TRNG I HC KHOA HC T NHIÊN
KHOA CÔNG NGH THÔNG TIN
B MÔN MNG MÁY TÍNH & VIN THÔNG
PHAN TRUNG HIU - TRN LÊ QUÂN
CÁC PHNG PHÁP LP TRÌNH VT
FIREWALL
KHÓA LUN C NHÂN TIN HC NIÊN KHÓA 2001 - 2005

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng

TRNG I HC KHOA HC T NHIÊN
KHOA CÔNG NGH THÔNG TIN
B MÔN MNG MÁY TÍNH & VIN THÔNG
PHAN TRUNG HIU 0112463

……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………

Phan Trung Hiu - Trang 3 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
LI NHN XÉT CA GIÁO VIÊN PHN BIN
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………
……………………………………………………………………………………………………

đã nhn đc s khích l rt nhiu t phía nhà trng, thy cô, gia đình và bn bè trong
khoa. Chính điu này đã mang li cho chúng em s đng viên rt ln đ chúng em có
th hoàn thành tt lun vn ca mình.
Trc ht, chúng con xin cm n nhng bc làm cha, làm m đã luôn ng h,
chm sóc chúng con và to mi điu kin tt nht đ chúng con có th hoàn thành
nhim v ca mình.
Chúng em xin cm n nhà trng nói chung và Khoa CNTT nói riêng đã đem
li cho chúng em ngun kin thc vô cùng quý giá đ chúng em có đ kin thc hoàn
thành lun vn cng nh làm hành trang bc vào đi.
Em xin cm n các thy cô thuc b môn MMT, đc bit là thy  Hoàng
Cng – giáo viên hng dn ca chúng em đã tn tình hng dn và giúp đ chúng
em mi khi chúng em có khó khn trong quá trình hc tp cng nh trong quá trình
làm lun vn tt nghip.
Xin cm n tt c các bn bè thân yêu đã đng viên, giúp đ chúng em trong
sut quá trình hc tp cng nh làm đ tài.
Mt ln na, xin cm n tt c mi ngi…
TPHCM 7/2005
Nhóm sinh viên thc hin
Phan Trung Hiu – Trn Lê Quân Phan Trung Hiu - Trang 5 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
LI NÓI U
Ni dung lun vn đc trình bày trong 8 chng thuc v 5 phn khác nhau :


Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
MC LC
Chng 1: GII THIU V FIREWALL 11
1.1 t vn đ: 11
1.2 Nhu cu bo v thông tin: 11
1.2.1
Nguyên nhân:
11
1.2.2
Bo v d liu:
13
1.2.3
Bo v các tài nguyên s dng trên mng:
13
1.2.4
Bo v danh ting c quan:
13
1.3 Các kiu tn công: 14
1.3.1
Tn công trc tip:
14
1.3.2
Nghe trm:
15
1.3.3
Gi mo đa ch:
15
1.3.4
Vô hiu các chc nng ca h thng (DoS, DDoS):

1.9 Mt s mô hình Firewall: 30
1.9.1
Packet-Filtering Router:
30
1.9.2
Mô hình Single-Homed Bastion Host:
32
1.9.3
Mô hình Dual-Homed Bastion Host:
34
1.9.4
Proxy server:
36
1.9.5
Phn mm Firewall – Proxy server:
37
1.10 Li kt: 46
Chng 2: KHÁI NIM PROXY 47
2.1 Proxy là gì: 47
2.2 Ti sao proxy li ra đi: 48
2.3 Tng kt chung v proxy: 48
Chng 3: CÁC PHNG PHÁP LP TRÌNH VT FIREWALL 50
3.1 Vt firewall là gì: 50
3.2 Phng pháp th nht: HTTP Proxy 50
Phan Trung Hiu - Trang 7 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
3.3 Phng pháp th hai: Web-Based Proxy 51
3.4 Phng pháp th ba: Http Tunneling 51

Chc nng:
67
5.3.3
Thut toán:
69
Chng 6: Plug-in chng vt firewall cho trình duyt Internet Explorer 73
6.1 Gii thiu s lc : 73
6.2 Các tính nng chính: 74
6.2.1
Lc các trang web da trên vic duyt danh sách các trang web có sn
trong c s d liu:
74
6.2.2
Lc các trang web da trên c ch kim tra đa ch (URL):
74
6.2.3
Lc da trên ni dung ca các Input Form trong trang web:
75
6.2.4
Cp nht các trang web based proxy:
76
6.2.5
Vô hiu hóa/kích hot plugin:
76
6.3 Mt s vn đ cn lu ý khi vit plugin cho trình duyt IE : 76
6.3.1
Khái nim Browser Helper Objects (BHO):
76
6.3.2
Mt s hàm x lí quan trng:

7.3.3
Chi tit các đi tng, hàm x lí chính ca module :
85
7.4 Module chn đa ch IP: 85
7.4.1
Gii thiu v Filter-Hook Driver :
85
7.4.2
Tóm tt các bc xây dng Filter-Hook Driver đ bt gói tin:
86
7.5 Chi tit lu tr d liu : 86
7.5.1
Bng ForbiddenProxy
86
7.5.2
Bng TrustedProxy:
86
7.6 S đ hot đng ca Module chn đa ch IP : 87
7.7 Din gii mô hình : 87
7.8 Nhn xét – đánh giá : 88
7.8.1
u đim:
88
7.8.2
Khuyt đim:
89
Chng 8: KT LUN 90
8.1 Nhng kt qu đt đc: 90
8.2 Hng phát trin : 91


Hình 26 Trang thông báo mi khi ngi dùng duyt nhng trang web vi phm 74
Hình 27 Cách trình bày thông thng ca mt trang web base proxy 75
Hình 28 Quá trình trình duyt khi đng và np các BHO 77
Hình 29 Mô hình hot đng ca Plugin 80
Hình 30 nh dng ca gói tin gi đn proxy server 84
Hình 31 S đ hot đng ca module chn đa ch IP 87

DANH SÁCH BNG
Phan Trung Hiu - Trang 10 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
PHN TH NHT
C S LÝ THUYT
Chng 1: GII THIU V FIREWALL
1.1 t vn đ:
Song song vi vic xây dng nn tng v công ngh thông tin, cng nh phát
trin các ng dng máy tính trong sn xut, kinh doanh, khoa hc, giáo dc, xã hi,

Theo s liu ca CERT (Computer Emegency Response Team), s lng
các v tn công trên Internet đc thông báo cho t chc này là ít hn 200 vào nm
1989, khong 400 vào nm 1991, 1400 vào nm 1993, và 2241 vào nm 1994.
Nhng v tn công này nhm vào tt c các máy tính có mt trên Internet, các máy
tính ca tt c các công ty ln nh AT&T, IBM, các trng đi hc, các c quan
nhà nc, các t chc quân s, nhà bng Mt s v tn công có quy mô khng l
(có ti 100.000 máy tính b tn công). Hn na, nhng con s này ch là phn ni
ca tng bng. Mt phn rt ln các v tn công không đc thông báo, vì nhiu lý
do, trong đó có th k đn ni lo b mt uy tín, hoc đn gin nhng ngi qun tr
h thng không h hay bit nhng cuc tn công nhm vào h thng ca h.
Không ch s lng các cuc tn công tng lên nhanh chóng, mà các phng
pháp tn công cng liên tc đc hoàn thin. iu đó mt phn do các nhân viên
qun tr h thng đc kt ni vi Internet ngày càng đ cao cnh giác. Cng theo
CERT, nhng cuc tn công thi k 1988-1989 ch yu đoán tên ngi s dng-
mt khu (UserID-password) hoc s dng mt s li ca các chng trình và h
điu hành (security hole) làm vô hiu h thng bo v, tuy nhiên các cuc tn công
vào thi gian gn đây bao gm c các thao tác nh gi mo đa ch IP, theo dõi
thông tin truyn qua mng, chim các phiên làm vic t xa (telnet hoc rlogin).
Nhu cu bo v thông tin trên Internet có th chia thành ba loi gm: Bo v
d liu; Bo v các tài nguyên s dng trên mng và Bo v danh ting ca c
quan.
Phan Trung Hiu - Trang 12 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
1.2.2 Bo v d liu:

Nhng thông tin lu tr trên h thng máy tính cn đc bo v do các yêu
cu sau:
Bo mt: Nhng thông tin có giá tr v kinh t, quân s, chính sách vv

Nhng cuc tn công trc tip thông thng đc s dng trong giai đon
đu đ chim đc quyn truy nhp bên trong. Mt phng pháp tn công c đin
là dò tìm tên ngi s dng và mt khu. ây là phng pháp đn gin, d thc hin
và không đòi hi mt điu kin đc bit nào đ bt đu.
K tn công có th s dng nhng thông tin nh tên ngi dùng, ngày sinh,
đa ch, s nhà vv đ đoán mt khu. Trong trng hp có đc danh sách ngi
s dng và nhng thông tin v môi trng làm vic, có mt trng trình t đng
hoá v vic dò tìm mt khu này.
Mt chng trình có th d dàng ly đc t Internet đ gii các mt khu
đã mã hoá ca các h thng unix có tên là crack, có kh nng th các t hp các t
trong mt t đin ln, theo nhng quy tc do ngi dùng t đnh ngha. Trong mt
s trng hp, kh nng thành công ca phng pháp này có th lên ti 30%.
Phng pháp s dng các li ca chng trình ng dng và bn thân h điu
hành đã đc s dng t nhng v tn công đu tiên và vn đc tip tc đ chim
quyn truy nhp. Trong mt s trng hp phng pháp này cho phép k tn công
có đc quyn ca ngi qun tr h thng (root hay administrator).
Hai ví d thng xuyên đc đa ra đ minh ho cho phng pháp này là ví
d vi chng trình sendmail và chng trình rlogin ca h điu hành UNIX.
Sendmail là mt chng trình phc tp, vi mã ngun bao gm hàng ngàn
dòng lnh ca ngôn ng C. Sendmail đc chy vi quyn u tiên ca ngi
qun tr h thng, do chng trình phi có quyn ghi vào hp th ca nhng
ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tín trên
mng bên ngoài. ây chính là nhng yu t làm cho sendmail tr thành mt ngun
cung cp nhng l hng v bo mt đ truy nhp h thng.
Phan Trung Hiu - Trang 14 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
Rlogin cho phép ngi s dng t mt máy trên mng truy nhp t xa vào
mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng

Hình 1 Mô hình tn công DDoS
Client là mt attacker sp xp mt cuc tn công •
Handler là mt host đã đc tha hip đ chy nhng chng trình
đc bit dùng đê tn công
•
Mi handler có kh nng điu khin nhiu agent •
Mi agent có trách nhim gi stream data ti victim
•
1.3.5 Li ca ngi qun tr h thng:
ây không phi là mt kiu tn công ca nhng k đt nhp, tuy nhiên li
ca ngi qun tr h thng thng to ra nhng l hng cho phép k tn công s
dng đ truy nhp vào mng ni b.

Phan Trung Hiu - Trang 16 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
1.3.6 Tn công vào yu t con ngi:
K tn công có th liên lc vi mt ngi qun tr h thng, gi làm mt
ngi s dng đ yêu cu thay đi mt khu, thay đi quyn truy nhp ca mình
đi vi h thng, hoc thm chí thay đi mt s cu hình ca h thng đ thc hin
các phng pháp tn công khác. Vi kiu tn công này không mt thit b nào có
th ngn chn mt cách hu hiu, và ch có mt cách giáo dc ngi s dng mng
ni b v nhng yêu cu bo mt đ đ cao cnh giác vi nhng hin tng đáng
nghi. Nói chung yu t con ngi là mt đim yu trong bt k mt h thng bo v
nào, và ch có s giáo dc cng vi tinh thn hp tác t phía ngi s dng có th
nâng cao đc đ an toàn ca h thng bo v.
1.4 Firewall là gì ?

Phan Trung Hiu - Trang 18 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
chung ca các Firewall là phân bit đa ch IP da trên các gói tin hay t chi vic truy
nhp
hp pháp cn c trên đa ch ngun. bt
1.5 Các chc nng chính:
1.5.1 Chc nng:

Chc nng chính ca Firewall là kim soát lung thông tin t gia Intranet
và Internet. Thit lp c ch điu khin dòng thông tin gia mng bên trong
(Intranet) và mng Internet. C th là:

• Cho phép hoc cm nhng dch v truy nhp ra ngoài (t Intranet ra
Internet).
• Cho phép hoc cm nhng dch v phép truy nhp vào trong (t Internet
vào Intranet).
• Theo dõi lung d liu mng gia Internet và Intranet.
• Kim soát đa ch truy nhp, cm đa ch truy nhp.
• Kim soát ng
i s dng và vic truy nhp ca ngi s dng. Kim
soát ni dung thông tin lu chuyn trên mng.
Phan Trung Hiu - Trang 19 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng

t s chc nng ca Firewall. Hình 4 M
1.5.2 Thành phn:

a ch IP ni xut phát ( IP Source address) •
a ch IP ni nhn (IP Destination address) •
Nhng th tc truyn tin (TCP, UDP, ICMP, IP tunnel)
•
Cng TCP/UDP ni xut phát (TCP/UDP source port) •
Cng TCP/UDP ni nhn (TCP/UDP destination port) •
Dng thông báo ICMP ( ICMP message type) •
Giao din packet đn ( incomming interface of packet) •
Giao din packet đi ( outcomming interface of packet) •
Nu lut l lc packet đc tho mãn thì packet đc chuyn qua Firewall. Nu
không packet s b b đi. Nh vy mà Firewall có th ngn cn đc các kt ni vào
các máy ch hoc mng nào đó đc xác đnh, hoc khoá vic truy cp vào h thng
mng ni b t nhng đa ch không cho phép. Hn na, vic kim soát các cng làm
cho Firewall có kh nng ch cho phép mt s loi kt ni nht đnh vào các loi máy
ch nào đó, hoc ch có nhng dch v nào đó (Telnet, SMTP, FTP ) đc phép mi
chy đc trên h thng mng cc b.
u đim:
a s các h thng Firewall đu s dng b lc packet. Mt trong nhng
u đim ca phng pháp dùng b lc packet là chi phí thp vì c ch
lc packet đã đc bao gm trong mi phn mm router.
•
Ngoài ra, b lc packet là trong sut đi vi ngi s dng và các ng
dng, vì vy nó không yêu cu s hun luyn đc bit nào c.
•
Hn ch:
Vic đnh ngha các ch đ lc package là mt vic khá phc tp; đòi hi
ngi qun tr mng cn có hiu bit chi tit v các dch v Internet, các
dng packet header, và các giá tr c th có th nhn trên mi trng. Khi
•
Phan Trung Hiu - Trang 22 - Trn Lê Quân

th mc by b đnh tuyn. Ngi qun tr nên áp dng đng thi các quy tc, s dng
thông tin đnh danh kèm theo gói tin nh thi gian, giao thc, cng đ tng cng
điu kin lc. Tuy nhiên, s yu kém trong k thut lc gói tin ca Firewall da trên b
đnh tuyn không ch có vy.
Mt s dch v gi th tc t xa (Remote Procedure Call - RPC) rt khó lc mt
cách hiu qu do các server liên kt ph thuc vào các cng đc gán ngu nhiên khi
khi đng h thng. Dch v gi là ánh x cng (portmapper) s ánh x các li gi ti
dch v RPC thành s dch v gán sn, tuy nhiên, do không có s tng ng gia s
dch v vi b đnh tuyn lc gói tin, nên b đnh tuyn không nhn bit đc dch v
nào dùng cng nào, vì th nó không th ngn chn hoàn toàn các dch v này, tr khi
b đnh tuyn ngn toàn b các gói tin UDP (các dch v RPC ch yu s dng giao
thc UDP hay User Datagram Protocol). Vic ngn chn tt c các gói tin UDP cng s
ngn luôn c các dch v cn thit, ví d nh DNS (Domain Name Service  dch v
đt tên vùng). Vì th, dn đn tình trng tin thoái lng nan.
Phan Trung Hiu - Trang 24 - Trn Lê Quân
Mssv: 0112463 Mssv:0112319

Lun vn tt nghip Mng máy tính GVHD: ThS  Hoàng Cng
1.8 Các ý nim chung v Firewall:
Mt trong nhng ý tng chính ca Firewall là che chn cho mng ca bn khi
tm nhìn ca nhng ngi dùng bên ngoài không đc phép kt ni, hay chí ít cng
không cho phép h r ti mng. Quá trình này thc thi các ch tiêu lc b do ngi
qun tr n đnh.
Trên lý thuyt, Firewall là phng pháp bo mt an toàn nht khi mng ca bn
có kt ni Internet. Tuy nhiên, vn tn ti các vn đ xung quanh môi trng bo mt
này. Nu Firewall đc cu hình quá cht ch, tin trình làm vic ca mng s b nh
hng, đc bit trong môi trng ngi dùng ph thuc hoàn toàn vào ng dng phân
tán. Do Firewall thc thi tng chính sách bo mt cht ch nên nó có th b sa ly. Tóm
li, c ch bo mt càng cht ch bao nhiêu, thì tính nng càng b hn ch by nhiêu.
Mt vn đ khác ca Firewall tng t nh vic xp trng vào r. Do là rào chn