Thực Hiện Bảo Mật trong kinh doanh thương mại điện tử

Bài 6

ệ ng M i Đi n T

ự Th

Th c Hi n B o M t trong ả ạ

ậ ệ

ươ

ử

6

Th ng M i Đi n T ươ ệ ạ ử

N i Dung

ộ

ở ữ

ệ ả

ề

u B o v b n quy n, quy n s h u trí ề

ố

ả tuệ ỹ

u K thu t WaterMarking và 1 s công ty

6

t l p b o v trong trình duy t Web

i pháp ệ

ệ

ậ cung c p gi ả ấ u Thi ả ế ậ u Ch ng th c s ứ

ự

ố

N i Dung

ộ

ề

ử ậ i thu t mã hóa, các nghi th c ả

ứ

ậ

ề

ữ

ệ ử

u B o m t khi truy n g i thông tin ả u Các gi

6

truy n thông mã hóa u Văn b n v i ch ký đi n t ớ ả u Proxy, FireWall

B o v tài s n TMĐT

ệ

ả

ầ

ả

ệ ả c b o v ả

ượ

ệ ả

ự

ệ

ầ

6

ể ả ọ ả

ệ

ị

u C n ph i ghi rõ (văn b n) vi c phân tích cũng nh chính sách b o m t ậ l Các tài s n nào c n đ ầ ả l C n th c hi n gì đ b o v tài s n ệ l Phân tích các m i đe d a ố l Các qui đ nh v vi c b o v ề ệ

B o v tài s n TMĐT

ệ

ả

ữ

ạ

ầ ạ

u C n quan tâm đ n nh ng nguy h i xâm ế ph m đ n tài s n khi kinh doanh TMĐT ả ế l Truy c p b t h p pháp ấ ợ ậ l S a ch a, c p nh t thông tin ậ ậ ữ l Phá ho i thông tin ạ

ử

6

u Liên quan đ n thông tin bí m t c a doanh

ậ ủ

ế

nghi pệ l Không ti nghi pệ

v i b t kỳ ai bên ngoài doanh t l ế ộ ớ ấ

Yêu c u t ầ ố i thi u trong vi c b o m t TMĐT ệ ể ậ ả

6

B o v quy n s h u trí tu

ở ữ

ệ

ề

ả

ệ

ị

ấ

ề

ậ

ả ầ

t ế

ề ế

ở ữ

ệ

u V n đ : giao d ch mua bán trên m ng ạ Internet nh ng v n có kh năng xác ẫ nh n quy n s h u khi c n thi ở ữ ề

6

ấ ợ

ặ

ọ ử ụ

u Các khuy n ngh b o v quy n s h u ị ả trong không gian o(Cyberspace): ả l Ngăn ch n các host name b t h p pháp l L c gói tin - Packet filtering l S d ng các Proxy servers

ộ ố

ấ

ầ

M t s công ty cung c p các ph n m m b o v b n quy n

ệ ả

ề

ả

l H th ng Digital audio watermarking

ệ ố u Nhúng mã vào các t p tin âm thanh th hi n ậ

u ARIS Technologies

ể ệ

ả ề

6

ề

ể

ề

ầ

phát

b n quy n u Digimarc Corporation l “Watermarking” v i t p tin nhi u d ng th c ứ ạ ớ ậ l Các ph n m m đi u khi n, các thi t b ế ị ề

Câu H iỏ

ớ ả

ị ẽ ẩ

ệ ả

ằ

ả

u Gi

6

s công ty anh ch s kinh doanh ả ử trên m ng v i s n ph m là các video ạ clip ca nhac. l Th đ xu t 1 vài cách nh m b o v b n ấ ử ề quy n ?ề ử ề

l Th đ xu t 1 vài cách thanh toán u (C n phù h p v i tình hình th c t ) ự ế ớ

ấ ợ

ầ

WaterMarking

u Cho phép nhúng thông tin tác gi

ả

ố

ệ ủ

ự

ệ

ể

i đ ạ ậ

ượ ả

ằ

(g i là ọ watermark) vào các tài li u s hoá sao cho ng tr c quan c a tài li u không b ch t l ị ấ ượ ng và khi c n có th dò l c nh h ả ầ ưở watermark đã nhúng nh m xác nh n b n quy n.ề

6

u Đây

thông

ấ

thu t ậ ặ

ẩ ệ

tin n gi u t nh m đ a các d u ấ ư ằ

là k ỹ (steganography) đ c bi hi u vào nh s . ố

ệ

ả

ậ

ố

s m nh m trong vi c ch ng l ạ ự ạ t n công nh m xóa b thông tin đ ấ

ỹ ẽ ằ

u Ngoài ra, k thu t watermarking còn đòi h i ỏ i các thao tác ệ c nhúng. ượ ỏ 10

WaterMarking

u Hai h

ng áp d ng chính c a k thu t

ỹ

ậ

ụ

ủ

ụ

c trên th gi

ự ệ ả

6

c ng d ng ph bi n t ố ộ

ươ

ướ watermarking là l xác nh n (ch ng th c) thông tin ứ ậ l đánh d u b o v b n quy n ề ả ấ u K thu t này đã đ i ổ ế ạ ượ ứ ậ ỹ i. T cu i nh ng năm nhi u n ữ ừ ế ớ ướ ề 1990, k thu t này đã đ c m t s công ty ố ượ ậ ỹ ng m i ng d ng trong th ạ ứ l S d ng Liquid Audio áp d ng công ngh c a

ụ ử ụ

ệ ủ

l Photoshop: v i Digimarc.

