ATMMT ATMMT - - TNNQ TNNQ 43 43 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Kh Kh á á i ni i ni ệ ệ m chung m chung Gateways ch Gateways ch ạ ạ y trên m y trên m ộ ộ t bastion host thư t bastion host thư ờ ờ ng ng đư đư ợ ợ c s c s ử ử d d ụ ụ ng v ng v ớ ớ i b i b ộ ộ l l ọ ọ c g c g ó ó i tin. i tin. C C á á c c c c ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a thông d a thông d ụ ụ ng: ng: – – Single Single - - Homed Bastion Host System (SHBH) Homed Bastion Host System (SHBH) – – Dual Dual - - Homed Bastion Host System (DHBH) Homed Bastion Host System (DHBH) – – Screened Subnets Screened Subnets – – Demilitarized Zones (DMZ) Demilitarized Zones (DMZ) ATMMT ATMMT - - TNNQ TNNQ 44 44 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Single Single - - Homed Bastion Host System Homed Bastion Host System Bao g Bao g ồ ồ m m m m ộ ộ t packet t packet - - filtering router v filtering router v à à m m ộ ộ t bastion t bastion host, tro host, tro ng đ ng đ ó ó router k router k ế ế t n t n ố ố i m i m ạ ạ ng n ng n ộ ộ i b i b ộ ộ v v ớ ớ i m i m ạ ạ ng ng ngo ngo ạ ạ i vi v i vi v à à bastion host n bastion host n ằ ằ m trong m m trong m ạ ạ ng n ng n ộ ộ i b i b ộ ộ . . Router s Router s ẽ ẽ thông b thông b á á o ra bên ngo o ra bên ngo à à i đ i đ ị ị a ch a ch ỉ ỉ IP v IP v à à s s ố ố port c port c ủ ủ a c a c á á c server n c server n ộ ộ i b i b ộ ộ . . Router s Router s ẽ ẽ không chuy không chuy ể ể n ti n ti ế ế p c p c á á c g c g ó ó i tin đi v i tin đi v à à o tr o tr ự ự c c ti ti ế ế p đ p đ ế ế n c n c á á c server m c server m à à s s ẽ ẽ ki ki ể ể m tra c m tra c á á c g c g ó ó i tin n i tin n à à y, y, sau đ sau đ ó ó m m ớ ớ i chuy i chuy ể ể n cho bastion host. n cho bastion host. Bastion host ti Bastion host ti ế ế p t p t ụ ụ c ki c ki ể ể m tra g m tra g ó ó i tin đi v i tin đi v à à o, n o, n ế ế u u tho tho ả ả , s , s ẽ ẽ x x á á c đ c đ ị ị nh server n nh server n ộ ộ i b i b ộ ộ n n à à o g o g ó ó i tin mu i tin mu ố ố n n đư đư ợ ợ c chuy c chuy ể ể n t n t ớ ớ i. i. ATMMT ATMMT - - TNNQ TNNQ 45 45 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Single Single - - Homed Bastion Host System Homed Bastion Host System C C á á c g c g ó ó i tin t i tin t ừ ừ m m ạ ạ ng n ng n ộ ộ i b i b ộ ộ đi ra bên ngo đi ra bên ngo à à i c i c ũ ũ ng ng ph ph ả ả i qua bastion host. B i qua bastion host. B ộ ộ l l ọ ọ c g c g ó ó i tin c i tin c ủ ủ a tư a tư ờ ờ ng l ng l ử ử a a ki ki ể ể m tra m m tra m ỗ ỗ i g i g ó ó i tin đi ra ngo i tin đi ra ngo à à i v i v à à ngăn l ngăn l ạ ạ i n i n ế ế u đ u đ ị ị a a ch ch ỉ ỉ ngu ngu ồ ồ n c n c ủ ủ a n a n ó ó không ph không ph ả ả i l i l à à đ đ ị ị a ch a ch ỉ ỉ IP c IP c ủ ủ a a bastion host ho bastion host ho ặ ặ c không tho c không tho ả ả c c á á c quy t c quy t ắ ắ c l c l ọ ọ c. c. Trong m Trong m ộ ộ t h t h ệ ệ th th ố ố ng SHBH, n ng SHBH, n ế ế u attacker tho u attacker tho ả ả hi hi ệ ệ p p đư đư ợ ợ c v c v ớ ớ i packet i packet - - filtering router th filtering router th ì ì c c ó ó th th ể ể s s ử ử a đư a đư ợ ợ c c c c á á c lu c lu ậ ậ t trong ACL đ t trong ACL đ ể ể b b ỏ ỏ qua bastion host v qua bastion host v à à truy truy ề ề n thông tr n thông tr ự ự c ti c ti ế ế p v p v ớ ớ i c i c á á c host n c host n ộ ộ i b i b ộ ộ . V . V ấ ấ n đ n đ ề ề n n à à y c y c ó ó th th ể ể gi gi ả ả i quy i quy ế ế t b t b ằ ằ ng c ng c á á ch s ch s ử ử d d ụ ụ ng Dual ng Dual - - Home Bastion Host (DHBH). Home Bastion Host (DHBH). ATMMT ATMMT - - TNNQ TNNQ 46 46 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Single Single - - Homed Bastion Host System Homed Bastion Host System ATMMT ATMMT - - TNNQ TNNQ 47 47 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Dual Dual - - Homed Bastion Host System Homed Bastion Host System M M ộ ộ t DHBH chia m t DHBH chia m ạ ạ ng n ng n ộ ộ i b i b ộ ộ v v à à o hai zones: inner o hai zones: inner zone (private zone) v zone (private zone) v à à outer