Thực Hiện Bảo Mật trong Thương Mại Điện Tử

16 Bài 6 Th c Hi n B o M t trongự ệ ả ậ Th ng M i Đi n Tươ ạ ệ ử Th ng M i Đi n Tươ ạ ệ ử 26 N i Dungộ u B o v b n quy n, quy n s h u trí ả ệ ả ề ề ở ữ tuệ u K thu t WaterMarking và 1 s công ty ỹ ậ ố cung c p gi i phápấ ả u Thi t l p b o v trong trình duy t Webế ậ ả ệ ệ u Ch ng th c sứ ự ố 36 N i Dungộ u B o m t khi truy n g i thông tinả ậ ề ử u Các gi i thu t mã hóa, các nghi th c ả ậ ứ truy n thông mã hóaề u Văn b n v i ch ký đi n tả ớ ữ ệ ử u Proxy, FireWall 46 B o v tài s n TMĐTả ệ ả u C n ph i ghi rõ (văn b n) vi c phân ầ ả ả ệ tích cũng nh chính sách b o m tư ả ậ l Các tài s n nào c n đ c b o vả ầ ượ ả ệ l C n th c hi n gì đ b o v tài s nầ ự ệ ể ả ệ ả l Phân tích các m i đe d aố ọ l Các qui đ nh v vi c b o vị ề ệ ả ệ 56 B o v tài s n TMĐTả ệ ả u C n quan tâm đ n nh ng nguy h i xâm ầ ế ữ ạ ph m đ n tài s n khi kinh doanh TMĐTạ ế ả l Truy c p b t h p phápậ ấ ợ l S a ch a, c p nh t thông tinử ữ ậ ậ l Phá ho i thông tinạ u Liên quan đ n thông tin bí m t c a doanh ế ậ ủ nghi pệ l Không ti t l v i b t kỳ ai bên ngoài doanh ế ộ ớ ấ nghi pệ 66 Yêu c u t i thi u trong vi c b o m t TMĐTầ ố ể ệ ả ậ 76 B o v quy n s h u trí tuả ệ ề ở ữ ệ u V n đ : giao d ch mua bán trên m ng ấ ề ị ạ Internet nh ng v n có kh năng xác ư ẫ ả nh n quy n s h u khi c n thi tậ ề ở ữ ầ ế u Các khuy n ngh b o v quy n s h u ế ị ả ệ ề ở ữ trong không gian o(Cyberspace):ả l Ngăn ch n các host name b t h p phápặ ấ ợ l L c gói tin - Packet filteringọ l S d ng các Proxy serversử ụ 86 M t s công ty cung c p các ph n ộ ố ấ ầ m m b o v b n quy nề ả ệ ả ề u ARIS Technologies l H th ng Digital audio watermarkingệ ố u Nhúng mã vào các t p tin âm thanh th hi n ậ ể ệ b n quy nả ề u Digimarc Corporation l “Watermarking” v i t p tin nhi u d ng th cớ ậ ề ạ ứ l Các ph n m m đi u khi n, các thi t b ầ ề ề ể ế ị phát 96 Câu H iỏ u Gi s công ty anh ch s kinh doanh ả ử ị ẽ trên m ng v i s n ph m là các video ạ ớ ả ẩ clip ca nhac. l Th đ xu t 1 vài cách nh m b o v b n ử ề ấ ằ ả ệ ả quy n ?ề l Th đ xu t 1 vài cách thanh toán ử ề ấ u (C n phù h p v i tình hình th c t )ầ ợ ớ ự ế 10 6 WaterMarking u Cho phép nhúng thông tin tác gi (g i là ả ọ watermark) vào các tài li u s hoá sao cho ệ ố ch t l ng tr c quan c a tài li u không b ấ ượ ự ủ ệ ị nh h ng và khi c n có th dò l i đ c ả ưở ầ ể ạ ượ watermark đã nhúng nh m xác nh n b n ằ ậ ả quy n.ề u Đây là k thu t n gi u thông tin ỹ ậ ẩ ấ (steganography) đ c bi t nh m đ a các d u ặ ệ ằ ư ấ hi u vào nh s .ệ ả ố u Ngoài ra, k thu t watermarking còn đòi h i ỹ ậ ỏ s m nh m trong vi c ch ng l i các thao tác ự ạ ẽ ệ ố ạ t n công nh m xóa b thông tin đ c nhúng. ấ ằ ỏ ượ 11 6 WaterMarking u Hai h ng áp d ng chính c a k thu t ướ ụ ủ ỹ ậ watermarking là l xác nh n (ch ng th c) thông tin ậ ứ ự l đánh d u b o v b n quy nấ ả ệ ả ề u K thu t này đã đ c ng d ng ph bi n t i ỹ ậ ượ ứ ụ ổ ế ạ nhi u n c trên th gi i. T cu i nh ng năm ề ướ ế ớ ừ ố ữ 1990, k thu t này đã đ c m t s công ty ỹ ậ ượ ộ ố ng d ng trong th ng m iứ ụ ươ ạ l S d ng Liquid Audio áp d ng công ngh c a ử ụ ụ ệ ủ Verance Corporation (âm nh c).