ụ Verance Corporation (âm nh c).ạ

u Ngày nay, các công ty chuyên kinh doanh các

h th ng watermarking đã tăng đáng k .

ệ ố

ể

ớ

ộ ố

ầ

ấ

M t s công ty cung c p các ph n m m b o v b n quy n

ệ ả

ề

ả

ậ

ậ ạ i mã (sau khi tr ti n)

ả ề

ả

u SoftLock Services

6

l Cho phép khóa các t p tin l G i các t p tin lên m ng l S d ng 1 khóa gi đ có th s d ng

ử ử ụ ể

ể ử ụ

SoftLock Services Home Page Figure 6-2

6

B o v các máy khách

ệ

ả

các trang web đ ng

c t ượ ả ề

ọ

ớ

u Các thông tin d ng Active content, ạ i v máy t ể

6

đ ộ ừ là 1 trong các hi m h a v i máy tính c a NSD ủ ố

ạ ế ừ

i v ả ề

ầ

u M i đe do đ n t l Các trang web l Các hình nh, plug-in,.. t ả l Các ph n đính kèm trong e-mail

B o v các máy khách

ệ

ả

u Hi m h a t

ể

ọ ừ ẩ

ạ

l Các m u thông d ng text l u trên máy khách và ch a các thông tin nh y c m, không mã hóa ạ l B t kỳ ai cũng có th đ c và hi u các thông tin ể ọ

ư ả

l Không tr c ti p phá ho i nh ng ti m n các

ứ ấ ể

ề ẩ ư ự

6

ạ ạ ộ ố

các website m o danh-

ạ

Misplaced trust l Các Web site gi

ể u Hi m h a t trong cookies ế hi m h a phá r i ho t đ ng ể ọ ọ ừ

ả ạ ậ ằ

vào và đ l các thông tin nh y c m ể ộ m o nh m l a NSD đăng nh p ả ừ ạ

ể

ạ

Ki m soát các n i dung d ng ộ Active

ệ

ạ

u Các trình duy t Netscape

6

Navigator,Microsoft Internet Explorer cho phép NSD ki m soát và quy t đ nh ế ị ể i v các thông tin d ng Active t ả ề ứ

ự

ả

ố

ả

ả ự

ắ

u Ch ng th c s (Digital certificate) b o đ m cho c clients và servers tính xác th c, đúng đ n c a 2 phía tham gia ủ

Xác nh n s -Digital Certificates

ố

ậ

digital ID c g i là ọ c đính kèm v i e-mail ớ

ể

ậ

i ườ

6

s h u digital ID ể

ể ọ

hay nhân b nả

u Đ c mã hóa đ không ai có th đ c u Còn đ ượ u Có th đ ể ượ u Đ c nhúng trong 1 trang web ượ u S d ng đ xác nh n chính xác ng ử ụ ở ữ ượ

Trung tâm Ch ng th c k ự ỹ ứ thu t s - CA ậ ố

u C p và qu n lý ch ng th c s cho t

ả

ấ ả

ị

ự ố ứ ng tham gia trong môi tr , nh các giao d ch th ươ

ổ

ng m i đi n t ạ

ươ

6

ồ ệ ố u Ch ng th c s cho các cá nhân và t

ị

, nh g i nh n e-mail, mua bán

ệ ng đi n t

ứ ứ ự ườ

ệ ử

ậ

ể

ầ

ổ

t c các ấ ng giao d ch đ i t ườ ố ượ ng m i và trao đi n t ạ ệ ử đôi thông tin, g m nh ng cá nhân, nh ng t ữ ữ . ch c và các h th ng th ệ ử ch c ứ ổ ự ố th c hi n an toàn các giao d ch trong môi tr ư ử hàng hoá, trao đ i thông tin, phát tri n ph n m m... ề

Trung tâm Ch ng th c k ự ỹ ứ thu t sậ ố

u Các ch c năng chính c a Trung tâm

ủ

ứ

6

ứ ch ng th c s ự ố o Đăng ký xin c p ch ng th c s ứ ấ o Xác th c và c p ch ng th c s ứ ấ o Truy l c và tìm ki m thông tin v ch ng

ự ố ự ố ề

ự ụ

ứ

ế

th c sự ố ầ

ổ

o Yêu c u thay đ i, gia h n … o Qu n lý ch ng th c s

ạ ự ố

ứ

ả

Trung tâm Ch ng th c k ự ỹ ứ thu t sậ ố

ậ

ụ

ợ ng

ự ươ

ị

ạ

ệ ử

ự

6

u Công c an toàn, b o m t và xác th c h p ả pháp cho các h th ng ho t đ ng th ạ ộ ệ ố m i đi n t : các web site giao d ch B2B, các web site bán hàng, h th ng thanh toán tr c ệ ố tuy n...ế ử ụ

. Tránh đ

ộ

ị m o thông tin, l ả ạ ạ

ơ ả

ậ

u S d ng ch ng th c s giúp cho b o đ m an ả ả ự ố ứ c các toàn các giao d ch đi n t ượ ệ ử các thông tin nguy c , gi nh y c m, m o danh, xuyên t c và thay đ i ổ ạ n i dung thông tin.

