
ạ
ả Công c an toàn, b o m t và xác th c h p ệ ố pháp cho các h th ng ho t đ ng th đi n t ệ ố bán hàng, h th ng thanh toán tr c tuy n... ả ố ứ S d ng ch ng th c s giúp cho b o đ m an ượ ệ ử c các nguy toàn các giao d ch đi n t ộ ơ c , gi các thông tin nh y c m, ạ m o danh, xuyên t c và thay đ i n i dung thông tin.
Câu Hỏi
ấ
đâu ??? ự ơ ố ở ứ ự Xin c p ch ng th c s ứ ấ Đã có c quan c p ch ng th c s t ố ạ i
VN???
Tại Việt Nam ????
ố ố
ự ự Trung tâm ch ng th c ch ký s qu c ụ Ứ
Trung tâm ch ng th c k thu t s
ữ ứ ệ ộ C c ng d ng công ngh ụ gia tr c thu c ộ thông tin – B Thông tin và truy n thông ự ứ ề ậ ố ỹ
ệ ệ ụ ạ
ơ ở ế ị t b chuyên d ng, an ứ ậ
ẩ ọ ộ Trung tâm tin h c & Nacencomm / B ự KH & CN. Xây d ng trên c s công ngh hi n đ i, thi ả toàn và b o m t m c cao theo tiêu ệ chu n hi n hành.
www.diap.gov.vn
VeriSign
r t lâu
Cung c p nhi u c p đ xác nh n ấ
ế ợ
ộ
ề ậ ấ
Apply to servers and their organizations Offers assurance of an individual’s identity and
relationship to a specified organization
ổ ơ C quan CA Certification Authority n i ậ ừ ấ ế ti ng và thành l p t ộ ấ ấ ớ Class 1 (L p th p nh t) ư ệ ử ớ K t h p th đi n t v i mã khóa công c ng ấ ớ Class 4 (L p cao nh t)
ủ
ấ
C u trúc 1 Digital ID c a VeriSign
Microsoft Internet Explorer
Cung c p kh năng b o v máy khách
ệ ấ ả
ả (ngay trong trình duy t)ệ
Có kh năng ki m tra các n i dung d ng
ể ạ ả ộ
ủ ộ ActiveX, Java applet ự Ki m tra tính xác th c c a các n i dung
ể ượ ả ề c t i v đ
ố ộ ế ị ộ ậ NSD xác nh n l n cu i đ tin c y vào n i ả ề i v hay ậ ầ ượ ả ề c t i v (quy t đ nh t
dung đ không)
Security Warning và Certificate Validation
Internet Explorer Zones và Security Levels
Internet Explorer Security Zone Default Settings
Netscape Navigator
NSD có th xác l p ch n l a đ t
ọ ự ể ậ ể ả ề i v
ộ n i dung Active
ữ ể ớ Có th quan sát các ch ký đính kèm v i
Java Applet và JavaScript
ộ ế ộ ậ ộ ạ Security : h p tho i Preferences dialog Xác l p ch đ Cookie:h p Preferences
Netscape Navigator Preferences
Java Security Alert Trong Netscape Navigatot
ủ
ộ
N i dung c a ID Certificate
Phối hợp với Cookies
Có th thi
ể ế ậ ạ ạ t l p h n ng ch th i gian
ờ trong vòng 10, 20, hay 30 ngày
Ch có th truy c p đ n nh ng site t o ra
ữ ế ể ạ ậ ỉ
chính nó
ư ữ ườ i dùng không
ố
L u tr thông tin mà ng ậ mu n nh p vào th website (tên tài kh an, m t kh u)
ng xuyên khi thăm 1 ẩ ườ ỏ ậ
Phối hợp với Cookies
Các trình duy t tr
ệ ướ ự ộ ườ ng t đ ng
ư ạ l u l
ư
do các cookie
ả
ố
ạ
ữ ự L u tr t ệ ấ Xu t hi n c nh báo khi có tình hu ng ghi Không cho phép ghi l
i cookie trên máy
c đây th ả i các cookie (không c nh báo NSD) ề ệ ệ Các trình duy t hi n nay đ u cho phép
Bảo Vệ Khi Truyền Thông
ả ả
B o v thông tin, tài s n trong quá trình i gi a các máy khách và máy
ữ
ả ả ả
ợ ệ
ệ ể ả chuy n t ụ ph c vụ ồ
ầ Bao g m các yêu c u ậ ề B o m t kênh truy n ữ ệ ẹ ả B o đ m toàn v n d li u ả ợ B o đ m h p l , phù h p ậ Xác nh n Authentication
Phương pháp bảo vệ
Mã hóa Encryption
ổ
ng pháp
ể ọ
ươ
ươ ng trình
ể
khó hi u
ấ
ằ Chuy n đ i thông tin b ng ph ự toán h c d a trên 1 ch ự ậ ể ạ + khóa bí m t đ t o ra các ký t Ẩ n gi u thông tinSteganography
ướ
Thông tin vô hình tr
c NSD
Mã hóa thông tinCryptography ạ ổ ữ ệ
ể
ể ố Chuy n đ i d li u g c sang d ng không th
ọ
đ c, không có ý nghĩa,...
