Luận văn Nghiên cứu mạng riêng ảo (VPN) và các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo

c mức máy tính qua giấy chứng nhận và mức chứng thực người dùng qua một giao thức chứng thực PPP.  Các gói PPP thay đổi trong thời gian mức chứng thực người dùng là không bao giờ gửi dạng không phải bảng mã vì kết nối PPP xử lý cho L2TP/IPSec xuất hiện sau khi IPSec liên kết bảo mật (SAs) đã được thiết lập. Nếu chặc, xác thực PPP thay đổi để một vài kiểu của các giao thức xác thực PPP có thể sử dụng thực thi các tấn công từ điển ngoại tuyến và quyết định sử dụng các mật khẩu. Bởi mã hoá thay đổi xác thực PPP, các tấn công từ điển ngoại tuyến là chỉ có thể thực hiện được sau khi các gói mã hoá đã hoàn thành giải mã. 3.6.2 Ưu điểm của PPTP Sau đây là những thuận lợi của PPTP hơn L2TP/ IPSec trong Windows 2000.  PPTP không yêu cầu một chứng nhận cơ sở hạ tầng. L2TP/IPSec yêu cầu một chứng nhận cơ sở hạ tầng để đưa ra các chứng nhận máy tính tới máy chủ VPN và tất cả các máy khách.  PPTP có thể sử dụng bằng các máy tính chạy Windows XP, Windows 2000 …với mạng Windows quay số thực thi và cập nhật bảo mật. L2TP/IPSec có thể chỉ sử dụng với Windows XP và Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 44 Windows 2000 các máy khách VPN. Chỉ các khách hỗ trợ giao thức L2TP/IPSec, và sử dụng các chứng nhận.  Các máy khách và các máy chủ PPTP có thể đặt giữa một máy truyền địa chỉ mạng (NAT) nếu NAT có máy phụ trách thích hợp cho giao thông PPTP. Các máy khách hoặc máy chủ L2TP/IPSec cơ bản không thể đặt giữa một NATunnless cả hai hỗ trợ IPSec NAT traversal (NAT-T). IPSec NAT-T là hỗ trợ bởi Windows Server 2003 Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 45 Chương 3 MÃ HÓA VÀ CHỨNG THỰC TRONG VPN Ngày nay mạng máy tính đã trở nên phổ biến và là thành phần không thể thiếu đối với mỗi người trong chúng ta cũng như các quốc gia. Các ứng dụng, dịch vụ trên mạng máy tính: thư điện tử, chuyển và nhận tiền, thương mại điện tử, chính phủ điện tử… đã trở nên phổ biến, thuận lợi và quan trọng thì yêu cầu về an toàn mạng, về an ninh dữ liệu trên mạng ngày càng trở nên cấp bách và cần thiết. Tổ chức Interpol đã khuyến cáo về các nguy cơ đối với mạng máy tính như:  Sự truy nhập trái phép và ăn cắp thông tin.  Sữa đổi dữ liệu máy tính.  Sao chép trái phép.  Làm tê liệt mạng máy tính.  Những tấn công khác … Do đó, thông tin trên mạng, dù đang truyền hay được lưu trữ đều cần được bảo vệ hoặc các thông tin đó cần được giữ bí mật hoặc chúng phải được cho phép người ta kiểm tra để tin tưởng rằng chúng không bị sửa đổi so với dạng nguyên thuỷ của mình và chúng đúng là của người đã gửi cho ta, hơn nữa niềm tin đó phải được pháp luật hỗ trợ. Do đó rất nhiều quốc gia trên thế giới rất quan tâm đến vấn đề này, các nhà khoa học đã nghiên cứu và đưa ra các thuật toán mã hoá để bảo mật thông tin ngày một tốt hơn tránh nguy cơ rò rỉ, mất mát thông tin cho người dùng, các doanh nghiệp và các quốc gia khi giao dịch, trao đổi thông tin qua mạng toàn cầu Internet. Trong ứng dụng công nghệ “ Mạng riêng ảo ” VPN, các thuật toán mã hoá được ứng dụng trong từng lớp giao thức mà người dùng tuỳ chọn cách mã hoá thông tin bằng thuật toán mã hoá như DES, 3-DES .. 