Tải bản đầy đủ (.doc) (40 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

Tìm hiểu và triển khai công nghệ bảo mật của Microsoft trên hệ thống mạng cho công ty Media Post

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (495.67 KB, 40 trang )

PHẦN I: MỞ ĐẦU
1.1 Lý do chọn đề tài.
Ngày nay, cùng với sự phát triển mạnh của xã hội thì mạng máy tính đang được sử
dụng rộng rãi nó không chỉ mang lại những thông tin hữu ích cho người dùng mà nó còn
là phương tiện kinh doanh cho các công ty. Nhưng bên cạnh những lợi ích mà mạng máy
tính mang lại thì nó lại luôn tiềm ẩn những mối đe dọa về những xâm nhập trái phép vào
hệ thống mạng. Thử nghĩ xem, bạn sẽ thế nào khi những tài liệu mật trong công ty mà
bạn quản lý hay những ý tưởng thiết kế, những thông tin khách hàng … bị đánh cắp? Đó
là điều mà không ai muốn nhưng câu hỏi đặt ra là làm sao để có thể ngăn chặn những
xâm nhập trái phép đó? Từ những yêu cầu đặt ra thì bảo mật mạng ra đời nhằm giải quyết
những khó khăn đó.
Để giúp cho các công ty đảm bảo an toàn thông tin cũng như tài nguyên, tài liệu
quan trọng một cách tốt nhất thì việc sử dụng các công nghệ bảo mật vào các hệ thống
mạng của công ty là điều cần thiết. Nhưng vấn đề đặt ra là việc lưa chọn công nghệ bảo
mật phù hợp với từng công ty. Vì vậy, nhóm đã thống nhất và quyết định chọn đề tài
“Tìm hiểu và triển khai công nghệ bảo mật của Microsoft trên hệ thống mạng cho
công ty Media Post ”.
Qua quá trình tìm hiểu và nghiên cứu, nhóm được biết có rất nhiều công nghệ bảo
mật mạng với những tính năng khác nhau, nhưng phổ biến và khá tối ưu là ISA Server
với các phiên bản ISA Server 2000, ISA Server 2004, ISA Server 2006 của Microsoft.
ISA Server này có một bề dạy lịch sử về các phiên bản của nó. Qua thời gian nó ngày
càng được nâng cấp để tối ưu hơn. Và phiên bản mới nhất Microsoft đã ra mắt thị trường
là Forefront Threat Management Gateway (TMG) 2010. Phiên bản này là một sự kế thừa
toàn bộ những tính năng mà ISA Server 2006 đã có đồng thời tích hợp thêm một số tính
năng bảo mật vượt trội khác. Từ những ưu điểm mà TMG 2010 mang lại và sự phù hợp
với điều kiện của công ty nên nhóm đã quyết định chọn phần mềm TMG 2010 để triển
khai cho công ty Media Post.


1.2 Mục tiêu nghiên cứu.
- Tìm hiểu các chức năng và cách quản lý trong TMG 2010.


- Ứng dụng các chức năng vào những tình huống yêu cầu đặt ra trong môi trường hệ
thống mạng của công ty Media Post.
1.3 Nhiệm vụ nghiên cứu.
- Tìm hiểu một số cách bảo vệ hệ thống mạng cho doanh nghiệp.
- Tìm hiểu các tính năng kế thừa từ ISA Server 2006 và các tính năng mới vượt trội
trong TMG.
- Cài đặt thành công TMG trên nền Windowns Server 2008 64 bit.
- Nghiên cứu các chức năng và cách quản lý TMG.
- Tìm hiểu hệ thống mạng công ty Media Post và đưa ra hướng ứng dụng TMG vào hệ
thống mạng đó.
1.4 Phương pháp nghiên cứu.
- Phương pháp lý luận: Tham khảo tài liệu trên sách báo, trên các trang web, đặc biệt là
các diễn đàn công nghệ và đọc dịch tài liệu tiếng anh.
- Phương pháp điều tra: Khảo sát hệ thống mạng của công ty Media Post và từ đó đưa ra
các hướng áp dụng TMG vào hệ thống để cải tiến việc quản lý hệ thống mạng.
- Phương pháp xử lý thông tin: Tiếp cận thông tin, phân loại và phân tích thông tin đồng
thời sắp xếp các thông tin một cách logic để tạo điều kiện thuận lợi cho việc triển khai
công nghệ bảo mật cho công ty một cách tốt nhất.
1.5 Ý nghĩa của đề tài.
- Về mặt lý luận: Đề tài là kết quả của nhóm nghiên cứu nhằm củng cố kiến thức đã học
vào thực tế. Đề tài cũng là một tài liệu tham khảo cho tất cả mọi người quan tâm đến
công nghệ bảo mật. TMG hứa hẹn sẽ là một công nghệ được áp dụng rộng rãi trong các
tổ chức doanh nghiệp trong thời gian tới đây.
- Về mặt thực tiễn: Đề tài giúp cho nhóm nghiên cứu hoàn chỉnh kĩ năng nghề nghiệp
sau này của từng thành viên. Nhóm nghiên cứu tin tưởng rằng đề tài nghiên cứu này có
thể đóng góp một phần nào đó để công ty Media Post nâng cấp hệ thống bảo mật của
doanh nghiệp mình.
PHẦN II: CƠ SỞ LÝ THUYẾT
Chương 1: Tổng quan về bảo mật trong hệ thống mạng.