Mã hóa-Encryption
ử ụ
ể
ố
ớ T i thi u : s d ng khóa 40bit, mã hóa v i
ộ
ơ
khóa có đ dài 128 bit an toàn h n
Có th phân thành 3 nhóm
ể Hash Coding
ỗ ố
ấ ứ
ự
ầ
ớ
ộ
Xây d ng 1 chu i s duy nh t ng v i 1 n i dung c n mã
hóa
ấ ố ứ
Mã hóa b t đ i x ngAsymmetric (Publickey)
Encryption
i mã b ng 2 khóa khác nhau
ả Mã hóa và gi ố ứ
ằ Mã hóa đ i x ng Symmetric (Privatekey)
Encryption
ể
ả
Dùng 1 khóa đ mã hóa và gi
i mã
Câu Hỏi
Hash Coding Mã hóa b t đ i x ngAsymmetric
Mã hóa đ i x ng Symmetric (Private
ấ ố ứ
(Publickey) Encryption ố ứ key) Encryption
Hash Coding, Privatekey, và Publickey Encryption
ộ ố ả
ụ
ậ
M t s gi
i thu t mã hóa thông d ng
Secure Sockets Layer (SSL) Protocol
Th c hi n b o m t n i k t gi a 2 máy
ậ ố ế ữ ệ ả
ự tính
Máy khách và máy ch qui
ủ ấ
ả ơ ộ ướ c c p đ ậ c xác nh n và các ạ
Nhi u c ch , ki u lo i b o m t cho vi c ữ
ướ ậ b o m t, các qui ế ả c ch b o v thông tin liên l c khác ơ ệ ế ạ ả ệ ề ậ
ạ ể thông tin liên l c gi a các máy tính
Câu Hỏi
ạ ộ ứ ủ Ho t đ ng c a nghi th c SSL
Secure Sockets Layer (SSL) Protocol
ấ
Cung c p mã hóa 40 bit hay 128 bit S d ng Session key đ mã hóa d li u
ử ụ ữ ệ ể
ả ả trong phiên làm vi cệ ớ Đ dài khóa càng l n thì kh năng b o
ộ ậ m t càng cao
ế ậ
Thi
t L p phiên mã hóa SSL
SSL Web Server
HTTP Secure (https) Protocol
Là s k t h p HTTP và SSL/TLS nh m
ự ế ợ ằ
ấ ả
ụ
ụ
ề ả
ng pháp mã hóa symmetric
ậ cung c p nhi u tính năng b o m t ậ Xác nh n c phía máy khách và máy ph c v ự ộ ế ơ C ch mã hóa t đ ng ệ ố ơ ế ự Th c hi n t t c ch Request/response ươ ỗ ợ H tr các ph , publickey, message digests
Câu Hỏi
ấ ề ả ử ệ
Các v n đ n y sinh khi g i 1 tài li u quan tr ng, 1 đ n hàng, 1 h p đ ng,...
ọ
Ch ký đi n t
ồ ớ ự ữ c th c hi n v i 1 văn
ả ợ ơ ệ ệ ử ượ đ ư ế ệ b n, tài li u nh th nào ???
