Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

MỤC LỤC
Trang
PHẦN MỞ ĐẦU………….………………………....……..….............
4
LỜI MỞ ĐẦU.......................……..…..………..……....….……….

4
CHƯƠNG I : CƠ SỞ LÝ THUYẾT TƯỜNG
LỬA………….......... 5
I. TỔNG QUAN VỀ TƯỜNG LỬA….………...…..………………
5
II. CHỨC NĂNG CỦA TƯỜNG LỬA
(FIREWALL)........................

6

CHƯƠNG II : TÌM HIỂU CÁC LOẠI TƯỞNG LỬA
(Firewall)...

8

I. KHẢO SÁT CÁC LOẠI TƯỜNG
LỬA............................................

8

II. MÁY CHỦ DUAL-HOMED...........................................................

9
1. Máy tính chủ hai cửa như một tường
lửa............................... 12

Sinh viên: Nguyễn Kim Ngọc - 506101042

~1~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

2. Gây hại cho an toàn của một tường lửa hai
cửa..................... 17
3. Các dịch vụ trên tường lửa 2
cửa........................................... 18
III. CÁC MÁY TÍNH CHỦ THÀNH TRÌ (BASTION HOSTS)...........
18
1. Triền khai đơn giản nhất một máy chủ thành
trì………….... 19
2. Ký hiệu được sử dụng mô tả các cấu
hình………………..... 20
3. Cổng nối máy tính chủ sàng lọc (Screend Host
Gateway)..... 20
4. Lọc gói kiểu trút tải (off-loading) đối với IAP…………..
…. 23
Trang
5. Cấu hình định tuyến cho các mảng cổng máy tính
sàng lọc.. 24

6. Máy tính chủ thành trì với cả hai giao diện mạng
đều được
cấu hình……………………………………………………..… 28

Sinh viên: Nguyễn Kim Ngọc - 506101042

~2~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

IV. CÁC MẠNG CON ĐƯỢC SÀNG LỌC.……………..…………
30
CHƯƠNG III : KHÁI NIỆM PROXY………………….…………
34
I. GIỚI THIỆU CHUNG…………………………………………...
34
II. TẠI SAO TA PHẢI CẦN PROXY………………………….......
34
III. SỰ CẦN THIẾT CỦA PROXY………………………………...
36
IV. NHỮNG KHUYẾT ĐIỂM CỦA PROXY………………………

37

V. PROXING ĐÃ THỰC HIỆN NHƯ THẾ NÀO…………………..
48
CHƯƠNG IV : AN NINH MẠNG…………………...…………….

40
I. GIỚI THIỆU CHUNG VỀ AN NINH MẠNG…………………....
40

II.

TẠI SAO CẦN PHẢI ĐẢM BẢO AN NINH MẠNG……………

41

– 4 MỐI ĐE DỌA CHÍNH ĐỐI VỚI AN NINH MẠNG……….

41

2.1

2.1.1 - Mối đe dọa không có cấu trúc…………………….
41
2.1.2 - Mối đe dọa có cấu trúc……………………………
Sinh viên: Nguyễn Kim Ngọc - 506101042

~3~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

41
2.1.3 - Mối đe dọa từ bên ngoài……………………….

41
2.1.4 - Mối đe dọa từ bên trong…………………………..
42

2.2 – 3 CÁCH THỨC TẤN CÔNG QUA MẠNG…………………

42

2.2.1 - Tấn công theo kiểu thăm dò………………………
42
2.2.2 - Tấn công theo kiểu truy cập………………………
43
2.2.3 - Tấn công theo kiểu
DoS………………………….. 44
KẾT LUẬN, TÀI LIỆU THAM KHẢO………………..……..…..
52

