Tải bản đầy đủ (.pdf) (18 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Báo cáo bài tập lớn môn an ninh mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (766.85 KB, 18 trang )

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN VÀ
TRUYỀN THÔNG

Báo Cáo Bài Tập Lớn
Đề Tài:Firewall

và các kiến trúc.

Giảng Viên Hướng Dẫn : PGS.Nguyễn Linh Giang
Sinh Viên :

Trương Văn Tam

:

20122370

Hoàng Hữu Hợi

:

20121772

Nguyễn Huy Lăng

:

20121966

Phan Thị Thùy Dung :



20135239

Hà Nội,12 tháng 11 năm 2015

1


MỤC LỤC
CHƯƠNG I: TỔNG QUAN VỀ TƯỜNG LỬA............................................. 3
I. KHÁI NIỆM................................................................................................. 3
II. CÁC CHỨC NĂNG CỦA FIREWALL ...................................................... 3
III. NHIỆM VỤ CỦA FIREWALL ................................................................... 4
IV. PHÂN LOẠI FIREWALL ........................................................................... 5
1. Firewall mềm ............................................................................................... 5
2. Firewall cứng ............................................................................................... 5
V. NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL ....................................... 5
CHƯƠNG II: CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL ................. 7
I. BỘ LỌC GÓI ............................................................................................... 7
1. Nguyên lý hoạt động .................................................................................... 7
2. Ưu Điểm của bộ lọc gói. .............................................................................. 7
3. Nhược Điểm của bộ lọc gói ......................................................................... 7
II. CỔNG ỨNG DỤNG .................................................................................... 8
1. Nguyên lý hoạt động .................................................................................... 8
2. Ưu Điểm của cổng ứng dụng ....................................................................... 9
3. Nhược điểm ….............................................................................................9
III. CỔNG VÒNG .............................................................................................. 9
CHƯƠNG III: NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL ................. 10
I. DUAL-HOMED HOST ............................................................................. 10
II. KIẾN TRÚC SCREENED HOST ............................................................. 11

III. KIẾN TRÚC SCREENED SUBNET HOST............................................. 13
IV. SỬ DỤNG NHIỀU BASTION HOST ...................................................... 15
V. KIẾN TRÚC GHÉP CHUNG ROUTER TRONG VÀ ROUTER
NGOÀI……………………………………………………………………….17
VI. KIẾN TRÚC GHÉP CHUNG BASITION HOST VÀ ROUTER
NGOÀI……………………………………………………………………….18

2


CHƯƠNG I:
I.

TỔNG QUAN VỀ TƯỜNG LỬA

KHÁI NIỆM

 Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự
truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn
chế sự xâm nhập của một số truy cập không mong muốn vào hệ thống.

Hình 1: Mô hình tường lửa

II.

CÁC CHỨC NĂNG CỦA FIREWALL
 Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet
và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet.
 Cho phép hoặc cấm các dịch vụ truy cập ra ngoài.

 Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.
 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
 Kiểm soát địa chỉ truy nhập, cấm hoặc cho phép địa chỉ truy nhập.
 Kiểm soát người dùng và việc truy cập của người dùng.
 Kiểm soát nội dung thông tin lưu chuyển trên mạng.
 Khi Firewall hoạt động, nó sẽ khảo sát tất cả các luồng lưu lượng giữa hai
mạng để xem luồng lưu lượng này có đạt chuẩn hay không. Nếu đạt, nó
được định tuyến giữa các mạng, ngược lại, lưu lượng sẽ bị hủy.
 Bộ lọc của Firewall có khả năng lọc cả lưu lượng ra lẫn lưu lượng vào. Nó
cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên bên
trong mạng.
 Firewall có thể được sử dụng để ghi lại tất cả các cố gắng truy nhập vào
mạng riêng và đưa ra cảnh báo kịp thời đối với những thâm nhập trái phép.
 Firewall có thể lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số
cổng của chúng, đây được gọi là lọc địa chỉ. Firewall cũng có thể lọc các
loại lưu lượng đặc biệt của mạng và được gọi là lọc giao thức.
 Một số Firewall có chức năng cao cấp như: đánh lừa được Hacker, làm cho
Hacker nhầm tưởng rằng đã phá vỡ được hệ thống an toàn nhưng về cơ
3


bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo
một hướng nhất định nhằm để Hacker tin rằng họ đã vào được một phần
của hệ thống và có thể truy cập xa hơn, các họat động của kẻ tấn công có
thể được ghi lại và theo dõi.
III.

