Bài giảng Thương mại điện tử (E-Commerce): Bài 8 - Th.S Trương Việt Phương

Bài 8

ệ

ự

ả Th c Hi n B o M t trong ạ

ậ ệ

ươ

ử

ng M i Đi n T

Th

ươ

ệ

ạ

ử

Th

ng M i Đi n T

Nội Dung

ề ề

ở ữ ố ả ỹ ệ  B o v  b n quy n, quy n s  h u trí tu  K  thu t WaterMarking và 1 s  công ty

i pháp ệ ệ t l p b o v  trong trình duy t Web

ự ố ệ ả ậ ả ấ cung c p gi ả ế ậ  Thi ứ  Ch ng th c s

Nội Dung

ề

ậ ả ứ ậ ả  B o m t khi truy n g i thông tin  Các gi ử i thu t mã hóa, các nghi th c

ề

ữ ệ ử

truy n thông mã hóa ớ ả  Văn b n v i ch  ký đi n t  Proxy, FireWall

Bảo vệ tài sản TMĐT

 C n ph i ghi rõ (văn b n) vi c phân tích

ầ

ầ

ệ ả

ự

ệ

ầ

ể ả ọ ả

ệ

ị

ả ư

ả ệ ậ ả cũng nh  chính sách b o m t ả ượ ả  Các tài s n nào c n đ c b o v ệ  C n th c hi n gì đ  b o v  tài s n ố  Phân tích các m i đe d a ề ệ  Các qui đ nh v  vi c b o v

Bảo vệ tài sản TMĐT

ữ

ạ

ầ ạ

ử

ế  C n quan tâm đ n nh ng nguy h i xâm  ả ế ph m đ n tài s n khi kinh doanh TMĐT ấ ợ ậ  Truy c p b t h p pháp ậ ậ ữ  S a ch a, c p nh t thông tin ạ  Phá ho i thông tin

ậ ủ

ế

 Liên quan đ n thông tin bí m t c a doanh

ế ộ ớ ấ ỳ

v i b t k  ai bên ngoài doanh

t l

nghi pệ  Không ti nghi pệ

ầ ố

ể

ả

ậ

Yêu c u t

ệ i thi u trong vi c b o m t TMĐT

ậ ả Tính b o m t

Tính toàn v nẹ

Q.Lý khóa

ố ỏ

ố

Ch ng ch i b

Tính xác th cự

Bảo vệ quyền sở hữu trí tuệ

ị ấ ề

ư

ậ ả ầ ế t

ấ ợ

ặ

ọ ử ụ

ề ế ạ  V n đ  : giao d ch mua bán trên m ng  ẫ Internet nh ng v n có kh  năng xác  ở ữ nh n quy n s  h u khi c n thi ề ở ữ ệ

ị ả  Các khuy n ngh  b o v  quy n s  h u  ả trong không gian  o(Cyberspace):  Ngăn ch n các host name b t h p pháp  L c gói tin ­ Packet filtering  S  d ng các Proxy servers

Một số công ty cung cấp các phần mềm bảo vệ bản quyền

 ARIS Technologies

 H  th ng Digital audio watermarking

ể ệ

ệ ố ậ  Nhúng mã vào các t p tin âm thanh th  hi n

ả

ề

ề

ề

ể

ầ

b n quy n  Digimarc Corporation ứ ạ ớ ậ  “Watermarking” v i t p tin nhi u d ng th c ế ị ề  Các ph n m m đi u khi n, các thi t b  phát

Câu Hỏi

 Gi

ệ ả

ằ

ấ

ả

ớ ả ị ẽ ẩ

ấ ợ

ả ử  s  công ty anh ch  s  kinh doanh  ạ trên m ng v i s n ph m là các video clip  ca nhac. ử ề  Th  đ  xu t 1 vài cách nh m b o v  b n  quy n ?ề ử ề

 Th  đ  xu t 1 vài cách thanh toán  ự ế ớ  (C n phù h p v i tình hình th c t )

ầ

WaterMarking

ả

 Cho  phép  nhúng  thông  tin  tác  gi

ố

ệ ủ

ự

ệ

ể

ạ i  đ ậ

ượ ả

ằ

ọ   (g i  là  watermark)  vào  các  tài  li u  s   hoá  sao  cho  ị ấ ượ ng  tr c  quan  c a  tài  li u  không  b   ch t  l ả ầ ưở ng  và  khi  c n  có  th   dò  l c  nh  h watermark  đã  nhúng  nh m  xác  nh n  b n  quy n.ề

ấ

 Đây

ậ thu t  ặ

ả

ệ

ỹ ẽ

ự

ạ

ố ỏ

ạ ấ

ượ

ỏ  Ngoài ra, k  thu t watermarking còn đòi h i  ệ i  các  thao  c

ẩ ỹ tin  thông  n  gi u  là  k   ấ ư ằ ệ t nh m đ a các d u  (steganography) đ c bi ố hi u vào  nh s . ậ s   m nh  m   trong  vi c  ch ng  l ằ tác  t n  công  nh m  xóa  b   thông  tin  đ nhúng.