1.1 Khái niệm bảo mật mạng.
Bảo mật mạng là khả năng ngăn chặn và xử lý tất cả các mối đe dọa gây ảnh
hưởng xấu đến hệ thống mạng. Đồng thời luôn đảm bảo cho hệ thống mạng tính tin cậy,
thông tin không thể bị truy nhập bởi những người không có thẩm quyền.
1.2 Phân loại các mối đe dọa đến bảo mật hệ thống mạng.
Mối đe dọa ở bên trong
Thuật ngữ “Mối đe dọa ở bên trong” được sử dụng để mô tả một kiểu tấn công được
thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các
cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối
đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu
bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và
họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để
quy định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên
server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong
thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty.
Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong
khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các
phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập
vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn
giản.
Để đảm bảo những thông tin quan trọng không bị xâm phạm thì không chỉ cần chống
lại sự xâm nhập từ bên ngoài mà còn cần phải bảo mật ngay cả trong nội bộ công ty. Khi
có những thông tin hay tài liệu mà chỉ có một số người nào đó hay một số bộ phận có liên
quan mới được sử dụng thì chúng ta cũng cần phải áp dụng những biện pháp bảo mật để
tránh tình trạng mật cắp dữ liệu do những nhân viên có ý đồ xấu.
Một doanh nghiệp nếu chỉ quan tâm vấn đề mua sắm trang thiết bị và hạ tầng bảo
mật mà quên yếu tố con người, thì dù hệ thống bảo mật có nghiêm ngặt đến mức nào
chăng nữa thì cũng đều có thể bị “xuyên thủng”. Vì vậy, ngoài việc trang bị tường lửa, hạ



tầng mạng bảo mật, doanh nghiệp cũng nên chú trọng vào con người bằng các chính sách
bảo mật thông tin rõ ràng, chặt chẽ. Sự đầu tư phù hợp sẽ giúp mang lại hiệu quả cho sự
an toàn thông tin tại doanh nghiệp.
Mối đe dọa ở bên ngoài
Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng truy cập từ
bên ngoài mạng của công ty và bao gồm tất cả những người không có quyền truy cập vào
mạng bên trong. Thông thường, các kẻ tấn công từ bên ngoài cố gắng từ các server quay
số hoặc các kết nối Internet. Mối đe dọa ở bên ngoài là những gì mà các công ty thường
phải bỏ nhiều hầu hết thời gian và tiền bạc để ngăn ngừa.
Việc đảm bảo an toàn thông tin là điều cần thiết nhưng làm sao cho các công ty có thể
tránh hay hạn chế được những xâm nhập của các hacker vào hệ thống mạng của công ty
thì đòi hỏi phải có một công nghệ bảo mật tốt và thích hợp.
Bạn có thể hình dung một công ty khi có những tài liệu được sử dụng nội bộ hay
những tài liệu quan trọng của công ty mà không có sự bảo vệ, ngăn chặn xâm nhập từ bên
ngoài thì hacker sẽ dễ dàng xâm nhập và lấy đi những tài liệu đó. Và nếu những tài liệu
đó vào tay của những đối thủ cạnh tranh thì hậu quả sẽ ra sao?
Tại Việt Nam, qua nhiều sự kiện như các trang web bị tấn công, dữ liệu bị đánh
cắp,… các doanh nghiệp đã chú ý hơn việc bảo vệ thông tin, bí mật kinh doanh và uy tín
thương hiệu, nhờ đó thị trường sản phẩm bảo mật diễn ra sôi động hơn.
Mối đe dọa không có cấu trúc
Mối đe dọa không có cấu trúc là mối đe dọa phổ biến nhất đối với hệ thống của một
công ty. Các hacker mới vào nghề, thường được gọi là script kiddies, sử dụng các phần
mềm để thu thập thông tin, truy cập hoặc thực hiện một kiểu tấn công Dos vào một hệ
thống của một công ty. Script kiddies tin tưởng vào các phần mềm và kinh nghiệm của
các hacker đi trước.
Khi script kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá
hoại lên các công ty không được chuẩn bị. Trong khi đây chỉ là trò chơi đối với các
kiddie, các công ty thường mất hàng triệu đô la cũng như là sự tin tưởng của cộng đồng.
Nếu một web server của 1 công ty bị tấn công, cộng đồng cho rằng hacker đã phá vỡ



được sự bảo mật của công ty đó, trong khi thật ra các hacker chỉ tấn công được 1 chỗ yếu
của server. Các server Web, FTP, SMTP và một vài server khác chứa các dịch vụ có rất
nhiều lổ hổng để có thể bị tấn công, trong khi các server quan trọng được đặt sau rất
nhiều lớp bảo mật. Cộng đồng thường không hiểu rằng phá vỡ một trang web của một
công ty thì dễ hơn rất nhiều so với việc phá vỡ cơ sở dữ liệu thẻ tín dụng của công ty đó.
Cộng đồng phải tin tưởng rằng một công ty rất giỏi trong việc bảo mật các thông tin riêng
tư của nó.
Mối đe dọa có cấu trúc
Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất phát từ các
tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực hiện tấn công. Các
hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra mối đe dọa này.
Các hacker này biết các gói tin được tạo thành như thế nào và có thể phát triển mã để
khai thác các lỗ hổng trong cấu trúc của giao thức. Họ cũng biết được các biện pháp được
sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ thống IDS và cách chúng phát
hiện ra các hành vi xâm nhập. Họ biết các phương pháp để tránh những cách bảo vệ này.
Trong một vài trường hợp, một cách tấn công có cấu trúc được thực hiện với sự trợ giúp
từ một vài người ở bên trong. Đây gọi là mối đe dọa có cấu trúc ở bên trong. Cấu trúc
hoặc không cấu trúc có thể là mối đe dọa bên ngoài cũng như bên trong.
1.3 Một số phương thức tấn công hệ thống mạng nguy hiểm và phổ biến.
- Phương thức tấn công Scanner
Scanner là một chương trình tự động rà soát và phát hiện những điểm yếu về bảo
mật trên một trạm làm việc cục bộ hoặc trên một trạm ở xa. Với các chức năng này, một
kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện ra lỗ hổng về bảo mật trên
một server ở xa. Các chương trình Scanner thường có một cơ chế chung là rà soát và phát
triển những port TCP/UDP được sử dụng trên một hệ thống cần tấn công từ đó phát hiện
những dịch vụ sử dụng trên hệ thống đó. Sau đó các chương trình Scanner ghi lại những
đáp ứng trên hệ thống ở xa tương ứng với các dịch vụ mà nó phát hiện ra. Dựa vào những