NHIỆM VỤ CỦA FIREWALL

1. Bảo vệ thông tin:

 Bảo vệ các dữ liệu quan trọng trong hệ thống mạng nội bộ.
 Bảo vệ tài nguyên hệ thống.
2. Phòng thủ các cuộc tấn công:
 Ngoài việc bảo vệ các thông tin từ bên trong hệ thống, Firewall còn có thể
chống lại các cuộc tấn công từ bên ngoài vào như:
 Hacker thường sử dụng một số chương trình có khả năng dò tìm các thông
tin về hệ thống của bạn như tài khoản và password đăng nhập. Firewall có
khả năng phát hiện và ngăn chặn kịp thời các tấn công theo kiểu tấn công
này.
 Firewall cũng có khả năng phát hiện và ngăn chặn các chương trình Sniff
(Chương trình có khả năng chụp lại các gói tin khi nó được truyền đi trên
mạng) mà Hacker thường sử dụng để lấy các thông tin đang được truyền
đi trên mạng.
 Ngoài ra, Firewall còn có nhiều chức năng kiểm tra, lọc các lưu lượng
vào/ra hệ thống, bảo vệ an toàn các thông tin từ bên trong và ngăn chặn
các cố gắng thâm nhập từ bên ngoài vào hệ thống.

4


IV.

PHÂN LOẠI FIREWALL

1. Firewall mềm
Đặc điểm:
 Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
 Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
 Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ
khóa).

 Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
2. Firewall cứng
Đặc điểm:
 Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng,
thêm quy tắc như firewall mềm)
 Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và
tầng Transport)
 Firewall cứng không thể kiểm tra được nột dung của gói tin.
 Ví dụ Firewall cứng: NAT (Network Address Translate).
V.

NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL

 Khi một gói tin được chuyển tải trên mạng, nó được chia nhỏ thành các gói
(packet). Mỗi gói sẽ được gán một địa chỉ để có thể đến đích, sau đó được
nhận dạng và tái lập lại ở đích. Các địa chỉ được lưu trong phần đầu của gói
tin (header) và Firewall sẽ dựa vào Header của gói tin để lọc.
 Bộ lọc gói tin có khả năng cho phép hay từ chối mỗi gói tin mà nó nhận
được. Nó kiểm tra toàn bộ đọan dữ liệu để quyết định xem đoạn dữ liệu đó
có thỏa mãn một trong số các luật của lọc gói tin hay không. Các luật lọc
gói tin này sẽ dựa trên các thông tin ở đầu mỗi gói tin (Header), Header của
gói tin bao gồm các thông tin như sau:
 Version: Phiên bản của IP, hiện tại chúng ta đang sử dụng IP phiên bản 4
(Ipv4).
 IP Header Length: Độ dài của IP header là 32 bits.
 Type of Service (ToS): Loại dịch vụ.
 Size of Datagram: Kích thước của gói tin được tính bằng byte, bao gồm
kích thước của Header và kích thước của Data (dữ liệu).
 Identification: Dấu hiện nhận dạng, trường hợp này được sử dụng để lắp
ghép các phân đoạn khi tất cả các gói tin đã đến đích.

5


 Flag: Là một trong ba cờ được sử dụng để điều khiển, định tuyến cho một
gói tin và báo cho người nhận biết gói tin có bao nhiêu phần.
 Time To Live: Chỉ ra số lượng Hops hoặc liên kết mà gói tin có thể đi qua
và được sử dụng để tránh quá trình lặp lại của gói tin (tránh cho gói tin
chạy vô hạn).
 Protocol: Giao thức truyền tin (TCP, UDP, ICMP, …
 Header Checksum: Mục này được sử dụng để kiểm tra xem tổng số gói tin
mà người gởi có bằng tổng số gói tin mà người nhận nhận được không.
Nếu không bằng nhau, nó sẽ báo lỗi và yêu cầu người gửi gửi lại (nếu sử
dụng giao thức TCP); ngược lại, nó sẽ hủy gói tin nếu sử dụng giao thức
UDP.
 Source Address: Địa chỉ nơi xuất phát.
 Destination Address: Địa chỉ nơi nhận.
 Source port: Cổng nguồn.
 Destination port: Cổng đích.
 Options: Tùy chọn này không được sử dụng.
 Nếu gói tin thỏa các luật đã được thiết lập trước của Firewall, gói tin đó
được chuyển qua, ngược lại, gói tin sẽ bị hủy. Việc kiểm soát các cổng sẽ
cho phép Firewall kiểm soát một số loại kết nối nhất định mới được vào
mạng cục bộ.
 Do việc kiểm tra dựa trên Header của các gói tin nên bộ lọc không kiểm
soát được nội dung thông tin của gói tin đó. Vì vậy các gói tin chuyển qua
vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá
hoại của Hacker.