ộ

Câu H iỏ

ấ

đâu ??? ự

i ố ạ

VN???

u Xin c p ch ng th c s ố ở ự ứ u Đã có c quan c p ch ng th c s t ứ ấ

6

t Nam ????

T i Vi ạ

ệ

ậ ố

ự

ứ

ỹ

ệ ệ

ụ

ạ

u Trung tâm ch ng th c k thu t s -

6

ơ ở t b chuyên d ng, an ế ị ứ

ậ

Trung tâm tin h c & Nacencomm / B ọ ộ KH & CN. Xây d ng trên c s công ự ngh hi n đ i, thi toàn và b o m t m c cao theo tiêu ả chu n hi n hành. ệ

ẩ

VeriSign

r t lâu

ề

ấ

u Cung c p nhi u c p đ xác nh n ậ ấ

6

ế ợ ộ

u Apply to servers and their organizations u Offers assurance of an individual’s identity and

u C quan CA - Certification Authority n i ơ ổ ti ng và thành l p t ậ ừ ấ ế ộ ấ l Class 1 (L p th p nh t) ấ ớ u K t h p th đi n t v i mã khóa công c ng ư ệ ử ớ l Class 4 (L p cao nh t) ấ ớ

relationship to a specified organization

C u trúc 1 Digital ID c a VeriSign

ủ

ấ

6

Microsoft Internet Explorer

ấ

ả

ệ

ả (ngay trong trình duy t)ệ

u Cung c p kh năng b o v máy khách

ả

ộ

d ng ActiveX, Java applet ủ

u Có kh năng ki m tra các n i dung ể

ự

u Ki m tra tính xác th c c a các n i ộ

6

ạ ể dung đ

ố ộ

ậ

i v (quy t đ nh t

c t i v ượ ả ề ậ ầ c t ượ ả ề

ế ị

ộ

n i dung đ hay không)

u NSD xác nh n l n cu i đ tin c y vào i v ả ề

Security Warning và Certificate Validation

6

Internet Explorer Zones và Security Levels

6

Internet Explorer Security Zone Default Settings

6

Netscape Navigator

ọ ự

i v ể ả ề

ể

ậ

n i dung Active

ộ

u NSD có th xác l p ch n l a đ t

ữ

ể

v i Java Applet và JavaScript

ớ

u Có th quan sát các ch ký đính kèm

6

ộ

ậ Preferences

u Security : h p tho i Preferences dialog ạ ộ u Xác l p ch đ Cookie:h p ế ộ

Netscape Navigator Preferences

6

Java Security Alert Trong Netscape Navigatot

6

N i dung c a ID Certificate

ủ

ộ

6

Ph i h p v i Cookies ớ

ố ợ

t l p h n ng ch th i gian ạ

ế ậ

ể

ạ

ờ trong vòng 10, 20, hay 30 ngày

u Có th thi

ỉ

ữ

ế

ậ

ạ

u Ch có th truy c p đ n nh ng site t o

6

ể ra chính nó ữ

ườ

ố

i dùng không ng xuyên khi thăm ườ ỏ

ậ

ẩ

u L u tr thông tin mà ng mu n nh p vào th ậ 1 website (tên tài kh an, m t kh u)

Ph i h p v i Cookies ớ

ố ợ

ệ ướ

ườ

c đây th ự i các cookie (không c nh

ng t ả

ộ

đ ng l u l báo NSD)

u Các trình duy t tr ư ạ

ệ

ề

do các cookie

u Các trình duy t hi n nay đ u cho phép ệ

6

ả

ố

l L u tr t ữ ự l Xu t hi n c nh báo khi có tình hu ng ghi ệ ấ l Không cho phép ghi l

i cookie trên máy

ạ

B o V Khi Truy n Thông

ề

ệ

ả

i gi a các máy khách và

ữ

ệ trình chuy n t ể ả máy ph c vụ ụ ồ

u B o v thông tin, tài s n trong quá

6

ả ả ả

u Bao g m các yêu c u ầ l B o m t kênh truy n ậ ề l B o đ m toàn v n d li u ữ ệ ẹ ả l B o đ m h p l , phù h p ợ ợ ệ ả l Xác nh n - Authentication ậ