1. Mã hoá trong VPN. 1.1 Thuật toán mã hoá DES Thuật toán mã hoá DES được IBM phát triển vào những năm 1970 sau đó được Uỷ ban tiêu chuẩn Quốc gia Hoa Kỳ (The National Bureau of Standard). Ngày nay là NIST chấp nhận ngày 15-5-1973. DES đã trở thành chuẩn mã hoá dữ liệu chính thức cho Chính phủ Hoa Kỳ và năm 1977 và trở thành hệ mật được sử dụng rộng rãi nhất trên thế giới. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 46 Thuật toán mã hoá DES có thể thoả mãn các yêu cầu sau:  Thuật toán phải có độ an toàn cao.  Thuật toán phải được định nghĩa đầy đủ và hoàn toàn dễ hiểu.  Độ an toàn phải nằm ở khóa, không phụ thuộc vào tính bí mật của thuật toán.  Thuật toán phải sẵn sàng cung cấp cho mọi người dùng.  Thuật toán phải thích nghi được với việc dùng cho các ứng dụng khác nhau.  Thuật toán phải được cài đặt được một cách tiết kiệm trong các thiết bị điên từ.  Thuật toán khi sử dụng phải phát huy tối đa hiệu quả.  Thuật toán phải có khả năng hợp thức hoá.  Thuật toán phải có tính thương mại. 1.1.1 Mô tả DES Một mô tả đầy đủ về DES được nêu ra trong Công báo về chuẩn xử lý thông tin Liên bang số 46 ngày 15-1-1977. DES mã hoá một dòng bit rõ x có độ dài 64 với khoá K là dòng 56 bit, đưa ra bản mã y cũng là một dãy bit có độ dài 64. Hình 37 Mô tả DES | x | =64; | y | = 64; | k | = 56 Thuật toán DES gồm 3 giai đoạn:  Cho bản rõ x, ta tính được x0 qua việc hoán vị các bít của x theo hoán vị đầu IP: X0 = IP(x)=L0R0 L0 là 32 bit đầu tiên của x0, R0 là 32 bit còn lại và IP là hoán vị đầu cố định  Lặp 16 vòng. 1≤ i ≤16 Li = Ri-1; Ri = Li-1 ө f(Ri-1,k); Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 47 Dấu “ө” thể hiện phép toán “ hoặc loại trừ” hai dãy bit, f là một hàm, ki là những dãy dài 48 bit được tạo từ khoá k bởi thuật toán riêng. Li-1 Ri-1 Li Ri Hình 38: Một vòng của DES  Bản mã y được tính toán bởi hoán vị IP-1 của R16L16, chú ý đảo ngược vị trí của L16 và R16 Y= IP-1 (R16L16) L16 R16 R16 L16 Các mẫu hoạt động của DES: như ta đã thấy, đầu vào của DES chỉ có 8 byte, vậy mà văn bản cần mã lại có thể rất dài, cỡ vài kbyte chẳng hạn. Để giải quyết vấn đề này, người ta đã đề ra 4 mẫu hoạt động cho DES là:  Electronic CodeBook mode (ECB).  Cippher FeedBack mode (CFB).  Cipher Block Chaining mode (CBC).  Output FeedBack mode (OFB). 1.1.2 Ưu và nhược điểm của DES - Ưu điểm: Thuật toán mã hoá DES tốc độ mã hoá dữ liệu rất nhanh. - Nhược điểm: Do DES có kích cỡ của không gian khoá 256 là quá nhỏ, không đủ an toàn, cho nên những máy có mục đích đặc biệt có thể sẽ bẻ gãy và dò ra khoá rất nhanh. 1.1.3 Ứng dụng của thuật toán DES trong thực tế. Một ứng dụng rất quan trọng của DES là ứng dụng cho các văn bản trong giao dịch ngân hang sử dụng các tiêu chuẩn được hiệp hội các ngân hang Mỹ ki + f Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 48 phát triển. DES được sử dụng để mã hoá các số nhận dạng cá nhân (Pins) và các văn bản về tài khoản được máy thu ngân tự động thực hiện (ATMs)… 1.2 Thuật toán mã hoá 3DES. Thuật toán mã hoá 3DES là một biến thể phụ của DES, như ta đã biết DES vẫn tồn tại nhiều nhược điểm như: Có thể bẽ gãy bằng những máy có mục đích đặc biệt để tìm ra khóa. 1.2.1 Mô tả 3DES. Thuật toán mã hoá 3DES gồm 3 chìa khoá 64 bit, tức là toàn bộ chiều dài khoá là 192 bit Trong khi mã hoá riên tư, chúng ta đơn giản là nhập toàn bộ 192 bit khoá đơn là vào mỗi 3 chìa khoá cá nhân. Des Encryption Des Encryption Des Encryption Key 1 Ciphertext Plaintext Key 2 Key 3 Hình 39: Mô tả 3DES Thủ tục mã hoá cũng tương tự DES nhưng nó được lặp lại 3 lần tức là tăng lên 3 lần DES. Dữ liệu được mã hoá với chìa khoá đầu tiên, và được giải mã với chìa khoá 2, sau đó mã hoá lần nữa với chìa khoá thứ 3 để thu được dữ liệu mã hoá cuối cùng. + Các mẫu hoạt động của 3DES:  Triple ECB (Triple Electronic Code Book): Sách mã hoá điện tử.  