Thực Hiện Bảo Mật trong Thương Mại Điện Tử
Thực Hiện Bảo Mật trong Thương Mại Điện Tử
Nội Dung
Bảo vệ bản quyền, quyền sở hữu trí
tuệ
Kỹ thuật WaterMarking và 1 số công ty
cung cấp giải pháp
Thiết lập bảo vệ trong trình duyệt Web
Chứng thực số
Nội Dung
Bảo mật khi truyền gửi thông tin
Các giải thuật mã hóa, các nghi thức
truyền thông mã hóa
Văn bản với chữ ký điện tử
Proxy, FireWall
Bảo vệ tài sản TMĐT
Cần phải ghi rõ (văn bản) việc phân
tích cũng như chính sách bảo mật
Các tài sản nào cần được bảo vệ
Cần thực hiện gì để bảo vệ tài sản
Phân tích các mối đe dọa
Các qui định về việc bảo vệ
85 trang |
Chia sẻ: aloso | Lượt xem: 1907 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Thực Hiện Bảo Mật trong Thương Mại Điện Tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
16
Bài 6
Th c Hi n B o M t trongự ệ ả ậ
Th ng M i Đi n Tươ ạ ệ ử
Th ng M i Đi n Tươ ạ ệ ử
26
N i Dungộ
u B o v b n quy n, quy n s h u trí ả ệ ả ề ề ở ữ
tuệ
u K thu t WaterMarking và 1 s công ty ỹ ậ ố
cung c p gi i phápấ ả
u Thi t l p b o v trong trình duy t Webế ậ ả ệ ệ
u Ch ng th c sứ ự ố
36
N i Dungộ
u B o m t khi truy n g i thông tinả ậ ề ử
u Các gi i thu t mã hóa, các nghi th c ả ậ ứ
truy n thông mã hóaề
u Văn b n v i ch ký đi n tả ớ ữ ệ ử
u Proxy, FireWall
46
B o v tài s n TMĐTả ệ ả
u C n ph i ghi rõ (văn b n) vi c phân ầ ả ả ệ
tích cũng nh chính sách b o m tư ả ậ
l Các tài s n nào c n đ c b o vả ầ ượ ả ệ
l C n th c hi n gì đ b o v tài s nầ ự ệ ể ả ệ ả
l Phân tích các m i đe d aố ọ
l Các qui đ nh v vi c b o vị ề ệ ả ệ
56
B o v tài s n TMĐTả ệ ả
u C n quan tâm đ n nh ng nguy h i xâm ầ ế ữ ạ
ph m đ n tài s n khi kinh doanh TMĐTạ ế ả
l Truy c p b t h p phápậ ấ ợ
l S a ch a, c p nh t thông tinử ữ ậ ậ
l Phá ho i thông tinạ
u Liên quan đ n thông tin bí m t c a doanh ế ậ ủ
nghi pệ
l Không ti t l v i b t kỳ ai bên ngoài doanh ế ộ ớ ấ
nghi pệ
66
Yêu c u t i thi u trong vi c b o m t TMĐTầ ố ể ệ ả ậ
76
B o v quy n s h u trí tuả ệ ề ở ữ ệ
u V n đ : giao d ch mua bán trên m ng ấ ề ị ạ
Internet nh ng v n có kh năng xác ư ẫ ả
nh n quy n s h u khi c n thi tậ ề ở ữ ầ ế
u Các khuy n ngh b o v quy n s h u ế ị ả ệ ề ở ữ
trong không gian o(Cyberspace):ả
l Ngăn ch n các host name b t h p phápặ ấ ợ
l L c gói tin - Packet filteringọ
l S d ng các Proxy serversử ụ
86
M t s công ty cung c p các ph n ộ ố ấ ầ
m m b o v b n quy nề ả ệ ả ề
u ARIS Technologies
l H th ng Digital audio watermarkingệ ố
u Nhúng mã vào các t p tin âm thanh th hi n ậ ể ệ
b n quy nả ề
u Digimarc Corporation
l “Watermarking” v i t p tin nhi u d ng th cớ ậ ề ạ ứ
l Các ph n m m đi u khi n, các thi t b ầ ề ề ể ế ị
phát
96
Câu H iỏ
u Gi s công ty anh ch s kinh doanh ả ử ị ẽ
trên m ng v i s n ph m là các video ạ ớ ả ẩ
clip ca nhac.