Ph

ng pháp b o v

ươ

ả

ệ

ng pháp

ổ

ươ ng trình

ể ọ

ươ

khó hi u

ể

u Mã hóa - Encryption

6

ấ

l Chuy n đ i thông tin b ng ph ằ toán h c - d a trên 1 ch ự + khóa bí m t đ t o ra các ký t ự ậ ể ạ l n gi u thông tin-Steganography Ẩ u Thông tin vô hình tr

l Mã hóa thông tin-Cryptography ạ ổ ữ ệ

u Chuy n đ i d li u g c sang d ng không th ể ố

c NSD ướ

ể

đ c, không có ý nghĩa,... ọ

Mã hóa-Encryption

u T i thi u : s d ng khóa 40-bit, mã hóa v i ớ

ử ụ

ể

ố

khóa có đ dài 128 bit an toàn h n

ộ

u Có th phân thành 3 nhóm

ể

l Hash Coding

u Xây d ng 1 chu i s duy nh t ng v i 1 n i dung c n mã

ỗ ố

ấ ứ

ự

ầ

ớ

ộ

hóa

6

l Mã hóa b t đ i x ng-Asymmetric (Public-key)

ấ ố ứ

i mã b ng 2 khóa khác nhau

ằ l Mã hóa đ i x ng -Symmetric (Private-key)

u Mã hóa và gi ả ố ứ

Encryption

u Dùng 1 khóa đ mã hóa và gi

i mã

ể

ả

Encryption

Câu H iỏ

ấ ố ứ

u Hash Coding u Mã hóa b t đ i x ng-Asymmetric

u Mã hóa đ i x ng -Symmetric (Private-

6

(Public-key) Encryption ố ứ key) Encryption

Hash Coding, Private-key, và Public-key Encryption

6

M t s gi i thu t mã hóa thông d ng ộ ố ả ụ ậ

6

Secure Sockets Layer (SSL) Protocol

ậ ố ế

ữ

ệ

ả

ự tính

u Th c hi n b o m t n i k t gi a 2 máy

ủ

u Máy khách và máy ch qui

6

c c p đ ộ ấ ướ c xác nh n và các ậ ạ

b o m t, các qui ướ ậ ả c ch b o v thông tin liên l c khác ế ả ơ u Nhi u c ch , ki u lo i b o m t cho ể ơ

ệ ế

ề

ậ

vi c thông tin liên l c gi a các máy tính ạ

ệ

ạ ả ữ

Câu H iỏ

ạ ộ

ứ

u Ho t đ ng c a nghi th c SSL ủ

6

Secure Sockets Layer (SSL) Protocol

ấ

u Cung c p mã hóa 40 bit hay 128 bit u S d ng Session key đ mã hóa d ữ

ả

u Đ dài khóa càng l n thì kh năng b o ớ

6

m t càng cao

ể ử ụ li u trong phiên làm vi c ệ ệ ộ ậ

Thi

t L p phiên mã hóa SSL

ế ậ

6

SSL Web Server

6

Secure HTTP (S-HTTP) Protocol

ừ

ằ

ấ

ả

HTTP nh m cung c p nhi u tính năng b o m t ậ l Xác nh n c phía máy khách và máy ph c ả

ụ

ậ

u M r ng t ở ộ ề

6

đ ng ự ộ ế

vụ l C ch mã hóa t ơ ế l Th c hi n t t c ch Request/response ệ ố ơ ự u H tr các ph ng pháp mã hóa ươ ỗ ợ symmetric , public-key, message digests

Câu H iỏ

ấ

ề ả

ử

ệ

ọ

ữ

ơ ồ đ ớ văn b n, tài li u nh th nào ???

ợ c th c hi n v i 1 ệ ự ư ế

u Các v n đ n y sinh khi g i 1 tài li u quan tr ng, 1 đ n hàng, 1 h p đ ng,...

ệ ử ượ ệ

u Ch ký đi n t ả

6

Văn b n v i ch ký đi n t

ệ ử

ữ

ớ

ả

6

B o đ m hoàn thành các giao d ch

ả

ị

ả

ượ

ệ ở

ắ

ố

ả

ộ

ứ

6

ệ

ị

ể

u Các gói thông tin đ c b o v b i mã hóa hay ch ký s không b đánh c p ị ữ ố u T c đ truy n g i đ m b o ử ả ề u Nghi th c TCP (Transmission Control Protocol) ch u trách nhi m theo dõi và ki m soát các gói tin

ầ

l ạ

i gói d li u khi chúng th t l c ấ ạ

ứ ữ ệ

u Nghi th c TCP yêu c u máy khách g i ử

ả

ệ

B o v máy ch ủ Commerce Server

ậ

ự

ề ữ

ề

ậ

d ng trên máy ph c v

ụ

l Yêu c u máy khách g i 1 “xác nh n”

l Nh ng ai có th đăng nh p và quy n s ử ụ ụ ử

ầ

ậ

(certificate) đ đ nh danh

ể ị

u Quy n truy c p và s xác nh n ậ ể

6

ủ

ấ

ậ

ể

ớ

ỉ

l Server ki m tra “timestamp” c a gi y xác ể nh n : th i gian hi u l c ờ ệ ự l Có th s d ng 1 h th ng callback nh m ể ử ụ ằ ệ ố ki m tra đ a ch và tên máy khách v i 1 ị danh sách