Sinh viên: Nguyễn Kim Ngọc - 506101042

~4~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

PHẦN MỞ ĐẦU
GIỚI THIỆU VỀ ĐỀ TÀI NGHIÊN CỨU
LỜI MỞ ĐẦU
Ngày nay, khi Internet được phổ biến rộng rãi, các tổ

chức cá nhân đều có nhu cầu trao đổi thông tin trên xa lộ
thông tin cũng như thực hiện các giao dịch trực tuyến. Một
vấn đề nảy sinh là: vậy những thông tin, dữ liệu có cái gì
đảm bảo cho sự an toàn khi trao đổi thông tin, trong khi số
vụ bị tấn công trên mạng ngày càng tăng và phương thức
tấn công ngày càng tinh vi và có tổ chức với nhiều mục đích
khác nhau.
Sinh viên: Nguyễn Kim Ngọc - 506101042

~5~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

Đứng trước vấn đề thực tế đó. Các tài liệu chuyên môn
bắt đầu đề cập đến nhiều vấn đề để đảm bảo an toàn thông
tin cho các máy tính kết nối với mạng Internet.
Trong những phương pháp bảo vệ sự toàn vẹn thông tin
khi kết nối Internet phổ biến nhất hiện nay là phương pháp
đặt Tường lửa “Firewall” và đảm bảo An ninh mạng vì khả
năng ứng dụng rộng rãi, linh hoạt, mềm dẻo, dễ triển khai
cho các mô hình mạng.
Xuất phát từ ý nghĩa thực tiễn đó, trong đồ án tốt
nghiệp, em nhận nhiệm vụ nghiên cứu tìm hiểu về Tường lửa
và An ninh mạng, trong đó em tập trung tìm hiểu 2 vấn đề:
đi sâu tìm hiểu “các loại tường lửa” và “sự cần thiết phải
đảm bảo an ninh mạng”.


CHƯƠNG I
CƠ SỞ LÝ THUYẾT TƯỜNG LỬA

I. TỔNG QUAN VỀ TƯỜNG LỬA
Khái niệm “tường lửa” (Firewall) rất đơn giản. Một
tường lửa là một máy tính chuyên dụng cùng hệ thống phần

Sinh viên: Nguyễn Kim Ngọc - 506101042

~6~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

mềm trên đó (cũng được gọi là máy tính tường lửa (firewall
computer)) nhằm bảo vệ mạng máy tính dùng riêng khỏi các
truy cập bất hợp pháp từ bên ngoài.
Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết
kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong
Công nghệ mạng thông tin, FireWall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống lại sự truy cập trái
phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn
chế sự xâm nhập vào hệ thông của một số thông tin khác
không mong muốn.
Internet FireWall là một tập hợp thiết bị (bao gồm phần
cứng và phần mềm) được đặt giữa mạng của một tổ chức,
một công ty, hay một quốc gia (Intranet) và Internet. Trong
một số trường hợp, Firewall có thể được thiết lập ở trong

cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như
mô hình dưới đây thể hiện một mạng Firewall để ngăn cách
phòng máy, người sử dụng và Internet.
Nếu so sánh giữa router IP (định tuyến IP) và Tường
lửa, ta thấy router điều khiển các gói tin trên lớp IP. Router
chuyển tiếp mỗi gói tin dựa trên địa chỉ đích (destination)
của gói tin đó. Địa chỉ đích này được thể hiện trong bảng
định tuyến (routing table). Trong lúc đó một máy tính chủ
nào không làm nhiệm vụ chuyển tiếp các gói tin và hệ thống

Sinh viên: Nguyễn Kim Ngọc - 506101042

~7~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

tường lửa thực tế chính là một dạng đặc biệt của máy chủ đa
người dùng (multi-homed host).
Cũng giống như một máy tính bất kỳ, Firewall chỉ tiếp
nhận những gói tin mà Firewall biết được địa chỉ đích và sử lý
gói tin đó qua lớp ứng dụng. Firewall sẽ bỏ qua những gói tin
mà nó không biết địa chỉ. Tóm lại Firewall không phải là
router bởi vì Firewall không làm nhiện vụ chuyển tiếp các gói
thông tin (packets) ngay cả khi Firewall được dung thay cho
router.