Văn bản với chữ ký điện tử
Bảo đảm hoàn thành các giao dịch
ả ượ ệ ở
ắ
ố ộ ả
ứ
ệ ị
Các gói thông tin đ c b o v b i mã ố ị ữ hóa hay ch ký s không b đánh c p ử ả ề T c đ truy n g i đ m b o Nghi th c TCP (Transmission Control Protocol) ch u trách nhi m theo dõi và ki m soát các gói tin
ể
ầ ử Nghi th c TCP yêu c u máy khách g i
ạ ấ ạ ứ ữ ệ l i gói d li u khi chúng th t l c
Bảo vệ máy chủ Commerce Server
ậ ự ậ
Quy n truy c p và s xác nh n ể
ề
ậ
ụ
d ng trên máy ph c v
ụ ử
ầ
ậ
ử Nh ng ai có th đăng nh p và quy n s ụ Yêu c u máy khách g i 1 “xác nh n”
ể ị
(certificate) đ đ nh danh
ủ
ấ
ậ
ằ
ể ờ ể ử ụ ị
ớ
ỉ
Server ki m tra “timestamp” c a gi y xác ệ ự nh n : th i gian hi u l c ệ ố Có th s d ng 1 h th ng callback nh m ể ki m tra đ a ch và tên máy khách v i 1 danh sách
ề ữ
Bảo vệ máy chủ Commerce Server
ậ ử ụ Tên tài kho n s d ng cùng v i m t
ẩ ớ ụ kh u và ph ng pháp thông d ng
ạ ả
ượ ả ươ ả M t kh u : đ
ậ ậ ẩ ẩ ượ
ủ
ớ ượ ư ữ ử ụ Tên tài kho n s d ng : d ng văn b n, c mã hóa ậ M t kh u khi nh p vào đ ớ c l u tr c mã hóa và so kh p v i thông tin cá nhân c a NSD đ
ệ ố
ả
ậ
ậ
ẩ
ớ Đăng nh p vào h th ng v i tên tài kho n và m t kh u
Bảo vệ với chức năng của HĐH
ử ụ ậ ẩ
ự ườ ng án th
ề
ạ
M i thông tin vào/ra kh i m ng đ u ph i đi
ườ
ử
ng l a
ơ ệ ề Ph n l n các h đi u hành s d ng c ch ch ng th c : tài kho n/m t kh u firewall ả ả ử ụ ng s d ng: ỏ
ị
ả ấ
ằ
ố
ố
ạ i
ậ
ộ
Ch cho phép các gói thông tin xác đ nh Firewall ph i c u hình t t nh m ch ng l các cu c xâm nh p
ầ ớ ứ ế ươ Ph ọ qua t ỉ
Tường Lửa-Firewalls
Ch c năng chính c a Firewall là ki m soát lu ng thông
ủ gi a Intranet và Internet. Thi
ồ ể ế ậ ơ ế ề t l p c ch đi u
ữ
ạ
ặ ấ
ữ
ụ
ừ
ậ
ị
ứ ừ ữ tin t ể khi n dòng thông tin gi a m ng bên trong (Intranet) và ạ m ng Internet Cho phép ho c c m nh ng d ch v truy nh p ra ngoài (t
Intranet ra Internet).
ặ ấ
ụ
ậ
ị Cho phép ho c c m nh ng d ch v phép truy nh p vào trong
ừ
ữ Internet vào Intranet).
(t
ữ
ấ
ậ
ị
ỉ
ườ ử ụ
ậ ủ
ệ
ạ ồ ữ ệ Theo dõi lu ng d li u m ng gi a Internet và Intranet. ậ ỉ ị Ki m soát đ a ch truy nh p, c m đ a ch truy nh p. Ki m soát ng i s d ng và vi c truy nh p c a ng
ườ ử i s
ư
ể
ộ
Ki m soát n i dung thông tin thông tin l u chuy n trên
ể ể d ng.ụ ể m ng ạ
Tường Lửa-Firewalls
ề ẩ ộ ồ Firewall chu n bao g m m t hay nhi u các
ộ ọ ổ ứ
B l c packet (packetfiltering router) C ng ng d ng (applicationlevel gateway hay
ụ proxy server)
ạ
ổ
C ng m ch (circuit level gateway)
ầ thành ph n sau đây:
Tường Lửa-Firewalls
ườ
ử
t c các gói tin đi ngang qua t
ng l a
ọ ể Ki m tra t ạ ộ ọ
Ho t đ ng nh 1 Gateway ầ
ụ
ứ
L c gói tin d a trên yêu c u các ng d ng