l Th đ xu t 1 vài cách nh m b o v b n ử ề ấ ằ ả ệ ả
quy n ?ề
l Th đ xu t 1 vài cách thanh toán ử ề ấ
u (C n phù h p v i tình hình th c t )ầ ợ ớ ự ế
10
6
WaterMarking
u Cho phép nhúng thông tin tác gi (g i là ả ọ
watermark) vào các tài li u s hoá sao cho ệ ố
ch t l ng tr c quan c a tài li u không b ấ ượ ự ủ ệ ị
nh h ng và khi c n có th dò l i đ c ả ưở ầ ể ạ ượ
watermark đã nhúng nh m xác nh n b n ằ ậ ả
quy n.ề
u Đây là k thu t n gi u thông tin ỹ ậ ẩ ấ
(steganography) đ c bi t nh m đ a các d u ặ ệ ằ ư ấ
hi u vào nh s .ệ ả ố
u Ngoài ra, k thu t watermarking còn đòi h i ỹ ậ ỏ
s m nh m trong vi c ch ng l i các thao tác ự ạ ẽ ệ ố ạ
t n công nh m xóa b thông tin đ c nhúng. ấ ằ ỏ ượ
11
6
WaterMarking
u Hai h ng áp d ng chính c a k thu t ướ ụ ủ ỹ ậ
watermarking là
l xác nh n (ch ng th c) thông tin ậ ứ ự
l đánh d u b o v b n quy nấ ả ệ ả ề
u K thu t này đã đ c ng d ng ph bi n t i ỹ ậ ượ ứ ụ ổ ế ạ
nhi u n c trên th gi i. T cu i nh ng năm ề ướ ế ớ ừ ố ữ
1990, k thu t này đã đ c m t s công ty ỹ ậ ượ ộ ố
ng d ng trong th ng m iứ ụ ươ ạ
l S d ng Liquid Audio áp d ng công ngh c a ử ụ ụ ệ ủ
Verance Corporation (âm nh c).ạ
l Photoshop: v i Digimarc.ớ
u Ngày nay, các công ty chuyên kinh doanh các
h th ng watermarking đã tăng đáng k . ệ ố ể
12
6
M t s công ty cung c p các ph n ộ ố ấ ầ
m m b o v b n quy nề ả ệ ả ề
u SoftLock Services
l Cho phép khóa các t p tinậ
l G i các t p tin lên m ngử ậ ạ
l S d ng 1 khóa gi i mã (sau khi tr ti n) ử ụ ả ả ề
đ có th s d ngể ể ử ụ
13
6
SoftLock Services Home Page
Figure 6-2
14
6
B o v các máy kháchả ệ
u Các thông tin d ng Active content, ạ
đ c t i v máy t các trang web đ ng ượ ả ề ừ ộ
là 1 trong các hi m h a v i máy tính ể ọ ớ
c a NSDủ
u M i đe do đ n tố ạ ế ừ
l Các trang web
l Các hình nh, plug-in,.. t i vả ả ề
l Các ph n đính kèm trong e-mailầ
15
6
B o v các máy kháchả ệ
u Hi m h a t Cookiesể ọ ừ
l Các m u thông d ng text l u trên máy khách và ẩ ạ ư
ch a các thông tin nh y c m, không mã hóaứ ạ ả
l B t kỳ ai cũng có th đ c và hi u các thông tin ấ ể ọ ể
trong cookies
l Không tr c ti p phá ho i nh ng ti m n các ự ế ạ ư ề ẩ
hi m h a phá r i ho t đ ngể ọ ố ạ ộ
u Hi m h a t các website m o danh- ể ọ ừ ạ
Misplaced trust
l Các Web site gi m o nh m l a NSD đăng nh p ả ạ ằ ừ ậ
vào và đ l các thông tin nh y c mể ộ ạ ả
16
6
Ki m soát các n i dung d ng ể ộ ạ
Active
u Các trình duy t Netscape ệ
Navigator,Microsoft Internet Explorer
cho phép NSD ki m soát và quy t đ nh ể ế ị
t i v các thông tin d ng Activeả ề ạ
u Ch ng th c s (Digital certificate) b o ứ ự ố ả
đ m cho c clients và servers tính xác ả ả
th c, đúng đ n c a 2 phía tham giaự ắ ủ
17
6
Xác nh n s -Digital Certificatesậ ố
u Còn đ c g i là ượ ọ digital ID
u Có th đ c đính kèm v i e-mailể ượ ớ
u Đ c nhúng trong 1 trang webượ
u S d ng đ xác nh n chính xác ng i ử ụ ể ậ ườ
s h u digital IDở ữ
u Đ c mã hóa đ không ai có th đ c ượ ể ể ọ
hay nhân b nả
18
6
Trung tâm Ch ng th c k ứ ự ỹ
thu t s - CAậ ố
u C p và qu n lý ch ng th c s cho t t c các ấ ả ứ ự ố ấ ả
đ i t ng tham gia trong môi tr ng giao d ch ố ượ ườ ị
đi n t , nh các giao d ch th ng m i và trao ệ ử ư ị ươ ạ
đôi thông tin, g m nh ng cá nhân, nh ng t ồ ữ ữ ổ
ch c và các h th ng th ng m i đi n t .ứ ệ ố ươ ạ ệ ử
u Ch ng th c s cho các cá nhân và t ch c ứ ự ố ổ ứ
th c hi n an toàn các giao d ch trong môi ự ệ ị
tr ng đi n t , nh g i nh n e-mail, mua bán ườ ệ ử ư ử ậ
hàng hoá, trao đ i thông tin, phát tri n ph n ổ ể ầ
m m...ề
19
6
Trung tâm Ch ng th c k ứ ự ỹ
thu t sậ ố
u Các ch c năng chính c a Trung tâm ứ ủ
ch ng th c sứ ự ố
o Đăng ký xin c p ch ng th c sấ ứ ự ố
o Xác th c và c p ch ng th c sự ấ ứ ự ố
o Truy l c và tìm ki m thông tin v ch ng ụ ế ề ứ
th c sự ố
o Yêu c u thay đ i, gia h n …ầ ổ ạ
o Qu n lý ch ng th c sả ứ ự ố
20
6
Trung tâm Ch ng th c k ứ ự ỹ
thu t sậ ố
u Công c an toàn, b o m t và xác th c h p ụ ả ậ ự ợ
pháp cho các h th ng ho t đ ng th ng m i ệ ố ạ ộ ươ ạ
đi n t : các web site giao d ch B2B, các web ệ ử ị
site bán hàng, h th ng thanh toán tr c ệ ố ự
tuy n...ế
u S d ng ch ng th c s giúp cho b o đ m an ử ụ ứ ự ố ả ả
toàn các giao d ch đi n t . Tránh đ c các ị ệ ử ượ
nguy c , gi m o thông tin, l các thông tin ơ ả ạ ộ
nh y c m, m o danh, xuyên t c và thay đ i ậ ả ạ ạ ổ
n i dung thông tin.ộ
21
6
Câu H iỏ
u Xin c p ch ng th c s đâu ???ấ ứ ự ố ở
u Đã có c quan c p ch ng th c s t i ơ ấ ứ ự ố ạ
VN???