6



CHƯƠNG II: CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL
I.

BỘ LỌC GÓI

1. Nguyên lý hoạt động
 Bộ Packet filtering router của Firewall hoạt động dựa trên giao thức
TCP/IP và dựa theo thuật toán băm các dữ liệu nhận được từ các kho dữ
liệu trên mạng thành các gói dữ liệu (data packets) rồi gán cho các paket
này những địa chỉ để có thể nhận dạng, tái lập lại ở đích đến, do đó các loại
Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ
của chúng.
 Bộ lọc packet có quyền cho phép hay từ chối gói tin mà nó nhận. Nó
checkout toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu này có thoả
mãn một trong số các luật lệ của bộ lọc packet này hay không. Các luật lệ
của bộ lọc packet này được dựa trên các thông tin ở mào đầu mỗi packet
(packet header sau đó upload lên mạng. Đó là:
 Địa chỉ IP nơi xuất phát ( IP Source address).
 Địa chỉ IP nơi nhận (IP Destination address).
 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel).
 Cổng TCP/UDP nơi xuất phát (TCP/UDP source port).
 Cổng TCP/UDP nơi nhận (TCP/UDP destination port).
 Dạng thông báo ICMP ( ICMP message type).
 Giao diện packet đến ( incomming interface of packet).
 Giao diện packet đi ( outcomming interface of packet).
 Nếu luật lệ lọc packet đạt yêu cầu thì packet được phép qua Firewall. Nếu
không packet sẽ bị drop. Nhờ vậy mà Firewall có thể ngăn cản được các
kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc block việc
cố gắng kết nối vào hệ thống mạng nội bộ từ những địa chỉ khả nghi. Hơn

nữa, việc kiểm soát các port làm cho Firewall có khả năng chỉ cho phép
một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có
những dịch vụ như telnet, SMTP, FTP… mới được phép hoạt động.
2. Ưu Điểm của bộ lọc gói.
 Đa số các hệ thống cấu trúc Firewall đều sử dụng bộ lọc packet. Một trong
những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ
chế lọc packet đã được bao gồm trong mỗi phần mềm router.
 Ngoài ra, bộ lọc packet là trong suốt đối với người dùng và các ứng dụng,
vì vậy nó không yêu cầu các buổi training đặc biệt nào cả.
3. Nhược Điểm của bộ lọc gói
7


 Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏi
người quản trị mạng cần có hiểu sâu vể các dịch vụ Internet, các dạng
format packet header, tác dụng của mỗi trường. Khi đòi hỏi lọc càng lớn,
các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản trị và điều
khiển.
 Firewall làm việc dựa trên header nên bộ lọc không thể kiểm soát được gói
tin, đơn giản là sẽ dễ bị lỗ hổng và bị tấn công.
II.

CỔNG ỨNG DỤNG
 Cổng ứng dụng là một loại Firewall được thiết kế để tăng cường chức năng
kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống
mạng

1. Nguyên lý hoạt động
 Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy
service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng.

Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào
đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển
thông tin qua Firewall. Ngoài ra, proxy code có thể được định cấu hình để
hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là
chấp nhận được trong khi từ chối những đặc điểm khác.
 Một cổng ứng dụng thường được coi như là một pháo đài (bastion host)
bởi vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài.
Những biện pháp đảm bảo an ninh của một bastion host là:
 Bastion host luôn chạy các version an toàn của các phần mềm hệ thống.Các
phiên bản an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn
công vào phần mềm hệ thống, cũng như là đảm bảo sự tích hợp Firewall.
 Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài
đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt,
nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng
cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt
trên bastion host.
 Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như
user password hay smart card. Mỗi proxy được đặt cấu hình để cho phép
truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ
lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên
toàn hệ thống.