ạ l Photoshop: v i Digimarc.ớ u Ngày nay, các công ty chuyên kinh doanh các h th ng watermarking đã tăng đáng k . ệ ố ể 12 6 M t s công ty cung c p các ph n ộ ố ấ ầ m m b o v b n quy nề ả ệ ả ề u SoftLock Services l Cho phép khóa các t p tinậ l G i các t p tin lên m ngử ậ ạ l S d ng 1 khóa gi i mã (sau khi tr ti n) ử ụ ả ả ề đ có th s d ngể ể ử ụ 13 6 SoftLock Services Home Page Figure 6-2 14 6 B o v các máy kháchả ệ u Các thông tin d ng Active content, ạ đ c t i v máy t các trang web đ ng ượ ả ề ừ ộ là 1 trong các hi m h a v i máy tính ể ọ ớ c a NSDủ u M i đe do đ n tố ạ ế ừ l Các trang web l Các hình nh, plug-in,.. t i vả ả ề l Các ph n đính kèm trong e-mailầ 15 6 B o v các máy kháchả ệ u Hi m h a t Cookiesể ọ ừ l Các m u thông d ng text l u trên máy khách và ẩ ạ ư ch a các thông tin nh y c m, không mã hóaứ ạ ả l B t kỳ ai cũng có th đ c và hi u các thông tin ấ ể ọ ể trong cookies l Không tr c ti p phá ho i nh ng ti m n các ự ế ạ ư ề ẩ hi m h a phá r i ho t đ ngể ọ ố ạ ộ u Hi m h a t các website m o danh- ể ọ ừ ạ Misplaced trust l Các Web site gi m o nh m l a NSD đăng nh p ả ạ ằ ừ ậ vào và đ l các thông tin nh y c mể ộ ạ ả 16 6 Ki m soát các n i dung d ng ể ộ ạ Active u Các trình duy t Netscape ệ Navigator,Microsoft Internet Explorer cho phép NSD ki m soát và quy t đ nh ể ế ị t i v các thông tin d ng Activeả ề ạ u Ch ng th c s (Digital certificate) b o ứ ự ố ả đ m cho c clients và servers tính xác ả ả th c, đúng đ n c a 2 phía tham giaự ắ ủ 17 6 Xác nh n s -Digital Certificatesậ ố u Còn đ c g i là ượ ọ digital ID u Có th đ c đính kèm v i e-mailể ượ ớ u Đ c nhúng trong 1 trang webượ u S d ng đ xác nh n chính xác ng i ử ụ ể ậ ườ s h u digital IDở ữ u Đ c mã hóa đ không ai có th đ c ượ ể ể ọ hay nhân b nả 18 6 Trung tâm Ch ng th c k ứ ự ỹ thu t s - CAậ ố u C p và qu n lý ch ng th c s cho t t c các ấ ả ứ ự ố ấ ả đ i t ng tham gia trong môi tr ng giao d ch ố ượ ườ ị đi n t , nh các giao d ch th ng m i và trao ệ ử ư ị ươ ạ đôi thông tin, g m nh ng cá nhân, nh ng t ồ ữ ữ ổ ch c và các h th ng th ng m i đi n t .ứ ệ ố ươ ạ ệ ử u Ch ng th c s cho các cá nhân và t ch c ứ ự ố ổ ứ th c hi n an toàn các giao d ch trong môi ự ệ ị tr ng đi n t , nh g i nh n e-mail, mua bán ườ ệ ử ư ử ậ hàng hoá, trao đ i thông tin, phát tri n ph n ổ ể ầ m m...ề 19 6 Trung tâm Ch ng th c k ứ ự ỹ thu t sậ ố u Các ch c năng chính c a Trung tâm ứ ủ ch ng th c sứ ự ố o Đăng ký xin c p ch ng th c sấ ứ ự ố o Xác th c và c p ch ng th c sự ấ ứ ự ố o Truy l c và tìm ki m thông tin v ch ng ụ ế ề ứ th c sự ố o Yêu c u thay đ i, gia h n …ầ ổ ạ o Qu n lý ch ng th c sả ứ ự ố 20 6 Trung tâm Ch ng th c k ứ ự ỹ thu t sậ ố u Công c an toàn, b o m t và xác th c h p ụ ả ậ ự ợ pháp cho các h th ng ho t đ ng th ng m i ệ ố ạ ộ ươ ạ đi n t : các web site giao d ch B2B, các web ệ ử ị site bán hàng, h th ng thanh toán tr c ệ ố ự tuy n...