intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

THỰC TẬP CƠ SỞ - PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL

Chia sẻ: Nguyendanh Son | Ngày: | Loại File: DOC | Số trang:45

214
lượt xem
76
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Đứng trước vai trò của thông tin hoạt động cạnh tranh gay gắt, các tổ chức và các doanh nghiệp đều tìm mọi biện pháp để xây dựng hoàn thiện hệ thống thông tin của mình nhằm tin học hóa các hoạt động tác nghiệp của đơn vị. Ở Việt Nam cũng có rất nhiều doanh nghiệp đang tiến hành thương mại hóa trên Internet nhưng do những khó khăn về cơ sở hạ tầng như viễn thông chưa phát triển mạnh, các dịch vụ thanh toán điện tử qua ngân hàng chưa phổ biến nên chỉ dừng lại ở mức độ giới thiệu sản phẩm...

Chủ đề:
Lưu

Nội dung Text: THỰC TẬP CƠ SỞ - PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL

  1. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ: CÁC PHƯƠNG PHÁP LẬP TRÌNH VƯỢT FIREWALL Học Viện Kỹ Thuật Mật Mã Trang 1
  2. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng MỤC LỤC CHƯƠNG I: Tổng Quan Về Firewall......................................................................... 5 1.1 Đặt vấn đề ................................................................................................................ 5 1.2 Phân loại Các kiểu tấn công ................................................................................ 6 1.2.1 Tấn công trực tiếp................................................................................................ 6 1.2.2 Nghe trộm ............................................................................................................. 7 1.2.3 Vô hiệu các chức năng của hệ thống (DoS, DDoS) ........................................... 7 1.2.4 Tấn công vào yếu tố con người ........................................................................... 8 1.3 Firewall là gì ? ........................................................................................................ 8 1.3.1 Các chức năng chính: .......................................................................................... 9 1.3.2 Nguyên lý ............................................................................................................ 10 1.3.3 Các dạng firewall ............................................................................................... 12 1.3.3.1 Firewall cứng................................................................................................... 12 1.3.3.2 Firewall mềm ................................................................................................. 13 1.4 Hạn chế của Firewall ............................................................................................ 14 1.5 Một số mô hình Firewall ...................................................................................... 16 1.5.1 Packet-Filtering Router .................................................................................... 16 1.5.3 Mô hình Dual-Homed Bastion Host................................................................. 18 1.5.4 Proxy server ....................................................................................................... 20 CHƯƠNG II: Các Phương Pháp Lập Trình Vượt Firewall .................................. 21 2.1 Vượt firewall là gì? ............................................................................................. 21 2.2 Một sô phương pháp vượt firewall ..................................................................... 21 2.2.1 Phương pháp HTTP Proxy ............................................................................... 21 2.2.1.1 Khi các HTTP Proxy Server trở nên hữu ích .............................................. 21 2.2.1.2 Những bất cập do proxy................................................................................. 23 2.2.1.3 Kĩ thuật lập trình một HTTP Proxy cơ bản ................................................ 23 2.2.1.4 Sử dụng trang web trung gian....................................................................... 24 2.2.1.5 Thay đổi địa chỉ proxy của trình duyệt ....................................................... 25 Học Viện Kỹ Thuật Mật Mã Trang 2