22
6
T i Vi t Nam ????ạ ệ
u Trung tâm ch ng th c k thu t s - ứ ự ỹ ậ ố
Trung tâm tin h c & Nacencomm / B ọ ộ
KH & CN. Xây d ng trên c s công ự ơ ở
ngh hi n đ i, thi t b chuyên d ng, an ệ ệ ạ ế ị ụ
toàn và b o m t m c cao theo tiêu ả ậ ứ
chu n hi n hành.ẩ ệ
23
6
VeriSign
u C quan CA - Certification Authority n i ơ ổ
ti ng và thành l p t r t lâuế ậ ừ ấ
u Cung c p nhi u c p đ xác nh nấ ề ấ ộ ậ
l Class 1 (L p th p nh t)ớ ấ ấ
u K t h p th đi n t v i mã khóa công c ngế ợ ư ệ ử ớ ộ
l Class 4 (L p cao nh t)ớ ấ
u Apply to servers and their organizations
u Offers assurance of an individual’s identity and
relationship to a specified organization
24
6
C u trúc 1 Digital ID c a VeriSignấ ủ
25
6
Microsoft Internet Explorer
u Cung c p kh năng b o v máy khách ấ ả ả ệ
(ngay trong trình duy t)ệ
u Có kh năng ki m tra các n i dung ả ể ộ
d ng ActiveX, Java appletạ
u Ki m tra tính xác th c c a các n i ể ự ủ ộ
dung đ c t i vượ ả ề
u NSD xác nh n l n cu i đ tin c y vào ậ ầ ố ộ ậ
n i dung đ c t i v (quy t đ nh t i v ộ ượ ả ề ế ị ả ề
hay không)
26
6
Security Warning và Certificate Validation
27
6
Internet Explorer Zones và Security Levels
28
6
Internet Explorer Security Zone Default Settings
29
6
Netscape Navigator
u NSD có th xác l p ch n l a đ t i v ể ậ ọ ự ể ả ề
n i dung Activeộ
u Có th quan sát các ch ký đính kèm ể ữ
v i Java Applet và JavaScriptớ
u Security : h p tho i Preferences dialogộ ạ
u Xác l p ch đ Cookie:h p ậ ế ộ ộ
Preferences
30
6
Netscape Navigator Preferences
31
6
Java Security Alert
Trong Netscape Navigatot
32
6
N i dung c a ID Certificateộ ủ
33
6
Ph i h p v i Cookiesố ợ ớ
u Có th thi t l p h n ng ch th i gian ể ế ậ ạ ạ ờ
trong vòng 10, 20, hay 30 ngày
u Ch có th truy c p đ n nh ng site t o ỉ ể ậ ế ữ ạ
ra chính nó
u L u tr thông tin mà ng i dùng không ư ữ ườ
mu n nh p vào th ng xuyên khi thăm ố ậ ườ
1 website (tên tài kh an, m t kh u)ỏ ậ ẩ
34
6
Ph i h p v i Cookiesố ợ ớ
u Các trình duy t tr c đây th ng t ệ ướ ườ ự
đ ng l u l i các cookie (không c nh ộ ư ạ ả
báo NSD)
u Các trình duy t hi n nay đ u cho phépệ ệ ề
l L u tr t do các cookieư ữ ự
l Xu t hi n c nh báo khi có tình hu ng ghiấ ệ ả ố
l Không cho phép ghi l i cookie trên máyạ
35
6
B o V Khi Truy n Thôngả ệ ề
u B o v thông tin, tài s n trong quá ả ệ ả
trình chuy n t i gi a các máy khách và ể ả ữ
máy ph c vụ ụ
u Bao g m các yêu c uồ ầ
l B o m t kênh truy nả ậ ề
l B o đ m toàn v n d li uả ả ẹ ữ ệ
l B o đ m h p l , phù h pả ả ợ ệ ợ
l Xác nh n - Authenticationậ
36
6
Ph ng pháp b o vươ ả ệ
u Mã hóa - Encryption
l Chuy n đ i thông tin b ng ph ng pháp ể ổ ằ ươ
toán h c - d a trên 1 ch ng trìnhọ ự ươ
+ khóa bí m t đ t o ra các ký t khó hi uậ ể ạ ự ể
l n gi u thông tin-SteganographyẨ ấ
u Thông tin vô hình tr c NSDướ
l Mã hóa thông tin-Cryptography
u Chuy n đ i d li u g c sang d ng không th ể ổ ữ ệ ố ạ ể
đ c, không có ý nghĩa,...ọ
37
6
Mã hóa-Encryption
u T i thi u : s d ng khóa 40-bit, mã hóa v i ố ể ử ụ ớ
khóa có đ dài 128 bit an toàn h nộ ơ
u Có th phân thành 3 nhómể
