Giải pháp chia sẻ và bảo mật mạng với Proxy Server

Khái quát

Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway, theo
đó một bộ chơng trình proxy đợc đặt ở gateway ngăn cách một mạng bên
trong (Intranet) với Internet.

Bộ chơng trình proxy đợc phát triển dựa trên bộ công cụ xây dựng Internet
Firewall TIS (Trusted Information System), bao gồm một bộ các chơng trình
và sự đặt lại cấu hình hệ thống để nhằm mục đích xây dựng một firewall. Bộ
chơng trình đợc thiết kế để chạy trên hệ UNIX sử dụng TCP/IP với giao diện
socket Berkeley.

Bộ chơng trình proxy đợc thiết kế cho một số cấu hình firewall, theo các
dạng cơ bản: dual-home gateway, screened host gateway, và screened subnet
gateway.

Thành phần Bastion host trong Firewall, đóng vai trò nh một ngời chuyển
tiếp thông tin, ghi nhật ký truyền thông, và cung cấp các dịch vụ, đòi hỏi độ
an toàn cao.

Phần mềm firewall - proxy SERVER

Bộ chơng trình proxy gồm những chơng trình mức ứng dụng (application-
level programs), dùng để thay thế hoặc là thêm vào phần mềm hệ thống. Đối

thờng xuyên quét th mục này, khi phát hiện có th sẽ chuyển dữ liệu cho
sendmail để phân phát vào các hòm th cá nhân hoặc chuyển tiếp tới các mail
server khác.

Nh vậy, một user lạ trên mạng không thể kết nối trực tiếp với Mail Server.
Tất cả các thông tin đi theo đờng này hoàn toàn có thể kiểm soát đợc. Tuy
nhiên, chơng trình cũng không thể giải quyết vấn đề giả mạo th hoặc các loại
tấn công bằng đờng khác.

FTP Getway Proxy server cho dịch vụ FTP

Proxy server cho dịch vụ FTP cung cấp khả năng kiểm soát truy nhập dịch vụ
FTP dựa trên địa chỉ IP và hostname, và cung cấp điều khiển truy nhập thứ
cấp cho phép tuỳ chọn khoá hoặc ghi nhật ký bất kỳ lệnh FTP nào. Các địa
chỉ đích của dịch vụ này cũng có thể tuỳ chọn đợc phép hay bị cấm. Tất cả
các sự kết nối và dung lợng dữ liệu chuyển qua đều bị ghi nhật kí lại.

FTP Gateway tự bản thân nó không đe doạ an toàn của hệ thống Firewall, bởi
vì nó chạy chroot tới một th mục rỗng và không thực hiện một thủ tục vào ra
file nào cả ngoài việc đọc file cấu hình của nó. FTP Server chỉ cung cấp dịch
vụ FTP, mà không quan tâm đến ai có quyền hay không có quyền kết xuất
(download) file. Do vậy, việc xác định quyền phải đợc thiết lập trên FTP
Gateway và phải thực hiện trớc khi thực hiện việc kết xuất (download) hay
nhập (upload) file. Ftp Gateway nên đợc cấu hình dựa theo chính sách an
toàn của mạng. Bộ chơng trình proxy cho phép ngời quản trị mạng cung cấp
cả dịch vụ ftp và ftp proxy trên cùng một hệ thống nhng việc làm này là
không đảm bảo an ninh của firewall.

Tóm lại, sử dụng FTP Gateway có thể ngăn ngừa mọi sự thâm nhập vào
mạng qua cổng FTP một cách khá linh hoạt (cho phép ngăn cản từng địa chỉ

Các yêu cầu truy nhập đều đợc ghi vào nhật ký nhằm quản lý và thống kê.

Với cơ chế đón nhận thông tin trực tiếp từ cổng HTTP, phần mềm này đảm
bảo kiểm soát đợc toàn bộ nhng truy nhập vào hệ thống thông qua Web.
Đồng thời việc xử lý bản tin, thực hiện trong bộ nhớ, nên không ảnh hởng
đến hệ thống.

Rlogin Gateway - Proxy server cho rlogin

Các terminal truy nhập qua thủ tục BSD rlogin đợc kiểm soát bởi rlogin
gateway. Chơng trình cho phép kiểm tra và điều khiển truy nhập mạng tơng
tự nh telnet gateway. Rlogin client có thể chỉ ra một hệ thống ở xa ngay khi
bắt đầu nối vào proxy. Chơng trình sẽ hạn chế yêu cầu tơng tác giữa user với
máy.