  3. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng 2.2.2 Phương pháp HTTP Tunneling ...................................................................... 29 2.2.2.1 Cấu hình ........................................................................................................ 30 2.2.3 Vượt tường lửa bằng web base proxy............................................................ 33 2.2.3.1 Thế nào là 1 web-based anonymous proxy ? ............................................... 33 2.2.3.2 Cách thức hoạt động của một web base proxy ............................................ 34 2.2.3.3 Giới thiệu về trang Web Based Proxy .......................................................... 34 2.2.3.3.1 Giao diện....................................................................................................... 34 2.2.3.3.2 Diễn giải mô hình ......................................................................................... 34 2.2.4 Web-based Proxy Servers ................................................................................. 35 2.2.4.1 Ý nghĩa ............................................................................................................. 36 2.2.5 Sử dụngphần mềm vượt tường lửa ................................................................. 37 CHƯƠNG III : Thực Nghiệm Các Phương Pháp Vượt Firewall Thông Dụng.... 39 3.1 Sử dụng proxy server ........................................................................................... 39 3.2 Dùng Anonymizer web / web proxy để vượt tường lửa .................................... 39 3.3 Vượt tường lửa bằng công cụ của Google .......................................................... 40 3.4. Vượt tường lửa DNS của FPT ............................................................................ 40 3.5 Dùng phần mềm đặc biệt để vượt tường lửa ..................................................... 40 3.6 Kết luận ................................................................................................................. 41 PHỤ LỤC .................................................................................................................... 42 DANH SÁCH CÁC TÀI LIỆU THAM KHẢO ....................................................... 42 Học Viện Kỹ Thuật Mật Mã Trang 3
  4. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng Lời Nói Đầu Ngày nay, công nghệ thông tin đã có những bước phát triển mạnh mẽ theo cả chiều sâu và chiều rộng. Máy tính không còn là một phương tiện quý hiếm mà ngày càng trở thành công cụ làm việc và giải trí thông dụng của con người. Đứng trước vai trò của thông tin hoạt động cạnh tranh gay gắt, các tổ chức và các doanh nghiệp đều tìm mọi biện pháp để xây dựng hoàn thiện hệ thống thông tin của mình nhằm tin học hóa các hoạt động tác nghiệp của đơn vị. Ở Việt Nam cũng có rất nhiều doanh nghiệp đang tiến hành thương mại hóa trên Internet nhưng do những khó khăn về cơ sở hạ tầng như viễn thông chưa phát triển mạnh, các dịch vụ thanh toán điện tử qua ngân hàng chưa phổ biến nên chỉ dừng lại ở mức độ giới thiệu sản phẩm và tiếp nhận đơn đặt hàng thông qua web. Để tiếp cận và góp phần đẩy mạnh sự phổ biến của công nghệ thông tin chúng em đã tìm hiểu về đề tài “Các phương pháp tấn công vượt tường lửa.” Với sự hướng dẫn tận tình của thầy Phạm Văn Hưởng nhóm em đã hoàn thành bản báo cáo này. Tuy đã cố gắng hết sức tìm hiểu, phân tích nhưng chắc rằng không tránh khỏi những thiếu sót. Nhóm em rất mong nhận được sự thông cảm và góp ý của quí Thầy cô. Nhóm em xin chân thành cảm ơn. Hà Nội, th¸ng 12 n¨m 2010 Nhóm sinh viên thực hiện: Trương Văn Trường Nguyễn Xuân Phao Phạm Văn Trọng Học Viện Kỹ Thuật Mật Mã Trang 4
  5. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng CHƯƠNG I: Tổng Quan Về Firewall 1.1 Đặt vấn đề Song song với việc xây dựng nền tảng về công nghệ thông tin, cũng như phát triển các ứng dụng máy tính trong sản xuất, kinh doanh, khoa học, giáo dục, xã hội,... thì việc bảo về những thành quả đó là một điều không thể thiếu. Sử dụng các bức tường lửa (Firewall) để bảo vệ mạng nội bộ (Intranet), tránh sự tấn công từ bên ngoài là một giải pháp hữu hiệu Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau: * Bảo mật: Những thông tin có giá trị về kinh tế, quân sự, chính sách vv... cần được giữ kín. * Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo. * Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết. Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêu cầu số một đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó. Học Viện Kỹ Thuật Mật Mã Trang 5
  6. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng 1.2 Phân loại Các kiểu tấn công 1.2.1 Tấn công trực tiếp Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv… để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một trương trình tự động hoá về việc dò tìm mật khẩu này. Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%. Sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator). Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX. Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống. Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập. Học Viện Kỹ Thuật Mật Mã Trang 6
  7. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng 1.2.2 Nghe trộm Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép bắt các gói tin vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet. 1.2.3 Vô hiệu các chức năng của hệ thống (DoS, DDoS) Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện đợc tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác. Hình 1: Mô hình tấn công DDoS Client là một attacker sắp xếp một cuộc tấn công  Handler là một host đã được thỏa hiệp để chạy những chương trình  Đặc biệt dùng để tấn công  Mỗi handler có khả năng điều khiển nhiều agent  Mỗi agent có trách nhiệm gửi stream data tới victim Học Viện Kỹ Thuật Mật Mã Trang 7