L c các gói tin(Packet filters) ấ ả ư ự Proxy servers
ạ
ụ
ạ
ớ
ộ
ệ
ạ Liên l c v i m ng bên ngoài thay cho m ng c c b Vùng đ m cho các trang web
ứ ề ầ ủ Các ch c năng c a ph n m m firewall
Câu Hỏi
ộ ọ B L c Packet Proxy Gateway Router
Nguyên Lý Bộ Lọc Packet
B l c packet cho phép hay t
ỗ ộ ọ
ừ ố ch i m i ể
ả ố
ự
l c packet này là d a trên các đ u m i packet (packet header),
ề ở
ậ ượ c.Nó ki m tra toàn packet mà nó nh n đ ế ị ộ ạ ể ạ ữ ệ b đo n d li u đ quy t đ nh xem đo n ộ ữ ệ d li u đó có tho mãn m t trong s các ậ ệ ủ ọ c a l c packet hay không. lu t l ậ ệ ọ Các lu t l ỗ ở ầ thông tin ể dùng đ cho phép truy n các packet đó trên m ng:ạ
ị ị
ỉ ỉ
ề
ơ ơ ủ ụ
ơ
ơ
ế
Nguyên Lý Bộ Lọc Packet(tt) ấ Đ a ch IP n i xu t phát ( IP Source address) ậ Đ a ch IP n i nh n (IP Destination address) ữ Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel) ấ ổ C ng TCP/UDP n i xu t phát (TCP/UDP source port) ậ ổ C ng TCP/UDP n i nh n (TCP/UDP destination port) ạ D ng thông báo ICMP ( ICMP message type) ệ Giao di n packet đ n ( incomming interface of packet) ệ Giao di n packet đi ( outcomming interface of packet)
ả
Nguyên Lý Bộ Lọc Packet(tt) N u lu t l l c packet đ
ậ ệ ọ ể
ượ c tho mãn thì packet ẽ ế c chuy n qua firewall. N u không packet s
ả ượ
Nh v y mà Firewall có th ngăn c n đ
c các
ạ
ặ
ậ
ộ ộ ừ ữ
ạ
ị
ể ủ ặ ệ ệ c xác đ nh, ho c khoá vi c truy c p vào h ỉ nh ng đ a ch không cho
ể
ổ Vi c ki m soát các c ng làm cho Firewall có
ế ượ đ ị ỏ b b đi. ờ ậ ế ố k t n i vào các máy ch ho c m ng nào đó ị ượ đ ố th ng m ng n i b t phép. ệ ả
ỉ
ạ
ặ
ỉ
ị
ụ ớ c phép m i ch y đ
ệ ố c trên h th ng m ng
ấ ộ ố ạ ế ố kh năng ch cho phép m t s lo i k t n i nh t ủ ị đ nh vào các lo i máy ch nào đó, ho c ch có ữ nh ng d ch v nào đó (Telnet, SMTP, FTP...) ạ ạ ượ ượ đ c c bụ ộ
Packet Filter
Ưu/Khuyết điểm
ề ử ụ
ệ ố
ộ Đa s các h th ng firewall đ u s d ng b
Ưu đi mể ố ọ l c packet. ấ
ượ
c bao
ỗ
ơ ế ọ ề
ệ
ệ
ậ ả t nào c .
H n chạ
ế ộ ọ
Vi c đ nh nghĩa các ch đ l c package là
Chi phí th p vì c ch l c packet đã đ ầ ồ g m trong m i ph n m m router. ộ ọ ườ ử ố ố ớ B l c packet là trong su t đ i v i ng i s ụ ứ ụ d ng và các ng d ng, vì v y nó không yêu ầ ự ấ ặ c u s hu n luy n đ c bi ế ệ ị ệ ộ
ứ ạ m t vi c khá ph c t p
Ưu/Khuyết điểm
ớ
ấ
ở ể
ỏ ể ự ọ Khi đòi h i v s l c càng l n, v l c càng tr nên ả
các lu t l dài và ph c t p, r t khó đ qu n ề lý và đi u khi n.
ể
ậ ệ ể ọ ứ ạ ể B l c packet không ki m soát
ủ
ể ữ
ể
ắ
ớ
ạ ủ ẻ ấ
ộ ọ ượ đ c nôi dung thông tin c a packet. Các packet chuy n qua ẫ v n có th mang theo nh ng hành ồ ộ đ ng v i ý đ ăn c p thông tin hay phá ho i c a k x u.