ế u S d ng ch ng th c s giúp cho b o đ m an ử ụ ứ ự ố ả ả toàn các giao d ch đi n t . Tránh đ c các ị ệ ử ượ nguy c , gi m o thông tin, l các thông tin ơ ả ạ ộ nh y c m, m o danh, xuyên t c và thay đ i ậ ả ạ ạ ổ n i dung thông tin.ộ 21 6 Câu H iỏ u Xin c p ch ng th c s đâu ???ấ ứ ự ố ở u Đã có c quan c p ch ng th c s t i ơ ấ ứ ự ố ạ VN??? 22 6 T i Vi t Nam ????ạ ệ u Trung tâm ch ng th c k thu t s - ứ ự ỹ ậ ố Trung tâm tin h c & Nacencomm / B ọ ộ KH & CN. Xây d ng trên c s công ự ơ ở ngh hi n đ i, thi t b chuyên d ng, an ệ ệ ạ ế ị ụ toàn và b o m t m c cao theo tiêu ả ậ ứ chu n hi n hành.ẩ ệ 23 6 VeriSign u C quan CA - Certification Authority n i ơ ổ ti ng và thành l p t r t lâuế ậ ừ ấ u Cung c p nhi u c p đ xác nh nấ ề ấ ộ ậ l Class 1 (L p th p nh t)ớ ấ ấ u K t h p th đi n t v i mã khóa công c ngế ợ ư ệ ử ớ ộ l Class 4 (L p cao nh t)ớ ấ u Apply to servers and their organizations u Offers assurance of an individual’s identity and relationship to a specified organization 24 6 C u trúc 1 Digital ID c a VeriSignấ ủ 25 6 Microsoft Internet Explorer u Cung c p kh năng b o v máy khách ấ ả ả ệ (ngay trong trình duy t)ệ u Có kh năng ki m tra các n i dung ả ể ộ d ng ActiveX, Java appletạ u Ki m tra tính xác th c c a các n i ể ự ủ ộ dung đ c t i vượ ả ề u NSD xác nh n l n cu i đ tin c y vào ậ ầ ố ộ ậ n i dung đ c t i v (quy t đ nh t i v ộ ượ ả ề ế ị ả ề hay không) 26 6 Security Warning và Certificate Validation 27 6 Internet Explorer Zones và Security Levels 28 6 Internet Explorer Security Zone Default Settings 29 6 Netscape Navigator u NSD có th xác l p ch n l a đ t i v ể ậ ọ ự ể ả ề n i dung Activeộ u Có th quan sát các ch ký đính kèm ể ữ v i Java Applet và JavaScriptớ u Security : h p tho i Preferences dialogộ ạ u Xác l p ch đ Cookie:h p ậ ế ộ ộ Preferences 30 6 Netscape Navigator Preferences 31 6 Java Security Alert Trong Netscape Navigatot 32 6 N i dung c a ID Certificateộ ủ 33 6 Ph i h p v i Cookiesố ợ ớ u Có th thi t l p h n ng ch th i gian ể ế ậ ạ ạ ờ trong vòng 10, 20, hay 30 ngày u Ch có th truy c p đ n nh ng site t o ỉ ể ậ ế ữ ạ ra chính nó u L u tr thông tin mà ng i dùng không ư ữ ườ mu n nh p vào th ng xuyên khi thăm ố ậ ườ 1 website (tên tài kh an, m t kh u)ỏ ậ ẩ 34 6 Ph i h p v i Cookiesố ợ ớ u Các trình duy t tr c đây th ng t ệ ướ ườ ự đ ng l u l i các cookie (không c nh ộ ư ạ ả báo NSD) u Các trình duy t hi n nay đ u cho phépệ ệ ề l L u tr t do các cookieư ữ ự l Xu t hi n c nh báo khi có tình hu ng ghiấ ệ ả ố l Không cho phép ghi l i cookie trên máyạ 35 6 B o V Khi Truy n Thôngả ệ ề u B o v thông tin, tài s n trong quá ả ệ ả trình chuy n t i gi a các máy khách và ể ả ữ máy ph c vụ ụ u Bao g m các yêu c uồ ầ l B o m t kênh truy nả ậ ề l B o đ m toàn v n d li uả ả ẹ ữ ệ l B o đ m h p l , phù h pả ả ợ ệ ợ l Xác nh n - Authenticationậ 36 6 Ph ng pháp b o vươ ả ệ u Mã hóa - Encryption l Chuy n đ i thông tin b ng ph ng pháp ể ổ ằ ươ toán h c - d a trên 1 ch ng trìnhọ ự ươ + khóa bí m t đ t o ra các ký t khó hi uậ ể ạ ự ể l n gi u thông tin-SteganographyẨ ấ u Thông tin vô hình tr c NSDướ l Mã hóa thông tin-Cryptography u Chuy n đ i d li u g c sang d ng không th ể ổ ữ ệ ố ạ ể đ c, không có ý nghĩa,...