Nghiên cứu chung về quản lý mạng TCP/IP - An ninh mạng TCP/IP (security)

nhiều địa chỉ cụ thể IP. Điều này có nghĩa là không những nhà điều hành đầu cuối cần phải biết chính xác mật khẩu để truy cập vào bộ định tuyến thích hợp mà họ còn biết thêm vị trí xác định trước của bộ định tuyến trên mạng. Bằng cách kết hợp bảo vệ mật khẩu bộ định tuyến với mật khẩu bảo vệ đặc quyền của chế độ điều hành để hạn chế truy cập vào cấu hình của bộ định tuyến thông qua việc sử dụng một hoặc nhiều danh sách truy cập để khóa quyền truy cập vào bộ định tuyến. 2.2 DANH SÁCH TRUY CẬP BỘ ĐỊNH TUYẾN Trong phần trước của chương này, chúng ta tập trung nghiên cứu đến khả năng truy cập cấu hình của bộ định tuyến. Trong phần đó chúng ta chú ý rằng một phương pháp truy cập đến bộ định tuyến thông qua việc sử dụng danh sách truy cập thích hợp. Tuy nhiên, khi truy cập sâu danh sách truy cập nó sẽ bị thoát ra ngoài để thực hiện chức năng bảo mật. Trong phần này, chúng ta sẽ kiểm tra hoạt động, sử dụng, và hạn chế của danh sách truy cập. Mặc dù chúng ta sẽ thảo luận về danh sách truy cập trong thuật ngữ ứng dụng chung của nhiều sản phẩm được sản xuất bởi các nhà sản xuất khác nhau. Chúng ta cũng sẽ thảo luận các loại danh sách truy cập cụ thể và đề cập tới những ví dụ minh họa liên quan đến cách thức hoạt động của chúng. Đồng thời chúng ta sẽ đề cập đến danh sách truy cập được hỗ trợ bởi các bộ định tuyến của hệ thống Cisco, hiện tại nhà sản xuất này cung cấp trên khoảng 70% thiết bị trên thị trường. Mặc dù sử dụng danh sách truy cập trong phần này được định hướng theo sản phẩm của hệ thống Cisco, tuy nhiên cần lưu ý là bộ định tuyến của các hãng sản xuất khác cũng tính năng tương đương. Điều này có nghĩa là các ví dụ được trình bày trong phần này đều có liên quan đến các nhà cung cấp khác? Thông thường có sự thay đổi chút ít. Cũng lưu ý rằng vì có rất nhiều phiên bản bộ định tuyến của hệ thống Cisco dựa vào IOS nên khả năng thực tế và mã hóa danh sách truy cập tùy thuộc vào phiên bản IOS được sử dụng. Trong vấn đề này, chúng ta sẽ tập trung đến danh sách truy cập chính của các phiên bản khác nhau phổ biến của hệ thống Cisco đã qua vài năm sử dụng. 2.2.1 Tổng quan Một danh sách truy cập mô tả một chuỗi chọn lựa cho phép và từ chối các điều kiện mà được áp dụng đến trường giá trị trong các gói tin chảy qua một giao diện bộ định tuyến.Chỉ một danh sách truy cập được cấu hình, nó được áp dụng đến một hoặc nhiều giao diện định tuyến, dẫn đến việc thực hiện một chính sách an ninh. Vì các gói thông qua một giao diện của bộ định tuyến, thiết bị so sánh dữ liệu trong một hoặc nhiều trường trong gói với những phát biểu trong danh sách truy cập kết hợp với giao diện. Dữ liệu trong trường lựa chọn của gói được so sánh từng phát biểu trong danh sách truy cập theo thứ tự mà những phát biểu được nhập vào tạo thành danh sách. Đầu tiên kết hợp giữa các nội dung hoặc điều kiện của phát biểu trong danh sách truy cập và một hoặc nhiều thành phần dữ liệu của trường trong mỗi gói xác định dù cho bộ định tuyến có cho phép gói ngang qua giao diện hay không. Nếu điều kiện gói chảy thông qua các bộ định tuyến không cho phép thì bộ định tuyến gởi gói đến thùng trong bầu trời qua hoạt động lọc. Tại một số nhỏ nhất, danh sách truy cập định tuyến điều khiển dữ liệu theo lớp mạng. Bởi vì có rất nhiều loại giao thức lớp mạng, cũng có nhiều loại danh sách truy cập chẳng hạn như danh sách truy cập Novell NetWare IPX, danh sách truy cập giao tức Internet IP và danh sách truy cập Decnet. Bởi vì trọng tâm của cuốn sách này trên quản lý giao thức điều khiển truyền/giao thức Internet ( TCP/IP) và qui tắc quan trọng của giao thức Internet trong truy cập của chúng, chúng tôi sẽ thu hẹp xem xét danh sách truy cập của chúng tôi đến những hỗ trợ giao thức TCP / IP. 2.2.2 Xem xét giao thức TCP/IP Để thu được một đánh giá cách thức hoạt động trong danh sách truy cập IP, một xem xét tóm tắt thứ tự một phần của giao thức TCP/IP. Tại lớp ứng dụng các nội dung dòng dữ liệu mô tả một liên quan ứng dụng trong giao thức, chẳng hạn như tệp vận chuyển phiên đầu cuối xa hoặc một thư điện tử được thông qua đến một trong hai lớp vận chuyển giao thức đã hỗ trợ bởi giao thức TCP/IP: giao thức điều khiển truyền TCP (Transmission Control Protocol) và giao thức chương trình dữ liệu người dùng UDP (User Datagram Protocol). Cả TCP và UDP là giao thức lớp 4 hoạt động tại lớp vận chuyển (theo tiêu chuẩn ISO) mô hình tham khảo hệ thống mở OSI. Bởi vì một máy tính chủ điều hành giao thức TCP/IP được hỗ trợ hoạt động nhiều ứng dụng đồng thời, một kỹ thuật được đòi hỏi để phân biệt một trong những ứng dụng khác nhau như ứng dụng dữ liệu được tạo thành trong TCP hay chương trình dữ liệu UDP. Kỹ thuật sử dụng để phân biệt một ứng dụng từ những ứng dụng khác là số cổng, với mỗi ứng dụng được hỗ trợ bởi giao thức TCP/IP có kết hợp với số cổng. Ví dụ, một máy chủ có thể truyền tải một gói có chứa một email theo bởi một gói có chứa một phần của một tệp vận chuyển, với số cổng khác nhau trong mỗi gói, xác định loại dữ liệu chứa trong mỗi gói. Thông qua việc sử dụng số cổng, các ứng dụng khác có thể được truyền đến một địa chỉ chung với địa chỉ đến sử dụng số cổng trong mỗi gói như là một kỹ thuật phân kênh từ một trong những ứng dụng khác nhau trong một dòng dữ liệu nhận được từ một địa chỉ nguồn. Số cổng được chỉ định bởi quyền chỉ định của Internet IANA (Internet Assigned Number Authority). IANA duy trì một danh sách chỉ định số cổng mà bất kỳ ai có quyền tuy cập Internet cũng có thể truy cập vào. TCP là một giao thức kết nối liên kết, nó cung cấp một kỹ thuật phân phối bảo đảm. Bởi vì khả năng trao đổi dữ liệu chỉ yêu cầu một khoảng thời gian ngắn để thiết lập một kết nối TCP . Nó không những vô cùng hiệu quả của ứng dụng truyền dẫn mà chỉ đòi hỏi nhỏ số lượng dữ liệu trao đổi, chẳng hạn một câu hỏi quản lý rằng có thể đơn giản lấy lại một tham số được lưu trữ từ máy dò phía xa. Công nhận rằng loại tình trạng mạng này đòi hỏi một phương thức truyền dẫn cao hơn kết quả là phát triển của UDP. UDP được phát triển bằng một kết nối không dây, nỗ lực tốt nhất của kỹ thuật phân phối. Điều này có nghĩa là khi một phiên UDP được bắt đầu, dữ liệu bắt đầu truyền ngay lập tức thay vì phải đợi cho đến khi một phiên kết nối