WaterMarking ụ

ủ

ậ thu t

 Hai  h

ỹ ng  áp  d ng  chính  c a  k

ự ệ ả

ề

ổ ế ạ

ụ

ề

c  ng d ng ph  bi n t ữ

ố

ứ

ụ

ướ watermarking là  ứ ậ  xác nh n (ch ng th c) thông tin  ả ấ  đánh d u b o v  b n quy n ượ ứ ậ ỹ  K  thu t này đã đ i nhi u  ỹ ừ ớ ướ i.  T   cu i  nh ng  năm  1990,  k   c  trên  th   gi ậ ộ ố ượ c  m t  s   công  ty  ng  d ng  trong  ươ

ệ ủ

ế n thu t  này  đã  đ ạ ng m i th ụ ử ụ  S   d ng  Liquid  Audio  áp  d ng  công  ngh   c a  Verance

ớ

Corporation (âm nh c).ạ  Photoshop:  v i Digimarc.

 Ngày  nay,  các  công  ty  chuyên  kinh  doanh  các  h  ệ

ể

ố

th ng watermarking đã tăng đáng k .

Một số công ty cung cấp các phần mềm bảo vệ bản quyền

 SoftLock Services

ậ ạ

ậ

ử ử ụ

ả

ả ề

ể i mã (sau khi tr  ti n) đ

 Cho phép khóa các t p tin  G i các t p tin lên m ng  S  d ng 1 khóa gi ể ử ụ có th  s  d ng

SoftLock Services Home Page Figure 6­2

Bảo vệ các máy khách

 Các thông tin d ng Active content, đ

ạ c

ộ ượ  các trang web đ ng là 1 i v  máy t

ừ ể ủ ớ ọ

ả ề i v

ầ

 M i đe do  đ n t  Các trang web ả  Các hình  nh, plug­in,.. t  Các ph n đính kèm trong e­mail

ả ề t trong các hi m h a v i máy tính c a  NSD ố ạ ế ừ

Bảo vệ các máy khách

ể

 Hi m h a t

ọ ừ ẩ

Cookies ạ

ư ả

ứ ấ ỳ

ể

 Các m u thông d ng text l u trên máy khách và  ạ ch a các thông tin nh y c m, không mã hóa ể ọ  B t k  ai cũng có th  đ c và hi u các thông tin

ề ẩ

ư

ể

trong cookies ế

ạ  Không tr c ti p phá ho i nh ng ti m  n các hi m

ạ ộ

ạ

ự ố ọ h a phá r i ho t đ ng ọ ừ ể  Hi m h a t

các website m o danh­

ả ạ

ằ

ậ

Misplaced trust  Các Web site gi

ể ộ

m o nh m l a NSD đăng nh p  ả

ừ ạ

vào và đ  l

các thông tin nh y c m

Kiểm soát các nội dung dạng Active

 Các trình duy t Netscape

ệ

ế ị

Navigator,Microsoft Internet Explorer cho  ả ề ể phép NSD ki m soát và quy t đ nh t i v   các thông tin d ng Active

ự ứ ả ạ ố

ả

 Ch ng th c s (Digital certificate) b o  đ m cho c  clients và servers tính xác  ủ th c, đúng đ n c a 2 phía tham gia

ả ự ắ

Xác nhận số-Digital Certificates

ọ c g i là  digital ID ớ c đính kèm v i e­mail

ườ ể ậ i

 Đ c mã hóa đ  không ai có th  đ c

ượ  Còn đ ể ượ  Có th  đ ượ  Đ c nhúng trong 1 trang web ử ụ  S  d ng đ  xác nh n chính xác ng ở ữ ượ s  h u digital ID ể ể ọ

hay nhân b nả

Trung tâm Chứng thực kỹ thuật số - CA

ố

ấ

ự

ứ

ấ ả t c   ườ ng

ị

ạ

, nh  các giao d ch  ồ

ư ng m i và trao đôi thông tin, g m

ứ

ữ

ổ ệ ử

ệ  ch c và các h   .

ươ ự

ố

ổ

ị

ậ

ệ ự ệ ử ườ ng đi n t

, nh  g i nh n e­mail,

ư ử ổ

ể

ề

ả  C p và qu n lý ch ng th c s  cho t ố ượ ng tham gia trong môi tr các đ i t ệ ử ị giao d ch đi n t ươ th ữ nh ng cá nhân, nh ng t ạ ố ng m i đi n t th ng th ứ  Ch ng th c s  cho các cá nhân và t ứ ch c th c hi n an toàn các giao d ch trong  môi tr mua bán hàng hoá, trao đ i thông tin, phát  ầ tri n ph n m m...

Trung tâm Chứng thực kỹ thuật số

 Các ch c năng chính c a Trung tâm

ủ

ứ ứ

ự ự

ố  ố  ề

ự ụ

ứ

ự

ế

ứ

số

ầ

ổ

ự

ứ

ả

(cid:0) Yêu c u thay đ i, gia h n … (cid:0) Qu n lý ch ng th c s

ạ ố

ứ ự ố ch ng th c s (cid:0) Đăng ký xin c p ch ng th c s ấ (cid:0) Xác th c và c p ch ng th c s ấ (cid:0) Truy l c và tìm ki m thông tin v  ch ng th c

Trung tâm Chứng thực kỹ thuật số

ợ

ậ

ụ

ự ươ

ạ ng m i

ệ ử

ạ ộ ị : các web site giao d ch B2B, các web site

ự

ử ụ

ế ả

ự

. Tránh đ

ả ạ

ả

ậ

ị  m o thông tin, l

ổ ộ

ạ

ả  Công c   an toàn, b o m t và xác th c h p  ệ ố pháp cho các h  th ng ho t đ ng th đi n t ệ ố bán hàng, h  th ng thanh toán tr c tuy n... ả ố ứ  S  d ng ch ng th c s  giúp cho b o đ m an  ượ ệ ử c các nguy  toàn các giao d ch đi n t ộ ơ c , gi  các thông tin nh y c m,  ạ m o danh, xuyên t c và thay đ i n i dung thông  tin.