II.


CÁC

CHỨC

NĂNG

CỦA

TƯỜNG

LỬA

(FIREWALL)
Với chức năng của một tường lửa, kẻ đột nhập khó có
khả năng tấn công trực tiếp vào vào bất kỳ hệ thống mạng
nào sau tường lửa. Thay vào đó kẻ đột nhập thường muốn
tấn công trực tiếp vào ngay tường lửa. Do tường lửa là mục
đích của bọn tấn công, nên nó bảo sử dụng một cách thức để
bảo vệ an toàn rất chặt chẽ. Để thay cho router, tường lửa
phải đảm bảo nhiệm vụ đặc biệt. Tuy vậy, để giảm thiểu
những phiền toái do tường lửa gây ra hệ thống tường lửa
phải đảm nhiệm nhiều chức năng sau:
•

Dịch vụ tên miền (DNS) cho hệ thống bên ngoài :

Tường lửa cung cấp dịch vụ tên có giới hạn cho các mạng bên

Sinh viên: Nguyễn Kim Ngọc - 506101042


~8~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

ngoài. Tuy nhiên dịch vụ tên tường lửa không cung cấp tên
hoặc thông tin địa chỉ về bất cứ host nào ở trong mạng.
•

Chuyển tiếp thư điện tử : ở trên hệ thống tường lửa

gửi thư điện tử sẽ được cấu hình để chuyển tải các thư điện tử
cho mỗi người dùng trên tất cả các mạng nội bộ. Mỗi người sử
dụng trong mạng nội bộ được đồng nhất bằng một tên khác
(alias) nhằm che dấu tên login thực. Khi thư này được chuyển
ra mạng bên ngoài thì sẽ được viết lại để phản ánh tên giả này
của người sử dụng và chỉ rõ hệ thống tường lửa này như là xuất
sứ của thư điện tử đó. Các tên login và tên nội bộ thì không
được cung cấp ở trong thư điện tử khi được chuyển tải ra bên
ngoài.
•

Dịch vụ FTP (dịch vụ chuyển tệp): Tất cả các FTP để

chuyển đi tước hết phải thông qua thiết bị tường lửa. Để telnet
(hoặc rlogin) đến / trên site ở xa, trước hết người sử dụng phải
log vào hệ thống tường lửa.


Sinh viên: Nguyễn Kim Ngọc - 506101042

~9~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

CHƯƠNG II
TÌM HIỂU CÁC LOẠI TƯỜNG LỬA (FIREWALL)

I.

KHẢO SÁT CÁC LOẠI TƯỜNG LỬA
Mục đích chính của một tường lửa là bảo vệ mạng này

khỏi mạng khác. Thông thường mạng cần được bảo vệ là
thuộc trách nhiệm của chúng ta và mạng mà chúng ta đang
chống lại là mạng bên ngoài không thể tin tưởng được, từ đó
các vi phạm bên ngoài có thể phát sinh. Để đảm bảo mạng
này được an toàn thì phải ngăn chặn người sử dụng bất hợp
pháp truy nhập vào các dữ liệu nhạy cảm trong khi đó vẫn
cho người sử dụng chính đang truy nhập các tài nguyên trên
mạng một cách dễ dàng.
Mô hình OSI là một phương tiện để phân biệt giữa bộ
định tuyến sàng lọc và tường lửa. Mặc dù mô hình OSI dùng
để phân biệt giữa các cấu trúc truyền thông và khả năng
truyền thông, nhưng không phải ai cũng có ý thức được nó