được thiết lập. Điều này cũng có nghĩa là trên lớp ứng dụng trở thành trách nhiệm phải cài đặt một thời gian để cho phép một khoảng thời gian để kết thúc mà không nhận được phản hồi để xác định rằng một kết nối hoặc được thiết lập hoặc đã mất. Mặc dù cả hai TCP và UDP khác nhau một trong những ứng dụng khác bằng việc sử dụng các giá trị số cổng, thực tế địa chỉ thiết bị trách nhiệm của IP, một giao thức lớp mạng hoạt động tại lớp 3 của tiêu chuẩn ISO, mô hình tham khảo của OSI. Một ứng dụng dữ liệu dưới giao thức TCP/IP hoặc một tiêu đề TCP hoặc một tiêu đề UDP được thêm dữ liệu, với kết quả đoạn dữ liệu chứa một số cổng thích hợp mà nhận dạng ứng dụng đang được vận chuyển. Tiếp theo, dữ liệu phía dưới giao thức, hoạt động trong lớp 3 dẫn đến một tiêu đề IP được thêm vào trước tiêu đề TCP hoặc UDP. Tiêu đề chứa địa chỉ IP đích và địa chỉ IP nguồn bằng 32-bit dưới chuẩn IPv4. Chúng tôi thường xuyên mã hóa địa chỉ IP khi cấu hình giao thức bằng bốn số thập phân tách rời nhau bởi dấu chấm. Dựa vào trước, có ba địa chỉ được sử dụng trong một danh sách truy cập IP mà cho phép hoặc không cho phép luồng gói tin thông qua giao diện bộ định tuyến: địa chỉ IP nguồn, địa chỉ IP đích và số cổng nhận dạng dữ liệu ứng dụng trong gói. Thực tế hệ thống Cisco và bộ định tuyến khác được sản xuất cũng hỗ trợ giao thức liên quan IP khác, chẳng hạn như giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message Protocol) và giao thức mảng mở ngắn nhất đầu tiên OSPF (Open shortest Patch First) bằng một kỹ thuật cho phép hoặc không cho phép luồng của các loại tin nhắn lỗi xác định trước và các chất vấn, với một ví dụ trễ là một gói yêu cầu phản hồi và trả lời ICMP. 2.2.3 Sử dụng danh sách truy cập Trong môi trường định tuyến của Cisco, có hai loại danh sách truy cập IP mà bạn có thể cấu hình: danh sách cấu hình chuẩn hoặc cơ sở và danh sách truy cập mở rộng. Một danh sách truy cập chuẩn cho phép lọc chỉ bằng địa chỉ nguồn. Điều này có nghĩa bạn chỉ có thể cho phép hoặc từ chối các gói tin thông qua một giao diện dựa vào địa chỉ nguồn IP trong gói. Do đó danh sách truy cập loại này được giới hạn trong các chức năng của nó. So sánh danh sách truy cập mở rộng cho phép lọc địa chỉ nguồn, địa chỉ đích và các tham số khác nhau kết hợp với các lớp phía trên trong giao thức, chẳng hạn như số cổng TCP và UDP. Nguyên tắc cấu hình Khi phát triển một danh sách truy cập định tuyến của Cisco, có một số nguyên tắc quan trọng cần lưu ý. Trước tiên danh sách truy cập của Cisco được đánh giá trong một kiểu liên tục bắt đầu với mục thứ nhất trong danh sách. Khi phù hợp, danh sách truy cập xử lý kết thúc và không có so sánh thêm xảy ra. Như vậy điều quan trọng của nó là đặt thêm chi tiết vào phía trên danh sách truy cập của bạn .Điều quan trọng thứ hai danh sách truy cập luôn luôn có ẩn một từ chối vào cuối danh sách truy cập. Điều này có nghĩa là nội dung của một gói không rõ ràng phù hợp với một trong các mục danh sách truy cập sẽ tự động bị từ chối. Bạn có thể đè lên từ chối ẩn bằng cách đặt một giấy phép rõ ràng ‘all’ vào mục cuối cùng trong danh sách của bạn. Nguyên tắc thứ ba liên quan đến cấu hình danh sách truy cập là mối quan tâm bổ sung vào danh sách. Bất cứ mục danh sách truy cập mới sẽ được tự động thêm vào dưới cùng của danh sách. Đây thực sự là điều quan trọng cần lưu ý, đặc biệt khi cố gắng thực hiện một hoặc nhiều sửa đổi danh sách truy cập. Đây là vì những phát biểu thêm vào phía dưới cùng của một danh sách truy cập có thể không có kết quả trong danh sách có thể đáp ứng yêu cầu của tổ chức. Nhiều khi có thể cần phải xóa và tạo lại một danh sách truy cập thay vì thêm vào các mục dưới cùng của danh sách. Nguyên tắc thứ tư liên quan đến các danh sách truy cập là chúng được áp dụng đến một giao diện. Một trong những lỗi phổ biến một số người cho là thích hợp để tạo ra một danh sách truy cập và quên để áp dụng nó đến một giao diện. Trong những tình huống danh sách truy cập đơn giản cư trú trong khu vực cấu hình bộ nhớ của bộ định tuyến nhưng sẽ không được sử dụng để kiểm tra luồng các gói dữ liệu thông qua bộ định tuyến, trong ảnh hưởng tương tự để lại cửa nhà kho khép hờ sau khi mất thời gian xây dựng một cấu trúc tốt. Bây giờ chúng tôi có một đánh giá của khóa (key) nguyên tắc cấu hình danh sách truy cập, chúng tôi hãy trở lại chú ý của chúng tôi đến sự tạo ra chuẩn và mở rộng danh sách truy cập bộ định tuyến của Cisco. Danh sách truy cập chuẩn Định dạng cơ bản của một danh sách truy cập chuẩn như sau: Danh sách- truy cập số {cho phép /từ chối} [địa chỉ IP ] [mặt nạ] Mỗi danh sách truy cập được chỉ định một số duy nhất để nhận dạng danh sách riêng biệt cũng như khai báo loại danh sách truy cập hệ điều hành của bộ định tuyến . Chuẩn danh sách truy cập IP của Cisco được chỉ định một số nguyên từ 1 đến 99. Một phát hành mới của hệ điều hành định tuyến của Cisco cho phép định nghĩa tên danh sách truy cập . Tuy nhiên, vì đặt tên danh sách truy cập ngược lại thì không tương thích với các phiên bản hệ điều hành bộ định tuyến có trước, chúng tôi sẽ sử dụng danh sách số trong các ví dụ được trình bày trong phần này. Bởi vì danh sách truy cập chuẩn chỉ hỗ trợ lọc địa chỉ nguồn, địa chỉ IP định dạng trong danh sách truy cập ở trên bị giới hạn mô tả khởi đầu của gói. Mặt nạ theo địa chỉ IP được định rõ trong một cách thức tương tự như cách thức mà trong đó một mặt nạ mạng định rõ khi che một địa chỉ IP. Tuy nhiên, khi dùng một danh sách truy cập, số nhị phân 0 trong mặt nạ được sử dụng như một phép 'so sánh', trong khi số nhị phân 1 được sử dụng như là số bắt buộc. Điều này là vấn đề ngược nhau về việc sử dụng các số nhị phân 1 và các số nhị phân 0 trong một mặt nạ mạng để che một địa chỉ IP. Một sự khác biệt là bộ định tuyến của Cisco thuật ngữ mặt nạ được sử dụng với một danh sách truy cập dựa vào là bằng một mặt nạ wildcard, không như mặt nạ mạng hoặc mặt nạ mạng con. Để minh họa việc sử dụng một mặt nạ wildcard của bộ định tuyến Cisco chúng tôi cho rằng bộ định tuyến của tổ chức bạn được kết nối vào Internet và cấu hình mạng của bạn được minh họa trong hình 2.3. Với một World Wide Web server nằm ở sau bộ định tuyến. Chúng tôi tiếp tục giả định rằng bạn muốn cho phép tất cả các máy chủ trên lớp C mạng tại địa điểm khác có địa chỉ IP là 