Câu Hỏi

ấ

đâu ??? ự ơ ố ở ứ ự  Xin c p ch ng th c s   ứ ấ  Đã có c  quan c p ch ng th c s  t ố ạ i

VN???

Tại Việt Nam ????

ố ố

ự ự  Trung tâm ch ng th c ch  ký s  qu c  ụ Ứ

 Trung tâm ch ng th c k  thu t s  ­

ữ ứ ệ ộ C c  ng d ng công ngh   ụ gia tr c thu c  ộ thông tin – B  Thông tin và truy n thông ự ứ ề ậ ố ỹ

ệ ệ ụ ạ

ơ ở ế ị t b  chuyên d ng, an  ứ ậ

ẩ ọ ộ Trung tâm tin h c & Nacencomm / B   ự KH & CN. Xây d ng trên c  s  công  ngh  hi n đ i, thi ả toàn và b o m t m c cao theo tiêu  ệ chu n hi n hành.

www.diap.gov.vn

VeriSign

r t lâu

 Cung c p nhi u c p đ  xác nh n ấ

ế ợ

ộ

ề ậ ấ

 Apply to servers and their organizations  Offers assurance of an individual’s identity and

relationship to a specified organization

ổ ơ  C  quan CA ­ Certification Authority n i  ậ ừ ấ ế ti ng và thành l p t ộ ấ ấ ớ  Class 1 (L p th p nh t) ư ệ ử ớ  K t h p th  đi n t  v i mã khóa công c ng ấ ớ  Class 4 (L p cao nh t)

ủ

ấ

C u trúc 1 Digital ID c a VeriSign

Microsoft Internet Explorer

 Cung c p kh  năng b o v  máy khách

ệ ấ ả

ả (ngay trong trình duy t)ệ

 Có kh  năng ki m tra các n i dung d ng

ể ạ ả ộ

ủ ộ ActiveX, Java applet ự  Ki m tra tính xác th c c a các n i dung

ể ượ ả ề c t i v đ

ố ộ ế ị ộ ậ  NSD xác nh n l n cu i đ  tin c y vào n i  ả ề i v  hay ậ ầ ượ ả ề c t i v  (quy t đ nh t

dung đ không)

Security Warning và Certificate Validation

Internet Explorer Zones và Security Levels

Internet Explorer Security Zone Default Settings

Netscape Navigator

 NSD có th  xác l p ch n l a đ  t

ọ ự ể ậ ể ả ề i v

ộ n i dung Active

ữ ể ớ  Có th  quan sát các ch  ký đính kèm v i

Java Applet và  JavaScript

ộ ế ộ ậ ộ ạ  Security : h p tho i Preferences dialog  Xác l p ch  đ  Cookie:h p Preferences

Netscape Navigator Preferences

Java Security Alert Trong Netscape Navigatot

ủ

ộ

N i dung c a  ID Certificate

Phối hợp với Cookies

 Có th  thi

ể ế ậ ạ ạ t l p h n ng ch th i gian

ờ trong vòng 10, 20, hay 30 ngày

 Ch  có th  truy c p đ n nh ng site t o ra

ữ ế ể ạ ậ ỉ

chính nó

ư ữ ườ i dùng không

ố

 L u tr  thông tin mà ng ậ mu n nh p vào th website (tên tài kh an, m t kh u)

ng xuyên khi thăm 1  ẩ ườ ỏ ậ

Phối hợp với Cookies

 Các trình duy t tr

ệ ướ ự ộ ườ ng t đ ng

ư ạ l u l

ư

do các cookie

ả

ố

ạ

ữ ự  L u tr  t ệ ấ  Xu t hi n c nh báo khi có tình hu ng ghi  Không cho phép ghi l

i cookie trên máy

c đây th ả i các cookie (không c nh báo NSD) ề ệ ệ  Các trình duy t hi n nay đ u cho phép

Bảo Vệ Khi Truyền Thông

ả ả

 B o v  thông tin, tài s n trong quá trình  i gi a các máy khách và máy

ữ

ả ả ả

ợ ệ

ệ ể ả chuy n t ụ ph c vụ ồ

ầ  Bao g m các yêu c u ậ ề  B o m t kênh truy n ữ ệ ẹ ả  B o đ m toàn v n d  li u ả ợ  B o đ m h p l , phù h p ậ  Xác nh n ­ Authentication

Phương pháp bảo vệ

 Mã hóa ­ Encryption

ổ

ng pháp

ể ọ

ươ

ươ ng trình

ể

khó hi u

ấ

ằ  Chuy n đ i thông tin b ng ph ự toán h c ­ d a trên 1 ch ự ậ ể ạ + khóa bí m t đ  t o ra các ký t Ẩ  n gi u thông tin­Steganography

ướ

 Thông tin vô hình tr

c NSD

 Mã hóa thông tin­Cryptography ạ ổ ữ ệ

ể

ể ố  Chuy n đ i d  li u g c sang d ng không th

ọ

đ c, không có ý nghĩa,...

