Bài viết sưu tầm

1.      Giới thiệu về cơ chế bảo mật cho hệ thống mạng

Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Điểm yếu đó chính giảm khả năng bảo mật cho hệ thống thông tin nội bộ. Bởi vì nếu hệ thống chỉ giới hạn trong nội bộ của cơ quan thì không có vấn đề gì, nhưng khi đã kết nối Internet thì phát sinh những vấn đề hết sức quan trọng trong việc quản lý các tài nguyên quý giá - nguồn thông tin - như chế độ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn cho phép người được ủy nhiệm sử dụng các nguồn thông tin mà họ được cấp quyền, và phương pháp chống rò rỉ thông tin trên các mạng truyền dữ liệu công cộng (Public Data Communication Network). Yêu cầu xây dựng hệ thống an ninh ngày càng quan trọng vì những lý do sau:

+        Các đối thủ cạnh tranh luôn tìm cách để nắm được mọi thông tin của những người cạnh tranh.

+        Các tay hacker tìm cách xâm nhập phá hoại hệ thống mạng nội bộ …

a)      Firewall là gì

Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Cụ thể hơn, có thể hiểu firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng không tin tưởng mà thông thường là Internet. Về mặt vật lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với bộ định tuyến (router) hoặc có chức năng router. Về mặt chức năng, firewall có nhiệm vụ:

+        Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall.

+        Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted network) mới được quyền lưu thông qua firewall.

Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm :

·         Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái phép vào hệ thống mạng  nội bộ. Mỗi người sử dụng muốn truy cập hợp lệ phải có một tài khoản (account) bao gồm một tên user (user name) và mật khẩu (password).

·         Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài nguyên cũng như các nguồn thông tin trên mạng theo từng người, từng nhóm người sử dụng.

·         Quản lý kế toán (Accounting Management): cho phép ghi nhận tất cả các sự kiện xảy ra liên quan đến việc truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập, vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung …

b)     Các loại firewall và cơ chế hoạt động

·         Bộ lọc packet (packet filtering)

Loại firewall này thực hiện việc kiểm tra số nhận dạng của địa chỉ của các packet để cho phép chúng lưu thông qua lại được hay không. Các thông số có thể lọc được của một packet như:

Þ    Địa chỉ IP nơi xuất phát (source IP address).

Þ    Địa chỉ IP nơi nhận (destination IP address).

Þ    Cổng TCP nơi xuất phát (source TCP port).

Þ    Cổng TCP nơi nhận (destination TCP port).

Firewall loại này cho phép kiểm soát được kết nối vào máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Ngoài ra nó còn cho phép kiểm soát việc sử dụng những dịch vụ chạy trên hệ thống mạng nội bộ thoe các cổng TCP mà các dịch vụ Internet sử dụng.

·         Cổng ứng dụng (Application gateway)

Đây là loại firewall được thiết kế tăng cường để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên Proxy Service (dịch vụ đại diện): một ứng dụng nào đó được đại diện bởi một Proxy Service trong khi các Proxy Service chạy trên các hệ thống máy chủ thì được quy chiếu đến application gateway của firewall. Cụ thể hơn, khi một ứng dụng trong mạng nội bộ yêu cầu một đối tượng nào đó trên Internet, Proxy Server trong mạng sẽ nhận yêu cầu này và chuyển đến server trên Internet. Khi server trên Internet trả lời, Proxy Server sẽ nhận và chuyển ngược lại cho máy trong mạng nội bộ đã gửi yêu cầu. Cơ chế lọc của packet filtering kết hợp với cơ chế “đại diện” của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khi kiễm soát các truy cập từ bên ngoài.

Ví dụ một hệ thống mạng có chức năng packet filtering ngăn các kết nối bằng TELNET vào hệ thống ngoại trừ một máy duy nhất - TELNET application gateway là được phép. Một người muốn sử dụng dịch vụ TELNET muốn kết nối vào hệ thống phải qua các bước sau:

Þ    Thực hiện telnet vào TELNET application gateway rồi cho biết tên của máy chủ bên trong còn truy cập.

Þ    Gateway kiểm tra địa chỉ IP nơi xuất phát của ngưòi truy cập để cho phép hoặc từ chối.

Þ    Người truy cập phải vượt qua hệ thống kiểm tra xác thực.

Þ    Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy nhập.

Þ    Proxy Service liên kết lưu thông giữa ngưòi truy cập và máy chủ trong mạng nội bộ.

Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm là hiện nay các ứng dụng đang phát triển rất nhanh, do đó nếu các proxy không đáp ứng kịp cho các ứng dụng, nguy cơ mất an toàn sẽ tăng lên.

c)      Microsoft Proxy server

Microsoft Proxy Server là một phần mềm proxy có chức năng firewall kết hợp giữa cơ chế lọc packet và cổng ứng dụng. Nó hỗ trợ hầu hết các chuẩn Internet, bao gồm HTTP, FTP, Real Audio (streaming audio), VDOLive (streaming video), IRC (Internet relay Chat) và các giao thức cho dịch vụ mail và tin tức. Microsoft Proxy Server hỗ trợ cho giao thức IPX/SPX nên nếu hệ thống chạy Novell Netware không cần phải cài đặt TCP/IP. Microsoft Proxy Server cung cấp các khả năng sau:

+        Mở rộng các ứng dụng Internet cho các máy desktop trong hệ thống mạng nội bộ. Trong một số trường hợp, Microsoft Proxy Server giúp giảm nhẹ việc quản trị các máy trạm trong mạng.

+        Có thể tăng hiệu suất và khả năng truy cập các dịch vụ Internet cho mạng nội bộ nhờ đặc tính tích hợp chặt chẽ với Windows NT và khả năng cache cao.

+        Thiết lập cơ chế giám sát, điều khiển việc truy cập giữa hệ thống  mạng nội bộ và Internet.

+        Tích hợp với Windows Windows Windows NT, mang lại hiệu suất cao và dễ dàng quản trị.

Với Microsoft Proxy Server, client có thể truy cập Internet thông qua Web Proxy Service hoặc Winsock Proxy Service.

Web Proxy Service có các tính năng và đặc điểm sau:

+        Tương thích với CERN-proxy.

+        hỗ trợ các giao thức Internet thông dụng như HTTP, FTP và Gopher.

+        Cache các đối tượng HTTP để giảm thời gian truy cập.

+        Tăng cường khả năng bảo mật nhờ các chương trình quản lý xác thực (authentication).

+        Lưu lại việc sử dụng các dịch vụ Internet của user.

+        Giới hạn việc truy cập Internet bằng cách “lọc” theo địa chỉ IP, theo nhóm, theo domain.

+        Dễ dàng quản trị nhờ các công cụ đồ họa.

Winsock Proxy Service có các đặc điểm và tính năng sau:

+        Tăng cường bảo mật với các chương trình quản lý xác thực.

+        Tương thích với các ứng dụng dùng Windows Sockets version 1.1

+        Điều khiển các kết nối vào/ra theo các cổng TCP hoặc UDP của từng dịch vụ cụ thể: SMTP, POP3, Telnet, NNTP …

+        Giới hạn việc truy cập các site Internet bằng cách lọc theo tên domain, địa chỉ IP, theo user hay nhóm người dùng.

+        Lưu lại việc sử dụng các dịch vụ của user để quản lý.

+        Có thể dùng với mọi máy client Windows.