ổ ứ
ụ
C ng ng d ng (ApplicationLevel Gateway)
Nguyên lý ộ
ế ế ể
c thi
ứ
ậ
ườ ứ ượ ạ ộ
ự
ệ Proxy service là các b code đ c bi ả ụ
ừ ứ
ượ ạ ng Đây là m t lo i Firewall đ t k đ tăng c ạ ị ụ ể c cho ch c năng ki m soát các lo i d ch v , giao th c đ ủ ơ ế ạ ệ ố phép truy c p vào h th ng m ng. C ch ho t đ ng c a ứ ọ nó d a trên cách th c g i là Proxy service. ộ ế ộ ứ
ụ ươ ể
ượ
ẽ
ấ
ặ ặ t cài đ t trên gateway ườ ị ạ i qu n tr m ng không cài ị ụ ng ể c cung c p và do đó không th chuy n
cho t ng ng d ng. N u ng ặ đ t proxy code cho m t ng d ng nào đó, d ch v t ứ ng s không đ thông tin qua firewall.
ể ượ ị
ấ
ể
ấ
ỉ ộ ố ặ ạ ể
ể ỗ ợ Ngoài ra, proxy code có th đ c đ nh c u hình đ h tr ả ứ ị ư ụ ch m t s đ c đi m trong ng d ng mà ng òi qu n tr ặ ữ ừ ố ậ ượ ch i nh ng đ c c trong khi t m ng cho là ch p nh n đ đi m khác.
ổ ứ
ụ
C ng ng d ng
ộ ổ ứ
M t c ng ng d ng th
ng đ ượ
ộ t đ ch ng
ượ c thi
ệ ể ố ả ả
ụ ở ừ i s t n công t
ư c coi nh là m t pháo đài ế ế ặ t k đ t bi ệ ữ bên ngoài. Nh ng bi n pháp đ m b o an
ườ (bastion host), b i vì nó đ ạ ự ấ l ủ ninh c a m t bastion host là:
ủ
Luôn ch y các version an toàn (secure version) c a các
ầ
ụ
ượ
ế ế
ạ
ố
ệ ố c thi
t k chuyên cho m c đích ch ng l
ư
ả
ộ ạ ề ph n m m h th ng (Operating system). Các version an i toàn này đ ả ự ấ s t n công vào Operating System, cũng nh là đ m b o ợ ự s tích h p firewall ụ
ị ạ
ườ
ả
ỉ ữ ế
ả
ặ
ượ
ng, ch m t s gi
ườ ụ
ị ượ
ặ
ị ầ Ch nh ng d ch v mà ng i qu n tr m ng cho là c n ớ ượ ơ ỉ t m i đ thi c cài đ t trên bastion host, đ n gi n ch vì ể ị ộ ị ế ặ ụ c cài đ t, nó không th b n u m t d ch v không đ ứ ỉ ộ ố ớ ạ ấ i h n các ng t n công. Thông th ụ d ng cho các d ch v Telnet, DNS, FTP, SMTP và xác ự th c user là đ
c cài đ t trên bastion host.
ổ ứ
ụ
C ng ng d ng
ổ ứ
ụ
C ng ng d ng
ề
ứ ộ
ể
ề
ặ
ế ậ
ủ
ệ ố
ể
ậ
ộ
i toàn
ể ự ầ Bastion host có th yêu c u nhi u m c đ xác th c ụ ư khác nhau, ví d nh user password hay smart card. ậ ượ ặ ấ ỗ M i proxy đ c đ t c u hình đ cho phép truy nh p ủ ấ ị ỉ ộ ồ ch m t s các máy ch nh t đ nh. Đi u này có nghĩa ộ ệ ỉ ỗ ể ằ r ng b l nh và đ c đi m thi t l p cho m i proxy ch ộ ố ớ đúng v i m t s máy ch trên toàn h th ng. ạ M i proxy duy trì m t quy n nh t ký ghi chép l ỗ ự ế ố ế ủ t c a giao thông qua nó, m i s k t n i, ậ ờ
ấ
ẻ
ấ
ặ
ế ố ế ộ ậ
ệ ỗ
ề
ễ
ề
ộ
ớ
ỡ