205.131.176.0 truy cập vào server. Nếu bạn đã sử dụng một network mask truyền thống thành phần của nó là 255.255.255.0. Viết mạng và mask dưới dạng nhị phân sẽ cho kết quả sau đây,ở đây ký tự x là điều kiện 'không quan tâm', số nhị phân 1 hoặc 0 có thể xảy ra trong vị trí bit thích hợp : Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000 mask mạng 255.255.255.0 =11111111.11111111.11111111.00000000 = --- - - - --- - - --- - - - --- - -- kết quả địa chỉ phù hợp 11001101.10000011.10100110.xxxxxxxx  Hình 2.3 Cấu hình mạng của Cisco  Lưu ý rằng số nhị phân 1 trong network mask mô tả một so sánh trong khi số nhị phân 0 mô tả một phù hợp không điều kiện. Khi làm việc với danh sách truy cập của Cisco, sử dụng các số nhị phân 1 và 0 trong wildcard mask là nghịch đảo. Tức là một số nhị phân 1 chỉ rõ một phù hợp không điều kiện trong khi một số nhị phân 0 chỉ rõ một điều kiện so sánh. Tuy nhiên, nếu bạn sử dụng cùng thành phần mask thay vì nghịch đảo thành phần của nó, bạn sẽ có nhiều khả năng đạt được một kết quả mà không cần các yêu cầu hoạt động của bạn. Điều này được minh họa bằng ví dụ sau, ở đây một wildcard mask được sử dụng thay vì một network mask: Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000 Wildcard masks 255.255.255.0 =11111111.11111111.11111111.00000000 --- - - - --- - - --- - - - --- - - -- Kết quả địa chỉ phù hợp xxxxxxxx.xxxxxxxx.xxxxxxxx.00000000 Trong ví dụ trên bất kỳ giá trị trong ba vị trí nhóm tám thứ nhất được phép dài bằng giá trị nhóm tám cuối cùng (nhóm cuối cùng tất cả bằng 0). Điều này rõ ràng không phải là một giải pháp thỏa đáng đến đòi hỏi phục vụ Web không có thật trước đây của chúng tôi. Tuy nhiên, nếu chúng ta đặt các số 0 trong wildcard mask thì thông thường chúng tôi đặt các số nhị phân 1 trong network mask và ngược lại, chúng tôi sẽ định nghĩa đúng đắn wildcard mask. Sửa đổi hoạt động mặt nạ một lần nữa, chúng tôi thu được như sau: : Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000 Wildcard mask 0.0.0.255 =00000000.00000000.00000000.11111111 --- - - - --- - - --- - - - --- - -- Kết quả địa chỉ phù hợp =11001101.10000011.10100110.xxxxxxxx Lưu ý rằng việc tạo thành các kết quả mask ở trên trong bất kỳ máy chủ trên mạng 205.131.176.0, đó yêu cầu mà chúng tôi phải đáp ứng. Mặc dù việc sử dụng wildcard mask của Cisco có thể bị một chút bối rối đầu tiên ,đặc biệt nếu bạn có một lượng kinh nghiệm đáng kể trong sử dụng subnet mask,chỉ một khái niệm nắm được, nó sẽ áp dụng dễ dàng đến danh sách truy cập bằng subnet mask đến địa chỉ mạng. Tuy nhiên, nó là vô cùng quan trọng hãy nhớ rằng wildcard mask là một nghịch đảo network mask, bao gồm chức năng của các số nhị phân 0 và 1, vị trí của chúng trong mask và áp dụng nó cho phù hợp. Bây giờ chúng ta tìm hiểu sự hình thành và cách sử dụng wildcard mask của Cisco,chúng ta quay trở lại ví dụ và hoàn tất việc tạo thành danh sách truy cập chuẩn .Danh sách truy cập được xây dựng như sau: Danh sách truy cập 77 cho phép 205.131.176.0 0.0.0.255 Trong ví dụ này, chúng tôi đã sử dụng danh sách số 77, nó từ 1 đến 99 ,định nghĩa danh sách truy cập bằng danh sách truy cập chuẩn đến hệ điều hành bộ định tuyến. Ngoài ra lưu ý rằng địa chỉ mạng 205.131.176.0 và wildcard mask 0.0.0.255 trong điều kiện không quan tâm với bất kỳ giá trị trong nhóm tám cuối cùng của địa chỉ mạng, cho phép bất kỳ máy chủ trên mạng 205.131.176.0 để có các gói của nó chảy thông qua bộ định tuyến mà không bị lọc. Vài tin tức nữa liên quan đến danh sách truy cập cần chú ý. Trước tiên, nếu bạn bỏ quên một mask từ một liên kết địa chỉ IP, một mask ẩn 0.0.0.0 là giả định, Đồng thời có yêu cầu phù hợp giữa địa chỉ IP danh nghĩa trong danh sách truy cập và gói xảy ra, cho phép hoặc từ chối trong danh sách truy cập để lấy hiệu lực. Thứ hai, như đã đề cập trước đó, một danh sách truy cập ẩn từ chối tất cả các truy cập khác. Điều này tương đương chấm dứt danh sách truy cập với phát biểu sau: Danh sách truy cập 77 từ chối 0.0.0.0 255.255.255.255 Để cung cấp một ví dụ nữa của việc sử dụng danh sách truy cập chuẩn, chúng ta cho rằng mạng sử dụng một bộ định tuyến để kết nối giữa hai phần Ethernet với nhau. Hình 10.4 Sử dụng bộ định tuyến kết nối hai phần Ethernet Xem xét việc sử dụng bộ định tuyến minh họa trong hình 10.4, chúng tôi giả sử phần 1 có địa chỉ mạng 198.78.46.0 và bạn muốn cho các máy khách với địa chỉ máy chủ .16 và phân .18 trên phần 1 truy cập vào bất kỳ máy chủ nằm trên phần 2. Để làm như vậy, cấu hình định tuyến đầu tiên của bạn bao gồm áp dụng danh sách truy cập đến đầu giao diện ra trên Ethernet 1 (E1),sẽ bao gồm các phát biểu sau : Giao diện Ethernet 1 Nhóm truy cập ra 23 Danh sách truy cập 23 cho phép 198.78.46.160.0.0.0 Danh sách truy cập 23 cho phép 198.78.46.180.0.0.0 Trong ví dụ trước lưu ý rằng phát biểu nhóm truy cập được sử dụng để định nghĩa dòng dữ liệu trực tiếp được kết hợp với một danh sách truy cập. Ngoài ra lưu ý rằng danh sách truy cập được áp dụng đến giao diện ra trên Ethernet 1 thay vì đến giao diện vào trên Ethernet 0 (E0) theo hướng định tuyến từ phần 1 bằng một danh sách truy cập vào. Trong khi cả hai phương pháp làm việc, phương pháp sau không xem xét hiệu quả chặn tất cả các lưu thông khác từ phần 1 để lại. Do đó, trong ví dụ này chúng tôi đã quyết định áp dụng danh sách truy cập đến giao diện ra trên E1. Bây giờ chúng ta có một đánh giá chuẩn danh sách truy cập IP, chúng ta chuyển sự chú ý đến họ hàng mở rộng của chúng. Danh sách truy cập mở rộng Một chuẩn danh sách truy cập được giới hạn để định rõ một bộ lọc qua việc sử dụng một địa chỉ nguồn IP . So sánh, một danh sách truy cập mở rộng cung cấp cho bạn khả năng lọc địa chỉ nguồn, địa chỉ đích và thông tin của giao thức lớp, ví dụ các giá trị UDP và TCP. Trong thực tế, danh sách truy cập mở rộng cung cấp cho bạn khả năng tạo ra rất nhiều gói lọc phức tạp ,khả năng của các bộ lọc này có thể mở rộng đáng kể vượt ra ngoài giới hạn danh sách truy cập chuẩn. Danh sách truy cập mở rộng định dạng như sau : Số danh sách truy cập {cho phép /từ chối} giao thức địa chỉ IP nguồn Source-mask địa chỉ IP đích destination-mask/ [toán hạng điều hành] [thiết lập] Tương tự danh sách truy cập chuẩn, danh sách mở rộng được đánh số. Danh sách truy cập mở rộng được đánh số từ 100 đến 199 để phân biệt