thông tin này, những kẻ tấn công có thể tìm ra những điểm yếu trên hệ thống. Những yếu
tố để một chương trình Scanner có thể hoạt động như sau:
+ Yêu cầu về thiết bị và hệ thống: Một chương trình Scanner có thể hoạt động được nếu
môi trường đó hỗ trợ TCP/IP (bất kể hệ thống là UNIX, máy tính tương thích với IBM,
hoặc dòng máy Macintosh).
+ Hệ thống đó phải kết nối vào Internet.
Tuy nhiên không phải đơn giản để xây dựng một chương trình Scanner, những kẻ phá
hoại cần có kiến thức sâu về TCP/IP, những kiến thức về lập trình C, PERL và một số
ngôn ngữ lập trình shell. Ngoài ra, người lập trình (hoặc người sử dụng) cần có kiến thức
là lập trình socket, phương thức hoạt động của các ứng dụng client/server. Các chương
trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng
phát hiện ra những điểm yếu kém trên một hệ thống mạng. Đối với người quản trị mạng
những thông tin này là hết sức hữu ích và cần thiết; đối với những kẻ phá hoại những
thông tin này sẽ hết sức nguy hiểm.
- Phương thức tấn công Password Cracker
Password Cracker là một chương trình có khả năng giải mã một mật khẩu đã được
mã hóa hoặc có thể vô hiệu hóa chức năng bảo vệ mật khẩu của hệ thống. Để hiểu cách
thức hoạt động của các chương trình bẻ khóa chúng ta cần hiểu cách thức mã hóa để tạo
ra mật khẩu. Hầu hết việc mã hóa mật khẩu được tạo ra từ một phương thức mã hóa. Các
chương trình mã hóa sử dụng các thuật toán mã hóa để mã hóa mật khẩu. Nguyên tắc
hoạt động của chương trình loại này là tạo ra một danh sách các từ và được mã hóa đối
với từng từ. Sau mỗi lần mã hóa, chương trình sẽ so sánh với mật khẩu đã mã hóa cần
phá. Nếu thấy thông tin trùng hợp, quá trình quay lại. Phương thức bẻ khóa này còn gọi
là bruce-force. Yếu tố về thiết bị phần cứng thì trong thực tế các máy tính dùng để bẻ
khóa thường có cấu hình cao và mạnh. Có nhiều trường hợp kẻ bẻ khóa có thể thực hiện
việc bẻ khóa trên một hệ thống phân tán, để giảm bớt được các yêu cầu thiết bị so với làm
tại một máy. Nguyên tắc của một số chương trình bẻ khóa có thể khác nhau. Một vài
chương trình tạo một danh sách các từ giới hạn, áp dụng một số thuật toán mã hóa, từ kết
quả so sánh với password đã mã hóa cần bẻ khóa để tạo ra một danh sách khác theo một



logic của chương trình, cách này tuy không chuẩn tắc nhưng khá nhanh vì dựa vào
nguyên tắc khi đặt mật khẩu người sử dụng thường tuân theo một số quy tắc để thuận tiện
khi sử dụng. Đến giai đoạn cuối cùng, nếu thấy phù hợp với mật khẩu đã được mã hóa,
kẻ phá khóa sẽ có được mật khẩu dạng text thông thường.
- Phương thức tấn công Trojan
Dựa theo truyền thuyết cổ Hy Lạp “Ngựa thành Trojan”, Trojan là một chương
trình chạy không hợp lệ trên một hệ thống với vai trò như một chương trình hợp pháp.
Những chương trình này thực hiện những chức năng mà người sử dụng hệ thống thường
không mong muốn hoặc không hợp pháp. Thông thường, Trojan có thể chạy được là do
các chương trình hợp pháp đã bị thay đổi mã bất hợp pháp. Các chương trình virus là một
loại điển hình của Trojan. Những chương trình virus che giấu các đoạn mã trong các
chương trình sử dụng hợp pháp. Khi những chương trình này được kích hoạt thì những
đoạn mã ẩn dấu sẽ được thực thi để thực hiện một số chức năng mà người sử dụng không
biết. Một định nghĩa chuẩn tắc về các chương trình Trojan như sau: chương trình Trojan
là một chương trình thực hiện một công việc mà người sử dụng không biết trước, giống
như ăn cắp mật khẩu hay copy file mà người sử dụng không nhận thức được. Các tác giả
của các chương trình Trojan được tạo ra dựa trên một kế hoạch. Xét về khía cạnh bảo mật
trên Internet, một chương trình Trojan sẽ thực hiện một trong những công việc sau:
+

Thực hiện một vài chức năng hoặc giúp người lập trình phát hiện những thông tin

quan trọng hoặc thông tin cá nhân trên một hệ thống hoặc một vài thành phần của hệ
thống đó.
+ Che giấu một vài chức năng hoặc giúp người lập trình phát hiện những thông tin quan
trọng hoặc thông tin cá nhân trên một hệ thống hoặc một vài thành phần của hệ thống đó.
Một vài chương trình Trojan có thể thực hiện cả hai chức năng này. Ngoài ra một số
chương trình Trojan còn có thể phá hủy hệ thống bằng cách phá hoại những thông tin trên