ỗ ộ b chi ti ả kho ng th i gian k t n i. Nh t ký này r t có ích trong ạ vi c tìm theo d u v t hay ngăn ch n k phá ho i. ớ M i proxy đ u đ c l p v i các proxies khác trên bastion host. Đi u này cho phép d dàng quá trình cài ấ ặ đ t m t proxy m i, hay tháo g môt proxy đang có v n đ . ể
ổ ứ
ụ
C ng ng d ng
Ư ể u đi m
ả
ể
ở
ụ
ứ
ề ụ
ủ
ị
ậ ượ ở
ể
Cho phép ng
ữ
c nh ng d ch v nào cho phép, b i vì s v ng m t
ở ụ ươ ứ
ị
ề ự ắ ng ng có nghĩa là các
ụ ấ
ị ạ ườ Cho phép ng i qu n tr m ng hoàn toàn đi u khi n ạ ị ượ ừ đ c t ng d ch v trên m ng, b i vì ng d ng proxy ữ ế ị ế ộ ệ ạ h n ch b l nh và quy t đ nh nh ng máy ch nào có ụ ể c b i các d ch v . th truy nh p đ ị ạ ả ườ i qu n tr m ng hoàn toàn đi u khi n ặ ụ ị ượ đ ủ c a các proxy cho các d ch v t ị d ch v y b khoá. ổ ứ
ể
t, và
ậ
ậ
ộ ự ấ ố C ng ng d ng cho phép ki m tra đ xác th c r t t ệ ề ạ i thông tin v truy nh p h
ụ
ễ
ấ
ị ụ nó có nh t ký ghi chép l th ng.ố Lu t l
l c filltering cho c ng ng d ng là d dàng c u
ơ
ậ ệ ọ ể
ổ ứ ớ ộ ọ
hình và ki m tra h n so v i b l c packet.
ổ ứ
ụ
C ng ng d ng
ế
H n chạ
ổ
ặ
ề
ầ ầ ậ
ẳ
ị
ạ ỏ
ậ
ụ ủ ứ
c đ n i v i máy ch ch không ph i
ướ ể ố ớ ộ ướ
Yêu c u các users thay đ i thao tác, ho c thay ặ ổ đ i ph n m m đã cài đ t trên máy client cho ụ truy nh p vào các d ch v proxy. Ch ng h n, ổ ứ Telnet truy nh p qua c ng ng d ng đòi h i ả hai b là m t b
c thôi.
ề
ầ
Tuy nhiên, cũng đã có m t s ph n m m client
ụ
ứ
ụ
ộ ố ổ ứ
ằ
ỉ
ố ứ
ụ
ệ
cho phép ng d ng trên c ng ng d ng là trong su t, b ng cách cho phép user ch ra máy ả ổ ứ đích ch không ph i c ng ng d ng trên l nh Telnet.
ổ ứ
ụ
C ng ng d ng
ổ
C ng vòng (CircuitLevel Gateway)
ệ
ặ ụ
ể ự c b i m t c ng ng d ng. C ng vòng
t có th th c ổ ế ố ộ
ế ấ ỳ ộ
ử
ọ
ứ ộ ổ C ng vòng là m t ch c năng đ c bi ộ ổ ứ ệ ượ ở hi n đ ể ỉ ả ơ đ n gi n ch chuy n ti p (relay) các k t n i TCP ệ ự mà không th c hi n b t k m t hành đ ng x lý hay l c packet nào. ả
ể
ơ
ổ
C ng vòng đ n gi n chuy n ti p k t n i telnet
ế ệ
ế ố ộ ự ể
ề
ổ
ệ
ể ư ộ ợ
ấ
ự ế ố ấ
ề ạ
ự qua firewall mà không th c hi n m t s ki m tra, ủ ụ ọ l c hay đi u khi n các th t c Telnet nào.C ng vòng làm vi c nh m t s i dây,sao chép các byte ữ ế ố gi a k t n i bên trong (inside connection) và các ế ố k t n i bên ngoài (outside connection). Tuy nhiên, ệ ừ ệ ố vì s k t n i này xu t hi n t h th ng firewall, ộ ộ nó che d u thông tin v m ng n i b .