chúng từ danh sách truy cập chuẩn IP. Tham số giao thức định nghĩa rõ giao thức TCP/IP, chẳng hạn như ip, tcp, UDP, ICMP và một số định tuyến giao thức có thể được lọc. Ví dụ sau gồm giao thức định tuyến cổng nội IGRP (Interior Gateway Routing Protocol) và đường dẫn ngắn nhất mở thứ nhất OSPF (Open Shortest Path First ). Các đối số địa chỉ IP nguồn và đích mô tả địa chỉ IP nguồn và đích được biểu diễn bằng dấu chấm thập phân. Đối số source-mask và destination-mask mô tả định tuyến wildcard được sử dụng trong cùng một cách như được mô tả trước đây khi chúng tôi nghiên cứu hoạt động của danh sách truy cập chuẩn. Để đạt được khả năng định rõ thông tin thêm với các gói lọc, bạn có thể tùy chọn các đối số hoạt động và toán hạng trong danh sách truy cập mở rộng của bạn. Khi sử dụng hoạt động và toán hạng có thể được thuê để so sánh giá trị cổng tcp và udp. Liên quan đến tcp và udp, đối số các hoạt động có thể là một trong bốn từ khóa sau: LT: ít hơn GT: lớn hơn EQ: bằng NEQ: không bằng Trong sự so sánh, đối số toán hạng mô tả giá trị nguyên của cổng đích với giao thức được định rõ. Đối với giao thức TCP được hổ trợ tùy chọn là từ khóa 'thiết lập'. Khi định rõ, một phù hợp xảy ra nếu một chương trình dữ liệu TCP có ACK hoặc trường bit cài đặt RST, chỉ rằng một thiết lập kết nối đã xảy ra. Để minh họa việc sử dụng một danh sách truy cập mở rộng, chúng tôi giả định rằng bộ định tuyến đã minh hoạ trước trong hình 2.4 sẽ được kết nối vào Internet. Chúng tôi tiếp tục giả định rằng bạn muốn cho phép bất kỳ máy chủ trên mạng, đằng sau bộ định tuyến có địa chỉ IP là 198.78.46.0 để thiết lập kết nối TCP vào bất kỳ máy chủ trên Internet. Tuy nhiên, chúng tôi cũng cho rằng, ngoại trừ chấp nhận thư điện tử thông qua giao thức vận chuyển thư đơn giản SMTP (Simple Mail Transport Protocol), nó là chính sách tổ chức để cài bất kỳ máy chủ trên mạng Internet từ thiết lập các kết nối TCP đến máy chủ trên mạng 198.78.46.0 Để hoàn thành trước công việc, bạn phải bảo đảm rằng yêu cầu đầu tiên cho một kết nối SMTP là được thực hiện trên cổng đích 25 TCP , xảy ra từ số cổng lớn hơn 1023, với khởi đầu luôn luôn sử dụng cổng đích 25 để truy cập trao đổi mail trên tổ chức mạng của bạn và máy chủ kia sử dụng số cổng lớn hơn 1023. Trên cơ sở trước và giả thiết rằng địa chỉ trao đổi thư trên mạng 198.78.46.0 là 198.78.46.77, sau đây là hai danh sách truy cập được: Danh sách truy cập 101 cho phép tcp 198.78.46.00.0.0.255 0.0.0.0 255.255.255.255 Danh sách truy cập 102 cho phép tcp 0.0.0.0 255.255.255.255 198.78.46.07 0.0.0.255 được thiết lập. Danh sách truy cập 102 cho phép tcp 0.0.0.0 255.255.255.255 198.78.46.07 EQ25 Giao diện nối tiếp 0 Nhóm truy cập ip 101 Giao diện Ethernet 0 Nhóm truy cập ip 102 Trong ví dụ trước lưu ý rằng danh sách truy cập 101 được áp dụng đến cổng nối tiếp bộ định tuyến và được xây dựng để cho phép bất kỳ máy chủ trên mạng 198.78.46.0 thiết lập một kết nối TCP vào Internet. Danh sách truy cập thứ hai được đánh số 102 trong ví dụ trên được áp dụng cho giao diện Ethernet 0 (E0) được minh họa trước đó trong hình 2.4. Phát biểu thứ nhất trong danh sách truy cập 102 cho phép bất kỳ gói TCP mô tả một thiết lập kết nối xảy ra. Trong khi phát biểu thứ hai trong danh sách truy cập cho phép các gói TCP từ bất kỳ địa chỉ nguồn nào chảy đến địa chỉ mạng định rõ198.78.46.77 với giá trị cổng 25 để thông qua giao diện. Vì vậy, một kết nối vào qua cổng 25 phải xảy ra đúng thứ tự cho phát biểu thứ nhất trong danh sách truy cập 102 để cho phép các gói tin thành công với số cổng lớn hơn con số 1023 thông qua bộ định tuyến. Hạn chế Mặc dù các danh sách truy cập cung cấp một khả năng đáng kể để lọc gói tin, chúng được xem là một kỹ thuật bảo mật toàn diện. Như vậy, trong toàn bộ nghiên cứu danh sách truy cập này của Cisco, chúng ta cần chú ý những vấn đề liên quan đến hạn chế của chúng. Trong nghiên cứu danh sách truy cập, chúng tôi lưu ý rằng chúng được xây dựng bộ lọc dựa trên địa chỉ mạng. Điều này có nghĩa là chúng dễ bị tấn công để mạo danh địa chỉ hoặc bắt chước. Thêm nữa khoá giới hạn liên kết với sử dụng của chúng trên thực tế chúng không ghi chú hoặc không gói là một phần tồn tại lớp hội thoại hoặc vấn đề hội thoại nhiều hướng. Điều này có nghĩa là người ta có thể chạy một từ điển tấn công thông qua gói lọc khả năng (của bộ định tuyến) nếu địa chỉ của họ không bị chặn.Tương tự như vậy, một máy chủ được phép truy cập ftp có thể phát hành một lệnh mget *.* và lấy một vài gigabyte dữ liệu từ server, hiệu ứng tạo ra một cuộc tấn công từ chối dịch vụ. Vì các giới hạn trước, hầu hết các tổ chức bổ sung định tuyến danh sách truy cập thông qua dịch vụ proxy kết hợp với bức tường lửa mà nó là chủ đề của phần kế tiếp. 2.3 SỬ DỤNG DỊCH VỤ BỨC TƯỜNG LỬA (PROXY) Bằng việc sử dụng giao thức TCP/IP được mở rộng trong những năm 1990 với sự tăng trưởng sử dụng Internet, các tổ chức bắt đầu nhận ra rằng một mối đe dọa đối với an ninh mạng khi mạng của họ được kết nối vào Internet. Khi hội viên học viện, chính phủ và các mạng lưới thương mại được nối vào Internet, chúng đã trở thành chủ đề để tấn công không giới hạn người dùng máy tính nằm ở khắp nơi trên thế giới. Danh sách truy cập bộ định tuyến cung cấp một kỹ thuật cho phép hoặc không cho phép luồng các gói thông qua cổng bộ định tuyến dựa vào địa chỉ IP nguồn, IP đích và loại dữ liệu ứng dụng được biểu diễn dưới dạng số cổng.Tổ chức bắt đầu nhận ra rằng bản thân danh sách truy cập định tuyến không đủ ngăn chặn để ngăn cản nhiều loại hoạt động không mong muốn đến máy chủ cư trú đằng sau bộ định tuyến. Một giải pháp được trình bày cung cấp mức an ninh cao hơn đến tổ chức mạng là sử dụng một bức tường lửa sử dụng năng lực dịch vụ proxy nằm đằng sau bộ định tuyến, dịch vụ proxy là tiêu điểm của phần này. Trong phần này đầu tiên chúng ta xem ngắn gọn hoạt động danh sách truy cập định tuyến và vài giới hạn của nó.Sử dụng thông tin này như là một cơ sở,rồi chúng ta sẽ mô tả và thảo luận nhiều loại hoạt động khác nhau của dịch vụ tường lửa proxy và chúng có thể sử dụng như thế nào để thu được một mức bảo vệ mạng nâng cao. 2.3.1 Những giới hạn danh sách truy cập Hầu hết các bộ định tuyến chứa một khả năng lọc gói được tạo thành bằng cách mã hóa một hoặc nhiều phát biểu vào trong một vấn đề được dựa vào