ổ đĩa cứng (ví dụ trường hợp của virus Melisa lây qua đường thư điện tử). Các chương
trình Trojan có thể lây lan qua nhiều phương thức, hoạt động trên nhiều môi trường hệ
điều hành khác nhau. Đặc biệt Trojan thường lây lan qua một số dịch vụ phổ biến như
Mail, FTP… hoặc qua các tiện ích, chương trình miễn phí trên mạng Internet. Chương


trình Trojan ảnh hưởng đến các truy cập của khách hàng hoặc tạo ra lỗ hổng bảo mật có
mức độ ảnh hưởng rất nghiêm trọng.
- Phương thức tấn công Sniffer
Đây là một chương trình ứng dụng bắt giữ được tất cả các gói lưu chuyển trên
mạng. Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic.
Tuy nhiên, do một số ứng dụng gửi dữ liệu qua mạng dưới dạng clear text (telnet, FTP,
SMTP, POP3…) nên Sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy
cảm như: username, password, và từ đó có thể truy xuất vào các thành phần khác của
mạng. Khả năng thực hiện Packet Sniffer có thể xảy ra từ trong các segment của mạng
nội bộ, các kết nối RAS hoặc phát sinh trong WAN. Ta có thể cấm packet Sniffer bằng
một số cách như sau:
+ Authentication.
+ Dùng Swich thay vì Bridge hay Hub: hạn chế được các gói tin broadcast trong mạng.
+ Các công cụ Anti-Sniffer: công cụ này phát hiện của packet Sniffer trong mạng.
+

Mã hóa tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó nếu

hacker dùng packet Sniffer thì chỉ bắt được các gói tin đã được mã hóa.
- Phương thức tấn công Mail Relay
Đây là phương pháp phổ biến hiện nay. Email Server nếu cấu hình không chuẩn
hoặc Username/ Password của người sử dụng mail gây ngập mạng, phá hoại hệ thống
email khác. Ngoài ra, với hình thức gắn thêm các đoạn script trong mail hacker có thể
gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ

Database nội bộ hoặc các cuộc tấn công DoS vào một mục tiêu nào đó. Phương pháp
giảm thiểu:
+ Giới hạn dung lương Mail box.
+ Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP
server, đặt password cho SMTP.
+ Sử dụng gateway SMTP riêng.
- Phương thức tấn công hệ thống DNS


DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là
hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều
khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt
động của hệ thống truyền thông trên mạng.
+ Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS.
+ Cài đặt hệ thống IDS Host cho hệ thống DNS.
+ Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
- Phương thức tấn công Man- in- the- middle attack
Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng.
Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tất cả các gói tin
mạng của các công ty khác thuê đường Leased line đến ISP đó để ăn cắp thông tin hoặc
tiếp tục session truy nhập vào mạng riêng của công ty khách hàng. Tấn công dạng này
được thực hiên nhờ một packet Sniffer. Tấn công dạng này có thể hạn chế bằng cách mã
hóa dữ liệu được gửi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã
được mã hóa.
- Phương thức tấn công thăm dò mạng
Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về hệ
thống mạng. Khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập
được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện
bởi các công cụ như DNS queries, ping sweep, hay port scan. Ta không thể ngăn chặn
được hoàn toàn các hoạt động thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và

echo- relay, khi đó có thể chặn được ping sweep, nhưng nó lại khó cho ta khi mạng có sự
cố, cần phải chẩn đoán lỗi do đâu. NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt
động thăm dò xảy ra trong mạng.
- Phương thức tấn công Trust redirection
Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối
với mạng. Ví dụ bên ngoài firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể
lần theo quan hệ đó để tấn công vào bên trong firewall. Có thể giới hạn các tấn công kiểu


này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức
truy nhập nào sẽ được truy nhập vào các tài nguyên nào của mạng.
- Phương thức tấn công Port redirection
Tấn công này là một loại của tấn công Trust exploitation, lợi dụng host đã bị đột
nhập đi qua firewall. Ví dụ một firewall có 3 interface, một host ở outside có truy cập
được một host trên DMZ, nhưng không thể vào được một host ở inside. Host ở DMZ có
thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên
DMZ, họ có thể cài phần mềm trên host của DMZ để bẻ hướng traffic từ host outside đến
host inside. Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server.
HIDS có thể giúp phát hiện được các chương trình lạ hoạt động trên server đó.
- Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong
những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như sendmail,
HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử
dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công web server bằng cách sử
dụng TCP port 80, mail server bằng TCP port 25. Một số cách để hạn chế các tấn công
lớp ứng dụng:
+ Lưu lại logfile, và thường xuyên phân tích logfile.
+ Luôn cập nhật các patch cho hệ điều hành và các ứng dụng.
+ Dùng IDS, có 2 loại IDS: HIDS cài đặt trên mỗi server một agent của HIDS để phát
hiện các tấn công lên server đó. NIDS xem xét tất cả các gói tin trên mạng (collision

domain) khi nó thấy có một gói tin hay một chuỗi các gói tin giống như bị tấn công nó có
thể cảnh báo hay cắt các session đó. Các IDS phát hiện các tấn công bằng cách dùng các
signature. Signature của một tấn công là một profile về loại tấn công đó. Khi IDS phát
hiện thấy traffic giống như một signature nào đó, nó sẽ phát cảnh báo.

Chương 2: Tìm hiểu công nghệ bảo mật Microsoft.