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 10 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

hoặc sử dụng nó. Thuật ngữ “tường lửa” được nhiều người sử
dụng như một thuật ngữ chung để mô tả một phạm vi rộng
các chức năng và cấu trúc của một thiết bị bảo vệ mạng.
Trên thực tế có một số người sử dụng thuật ngữ “tường lửa”
để ám chỉ hầu như bất kỳ thiết bị đảm bảo an toàn nào,
chẳng hạn như một thiết bị mã hóa phần cứng, một bộ định
tuyến sàng lọc hoặc một cổng ở lớp ứng dụng.
Nói chung, một tường lửa được bố trí giữa một mạng
bên trong tin cậy được và một mạng bên ngoài không đáng
tin cậy. Tường lửa hoạt động như một điểm chặn để giám sát
và loại bỏ lưu lượng mạng tại lớp ứng dụng (xem hình 1.1).
Các tường lửa cũng có thể hoạt động tại các lớp mạng và
vận chuyển, trong trường hợp đó chúng kiểm tra các tiêu đề
của IP và TCP thuộc các gói gọi đến, gọi đi và loại bỏ hoặc
cho đi các gói dựa vào quy tắc lọc gói đã được lập trình.

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 11 ~



Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

Hình 1.1: Hoạt động của tường lửa

II.

MÁY CHỦ DUAL-HOMED
Trong một mạng TCP/IP thuật ngữ “multi-homed host”

(máy tính chủ nhiều cửa) ám chỉ một máy tính chủ có nhiều
bản mạch giao diện mạng (xem hình 1.2) . Thông thường
một bản giao diện mạng được kết nối tới một mạng. Về mặt
lịch sử, máy tính chủ “multi-home” này cũng có thể định
tuyến lưu lượng giữa các nhánh mạng. Thuật ngữ cổng nối
(cổng ngõ-gateway) đã được sử dụng để mô tả chức năng
định tuyến do các máy tính chủ nhiều cửa (“multi-homed”)
này thực hiện. Hiện nay, thuật ngữ “bộ định tuyến” (Router)
được sử dụng để mô tả chức năng định tuyến này trong khi
Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 12 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

đó thuật ngữ cổng nối được dành cho những chức năng

tương ứng với các lớp cao hơn của mô hình OSI.
Nếu chức năng định tuyến trong máy tính chủ nhiều
cửa bị mất hiệu lực thì máy tính chủ này có thể phân cách
lưu lượng giữa các mạng mà nó kết nốt tới và mỗi mạng có
khả năng sử lý ứng dụng trên máy tính chủ nhiều cửa. Hơn
nữa, các mạng còn có thể dùng chung số liệu nếu các ứng
dụng này cho phép. Một máy tính chủ hai cửa “dual-homed”
là một ví dụ của máy tính chủ nhiều cửa, nó có giao diện
mạng và có các chức năng định tuyến bị vô hiệu hóa. Hình
1.3 trình bày một ví dụ về máy tính chủ hai cửa với các chức
năng định tuyến bị vô hiệu hóa. Máy tính chủ A trên mạng 1
có thể truy nhập ứng dụng A trên máy tính chủ hai cửa.
Tương tự như vậy, máy tính chủ B có thể truy nhập ứng dụng
B trên máy tính chủ hai cửa. Thậm trí hai ứng dụng trên các
máy tính chủ 2 cửa có thể dùng chung số liệu. Các máy tính
A và B có khả năng trao đổi thông tin qua các số liệu dùng
trên các máy tính chủ hai cửa, nhưng không có sự trao đổi
lưu lượng mạng giữa hai nhánh mạng được kết nối với máy
chủ hai cửa này.

