Tiu lun An ton v bo mt thụng tin - 4 1
TRNG I HC S PHM K THUT HNG YấN
KHOA CễNG NGH THễNG TIN
Bài tiểu luận
MÔN HọC: an toàn và bảo mật thông tin
Đề 4:
Nghiên cứu các cơ chế đảm bảo an ninh cho mạng máy
tính mà có thể thực hiện từ Proxy Server.
Giỏo viờn hng dn : Nguyn Duy Tõn
Sinh viờn thc hin : Nguyn Thanh H
Lp : TK6LC1
Hng Yờn, thỏng 12 nm 2009
Li núi u
Ngy nay vi s phỏt trin khụng ngng, tt bc v s bựng n ca cụng ngh
Sinh viờn: Nguyn Thanh H - Lp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4 2
thông tin, hầu hết các doanh nghiệp, các nhà đầu tư kinh doanh đều coi công nghệ thông
tin như là chiến lược kinh doanh của mình. Họ tìm hiểu thông tin khách hàng, thông tin
sản phẩm mình kinh doanh đều qua hệ thống thông tin trên mạng và họ lưu trữ những
thông tin đó trên hệ thống máy tính.
Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi
trường kinh doanh yêu cầu các doanh nghiệp phải chia sẻ thông tin của mình cho nhiều
đối tượng khách hàng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin
có thể ảnh hưởng nghiêm trọng tới tài chính, danh tiếng của công ty và nhiều mối quan
hệ kinh doanh khác.
Thông tin của mỗi doanh nghiệp, mỗi công ty là rất quan trọng. Vì vậy việc đảm
bảo an toàn an ninh mạng là rất cần thiết. Dưới đây là đề tài mà em nghiên cứu: "Nghiên
cứu các cơ chế đảm bảo an ninh cho mạng máy tính mà có thể thực hiện từ Proxy
Server". Trong khi thực hiện đề tài này em vẫn còn nhiều thiếu sót. Em kính mong thầy
xem và nhận xét để bài tiểu luận của em được hoàn thiện hơn nữa.
Em xin chân thành cảm ơn!
Sinh viên thực hiện:
Nguyễn Thanh Hà
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
1. Vài nét về Proxy.
Proxy cung cấp cho người sử dụng truy xuất internet với những host đơn. Những
proxy server phục vụ những nghi thức đặt biệt hoặc một tập những nghi thức thực thi trên
dual_homed host hoặc basion host. Những chương trình client của người sử dung sẽ qua
trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp.
Proxy server xác định những yêu cầu từ client và quyết định đáp ứng hay không
đáp ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho
client và tiếp tục chuyển tiếp đến những yêu cầu từ clientđến server, cũng như đáp ứng
những yêu cầu của server đến client.
Vì vậy proxy server giống cầu nối trung gian giữa server và client.
Để đáp ứng những nhu cầu của người sử dụng khi cần truy xuất đến những ứng
dụng cung cấp bởi internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ.
Proxy server gíup người sử dụng thoải mái hơn và an toàn cho dual homed host,
thay thế yêu cầu của người sử dụng bằng cách gián tiến thông qua dual homed host. Hệ
thống proxy cho phép tất cả những tương tác nằng dưới một hình thức nào đó. User có
cảm giác làm việc trực tiếp với server trên internetmà họ thật sự muốn truy xuất.
Proxy applycation chính là chương trình trên applycation level getaway firewall
hành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông qua firewall,
tiến trình này được thực hiện trình tự như sau:
• Thành lập một kết nối applycation trên firewall.
• Proxy applycation thu nhận thông tin về việc kết nối và yêu cùa của user
• Sử dụng thông tin để xác nhận yêu cuầ đó được xác nhận không, nếu chấp nhận
proxy sẽ tạo sự kết nối khác từ firewall đến máy đích
• Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa client và
server proxy system giải quyết được những rủi ro trên hệ thống bởi tránh user
login vào hệ thống và ép buộc thông qua phần mềm điều khiển.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
2. Sự cần thiết của Proxy.
Proxy cho user truy xuất dịch vụ trên internet theo nghĩa trực tiếp. Với dual host
homed cần phải login vào host trước khi sử dụng dịch vụ nào trên internet. Điều này
thường không tiện lợi, và một số người trể nên thất vọng khi họ có cảm giác thông qua
firewall, với proxy nó giải quyết được vấn đề này.