CircuitLevel Gateway
ổ
C ng vòng (CircuitLevel Gateway)
ế
C ng vòng th
ng đ
ả
ữ ậ ự
ớ
ườ
ườ ơ ữ ng nh ng ng ộ ộ ỗ
ụ
ữ
ợ ế ố ế
ữ
ề ử ụ ố
ứ
ử ể ả
ượ ử ụ ổ c s d ng cho nh ng k t ị ạ ố n i ra ngoài, n i mà các qu n tr m ng th t s tin Ư ể ưở i dùng bên trong. u đi m l n t ể ượ ấ ấ c c u hình nh t là m t bastion host có th đ ấ ổ ứ ư nh là m t h n h p cung c p C ng ng d ng ổ ế cho nh ng k t n i đ n, và c ng vòng cho các k t ử ệ ố ố ứ ườ ng l a n i đi. Đi u này làm cho h th ng b c t ễ ạ ườ i trong m ng d dàng s d ng cho nh ng ng ụ ị ậ ớ ộ ộ ự ế i các d ch v n i b mu n tr c ti p truy nh p t ấ ẫ ứ Internet, trong khi v n cung c p ch c năng b c ự ộ ộ ừ ữ ệ ạ ườ nh ng s ng l a đ b o v m ng n i b t t ấ t n công bên ngoài.
ế ủ
ữ
ạ
Nh ng h n ch c a firewall
ườ ể
ư
Không đ thông minh nh con ng
ể i đ có th ộ
ủ ể ừ ố
ể
ữ
ọ đ c hi u t ng lo i thông tin và phân tích n i dung t ỉ
ồ
ậ ủ ố
ư
ị
ế
ể
ặ
Không th ngăn ch n m t cu c t n công n u
ể ố
ừ ộ ườ m t đ ữ ệ
ấ ợ
ạ ấ ủ t hay x u c a nó. ặ ự Ch có th ngăn ch n s xâm nh p c a nh ng ả ngu n thông tin không mong mu n nh ng ph i ỉ ố ị xác đ nh rõ các thông s đ a ch . ộ ấ ộ ộ ộ ấ cu c t n công này không "đi qua" nó. M t cách ộ ộ ạ ụ ể i m t cu c c th , firewall không th ch ng l ỉ ặ ự ấ ng dialup, ho c s dò r t n công t ị thông tin do d li u b sao chép b t h p pháp lên đĩa m mề
ế ủ
ữ
ạ
Nh ng h n ch c a firewall
ạ
ộ ấ
ể ố
Không th ch ng l
ữ i các cu c t n công b ng d ng
ể
ượ
ắ ầ
ộ ố ươ t qua , v ệ
c b o v và b t đ u
đây.
ữ ệ
ụ
ệ
ệ ể ụ ủ
ấ
ể
ả
ỏ
ể
ằ ệ li u (datadrivent attack). Khi có m t s ch ư ệ ử ượ c chuy n theo th đi n t trình đ ượ ả ạ firewall vào trong m ng đ ở ạ ộ ho t đ ng ụ ộ M t ví d là các virus máy tính. Firewall không ể th làm nhi m v rà quét virus trên các d li u ự ấ ố ộ ượ c chuy n qua nó, do t c đ làm vi c, s xu t đ ề ớ ệ hi n liên t c c a các virus m i và do có r t nhi u ữ ệ cách đ mã hóa d li u, thoát kh i kh năng ủ ki m soát c a firewall. ẫ
ệ
ả
ữ i pháp h u hi u
ượ
ụ
ộ
Tuy nhiên, Firewall v n là gi c áp d ng r ng rãi.
đ
ấ
ọ
Ch n c u hình cho FireWall
ế ậ
(cid:0) Có nhi u cách thi ề
ấ t l p c u hình
(cid:0) D ng Bastion host
ế ộ ả
ộ
ườ
ng
ệ c p đ applicationlevel hay
ạ (cid:0) T p trung tri n khai các ch đ b o v ậ (cid:0) Th
(cid:0) D ng Dual homed gateway
ạ
ạ
n i b và 1 cho m ng ngoài
ử ụ ộ ộ ả
ọ
ể ở ấ circuit level gateway ạ (cid:0) S d ng 2 giao ti p m ng, 1 cho m ng ế ạ (cid:0) Kh năng l c packet
Dualhomed gateway
Chọn cấu hình cho FireWall (tt)
D ng Screened host firewall system
ử ụ
ướ
ạ
ề ả
ạ
ng m ng (network ộ i thông tin đi vào m ng n i
ạ
ộ
ạ ộ ề S d ng 1 b đi u h ể router) đ truy n t b và ra m ng bên ngoài qua trung gian 1 gateway
Screened-host gateway
Screened Host Firewall
Chọn cấu hình cho FireWall (tt)
Screenedsubnet firewall system