ả

ệ

B o v máy ch ủ Commerce Server

kh u và ph

ng pháp thông d ng

ẩ

ớ ụ

ạ

ả

ả ươ ả M t kh u : đ

ượ

u Tên tài kho n s d ng cùng v i m t ậ ử ụ

6

ậ ậ

ẩ ẩ

ượ

ủ

c mã hóa và so kh p v i thông tin cá nhân c a NSD đ

ớ ớ c l u tr ượ ư

ữ

u Tên tài kho n s d ng : d ng văn b n, ử ụ c mã hóa u M t kh u khi nh p vào đ ậ

Đăng nh p vào h th ng v i tên tài kho n và m t kh u ớ ệ ố ậ ả ẩ ậ

6

B o v v i ch c năng c a HĐH ứ

ệ ớ

ủ

ả

ẩ

ự ng án th ườ

l M i thông tin vào/ra kh i m ng đ u ph i đi

ả ng s d ng: ử ụ ỏ

ề

ạ

u Ph n l n các h đi u hành s d ng c ơ ệ ề ử ụ ch ch ng th c : tài kho n/m t kh u ậ firewall ả

6

ng l a

ườ

ử

ầ ớ ứ ế u Ph ươ ọ qua t ỉ

ị

ả ấ

ằ

ố

ạ

l Ch cho phép các gói thông tin xác đ nh l Firewall ph i c u hình t t nh m ch ng l các cu c xâm nh p

ậ

ộ

T

ng L a-Firewalls

ườ

ử

u Ch c năng chính c a Firewall là ki m soát lu ng

ứ

ủ

ể

ừ ữ

ồ t l p ế ậ ạ

ữ

ạ

gi a Intranet và Internet. Thi thông tin t c ch đi u khi n dòng thông tin gi a m ng bên ể ơ ế ề trong (Intranet) và m ng Internet l Cho phép ho c c m nh ng d ch v truy nh p ra ngoài ụ ặ ấ

ị ậ

(t ừ

ậ ị

6

vào trong (t

ấ ị ỉ

ữ ệ ậ ỉ i s d ng và vi c truy nh p c a ệ ườ ử ụ ậ ủ

l Ki m soát n i dung thông tin thông tin l u chuy n trên

i s d ng. ng

ư ể

ữ Intranet ra Internet). l Cho phép ho c c m nh ng d ch v phép truy nh p ụ ữ ặ ấ Internet vào Intranet). ừ l Theo dõi lu ng d li u m ng gi a Internet và Intranet. ữ ồ ạ l Ki m soát đ a ch truy nh p, c m đ a ch truy nh p. ể ậ ị l Ki m soát ng ể ườ ử ụ ể ộ m ng ạ

T

ng L a-Firewalls

ườ

ử

ề

ồ

ộ

ẩ các thành ph n sau đây: ầ

l B l c packet (packet-filtering router) l C ng ng d ng (application-level gateway

ộ ọ ổ ứ

ụ

u Firewall chu n bao g m m t hay nhi u

6

l C ng m ch (circuit - level gateway)

hay proxy server) ạ

ổ

T

ng L a-Firewalls

ườ

ử

ứ

ề

ầ

ọ u Ki m tra t

u Các ch c năng c a ph n m m firewall ủ

l L c các gói tin(Packet filters) ấ ả

t c các gói tin đi ngang qua t ng ườ

6

u L c gói tin d a trên yêu c u các ng d ng

l Ho t đ ng nh 1 Gateway ầ

ư ự l Proxy servers

u Liên l c v i m ng bên ngoài thay cho m ng

ể l aử ạ ộ ọ ứ ụ

ạ ạ ớ

u Vùng đ m cho các trang web

ạ ộ c c bụ

ệ

Câu H iỏ

u B L c Packet ộ ọ u Proxy u Gateway u Router

6

Nguyên Lý B L c Packet

ộ ọ

ỗ

ộ ọ

ch i m i ừ ố ể

ả

ố

u B l c packet cho phép hay t

6

ự

l c packet này là d a trên các đ u m i packet (packet

ể

ề

trên m ng:

c.Nó ki m tra toàn packet mà nó nh n đ ậ ượ b đo n d li u đ quy t đ nh xem đo n ế ị ạ ể ạ ữ ệ ộ d li u đó có tho mãn m t trong s các ộ ữ ệ c a l c packet hay không. lu t l ậ ệ ủ ọ u Các lu t l ậ ệ ọ thông tin ỗ ở ầ header), dùng đ cho phép truy n các packet đó ạ