Tất nhiên nó còn có những giao thức mới nhưng nói chung nó cũng khá tiện lợi
cho user. Bởi vì proxy cho phép user truy xuất những dịch vụ trên internet từ hệ thống cá
nhân của họ, vì vậy nó không cho phép packet đi trực tiếp giữa hệ thống sử dụng và
internet. đường đi là gián tiếp thông qua dual homed host hoặc thông qua sự kết hợp giữa
bastion host và screening rounter.
Thực tế proxy hiểu được những nghi thức dưới, nên logging được thực hiện theo
hướng hiệu quả đặc biệt.
VD: Thay vì đăng nhập tất cả thông tin thông qua đường truyền, một proxy FPT
server chỉ log những lệnh phát ra và server đáp ứng mà nhận được. Kết quả này đơn giản
và hữu dụng hơn rất nhiều.
3. Proxy Server là gì?
Proxy Server là một server Internet làm chức năng kiểm soát việc truy cập Internet
của các máy khách. Sử dụng Proxy Server , công ty có thể cấm nhân viên truy cập những
địa chỉ Web không mong muốn, cải thiện tốc độ nhờ lưu trữ cục bộ các trang Web và
giấu định danh của mạng nội bộ để gây khó khăn cho người muốn thâm nhập từ bên
ngoài.
Proxy Server là một server đóng vai trò trung gian giữa người dùng
trạm( workstation user) và Internet. Với Proxy Server, các máy khách( clients) tạo ra các
kết nối đến các dịch mạng một cách gián tiếp.
Proxy Server giống như một vệ sĩ: bảo vệ máy khách khỏi những rắc rối thường
có trên Internet. Một Proxy Server thường nằm bên trong tường lửa, giữa trình duyệt
Web và server thực, làm chức năng tạm giữ những yêu cầu Internet của các máy khách
để chúng không thể giao tiếp trực tiếp với Internet.
Điều này bảo đảm rằng người dùng không truy cập được thông tin không mong
muốn, chẳng hạn như những cơ sở Web về hình ảnh khiêu dâm hay những trang Web bị
công ty “cấm cửa”.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Với Proxy Server , các công ty có thể kiểm soát được việc truy cập Internet bằng
cách loại bỏ một số địa chỉ Web khỏi danh sách các Web site được phép truy cập của
máy khách. Ví dụ không muốn nhân viên mua bán cổ phiếu trong giờ làm việc thì nhà
quản trị mạng có thể dùng Proxy Server để khóa việc truy cập vào các site tài chính
trong một số giờ.
Mọi yêu cầu của máy khách đều phải đi đến Proxy Server , nếu địa chỉ IP có trên
proxy, nghĩa là Web site này được lưu trữ cục bộ, thì trang này sẽ được phép truy cập mà
không cần phải kết nối với Internet; nếu không có trên PS và trang Web không thuộc loại
bị cấm, yêu cầu sẽ được chuyển đến server thực và sau đó ra Internet.
Proxy Server cho phép các công ty lưu trữ cục bộ các trang Web thường được
truy cập nhất trong bộ đệm và như thế sẽ tiết kiệm được chi phí. Việc ghi xuống bộ đệm
những trang Web cũng làm tăng tốc độ hiển thị các trang Web vì chúng được truy cập
nhanh chóng từ đĩa cứng thay vì phải qua Internet.
Người dùng phổ biến nhất của Proxy Server là những nhà cung cấp dịch vụ
Internet như America Online và những công ty lớn, không chỉ muốn tải xuống nhanh mà
còn muốn chia sẻ một tập những địa chỉ IP, với số lượng hạn chế, cho các nhóm người
dùng của mình, hơn nữa việc gán địa chỉ Internet cho tất cả người dùng rất tốn thời gian.