Triple CBC (Triple Cipher Chaining): Móc nối khối ký số. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 49 1.2.2 Ưu và nhược điểm của 3DES - Ưu điểm: Khác với DES, thuật toán mã hoá 3DES được mã hoá 3 lần DES với kích cỡ không gian khoá 168 bit cho nên an toàn hơn rất nhiều so với DES. - Nhược điểm: Vì 3DES sử dụng 3 lần mã hoá DES cho nên tốc độ mã hoá sẽ chậm hơn rất nhiều so với DES. Phần mềm ứng dụng tỏ ra rất chậm đối với hình ảnh số và một số ứng dụng dữ liệu tốc độ cao vì kích thước khối 64 bit vẫn còn là một nhược điểm đối với những hệ có tốc độ của thế kỷ 21. 1.3 Giải thuật hàm băm (Secure Hash Algorithm). Đối với các sơ đồ chữ ký thông thường, ta chỉ có thể ký các bức điện nhỏ. Chẳng hạn khi dùng chuẩn chữ ký số DSS, một tài liệu dài 160 bit sẽ được ký bằng chữ dài 320 bit. Trên thực tế ta cần ký các tài liệu dài hơn nhiều ( Chằng hạn, một tài liệu về pháp luật có thể dài nhiều Megabyte ). Giải pháp để giải quyết các vấn đề này là dùng hàm Hash mã khoá công khai nhanh. Hàm này dựa trên nội dùng một tài liệu có độ dài tuỳ ý để tạo ra một “bản tóm tắt” của tài liệu với kích thước quy định (160 bit nếu dùng DSS). Sau đó, “bản tóm tắt” của tài liệu này (dữ liệu ra của hàm Hash) sẽ được ký. Việc dùng hàm Hash với DSS được biểu diễn như sau. Bức điện: m: Độ dài tuỳ ý Tính bản tóm lược thông báo: z=h(m) 160 bit Khi B muốn ký bức điện x, trước tiên B tạo một bản tóm tắt z của tài liệu bằng cách sử dụng hàm băm h và sau đó dùng khoá bí mật của mình để tìm chữ ký s (s=Sigk(z); trong đó Sigk là hàm mã hoá RSA với khoá bí mật của B). Tiếp theo, B gửi cặp (m,s) đến cho A. Để xác thực trước hết A phải khôi phục bản tóm tắt của tài liệu bằng hàm h (z=h(m)) và sau đó thực hiện kiểm tra xem Verk(m,s) có bằng true hay không. 1.4 Giải thuật RSA RSA là một hệ mật mã khoá công khai phổ biến và cũng đa năng nhất trong thực tế, được phát minh bởi Rivest, Shamir và Adleman được coi như là một hệ chuẩn đối với các hệ mật mã khoá công khai. RSA dựa trên tính khó của bài toán phân tích các số lớn thành ra thừa số nguyên tố: biết một số nguyên tố nhân chúng với nhau để thu được một hợp số là Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 50 bài toán dễ. Còn khi biết hợp số, để phân tích nó ra thành thừa số nguyên tố là bài toán rất khó mà hầu như không thực hiện được nếu 2 nguyên tố đó là những số lớn. Giả sử n là một số nguyên tố và là tích của hai số nguyên tố lớn khác nhau p và q (n=p.q). Ta chọn một số nguyên tố với µ(n)=(p-1)(q-1),và tính b=a-1 Mod µ(n), tức là a.b ≡ 1 mod µ(n). Hệ RSA được mô tả như sau: Lấy n=p.q, trong đó p và q là hai số nguyên tố.Đặt P=C=Zn: K={(n,b,a):ab ≡ 1 mod µ(n)}, Trong đó (n, b) là khoá công khai, còn a là khoá bí mật Với K = (K’,K”), K’ = (n,b), K” = a, ta định nghĩa ek’(x) = xb mod n dk”(y) = yb mod n Với x, y Є Zn Ta thấy rằng với mọi x Є Zn* (Tức là x Є Zn và x là nguyên tố với n) Dk” (ek’(x))= (xb)a = xab = xt.µ(n) + 1 = x mod n Với x ЄZn\Zn* ta vẫn có đẳng thức nói trên, vì khi đó hoặc x chia hết cho p và x nguyên tố với q hoặc x chia hết cho q và x nguyên tố với p. Trong cả hai trường hợp đó ta đều có: xt.