l Hash Coding
u Xây d ng 1 chu i s duy nh t ng v i 1 n i dung c n mã ự ỗ ố ấ ứ ớ ộ ầ
hóa
l Mã hóa b t đ i x ng-Asymmetric (Public-key) ấ ố ứ
Encryption
u Mã hóa và gi i mã b ng 2 khóa khác nhauả ằ
l Mã hóa đ i x ng -Symmetric (Private-key) ố ứ
Encryption
u Dùng 1 khóa đ mã hóa và gi i mãể ả
38
6
Câu H iỏ
u Hash Coding
u Mã hóa b t đ i x ng-Asymmetric ấ ố ứ
(Public-key) Encryption
u Mã hóa đ i x ng -Symmetric (Private-ố ứ
key) Encryption
39
6
Hash Coding, Private-key, và Public-key Encryption
40
6
M t s gi i thu t mã hóa thông d ngộ ố ả ậ ụ
41
6
Secure Sockets
Layer (SSL) Protocol
u Th c hi n b o m t n i k t gi a 2 máy ự ệ ả ậ ố ế ữ
tính
u Máy khách và máy ch qui c c p đ ủ ướ ấ ộ
b o m t, các qui c xác nh n và các ả ậ ướ ậ
c ch b o v thông tin liên l c khácơ ế ả ệ ạ
u Nhi u c ch , ki u lo i b o m t cho ề ơ ế ể ạ ả ậ
vi c thông tin liên l c gi a các máy ệ ạ ữ
tính
42
6
Câu H iỏ
u Ho t đ ng c a nghi th c SSLạ ộ ủ ứ
43
6
Secure Sockets
Layer (SSL) Protocol
u Cung c p mã hóa 40 bit hay 128 bitấ
u S d ng Session key đ mã hóa d ử ụ ể ữ
li u trong phiên làm vi cệ ệ
u Đ dài khóa càng l n thì kh năng b o ộ ớ ả ả
m t càng caoậ
44
6
Thi t L p phiên mã hóa SSLế ậ
45
6
SSL Web Server
46
6
Secure HTTP (S-HTTP) Protocol
u M r ng t HTTP nh m cung c p ở ộ ừ ằ ấ
nhi u tính năng b o m tề ả ậ
l Xác nh n c phía máy khách và máy ph c ậ ả ụ
vụ
l C ch mã hóa t đ ngơ ế ự ộ
l Th c hi n t t c ch Request/responseự ệ ố ơ ế
u H tr các ph ng pháp mã hóa ỗ ợ ươ
symmetric , public-key, message
digests
47
6
Câu H iỏ
u Các v n đ n y sinh khi g i 1 tài li u ấ ề ả ử ệ
quan tr ng, 1 đ n hàng, 1 h p đ ng,...ọ ơ ợ ồ
u Ch ký đi n t đ c th c hi n v i 1 ữ ệ ử ượ ự ệ ớ
văn b n, tài li u nh th nào ???ả ệ ư ế
48
6
Văn b n v i ch ký đi n tả ớ ữ ệ ử
49
6
B o đ m hoàn thành các giao d chả ả ị
u Các gói thông tin đ c b o v b i mã ượ ả ệ ở
hóa hay ch ký s không b đánh c pữ ố ị ắ
u T c đ truy n g i đ m b oố ộ ề ử ả ả
u Nghi th c TCP (Transmission Control ứ
Protocol) ch u trách nhi m theo dõi và ị ệ
ki m soát các gói tinể
u Nghi th c TCP yêu c u máy khách g i ứ ầ ử
l i gói d li u khi chúng th t l cạ ữ ệ ấ ạ
50
6
B o v máy ch ả ệ ủ
Commerce Server
u Quy n truy c p và s xác nh nề ậ ự ậ
l Nh ng ai có th đăng nh p và quy n s ữ ể ậ ề ử
d ng trên máy ph c vụ ụ ụ
l Yêu c u máy khách g i 1 “xác nh n” ầ ử ậ
(certificate) đ đ nh danhể ị
l Server ki m tra “timestamp” c a gi y xác ể ủ ấ
nh n : th i gian hi u l cậ ờ ệ ự
l Có th s d ng 1 h th ng callback nh m ể ử ụ ệ ố ằ
ki m tra đ a ch và tên máy khách v i 1 ể ị ỉ ớ
danh sách
51
6
B o v máy ch ả ệ ủ
Commerce Server
u Tên tài kho n s d ng cùng v i m t ả ử ụ ớ ậ
kh u và ph ng pháp thông d ngẩ ươ ụ
u Tên tài kho n s d ng : d ng văn b n, ả ử ụ ạ ả
M t kh u : đ c mã hóaậ ẩ ượ
u M t kh u khi nh p vào đ c mã hóa ậ ẩ ậ ượ
và so kh p v i thông tin cá nhân c a ớ ớ ủ
NSD đ c l u trượ ư ữ
52
6
Đăng nh p vào h th ng v i tên tài kho n và m t kh uậ ệ ố ớ ả ậ ẩ
53
6
B o v v i ch c năng c a HĐHả ệ ớ ứ ủ
u Ph n l n các h đi u hành s d ng c ầ ớ ệ ề ử ụ ơ