Proxy Server cũng bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài. Nó thực
hiện chức năng này bằng cách mang lại cho mạng hai định danh: một để dùng trong nội
bộ và một để dùng cho bên ngoài. Điều này tạo nên một “bí danh” đối với thế giới bên
ngoài, nhờ thế sẽ gây khó khăn nếu người dùng muốn “tự tung tự tác” hay các tay bẻ
khoá muốn xâm nhập trực tiếp đến một máy nào đó.
Ngoài ra, cách này cũng giúp mạng duy trì được tính “nặc danh tương đối” để
những nhà tiếp thị khó lòng lần theo dấu vết những Web site mà người dùng có truy cập
đến.
Proxy Server còn làm cho việc sử dụng băng thông hiệu quả hơn. Với băng thông
hạn chế mà yêu cầu truy cập Internet lại rất cao, thì Proxy Server là cách có lợi.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
a> Lợi ích của việc dùng Proxy Server
. Sử dụng chức năng bộ đệm Cache: tăng hiệu suất dịch vụ mạng( user nhận được
response nhanh chóng).
. Dữ liệu yêu cầu được gởi đến Server chỉ định bằng địa chỉ IP của Proxy Server
nên ngăn không cho những truy cập không hợp lệ vào máy user thông qua Internet.
Dữ liệu trả lời gửi về từ Server chỉ định được Proxy Server xử lý( kiểm tra virus,
lọc dữ liệu để loại bỏ những dữ liệu không mong muốn…) trước khi chuyển về cho user.
b> Những khuyết điểm của Proxy
Mặc dù phần mềm prory có hiệu quả rộng rải những dịch vụ lâu đời và đơn giàn
như FPT và Telnet, những phần mềm mới và ít được sử dụng rộng raãi thì hiếm khi thấy.
Thường đó chính là sự chậm trễ giữa thời gian xuất xuất hiện một dịch vụ mới và proxy
cho dịch vụ đó, khoảng thời gian phụ thuộc vào phương pháp thiết kế proxy cho dịch vụ
đó, điều này cho thấy khá khó khăn khi đưa dịch vụ mới vào hệ thống khi chưa có proxy
cho nó thì nên đặt bên ngoài fire wall, bởi vì nếu đặt bên trong hệ thống thì đó chính là
yếu điểm.
Đôi khi cần một proxy khác nhau cho mỗi nghi thức, bởi vì proxy server phải hiểu
nghi thức đó để xác định những gì được phép và không được phép. Để thực hiện nhiệm
vụ như là client đến server thật và server thật đến proxy client, sự kết hợp , install và
config tất cả những server khác nhau đó có thể rất khó khăn.
Những dịch vụ proxy thường sửa đổi chương trình client, procedure hoặc cả hai.
Ngoại trừ một số dịch vụ được thiết kế cho proxying , proxy server yêu cầu sửa đổi với
client hăọc procedure, mỗi sự sửa đổi có những bất tiện riêng của nó, không thể luôn luôn
sử dụng công cụ có sẵn với những cấu trúc hiện tại của nó.
Proxying dựa vào khà năng chèn vào proxy server giữa server thật và client mà
yêu cầu tác động tương đối thẳn thắn cả hai.
Những dịch vụ proxy không bảo vệ cho hệ thống ứng với những nghi thức kém
chất lượng. Như một giải pháp an toàn, proxying dựa vào những khả năng xác định
những tác vụ trong nghi thức an toàn. Không phải tất cả các dịch vụ đều cung cấp theo
khuynh hướng an toàn này, như nghi thức Xwindows cung cấp khá nhiều những tác vụ
không an toàn.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
4. Các dạng Proxy System.
a> Dạng kết nối trực tiếp
Phương pháp đầu tiên được sử dụngtrong kỹ thuật proxy là cho user kết nối trực
tiếp đến firewall proxy, sau đó proxy hỏi user cho địa chỉ host hướng đến, đó là một
phương pháp brute force sử dụng bởi firewall một cách dễ dàng, và đó cũng là nguyên
nhân tại sao nó là phương pháp ít thích hợp.