một danh sách truy cập, sau đó áp dụng danh sách truy cập đến một giao diện định tuyến. Các phát biểu danh sách truy cập gồm các tham số được định giá ngược lại các giá trị trong trường gói đã định dạng tại lớp 3 và 4 trong mô hình tham khảo kết nối hệ thống mở OSI của tổ chức chuẩn quốc tế ISO. Trong môi trường giao thức TCT/IP điều này nghĩa là một danh sách truy cập đầu tiên hoạt động bằng việc kiểm tra địa chỉ IP nguồn và đích trong một gói và số cổng được chứa trong gói mà được định nghĩa ứng dụng đang được vận chuyển trong gói đã định dạng ở lớp 3 và 4 của mô hình tham khảo ISO. Một chìa khóa giới hạn kết hợp với việc sử dụng danh sách truy cập là sự thật mà chúng là trong hiệu ứng che với khía cạnh đến hoạt động đang được cho phép. Những kết quả này từ danh sách truy cập định tuyến không có khả năng nhìn xa hơn vào trong các nội dung của một gói và xác định hoạt động có hại có xảy ra hay không và nếu vậy, ngược lại dừng hoạt động hoặc phát ra một tin nhắn báo động thích hợp đến một hoặc nhiều người trong dạng tín hiệu âm thanh , tin nhắn thư, trang báo động hoặc kết hợp các kỹ thuật như vậy. Minh họa tiềm năng giới hạn của danh sách truy cập định tuyến xem xét ứng dụng giao thức vận chuyển tệp FTP (File Transfer Protocol) phổ biến dùng để truyền tệp giữa các máy chủ. Khi sử dụng danh sách truy cập định tuyến ,bạn có thể cho phép hoặc từ chối các phiên ftp dựa trên địa chỉ IP nguồn hoặc địa chỉ IP đích được chứa trong mỗi gói thông tin ftp vận chuyển. Tin rằng tổ chức của bạn vận hành một ftp server hổ trợ truy cập ẩn danh,cho phép bất cứ ai nối đến Internet để truy cập và lấy lại thông tin từ ftp server, một sự kiện tương đối chung trên Internet. Chúng ta hãy cho thêm rằng tổ chức của bạn có số tệp lớn trên server có khả năng tải dữ liệu. Điều này có nghĩa người ta có thể cố ý hoặc không cố ý sử dụng lệnh ftp mget(multiple get) để lấy lại một số tệp lớn với một dòng lệnh vào ftp. Trên thực tế nếu người ta truy cập, ftp server của tổ chức bạn đưa ra lệnh mget sử dụng dấu hoa thị (*) trong tên tệp(file) hoạt động wildcard và vị trí tệp mở rộng được tạo thành từ dòng lệnh mget *.* rồi lệnh này đưa đến trong ftp server của tổ chức bạn tải xuống mọi tệp trong thư mục, sau đó đến người dùng đầu xa. Nếu tổ chức của bạn có số tệp lớn, dữ liệu lưu trữ tập hợp vài gigabytes và tốc độ kết nối vào Internet thấp, chẳng hạn 56 kbps,64 kbps hoặc kết nối T1, sử dụng một lệnh mget *.* có thể liên kết ra ngoài dùng kết nối Internet nhiều giờ và nhiều ngày. Nếu tổ chức của bạn hoạt đông một word wide web server cũng như một ftp server và cung cấp truy cập Internet đến nhân viên qua một đường dây truy cập, sử dụng mget trên cơ sở cố ý xem xét để mô tả được đơn giản nhưng phương pháp từ chối dịch vụ tấn công hiệu quả (DOS). Loại tấn công này là hoàn toàn hợp pháp,như người ta thuê lệnh mget đang thực hiện một vận hành hoàn toàn hợp lệ,thậm chí thông qua kết quả vận hành có thể liên kết kết nối tổ chức của bạn đến Internet cho nhiều giờ hoặc thậm chí nhiều ngày. Một cách tương tự, cho phép người ta có khả năng tải dữ liệu đến ftp server của tổ chức bạn nghĩa là chúng có thể xem xét sử dụng mget ngược lại.,đó là lệnh mput. Thông qua sử dụng mput với wildcard, chúng có thể cài đặt thiết bị 286 cũ và bơm nhiều gigabyte dữ liệu đến ftp server của bạn, cản trở phần chia về đường dây truy cập Internet của tổ chức bạn. Thừa nhận rằng cần nghiên cứu hoạt động lớp ứng dụng và cung cấp các tổ chức với khả năng điều khiển ứng dụng dẫn đến phát triển khả năng dịch vụ proxy với bức tường lửa. 2.3.2 Các dịch vụ proxy Các dịch vụ proxy mô tả thuật ngữ có đặc điểm chung kết hợp với việc sử dụng proxy server. Proxy server thông thường được thực hiện như một khối mã hóa phần mềm trên bức tường lửa và hổ trợ một hoăc nhiều ứng dụng cho các hành động phục vụ như một vật trung gian hoặc proxy giữa một yêu cầu và phục vụ hiện tại cái mà cung cấp yêu cầu phục vụ .Khi đã thực hiện trong cách này,tất cả yêu cầu cho ứng dụng định rõ được xem xét đầu tiên bằng dịch vụ hoạt động proxy trên proxy server.Nếu dịch vụ proxy được cấu hình trước cho phép hoặc không cho phép một hoặc nhiều chức năng ứng dụng với ứng dụng TCP/IP định rõ thì dịch vụ proxy xem xét nội dung mỗi gói tin và có thể một chuỗi gói tin và so sánh nội dung đến cấu hình dịch vụ proxy. Nếu nội dung của gói tin hoặc chuỗi gói tin biểu thị một hoạt động định rõ được cho phép bởi cấu hình của dịch vụ proxy thì dịch vụ cho phép gói tin chảy đến server thích hợp. Ngược lại gói tin ngay lập tức gửi đến một ít thùng lớn trong bầu trời hoặc có thể phép. Server tạo ra tin nhắn cảnh báo và một báo động hoặc tin nhắn cảnh báo đến quản trị bức tường lửa hoặc người có trách nhiệm khác . Để minh họa việc sử dụng dịch vụ proxy, chúng ta quay trở lại ví dụ truy cập ftp server của chúng ta. Một dịch vụ ftp proxy chung cho phép quản trị bức tường lửa cho phép hoặc làm mất hiệu lực các lệnh ftp khác nhau. Sử dụng chức năng này, quản trị bức tường lửa có thể điều khiển khả năng người dùng ftp để đưa ra các loại lệnh ftp khác nhau, chẳng hạn như mget và mput. Trong môi trường Microsoft Window bạn có thể sử dụng mget kiểu luồng hoăc kiểu tương tác lẫn nhau.Liên quan nữa, ftp sẽ nhắc nhở bạn thông qua việc sử dụng dấu hỏi(?) là tệp kế tiếp sẽ được truyền hoặc không được truyền. Một ví dụ sử dụng mget được minh họa trong hình 2.5. Chú ý rằng bằng sự nhập vào đơn giản một sự điều khiển trở lại là nhắc nhở? bên cạnh tệp được truyền. Vì vậy ,nó dễ dàng liên hệ cho một tin tặc ghi một mã đến luồng tệp khi sử dụng mget dưới kiểu tương tác lẫn nhau của Window và ano-brain dưới kiểu luồng của nó. Nếu bạn quen với cách trong ftp server được cấu hình,bạn hầu như chắc chắn nhận ra rằng quản trị ftp server được giới hạn chỉ định đọc và/hoặc viết cho phép đến danh mục và có thể, tùy theo hệ thống hoạt động được dùng đến các tệp trong một danh mục cho người sử dụng ẩn danh hoặc không ẩn danh, sau đó một thuật ngữ thường biểu thị người có một tài khoảng trên server. Tuy nhiên ,không có kỹ thuật mà tác giả này có nhận thức cho phép một quản trị ftp server hoặc một quản trị định tuyến cho phép chọn lựa hoặc làm mất hiệu lực các lệnh ftp riêng lẻ. Vì vậy, một dịch vụ ftp proxy cung cấp quản trị server ftp với một khả năng