ch ch ng th c : tài kho n/m t kh uế ứ ự ả ậ ẩ
u Ph ng án th ng s d ng: ươ ườ ử ụ firewall
l M i thông tin vào/ra kh i m ng đ u ph i đi ọ ỏ ạ ề ả
qua t ng l aườ ử
l Ch cho phép các gói thông tin xác đ nhỉ ị
l Firewall ph i c u hình t t nh m ch ng l i ả ấ ố ằ ố ạ
các cu c xâm nh pộ ậ
54
6
T ng L a-Firewallsườ ử
u Ch c năng chính c a Firewall là ki m soát lu ng ứ ủ ể ồ
thông tin t gi a Intranet và Internet. Thi t l p ừ ữ ế ậ
c ch đi u khi n dòng thông tin gi a m ng ơ ế ề ể ữ ạ
bên trong (Intranet) và m ng Internet ạ
l Cho phép ho c c m nh ng d ch v truy nh p ra ngoài ặ ấ ữ ị ụ ậ
(t Intranet ra Internet). ừ
l Cho phép ho c c m nh ng d ch v phép truy nh p ặ ấ ữ ị ụ ậ
vào trong (t Internet vào Intranet).ừ
l Theo dõi lu ng d li u m ng gi a Internet và Intranet.ồ ữ ệ ạ ữ
l Ki m soát đ a ch truy nh p, c m đ a ch truy nh p.ể ị ỉ ậ ấ ị ỉ ậ
l Ki m soát ng i s d ng và vi c truy nh p c a ể ườ ử ụ ệ ậ ủ
ng i s d ng.ườ ử ụ
l Ki m soát n i dung thông tin thông tin l u chuy n trên ể ộ ư ể
m ng ạ
55
6
T ng L a-Firewallsườ ử
u Firewall chu n bao g m m t hay nhi u ẩ ồ ộ ề
các thành ph n sau đây:ầ
l B l c packet (packet-filtering router)ộ ọ
l C ng ng d ng (application-level gateway ổ ứ ụ
hay proxy server)
l C ng m ch (circuit - level gateway)ổ ạ
56
6
T ng L a-Firewallsườ ử
u Các ch c năng c a ph n m m firewallứ ủ ầ ề
l L c các gói tin(Packet filters)ọ
u Ki m tra t t c các gói tin đi ngang qua t ng ể ấ ả ườ
l aử
l Ho t đ ng nh 1 Gatewayạ ộ ư
u L c gói tin d a trên yêu c u các ng d ngọ ự ầ ứ ụ
l Proxy servers
u Liên l c v i m ng bên ngoài thay cho m ng ạ ớ ạ ạ
c c bụ ộ
u Vùng đ m cho các trang webệ
57
6
Câu H iỏ
u B L c Packetộ ọ
u Proxy
u Gateway
u Router
58
6
Nguyên Lý B L c Packetộ ọ
u B l c packet cho phép hay t ch i m i ộ ọ ừ ố ỗ
packet mà nó nh n đ c.Nó ki m tra toàn ậ ượ ể
b đo n d li u đ quy t đ nh xem đo n ộ ạ ữ ệ ể ế ị ạ
d li u đó có tho mãn m t trong s các ữ ệ ả ộ ố
lu t l c a l c packet hay không.ậ ệ ủ ọ
u Các lu t l l c packet này là d a trên các ậ ệ ọ ự
thông tin đ u m i packet (packet ở ầ ỗ
header), dùng đ cho phép truy n các ể ề
packet đó trên m ng:ở ạ
59
6
Nguyên Lý B L c Packet(tt)ộ ọ
u Đ a ch IP n i xu t phát ( IP Source address) ị ỉ ơ ấ
Đ a ch IP n i nh n (IP Destination address) ị ỉ ơ ậ
Nh ng th t c truy n tin (TCP, UDP, ICMP, IP ữ ủ ụ ề
tunnel)
C ng TCP/UDP n i xu t phát (TCP/UDP source ổ ơ ấ
port)
C ng TCP/UDP n i nh n (TCP/UDP destination ổ ơ ậ
port)
D ng thông báo ICMP ( ICMP message type) ạ
Giao di n packet đ n ( incomming interface of ệ ế
packet)
Giao di n packet đi ( outcomming interface of ệ
packet)
60
6
Nguyên Lý B L c Packet(tt)ộ ọ
u N u lu t l l c packet đ c tho mãn thì packet ế ậ ệ ọ ượ ả
đ c chuy n qua firewall. N u không packet s ượ ể ế ẽ
b b đi.ị ỏ
u Nh v y mà Firewall có th ngăn c n đ c các ờ ậ ể ả ượ
k t n i vào các máy ch ho c m ng nào đó ế ố ủ ặ ạ
đ c xác đ nh, ho c khoá vi c truy c p vào h ượ ị ặ ệ ậ ệ
th ng m ng n i b t nh ng đ a ch không cho ố ạ ộ ộ ừ ữ ị ỉ
phép.