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 13 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

Hình 1.2: Một máy tính chủ nhiều cửa truyền

thông

Hình 1.3: Máy tính chủ hai cửa
Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 14 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

1.Máy tính chủ hai cửa như một tường lửa.
Ta có thể sử dụng máy tính chủ hai cửa để ngăn chặn
một mạng bên trong với mạng bên ngoài không tin tưởng
được (xem hình 1.4). Vì máy tính chủ hai cửa không chuyển
tiếp bất cứ lượng TCP/IP nào, cho nên nó hoàn toàn ngăn
chặn bất kỳ lưu lượng IP nào giữa mạng bên trong và mạng
bên ngoài không tin cậy.
Nhiều dịch vụ Internet chủ yếu là các dịch vụ lưu trữ và
chuyển tiếp (store – and – forward). Nếu các dịch vụ này
chạy trên máy tính chủ hai cửa thì chúng có thể được cấu
hình để phát các dịch vụ ứng dụng từ máy này đến máy kia.
Nếu các số liệu ứng dụng phải đi qua tường lửa thì tác nhân
chuyển tiếp ứng dụng (apply catiob forward agents) có thể
được thiết lập chạy trên máy tính chủ hai cửa này (xem hình
1.5).
Các tác nhân chuyển tiếp ứng dụng là một phần mềm
đặc biệt được sử dụng để chuyển tiếp các yêu cầu ứng dụng
giữa hai mạng kết nốt với nhau. Một phương pháp khác là

cho phép người sử dụng đăng nhập (login) vào máy chủ hai
cửa và sau đó truy nhập các dịch vụ bên ngoài từ giao diện
mạng bên ngoài của máy tính chủ hai cửa này (xem hình
1.6).

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 15 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

Hình1.4: Máy tính chủ hai cửa như một tường lửa

Hình 1.5: Máy tính chủ hai cửa với các tác nhân
chuyển tiếp ứng dụng
Nếu sử dụng các bộ chuyển tiếp ứng dụng thì lưu lượng
ứng dụng cũng không thể đi qua được tường lửa hai cửa, trừ

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 16 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng


khi các bộ chuyển tiếp ứng dụng này được cấu hình và đang
chạy trên thiết bị tường lửa. Đây là một sự thực hiện chính
sách “cái gì không nêu rõ là được phép thì có nghĩa là bị
cấm”. Nếu người sử dụng được phép trực tiếp đăng nhập vào
tường lửa thì tính chất an toàn của tường lửa có thể bị nguy
hại (xem hình 1.6). Sở dĩ như vậy là vì tường lửa hai cửa là
điểm giữa của kết nối mạng bên trong với mạng bên ngoài.
Theo định nghĩa, tường lửa nằm trong khu vực rủi ro. Nếu
người sử dụng chọn một mật khẩu yếu hoặc để cho một tài
khoản thuê bao (user account) của mình bị lợi dụng (chẳng
hạn để lộ các mật khẩu) thì khu vực rủi ro này có thể mở
rộng về mạng bên trong, do vậy phá vỡ mục đích của tường
lửa hai cửa.

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 17 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

Hình 1.6: Khi người sử dụng truy nhập (login) trực tiếp
vào máy chủ hai cửa thì sẽ dẫn đến việc mất an toàn
Nếu ghi nhận nhật kí chính xác về các đăng nhập của
người sử dụng thì có thể truy tìm các dịch vụ đăng nhập bất
hợp pháp tới tường lửa khi phát hiện sự đăng nhập mất an
toàn. Tuy nhiên , nếu người sử dụng không được phép trực
tiếp đăng nhập vào tường lửa hai cửa thì mọi cố gắng đăng

nhập trực tiếp sẽ được ghi nhận như một sự kiện đáng ghi
nhớ và như một sự xâm phạm an toàn tiềm tàng. Các ví dụ
về các dịch vụ lưu trữ và chuyển tiếp là thư điện tử SMTP, tin
tức NNTP. Hình 1.7 sẽ trình bày một tình huống trong đó máy

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 18 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

tính chủ hai cửa được cấu hình để chuyển tiếp các thông báo
thư tùy ý giữa mạng bên trong và mạng bên ngoài không tin
cậy được.