ọ 37 6 Mã hóa-Encryption u T i thi u : s d ng khóa 40-bit, mã hóa v i ố ể ử ụ ớ khóa có đ dài 128 bit an toàn h nộ ơ u Có th phân thành 3 nhómể l Hash Coding u Xây d ng 1 chu i s duy nh t ng v i 1 n i dung c n mã ự ỗ ố ấ ứ ớ ộ ầ hóa l Mã hóa b t đ i x ng-Asymmetric (Public-key) ấ ố ứ Encryption u Mã hóa và gi i mã b ng 2 khóa khác nhauả ằ l Mã hóa đ i x ng -Symmetric (Private-key) ố ứ Encryption u Dùng 1 khóa đ mã hóa và gi i mãể ả 38 6 Câu H iỏ u Hash Coding u Mã hóa b t đ i x ng-Asymmetric ấ ố ứ (Public-key) Encryption u Mã hóa đ i x ng -Symmetric (Private-ố ứ key) Encryption 39 6 Hash Coding, Private-key, và Public-key Encryption 40 6 M t s gi i thu t mã hóa thông d ngộ ố ả ậ ụ 41 6 Secure Sockets Layer (SSL) Protocol u Th c hi n b o m t n i k t gi a 2 máy ự ệ ả ậ ố ế ữ tính u Máy khách và máy ch qui c c p đ ủ ướ ấ ộ b o m t, các qui c xác nh n và các ả ậ ướ ậ c ch b o v thông tin liên l c khácơ ế ả ệ ạ u Nhi u c ch , ki u lo i b o m t cho ề ơ ế ể ạ ả ậ vi c thông tin liên l c gi a các máy ệ ạ ữ tính 42 6 Câu H iỏ u Ho t đ ng c a nghi th c SSLạ ộ ủ ứ 43 6 Secure Sockets Layer (SSL) Protocol u Cung c p mã hóa 40 bit hay 128 bitấ u S d ng Session key đ mã hóa d ử ụ ể ữ li u trong phiên làm vi cệ ệ u Đ dài khóa càng l n thì kh năng b o ộ ớ ả ả m t càng caoậ 44 6 Thi t L p phiên mã hóa SSLế ậ 45 6 SSL Web Server 46 6 Secure HTTP (S-HTTP) Protocol u M r ng t HTTP nh m cung c p ở ộ ừ ằ ấ nhi u tính năng b o m tề ả ậ l Xác nh n c phía máy khách và máy ph c ậ ả ụ vụ l C ch mã hóa t đ ngơ ế ự ộ l Th c hi n t t c ch Request/responseự ệ ố ơ ế u H tr các ph ng pháp mã hóa ỗ ợ ươ symmetric , public-key, message digests 47 6 Câu H iỏ u Các v n đ n y sinh khi g i 1 tài li u ấ ề ả ử ệ quan tr ng, 1 đ n hàng, 1 h p đ ng,...ọ ơ ợ ồ u Ch ký đi n t đ c th c hi n v i 1 ữ ệ ử ượ ự ệ ớ văn b n, tài li u nh th nào ???ả ệ ư ế 48 6 Văn b n v i ch ký đi n tả ớ ữ ệ ử 49 6 B o đ m hoàn thành các giao d chả ả ị u Các gói thông tin đ c b o v b i mã ượ ả ệ ở hóa hay ch ký s không b đánh c pữ ố ị ắ u T c đ truy n g i đ m b oố ộ ề ử ả ả u Nghi th c TCP (Transmission Control ứ Protocol) ch u trách nhi m theo dõi và ị ệ ki m soát các gói tinể u Nghi th c TCP yêu c u máy khách g i ứ ầ ử l i gói d li u khi chúng th t l cạ ữ ệ ấ ạ 50 6 B o v máy ch ả ệ ủ Commerce Server u Quy n truy c p và s xác nh nề ậ ự ậ l Nh ng ai có th đăng nh p và quy n s ữ ể ậ ề ử d ng trên máy ph c vụ ụ ụ l Yêu c u máy khách g i 1 “xác nh n” ầ ử ậ (certificate) đ đ nh danhể ị l Server ki m tra “timestamp” c a gi y xác ể ủ ấ nh n : th i gian hi u l cậ ờ ệ ự l Có th s d ng 1 h th ng callback nh m ể ử ụ ệ ố ằ ki m tra đ a ch và tên máy khách v i 1 ể ị ỉ ớ danh sách 51 6 B o v máy ch ả ệ ủ Commerce Server u Tên tài kho n s d ng cùng v i m t ả ử ụ ớ ậ kh u và ph ng pháp thông d ngẩ ươ ụ u Tên tài kho n s d ng : d ng văn b n, ả ử ụ ạ ả M t kh u : đ c mã hóaậ ẩ ượ u M