  8. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng 1.2.4 Tấn công vào yếu tố con người Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ. 1.3 Firewall là gì ? Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trustednetwork) khỏi các mạng không tin tưởng (Untrusted network). Hình 2: Mô hình firewall Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước. Học Viện Kỹ Thuật Mật Mã Trang 8
  9. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng Hình 3: Lọc gói tin tại firewall Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Nếu là phần cứng, nó có thể chỉ bao gồm duy nhất bộ lọc gói tin hoặc là thiết bị định tuyến (router được tích hợp sẵn chức năng lọc gói tin). Bộ định tuyến có các tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP. Quy trình kiểm soát cho phép bạn định ra những địa chỉ IP có thể kết nối với mạng của bạn và ngược lại. Tính chất chung của các Firewall là phân biệt địa chỉ IP dựa trên các gói tin hay từ chối việc truy nhập bất hợp pháp căn cứ trên địa chỉ nguồn. 1.3.1 Các chức năng chính: Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: • Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). • Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). • Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. • Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng. Học Viện Kỹ Thuật Mật Mã Trang 9
  10. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng Hình 4: Một số chức năng của Firewall 1.3.2 Nguyên lý Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Học Viện Kỹ Thuật Mật Mã Trang 10
  11. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng Hình 5: Lọc gói tin Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: • Địa chỉ IP nơi xuất phát ( IP Source address) • Địa chỉ IP nơi nhận (IP Destination address) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thông báo ICMP ( ICMP message type) • Giao diện packet đến ( incomming interface of packet) • Giao diện packet đi ( outcomming interface of packet) Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua Firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số Học Viện Kỹ Thuật Mật Mã Trang 11
  12. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. Ưu điểm: Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự hiểu biết chuyên sâu nào cả. Hạn chế: Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. 1.3.3 Các dạng firewall 1.3.3.1 Firewall cứng Thiết bị sản xuất ra chuyên làm một nhiệm vụ firewall. Đơn giản, dễ lắp đặt, cấu hình, quản lý * Không làm được cache, loại có cache thì quá đắt. Cache chỉ phát huy tác dụng khi rất nhiều người vào cùng một site, dữ liệu sẽ được cache server đáp ứng cho người dùng (local nên rất nhanh) và cache sẽ định kỳ refresh lại các thông tin cache. Nếu trong mạng của mình có khoảng
  13. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng chống spam, lọc nội dung web, quản lý điều tiết băng thông cho từng dịch vụ, chống P2P,... * Có thể quản lý tập trung về firewall và bảo mật, người làm SI nên cũng biết một số loại firewall, để lựa chọn cho khách hàng tùy theo mục đích, yêu cầu,... tóm lại trong trường hợp triển khai rộng, cho nhiều đơn vị, các đơn vị không có dân IT chuyên nghiệp, nên dùng firewall cứng. + Ưu điểm: tối ưu hóa cho một công việc nên ổn định và tin cậy cao + Nhược điểm: Ít có khả năng linh động và khó nâng cấp. 1.3.3.2 Firewall mềm Một software được cài đặt trên 1 hệ điều hành nào đó để làm nhiệm vụ của 1 firewall * Có nhiều lựa chọn như Squid+IP table (Redhat), WinGate, ... nhưng phổ biến nhất chắc là ISA trên Windows. * Có thể làm được gần như "mọi thứ" Smile hay dùng nhất là firewall (thiết lập các policy truy nhập) và cache để tăng tốc truy nhập các trang web, ... đây có lẽ là ưu điểm nổi trội nhất. * Nhược điểm "nổi trội". * Cần người hiểu biết: biết cài đặt và biết xử lý khi có sự cố - Biết cài đặt: muốn cài đặt ISA nên : cài windows, chỉ cài các thành phần cần thiết, các thành phần dịch vụ không cần thiết phải bỏ đi, cài các bản vá lỗi của Windows (critical + recommend); "hardening your server" nghĩa là tunning một số registry về network, tăng buffer để máy tính có khả năng chịu tấn công tốt hơn, xử lý mạng tốt hơn, ...; cài ISA cấu hình và tunning ISA * Bản quyền cũng là một vấn - nếu muốn dùng Smiles + Ưu điểm : linh hoạt và dễ nâng cấp + Nhược điểm : Phụ thuộc nhiều vào hệ điều hành và software. - Các công ty lớn thường sử dụng cả 2 loại "mềm" và "cứng" tùy theo để lọc ở trong hay ở ngoài. Học Viện Kỹ Thuật Mật Mã Trang 13