Trước tiên, yêu cầu user phải biết địa chỉ của firewall, kế tiếp nó yêu cầu user
nhập vào hai địa chỉ hai địa chỉ cho mỗi kết nối: địa chỉ của filewall và địa chỉ đích
hướng đến. Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy
tính của user điều đó tạo sự kết nối cho user, bởi vì chúng không biết như thế nào điều
khiển những yêu cầu đặc biệt cho sự truyền thông với proxy.
b> Dạng thay đổi Client
Phương pháp kế tiếp sử dụng proxy setup phải thêm vào những ứng dụng tại máy
tính của user. User thực thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông
qua firewall. User với ứng dụng đó hành động chỉ như những ứng dụng không sửa đổi.
User cho địa chỉ của host hướng tới. Những ứng dụng thêm vào biết địa chỉ firewall từ
file config cuc bộ, setup sự kết nối đến ứng dụng proxy trên firewall, và truyền cho nó địa
chỉ cung cấp bởi người sử dụng. Phương pháp này rất khó hiệu quả và có khả năng che
dấu người sử dụng, tuy nhiên cần có một ứng dụng client thêm vào cho mỗi dịch vụ
mạng là một đặt tính trở ngại.
c> Proxy vô hình
Một phương pháp phát triển gần đây cho phép truy xuất đến proxy, trong vài hệ
thống firewall được biết như proxy vô hình. Trong mô hình này, không cần có những ứng
dụng thêm vào với user và không kết nối trực tiếp đến firewall hoặc biết rằng firewall có
tồn tại. Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nối đến mạng bên ngoài
được chỉ đường thông qua firewall.
Như những packet nhập vào firewall, tự động chúng được đổi hướng đến proxy
đang chờ. Theo hướng này,firewall thực hiện rất tốt việc giả như host đích.
Khi kết nối tạo ra firewall proxy , client applycation nghỉ rằng nó được kết nối
đến server thật, nếu được phép, proxy applycation sau đó thực hiện hàm proxy chuẩn
trong việc tạo kết nối thứ hai đến server thật.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Một proxy server, giống như firewall (bức tường lửa), được thiết kế để bảo vệ tài
nguyên trong các mạng cục bộ khi nối kết các mạng khác như mạng Internet.
Chúng ta cũng khó phân biệt sự khác nhau giữa proxy server và firewall. Bạn có
thể nghĩ rằng proxy là dịch vụ chạy trên firewall, nơi mà firewall là một server vật lí nằm
giữa Internet và mạng cục bộ.
Tổng quát, firewall cung cấp điều khiển mở rộng để lọc và giám sát thông tin ra
vào mạng.
Ví dụ, firewall có thể thực thi dịch vụ lọc gói dữ liệu ở tầng mạng (network layer)
để đóng gói dữ liệu mà có địa chỉ nguồn riêng biệt hay dành cho một dịch vụ nào đó.
Dịch vụ proxy chạy trên firewall ở mức ứng dụng cung cấp một hệ thống điều khiển
truyền tải tinh vi.
Dịch vụ proxy là dịch vụ một chiều ngăn cản người dùng Internet cố tình truy cập
mạng cục bộ.
Các dịch vụ này được thiết kế cho người dùng dịch vụ mạng cục bộ. Chỉ có những
gói dữ liệu được yêu cầu của người dùng mạng cục bộ mới được truyền qua qua firewall.
Ví dụ, giả sử một trạm làm việc của mạng cục bộ muốn truy cập vào một Web
server trên Internet.
Dịch vụ HTTP proxy chạy trên firewall chặn đứng gói dữ liệu HTTP của người
dùng, đóng gói lại dữ liệu và truyền yêu cầu đã đóng gói lại tới Web server trên Internet.