t kh u khi nh p vào đ c mã hóa ậ ẩ ậ ượ và so kh p v i thông tin cá nhân c a ớ ớ ủ NSD đ c l u trượ ư ữ 52 6 Đăng nh p vào h th ng v i tên tài kho n và m t kh uậ ệ ố ớ ả ậ ẩ 53 6 B o v v i ch c năng c a HĐHả ệ ớ ứ ủ u Ph n l n các h đi u hành s d ng c ầ ớ ệ ề ử ụ ơ ch ch ng th c : tài kho n/m t kh uế ứ ự ả ậ ẩ u Ph ng án th ng s d ng: ươ ườ ử ụ firewall l M i thông tin vào/ra kh i m ng đ u ph i đi ọ ỏ ạ ề ả qua t ng l aườ ử l Ch cho phép các gói thông tin xác đ nhỉ ị l Firewall ph i c u hình t t nh m ch ng l i ả ấ ố ằ ố ạ các cu c xâm nh pộ ậ 54 6 T ng L a-Firewallsườ ử u Ch c năng chính c a Firewall là ki m soát lu ng ứ ủ ể ồ thông tin t gi a Intranet và Internet. Thi t l p ừ ữ ế ậ c ch đi u khi n dòng thông tin gi a m ng ơ ế ề ể ữ ạ bên trong (Intranet) và m ng Internet ạ l Cho phép ho c c m nh ng d ch v truy nh p ra ngoài ặ ấ ữ ị ụ ậ (t Intranet ra Internet). ừ l Cho phép ho c c m nh ng d ch v phép truy nh p ặ ấ ữ ị ụ ậ vào trong (t Internet vào Intranet).ừ l Theo dõi lu ng d li u m ng gi a Internet và Intranet.ồ ữ ệ ạ ữ l Ki m soát đ a ch truy nh p, c m đ a ch truy nh p.ể ị ỉ ậ ấ ị ỉ ậ l Ki m soát ng i s d ng và vi c truy nh p c a ể ườ ử ụ ệ ậ ủ ng i s d ng.ườ ử ụ l Ki m soát n i dung thông tin thông tin l u chuy n trên ể ộ ư ể m ng ạ 55 6 T ng L a-Firewallsườ ử u Firewall chu n bao g m m t hay nhi u ẩ ồ ộ ề các thành ph n sau đây:ầ l B l c packet (packet-filtering router)ộ ọ l C ng ng d ng (application-level gateway ổ ứ ụ hay proxy server) l C ng m ch (circuit - level gateway)ổ ạ 56 6 T ng L a-Firewallsườ ử u Các ch c năng c a ph n m m firewallứ ủ ầ ề l L c các gói tin(Packet filters)ọ u Ki m tra t t c các gói tin đi ngang qua t ng ể ấ ả ườ l aử l Ho t đ ng nh 1 Gatewayạ ộ ư u L c gói tin d a trên yêu c u các ng d ngọ ự ầ ứ ụ l Proxy servers u Liên l c v i m ng bên ngoài thay cho m ng ạ ớ ạ ạ c c bụ ộ u Vùng đ m cho các trang webệ 57 6 Câu H iỏ u B L c Packetộ ọ u Proxy u Gateway u Router 58 6 Nguyên Lý B L c Packetộ ọ u B l c packet cho phép hay t ch i m i ộ ọ ừ ố ỗ packet mà nó nh n đ c.Nó ki m tra toàn ậ ượ ể b đo n d li u đ quy t đ nh xem đo n ộ ạ ữ ệ ể ế ị ạ d li u đó có tho mãn m t trong s các ữ ệ ả ộ ố lu t l c a l c packet hay không.ậ ệ ủ ọ u Các lu t l l c packet này là d a trên các ậ ệ ọ ự thông tin đ u m i packet (packet ở ầ ỗ header), dùng đ cho phép truy n các ể ề packet đó trên m ng:ở ạ 59 6 Nguyên Lý B L c Packet(tt)ộ ọ u Đ a ch IP n i xu t phát ( IP Source address) ị ỉ ơ ấ Đ a ch IP n i nh n (IP Destination address) ị ỉ ơ ậ Nh ng th t c truy n tin (TCP, UDP, ICMP, IP ữ ủ ụ ề tunnel) C ng TCP/UDP n i xu t phát (TCP/UDP source ổ ơ ấ port) C ng TCP/UDP n i nh n (TCP/UDP destination ổ ơ ậ port) D ng thông báo ICMP ( ICMP message type) ạ Giao di n packet đ n ( incomming interface of ệ ế packet) Giao di n packet đi ( outcomming interface of ệ packet) 60 6 Nguyên Lý B L c Packet(tt)ộ ọ u N u lu t l l c packet đ c tho mãn thì packet ế ậ ệ ọ ượ ả đ c chuy n qua firewall. N u không packet s ượ ể ế ẽ b b đi.