8


 Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao
thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có
ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
 Mỗi proxy đều độc lập với các proxy khác trên bastion host. Điều này giúp
dễ dàng cài đặt và thao tác.

2. Ưu Điểm của cổng ứng dụng
 Toàn quyền cho người quản trị Khả năng chứng thực khá tốt, và nó có nhật
ký ghi chép lại thông tin về truy nhập hệ thống.
 So với bộ lọc packet thì nó dễ dàng cấu hình và kiểm tra hơn.
3. Nhược điểm
 Mất thời gian và khó khăn để thao tác.
III.

CỔNG VÒNG
 Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng
ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà
không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
 Cổng vòng làm việc như một sợi dây,copy các byte liên kết bên trong
(inside connection) và các kết nối bên ngoài (outside connection).
 Firewall xuất hiện dùng để che giấu thông tin nội bộ. cổng vòng thường
được sử dụng cho những kết nối ra ngoài, nơi người dùng bên trong được
tin tưởng.
 Ưu điểm lớn nhất là một bastion host là một hỗn hợp cung cấp Cổng ứng
dụng cho kết nối Inbound và cổng vòng cho kết nối Outbound. Điều này
làm cho người dùng dễ sử dụng các ứng dụng những vẫn đảm bào tính bào
mật.

9


CHƯƠNG III: NHỮNG THIẾT KẾ CƠ BẢN CỦA FIREWALL
I.

DUAL-HOMED HOST


Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính dual
–homed host.
Một mấy tính được gọi là dual-homed host nếu nó có ít nhất hai network interface,
có nghĩa là máy đó có gắn 2 card mạng giao tiếp với hai mạng khác nhau, do dó
máy tính đóng vai trò là router mềm .Kiến trúc dual-homed host rất đơn giản ,
máy dual-homed host ở giữa một bên được kết nối internet và bên còn lại kết nối
với mạng nội bộ (mạng cần được bảo vệ ).

Hình 2: Mô hình kiến trúc dual-homed host

Dual- Homed host chỉ có thể cung cấp các dịch vụ bằng chính sách ủy quyền
(proxy) hoặc cho phép user đăng nhập trực tiếp vào dual-homed host. Mọi giao
tiếp từ một host trong nội bộ và host bên ngoài đều bị cấm, dual-homed host là
nơi giao tiếp duy nhất.
1. Ưu điểm của Dual-homed host:
 Cài đặt dễ dàng , không yêu cầu phần cứng hoặc phần mềm đặc biệt .
 Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin , do đó
trên các hệ điều hành linux chỉ cần cấu hình lại hệ điều hành nhân là đủ .

10


2. Nhược điểm của Dual-homed host:
 Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng
như phần mềm mới được tung ra thị trường.
 Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản
thân của dual-homed host, và khi dual- homed host bị đột nhập nó sẽ trở
thành nơi lý tưởng để tấn công vào mạng nội bộ, người tấn công (attacker)
sẽ thấy được toàn bộ lưu lượng trên mạng .
3. Đánh giá về kiến trúc dual-homed host:

Để cung cấp dịch vụ cho người sử dụng trong mạng có một số giải pháp như
sau :
 Kết hợp với các proxy server cung cấp các proxy service
 Cấp các account cho người sử dụng trên máy dual-homed host, cho người
dùng vì không phải dịch vụ nào cũng có phần mềm proxy server và proxy
client. Mặt khác, khi số dịch vụ cung cấp nhiều thì khác năng đáp ứng của
hệ thống bị giảm xuống vì tất cả các proxy server đều đặt trên cùng một
máy .
Nếu dùng phương pháp account cho người sử dụng trên máy dual-homed host
thì người sử dụng không thích vì mỗi lần họ muốn sử dụng dịch vụ phải đăng
nhập vào máy dual-homed host.
II.

KIẾN TRÚC SCREENED HOST

Screened host có cấu trúc ngược lại với cấu trúc dual-homed host. Kiến trúc này
cung cấp các dịch vụ từ một host bên trong mạng nội bộ và một router tách rời với
mạng bên ngoài . Kiến trúc này kết hợp hai kĩ thuật đó là packet filtering và proxy
service. Packet filtering được cài trên router. Bastion host được đặt bên trong
mạng nội bộ và nó là hệ thống duy nhất mà những host trên internet có thể kết nối
tới, bất kì một hệ thống ngoài nào cố gắng truy nhập vào hệ thống hoặc các dịch
vụ bên trong đều phải kết nối tơi host này. Vì thế Bastion host cần được duy trì ở
chế đọ bảo mật cao, packet filterring cũng cho phép bastion host có thể mở kết nối
ra bên ngoài.