2.1 Bảo mật – một xu hướng tất yếu.
Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá
quan tâm. Khi internet ra đời và phát triển làm cho nhu cầu trao đổi thông tin trở nên cần
thiết. Mục tiêu của việc kết nối internet là làm cho mọi người có thể sử dụng chung
nguồn tài nguyên từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà nguồn tài
nguyên dễ bị phân tán, một điều hiển nhiên là chúng sẽ bị xâm phạm gây mất mát dữ liệu
cũng như các thông tin có giá trị. Càng giao thiệp rộng thì lại càng dễ bị tấn công, đó là
quy luật. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiên. Bảo mật ra đời.
Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực thông tin mà
còn trong nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật trên các hệ
thống thanh toán điện tử và giao dịch trực tuyến
Một nguy cơ trên mạng đều là những mối nguy hiểm tiềm tàng. Từ một lỗ hổng bảo
mật nhỏ của hệ thống, nhưng biết khai thác và lợi dụng với tần suất cao và kỹ thuật hack
điêu luyện cũng có thể trở thành tai họa.
Theo thống kê của tổ chức bảo mật nổi tiếng CERT (Computer Emegancy Response
Team ) thì số vụ tấn công ngày càng tăng. Cụ thể là năm 1989 có khoảng 200 vụ, đến
năm 1991 có khoảng 400 vụ, đến năm 1994 con số này tăng đến mức 1330 vụ và con số
này sẽ tăng mạnh trong thời gian tới.
Như vậy, ta có thể thấy số vụ tấn công ngày càng tăng đến mức chóng mặt. Điều này
cũng dễ hiểu, vì một thực thể luôn tồn tại hai mặt đối lập nhau. Sự phát triển mạnh mẽ
của công nghệ thông tin sẽ làm cho nguy cơ tấn công ăn cắp thông tin hay phá hoại đang
bùng phát mạnh mẽ.

Internet là môi trường rất hỗn loạn. Một thông tin mà bạn truyền dẫn trên mạng rất có
thể sẽ bị xâm phạm. Thậm chí là công khai. Bạn có thể hình dung internet như một phòng
họp, những gì trao đổi trong phòng họp có thể được người khác nghe thấy. Với internet
thì mọi người không nhìn thấy mặt nhau và việc nge thông tin này có thể là hợp pháp hoc
bất hợp pháp.


Tóm lại, internet là nơi không an toàn. Mà không chỉ có internet, các loại mạng khác
như LAN đến một hệ thống máy tính cũng có thể bị xâm phạm. Thậm chí mạng điện
thoại, di động cũng không nằm ngoài cuộc. Vì thế chúng ta nói rằng phạm vi của bảo mật
là rất lớn, nó không chỉ gói gọn trong phạm vi một máy tính của một cơ quan mà là toàn
cầu.
2.2 Lịch sử phát triển công nghệ bảo mật Microsoft .
Công nghệ bảo mật được ra đời và ngày càng hoàn thiện hơn qua các phiên bản
như :
2.2.1 Proxy Server 1.0
Ban đầu, Proxy 1.0 có tên là Catapult, nó được hình thành bởi các thành viên của
nhóm IIS và sau đó được giao lại cho đội nghiên cứu và phát triển (R & D) ở Haifa –
Israel để hoàn thành. Nhóm R&D phát hành Proxy Server 1.0 vào tháng 10 năm 1996 với
khẩu hiệu “The Only Proxy Server Fully Intergrate with Windows NT Server” (“Chỉ
Proxy Server tích hợn đầy đỉ với Windows NT Server”). Mặc dù một số đối thủ cạnh
tranh (Netscape Proxy Server,...) đã có thể chạy trên Windows NT, nhưng không ai trong
số họ sử dụng được đầy đủ các chức năng được cung cấp bởi Windows NT 4.0, IIS và
Proxy Server 1.0.
Phiên bản Proxy Server 1.0 được xây dựng với hai thành phần chính là Web
Proxy và WinSock Proxy. Web Proxy hoạt động như một Internet Services Application
Programming Interface (ISAPI) Plug-in cho IIS, trong khi đó Winsock Proxy lại hoạt
động như một dịch vụ riêng biệt cho Windows NT.
Proxy Server 1.0 có thể được cấu hình cho phép truy cập tới các trang web dựa
vào các máy chủ IIS nội bộ, nhưng không thể xuất bản các trang web nội bộ ra ngoài

Internet. Proxy Server 1.0 kết thúc vào tháng 3 năm 2002.


Hình 1.1. Cấu trúc chức năng Proxy Server 1.0
 Yêu cầu để cài đặt Proxy Server 1.0:
- Windows NT version 4.0 (x86 hoặc Alpha) SP1
- Internet Information Services 2.0
- IPv4 và IPX
 Những tính năng chính của Proxy Server 1.0:
- HTTP 1.0 CERN Proxy (HTTP, HTTPS, FTP, Gopher)
- HTTP 1.0 Web Plushing (chỉ dùng cho Local host)
- Web Content Caching
- Packet Filters
 Winsock Proxy Clients:
- Windows 3.0, 3.1, 3.11
- Windows NT 4.0
- Windows 95
2.2.2 Proxy Server 2.0


Nối tiếp sự ra đời của Proxy Server 1.0 là phiên bản Proxy Server 2.0 với tên gọi ban đầu
là Catapult 2, được phát hành bởi nhóm Haifa R&D tháng 12 năm 1997. Mặc dù chỉ hơn
một năm sau khi Proxy 1.0 phát hành, phiên bản mới này đã có những cải tiến một cách
rõ ràng: tích hợp thêm các tính năng mới, cải thiện hiệu suất và bảo mật

Hình 1.2. Cấu trúc chức năng Proxy Server 2.0
 Yêu cầu cài đặt của Proxy Server 2.0:
- Windows NT Version 4.0 (x86 hoặc Alpha) SP3
- Internet Information Service 3.0
- IPv4 và IPX

 Các tính năng mới trong Proxy Server 2.0 so với Proxy Server 1.0:
- HTTP 1.1 (RFC 2616)
- Distributed Web Content Caching (CARP)
- Non-local Web Plushing
- Server Publishing