u Vi c ki m soát các c ng làm cho Firewall có ệ ể ổ
kh năng ch cho phép m t s lo i k t n i nh t ả ỉ ộ ố ạ ế ố ấ
đ nh vào các lo i máy ch nào đó, ho c ch có ị ạ ủ ặ ỉ
nh ng d ch v nào đó (Telnet, SMTP, FTP...) ữ ị ụ
đ c phép m i ch y đ c trên h th ng m ng ượ ớ ạ ượ ệ ố ạ
c c bụ ộ
61
6
Packet Filter
62
6
u/Khuy t đi mƯ ế ể
u Ưu đi mể
l Đa s các h th ng firewall đ u s d ng b l c ố ệ ố ề ử ụ ộ ọ
packet.
l Chi phí th p vì c ch l c packet đã đ c bao g m ấ ơ ế ọ ượ ồ
trong m i ph n m m router.ỗ ầ ề
l B l c packet là trong su t đ i v i ng i s d ng và ộ ọ ố ố ớ ườ ử ụ
các ng d ng, vì v y nó không yêu c u s hu n luy n ứ ụ ậ ầ ự ấ ệ
đ c bi t nào c .ặ ệ ả
u H n chạ ế
l Vi c đ nh nghĩa các ch đ l c package là m t vi c ệ ị ế ộ ọ ộ ệ
khá ph c t pứ ạ
63
6
u/Khuy t đi mƯ ế ể
l Khi đòi h i v s l c càng l n, các lu t l v l c ỏ ể ự ọ ớ ậ ệ ể ọ
càng tr nên dài và ph c t p, r t khó đ qu n lý và ở ứ ạ ấ ể ả
đi u khi n.ề ể
l B l c packet không ki m soát đ c nôi dung thông ộ ọ ể ượ
tin c a packet. Các packet chuy n qua v n có th ủ ể ẫ ể
mang theo nh ng hành đ ng v i ý đ ăn c p thông tin ữ ộ ớ ồ ắ
hay phá ho i c a k x u.ạ ủ ẻ ấ
64
6
C ng ng d ng ổ ứ ụ
(Application-Level Gateway)
l Nguyên lý
Đây là m t lo i Firewall đ c thi t k đ tăng c ng ộ ạ ượ ế ế ể ườ
ch c năng ki m soát các lo i d ch v , giao th c đ c ứ ể ạ ị ụ ứ ượ
cho phép truy c p vào h th ng m ng. C ch ho t ậ ệ ố ạ ơ ế ạ
đ ng c a nó d a trên cách th c g i là Proxy service.ộ ủ ự ứ ọ
l Proxy service là các b code đ c bi t cài đ t trên ộ ặ ệ ặ
gateway cho t ng ng d ng. N u ng i qu n tr ừ ứ ụ ế ườ ả ị
m ng không cài đ t proxy code cho m t ng d ng nào ạ ặ ộ ứ ụ
đó, d ch v t ng ng s không đ c cung c p và do ị ụ ươ ứ ẽ ượ ấ
đó không th chuy n thông tin qua firewall.ể ể
l Ngoài ra, proxy code có th đ c đ nh c u hình đ h ể ượ ị ấ ể ỗ
tr ch m t s đ c đi m trong ng d ng mà ng òi ợ ỉ ộ ố ặ ể ứ ụ ư
qu n tr m ng cho là ch p nh n đ c trong khi t ả ị ạ ấ ậ ượ ừ
ch i nh ng đ c đi m khác. ố ữ ặ ể
65
6
C ng ng d ngổ ứ ụ
l M t c ng ng d ng th ng đ c coi nh là m t pháo ộ ổ ứ ụ ườ ượ ư ộ
đài (bastion host), b i vì nó đ c thi t k đ t bi t đ ở ượ ế ế ặ ệ ể
ch ng l i s t n công t bên ngoài. Nh ng bi n pháp ố ạ ự ấ ừ ữ ệ
đ m b o an ninh c a m t bastion host là:ả ả ủ ộ
u Luôn ch y các version an toàn (secure version) c a các ph n ạ ủ ầ
m m h th ng (Operating system). Các version an toàn này ề ệ ố
đ c thi t k chuyên cho m c đích ch ng l i s t n công ượ ế ế ụ ố ạ ự ấ
vào Operating System, cũng nh là đ m b o s tích h p ư ả ả ự ợ
firewall
u Ch nh ng d ch v mà ng i qu n tr m ng cho là c n thi t ỉ ữ ị ụ ườ ả ị ạ ầ ế
m i đ c cài đ t trên bastion host, đ n gi n ch vì n u m t ớ ượ ặ ơ ả ỉ ế ộ
d ch v không đ c cài đ t, nó không th b t n công. ị ụ ượ ặ ể ị ấ
Thông th ng, ch m t s gi i h n các ng d ng cho các ườ ỉ ộ ố ớ ạ ứ ụ
d ch v Telnet, DNS, FTP, SMTP và xác th c user là đ c ị ụ ự ượ
cài đ t trên bastion host.ặ
66
6
C ng ng d ngổ ứ ụ
67
6
C ng ng d ngổ ứ ụ
u Bastion host có th yêu c u nhi u m c đ xác th c ể ầ ề ứ ộ ự
khác nhau, ví d nh user password hay smart card. ụ ư
M i proxy đ c đ t c u hình đ cho phép truy ỗ ượ ặ ấ ể
nh p ch m t s các máy ch nh t đ nh. Đi u này ậ ỉ ộ ồ ủ ấ ị ề
có nghĩa r ng b l nh và đ c đi m thi t l p cho ằ ộ ệ ặ ể ế ậ
m i proxy ch đúng v i m t s máy ch trên toàn ỗ ỉ ớ ộ ố ủ