Gói dữ liệu chứa địa chỉ nguồn IP của proxy server, không phải địa chỉ IP của trạm làm
việc của người dùng.
Nhìn bề ngoài, chúng giống như là tất cả các gói dữ liệu được truyền từ proxy
server, nơi cung cấp một mức an toàn bảo mật tất cả các địa chỉ bên trong.
Khi một Web server trả lời các yêu cầu, proxy server nhận và chuyển các trả lời
nầy đến các trạm làm việc cục bộ.
Thuận lợi của phương pháp nầy là các mạng cục bộ không phải thích ứng với các
chuẩn đánh địa chỉ của Internet, một yếu tố quan trọng khi mà Internet chạy không dựa
trên địa chỉ IP.
Vì lý do an toàn, các gói dữ liệu đi vào sẽ được kiểm virút hay khả năng thay đổi
dữ liệu bởi những kẻ phá hoại bên ngoài. Proxy server có thể tạo một bộ mã hóa trên
Web server ngăn sự phá hoại các tài nguyên hữu dụng.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Proxy server cũng có chức năng bộ đệm quan trọng. Vì nó là vị trí trung tâm để
người dùng mạng cục bộ có thể truy cập mạng Internet, một proxy server có thể lưu trữ
các tài liệu được truy cập thường xuyên trên Internet và cho phép người dùng mạng cục
bộ truy cập chúng khi cần thiết.
Ví dụ như, hàng ngàn người dùng có thể truy cập mục hài Dilbert mỗi ngày.
Nếu một công ty có một máy proxy server lưu trữ, mục hài nầy sẽ được lưu trữ
đầu tiên trong ngày.
Người dùng sau sẽ truy cập mục nầy từ máy lưu trữ nội bộ mà không phải từ Web
site của Dilbert.Vì proxy server kiểm soát các gói dữ liệu cho người dùng mạng cục bộ
nên nó cũng dễ dàng kiểm tra virút, lọc dữ liệu và điều khiển truy cập.
Các gói chứa dữ liệu không mong muốn có thể được loại bỏ. Những proxy server
cung cấp dịch vụ proxy cho các ứng dụng như HTTP, FTP, Telnet, và các giao thức
Internet khác. Có những proxy tương thích cho nhiều ứng dụng khác nhau. Trường hợp
đặc biệt, các trạm làm việc phải chạy phần mềm đặc biệt để truy cập firewall.
Ví dụ, proxy server của Microsoft cho phép máy chạy giao thức IPX (Internetowrk
Packet Exchange) truy cập proxy server với phần mềm đặc biệt.
Ngoài ra, các proxy server có thể sử dụng SOCKS, một giao thức xác nhận, đòi
hỏi trạm làm việc phải có phần mềm để truy cập SOCKS.
SOCKS là một hệ thống proxy tổng quát cung cấp các đặc tính an toàn mở rộng
như kiểm toán, quản trị, sửa lỗi và báo động.
Nó được định nghĩa trong IETF (Internet Engineering Task Force) RFC 1928, mà
bạn có thể đọc ở các địa chỉ bên dưới. Nhiều proxy server thương mại dựa trên SOCKS.
Proxy là một Internet server làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo
sự an toàn cho việc truy cập Internet của các máy khách, còn gọi là khách hàng sử dụng
dịch vụ internet. Trạm cài đặt proxy gọi là proxy server. Proxy hay trạm cài đặt proxy có
địa chỉ IP và một cổng truy cập cố định. Ví dụ: 123.234.111.222:80. Địa chỉ IP của proxy
trong ví dụ là 123.234.111.222 và cổng truy cập là 80.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Một số mạng gia đình, mạng nội bộ công ty và các nhà cung cấp dịch vụ Internet
(ISP) sử dụng proxy servers. Proxy servers đóng vai trò như một “middleman” (tạm
được gọi là người môi giới (trung gian hòa giải)) giữa hai điểm cuối của một kết nối
mạng khách/chủ. Proxy server làm việc với các trình duyệt và máy chủ, hoặc các ứng
dụng bằng cách hỗ trợ các giao thức mạng nằm bên dưới như HTTP.