Mã hóa-Encryption

ử ụ

ể

ố

ớ  T i thi u : s  d ng khóa 40­bit, mã hóa v i

ộ

ơ

khóa có đ  dài 128 bit an toàn h n

 Có th  phân thành 3 nhóm

ể  Hash Coding

ỗ ố

ấ ứ

ự

ầ

ớ

ộ

 Xây d ng 1 chu i s  duy nh t  ng v i 1 n i dung c n mã

hóa

ấ ố ứ

 Mã hóa b t đ i x ng­Asymmetric (Public­key)

Encryption

i mã b ng 2 khóa khác nhau

ả  Mã hóa và gi ố ứ

ằ  Mã hóa đ i x ng ­Symmetric (Private­key)

Encryption

ể

ả

 Dùng 1 khóa đ  mã hóa và gi

i mã

Câu Hỏi

 Hash Coding  Mã hóa b t đ i x ng­Asymmetric

 Mã hóa đ i x ng ­Symmetric (Private­

ấ ố ứ

(Public­key) Encryption ố ứ key) Encryption

Hash Coding, Private­key, và Public­key Encryption

ộ ố ả

ụ

ậ

M t s  gi

i thu t mã hóa thông d ng

Secure Sockets Layer (SSL) Protocol

 Th c hi n b o m t n i k t gi a 2 máy

ậ ố ế ữ ệ ả

ự tính

 Máy khách và máy ch  qui

ủ ấ

ả ơ ộ ướ c c p đ   ậ c xác nh n và các  ạ

 Nhi u c  ch , ki u lo i b o m t cho vi c  ữ

ướ ậ b o m t, các qui  ế ả c  ch  b o v  thông tin liên l c khác ơ ệ ế ạ ả ệ ề ậ

ạ ể thông tin liên l c gi a các máy tính

Câu Hỏi

ạ ộ ứ ủ  Ho t đ ng c a nghi th c SSL

Secure Sockets Layer (SSL) Protocol

ấ

 Cung c p mã hóa 40 bit hay 128 bit  S  d ng Session key đ  mã hóa d  li u

ử ụ ữ ệ ể

ả ả trong phiên làm vi cệ ớ  Đ  dài khóa càng l n thì kh  năng b o

ộ ậ m t càng cao

ế ậ

Thi

t L p phiên mã hóa SSL

SSL Web Server

HTTP Secure (https) Protocol

 Là s  k t h p HTTP và SSL/TLS nh m

ự ế ợ ằ

ấ ả

ụ

ụ

ề ả

ng pháp mã hóa symmetric

ậ cung c p nhi u tính năng b o m t ậ  Xác nh n c  phía máy khách và máy ph c v ự ộ ế ơ  C  ch  mã hóa t  đ ng ệ ố ơ ế ự  Th c hi n t t c  ch  Request/response ươ ỗ ợ  H  tr  các ph , public­key, message digests

Câu Hỏi

ấ ề ả ử ệ

 Các v n đ  n y sinh khi g i 1 tài li u  quan tr ng, 1 đ n hàng, 1 h p đ ng,...

ọ

 Ch  ký đi n t

ồ ớ ự ữ c th c hi n v i 1 văn

ả ợ ơ ệ ệ ử ượ  đ ư ế ệ b n, tài li u nh  th  nào ???

Văn bản với chữ ký điện tử

Bảo đảm hoàn thành các giao dịch

ả ượ ệ ở

ắ

ố ộ ả

ứ

ệ ị

 Các gói thông tin đ c b o v  b i mã  ố ị ữ hóa hay ch  ký s  không b  đánh c p ử ả ề  T c đ  truy n g i đ m b o  Nghi th c TCP (Transmission Control  Protocol) ch u trách nhi m theo dõi và  ki m soát các gói tin

ể

ầ ử  Nghi th c TCP yêu c u máy khách g i

ạ ấ ạ ứ ữ ệ l i gói d  li u khi chúng th t l c

Bảo vệ máy chủ Commerce Server

ậ ự ậ

 Quy n truy c p và s  xác nh n ể

ề

ậ

ụ

d ng trên máy ph c v

ụ ử

ầ

ậ

ử  Nh ng ai có th  đăng nh p và quy n s   ụ  Yêu c u máy khách g i 1 “xác nh n”

ể ị

(certificate) đ  đ nh danh

ủ

ấ

ậ

ằ

ể ờ ể ử ụ ị

ớ

ỉ

 Server ki m tra “timestamp” c a gi y xác  ệ ự nh n : th i gian hi u l c ệ ố  Có th  s  d ng 1 h  th ng callback nh m  ể ki m tra đ a ch  và tên máy khách v i 1 danh  sách

ề ữ

Bảo vệ máy chủ Commerce Server

ậ ử ụ  Tên tài kho n s  d ng cùng v i m t

ẩ ớ ụ kh u và ph ng pháp thông d ng

ạ ả

ượ ả ươ ả M t kh u : đ

ậ ậ ẩ ẩ ượ

ủ

ớ ượ ư ữ ử ụ  Tên tài kho n s  d ng : d ng văn b n,  c mã hóa ậ  M t kh u khi nh p vào đ ớ c l u tr c mã hóa và  so kh p v i thông tin cá nhân c a NSD  đ