ị ỏ u Nh v y mà Firewall có th ngăn c n đ c các ờ ậ ể ả ượ k t n i vào các máy ch ho c m ng nào đó ế ố ủ ặ ạ đ c xác đ nh, ho c khoá vi c truy c p vào h ượ ị ặ ệ ậ ệ th ng m ng n i b t nh ng đ a ch không cho ố ạ ộ ộ ừ ữ ị ỉ phép. u Vi c ki m soát các c ng làm cho Firewall có ệ ể ổ kh năng ch cho phép m t s lo i k t n i nh t ả ỉ ộ ố ạ ế ố ấ đ nh vào các lo i máy ch nào đó, ho c ch có ị ạ ủ ặ ỉ nh ng d ch v nào đó (Telnet, SMTP, FTP...) ữ ị ụ đ c phép m i ch y đ c trên h th ng m ng ượ ớ ạ ượ ệ ố ạ c c bụ ộ 61 6 Packet Filter 62 6 u/Khuy t đi mƯ ế ể u Ưu đi mể l Đa s các h th ng firewall đ u s d ng b l c ố ệ ố ề ử ụ ộ ọ packet. l Chi phí th p vì c ch l c packet đã đ c bao g m ấ ơ ế ọ ượ ồ trong m i ph n m m router.ỗ ầ ề l B l c packet là trong su t đ i v i ng i s d ng và ộ ọ ố ố ớ ườ ử ụ các ng d ng, vì v y nó không yêu c u s hu n luy n ứ ụ ậ ầ ự ấ ệ đ c bi t nào c .ặ ệ ả u H n chạ ế l Vi c đ nh nghĩa các ch đ l c package là m t vi c ệ ị ế ộ ọ ộ ệ khá ph c t pứ ạ 63 6 u/Khuy t đi mƯ ế ể l Khi đòi h i v s l c càng l n, các lu t l v l c ỏ ể ự ọ ớ ậ ệ ể ọ càng tr nên dài và ph c t p, r t khó đ qu n lý và ở ứ ạ ấ ể ả đi u khi n.ề ể l B l c packet không ki m soát đ c nôi dung thông ộ ọ ể ượ tin c a packet. Các packet chuy n qua v n có th ủ ể ẫ ể mang theo nh ng hành đ ng v i ý đ ăn c p thông tin ữ ộ ớ ồ ắ hay phá ho i c a k x u.ạ ủ ẻ ấ 64 6 C ng ng d ng ổ ứ ụ (Application-Level Gateway) l Nguyên lý Đây là m t lo i Firewall đ c thi t k đ tăng c ng ộ ạ ượ ế ế ể ườ ch c năng ki m soát các lo i d ch v , giao th c đ c ứ ể ạ ị ụ ứ ượ cho phép truy c p vào h th ng m ng. C ch ho t ậ ệ ố ạ ơ ế ạ đ ng c a nó d a trên cách th c g i là Proxy service.ộ ủ ự ứ ọ l Proxy service là các b code đ c bi t cài đ t trên ộ ặ ệ ặ gateway cho t ng ng d ng. N u ng i qu n tr ừ ứ ụ ế ườ ả ị m ng không cài đ t proxy code cho m t ng d ng nào ạ ặ ộ ứ ụ đó, d ch v t ng ng s không đ c cung c p và do ị ụ ươ ứ ẽ ượ ấ đó không th chuy n thông tin qua firewall.ể ể l Ngoài ra, proxy code có th đ c đ nh c u hình đ h ể ượ ị ấ ể ỗ tr ch m t s đ c đi m trong ng d ng mà ng òi ợ ỉ ộ ố ặ ể ứ ụ ư qu n tr m ng cho là ch p nh n đ c trong khi t ả ị ạ ấ ậ ượ ừ ch i nh ng đ c đi m khác. ố ữ ặ ể 65 6 C ng ng d ngổ ứ ụ l M t c ng ng d ng th ng đ c coi nh là m t pháo ộ ổ ứ ụ ườ ượ ư ộ đài (bastion host), b i vì nó đ c thi t k đ t bi t đ ở ượ ế ế ặ ệ ể ch ng l i s t n công t bên ngoài. Nh ng bi n pháp ố ạ ự ấ ừ ữ ệ đ m b o an ninh c a m t bastion host là:ả ả ủ ộ u Luôn ch y các version an toàn (secure version) c a các ph n ạ ủ ầ m m h th ng (Operating system). Các version an toàn này ề ệ ố đ c thi t k chuyên cho m c đích ch ng l i s t n công ượ ế ế ụ ố ạ ự ấ vào Operating System, cũng nh là đ m b o s tích h p ư ả ả ự ợ firewall u Ch nh ng d ch v mà ng i qu n tr m ng cho là c n thi t ỉ ữ ị ụ ườ ả ị ạ ầ ế m i đ c cài đ t trên bastion host, đ n gi n ch vì n u m t ớ ượ ặ ơ ả ỉ ế ộ d ch v không đ c cài đ t, nó không th b t n công. ị ụ ượ ặ ể ị ấ Thông th ng, ch m t s gi i h n các ng d ng cho các ườ ỉ ộ ố ớ ạ ứ ụ d ch v Telnet, DNS, FTP, SMTP và xác th c user là đ c ị ụ ự ượ cài đ t trên bastion host.