Đồ án Bảo vệ và phòng ngừa tấn công hệ thống mạng bằng Firewall

o trên mạng, DHCP cho phép gán tự động. Để khách có thể nhận địa chỉ IP từ máy chủ DHCP, bạn khai báo cấu hình để khách “nhận địa chỉ tự động từ một máy chủ”. 1.3.1.1. Hoạt động của DHCP DHCP tự động hóa mạng lưới giao thông số các thiết bị mạng từ lỗi chịu máy chủ DHCP. Ngay cả trong các mạng nhỏ là hữu ích vì nó có thể dể dàng gắn máy mới vào mạng. Khi một DHCP cấu hình máy khách (một máy tính, hay một mạng nào đó, nhận thiết bị) kết nối đến mạng, DHCP client gởi 1 truy vấn đến phát sóng yêu cầu thông tin IP cần thiết từ DHCP server. Các DHCP server quản lí một database địa chỉ IP và thông tin về các tham số cấu hình máy khách như cổng mặc định, tên miền, các máy chủ DNS, các máy chủ khác như máy chủ thời gian và nhiều thiết bị khác. Khi DHCP server nhận được yêu cầu hợp lệ. DHCP server sẽ chọn 1 địa chỉ IP trong database của nó tới máy client, một hợp đồng thuê với thời gian định kì(mặc định là 8 ngày) . 1.3.1.2. Phương thức bốn bước DHCP sử dụng cơ chế 4 bước để cung cấp IP cho client: Bước 1 (IP Lease Request) Xảy ra khi một client mới khởi động xin cấp phép IP lần đầu hay khi nó thuê bao lại. DHCPDISCOVER broadcast message. Bước 2 (IP Lease Offer) DHCP sẻ gởi lại danh sách IP đề nghị cho thuê(đảm bảo các IP này chưa được cấp cho ai). DHCP đợi 1 giây để nhận lại gói tin Offer này, nếu không nhận được nó sẻ rebroadcast 4 lần vào nhịp 2, 4, 8, 16 giữa 0 đến 1000 mils. Nếu vẫn không nhận được IP sau 4 lần broadcast DHCP client sẽ nhận được IP nằm trong khoảng 169.254.0.1 đến 169.254.255.254(để đảm bảo được liên lạc trên mạng). DHCP client vẫn tiếp tục tìm DHCP server cứ 5 phút một lần nếu tìm thấy DHCP server nó sẽ nhận một IP hợp lệ và có khả năng kết nối với toàn mạng. Bước 3 (IP Lease Selection) DHCP client sẽ gởi phản hồi lại server khi nó nhận được gói Offer bằng cách gởi broadcast, một thông điệp DHCPREQUEST. Bước 4 (IP Lease Acknowledgement) DHCP server sẽ xác nhận đến client việc thuê bao hoàn tất bằng gói thông tin DHCPPACK. 1.3.2. DNS service DNS (Domain Name System) là Hệ thống tên miền được phát minh vào năm 1984 cho Internet, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền. Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là, nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới. [4] Hình 1.10: Mô hình câyDNS (hierarchical) Dịch vụ DNS hoạt động theo mô hình Client-Server Server : có chức năng là phân giải tên thành IP và ngược lại IP thành tên, được gọi là Name Server, lưu trữ cơ sở dữ liệu của DNS. Client : truy vấn phân giải tên đến DNS server được gọi là Resolver, chứa các hàm thư viện dùng để tạo các truy vấn (query) đến Name Server. DNS được thi hành như 1 giao thức của tầng Application trong mô hình mạng TCP/IP. DNS là 1 cơ sở dữ liệu dạng phân tán được tổ chức theo mô hình cây (hierarchical) : Nguyên tắc làm việc Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server riêng của mình, gồm các máy bên trong phần riêng của mỗi nhà cung cấp dịch vụ đó trong Internet. Tức là, nếu một trình duyệt tìm kiếm địa chỉ của một website thì DNS server phân giải tên website này phải là DNS server của chính tổ chức quản lý website đó chứ không phải là của một tổ chức (nhà cung cấp dịch vụ) nào khác. INTERNIC (Internet Network Information Center) chịu trách nhiệm theo dõi các tên miền và các DNS server tương ứng. INTERNIC là một tổ chức được thành lập bởi NFS (National Science Foundation), AT&T và Network Solution, chịu trách nhiệm đăng ký các tên miền của Internet. INTERNIC chỉ có nhiệm vụ quản lý tất cả các DNS server trên Internet chứ không có nhiệm vụ phân giải tên cho từng địa chỉ. DNS có khả năng tra vấn các DNS server khác để có được một cái tên đã được phân giải. DNS server của mỗi tên miền thường có hai việc khác biệt. Thứ nhất, chịu trách nhiệm phân giải tên từ các máy bên trong miền về các địa chỉ Internet, cả bên trong lẫn bên ngoài miền nó quản lý. Thứ hai, chúng trả lời các DNS server bên ngoài đang cố gắng phân giải những cái tên bên trong miền nó quản lý. - DNS server có khả năng ghi nhớ lại những tên vừa phân giải. Để dùng cho những yêu cầu phân giải lần sau. Số lượng những tên phân giải được lưu lại tùy thuộc vào quy mô của từng DNS. Chương 2: TỔNG QUAN VỀ AN TOÀN MẠNG VÀ FIREWALL 2.1. An toàn mạng 2.1.1. Khái niệm an toàn mạng Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet. Nếu như máy tính, hệ thống mạng của bạn không được trang bị hệ thống bảo vệ vậy chẳng khác nào bạn đi khỏi căn phòng của mình mà quên khóa cửa, máy tính của bạn sẽ là mục tiêu của virus, worms, unauthorized user … chúng có thể tấn công vào máy tính hoặc cả hệ thống của bạn bất cứ lúc nào. Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng, máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình. An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng của bạn. 2.1.2. Phân loại các kiểu tấn công hệ thống phổ biến 2.1.2.1. Tấn công trực tiếp Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv.. để đoán mật khẩu. Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (Root hay Administrator). Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là chương trình sendmail và chương trình rlogin của hệ điều hành UNIX. Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống. Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. 2.1.2.2. Nghe trộm Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng. Những thông tin này cũng có thể dễ dàng lấy được trên Internet. 2.1.2.3. Giả mạo địa chỉ Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing). Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. 2.1.2.4. Vô hiệu hóa chức năng của hệ thống (denial of service) Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc có ích khác. 2.1.2.5. Lỗi của người quản trị hệ thống Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. 2.1.2.6. Tấn công vào yếu tố con người Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ. 2.1.3. Tầm quan trọng của việc bảo mật mạng Bảo mật mạng máy tính có tầm quan trọng rất lớn. Trong hầu hết các lĩnh vực kinh tế, chính trị, văn hóa trong xã hội nhất là đối với thời đại hiện nay nghành công nghệ thông tin đang phát triển mạnh mẽ và có ứng dụng rộng lớn thì việc bảo mật mạng càng trở nên cấp thiết và quan trọng hơn bao giời hết. Đối với cá nhân người sử dụng việc bảo mật mạng giúp hệ thống máy tính của mình, khỏi sự dòm ngó của hacker, bảo vệ an toàn hệ thống phần cứng, phần mềm và dữ liệu quan trọng. Giúp người dùng cảm thấy an toàn hơn khi làm việc trên môi trường mạng Internet. Đối với các Doanh nghiệp, các Tổ chức giúp họ giữ an toàn và bí mật dữ liệu và các thông tin tối mật của công ty, tổ chức, tránh mất mát, rò rỉ thông tin ra ngoài gây ảnh hưởng đến danh tiếng và uy tín của doanh nghiệp. Tạo ra một môi trường kinh doanh lành mạnh giữa các doanh nghiệp và hiệu quả công việc sẽ cao hơn, giảm thiểu tối đa thiệt hại do những cộc tấn công phá hoại của hacker gây ra. Vấn đề an ninh bảo mật mạng còn liên quan trực tiếp đến an ninh Quốc Gia, chống sự thâm nhập, khủng bố của tin tặc nhằm quấy rối trật tự trong dân chúng, tuyên truyền chống phá đảng và nhà nước ta, lấy cắp thông tin tối mật của quốc gia và khi đó hậu quả sẽ không thể lường trước được. 2.1.4. Giải pháp Sự bùng nổ của Công nghệ Thông tin (CNTT) đã và đang ảnh hưởng sâu rộng tới mọi lĩnh vực của cuộc sống. Đối với các doanh nghiệp, CNTT đã trở thành một trong những nhân tố tăng sức mạnh, khả năng cạnh tranh trên thị trường, đóng vai trò nền tảng trong việc khai thác các ứng dụng nghiệp vụ. Và trong thời đại hiện nay CNTT cũng là công cụ không thể thiếu cho cá nhân người dùng, hay các hộ gia đình nhằm tăng năng xuất công việc và phục vụ cho nhu cầu tìm kiếm thông tin. Chính vì vậy hiện nay mỗi doanh nghiệp, cá nhân người dùng đang cố gắng xây dựng cho mình một hệ thống thông tin vững mạnh, ổn định, an toàn và hiệu quả. Để làm được điều đó phải có một công cụ một giải pháp cụ thể phù hợp với tình hình thực tế hiện nay, đáp ứng được nhu cầu bảo mật thông tin, dữ liệu chống mất mát, sai lệch bóp méo thông tin của cá nhân hay tổ chức sử dụng hệ thống, đề phòng và ngăn chặn những cuộc tấn công từ phía ngoài vào bên trong hệ thống, cũng như kiểm soát thông tin từ bên trong mạng cục bộ ra ngoài Internet. Từ nhu cầu đó hệ thống Internet Firewall ra đời và nó ngày càng được hoàn thiện hơn để đáp ứng được nhu cầu ngày cang cao của người sử dụng giúp bảo vệ tốt hệ thống máy tính các nhân và hệ thống mạng cục bộ được an toàn hơn, Firewall đóng vai trò như một người gác cổng. Hình 2.1: Mô hình mạng phổ biến ở các doanh nghiệp khi chưa có Firewall Hình 2.2: Mô hình mạng sau khi được lắp đặt một hệ thống Firewall 2.2. Tìm hiểu về Firewall 2.2.1. Khái niệm Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Internet Firewall là một thiết bị (Phần cứng + Phần mềm) giữa mạng của một tổ chức, một công ty, một quốc gia (Intranet) và Internet. Nó thực hiện vai trò bảo mật các thông tin Intranet từ thế giới Internet bên ngoài. 