ệ ố

ả

ậ

ậ

ẩ

ớ Đăng nh p vào h  th ng v i tên tài kho n và m t kh u

Bảo vệ với chức năng của HĐH

ử ụ ậ ẩ

ự ườ ng án th

ề

ạ

 M i thông tin vào/ra kh i m ng đ u ph i đi

ườ

ử

ng l a

ơ ệ ề  Ph n l n các h  đi u hành s  d ng c   ch  ch ng th c : tài kho n/m t kh u firewall ả ả ử ụ ng s  d ng:  ỏ

ị

ả ấ

ằ

ố

ố

ạ i

ậ

ộ

 Ch  cho phép các gói thông tin xác đ nh  Firewall ph i c u hình t t nh m ch ng l các cu c xâm nh p

ầ ớ ứ ế ươ  Ph ọ qua t ỉ

Tường Lửa-Firewalls

 Ch c năng chính c a Firewall là ki m soát lu ng thông

ủ  gi a Intranet và Internet. Thi

ồ ể ế ậ ơ ế ề t l p c  ch  đi u

ữ

ạ

ặ ấ

ữ

ụ

ừ

ậ

ị

ứ ừ ữ tin t ể khi n dòng thông tin gi a m ng bên trong (Intranet) và  ạ m ng Internet   Cho phép ho c c m nh ng d ch v  truy nh p ra ngoài (t

Intranet ra Internet).

ặ ấ

ụ

ậ

ị  Cho phép ho c c m nh ng d ch v  phép truy nh p vào trong

ừ

ữ  Internet vào Intranet).

(t

ữ

ấ

ậ

ị

ỉ

ườ ử ụ

ậ ủ

ệ

ạ ồ ữ ệ  Theo dõi lu ng d  li u m ng gi a Internet và Intranet. ậ ỉ ị  Ki m soát đ a ch  truy nh p, c m đ a ch  truy nh p.  Ki m soát ng i s  d ng và vi c truy nh p c a ng

ườ ử i s

ư

ể

ộ

 Ki m soát n i dung thông tin thông tin l u chuy n trên

ể ể d ng.ụ ể m ng ạ

Tường Lửa-Firewalls

ề ẩ ộ ồ  Firewall chu n bao g m m t hay nhi u các

ộ ọ ổ ứ

 B  l c packet (packet­filtering router)  C ng  ng d ng (application­level gateway hay

ụ proxy server)

ạ

ổ

 C ng m ch (circuit ­ level gateway)

ầ thành ph n sau đây:

Tường Lửa-Firewalls

ườ

ử

t c  các gói tin đi ngang qua t

ng l a

ọ ể  Ki m tra t ạ ộ ọ

 Ho t đ ng nh  1 Gateway ầ

ụ

ứ

 L c gói tin d a trên yêu c u các  ng d ng

 L c các gói tin(Packet filters) ấ ả ư ự  Proxy servers

ạ

ụ

ạ

ớ

ộ

ệ

ạ  Liên l c v i m ng bên ngoài thay cho m ng c c b  Vùng đ m cho các trang web

ứ ề ầ ủ  Các ch c năng c a ph n m m firewall

Câu Hỏi

ộ ọ  B  L c Packet  Proxy   Gateway  Router

Nguyên Lý Bộ Lọc Packet

 B  l c packet cho phép hay t

ỗ ộ ọ

ừ ố  ch i m i  ể

ả ố

ự

l c packet này là d a trên các   đ u m i packet (packet header),

ề ở

ậ ượ c.Nó ki m tra toàn  packet mà nó nh n đ ế ị ộ ạ ể ạ ữ ệ b  đo n d  li u đ  quy t đ nh xem đo n  ộ ữ ệ d  li u đó có tho  mãn m t trong s  các  ậ ệ ủ ọ  c a l c packet hay không. lu t l ậ ệ ọ  Các lu t l ỗ ở ầ thông tin  ể dùng đ  cho phép truy n các packet đó  trên m ng:ạ

ị ị

ỉ ỉ

ề

ơ ơ ủ ụ

ơ

ơ

ế

Nguyên Lý Bộ Lọc Packet(tt) ấ  Đ a ch  IP n i xu t phát ( IP Source address)  ậ Đ a ch  IP n i nh n (IP Destination address)  ữ Nh ng th  t c truy n tin (TCP, UDP, ICMP, IP  tunnel)  ấ ổ C ng TCP/UDP n i xu t phát (TCP/UDP source  port)  ậ ổ C ng TCP/UDP n i nh n (TCP/UDP destination  port)  ạ D ng thông báo ICMP ( ICMP message type)  ệ Giao di n packet đ n ( incomming interface of  packet)  ệ Giao di n packet đi ( outcomming interface of  packet)

ả

Nguyên Lý Bộ Lọc Packet(tt)  N u lu t l  l c packet đ

ậ ệ ọ ể

ượ c tho  mãn thì packet  ẽ ế c chuy n qua firewall. N u không packet s

ả ượ

 Nh  v y mà Firewall có th  ngăn c n đ

c các

ạ

ặ

ậ

ộ ộ ừ ữ

ạ

ị

ể ủ ặ ệ ệ c xác đ nh, ho c khoá vi c truy c p vào h   ỉ  nh ng đ a ch  không cho

ể

ổ  Vi c ki m soát các c ng làm cho Firewall có

ế ượ đ ị ỏ b  b  đi. ờ ậ ế ố k t n i vào các máy ch  ho c m ng nào đó  ị ượ đ ố th ng m ng n i b  t phép. ệ ả