µ(n) + 1 = x mod p xt.µ(n) + 1 = x mod q Từ đó suy ra ta có xt.µ(n) + 1 = x mod n. 2 Chứng thực trong VPN. Sự chứng thực là một bộ phận cấu trúc của sự an toàn mạng riêng ảo VPN, có thể ta có một hệ thống đáng tin cậy xác nhận những mạng, người dùng và dịch vụ mạng nhưng như vậy chưa hẳn đã là một hệ thống an toàn tuyệt đối, ta không thể kiểm soát được các truy nhập vào hệ thống tài nguyên mạng tập đoàn của ta trước những người dùng bất hợp pháp. Cho nên một giải pháp có thể điều khiển và ngăn cản người dùng bất hợp pháp cố tình truy nhập hệ thống là ta sử dụng phương pháp chứng thực. Hình 40: Kịch bản của sự chứng thực Sự chứng thực thì dựa vào một trong ba thuộc tính sau:  Something you have : Chìa khoá hay một thẻ dấu hiệu  Something you know: Mật khẩu Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 51  Something you are: Tiếng nói hay quét võng mạc Người dùng có thể chứng thực bằng:  Password.  One-time Password (s/key).  USB ikey.  Smart card.  PKI/ certificate  IP. Tuy nhiên đó chỉ là những phương pháp chứng thực đơn, không thích hợp hay chưa đủ mạnh mẽ để bảo vệ những hệ thống, thay vào đó các chuyên gia an toàn giới thiệu phương pháp chứng thực mạnh mẽ, áp dụng hai trong những thuộc tính trước cho sự chứng thực. Sự đa dạng của những hệ thống mạng VPN sẵn có hiện thời phụ thuộc vào những phương pháp khác nhau của sự chứng thực hoặc những sự kết hợp của chúng, Ngoài các phương pháp chứng thực đơn, trong mạng riêng ảo VPN còn sử dụng sự chứng thực bằng giao thức. Giao thức chứng thực:  Password Authentication Protocol (PAP).  Challenge Handshare Authentication Protocol (CHAP).  Extensible Authentication Protocol (EAP).  Remote Authentication Dial-up User Services (RADIUS). Máy chủ chứng thực:  Radius.  Kerberos.  LDAP.  NT domain.  Solaris Pluggable Authentication Modules (PAM).  Novell Directory Services (NDS). 2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng mật khẩu. Giao thức chứng thực mật khẩu PAP trước kia được thiết kế ra chính là để một máy tính xác nhận máy tính khác thông qua giao thức từ điểm tới điểm PPP được sử dụng như thủ tục truyền tin. Sự chứng thực PAP có thể được sử dụng tại nơi bắt đầu một mối liên kết PPP tức là khi một máy trạm truy nhập từ xa tới hệ thống mạng tập đoàn nó phải gửi ID (tên người dùng) và mật khẩu tới hệ thống mạng đích, ở đó máy chủ điều khiển truy nhập NAS có nhiệm vụ chứng thực máy trạm của người dùng đó có được phép truy nhập tới tài nguyên mạng của tập đoàn hay không. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 52 Tuy nhiên, sự chứng thực bằng giao thức chứng thực bằng mật khẩu chưa đủ sự an toàn và tin cậy vì thông tin chứng thực được trao đổi không an toàn trong môi trường mạng công cộng Internet nên các tội phạm tin học có thể nghe trôm, đánh cắp thông tin để từ đó đoán ra được mật khẩu truy nhập vào hệ thống. 2.2 Challenge Handshare Authentication Protocol (CHAP). Giao thức CHAP được thiết kế tương tự giao thức PAP nhưng có độ an toàn cao hơn nhiều. Cũng như giao thức PAP, giao thức CHAP cũng có thể được sử dụng tại nơi bắt đầu một mối liên kết PPP và sau đó lặp lại sau khi mối liên kết đó được thiết lập. 3 Firewall 3.1 Khái niệm về Firewall. Firewall là một thuật ngữ có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm mục đích:  Ngăn chặn và hạn chế các truy nhập trái phép, nhằm bảo vệ các nguồn tài nguyên , thông tin dữ liệu.  Cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet Cũng có thể hiểu Firewall là một cơ chế để bảo vệ một mạng tin cậy khỏi các mạng không tin cậy như mạng công cộng Internet. Thông thường Firewall được đặt giữa mạng tin cậy bên trong như mạng Intranet của một công ty hay một tổ chức và mạng không tin cậy như Internet. Mô hình Firewall Hình 41 Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 53 Chức năng của tương lửa Firewall: Là kiểm soát luồng thông tin ra, vào giữa mạng tin cậy (Intranet) và mạng không tin cậy Internet. Thiết lập cơ chế điều khiển các luồng thông tin cụ thể là:  Cho phép hoặc cấm những dịch vụ truy nhập từ mạng tin cậy ra ngoài mạng không tin cậy (Từ mạng Intranet tới mạng Internet).  Cho phép hoặc cấm những dịch vụ truy nhập từ mạng không tin cậy vào trong mạng tin cậy.  Theo dõi và điều khiển các luồng dữ liệu giữa Internet và Intranet.  Kiểm soát các địa chỉ truy nhập hoặc cấm địa chỉ truy nhập.  Kiểm soát người dùng và việc truy nhập của người dùng. 3.2 Các thành phần của Firewall. Firewall có thể phân loại thành 3 dạng cơ bản:  Bộ lọc gói (Packet Filters)  Máy phục vụ uỷ nhiệm (Proxy Server) bao gồm 1. Cổng ứng dụng (Application Gateway). 2. Cổng mạch (Circuit level gateway).  Bộ lọc gói có trạng thái (Statefull Packet Filters) Hình 42 Để xây dựng Firewall hoạt động có hiệu quả nhất, nên sử dụng kết hợp tất cả các thành phần trên 3.2.1 Bộ lọc gói (Packet Filtering Router). Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 54 Hình 43 Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP. Nguyên lý: Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoã mãn một trong số các luật lệ của bộ lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (Packet header) dùng để cho phép truyền các packet đó ở trên mạng. Đó là:  Địa chỉ IP nơi xuất phát (IP Source address)  Địa chỉ IP nơi nhận (IP Destination address)  Những thủ tục truyền tin (TCP,UDP. ICMP, IP tunnel)  Cổng TCP/UDP nơi xuất phát  Cổng TCP/UDP nơi nhận  Dạng thông báo ICMP (ICMP message type)  Giao diện packet đến (Incomming interface of packet)  Giao diện packet đi (outcomming interface of packet) Nếu luật lệ lọc packet được thoã mãn thì packet được chuyển qua Firewall.Nếu không thoã mãn, packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ (Telnet, SMTP, FTP …) được phép mới chạy được trên hệ thống mạng cục bộ. Ưu điểm Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 55 Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm Router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện, đào tạo đặc biệt nào cả. Hạn chế Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các luật lọc càng trở nên dài và phức tạp, rất khó để quản lý và điểu khiển. Do làm việc dựa trên header của các packet, rõ rang là bộ lọc packet không kiểm soát được nội dùng thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu. 3.2.2 Cổng ứng dụng (Application-level gateway) Hình 44 Nguyên lý: Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 56 Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được phép truy cập vào hệ thống mạng. Cơ chế hoạt động dựa trên cách thức gọi là Proxy service. Proxy service là các bộ mã đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, Proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận đựơc trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như một pháo đài (bastion host), bởi vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh mạng của một bastion host là:  Bastion host luôn chạy các version an toàn (Secure version) của các phần mềm hệ thống. Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Openrating System, cũng như đảm bảo sự tích hợp Firewall.  Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host  Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như: user name, password hay smart card.  Mỗi một proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống.  Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.  Mỗi proxy độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề. Ưu điểm: Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy cập đựơc bởi các dịch vụ. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 57 Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ lọc Filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. Hạn chế: Yêu cầu các user thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, dịch vụ telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải chỉ một bước. Tuy nhiên, đã có một số phần mềm client cho phép chạy ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên Telnet. 3.2.3 Cổng vòng (Circuit-level Gateway) Hình 45 Nguyên lý: Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 58 Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP là không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Cổng vòng làm việc như một sợi dây sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ. Cổng vòng thường được sử dụng cho các kết nối ra ngoài, nơi mà các người quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. 3.3 Những hạn chế từ Firewall Firewall không đủ thông minh để có thể hiểu được từng loại thông tin và phân tích nội dùng tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi qua nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường Dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu. Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do đó có rất nhiều cách để mã hoá dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được sử dụng rộng rãi. 3.4 Thiết lập chính sách cho Firewall. Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 59 Các chính sách được thông báo trước để người quản lý mạng và người dùng mạng biết được mình có thể làm được những gì, có thể truy cập hay không thể truy cập tới những Webside nào trên mạng. Một số điểm chú ý khi thiết lập chính xách cơ bản của Firewall: Ngăn chặn tất cả lưu lượng vào ra, sau đó chỉ cho phép một số được đi qua. Tất cả lưu lượng vào ra khỏi mạng đều phải chuyển qua bức tường lửa để kiểm tra và sang lọc những lưu lượng có thể qua được. Không dùng firewall như là nơi lưu trữ thông tin chung đa chức năng hoặc chạy chương trình. Không cho phép mật mã hay các địa chỉ bên trong mạng qua tường lửa. Nếu như mạng cần phải cung câp dich vụ cho mạng Internet thì đặt dịch vụ ra ngoài tường lửa. Lưu trữ lại các thông tin dữ liệu quan trọng của dịch vụ công cộng bằng cách tạo ra máy chủ Stand-by. 3.5 Một số loại Firewall Packet-Filltering Firewall Dual-Homed Gateway Firewall Screened Host Firewall Hình 46 Ưu điểm:  Tốc độ cao Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 60  Dễ dàng thích ứng với các dịch vụ mới