nâng cao đáng kể được sử dụng để cấu hình khả năng và chức năng dịch vụ ftp mà những người sử dụng khác có thể truy cập. Hình 2.5 Hình 2.5 Sử dụng mget dưới windows NT đòi hỏi một trả lời đến mỗi tệp nhắc nhở, có thể một điều khiển trở lại. Khả năng thuê dịch vụ proxy là dựa vào sử dụng vị trí bức tường lửa nằm giữa một bộ định tuyến và mạng server được nối đến một mạng LAN đằng sau bộ định tuyến.Vì vậy,loại dịch vụ proxy đó có thể được cung cấp chỉ giới hạn bởi nhu cầu của một tổ chức và chương trình của các chương trình bức tường lửa.Vài loại dịch vụ proxy phổ biến nữa gồm dịch vụ proxy đầu cuối xa Tenet , TN3720 ,Hypertext Transport Protocol(HTTP),dịch vụ proxy ftp đã thảo luận trước đó và dịch vụ proxy ICMP.Sau đây mô tả một loại dịch vụ proxy đặc biệt và xứng đáng thảo luận kỹ lưỡng vì nâng cao khả năng an ninh, nó chắc chắn cung cấp những gì chống lại các loại tấn công của tin tặc. 2.3.3 Các dịch vụ proxy ICMP Giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message Protocol) mô tả mmột giao thức lớp 3 trong giao thức TCP/IP. ICMP quen với truyền tin nhắn lỗi cũng như các câu hỏi trạng thái và trả lời những câu hỏi đó. Những gói ICMP được tạo thành bằng việc sử dụng một tiêu đề giao thức Internet IP chứa một số thích hợp trong trường loại (Type) của nó . Mặc dầu sử dụng ICMP là đầu tiên được định hướng theo vận chuyển tin nhắn lỗi giữa thiết bị hoạt động giao thức TCT/IP và vận chuyển đến người sử dụng mạng,giao thức cũng được sử dụng phổ biến bởi nhiều cá nhân mà hầu như không biết chắc chắn rằng chúng đang sử dụng gói truyền dẫn ICMP. Hai trong các loại gói ICMP phổ biến là yêu cầu phản hồi(Echo Request) và yêu cầu trả lời ( Response Request), loại được biết đến hầu hết mọi người là hoạt động Ping hoặc ứng dụng. Ứng dụng Ping được thực hiện trên một giao thức TCP/IP định rõ, một người dùng tiêu biểu vào tên lệnh ứng dụng Ping tiếp theo tên máy chủ (host) hoặc địa chỉ IP máy chủ và một hoặc nhiều tham số tùy chọn mà các tham số đó ảnh hưởng đến cách hoạt động của Ping. Sử dụng Ping với ý định ban đầu như một kỹ thuật cho phép người dùng xác định một máy chủ từ xa là hoạt động và sử dụng giao thức TCP/IP. Ping một máy chủ ở xa một gói yêu cầu phản hồi (Echo Request ) ICMP kết quả máy chủ ở xa gửi lại một gói trả lời (Echo Response ) ICMP nếu máy chủ ở xa nhận được, sẵn sàng hoạt động và thực hiện chức năng TCT/IP. Lý do sử dụng Ping cũng lưu ý nếu một máy chủ ở xa nhận được và Ping timeout nghĩa là máy chủ ở xa không hoạt động ,một hoặc nhiều thiết bị truyền thông trong đường dẫn đến máy chủ xa có thể bị rớt mạch.Tuy nhiên ,hầu hết các trường hợp Ping mô tả phương pháp xử lý sự cố đầu tiên dùng khi nó xuất hiện mà một máy chủ không trả lời câu hỏi. Bổ sung thêm rằng một máy chủ sẵn sàng đón nhận và sẵn sàng hoạt động ,sử dụng Ping cung cấp thông tin liên quan quanh độ ngắt vòng trễ đến máy chủ từ xa. Kết quả thông tin này từ ứng dụng Ping trên việc cài đặt đồng hồ khởi đầu và ghi nhớ thời gian cho đến khi nhận được một câu trả lời hoặc thời gian không làm gì xảy ra và thu được câu không trả lời. Thời gian giữa truyền Ping và nhận một câu trả lời mô tả gói tin thời gian trễ trọn vòng và cung cấp thông tin quí giá là tại sao một hoạt động phụ thuộc thời gian như sản phẩm thoại trên IP (VoIP). Khi thời gian đầu bạn Ping một đích sử dụng tên máy chủ,giao tức của bạn có thể phải thực hiện một hoạt động giả pháp địa chỉ để xác định địa chỉ IP cần cho định tuyến trực tiếp chính xác gói tin đến đúng đích của nó, ảnh hưởng thêm một sự trễ. Do đó, hầu hết thực hiện Ping bằng mặt định phát ra giữa từ ba đến năm gói yêu cầu liên tục phản hồi. Tuy nhiên, một vài thực hiện của Ping cho phép người dùng đặt một tùy chọn mà kết quả trong máy chủ liên tục phát ra Ping, cho đến khi người ta điều khiển máy tính tạo ra Ping đưa ra một CTRL-BREAK để kết thúc ứng dụng. Mặc dầu liên tục Ping xuất hiện có thể không có hại, trong thực tế nó mô tả một phương pháp cho tin tặc để bắt đầu một tấn công từ chối dịch vụ. Điều này bởi vì Ping máy chủ phải dừng điều nó đang làm, thậm chí chỉ vài mili giây và trả lời Ping với một gói trả lời ICMP. Nếu người ta cài đặt ứng dụng Ping để Ping liên tục cũng cài đặt kích cỡ gói ở kích cỡ mặc định 32 hoặc 64 bytes, tùy theo sự thực hiện,mà người ta bắt buộc đích đến trả lời với độ dài trả lời tăng, một điều đòi hỏi dùng thêm tài nguyên mạng. Vấn đề nữa kết hợp không giới hạn sử dụng Ping là có thể dùng kỹ thuật để khám phá máy chủ làm việc ở xa mạng bằng cách tấn công máy chủ từ xa.Ví dụ, một tin tặc có thể ghi một mã theo chu kỳ thông qua tất cả 254 địa chỉ trên lớp C mạng IP bằng kỹ thuật khám phá địa chỉ hoạt động hiện tại. Dựa trên cơ sở có trước, nhiều tổ chức có thể ước muốn điều khiển hoạt động Ping và các loại tin nhắn ICMP khác. Trong khi nhiều sanh sách truy cập định tuyến cung cấp người quản trị khả năng lọc gói ICMP dựa trên địa chỉ IP nguồn và/hoặc đích và loại tin nhắn ICMP, như vậy lọc danh sách truy cập là một hoạt động toàn bộ hoặc không. Tức là,một danh sách truy cập định tuyến không thể xem xét chọn lựa và lưu ý rằng chuỗi yêu cầu phản hồi ICMP từ cùng địa chỉ nguồn đã xảy ra sau một số yêu cầu xác định trước được truyền qua bộ định tuyến và yêu cầu tiếp theo là ngăn chặn. So sánh một chức năng dịch vụ proxy ICMP có thể cấu hình khác nhau giữa chuỗi gói yêu cầu phản hồi đơn và cố ý hoặc không cố ý cài đặt ứng dụng Ping để liên tục Ping một host. Tương tự, một khả năng dịch vụ proxy ICMP có thể được thuê để phân biệt giữa một người có truy cập một server khó khăn và một người khác đang sử dụng ứng dụng Ping trong một nổ lực khám phá tất cả host trên mạng của tổ chức bạn. Vì vậy, dịch vụ proxy ICMP mô tả một loại dịch vụ proxy quan trọng ,một dịch vụ có thể nâng cao an ninh cho mạng. 2.3.4 Hạn chế Mặc dầu dịch vụ proxy có thể cung cấp một nghiên cứu nâng cao về an ninh mạng, tuy nhiên chúng ta cần thảo luận những hạn chế của chúng. Trước tiên, một dịch vụ proxy đòi hỏi xem xét nội dung chi tiết của các gói tin riêng lẻ và chuỗi riêng lẻ nhưng liên quan đến các gói tin, buộc các ứng dụng cần phải tìm hiểu sâu về cấu trúc của mỗi một gói tin. Điều này dẫn đến một xử lý thêm xảy ra trên mỗi một gói, mở đầu là mức độ trễ. Thứ hai, chuỗi gói có được xem xét để quyết định nếu