ặ 66 6 C ng ng d ngổ ứ ụ 67 6 C ng ng d ngổ ứ ụ u Bastion host có th yêu c u nhi u m c đ xác th c ể ầ ề ứ ộ ự khác nhau, ví d nh user password hay smart card. ụ ư M i proxy đ c đ t c u hình đ cho phép truy ỗ ượ ặ ấ ể nh p ch m t s các máy ch nh t đ nh. Đi u này ậ ỉ ộ ồ ủ ấ ị ề có nghĩa r ng b l nh và đ c đi m thi t l p cho ằ ộ ệ ặ ể ế ậ m i proxy ch đúng v i m t s máy ch trên toàn ỗ ỉ ớ ộ ố ủ h th ng.ệ ố u M i proxy duy trì m t quy n nh t ký ghi chép l i ỗ ộ ể ậ ạ toàn b chi ti t c a giao thông qua nó, m i s k t ộ ế ủ ỗ ự ế n i, kho ng th i gian k t n i. Nh t ký này r t có ố ả ờ ế ố ậ ấ ích trong vi c tìm theo d u v t hay ngăn ch n k ệ ấ ế ặ ẻ phá ho i. ạ u M i proxy đ u đ c l p v i các proxies khác trên ỗ ề ộ ậ ớ bastion host. Đi u này cho phép d dàng quá trình ề ễ cài đ t m t proxy m i, hay tháo g môt proxy đang ặ ộ ớ ỡ có v n đ . ấ ể 68 6 C ng ng d ngổ ứ ụ l u đi mƯ ể u Cho phép ng i qu n tr m ng hoàn toàn đi u ườ ả ị ạ ề khi n đ c t ng d ch v trên m ng, b i vì ng ể ượ ừ ị ụ ạ ở ứ d ng proxy h n ch b l nh và quy t đ nh nh ng ụ ạ ế ộ ệ ế ị ữ máy ch nào có th truy nh p đ c b i các d ch ủ ể ậ ượ ở ị v .ụ u Cho phép ng i qu n tr m ng hoàn toàn đi u ườ ả ị ạ ề khi n đ c nh ng d ch v nào cho phép, b i vì s ể ượ ữ ị ụ ở ự v ng m t c a các proxy cho các d ch v t ng ắ ặ ủ ị ụ ươ ng có nghĩa là các d ch v y b khoá.ứ ị ụ ấ ị u C ng ng d ng cho phép ki m tra đ xác th c r t ổ ứ ụ ể ộ ự ấ t t, và nó có nh t ký ghi chép l i thông tin v truy ố ậ ạ ề nh p h th ng.ậ ệ ố u Lu t l l c filltering cho c ng ng d ng là d ậ ệ ọ ổ ứ ụ ễ dàng c u hình và ki m tra h n so v i b l c ấ ể ơ ớ ộ ọ packet. 69 6 C ng ng d ngổ ứ ụ lH n chạ ế u Yêu c u các users thay đ i thao tác, ho c thay đ i ầ ổ ặ ổ ph n m m đã cài đ t trên máy client cho truy nh p ầ ề ặ ậ vào các d ch v proxy. Ch ng h n, Telnet truy ị ụ ẳ ạ nh p qua c ng ng d ng đòi h i hai b c đ n i ậ ổ ứ ụ ỏ ướ ể ố v i máy ch ch không ph i là m t b c thôi.ớ ủ ứ ả ộ ướ u Tuy nhiên, cũng đã có m t s ph n m m client cho ộ ố ầ ề phép ng d ng trên c ng ng d ng là trong su t, ứ ụ ổ ứ ụ ố b ng cách cho phép user ch ra máy đích ch không ằ ỉ ứ ph i c ng ng d ng trên l nh Telnet. ả ổ ứ ụ ệ 70 6 C ng ng d ngổ ứ ụ 71 6 C ng vòng (Circuit-Level Gateway)ổ u C ng vòng là m t ch c năng đ c bi t có th th c ổ ộ ứ ặ ệ ể ự hi n đ c b i m t c ng ng d ng. C ng vòng ệ ượ ở ộ ổ ứ ụ ổ đ n gi n ch chuy n ti p (relay) các k t n i TCP ơ ả ỉ ể ế ế ố mà không th c hi n b t kỳ m t hành đ ng x lý ự ệ ấ ộ ộ ử hay l c packet nào.