2.2.2. Phân loại và đặc điểm Firewall 2.2.2.1. Firewall cứng Là những firewall được tích hợp trên Router. Hình 2.3: Minh họa Firewall cứng Đặc điểm của Firewall cứng: Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm) Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport). Firewall cứng không thể kiểm tra được nột dung của gói tin. Ví dụ :Firewall cứng: NAT (Network Address Translate). 2.2.2.2. Firewall mềm Là những Firewall được cài đặt trên Server. Hình 2.4: Minh họa Firewall mềm Đặc điểm của Firewall mềm: Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng. Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng). Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa). Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall, Internet security acceleration … 2.2.3. Vì sao cần Firewall Hình 2.5: Các luồng dữ trao đổi dữ liệu từ PC ra Internet và ngược lại khi có Firewall và không có Firwall Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính. Đồng thời chúng còn sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến. 2.2.4. Chức năng Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là: Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. 2.2.5. Nhiệm vụ Firewall Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau : Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau: Bảo mât. Tính toàn vẹn. Tính kịp thời. Tài nguyên hệ thống. Danh tiếng của công ty sở hữu các thông tin cần bảo vệ. 2.2.6. Những hạn chế của firewall Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. 2.2.7. Các thành phần của Firewall và nguyên lý hoạt động Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây: Bộ lọc packet (packet-filtering router). Cổng ứng dụng (application-level gateway hay proxy server). Cổng mạch (circuite level gateway). 2.2.7.1. Bộ lọc gói (Packet Filtering) a. Nguyên lý hoạt động. Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng. Đó là: Địa chỉ IP nơi xuất phát ( IP Source address). Địa chỉ IP nơi nhận (IP Destination address). Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel). Cổng TCP/UDP nơi xuất phát (TCP/UDP source port). Cổng TCP/UDP nơi nhận (TCP/UDP destination port). Dạng thông báo ICMP ( ICMP message type). Giao diện packet đến ( incomming interface of packet). Giao diện packet đi ( outcomming interface of packet). Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP...) được phép mới chạy được trên hệ thống mạng cục bộ. b. Ưu điểm và hạn chế Ưu điểm Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. Hạn chế Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp; đòi hỏi ngời quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. 2.2.7.2. Cổng ứng dụng (Application-Level Gateway) a. Nguyên lý hoạt động Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường đợc coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall. Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card. Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để. b. Ưu điểm và hạn chế Ưu điểm Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. Hạn chế Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi. Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. 2.2.7.3. Cổng vòng (Circuit-Level Gateway) Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ. Hình 2.6: Minh họa nối Telnet qua cổng vòng đơn giản Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. 2.2.8. Kiến trúc cơ bản của Firewall 2.2.9. Dual homed host Dual–homed Host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ. Dual–homed Host là một máy tính có hai giao tiếp mạng một nối với mạng cục bộ và một nối với mạng ngoài (Internet). Hệ điều hành của Dual–homed Host được sửa đổi để chức năng chuyển các gói tin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual–homed Host, và từ đó bắt đầu phiên làm việc. Hình 2.7: Sơ đồ kiến trúc Dual–homed Host Ưu điểm của Dual–homed Host: Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. Dual–homed Host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành là đủ. Nhược điểm của Dual–homed Host: Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed Host đó bị đột