h th ng.ệ ố
u M i proxy duy trì m t quy n nh t ký ghi chép l i ỗ ộ ể ậ ạ
toàn b chi ti t c a giao thông qua nó, m i s k t ộ ế ủ ỗ ự ế
n i, kho ng th i gian k t n i. Nh t ký này r t có ố ả ờ ế ố ậ ấ
ích trong vi c tìm theo d u v t hay ngăn ch n k ệ ấ ế ặ ẻ
phá ho i. ạ
u M i proxy đ u đ c l p v i các proxies khác trên ỗ ề ộ ậ ớ
bastion host. Đi u này cho phép d dàng quá trình ề ễ
cài đ t m t proxy m i, hay tháo g môt proxy đang ặ ộ ớ ỡ
có v n đ . ấ ể
68
6
C ng ng d ngổ ứ ụ
l u đi mƯ ể
u Cho phép ng i qu n tr m ng hoàn toàn đi u ườ ả ị ạ ề
khi n đ c t ng d ch v trên m ng, b i vì ng ể ượ ừ ị ụ ạ ở ứ
d ng proxy h n ch b l nh và quy t đ nh nh ng ụ ạ ế ộ ệ ế ị ữ
máy ch nào có th truy nh p đ c b i các d ch ủ ể ậ ượ ở ị
v .ụ
u Cho phép ng i qu n tr m ng hoàn toàn đi u ườ ả ị ạ ề
khi n đ c nh ng d ch v nào cho phép, b i vì s ể ượ ữ ị ụ ở ự
v ng m t c a các proxy cho các d ch v t ng ắ ặ ủ ị ụ ươ
ng có nghĩa là các d ch v y b khoá.ứ ị ụ ấ ị
u C ng ng d ng cho phép ki m tra đ xác th c r t ổ ứ ụ ể ộ ự ấ
t t, và nó có nh t ký ghi chép l i thông tin v truy ố ậ ạ ề
nh p h th ng.ậ ệ ố
u Lu t l l c filltering cho c ng ng d ng là d ậ ệ ọ ổ ứ ụ ễ
dàng c u hình và ki m tra h n so v i b l c ấ ể ơ ớ ộ ọ
packet.
69
6
C ng ng d ngổ ứ ụ
lH n chạ ế
u Yêu c u các users thay đ i thao tác, ho c thay đ i ầ ổ ặ ổ
ph n m m đã cài đ t trên máy client cho truy nh p ầ ề ặ ậ
vào các d ch v proxy. Ch ng h n, Telnet truy ị ụ ẳ ạ
nh p qua c ng ng d ng đòi h i hai b c đ n i ậ ổ ứ ụ ỏ ướ ể ố
v i máy ch ch không ph i là m t b c thôi.ớ ủ ứ ả ộ ướ
u Tuy nhiên, cũng đã có m t s ph n m m client cho ộ ố ầ ề
phép ng d ng trên c ng ng d ng là trong su t, ứ ụ ổ ứ ụ ố
b ng cách cho phép user ch ra máy đích ch không ằ ỉ ứ
ph i c ng ng d ng trên l nh Telnet. ả ổ ứ ụ ệ
70
6
C ng ng d ngổ ứ ụ
71
6
C ng vòng (Circuit-Level Gateway)ổ
u C ng vòng là m t ch c năng đ c bi t có th th c ổ ộ ứ ặ ệ ể ự
hi n đ c b i m t c ng ng d ng. C ng vòng ệ ượ ở ộ ổ ứ ụ ổ
đ n gi n ch chuy n ti p (relay) các k t n i TCP ơ ả ỉ ể ế ế ố
mà không th c hi n b t kỳ m t hành đ ng x lý ự ệ ấ ộ ộ ử
hay l c packet nào.ọ
u C ng vòng đ n gi n chuy n ti p k t n i telnet qua ổ ơ ả ể ế ế ố
firewall mà không th c hi n m t s ki m tra, l c ự ệ ộ ự ể ọ
hay đi u khi n các th t c Telnet nào.C ng vòng ề ể ủ ụ ổ
làm vi c nh m t s i dây,sao chép các byte gi a ệ ư ộ ợ ữ
k t n i bên trong (inside connection) và các k t n i ế ố ế ố
bên ngoài (outside connection). Tuy nhiên, vì s k t ự ế
n i này xu t hi n t h th ng firewall, nó che d u ố ấ ệ ừ ệ ố ấ
thông tin v m ng n i b . ề ạ ộ ộ
72
6
Circuit-Level Gateway
73
6
C ng vòng (Circuit-Level Gateway)ổ
u C ng vòng th ng đ c s d ng cho nh ng k t ổ ườ ượ ử ụ ữ ế
n i ra ngoài, n i mà các qu n tr m ng th t s tin ố ơ ả ị ạ ậ ự
t ng nh ng ng i dùng bên trong. u đi m l n ưở ữ ườ Ư ể ớ
nh t là m t bastion host có th đ c c u hình nh ấ ộ ể ượ ấ ư
là m t h n h p cung c p C ng ng d ng cho ộ ỗ ợ ấ ổ ứ ụ
nh ng k t n i đ n, và c ng vòng cho các k t n i ữ ế ố ế ổ ế ố
đi. Đi u này làm cho h th ng b c t ng l a d ề ệ ố ứ ườ ử ễ
dàng s d ng cho nh ng ng i trong m ng n i b ử ụ ữ ườ ạ ộ ộ
mu n tr c ti p truy nh p t i các d ch v Internet, ố ự ế ậ ớ ị ụ
trong khi v n cung c p ch c năng b c t ng l a ẫ ấ ứ ứ ườ ử
đ b o v m ng n i b t nh ng s t n công bên ể ả ệ ạ ộ ộ ừ ữ ự ấ
ngoài.