ọ u C ng vòng đ n gi n chuy n ti p k t n i telnet qua ổ ơ ả ể ế ế ố firewall mà không th c hi n m t s ki m tra, l c ự ệ ộ ự ể ọ hay đi u khi n các th t c Telnet nào.C ng vòng ề ể ủ ụ ổ làm vi c nh m t s i dây,sao chép các byte gi a ệ ư ộ ợ ữ k t n i bên trong (inside connection) và các k t n i ế ố ế ố bên ngoài (outside connection). Tuy nhiên, vì s k t ự ế n i này xu t hi n t h th ng firewall, nó che d u ố ấ ệ ừ ệ ố ấ thông tin v m ng n i b . ề ạ ộ ộ 72 6 Circuit-Level Gateway 73 6 C ng vòng (Circuit-Level Gateway)ổ u C ng vòng th ng đ c s d ng cho nh ng k t ổ ườ ượ ử ụ ữ ế n i ra ngoài, n i mà các qu n tr m ng th t s tin ố ơ ả ị ạ ậ ự t ng nh ng ng i dùng bên trong. u đi m l n ưở ữ ườ Ư ể ớ nh t là m t bastion host có th đ c c u hình nh ấ ộ ể ượ ấ ư là m t h n h p cung c p C ng ng d ng cho ộ ỗ ợ ấ ổ ứ ụ nh ng k t n i đ n, và c ng vòng cho các k t n i ữ ế ố ế ổ ế ố đi. Đi u này làm cho h th ng b c t ng l a d ề ệ ố ứ ườ ử ễ dàng s d ng cho nh ng ng i trong m ng n i b ử ụ ữ ườ ạ ộ ộ mu n tr c ti p truy nh p t i các d ch v Internet, ố ự ế ậ ớ ị ụ trong khi v n cung c p ch c năng b c t ng l a ẫ ấ ứ ứ ườ ử đ b o v m ng n i b t nh ng s t n công bên ể ả ệ ạ ộ ộ ừ ữ ự ấ ngoài. 74 6 Nh ng h n ch c a firewallữ ạ ế ủ u Không đ thông minh nh con ng i đ có th ủ ư ườ ể ể đ c hi u t ng lo i thông tin và phân tích n i dung ọ ể ừ ạ ộ t t hay x u c a nó.ố ấ ủ u Ch có th ngăn ch n s xâm nh p c a nh ng ỉ ể ặ ự ậ ủ ữ ngu n thông tin không mong mu n nh ng ph i xác ồ ố ư ả đ nh rõ các thông s đ a ch .ị ố ị ỉ u Không th ngăn ch n m t cu c t n công n u cu c ể ặ ộ ộ ấ ế ộ t n công này không "đi qua" nó. M t cách c th , ấ ộ ụ ể firewall không th ch ng l i m t cu c t n công t ể ố ạ ộ ộ ấ ừ m t đ ng dial-up, ho c s dò r thông tin do d ộ ườ ặ ự ỉ ữ li u b sao chép b t h p pháp lên đĩa m mệ ị ấ ợ ề 75 6 Nh ng h n ch c a firewallữ ạ ế ủ u Không th ch ng l i các cu c t n công b ng d ể ố ạ ộ ấ ằ ữ li u (data-drivent attack). Khi có m t s ch ng ệ ộ ố ươ trình đ c chuy n theo th đi n t , v t qua ượ ể ư ệ ử ượ firewall vào trong m ng đ c b o v và b t đ u ạ ượ ả ệ ắ ầ ho t đ ng đây.ạ ộ ở u M t ví d là các virus máy tính. Firewall không th ộ ụ ể làm nhi m v rà quét virus trên các d li u đ c ệ ụ ữ ệ ượ chuy n qua nó, do t c đ làm vi c, s xu t hi n ể ố ộ ệ ự ấ ệ liên t c c a các virus m i và do có r t nhi u cách ụ ủ ớ ấ ề đ mã hóa d li u, thoát kh i kh năng ki m soát ể ữ ệ ỏ ả ể c a firewall.ủ u Tuy nhiên, Firewall v n là gi i pháp h u hi u ẫ ả ữ ệ đ c áp d ng r ng rãi.ượ ụ ộ 76 6 Ch n c u hình cho FireWallọ ấ u Có nhi u cách thi t l p c u hìnhề ế ậ ấ lD ng Bastion hostạ u T p trung tri n khai các ch đ b o vậ ể ế ộ ả ệ u Th ng c p đ application-level hay ườ ở ấ ộ circuit level gateway lD ng Dual homed gatewayạ u S d ng 2 giao ti p m ng, 1 cho m ng ử ụ ế ạ ạ n i b và 1 cho m ng ngoàiộ ộ ạ u Kh năng l c packetả ọ 77 6 Dual-homed gateway 78 6 Ch n c u hình cho FireWall (tt)ọ ấ u D ng Screened host firewall systemạ l S d ng 1 b đi u h ng m ng (network router) ử ụ ộ ề ướ ạ đ truy n t i thông tin đi vào m ng n i b và ra ể ề ả ạ ộ ộ m ng bên ngoài qua trung gian 1 gatewayạ 79 6 Screened-host gateway 80 6 Screened Host Firewall 81 6 Ch n c u hình cho FireWall (tt)ọ ấ u Screened-subnet firewall system 82 6 Screened Subnet Firewall 83 6 Screened subnet gateway 84 6 Check Point Software’s Firewall-1 Web Page 85 6 Bài Kỳ Sau Các Hình Th c Thanh Toán ứ Trong Th ng M i Đi n Tươ ạ ệ ử