11


Hình 3: Mô hình kiến trúc Screened Host


 Packet filtering: Lọc một số loại dịch vụ mà hệ thống muốn cung cấp sử
dụng proxy server, người sử dụng nếu muốn dùng dịch vụ thì phải kết nối
đến proxy server mà không được bỏ qua proxy server để kết nối trực tiếp
với mạng bên trong bên trong bên ngoài, đồng thời cho phép Bastion host
mở một số kết nối tới internet/external host.
 Proxy server: Bastion host sẽ chứa các proxy server để phục vụ một số
dịch vụ hệ thống cung cấp cho người sử dụng qua proxy server.
Kiến trúc screened host hay hơn kiến trúc dual-homed host ở một số điểm như
sau :
 Dual –homed host: khó có thể bảo vệ tốt vì máy này cùng lúc cung cấp
nhiều dịch vụ ,vi phạm quy tắc căn bản là mối phần tử hay thành phần nên
giữ ít chức năng nếu có thể được , cũng như tốc độ đáp ứng khó có thể
cao vì cùng đảm nhận nhiều chức năng .
 Screened host : Đã tách chức năng lọc gói IP và các proxy server ở hai máy
riêng biệt. Packet filtering chỉ giữ những chức năng lọc gói nên có thể kiểm
soát cũng như khó gây ra lỗi. Proxy server được đặt ở các máy khác nên

12


khả năng phục vụ người sử dụng cao hơn ở mức kiến trúc Dual-homed
host.
Tương tự kiến trúc Dual-homed host , kiến trúc Screened khi bị đột nhập thành
công thì lưu lượng mạng của internal netwok cũng bị kiểm soát bởi attacker. Từ
khuyết điểm chính của hai kiến trúc trên ta có kiến trúc Screened Subnet Host ra
đời nhằm giải quyết hai khuyết điểm này .
III.

KIẾN TRÚC SCREENED SUBNET HOST


Hình 4: Sơ đồ kiến trúc Screened Subnet Host

Với kiến trúc này, hệ thống này bao gồm hai Packet–Filtering Router và một
Bastion Host (hình trên). Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả
mức bảo mật: Network và Application trong khi định nghĩa một mạng perimeter
network. Mạng trung gian (DMZ) đóng vai trò như một mạng nhỏ, cô lập đặt giữa
Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống
trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ
thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được.
13


Với những thông tin đến, Router ngoài (Exterior Router) chống lại những sự tấn
công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó chỉ
cho phép hệ thống bên ngoài truy nhập Bastion Host. Router trong (Interior
Router) cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng
nội bộ chỉ với những truyền thông bắt đầu từ Bastion Host.
Với những thông tin đi, Router trong điều khiển mạng nội bộ truy nhập tới DMZ.
Nó chỉ cho phép các hệ thống bên trong truy nhập Bastion. Quy luật Filtering trên
Router ngoài yêu cầu sử dụng dịch vụ Proxy bằng cách chỉ cho phép thông tin ra
bắt nguồn từ Bastion Host.
1. Ưu điểm
 Kẻ tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, Bastion Host và
Router trong.
 Bởi vì Router ngoài chỉ quảng bá DMZ Network tới Internet, hệ thống
mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã
được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và
DNS information exchange ( Domain Name Server ).
 Bởi vì Router trong chỉ quảng cáo DMZ Network tới mạng nội bộ, các hệ
thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều

nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet
qua dịch vụ Proxy.
2. Nhược điểm
a. Không thể thực hiện các dịch vụ tin câỵ xung quanh application getway, vì
như vậy là vi phạm chính sách. Cụ thể:
Các router ngoại kết nối với internet là chốt điểm để chuyển giao thông thỏa mãn
các quy tắc sau:






Giao thông ứng dụng từ application getway tới internet cho phép
Giao thông email từ email server tới internet, cho phép
Giao thông ứng dụng từ internet tới application getway, cho phép
FTP, Gopher và các giao thông khác từ internet tới webserver, cho phép
Các giao thông khác bị chặn