Plug Gateway - TCP Plug-Board Connection server

Firewall cung cấp các dịch vụ thông thờng nh Usernet news. Ngời quản trị
mạng có thể chọn hoặc là chạy dịch vụ này ngay trong firewall, hoặc cài đặt
một proxy server cho dịch vụ này.

Do dịch vụ News chạy trực tiếp trên firewall thì dễ gây lỗi hệ thống, nên cách
an toàn hơn là sử dụng proxy. Plug gateway đợc thiết kế để kiểm soát dịch vụ
Usernet News và một số dịch vụ khác nh Lotus Notes, Oracle, etc.

Plug gateway dựa trên địa chỉ IP hoặc hostname, sẽ cho phép kiểm soát tất cả
các truy nhập hệ thống thông qua các cổng dịch vụ đợc đăng ký. Trên cơ sở
đó sẽ cho phép hoặc cấm các yêu cầu truy nhập. Tất cả yêu cầu kết nối bao
gồm cả dữ liệu có thể đợc ghi lại nhật ký để theo dõi và kiểm soát.


rlogin

Netacl là một công cụ để điều khiển truy nhập mạng, dựa trên địa chỉ network
của máy client, và dịch vụ đợc yêu cầu. Nó bao trùm nên các dịch vụ cơ bản
cung cấp thêm khả năng kiểm soát cho dịch vụ đó. Vì vậy một client (xác
định bởi địa chỉ IP hoặc hostname) có thể truy nhập tới telnet server khi nó
nối với cổng dịch vụ telnet trên firewall.

Thờng thờng trong các cấu hình firewall, NETACL đợc sử dụng để cấm tất
cả các máy trừ một vài host đợc quyền login tới firewall qua hoặc là telnet
hoặc là rlogin, và để khoá các truy nhập từ những kẻ tấn công.

Độ an toàn của Netacl dựa trên địa chỉ IP và/hoặc hostname. Với các hệ
thống cần độ an toàn cao, nên dụng địa chỉ IP để tránh sự giả mạo DNS.
Netacl không chống lại đợc sự giả địa chỉ IP qua chuyển nguồn (source
routing) hoặc những phơng tiện khác. Nếu có các loại tấn công nh vậy, cần
phải sử dụng một router có khả năng soi những packet đã đợc chuyển nguồn
(screening source routed packages).

Chú ý là netacl không cung cấp điều khiển truy nhập UDP, bởi vì công nghệ
hiện nay không đảm bảo sự xác thực của UDP. An toàn cho các dịch vụ UDP
ở đây đồng nghĩa với sự không cho phép tất cả các dịch vụ UDP.

Xác thực và dịch vụ xác thực (authentication)

Bộ Firewall chứa chơng trình server xác thực đợc thiết kế để hỗ trợ cơ chế
phân quyền. Authsrv chứa một cơ sở dữ liệu về ngời dùng trong mạng, mỗi
bản ghi tơng ứng với một ngời dùng, chứa cơ chế xác thực cho mỗi anh ta,
trong đó bao gồm tên nhóm, tên đầy đủ của ngời dùng, lần truy cập mới nhất.
Mật khẩu không mã hoá (Plain text password) đợc sử dụng cho ngời dùng

Cho đi qua hoặc cấm bất kỳ một gói tin nào.
Nhận biết đợc các dịch vụ khác nhau
Lọc theo địa chỉ IP hoặc hosts
Cho phép lọc chọn lựa giao thức IP bất kỳ
Cho phép lọc chọn lựa theo các mảnh IP
Cho phép lọc chọn lựa theo các tuỳ chọn IP
Gửi trả lại các khối ICMP/TCP lỗi và đặt lại số hiệu packet
Lu giữ các thông tin trạng thái đối với các dòng TCP, UDP and ICMP
Lu giữ các thông tin trạng thái đối với các mảnh IP packet bất kỳ
Có chức năng nh Network Address Translator (NAT)
Làm cơ sở thiết lập các kết nối trong suốt đối với ngời sử dụng
Cung cấp các header cho các chơng trình của ngời sử dụng để xác nhận.
Ngoài ra hỗ trợ không gian tạm cho các quy tắc xác nhận đối với các gói tin
đi qua.
Đặc biệt đối với các giao thức cơ bản của Internet, TCP, UDP và ICMP, thì
IP filter cho phép lọc theo:

Inverted host/net matching
Số hiệu cổng của các gói tin TCP/UDP
Kiểu hoặc mã của các gói tin ICMP
Thiết lập các gói tin TCP
Tổ hợp tuỳ ý các cờ trạng thái TCP
Lọc/loại bỏ những gói IP cha kết thúc
Lọc theo kiểu dịch vụ
Cho phép ghi nhật ký các bản tin bao gồm:

Header của các gói tin TCP/UDP/ICMP and IP
Một phần hoặc tất cả dữ liệu của gói tin

Lựa chọn giải pháp


Kết nối đơn trc tiếp
Bộ Firewall đợc đặt giữa hai mạng Intranet và Internet (Intranet ở đây hiểu là
mạng bên trong cần bảo vệ, còn Internet là mạng bên ngoài). Tất cả các đờng
truyền đi ra hoặc đi và đều phải thông qua Firewall.