ỉ

ạ

ặ

ỉ

ị

ụ ớ c phép m i ch y đ

ệ ố c trên h  th ng m ng

ấ ộ ố ạ ế ố kh  năng ch  cho phép m t s  lo i k t n i nh t  ủ ị đ nh vào các lo i máy ch  nào đó, ho c ch  có  ữ nh ng d ch v  nào đó (Telnet, SMTP, FTP...)  ạ ạ ượ ượ đ c c bụ ộ

Packet Filter

Ưu/Khuyết điểm

ề ử ụ

ệ ố

ộ  Đa s  các h  th ng firewall đ u s  d ng b

 Ưu đi mể ố ọ l c packet.  ấ

ượ

c bao

ỗ

ơ ế ọ ề

ệ

ệ

ậ ả t nào c .

 H n chạ

ế ộ ọ

 Vi c đ nh nghĩa các ch  đ  l c package là

 Chi phí th p vì c  ch  l c packet đã đ ầ ồ g m trong m i ph n m m router. ộ ọ ườ ử ố ố ớ  B  l c packet là trong su t đ i v i ng i s   ụ ứ ụ d ng và các  ng d ng, vì v y nó không yêu  ầ ự ấ ặ c u s  hu n luy n đ c bi ế ệ ị ệ ộ

ứ ạ m t vi c khá ph c t p

Ưu/Khuyết điểm

ớ

ấ

ở ể

ỏ ể ự ọ Khi đòi h i v  s  l c càng l n,   v  l c càng tr  nên  ả

các lu t l dài và ph c t p, r t khó đ  qu n  ề lý và đi u khi n.

ể

ậ ệ ể ọ ứ ạ ể B  l c packet không ki m soát

ủ

ể ữ

ể

ắ

ớ

ạ ủ ẻ ấ

ộ ọ ượ đ c nôi dung thông tin c a  packet. Các packet chuy n qua  ẫ v n có th  mang theo nh ng hành  ồ ộ đ ng v i ý đ  ăn c p thông tin  hay phá ho i c a k  x u.

ổ ứ

ụ

C ng  ng d ng  (Application­Level Gateway)

 Nguyên lý ộ

ế ế ể

c thi

ứ

ậ

ườ ứ ượ ạ ộ

ự

ệ  Proxy service là các b  code đ c bi ả ụ

ừ ứ

ượ ạ ng  Đây là m t lo i Firewall đ t k  đ  tăng c ạ ị ụ ể c cho  ch c năng ki m soát các lo i d ch v , giao th c đ ủ ơ ế ạ ệ ố phép truy c p vào h  th ng m ng. C  ch  ho t đ ng c a  ứ ọ nó d a trên cách th c g i là Proxy service. ộ ế ộ ứ

ụ ươ ể

ượ

ẽ

ấ

ặ ặ t cài đ t trên gateway  ườ ị ạ i qu n tr  m ng không cài  ị ụ ng  ể c cung c p và do đó không th  chuy n

cho t ng  ng d ng. N u ng ặ đ t proxy code cho m t  ng d ng nào đó, d ch v  t ứ ng s  không đ thông tin qua firewall.

ể ượ ị

ấ

ể

ấ

ỉ ộ ố ặ ạ ể

ể ỗ ợ  Ngoài ra, proxy code có th  đ c đ nh c u hình đ  h  tr   ả ứ ị ư ụ ch  m t s  đ c đi m trong  ng d ng mà ng òi qu n tr   ặ ữ ừ ố ậ ượ  ch i nh ng đ c  c trong khi t m ng cho là ch p nh n đ đi m khác.

ổ ứ

ụ

C ng  ng d ng

ộ ổ ứ

 M t c ng  ng d ng th

ng đ ượ

ộ t đ  ch ng

ượ c thi

ệ ể ố ả ả

ụ ở ừ i s  t n công t

ư c coi nh  là m t pháo đài  ế ế ặ t k  đ t bi ệ ữ  bên ngoài. Nh ng bi n pháp đ m b o an

ườ (bastion host), b i vì nó đ ạ ự ấ l ủ ninh c a m t bastion host là:

ủ

 Luôn ch y các version an toàn (secure version) c a các

ầ

ụ

ượ

ế ế

ạ

ố

ệ ố c thi

t k  chuyên cho m c đích ch ng l

ư

ả

ộ ạ ề ph n m m h  th ng (Operating system). Các version an  i  toàn này đ ả ự ấ s  t n công vào Operating System, cũng nh  là đ m b o  ợ ự s  tích h p firewall ụ

ị ạ

ườ

ả

ỉ ữ ế

ả

ặ

ượ

ng, ch  m t s  gi

ườ ụ

ị ượ

ặ

ị ầ  Ch  nh ng d ch v  mà ng i qu n tr  m ng cho là c n  ớ ượ ơ ỉ t m i đ thi c cài đ t trên bastion host, đ n gi n ch  vì  ể ị ộ ị ế ặ ụ c cài đ t, nó không th  b   n u m t d ch v  không đ ứ ỉ ộ ố ớ ạ ấ i h n các  ng  t n công. Thông th ụ d ng cho các d ch v  Telnet, DNS, FTP, SMTP và xác  ự th c user là đ

c cài đ t trên bastion host.