nó chấp nhận cho phép các gói truyền đến đích của chúng. Điều này nghĩa là một hoặc nhiều gói trong mỗi chuỗi phải làm vật đệm hoặc lưu trữ tạm thời cho đến khi dịch vụ proxy xác định nếu các gói tiếp tục đi đến đích của chúng hoặc sẽ được gửi đến bộ lưu trữ. Điều này có nghĩa là đòi hỏi thêm bộ đệm lưu trữ trong dịch vụ proxy hoặc bức tường lửa và lưu trữ tạm thời các gói tin trước khi đưa đến server. Trên thực tế, theo kiểm tra cho phép bởi vài thí nghiệm kiểm tra truyền thông, sử dụng dịch vụ proxy từ các nhà cung cấp bức tường lửa khác nhau kết quả từ 20% đến 40% băng thông của một kết nối Internet tại server proxy . Điều này cũng dẫn đến mất gói từ 20% đến 40%. Vì vậy, bạn phải xem xét hiệu quả trễ dịch vụ proxy và tiềm năng cần đến để nâng cấp đường dây truy cập Internet của bạn phòng xa tiềm năng nâng cao an ninh mạng cho tổ chức mạng của bạn. 2.3.5 Ví dụ hoạt động Bây giờ chúng ta đánh giá khả năng của bức tường lửa proxy,chúng ta sẽ kết luận phần này bằng việc xem xét vài cấu hình màn hình chặn bức tường lửa của GA Atlanta (sản phẩm bức tường lửa cảu GA Atlanta). Hình 10.6 Minh họa màn hình Interceptor’s Advanced Policy Options (tùy chọn chính sách ngăn chặn trước) trên màn hình con trỏ biểu diễn điểm bật tắt kiểm tra kết hợp với lệnh FTP PUT đến khối tải lên FTP.Trong xem xét hình 10.6 và màn hình hiển thị chặn, chú ý rằng chúng mô tả màn hình hiển thị HTML sử dụng Netscape browser. Kỹ thuật chặn bức tường lửa phát ra dạng HTML cho phép người quản lý mạng xem và sửa đổi cấu hình dữ liệu bức tường lửa. Để bảo vệ hoạt động, bức tường lửa sử dụng mật mã (encryption) và cho phép bằng hổ trợ giao thức SSL của Netscape (Netscape’s Secure Socket Layer) với mật mã tất cả lưu thông giữa bức tường lửa và Web browser dùng cấu hình bức tường lửa trong khi mật mã được sử dụng xác thực.Điều này có nghĩa người quản lý mạng có thể cấu hình an toàn bức tường lửa qua Word Wide Web. Hình 2.6 Sử dụng kỹ thuật cấu hình màn hình chặn bức tường lửa để khóa tất cả lệnh FTP PUT Các lớp sử dụng Kỹ thuật chặn bức tường lửa gồm có một lớp định nghĩa khả năng cung cấp người dùng với một kỹ thuật để thay thế các mẫu địa chỉ,thời gian trong ngày hoặc URLs bằng các tên biểu tượng.Các lớp được bắt đầu bằng sự chọn lựa các lớp phím ấn trên trái phần chia của cấu hình màn hình.Bằng cách sử dụng ký hiệu dấu bằng làm tiền tố ,chúng được phân biệt từ các mẫu chữ. Thông qua sử dụng các lớp, có thể xem xét khả năng cấu hình của bức tường lửa.Ví dụ muốn điều khiển truy cập từ người dùng đằng sau bức tường lửa đến dịch vụ Internet. Để làm điều đó, đầu tiên bạn vào địa chỉ IP của máy tính, máy tính sẽ cho phép truy cập các dịch vụ chung mà bạn mong ước sử dụng. Rồi thì định nghĩa tên lớp mà sẽ kết hợp với nhóm địa chỉ IP và tạo ra một chính sách định nghĩa dịch vụ mà các thành viên của lớp được cho phép dùng. Hình 2.7 Minh họa sử dụng cấu hình màn hình kỹ thật biên tập chính sách ngăn chặn cho phép lưu thông vào với FTP, HTTP,Telnet và SNMP. Lưu ý rằng chính sách này sử dụng tên lớp ‘=ALL-Internal-Host’ trong hộp có nhãn ‘From’. Mặc dầu không biểu diễn, bạn sẽ có sử dụng cấu hình lớp đầu tiên để vào tên lớp đó và địa chỉ IP mà bạn muốn kết hợp lớp đó.Rồi thì, chính sách biên tập mới này sẽ cho phép những địa chỉ IP đó trong lớp đã định trước = ALL-Internal-Host sử dụng FTP, HTTP, Telnet và ứng dụng SMTP. Hình 2.7 Hình 2.7 Sử dụng kỹ thật chặn bức tường lửa để tạo một chính sách cho phép lưu thông ra ngoài lFTP, HTTP, Telnet và SMTP từ tất cả người dùng trong lớp ‘All-Internal-Host’định rõ trước. Phát báo động Khả năng của bức tường lửa được nâng cao đáng kể bởi khả năng phát ra báo động,cho phép bức tường lửa báo động người quản lý mạng hoặc quản trị mạng để có thể tấn công vào mạng của họ.Hình 2.8 minh họa màn hình hiển thị kỹ thuật chặn Add Alert, với mẫu biểu diễn chọn lựa IP-Spoof. Trong ví dụ biểu diễn trong hình 2.8 báo động IP-Spoof được sử dụng bằng kỹ thuật biểu thị một yêu cầu kết nối xảy ra từ máy chủ đòi hỏi có một địa chỉ IP không thuộc về nó. Hình 10.8 Sử dụng kỹ thuật cấu hình màn hình Add Alert chặn bức tường lửa Trong thực tế,nó rất khó nhận thấy IP-Snoof xảy ra. Điều này bởi vì, trừ phi bức tường lửa thu nhận thông tin về địa chỉ IP trước, chẳn hạn như vị trí của chúng trên các đoạn truy cập là giành được qua các cổng bức tường lửa khác nhau hoặc ghi chú sự giới hạn trên địa chỉ IP, giả sử rằng một địa chỉ IP là hợp lệ. So sánh,các mẫu khác, chẳng hạn từ chối kết nối hoặc thất bại cho phép là dễ nhận thấy hơn. Với mỗi một báo động, đầu tiên bạn phải chỉ rõ tên cho định nghĩa báo động, chẳng hạn IP-Snoof cho mẩu đó. Sau đó chọn lựa mẩu, bạn có thể chỉ rõ ngày, giờ và tầng số xảy ra báo động, khi được phù hợp sẽ tạo ra một báo động. Sự chặn hoặc hổ trợ hai phương pháp tạo ra báo động hoặc qua thư điện tử hoặc trang Web. Nếu bạn chọn lựa sử dụng trang web để truyền báo động, có thể gồm một tin nhắn, chẳng hạn như mã báo động số, nétchủ yếu của loại báo động. Gói lọc Trong toàn bộ xem xét hoạt động bức tường lửa vắn tắt, chúng ta xem xét lọc gói ban đầu. Mặc dầu khả năng lọc gói của chức năng bức tường lửa tương tự chức năng định tuyến, bức tường lửa thường cấu hình dễ hơn và cung cấp tính mềm dẻo hơn trong sự cho phép hoặc không cho phép truy cập dựa trên cài đặt các qui tắc. Hình 2.9 Sử dụng kỹ thuật cấu hình màn hình chặn bức tường lửa để biên tập dịch vụ mạng HTTP. Lưu ý rằng giao thức HTTP được chọn lựa biểu diễn ,cũng như biên tập dịch vụ đó .Chú ý các cột dán nhãn ‘Max’ và ‘rate’. Cột được dán nhãn ‘Max’chỉ thị số lớn nhất của các kết nối đồng thời cho phép mỗi một dịch vụ trong khi cột được dán nhãn ‘Rate’chỉ thị tốc độ lớn nhất của kết nối mới cho mỗi một dịch vụ trên cơ sở cho phép. Bằng cách định rõ các mục cho một hoặc hai cột, bạn có thể điều khiển truy cập đáng kể dịch vụ mạng mà bạn cung cấp cũng như cân bằng tải trên các dịch vụ sử vụ nặng. Hình 2.10 Sử dụng cấu hình hiển thị kỹ thuật biên tập dịch vụ chặn bức tường lửa để cài đặt một chuỗi qui tắt khống chế đến HTTP Trong ví dụ này ,dịch vụ HTTP được phép kết nối đến 256 và xếp hàng đợi vào kích cỡ 64 , giá trị giới hạn trong khi chờ đợi kết nối TCP HTTP. Tốc độ vào lớn nhất 300 mô tả tốc độ lớn nhất của các kết nối mới được cho phép vào một dịch vụ HTTP. Chỉ một lần tốc độ này vượt quá, bức tường lửa sẽ không cho phép tạm thời truy cập đến dịch vụ đó khoảng thời gian một phút. Nếu bạn cho phép cả truy cập bên trong và truy cập bên ngoài đến một Web server, khả năng điều khiển tốc độ lớn nhất của kết nối vào đến dịch vụ liên quan có thể là một vũ khí quan trọng trong chiến tranh chống lại các cuộc tấn công từ chối dịch vụ. Với kỹ thuật này, người ta cố tình làm hại hoặc nhóm tin tặc lập trình một hoặc nhiều máy tính để đưa ra dịch vụ giả ban đầu yêu cầu sử dụng địa chỉ IP ngẫu nhiên. Từ mỗi kết quả yêu cầu truy cập dẫn đến server ban đầu một trả lời bắt tay, sự trả lời trực tiếp đến địa chỉ giả mà không đáp ứng. Server sẽ giữ kết nối 60 hoặc 120 giây, điều này mô tả khoảng thời gian một người dùng hợp lệ không cho phép truy cập server trong khi khả năng kết nối của nó là lớn nhất. Trong khi không có một hình thức giải pháp đến vấn đề này,bạn có thể dùng tùy chọn kết nối Max để giới hạn kết nối HTTP vì bạn luôn có thể cho phép người dùng bên trong truy cập Web server của bạn. Thêm nữa, nếu bạn định rõ tốc độ kết nối Max thấp, bạn có thể phủ nhận vài úng lụt của kết nối giả, cho phép vài người dùng hợp lệ với tới Web server của tổ chức bạn. Khoảng trống xem xét Trong khi định tuyến và bức tường lửa có thể được sử dụng để ngăn cản không chứng thực truy cập đến mạng máy chủ, chúng không bảo đảm an ninh kết nối truyền thông giữa máy khách và server hoặc an ninh dữ liệu được vận chuyển. Để giành được an ninh này, bạn phải sử dụng vài loại chứng thực và mã hóa. Ví dụ, khi sử dụng Web browser,bạn nên xem xét sử dụng hai quan hệ giao thức Internet, SSL(Secure Sockets Layer) được phát triển bởi Netscape hoặc S-HTTP(Secure Hypertext Transfer Protocol) được phát triển bởi Enterprise Intergration Technologies, cũng như giấy chứng nhận số có thể sử dụng từ vài tổ chức.Vài trợ kỹ thuật mật mã cũ sử dụng khóa mật mã công cộng cho chứng nhận số cho phép cung cấp chứng thực. 2.4 BIÊN DỊCH ĐỊA CHỈ MẠNG Như được đề cập đầu tiên của chương này ,chúng ta sẽ kết luận chức năng định tuyến và bức tường lửa.Chức năng đó là biên dịch địa chỉ mạng NAT(Network Address Translation). Điều này được tiến triển bởi vì sự khan hiếm địa chỉ IPv4. Vì sử dụng Internet mở rộng,khả năng tổ chức giành được đăng ký địa chỉ IP từ các nhà cung cấp dịch vụ của họ trở nên khó khăn hơn. Thực tế nhận ra rằng chỉ một phần nhỏ người sử dụng mạng nội hạt truy cập Internet cùng lúc, có thể các tổ chức chỉ định mỗi trạm một địa chỉ IP riêng, tiêu biểu từ một trong khối địa chỉ dự trữ trong RFC 1918, nó được bao trùm trong chương trước. Rồi thì, một biên dịch địa chỉ được dùng để sắp đặt hoặc biên dịch địa chỉ IP riêng trong địa chỉ đã đăng ký trên thiết bị. Nếu một tổ chức có 1000 trạm, sắp xếp 1000 địa chỉ IP riêng không đăng ký đến địa chỉ 254 trong lớp C mạng cho phép một địa chỉ mạng lớp C được sử dụng thay vì bốn. Tuy nhiên, nhiều hơn 254 người dùng đòi hỏi truy cập Internet đồng thời, vài yêu cầu người dùng phải được xếp hàng cho đến khi một địa chỉ đăng ký sử dụng trước cho phép. Mặc dầu NAT được phát triển đầu tiên như một kỹ xảo để bảo tồn địa chỉ Ipv4, bên cạnh lợi ích của sử dụng nó là ẩn địa chỉ của trạm bên cạnh bộ biên dịch. Điều này nghĩa là một tấn công trực tiếp trên tổ chức máy chủ là không thể dài hơn và dẫn đến chức năng ngăn chặn NAT được thêm vào bức tường lửa trong định tuyến. Bất chấp thiết bị sử dụng cho phép NAT,hoạt động của nó là tương đương. Tức là,bằng các gói đến thiết bị cho phép NAT, địa chỉ nguồn riêng được biên dịch vào trong địa chỉ công cộng. So sánh,các gói vào có địa chỉ IP công cộng của chúng đã biên dịch vào trong địa chỉ IP riêng tương đương của chúng dựa trên trạng thái bản đồ địa chỉ IP được duy trì bởi thiết bị. ============================================================== 2.4.1 Biên dịch các loại địa chỉ Có ba loại NAT mà thiết bị có thể thuê.Các loại này hoặc các phương pháp biên dịch địa chỉ gồm NAT tĩnh, pooled NAT và mức cổng NAT với trễ cũng dựa vào biên dịch địa chỉ cổng PAT(Port Address Translate). NAT tĩnh NAT tĩnh dẫn đến bản đồ cố định của mỗi máy chủ trên một mạng bên trong đến một địa chỉ trên mạng mở rộng.Mặc dù bản đồ tĩnh không cung cấp một tái tạo số địa chỉ IP cần bởi tổ chức, sau đó nó được cấu hình thêm hoạt động cần thiết và bảng tra cứu đơn giản của nó giảm đến mức tối thiểu. Góp vốn NAT Khi một kỹ thuật góp vốn NAT được sử dụng,một phần địa chỉ trên mạng mở rộng được sử dụng cho chỉ định địa chỉ IP động trong vị trí địa chỉ riêng trên mạng bên trong. Mặc dầu góp vốn NAT cho phép người dùng bảo tồn sử dụng địa chỉ IP công cộng, sử dụng của nó có thể chắc chắn ảnh hưởng bất lợi các loại ứng dụng. Ví dụ, SNMP quản lý vết các thiết bị dựa trên địa chỉ IP thiết bị và nhận dạng đối tượng. Bởi vì góp vốn NAT có nghĩa là địa chỉ mạng sẽ là nhiều hơn giống như thay đổi vượt thời gian, điều này nghĩa là các thiết bị phía trước thiết bị biên dịch không được cấu hình để chắc chắn truyền các bẫy lỗi đến thiết bị đằng sau thiết bị biên dịch. Một giải pháp có thể cho vấn đề này là bản đồ lâu dài một quản lý SNMP đến địa chỉ IP trong khi tất cả những thiết bị khác chia sẻ địa chỉ còn lại trong vốn địa chỉ. Dĩ nhiên, thiết bị đó hổ trợ góp vốn NAT cũng phải cho phép khả năng hổ trợ bản đồ tĩnh. Biên dịch cổng địa chỉ Một loại kết quả biên dịch địa chỉ thứ ba trong bản đồ địa chỉ bên trong đến một địa chỉ IP đơn trên mạng mở rộng. Để hoàn thành điều này, bộ biên dịch địa chỉ chỉ định số cổng khác nhau đến trường cổng nguồn TCP và UDP. Số cổng được sử dụng cho bản đồ là trên 1023, cung cấp 64512(=65535-1023) đồng thời TCP/IP hoặc UDP/IP kết nối trên một địa chỉ đơn. Bởi vì bản đồ xảy ra đến một địa chỉ đơn thông qua việc sử dụng số cổng khác nhau, kỹ thuật này được dựa vào biên dịch địa chỉ cổng PAT (Port Address Translate). Sử dụng kết quả PAT trong tất cả lưu lượng truyền dẫn về phía trên mạng công cộng xuất hiện đến từ địa chỉ IP đơn. Bất kể phương pháp sử dụng NAT, sử dụng của nó ẩn địa chỉ IP hiện tại của tổ chức mạng. Khi được kết hợp chặt chẽ vào trong bức tường lửa, NAT mô tả một kỹ thuật buộc địa chỉ IP trực tiếp tấn công bức tường lửa và hy vọng rằng các lý thuyết về bức tường lửa làm tiền đề để nghiên cứu phần cứng để chống lại các tấn công trên mạng.