74
6
Nh ng h n ch c a firewallữ ạ ế ủ
u Không đ thông minh nh con ng i đ có th ủ ư ườ ể ể
đ c hi u t ng lo i thông tin và phân tích n i dung ọ ể ừ ạ ộ
t t hay x u c a nó.ố ấ ủ
u Ch có th ngăn ch n s xâm nh p c a nh ng ỉ ể ặ ự ậ ủ ữ
ngu n thông tin không mong mu n nh ng ph i xác ồ ố ư ả
đ nh rõ các thông s đ a ch .ị ố ị ỉ
u Không th ngăn ch n m t cu c t n công n u cu c ể ặ ộ ộ ấ ế ộ
t n công này không "đi qua" nó. M t cách c th , ấ ộ ụ ể
firewall không th ch ng l i m t cu c t n công t ể ố ạ ộ ộ ấ ừ
m t đ ng dial-up, ho c s dò r thông tin do d ộ ườ ặ ự ỉ ữ
li u b sao chép b t h p pháp lên đĩa m mệ ị ấ ợ ề
75
6
Nh ng h n ch c a firewallữ ạ ế ủ
u Không th ch ng l i các cu c t n công b ng d ể ố ạ ộ ấ ằ ữ
li u (data-drivent attack). Khi có m t s ch ng ệ ộ ố ươ
trình đ c chuy n theo th đi n t , v t qua ượ ể ư ệ ử ượ
firewall vào trong m ng đ c b o v và b t đ u ạ ượ ả ệ ắ ầ
ho t đ ng đây.ạ ộ ở
u M t ví d là các virus máy tính. Firewall không th ộ ụ ể
làm nhi m v rà quét virus trên các d li u đ c ệ ụ ữ ệ ượ
chuy n qua nó, do t c đ làm vi c, s xu t hi n ể ố ộ ệ ự ấ ệ
liên t c c a các virus m i và do có r t nhi u cách ụ ủ ớ ấ ề
đ mã hóa d li u, thoát kh i kh năng ki m soát ể ữ ệ ỏ ả ể
c a firewall.ủ
u Tuy nhiên, Firewall v n là gi i pháp h u hi u ẫ ả ữ ệ
đ c áp d ng r ng rãi.ượ ụ ộ
76
6
Ch n c u hình cho FireWallọ ấ
u Có nhi u cách thi t l p c u hìnhề ế ậ ấ
lD ng Bastion hostạ
u T p trung tri n khai các ch đ b o vậ ể ế ộ ả ệ
u Th ng c p đ application-level hay ườ ở ấ ộ
circuit level gateway
lD ng Dual homed gatewayạ
u S d ng 2 giao ti p m ng, 1 cho m ng ử ụ ế ạ ạ
n i b và 1 cho m ng ngoàiộ ộ ạ
u Kh năng l c packetả ọ
77
6
Dual-homed gateway
78
6
Ch n c u hình cho FireWall (tt)ọ ấ
u D ng Screened host firewall systemạ
l S d ng 1 b đi u h ng m ng (network router) ử ụ ộ ề ướ ạ
đ truy n t i thông tin đi vào m ng n i b và ra ể ề ả ạ ộ ộ
m ng bên ngoài qua trung gian 1 gatewayạ
79
6
Screened-host gateway
80
6
Screened Host Firewall
81
6
Ch n c u hình cho FireWall (tt)ọ ấ
u Screened-subnet firewall system
82
6
Screened Subnet Firewall
83
6
Screened subnet gateway
84
6
Check Point Software’s Firewall-1 Web Page
85
6
Bài Kỳ Sau
Các Hình Th c Thanh Toán ứ
Trong Th ng M i Đi n Tươ ạ ệ ử
Các file đính kèm theo tài liệu này:
- Thực Hiện Bảo Mật trong Thương Mại Điện Tử.pdf