- Cấu hình Backup and Restore
- Proxy arrays
- SOCKS 4.3a Proxy
- WPAD Script
 Hỗ trợ Winsock Proxy Clients:
- Windows 3.0, 3.1, 3.11
- Windows NT 4.0
- Windows 95
Mặc dù Proxy Server 2.0 ban đầu chỉ hỗ trợ trên Windows NT 4.0, một bản update
cho phép Proxy Server 2.0 cài đặt trên Windows 2000 đã được phát hành trong năm
1999. Bản Update này cho phép Proxy Server 2.0 triển khai tận dụng các lợi thế về bảo
mật và mạng của Windows Server 2000. Proxy Server 2.0 kết thúc tháng 12 năm 2004
2.2.3 ISA Server 2000
Ban đầu ISA Server 2000 có tên là Comet (Sao chổi), được phát hành bởi nhóm R&D
trong tháng 12 năm 2000. Một trong những thay đổi lớn nhất từ Proxy Server tới ISA
Server là sự thoát khỏi sự phụ thuộc vào IIS cho các chức năng Web Proxy. Tất cả các
chức năng Proxy đã được chứa hoàn toàn trong một dịch vụ mới gọi là Web Proxy, một
cách gọi không chính xác hay được dung là Proxy 3, ISA Server 2000 chứa nhiều hơn
giao thức ứng dụng và để thực hiện thông qua giao thông giữa mạng bên trong và mạng
Internet.
ISA Server 2000 là sản phẩm proxy/firewall được tích hợp trong Small Business
Server 2000 (SBS) phiên bản Enterprise và được tích hợp trong phiên bản SBS Enterprise
2003. ISA Server 2000 được hỗ trợ mở rộng để có thể hoạt động trên Windows Server

2003 vào tháng 4 năm 2006 nên lợi dụng được các ưu điểm và các tính năng bảo mật của
Windows Server 2003. Việc hỗ trợ này đã kết thúc hoàn toàn vào tháng 5 năm 2011.


Hình 1.3. Cấu trúc chức năng ISA 2000
 Yêu cầu cài đặt:
- Windows Server 2000 (chỉ cài đặt trên bản x86).
- Chỉ sử dụng IPv4.
 Những thay đổi so với Proxy Server 2.0:
- Có hai phiên bản : Standard và Enterprise.
- Cấu hình phiên bản Enterprise lưu trữ trên Active Directory.
- Kiểm soát băng thông.
- IPX không còn được hỗ trợ.
- IIS không còn cần thiêt.
- H323 Gatekeeper.
- SMTP Message Screener.
- Kiểm tra tầng ứng dụng thông qua Application Filter và Web Filter.
- Winsock Proxy Client thay đổi thành Firewall Client


 Hỗ trợ Firewall Client:
- Windows NT 4.0.
- Windows 95, 98, phiên bản Millennium.
- Windows Server 2000.
Windows XP.
2.2.4 ISA Server 2000 SP1
Để hỗ trợ cung cấp cho việc triển khai các Exchange Client đang nổi lên trên nền
Internet như Outlook Web Access, nhóm ISA Sustained Engineering (SE) đã quyết định
tạo ra một tiện ích ISA Server 2000 để tăng tính năng bảo mật bởi ISA Server và cung
cấp chính sách truy cập Exchange client dễ dàng hơn cho các nhà quản trị. Fureture Pack

đã được phát hành trong tháng 2 năm 2003 bao gồm những chức năng bổ sung cho ISA
Server 2000 như sau:
- URLScan: Cùng với tiện ích ISAPI đã nghĩ ra cho IIS đã thêm vào ISA Web
Proxy Filter để cung cấp bảo mật HTTP lớn hơn cho ISA Server Web Publishing
- SecureID Authentication: Bộ lọc này cung cấp chứng thực hai yếu tố mạnh mẽ
(Licensed từ RSA Sercurity, Inc) cho việc xuất bản các trang web
- Enhanced SMTP Filter: Bộ lọc có khả năng quét nội dung bên trong của những
email không được mã hóa trước khi nó được chuyển vào Mail Server của mạng nội bộ.
- Enhanced RPC Filter: Cung cấp khả năng bảo mật việc xuất bản Exchange RPC
(MAPI). Bộ lọc này cung cấp một phương thức an toàn cho phép truy cập tới Exchange
RPC email trong khi đồng thời ngăn chặn các virus Blaster.
- Outlook Web Access (OWA) Publishing Wizard: cung cấp cơ chế xuất bản web
dễ dàng hơn cho các dịch vụ Exchange OWA
Link Translator: Cung cấp cho nhà quản trị một phương tiện có thể thay đổi các
siêu liên kết trong các trang web và các kịch bản liên quan đến các chức năng bên ngoài
khác của mạng nội bộ
2.2.5 ISA Server 2004
Tên ban đầu của ISA Server 2004 là Stingray, được phát triển bởi nhóm Haifa R&D gồm
hai phiên bản Standard 6/2004 và Enterprise 1/2005


Hình 1.4. Cấu trúc chức năng ISA Server 2004 và 2006
 Yêu cầu cài đặt:
- Windows Server 2000 (Standard)
- Windows Server 2003 (Standard hoặc Enterprise)
- TCP/IPv4
 Những thay đổi so với ISA Server 2000 trở đi:
- Cấu hình phiên bản Enterprise được lưu trữ trong Active Directory Application
-


Mode (ADAM)
Chính sách giao thông được ưu tiên từ trên xuống
Kết nối giới hạn
Kết nối kiểm định các giao thức phổ biến
Cơ chế đăng nhập và truy vấn phiên
MSDE đăng nhập mặc định
Mạng đa bảo vệ
VPN


- Chỉ một dịch vụ giao thức – tất cả những bộ lọc Web và bộ lọc ứng dụng đều
chạy trong dịch vụ firewall
- Cài đặt và Update được cung cấp bởi Microsoft Installer (MSI)
- Gopher đã được giảm từ giao thức thiết lập CERN proxy
 Hỗ trợ Firewall Clients:
- Phiên bản Windows 98 Second
- Phiên bản Windows Millennium
- Windows XP
- Windows 2000
- Windows 2003
ISA Server 2004 đã được tích hợp sẵn trong SBS 2003 phiên bản Enterprise cho
người dùng như một phần của SBS 2003 SP1. Sự kiên này đánh dấu các sản phẩm phát
hành cuối cùng của ISA Server cho SBS.
2.2.6 ISA Server 2004 SP2
Được ra đời tháng 2 năm 2006, ISA Server 2004 SP2 chú trọng về việc cải thiện tốc
độ tiêu thụ băng thông hiệu quả. Tất cả những bổ sung đã được xây dựng đặc biệt cho
giao thông HTTP được xử lý bởi các Web Proxy.
- DiffServ-based QoS (RFC 2745): Mặc dù cơ kiểm soát băng thông được cung
cấp trong ISA 2000 đã giảm xuống với ISA 2004, nó được thay thế bởi sự hỗ trợ cho
DifferentiatedServices (DiffServ), một phương pháp chuẩn cho việc ưu tiên giao thông.