  14. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng Hình 7: Firewall mềm Cầu nối đóng vai trò trung gian giữa hai giao thức. Ví dụ, trong một mô hình gateway đặc trưng, gói tin theo giao thức IP không được chuyển tiếp tới mạng cục bộ, lúc đó sẽ hình thành quá trình dịch mà gateway đóng vai trò bộ phiên dịch. Ưu điểm của Firewall application gateway là không phải chuyển tiếp IP. Quan trọng hơn, các điều khiển thực hiện ngay trên kết nối. Quá trình chuyển tiếp IP diễn ra khi một server nhận được tín hiệu từ bên ngoài yêu cầu chuyển tiếp thông tin theo định dạng IP vào mạng nội bộ. Việc cho phép chuyển tiếp IP là lỗi không tránh khỏi, khi đó, hacker có thể thâm nhập vào trạm làm việc trên mạng của bạn. Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật (proxy application) phải được tạo ra cho từng dịch vụ mạng. Như vậy một ứng dụng dùng cho Telnet, ứng dụng khác dùng cho HTTP, v.v.. Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉ không xác định sẽ không thể tới máy tính trong mạng của bạn, do đó hệ thống applicationgateway có độ bảo mật cao hơn. 1.4 Hạn chế của Firewall • Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn Học Viện Kỹ Thuật Mật Mã Trang 14
  15. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. • Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. • Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data- driven attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. • Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. Học Viện Kỹ Thuật Mật Mã Trang 15
  16. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng 1.5 Một số mô hình Firewall 1.5.1 Packet-Filtering Router Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông. Hình 8: Packet filtering Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô cấu trúc firewall này là tất cả những gì không được chỉ ra rõ ràng là cho phép thì có nghĩa là bị từ chối. Ưu điểm: • Giá thành thấp, cấu hình đơn giản • Trong suốt(transparent) đối với user. Học Viện Kỹ Thuật Mật Mã Trang 16
  17. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng Hạn chế: Có rất nhiều hạn chế đối với một packet-filtering router, như là dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn công ngầm dưới những dịch vụ đã được phép. Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn công quyết định bởi số lợng các host và dịch vụ được phép. Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công nào không. Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công 1.5.2 Mô hình Single-Homed Bastion Host Hình 9: Mô hình single-Homed Bastion Host Hệ thống này bao gồm một packet-filtering router và một bastion host. Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network (packet-filtering) và ở tầng ứng dụng (application level). Đồng thời, kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn công vào mạng nội bộ. Học Viện Kỹ Thuật Mật Mã Trang 17
  18. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Quy luật filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host. Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá. Bởi vì các hệ bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host. Ưu điểm: Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như user logon được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho user logon vào bastion host. 1.5.3 Mô hình Dual-Homed Bastion Host Demilitarized Zone (DMZ) hay Screened-subnet Firewall hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application. Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được. Học Viện Kỹ Thuật Mật Mã Trang 18
  19. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng Hình 10: Mô hình Dual-Homed Bastion Host Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dung dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host. Ưu điểm: Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và route Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server). Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy. Học Viện Kỹ Thuật Mật Mã Trang 19
  20. Nhóm 19: Lập Trình Vượt Firewall GVHD:Phạm Văn Hưởng 1.5.4 Proxy server Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway, theo đó một bộ chương trình proxy được đặt ở gateway ngăn cách một mạng bên trong (Intranet) với Internet. Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng Internet Firewall TIS (Trusted Information System), bao gồm một bộ các chương trình và sự đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một Firewall. Bộ chương trình được thiết kế để chạy trên hệ UNIX sử dụng TCP/IP với giao diện socket Berkeley. Hình 11: Mô hình 1 Proxy đơn giản Bộ chương trình proxy được thiết kế cho một số cấu hình firewall, theo các dạng cơ bản: dual-home gateway, screened host gateway, và screened subnet gateway. Thành phần Bastion host trong Firewall, đóng vai trò như một người chuyển tiếp thông tin, ghi nhật ký truyền thông, và cung cấp các dịch vụ, đòi hỏi độ an toàn cao. Proxy server chúng ta sẽ tìm hiểu kĩ hơn ở phần sau. Học Viện Kỹ Thuật Mật Mã Trang 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
8=>2