5. Các tính năng của Proxy Servers.
Proxy server cung cấp ba chức năng chính:
1. Tường lửa và filtering
2. Chia sẻ kết nối
3. Caching
Các tính năng của Proxy server rất quan trọng trên các mạng diện rộng giống như
các mạng nội bộ của công ty và các mạng ISP. Càng nhiều người dùng trong một mạng
LAN và càng cần giữ bảo mật cho thông tin riêng tư thì chức năng của Proxy server càng
cần thiết.
Tường lửa và Filtering
Proxy servers làm việc ở lớp Application, lớp 7 trong mộ hình tham chiếu OSI. Chúng
không được phổ biến như các tường lửa thông thường mà làm việc ở mức thấp hơn và hỗ
trợ lọc ứng dụng một cách độc lập.
Proxy servers cũng khó khăn hơn trong việc cài đặt và duy trì so với tường lửa.
Mặc dù vậy, nếu proxy server được cấu hình đúng cách sẽ cải thiện được vấn đề
bảo mật và hiệu suất cho mạng.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Các proxy đều có khả năng mà các tường lửa thông thường không thể cung cấp.
Một số quản trị viên mạng sử dụng cả tường lửa và proxy server để làm việc cùng
nhau.
Muốn thực hiện như vậy, họ phải cài đặt cả phần mềm tường lửa và phần mềm
proxy server trên một server gateway.
Vì hoạt động lại lớp Application, nên chức năng lọc của proxy servers có thể được
coi như một bộ định tuyến thông thường.
Cho ví dụ, proxy Web server có thể kiểm tra URL của các yêu cầu gửi ra đối với
các web page bằng cách thanh tra các thông báo HTTP GET và POST. Sử dụng tính năng
này, các quản trị viên mạng có thể ngăn chặn sự truy cập và trong miền một cách bất hợp
pháp nhưng lại cho phép truy cập vào các site khác.
Các tường lửa thông thường, không thể thấy được các tên miền của Web bên trong
các thông báo.
Với lưu lượng dữ liệu gửi vào, các router thông thường có thể lọc bởi số cổng
hoặc địa chỉ mạng, nhưng các proxy server cũng có thể lọc dựa trên nội dung ứng dụng
bên trong thông báo.
Chia sẻ kết nối với Proxy Server
Nhiều sản phẩm phần mềm dành cho chia sẻ kết nối trên các mạng gia đình đã
xuất hiện trong một số năm gần đây.
Mặc dù vậy, trong các mạng kích thước lớn và trung bình, proxy server vẫn là
giải pháp cung cấp sự mở rộng và hiệu quả trong truy cập Internet.
Thay cho việc gán cho mỗi máy khách một kết nối Internet trực tiếp thì trong
trường hợp này, tất cả các kết nối bên trong đều có thể được cho qua một hoặc nhiều
proxy và lần lượt kết nối ra ngoài.
Proxy Servers và Caching
Caching của các trang web có thể cải thiện chất lượng dịch vụ của một mạng theo
3 cách.
Thứ nhất, nó có thể bảo tồn băng thông mạng, tăng khả năng mở rộng.
Tiếp đến, có thể cải thiện khả năng đáp trả cho các máy khách. Ví dụ, với một
HTTP proxy cache, Web page có thể load nhanh hơn trong trình duyệt web.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Cuối cùng, các proxy server cache có thể tăng khả năng phục vụ. Các Web page
hoặc các dòng khác trong cache vẫn còn khả năng truy cập thậm chí nguồn nguyên bản
hoặc liên kêt mạng trung gian bị offline.
6. Chức năng của Proxy.
Đối với một số hãng, công ty người ta sử dụng proxy với mục đích:
Giúp nhiều máy tính truy cập Internet thông qua một máy tính với tài khoản truy
cập nhất định, máy tính này được gọi là Proxy server.