ổ ứ

ụ

C ng  ng d ng

ổ ứ

ụ

C ng  ng d ng

ề

ứ ộ

ể

ề

ặ

ế ậ

ủ

ệ ố

ể

ậ

ộ

i toàn

ể ự ầ  Bastion host có th  yêu c u nhi u m c đ  xác th c  ụ ư khác nhau, ví d  nh  user password hay smart card.  ậ ượ ặ ấ ỗ M i proxy đ c đ t c u hình đ  cho phép truy nh p  ủ ấ ị ỉ ộ ồ ch  m t s  các máy ch  nh t đ nh. Đi u này có nghĩa  ộ ệ ỉ ỗ ể ằ r ng b  l nh và đ c đi m thi t l p cho m i proxy ch   ộ ố ớ đúng v i m t s  máy ch  trên toàn h  th ng. ạ  M i proxy duy trì m t quy n nh t ký ghi chép l ỗ ự ế ố ế ủ t c a giao thông qua nó, m i s  k t n i,  ậ ờ

ấ

ẻ

ấ

ặ

ế ố ế ộ ậ

ệ ỗ

ề

ễ

ề

ộ

ớ

ỡ

ỗ ộ b  chi ti ả kho ng th i gian k t n i. Nh t ký này r t có ích trong  ạ vi c tìm theo d u v t hay ngăn ch n k  phá ho i.  ớ  M i proxy đ u đ c l p v i các proxies khác trên  bastion host. Đi u này cho phép d  dàng quá trình cài  ấ ặ đ t m t proxy m i, hay tháo g  môt proxy đang có v n  đ . ể

ổ ứ

ụ

C ng  ng d ng

Ư ể  u đi m

ả

ể

ở

ụ

ứ

ề ụ

ủ

ị

ậ ượ ở

ể

 Cho phép ng

ữ

c nh ng d ch v  nào cho phép, b i vì s  v ng m t

ở ụ ươ ứ

ị

ề ự ắ ng  ng có nghĩa là các

ụ ấ

ị ạ ườ  Cho phép ng i qu n tr  m ng hoàn toàn đi u khi n  ạ ị ượ ừ đ c t ng d ch v  trên m ng, b i vì  ng d ng proxy  ữ ế ị ế ộ ệ ạ h n ch  b  l nh và quy t đ nh nh ng máy ch  nào có  ụ ể c b i các d ch v . th  truy nh p đ ị ạ ả ườ i qu n tr  m ng hoàn toàn đi u khi n  ặ ụ ị ượ đ ủ c a các proxy cho các d ch v  t ị d ch v   y b  khoá. ổ ứ

ể

t, và

ậ

ậ

ộ ự ấ ố  C ng  ng d ng cho phép ki m tra đ  xác th c r t t ệ ề ạ i thông tin v  truy nh p h

ụ

ễ

ấ

ị ụ nó có nh t ký ghi chép l th ng.ố  Lu t l

l c filltering cho c ng  ng d ng là d  dàng c u

ơ

ậ ệ ọ ể

ổ ứ ớ ộ ọ

hình và ki m tra h n so v i b  l c packet.

ổ ứ

ụ

C ng  ng d ng

ế

 H n chạ

ổ

ặ

ề

ầ ầ ậ

ẳ

ị

ạ ỏ

ậ

ụ ủ ứ

c đ  n i v i máy ch  ch  không ph i

ướ ể ố ớ ộ ướ

Yêu c u các users thay đ i thao tác, ho c thay  ặ ổ đ i ph n m m đã cài đ t trên máy client cho  ụ truy nh p vào các d ch v  proxy. Ch ng h n,  ổ ứ Telnet truy nh p qua c ng  ng d ng đòi h i  ả hai b là m t b

c thôi.

ề

ầ

Tuy nhiên, cũng đã có m t s  ph n m m client

ụ

ứ

ụ

ộ ố ổ ứ

ằ

ỉ

ố ứ

ụ

ệ

cho phép  ng d ng trên c ng  ng d ng là  trong su t, b ng cách cho phép user ch  ra máy  ả ổ ứ đích ch  không ph i c ng  ng d ng trên l nh  Telnet.

ổ ứ

ụ

C ng  ng d ng

ổ

C ng vòng (Circuit­Level  Gateway)

ệ

ặ ụ

ể ự c b i m t c ng  ng d ng. C ng vòng

t có th  th c  ổ ế ố ộ

ế ấ ỳ ộ

ử

ọ

ứ ộ ổ C ng vòng là m t ch c năng đ c bi ộ ổ ứ ệ ượ ở hi n đ ể ỉ ả ơ đ n gi n ch  chuy n ti p (relay) các k t n i TCP  ệ ự mà không th c hi n b t k  m t hành đ ng x  lý  hay l c packet nào. ả

ể

ơ

ổ

C ng vòng đ n gi n chuy n ti p k t n i telnet

ế ệ

ế ố ộ ự ể

ề

ổ

ệ

ể ư ộ ợ

ấ

ự ế ố ấ

ề ạ

ự qua firewall mà không th c hi n m t s  ki m tra,  ủ ụ ọ l c hay đi u khi n các th  t c Telnet nào.C ng  vòng làm vi c nh  m t s i dây,sao chép các byte  ữ ế ố gi a k t n i bên trong (inside connection) và các  ế ố k t n i bên ngoài (outside connection). Tuy nhiên,  ệ ừ ệ ố vì s  k t n i này xu t hi n t  h  th ng firewall,  ộ ộ nó che d u thông tin v  m ng n i b .