Vì do lượng giao thông HTTP đại diện cho phần lớn các giao thông xử lý bởi ISA Server,
thêm vào DiffServ ưu tiên cho giao thông HTTP bởi các bộ lọc Web Proxy nên có thể
hợp tác với các mạng trong sự ưu tiên giao thông theo ý đồ thiết kế của nhóm quản trị.
BITS Caching: Background Intelligent Transfer Service (BITS) là một phương thức
quản lý vận chuyển HTTP mà cho phép các cặp Client/Server có thể trao đổi những bưu
kiện dữ liệu lớn trong những những phần nhỏ. Điều này lần đầu tiên được giới thiệu trong
Windows 2000, và được sử dụng rộng rãi cho Windows và cơ chế Microsoft Update. ISA
Server đã được cập nhật để hỗ trợ cơ chế chuyển giao,cung cấp mở rộng bộ nhớ cache
cho Windows và Microsoft Update như WSUS và chuyển gói SMS, điều này cũng làm
cho BITS được sử dụng rộng rãi hơn.
HTTP Compression: Phần lớn các nội dung được phân phối bởi HTTP đều dựa
trên văn bản và văn bản thì có độ nén rất cao, dựa trên kết quả đó việc sử dụng băng


thông có thể được cải tiến bởi việc nén nội dung trước khi đưa nó lên mạng, ISA Server
2004 SP2 dược tích hợp thêm bộ nén Gzip để thực hiện mục tiêu này.
2.2.7 ISA Server SP3
Tiếp tục phát triển các gói dịch vụ tập chung bắt đầu từ ISA Server 2004 SP2 và tiếp tục
hỗ trợ cho các mục tiêu làm cho sản phẩm dễ dàng quản lý hơn và khắc phục các sự cố
ISA Server SP3 có 3 cải tiến chủ yếu:
- Troubleshooting Context: Trong giao diện điều khiển của ISA Server 2004
(MMC) đã được thay đổi để chứa một phần mới gọi là Troublshooting, Phần này được
thực hiện những bổ sung mới có sẵn từ một nơi duy nhất để thực hiện nhiệm vụ đơn giản
này.
- Debug logging: Vì mức chi tiế yêu cầu cho việc xử lý sự cố hiếm khi được yêu
cầu hay mong muốn có trong bản ghi hàng ngày nên một loại nhật ký Windows mới đã
được hỗ trợ chi tiết đăng nhập. Khi được kích hoạt, ISA Server sẽ lưu lại tiến trình từng
bước một cách chi tiết về mỗi gói tin được xử lý trong khi đăng nhập được kích hoạt.
ISA Best Practices Analyzer (ISABPA): Khó khăn lớn nhất với các nhà quản trị
mạng là việc xác định những tác động cần thực hiện đối với hệ thống và những kịch bản

thực hiện. Để thực hiện nhiệm vụ này, nhóm ISA SE đã cùng nhóm Exchange xây dựng
một công cụ BPA đặc biệt cho ISA Server. Công cụ này giúp cho các quản trị ISA xác
định các lỗi cấu hình thông thường hoặc các vấn đề về triển khai ISA Server.
2.2.8 ISA Server 2006
Ban đầu, ISA Server 2006 có tên mã là Wolverine và dự định là một bản nâng cấp
cho ISA Server 2004. Cũng được phát hành bởi nhóm Haifa R&D vào tháng 7 năm 2006.
Xây dựng trên mô hình mới được giới thiệu trong ISA Server 2004 và bao gồm tất cả các
chức năng của ISA Server 2004 SP2. ISA Server 2006 được biết đến là một sản phẩm có
nhiều chức năng và an toàn hơn.
 Yêu cầu cài đặt:
- Windows Server 2003 SP1
- Active Directory Application Mode (Phiên bản Enterprise)
- TCP/IPv4
 Những thay đổi so với ISA Server 2004 SP2:
- LDAP cho Web Publishing
- Nhiều tùy chọn xác thực: NTLM, Kerberos Constrained Delegation (KCD)


- Xác thực RADIUS One – Time – Password (OTP)
- Nâng cao xác nhận chứng thực
- Mạng đa bảo vệ
- Xuất bản Web farm
 Hỗ trợ Firewall Client:
- Windows phiên bản Millennium
- Windows XP
- Windows 2000
Windows 2003.
2.2.9 ISA Server 2006 SP1
Những tính năng được bổ sung:
- Web Pulishing Test button: Hầu hết các lỗi trong cấu hình ISA sinh ra trong việc