ở

Nguyên Lý B L c Packet(tt) ộ ọ

ỉ ỉ

ị ị

ấ ậ

ề

ơ ơ ủ ụ

6

ế

u Đ a ch IP n i xu t phát ( IP Source address) Đ a ch IP n i nh n (IP Destination address) Nh ng th t c truy n tin (TCP, UDP, ICMP, IP ữ tunnel) C ng TCP/UDP n i xu t phát (TCP/UDP source ấ ổ port) C ng TCP/UDP n i nh n (TCP/UDP destination ậ ổ port) D ng thông báo ICMP ( ICMP message type) ạ Giao di n packet đ n ( incomming interface of ệ packet) Giao di n packet đi ( outcomming interface of ệ packet)

Nguyên Lý B L c Packet(tt) ộ ọ

l c packet đ

ả

ậ ệ ọ ể

c tho mãn thì packet ượ c chuy n qua firewall. N u không packet s ẽ ế

c các

u Nh v y mà Firewall có th ngăn c n đ

ả ượ

ạ

ặ

ậ

6

ể ủ ặ c xác đ nh, ho c khoá vi c truy c p vào h ệ ệ nh ng đ a ch không cho ỉ

ộ ộ ừ ữ

ạ

ị

u Vi c ki m soát các c ng làm cho Firewall có ổ

ể

u N u lu t l ế đ ượ b b đi. ị ỏ ờ ậ k t n i vào các máy ch ho c m ng nào đó ế ố đ ị ượ th ng m ng n i b t ố phép. ệ ả

ỉ

ạ

ặ

ỉ

ị

ụ c phép m i ch y đ ớ

c trên h th ng m ng ệ ố 60

kh năng ch cho phép m t s lo i k t n i nh t ấ ộ ố ạ ế ố đ nh vào các lo i máy ch nào đó, ho c ch có ủ ị nh ng d ch v nào đó (Telnet, SMTP, FTP...) ữ đ ạ ạ ượ ượ c c bụ ộ

Packet Filter

6

Ư

u/Khuy t đi m ế

ể

u Ưu đi mể

l Đa s các h th ng firewall đ u s d ng b l c

ề ử ụ ệ ố ộ ọ ố

packet.

c bao g m ượ ồ ấ ơ ế ọ

l Chi phí th p vì c ch l c packet đã đ ề l B l c packet là trong su t đ i v i ng

trong m i ph n m m router. ầ ỗ

ố ố ớ

ụ i s d ng và ệ ườ ử ụ ầ ự ấ ậ

6

t nào c . ả

l Vi c đ nh nghĩa các ch đ l c package là m t vi c ế ộ ọ

ộ ọ các ng d ng, vì v y nó không yêu c u s hu n luy n ứ đ c bi ặ ệ u H n chạ ế ệ ị ệ ộ

khá ph c t p ứ ạ

Ư

u/Khuy t đi m ế

ể

l Khi đòi h i v s l c càng l n, các lu t l

v l c ỏ ể ự ọ ớ

ở ứ ạ ấ ậ ệ ể ọ ể ả

càng tr nên dài và ph c t p, r t khó đ qu n lý và đi u khi n. ể

c nôi dung thông ượ

l B l c packet không ki m soát đ ể ớ

ẫ ề ộ ọ ủ

ắ ồ

6

ể tin c a packet. Các packet chuy n qua v n có th ể mang theo nh ng hành đ ng v i ý đ ăn c p thông tin ộ ữ hay phá ho i c a k x u. ạ ủ ẻ ấ

ổ ứ

ụ

C ng ng d ng (Application-Level Gateway)

l Nguyên lý ộ

c thi ế ế ể

ng c ứ ượ ạ ị

ủ Đây là m t lo i Firewall đ t k đ tăng c ườ ạ ch c năng ki m soát các lo i d ch v , giao th c đ ứ ượ ụ ể cho phép truy c p vào h th ng m ng. C ch ho t ơ ế ạ ệ ố đ ng c a nó d a trên cách th c g i là Proxy service. ộ

ộ

t cài đ t trên ặ i qu n tr ị ả ườ ụ

6

ụ ạ

ng ng s không đ ẽ ượ

ạ ậ ứ ọ ự l Proxy service là các b code đ c bi ặ ệ gateway cho t ng ng d ng. N u ng ế ừ ứ m ng không cài đ t proxy code cho m t ng d ng nào ộ ứ ặ đó, d ch v t c cung c p và do ụ ươ ứ ấ ị đó không th chuy n thông tin qua firewall. ể ể l Ngoài ra, proxy code có th đ c đ nh c u hình đ h ể ỗ ấ

ể ể ượ ị ứ

ụ ư c trong khi t ậ ượ

tr ch m t s đ c đi m trong ng d ng mà ng òi qu n tr m ng cho là ch p nh n đ ừ ấ ch i nh ng đ c đi m khác. ặ ợ ỉ ộ ố ặ ị ạ ả ữ ố ể

C ng ng d ng

ổ ứ

ụ

l M t c ng ng d ng th

ng đ ộ ổ ứ

t đ ch ng l ạ ự ấ

ủ

ạ ệ ố

c thi

t k chuyên cho m c đích ch ng l

ề ượ

ạ ự ấ

ế ế

ố

c coi nh là m t ư ộ ượ ụ t k đ t pháo đài (bastion host), b i vì nó đ c thi ượ ế ế ặ bên ngoài. Nh ng bi ữ ừ bi n pháp đ m b o an ninh c a m t bastion host là: ộ ả ườ ở i s t n công t ủ ả

6

ả ự

ả

ợ

u Ch nh ng d ch v mà ng ị

ườ

ụ

ả

i qu n tr m ng cho là c n thi t ế c cài đ t trên bastion host, đ n gi n ch vì n u m t ộ ả

ỉ

ầ ị ạ ế ơ c cài đ t, nó không th b t n công.