Circuit­Level Gateway

ổ

C ng vòng (Circuit­Level Gateway)

ế

C ng vòng th

ng đ

ả

ữ ậ ự

ớ

ườ

ườ ơ ữ ng nh ng ng ộ ộ ỗ

ụ

ữ

ợ ế ố ế

ữ

ề ử ụ ố

ứ

ử ể ả

ượ ử ụ ổ c s  d ng cho nh ng k t  ị ạ ố n i ra ngoài, n i mà các qu n tr  m ng th t s  tin  Ư ể ưở i dùng bên trong.  u đi m l n  t ể ượ ấ ấ c c u hình  nh t là m t bastion host có th  đ ấ ổ ứ ư nh  là m t h n h p cung c p C ng  ng d ng  ổ ế cho nh ng k t n i đ n, và c ng vòng cho các k t  ử ệ ố ố ứ ườ ng l a  n i đi. Đi u này làm cho h  th ng b c t ễ ạ ườ i trong m ng  d  dàng s  d ng cho nh ng ng ụ ị ậ ớ ộ ộ ự ế i các d ch v   n i b  mu n tr c ti p truy nh p t ấ ẫ ứ Internet, trong khi v n cung c p ch c năng b c  ự ộ ộ ừ ữ ệ ạ ườ  nh ng s   ng l a đ  b o v  m ng n i b  t t ấ t n công bên ngoài.

ế ủ

ữ

ạ

Nh ng h n ch  c a firewall

ườ ể

ư

Không đ  thông minh nh  con ng

ể i đ  có th   ộ

ủ ể ừ ố

ể

ữ

ọ đ c hi u t ng lo i thông tin và phân tích n i  dung t ỉ

ồ

ậ ủ ố

ư

ị

ế

ể

ặ

Không th  ngăn ch n m t cu c t n công n u

ể ố

ừ ộ ườ  m t đ ữ ệ

ấ ợ

ạ ấ ủ t hay x u c a nó. ặ ự Ch  có th  ngăn ch n s  xâm nh p c a nh ng  ả ngu n thông tin không mong mu n nh ng ph i  ỉ ố ị xác đ nh rõ các thông s  đ a ch . ộ ấ ộ ộ ộ ấ cu c t n công này không "đi qua" nó. M t cách  ộ ộ ạ ụ ể i m t cu c  c  th , firewall không th  ch ng l ỉ ặ ự ấ ng dial­up, ho c s  dò r   t n công t ị thông tin do d  li u b  sao chép b t h p pháp lên  đĩa m mề

ế ủ

ữ

ạ

Nh ng h n ch  c a firewall

ạ

ộ ấ

ể ố

Không th  ch ng l

ữ i các cu c t n công b ng d   ng

ể

ượ

ắ ầ

ộ ố ươ t qua  , v ệ

c b o v  và b t đ u

đây.

ữ ệ

ụ

ệ

ệ ể ụ ủ

ấ

ể

ả

ỏ

ể

ằ ệ li u (data­drivent attack). Khi có m t s  ch ư ệ ử ượ c chuy n theo th  đi n t trình đ ượ ả ạ firewall vào trong m ng đ ở ạ ộ ho t đ ng  ụ ộ M t ví d  là các virus máy tính. Firewall không  ể th  làm nhi m v  rà quét virus trên các d  li u  ự ấ ố ộ ượ c chuy n qua nó, do t c đ  làm vi c, s  xu t  đ ề ớ ệ hi n liên t c c a các virus m i và do có r t nhi u  ữ ệ cách đ  mã hóa d  li u, thoát kh i kh  năng  ủ ki m soát c a firewall. ẫ

ệ

ả

ữ i pháp h u hi u

ượ

ụ

ộ

Tuy nhiên, Firewall v n là gi c áp d ng r ng rãi.

đ

ấ

ọ

Ch n c u hình cho FireWall

ế ậ

(cid:0) Có nhi u cách thi ề

ấ t l p c u hình

(cid:0) D ng Bastion host

ế ộ ả

ộ

ườ

ng

ệ  c p đ  application­level hay

ạ (cid:0) T p trung tri n khai các ch  đ  b o v ậ (cid:0) Th

(cid:0) D ng Dual homed gateway

ạ

ạ

n i b  và 1 cho m ng ngoài

ử ụ ộ ộ ả

ọ

ể ở ấ circuit level gateway ạ (cid:0) S  d ng 2 giao ti p m ng, 1 cho m ng  ế ạ (cid:0) Kh  năng l c packet

Dual­homed gateway

Chọn cấu hình cho FireWall (tt)

 D ng Screened host firewall system

ử ụ

ướ

ạ

ề ả

ạ

ng m ng (network  ộ i thông tin đi vào m ng n i

ạ

ộ

ạ ộ ề  S  d ng 1 b  đi u h ể router) đ  truy n t b  và ra m ng bên ngoài qua trung gian 1  gateway

Screened-host gateway

Screened Host Firewall

Chọn cấu hình cho FireWall (tt)

 Screened­subnet firewall system

Screened Subnet Firewall

Screened subnet gateway

Check Point Software’s Firewall­1 Web Page

Bài Kỳ Sau

ươ

ệ

ạ

ứ Các Hình Th c Thanh Toán  ử ng M i Đi n T Trong Th