Chỉ duy nhất máy Proxy này cần modem và account truy cập internet, các máy
client (các máy trực thuộc) muốn truy cập internet qua máy này chỉ cần nối mạng LAN
tới máy Proxy và truy cập địa chỉ yêu cầu.
Những yêu cầu của người sử dụng sẽ qua trung gian proxy server thay thế cho
server thật sự mà người sử dụng cần giao tiếp, tại điểm trung gian này công ty kiểm soát
được mọi giao tiếp từ trong công ty ra ngoài intrnet và từ internet vào máy của công ty.
Sử dụng Proxy, công ty có thể cấm nhân viên truy cập những địa chỉ web không
cho phép, cải thiện tốc độ truy cập nhờ sự lưu trữ cục bộ các trang web trong bộ nhớ của
proxy server và giấu định danh địa chỉ của mạng nội bộ gây khó khăn cho việc thâm nhập
từ bên ngoài vào các máy của công ty.
Đối với các nhà cung cấp dịch vụ đường truyền internet: Do internet có nhiều
lượng thông tin mà theo quan điểm của từng quốc gia, từng chủng tộc hay địa phương mà
các nhà cung cấp dịch vụ internet khu vực đó sẽ phối hợp sử dụng proxy với kỹ thuật
tường lửa để tạo ra một bộ lọc gọi là firewall proxy nhằm ngăn chặn các thông tin độc hại
hoặc trái thuần phong mỹ tục đối với quốc gia, chủng tộc hay địa phương đó.
Địa chỉ các website mà khách hàng yêu cầu truy cập sẽ được lọc tại bộ lọc này,
nếu địa chỉ không bị cấm thì yêu cầu của khách hàng tiếp tục được gửi đi, tới các DNS
server của các nhà cung cấp dịch vụ.
Firewall proxy sẽ lọc tất cả các thông tin từ internet gửi vào máy của khách hàng
và ngược lại.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
7. Ý nghĩa của Proxy.
Proxy không chỉ có giá trị bởi nó làm được nhiệm vụ của một bộ lọc thông tin, nó
còn tạo ra được sự an toàn cho các khách hàng của nó, firewall proxy ngăn chặn hiệu
quảt sư xâm nhập của các đối tượng không mong muốn vào máy của khách hàng. Proxy
lưu trữ dược các thông tin mà khách hàng cần trong bộ nhớ, do đó làm giảm thời gian
truy tìm làm cho việc sử dụng băng thông hiệu quả.
Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên Internet. Một
Proxy server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm
chức năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp
trực tiếp Internet.
Người dùng sẽ không truy cập được những trang web không cho phép (bị cấm).
Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy,
nghĩa là website này được lưu trữ cục bộ, trang này sẽ được truy cập mà không cần phải
kết nối Internet, nếu không có trên Proxy server và trang này không bị cấm, yêu cầu sẽ
được chuyển đến server thật, DNS server và ra Internet.
Proxy server lưu trữ cục bộ các trang web thường truy cập nhất trong bộ đệm để
giảm chi phí kết nối, giúp tốc độ duyệt web với tốc độ nhanh hơn.
Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang
lại cho mạng hai định danh: một cho nội bộ, một cho bên gây◊ngoài. Điều này tạo ra một
“bí danh” đối với thế giới bên ngoài khó khăn đối với nếu người dùng “tự tung tự tác”
hay các hacker muốn xâm nhập trực tiếp máy tính nào đó.
8.Giải pháp chia sẻ và bảo mật mạng với Proxy Server .
Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway, theo đó
một bộ chương trình Proxy được đặt ở gateway ngăn cách một mạng bên trong (Intranet)
với Internet.
Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng Internet
Firewall TIS (Trusted Information System), bao gồm một bộ các chương trình và sự đặt
lại cấu hình hệ thống để nhằm mục đích xây dựng một firewall.
Bộ chương trình được thiết kế để chạy trên hệ UNIX sử dụng TCP / IP với giao
diện Socket Berkeley.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Bộ chương trình Proxy được thiết kế cho một số cấu hình firewall, theo các dạng
cơ bản: dual-home gateway, screened host gateway, và screened subnet gateway.