xây dựng các Web Publishing rules, một nút mới được thêm vào hộp thoại Properties cho
mỗi Web Publishing rule. Nút này mô phỏng cơ bản các yêu cầu HTTP đến máy chủ theo
quy định trong luật và cung cấp các bản báo cáo thành công hay thất bại và chi tiết cho
bất kỳ lỗi nào ISA Server gặp.
- Traffic Simulator: Việc phân tích giao thông của các ứng dụng là rất khó khăn
khi Client và Servercuối cùng vẫn hoạt động tốt. Nếu chúng gặp trục trặc gì đó thì việc
phân tích sẽ vô cùng khó khăn. Đây là lý do ra đời của tính năng “Giả lập giao thông”.
Nó cho phép kiểm tra phản ứng của ISA đối với giao thông mạng.
- Change Tracking: Change Tracking đã được tích hợp thêm để cung cấp cho quản
trị ISA một công cụ để theo dõi những cấu hình đã được thay đổi trong thời gian gần khi
vấn đề được quan sát thấy.
- Diagnostic Logging Query: Việc gỡ lỗi đăng nhập vào dịch vụ ISA Server 2004
SP3 cung cấp một công cụ có thể truy vấn các bản ghi cho các dữ liệu liên quan. Việc
này được thực hiện một cách thủ công, không có trong giao diện quản lý của ISA Server.
Với ISA Server 2006 nó đã được cải thiện trong phiên bản ISA Server SP1.
2.2.10 TMG
Tên ban đầu của TMG MBE là Nitrogen, tiếp tục kế thừa những gì đã có trong ISA
Server 2006 và thêm vào những thay đổi đáng kể trong kiến trúc, phát hiện giao thông và
điều khiển giao thông ở tất cả các lớp. Chức năng lọc gói mới Kernel-mode phối hợp với
Windows Server 2008 Firewall và (NDIS) để cung cấp bộ lọc gói và quản lý giao thông


cho các Ethernet Frame. Nhận thức tầng ứng dụng dựa trên HTTP hiện nay chứa nhiều
phần mềm độc hại và giao diện người dùng đã được bố trí lại để đơn giản hóa việc quản
lý. Trọng TMG MBE thay cho việc sử dụng MSDE SQL là việc sử dụng Server Express
2005 và ISA Report được thay thế bằng SQL Reporting Services, cung cấp cho các quản
trị viên khả năng báo cáo gần như vô hạn.

Hình 1.5. Cấu trúc chức năng TMG MBE
 Yêu cầu cài đặt:

- Windows Server 2008 (x64)
- Active Directory Appication mode (phiên bản Enterprise)
- IPv4, IPv6
 Những thay đổi đối với ISA Server 2006:
- Đăng ký Windows Firewall
- Lọc gói tin mức NDIS
- MSDE thay thế cho SQL 2005 Express


- Báo cáo được tạo ra nhờ SQL Server 2005 Reporting Services
- HTTP Malware Inspection Filter
- Cập nhật chứ ký Malware thông qua Microsoft Updates hoặc WSUS/SMS cục
bộ.
- VPN dựa trên SSTP thông qua Windows 2008 RRAS
- Hỗ trợ cho NAP
 Hỗ trợ Firewall Client:
- Windows XP
- Windows 2003
- Windows Vista
- Windows 2008
Dưới đây là sự so sánh các tính năng của ISA Server 2006, TMG MBE và TMG
2010:

Hình1.6. Bảng so sánh các tính năng giữ ISA 2006, TMG MBE và TMG 2010
Chương 2: Công nghệ bảo mật TMG
2.1 Filewall
2.1.1 Tổng quan về Filewall.


Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn

chặn, hạn chế hoả hoạn.
Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ
thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ
cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong
muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ
mạng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).
2.1.2 Chức năng chính của Firewall.
FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên
ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả
những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong.
FireWall kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế
điều khiển dòng thông tin giữa mạng bên trong Intranet và Internet. Cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet ).
Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet vao Internet ). Theo dõi
luồng dữ liệu mạng giữa Intranet và Internet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ
truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội
dung thông tin di chuyển trên mạng
2.1.3 Các thành phần của FireWall
Một FireWall bao gồm một hay nhiều thành phần sau :
+ Bộ lọc packet (packet- filtering router).
+ Cổng ứng dụng (Application-level gateway hay proxy server).
+ Cổng mạch (Circuite level gateway).
2.1.4 Ưu điểm FireWall
Đa số các hệ thống firewall đều sử dụng bộ lọc packer. Một trong những ưu điểm
của phương pháp dùng bộ lọc packer là chi phí thấp vì cơ chế lọc packer đã được bao
gồm trong mỗi phần mền router. Ngoài ra bộ lọc packer là trong suốt đối với người sử
dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.


2.1.5 Nhược điểm FireWall

Việc định nghĩa các chế độ lọc packer là một việc khá phức tạp, đòi hỏi người
quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packer càng lớn,
các luật về lọc càng trở lên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc
dựa trên header và packer, rõ ràng là bộ loc packer không kiểm soát được nội dung thông
tin của packer. Các packer chuyển qua vẫn có thể mang theo những hành động với ý đồ
ăn cắp thông tn hay phá hoại của kẻ xấu.
Ví dụ trong thực tế: Firewall không đủ thông minh như con người để có thể đọc
hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể
ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác
định rõ ràng. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển
qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách
để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall.
2.2 Proxy
2.2.1 Khái niệm cơ bản về proxy.
Proxy cung cấp cho người sử dụng truy xuất internet với những host đơn. Những
proxy server phục vụ những nghi thức đặt biệt hoặc một tập những nghi thức thực thi trên
dual_homed host hoặc basion host. Những chương trình client của người sử dụng sẽ qua
trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp. Proxy
server xác định những yêu cầu từ phía client và quyết định đáp ứng hay không đáp ứng,
nếu yêu cầu được đáp ứng, proxy server sẽ kết nối tới server thật thay cho client và tiếp
tục chuyển tiếp đến những yêu cầu từ client đến server, cũng như đáp ứng những yêu cầu
của server đến client.
Vì vậy proxy server đóng vai trò như là cầu nối trung gian giữa server và client (vì
vậy có thể ví proxy server giống như là một đường hầm tạo ra giữa client, ở đây được coi
là máy tính người sử dụng, và server được xem là web server hoặc chat server …. đi
xuyên qua server ISP)
2.2.2 Sự cần thiết của Proxy.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×