Router bên ngoài hạn chế truy cập vào internet cho các hệ thống đã định trong
screened subnet, và ngăn chặn tất cả các giao thông khác từ các hệ thống khác
không được chỉ định kết nối, như MODEM pool, Wev server, và sites system tới
internet. Router này ngoài việc ngăn chặn các gói như NFS, NIT hay các giao thức
dễ bị tấn công khác tới hay bắt nguồn tới từ các host trong screened subnet
14


Router bên trong cho phép kết nối thõa mãn các quy tắc sau:






Giao thông ứng dụng từ application getway tới site system cho phép
Giao thông email từ email server tới site system, cho phép
Giao thông ứng dụng application getway từ site system, cho phép
FTP, Gopher và các giao thông khác từ site systemhi tới webserver, cho
phép
 Các giao thông khác bị chặn
b. Router đóng vai trò quan trọng hơn trong việc bảo vệ an ninh mạng, mà
theo ta biết thì packet filtering router rất khó cài đặt và lỗi trong khi cài đặt
có thể dẫn đến những lỗ hổng trong an ninh mạng
IV.

SỬ DỤNG NHIỀU BASTION HOST

Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng
như tách biệt các Servers khác nhau.
Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong
(internal user), như dịch vụ SNMP Server, Proxy Servers …
Sử dụng 1 Bastion Host khác cung cấp dịch vụ cho Internet hoặc những người sử
dụng bên ngoài (external user) sẽ sử dụng. Như là Anonymous FTP Server mà
Server này những người sử dụng bên trong (local users) không truy xuất đến.

15


Hình 5: Sơ đồ kiến trúc sử dụng 2 Bastion Host

Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong (local user)

một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạt động của những
người sử dụng bên ngoài (external users).
Cũng có thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nào đó để
tăng tốc độ đáp ứng (performance), nhưng việc này cũng khó cân bằng tải giữa
các Server trừ khi đoán trước được mức độ sử dụng.
Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệ thống, để khi
mà một Bastion Host hỏng thì có cái khác thay thế. Nhưng chỉ có một số loại dịch
vụ trợ giúp dạng này: DNS Server, SMTP Server, ... có thể dùng nhiều Bastion
Host làm DNS Server , SMTP Server. Khi một Bastion Host hỏng hoặc quá tải,
những yêu cầu về DNS Server và SNMP sẽ được dùng qua Bastion Host khác như
là một fallback system.
Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụ cho nhiều
mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khác nhau.

16


Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào
đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt. Ví Dụ : Tách
HTTP Server và FTP Server trên 2 máy riêng biệt.
V.

KIẾN TRÚC GHÉP CHUNG ROUTER TRONG VÀ ROUTER NGOÀI

Kiến trúc này gần giống với kiến trúc Screened host trong trường hợp khi mà
exterior/interior router bị đột nhập thì lưu thông trong mạng bên trong sẽ bị lộ ra
bên ngoài. Nhưng kiến trúc này tốt hơn Screened host ở chổ nếu Bastion host bị
đột nhập thì thông tin trong mạng bên trong cũng không bị lộ ra ngoài.
Do ghép chung router trong và router ngoài nên kiến trúc này làm giảm đi lớp bảo
vệ mạng bên trong, có thể nói kiến trúc ghép chung router trong và router ngoài

nằm ở giữa kiến trúc Screened host và Screened Subnet host.

Hình 6: Sơ đồ kiến trúc ghép chung Router trong và Router ngoài

Muốn sử dụng kiến trúc này thì tốc độ của máy làm router phải được nâng cao, vì
vừa phải đảm nhiệm vai trò router ngoài và vừa đảm nhiệm vai trò của router
trong.

17


VI.

KIẾN TRÚC GHÉP CHUNG BASITION HOST VÀ ROUTER NGOÀI

Kiến trúc này chỉ sử dụng cho mạng chỉ có một đường nối dùng giao thức SLIP
hoặc PPP ra internet.

Hình 7: Sơ đồ kiến trúc ghép chung Bastion host và router ngoài

Kiểu ghép chungBastion host và router ngoài (Exterior router) này gần giống với
Screened Subnet Host. Nó cho tốc độ đáp ứng thường thấp nhưng mà vẫn có thể
chấp nhận được do tốc độ đường truyền thấp, chức năng lọc của router ngoài ít,
chức năng lọc gói chủ yếu là router trong.

18




Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×