Mô hình mạng Đờng truyền từ ngoài đợc nối vào router, qua HUB vào máy chủ Firewall,
sau đó đi vào mạng bên trong. Tất cả các gói tin từ ngoài vào sẽ đợc Firewall
Server đón nhận, kiểm tra nếu hợp lệ sẽ chuyển tiếp vào bên trong. Ngợc lại,
nếu không hợp lệ sẽ bi loại bỏ ngay. Tơng tự nh vậy đối với đối với các yêu
cầu truy nhập từ trong ra cũng bị Firewall kiểm soát.

Phần mềm Firewall sẽ đợc cài trên máy chủ (server). Tuy thuộc vào mục đích
kiểm soát, nhà quản lý có thể mua đầy đủ hoặc mua từng phần của bộ chơng
trình phần mềm Firewall. Nếu mua từng phần thì chỉ có những truy nhập
thông qua các dịch vị đó mới bị kiểm soát. Ngoài ra, cũng có một lựa chọn
chỉ cho phép một số dịch vụ nào đó đợc phép.

Lu ý rằng, cấu hình máy chủ này càng mạnh thì tốc độ xử lý càng nhanh, thời
gian do firewall chiếm là không đáng kể.

Yêu cầu phần cứng

1 x Máy chủ SUN/HP/IBM/ 2CPU, 332Mhz,256Mb RAM, 4GB HD, CD
ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn
1x HUB: 3Com/IBM/HP/
Yêu cầu phần mềm

bị kiểm soát.

Phần mềm Firewall sẽ đợc cài trên 2 máy chủ (server). Tuy thuộc vào mục
đích kiểm soát, nhà quản lý có thể mua toàn bộ hoặc mua từng phần. Nếu
mua từng phần thì chỉ có những truy nhập thông qua các dịch vị đó mới bị
kiểm soát. Ngoài ra cũng có một lựa chọn chỉ cho phép một số dịch vụ nào
đó đợc phép.

Cấu hình máy chủ càng mạnh thì tốc độ xử lý càng nhanh, khi đó thời gian do
firewall xử lý là không đáng kể.

Nếu thiết lập theo chế độ dự phòng, máy chủ thứ hai (máy phụ) có thể chọn
cấu hình phần cứng thấy hơn.

Yêu cầu phần cứng

1 x Máy chủ chính: SUN/HP/IBM/ 4CPU, 332Mhz, 256Mb RAM, 4GB
HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn
1 x Máy chủ dự phòng: SUN/HP/IBM/ 2CPU, 332Mhz, 128Mb RAM, 4GB
HD, CD ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn
2 x Hub: 3COM/IBM/HP/
Cable, connector,
Yêu cầu phần mềm

OS: UNIX/NT cài trên 2 máy chủ (có thể 1 NT và 1UNIX hoặc cả 2 cùng là
UNIX hoặc cùng là NT)
Firewall Software (depend on your selection) cài trên 2 máy chủ
Ưu điểm

Chế độ thực hiện an toàn cao, nhanh.

Đồng thời cũng không có khả năng cấm hoặc cho phép các dịch vụ trao đổi
qua lại giữa hai mạng.

Yêu cầu phần cứng
Máy chủ SUN/HP/IBM/ 2CPU, 332Mhz,128Mb RAM, 4GB HD, CD
ROM, Ethernet Card, Monitor, Mouse hoặc cao hơn
Thiết bị chuyển mạch
Yêu cầu phần mềm

1 x OS: UNIX/NT cài cho máy chủ
1 x Firewall Software (depend on your selection)
Ưu điểm

Chi phí thực hiện thấp so với các giải pháp khác
Có khả năng thống kê toàn bộ việc truy nhập từ ngoài vào, và từ trong ra.
Nhợc điểm

Không cho phép ngăn chặn những truy nhập cố ý hoặc phá hoại từ bên ngoài
cũng nh từ trong ra