Thành phần Bastion host trong Firewall, đóng vai trò như một người chuyển tiếp
thông tin, ghi nhật ký truyền thông, và cung cấp các dịch vụ, đòi hỏi độ an toàn cao.
Bộ chương trình proxy gồm những chương trình mức ứng dụng (application-level
programs), dùng để thay thế hoặc là thêm vào phần mềm hệ thống. Đối với mỗi dịch vụ,
cần có một phần mềm tương ứng làm nhiệm vụ lọc các bản tin. Trên cơ sở phân tích cấu
trúc và nội dung thông, bản tin này sẽ được cho đi qua hoặc cấm, tuỳ theo chính sách bảo
vệ. Bộ chương trình proxy có những thành phần chính bao gồm:
SMTP Gateway - Proxy server cho dịch vụ SMTP (Simple Mail Tranfer Protocol)
FTP Gateway - Proxy server cho dịch vụ Ftp
Telnet Gateway - Proxy server cho dịch vụ Telnet
HTTP Gateway - Proxy server cho dịch vụ HTTP (World Wide Web)
Rlogin Gateway - Proxy server cho dịch vu rlogin
Plug Gateway - Proxy server cho dịch vụ kết nối server tức thời dùng giao thức TCP
(TCP Plug-Board Connection server)
SOCKS - Proxy server cho các dịch vụ theo chuẩn SOCKS
NETACL - Điều khiển truy nhập mạng dùng cho cac dịch vụ khác
IP filter ? Proxy điều khiển mức IP
SMTP Gateway - Proxy server cho cổng SMTP.
a> Các giải pháp thực hiện:
Với một yêu cầu bảo vệ và kiểm soát hệ thống, có một số phương phát khả thi.
Tuỳ thuộc vào chiến lược và mức độ yêu cầu, có thể chọn một trong các mô hình kết nối
dưới đây:
Kết nối trực tiếp đơn
Kết nối song song
Kết nối gián tiếp
Đối với mỗi mô hình, thiết bị phần cứng và phần mềm là khác nhau, kéo theo chi
phí thực hiện sẽ khác nhau. Tất nhiên khả năng và phạm vi cũng khác nhau. Do khuôn
khổ của giải pháp này là thiết lập Firewall cho một mạng đã có, nên những yếu tố về thiết
bị, phần mềm, đường truyền trong mạng, được xem như đã có và không đề cập đến nữa.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Nếu cần chúng tôi sẽ trình bày trong bản giải pháp về mạng.
Kết nối đơn trực tiếp
Bộ Firewall được đặt giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là
mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài). Tất cả các đường truyền đi
ra hoặc đi và đều phải thông qua Firewall.
9. Cách sử dụng Proxy Server có hiệu quả.
Do các proxy có quy mô bộ nhớ khác nhau và số lượng người đang sử dụng proxy
nhiều-ít khác nhau, Proxy server hoạt động quá tải thì tốc độ truy cập internet của khách
hàng có thể bị chậm. Mặt khác một số website khách hàng có đầy đủ điều kiện nhân thân
để đọc, nghiên cứu nhưng bị tường lửa chặn không truy cập được thì biện pháp đổi proxy
để truy cập là điều cần thiết nhằm đảm bảo công việc.
Do đó người sử dụng có thể chọn proxy server để sử dụng cho riêng mình. Có các
cách chọn lựa cho người sử dụng. Sử dụng proxy mặc định của nhà cung cấp dịch vụ
(internet), trường hợp này người sử dụng không cần điền địa chỉ IP của proxy vào cửa sổ
internet option của trình duyệt trong máy của mình.
Sử dụng proxy server khác (phải trả phí hoặc miễn phí) thì phải điền địa chỉ IP của
proxy server vào cửa sổ internet option của trình duyệt.
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1
Tiểu luận An toàn và bảo mật thông tin - Đề 4
Sinh viên: Nguyễn Thanh Hà - Lớp TK6LC1