ụ

ng, ch m t s gi

ườ

ể ị ấ i h n các ng d ng cho các ụ ứ c ượ ự

ụ

m i đ ặ d ch v không đ ặ ượ ị Thông th ỉ ộ ố ớ ạ d ch v Telnet, DNS, FTP, SMTP và xác th c user là đ ị cài đ t trên bastion host.

ặ

ệ ể ố ệ u Luôn ch y các version an toàn (secure version) c a các ph n ầ m m h th ng (Operating system). Các version an toàn này i s t n công đ ụ vào Operating System, cũng nh là đ m b o s tích h p firewall ỉ ữ ớ ượ

C ng ng d ng

ổ ứ

ụ

6

C ng ng d ng

ổ ứ

ụ

ề ứ ộ

ỗ ậ ỉ ộ ồ

ằ ộ ệ

ể ụ ư c đ t c u hình đ cho phép truy ể ượ ặ ấ ủ ấ ị ặ ể ộ ố ế ậ ủ ớ ỉ

6

u M i proxy duy trì m t quy n nh t ký ghi chép l

u Bastion host có th yêu c u nhi u m c đ xác th c ự ầ khác nhau, ví d nh user password hay smart card. M i proxy đ nh p ch m t s các máy ch nh t đ nh. Đi u này ề có nghĩa r ng b l nh và đ c đi m thi t l p cho m i proxy ch đúng v i m t s máy ch trên toàn ỗ h th ng. ệ ố ỗ

ể ộ

ậ ả

ệ

i ạ ậ toàn b chi ti t c a giao thông qua nó, m i s k t ỗ ự ế ế ủ ộ n i, kho ng th i gian k t n i. Nh t ký này r t có ế ố ấ ờ ố ích trong vi c tìm theo d u v t hay ngăn ch n k ặ ẻ ấ ế phá ho i. ạ

ỗ ề ộ ậ

ề

u M i proxy đ u đ c l p v i các proxies khác trên ớ bastion host. Đi u này cho phép d dàng quá trình cài đ t m t proxy m i, hay tháo g môt proxy đang ộ ặ 67 có v n đ . ể ấ

ễ ỡ ớ

C ng ng d ng

ổ ứ

ụ

l u đi m Ư ể u Cho phép ng i qu n tr m ng hoàn toàn đi u

ề ứ ạ

ườ ể ượ ừ ạ c t ng d ch v trên m ng, b i vì ng ữ ở ế ị

c b i các d ch ả ị ế ộ ệ ể ậ ượ ở ủ ị

u Cho phép ng

ị ạ khi n đ ụ d ng proxy h n ch b l nh và quy t đ nh nh ng ụ máy ch nào có th truy nh p đ v .ụ

6

ể ượ ị ạ ụ i qu n tr m ng hoàn toàn đi u ườ c nh ng d ch v nào cho phép, b i vì s ự ữ

ng ị ặ ủ ề ở ụ ươ

ị

u C ng ng d ng cho phép ki m tra đ xác th c r t ự ấ i thông tin v truy ề

ụ ấ ể ụ ộ

ạ

ụ

ệ ố l c filltering cho c ng ng d ng là d ễ ổ ứ ơ ớ ộ ọ ể

ả khi n đ ị v ng m t c a các proxy cho các d ch v t ắ ng có nghĩa là các d ch v y b khoá. ị ứ ổ ứ t t, và nó có nh t ký ghi chép l ậ ố nh p h th ng. ậ u Lu t l ậ ệ ọ dàng c u hình và ki m tra h n so v i b l c ấ packet.

C ng ng d ng

ổ ứ

ụ

ế

l H n chạ

ầ ặ

ề ị

ạ ỏ ụ

u Yêu c u các users thay đ i thao tác, ho c thay đ i ổ ổ ph n m m đã cài đ t trên máy client cho truy nh p ậ vào các d ch v proxy. Ch ng h n, Telnet truy ẳ nh p qua c ng ng d ng đòi h i hai b ậ v i máy ch ch không ph i là m t b ớ

c đ n i ướ ể ố c thôi. ụ ổ ứ ủ ứ

6

ả ộ ố ộ ướ ề

ứ ầ ụ ụ ố

u Tuy nhiên, cũng đã có m t s ph n m m client cho phép ng d ng trên c ng ng d ng là trong su t, ổ ứ b ng cách cho phép user ch ra máy đích ch không ỉ ằ ph i c ng ng d ng trên l nh Telnet. ệ ả ổ ứ