Hình 1.7: Một máy tính chủ hai cửa như một bộ
chuyển tiếp thư
Hình 1.8 trình bày một tình huống trong đó máy tính
chủ hai cửa được cấu hình để chuyển tiếp các thông báo tin
tức (new) tùy ý giữa các máy chủ tin tức (new server) trên
mạng bên trong và mạng bên ngoài không tin cậy.

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 19 ~



Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

Hình 1.8: Một máy tính chủ hai cửa như một bộ
chuyển tiếp tin tức (news forwarder)
Máy tính chủ hai cửa là cấu hình cơ bản được sử dụng
trong các tường lửa. Một khía cạnh quan trọng khác của máy
tính tường lửa hai cửa là chức năng định tuyến bị loại bỏ và
chỉ có một đường truyền duy nhất giữa các nhánh mạng
thông qua một chức năng của lớp ứng dụng. Nếu ta vô tình
cho phép việc định tuyến có hiệu lực (theo thiết kế hoặc do
cấu hình sai) thì các chức năng tại các lớp ứng dụng của các
tường lửa hai cửa sẽ được bỏ qua.
Hầu hết các tường lửa được sử dụng trên môi trường
Unix. Trên một số phiên bản của Unix các chức năng định
tuyến đã được hủy bỏ trên tường lửa hai cửa và nếu chúng

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 20 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

chưa được hủy bỏ thì chúng ta cần phải biết cách làm thế
nào vô hiệu hóa chúng.


2.Gây hại cho an toàn của một tường lửa hai
cửa
Nguy cơ lớn nhất là liệu kẻ đột nhập có đạt được truy
nhập (login) trực tiếp với máy tính chủ hai cửa hay không.
Trên máy tính chủ hai cửa việc truy nhập (login) luôn xảy ra
thông qua một tác nhân ứng dụng. Cần có biện pháp xác
minh mạnh đối với việc truy nhập từ mạng không tin cậy bên
ngoài.
Nếu người sử dụng có được truy nhập tới máy chủ hai
cửa thì mạng bên trong có nguy cơ bị xâm nhập. Các khả
năng xâm nhập này có thể được thực hiện thông qua một
trong các nguồn sau:
- Chế độ cho phép yếu trên hệ thống tệp.
-

Các ổ đĩa thuộc mạng bên trong được gán theo NFS
(NFS-mounted).

- Các phép cấp cho các công cụ r* của Berkeley thông
qua các tệp tương đương máy tính chủ như Rhosts
trong các thư mục home những người có sử dụng tài
khoản đã bị làm hại.

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 21 ~


Đồ Án Tốt Nghiệp


Tìm hiểu về Tường Lửa và An Ninh Mạng

- Các chương trình sao chép dự phòng có thể sửa chữa
lại.
- Việc sử dụng các giao diện quản lý chưa được đảm bảo
an toàn.
-

Khám phá hệ thống từ phiên bản phần mềm cũ đã được
sửa đổi và các chú giải phiên bản chưa được đảm bảo
an toàn đúng đắn.

- Cài đặt các nhân hệ điều hành cũ cho phép chức năng
chuyển tiếp IP hoặc cài đặt các phiên bản của nhân hệ
điều hành cũ mà người ta đã biết tới các sự cố an
toàn.
Nếu máy tính chủ hai cửa bị hỏng thì mạng bên trong bị
để ngỏ cho những kẻ xâm nhập. Do đó, ta nên phát hiện sớm
để có biện pháp sửa chữa ngay. Những người quản trị mạng
cần có biện pháp cập nhật thông tin về hoạt động của nó
một cách thường xuyên.

3.Các dịch vụ trên một tường lửa hai cửa
Ngoài việc vô hiệu hóa chuyển tiếp IP (IP forwarding)
chúng ta cũng cần loại bỏ khỏi tường lửa 2 cửa tất cả các
dịch vụ, các công cụ và các chương trình không cần thiết có
thể gây nguy hại cho an ninh tường lửa. Dưới đây là một
danh sách chứa đầy đủ các điểm kiểm tra hữu ích đối với các
tường lửa hai cửa chạy trên Unix.


Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 22 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

• Xóa bỏ các công cụ lập trình như: Compilers, linkers
v.v…
• Xóa bỏ các chương trình có các permisstion SUID,
SGID mà chúng ta không cần hoặc không hiểu.
• Sử dụng việc phân chia đĩa (disk partition) sao cho kẻ
đột nhập có thể đổ đầy không gian đĩa trên phần
(partition) ổ đĩa đó mà thôi.
•

Xóa bỏ các account hệ thống và account đặc biệt
không cần thiết.

• Xóa bỏ các dịch vụ mạng không cần thiết.

III. CÁC MÁY TÍNH CHỦ THÀNH TRÌ (BASTION
HOSTS)
Máy tính chủ thành trì là bất kỳ máy tính chủ tường lửa
nào có tính chất quyết định đối với an ninh mạng. Máy tính
chủ thành trì là máy tính trung tâm cho hệ thống an ninh
mạng của 1 cơ quan. Vì máy tính chủ thành trì có tính chất
quyết định đối với an ninh mạng cho nên phải được củng cố

vững chắc. Điều này có nghĩa là các nhà quản trị mạng cần
giám sát máy tính chủ này một cách chặt chẽ. Phải thường
xuyên kiểm tra phần mềm và sự an toàn hệ thống máy tính
chủ thành trì này. Các nhật ký truy nhập (accegg logs) cần
được kiểm tra để phát hiện bất kỳ sự vi phạm an toàn tiềm

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 23 ~


Đồ Án Tốt Nghiệp

Tìm hiểu về Tường Lửa và An Ninh Mạng

tàng nào hoặc âm mưu tấn công máy tính chủ thành trì có
thể có.
Máy tính chủ 2 cửa (dual-homed host) thảo luận ở trên
là 1 ví dụ máy tính chủ thành trì bởi vì nó hết sức quan trọng
đối với an ninh mạng.

1.

Triển khai đơn giản nhất một máy chủ

thành trì
Các máy tính chủ thành trì thường là đối tượng bị tấn
công bởi vì chúng đóng vai trò một điểm phối phép tới mạng
bên ngoài không tin cậy. Sự triển khai đơn giản nhất một
máy tính chủ thành trì là coi đó là điểm xâm nhập đầu tiên

và duy nhất cho lưu lượng của mạng bên ngoài (xem hình
1.9).

Hình 1.9: Triển khai đơn giản nhất cho 1 máy tính chủ
thành trì (cấu hình B2)

Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 24 ~


Đồ Án Tốt Nghiệp

2.

Tìm hiểu về Tường Lửa và An Ninh Mạng

Kí hiệu được sử dụng để mô tả các cấu hình

thành trì
Bảng các kí hiệu sau đây được dùng nhằm đơn giản hóa
việc mô tả cấu hình tường lửa.Trong hệ thống này, các kí
hiệu được sử dụng có ý nghĩa như sau:
Kí hiệu

Mô tả

S

Bộ định tuyến sàng lọc


R

Bộ định tuyến thông thường

F1

Tường lửa có 1 kết nối duy nhất tới mạng

F2

Tường lửa có 2 kết nối với mạng

B1

Máy tính chủ thành trì với 1 kết nối duy nhất
tới mạng

B2

Máy tính chủ thành trì với 2 đường liên kết
mạng

Bằng việc sử dụng các kí hiệu này chúng ta có thể mô
tả cấu hình mạng như trong hình 1.9. Chúng ta có thể theo
dõi đường đi của lưu lượng mạng bên ngoài tới mạng bên
trong:
B2
Như vậy mạng thuộc hình 1.9 có cấu hình B2.


Sinh viên: Nguyễn Kim Ngọc - 506101042

~ 25 ~