ứ

ụ

C ng ng d ng

ổ ứ

ụ

6

C ng vòng (Circuit-Level Gateway)

ổ

u C ng vòng là m t ch c năng đ c bi ộ

ệ

ể ự c b i m t c ng ng d ng. C ng vòng ặ ụ

t có th th c ổ ế ố ộ ử ộ

u C ng vòng đ n gi n chuy n ti p k t n i telnet

ọ

ổ ứ hi n đ ệ ượ ở ộ ổ ứ đ n gi n ch chuy n ti p (relay) các k t n i TCP ể ỉ ế ả ơ mà không th c hi n b t kỳ m t hành đ ng x lý ệ ấ ự hay l c packet nào. ả ế ế ố ể ổ ơ

ộ ự ể

6

ề ổ

ể ư ộ ợ

ấ

qua firewall mà không th c hi n m t s ki m tra, ệ ự l c hay đi u khi n các th t c Telnet nào.C ng ủ ụ ọ vòng làm vi c nh m t s i dây,sao chép các byte ệ gi a k t n i bên trong (inside connection) và các ữ ế ố k t n i bên ngoài (outside connection). Tuy nhiên, ế ố vì s k t n i này xu t hi n t h th ng firewall, ệ ừ ệ ố nó che d u thông tin v m ng n i b . ộ ộ ự ế ố ấ ề ạ

Circuit-Level Gateway

6

C ng vòng (Circuit-Level Gateway)

ổ

u C ng vòng th

ng đ ế

ả ữ ậ ự

ớ ườ

ườ ơ ng nh ng ng ữ ộ ộ ỗ

ữ ợ ế ố ế

ứ ườ

6

ề ử ụ ữ

ố ị

ự ế ẫ ấ

ộ ộ ừ ữ

c s d ng cho nh ng k t ượ ử ụ ổ n i ra ngoài, n i mà các qu n tr m ng th t s tin ị ạ ố i dùng bên trong. u đi m l n t Ư ể ưở nh t là m t bastion host có th đ c c u hình nh ể ượ ấ ư ấ là m t h n h p cung c p C ng ng d ng cho ụ ổ ứ ấ nh ng k t n i đ n, và c ng vòng cho các k t n i ế ố ổ ng l a d đi. Đi u này làm cho h th ng b c t ử ễ ệ ố dàng s d ng cho nh ng ng i trong m ng n i b ườ ộ ộ ạ i các d ch v Internet, mu n tr c ti p truy nh p t ụ ậ ớ trong khi v n cung c p ch c năng b c t ng l a ứ ử ứ ườ nh ng s t n công bên đ b o v m ng n i b t ự ấ ể ả ệ ạ ngoài.

Nh ng h n ch c a firewall

ế ủ

ữ

ạ

u Không đ thông minh nh con ng

ườ ể

ủ ể ừ i đ có th ể ộ

u Ch có th ngăn ch n s xâm nh p c a nh ng ặ ự ả

ư đ c hi u t ng lo i thông tin và phân tích n i dung ạ ọ t hay x u c a nó. t ấ ủ ố ể ỉ ữ

ậ ủ ư ố ồ

ngu n thông tin không mong mu n nh ng ph i xác đ nh rõ các thông s đ a ch . ỉ ị

ể ộ ấ ố ị ặ

ộ

6

ể ố ộ

u Không th ngăn ch n m t cu c t n công n u cu c ộ ộ ế t n công này không "đi qua" nó. M t cách c th , ụ ể ấ i m t cu c t n công t firewall không th ch ng l ừ ộ ấ ng dial-up, ho c s dò r thông tin do d m t đ ữ ộ ườ li u b sao chép b t h p pháp lên đĩa m m ấ ợ ệ ị

ạ ặ ự ỉ

ề

Nh ng h n ch c a firewall

ế ủ

ữ

ạ

u Không th ch ng l

ạ ộ ấ ể ố

i các cu c t n công b ng d ữ ng

ể ượ

c b o v và b t đ u ộ ố ươ t qua , v ư ệ ử ượ ượ ả ệ ắ ầ

đây.

ằ li u (data-drivent attack). Khi có m t s ch ệ c chuy n theo th đi n t trình đ firewall vào trong m ng đ ạ ho t đ ng ở ạ ộ ụ ộ

6

ụ ệ

ệ

ể ụ ủ

u M t ví d là các virus máy tính. Firewall không th ể c làm nhi m v rà quét virus trên các d li u đ chuy n qua nó, do t c đ làm vi c, s xu t hi n ố ộ liên t c c a các virus m i và do có r t nhi u cách ớ đ mã hóa d li u, thoát kh i kh năng ki m soát ể c a firewall. ủ

ữ ệ ượ ự ấ ệ ề ấ ể ữ ệ ả ỏ

ẫ ả i pháp h u hi u ữ ệ