zone outer zone . . Đ Đ ị ị a ch a ch ỉ ỉ IP c IP c ủ ủ a c a c á á c host trong inner zone không th c host trong inner zone không th ể ể vươn t vươn t ớ ớ i đư i đư ợ ợ c t c t ừ ừ c c á á c m c m ạ ạ ng ngo ng ngo ạ ạ i vi. i vi. Đ Đ ị ị a ch a ch ỉ ỉ IP c IP c ủ ủ a c a c á á c host trong outer zone c c host trong outer zone c ó ó th th ể ể vươn t vươn t ớ ớ i đư i đư ợ ợ c tr c tr ự ự c ti c ti ế ế p t p t ừ ừ c c á á c m c m ạ ạ ng ngo ng ngo ạ ạ i vi. i vi. Router đư Router đư ợ ợ c đ c đ ặ ặ t gi t gi ữ ữ a m a m ạ ạ ng ngo ng ngo ạ ạ i vi v i vi v à à outer zone, outer zone, gi gi ữ ữ a m a m ạ ạ ng ngo ng ngo ạ ạ i vi v i vi v à à bastion host. bastion host. Inner zone trong DHBH ch Inner zone trong DHBH ch ỉ ỉ đư đư ợ ợ c k c k ế ế t n t n ố ố i đ i đ ế ế n n bastion host nên đư bastion host nên đư ợ ợ c b c b ả ả o v o v ệ ệ b b ở ở i c i c ả ả bastion host bastion host v v à à packet packet - - filtering router. filtering router. ATMMT ATMMT - - TNNQ TNNQ 48 48 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Dual Dual - - Homed Bastion Host System Homed Bastion Host System C C á á c server trong outer zone đư c server trong outer zone đư ợ ợ c b c b ả ả o v o v ệ ệ b b ở ở i packet i packet - - filtering filtering router. router. Tương t Tương t ự ự như trong h như trong h ệ ệ th th ố ố ng SHBH, m ng SHBH, m ộ ộ t DHBH cho ph t DHBH cho ph é é p c p c á á c c m m á á y t y t í í nh server trong outer zone c nh server trong outer zone c ó ó th th ể ể đư đư ợ ợ c truy c truy ề ề n thông tr n thông tr ự ự c c ti ti ế ế p đ p đ ế ế n Internet m n Internet m à à không c không c ầ ầ n ph n ph ả ả i đi qua bastion host i đi qua bastion host . . ACL trong router cho ph ACL trong router cho ph é é p c p c á á c g c g ó ó i t i t ừ ừ ngo ngo à à i v i v à à o đi qua n o đi qua n ó ó n n ế ế u u đ đ ị ị a ch a ch ỉ ỉ ngu ngu ồ ồ n đư n đư ợ ợ c cho ph c cho ph é é p, v p, v à à đ đ ị ị a ch a ch ỉ ỉ IP đ IP đ í í ch c ch c ù ù ng s ng s ố ố port port tho tho ả ả v v ớ ớ i đ i đ ị ị a ch a ch ỉ ỉ IP c IP c ủ ủ a m a m á á y server c y server c ũ ũ ng như m ng như m ộ ộ t port đang m t port đang m ở ở c c ủ ủ a server n a server n à à y. y. Trong h Trong h ệ ệ th th ố ố ng DHBH, attacker n ng DHBH, attacker n ế ế u tho u tho ả ả hi hi ệ ệ p v p v ớ ớ i packet i packet - - filtering router c filtering router c ũ ũ ng v ng v ẫ ẫ n không th n không th ể ể vư vư ợ ợ t qua đư t qua đư ợ ợ c bastion host. c bastion host. ATMMT ATMMT - - TNNQ TNNQ 49 49 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Dual Dual - - Homed Bastion Host System Homed Bastion Host System ATMMT ATMMT - - TNNQ TNNQ 50 50 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Screened Subnets Screened Subnets L L à à c c ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a b a b ả ả o m o m ậ ậ t nh t nh ấ ấ t. t. Bao g Bao g ồ ồ m m m m ộ ộ t bastion host v t bastion host v à à hai packet hai packet - - filtering router (l filtering router (l à à m m ộ ộ t m t m ạ ạ ng SHBH v ng SHBH v ớ ớ i packet i packet - - filtering router th filtering router th ứ ứ hai (inner hai (inner router) chen v router) chen v à à o gi o gi ữ ữ a bastion host v a bastion host v à à m m ạ ạ ng n ng n ộ ộ i b i b ộ ộ . . N N ó ó i c i c á á ch kh ch kh á á c, trong m c, trong m ộ ộ t Screened Subnet, m t Screened Subnet, m ộ ộ t router t router đ đ ặ ặ t gi t gi ữ ữ a Internet v a Internet v à à bastion host, m bastion host, m ộ ộ t router kh t router kh á á c đ c đ ặ ặ t t gi gi ữ ữ a bastion host v a bastion host v à à m m ạ ạ ng n ng n ộ ộ i b i b ộ ộ . . Hai tư Hai tư ờ ờ ng l ng l ử ử a l a l ọ ọ c g c g ó ó i s i s ẽ ẽ t t ạ ạ o ra m o ra m ộ ộ t screened subnetwork t screened subnetwork cô l cô l ậ ậ p p ở ở gi gi ữ ữ a. C a. C á á c m c m á á y t y t í í nh server v nh server v à à thi thi ế ế t b t b ị ị n n à à o không o không c c ầ ầ n b n b ả ả o m o m ậ ậ t m t m ạ ạ nh thư nh thư ờ ờ ng đư ng đư ợ ợ c đ c đ ặ ặ t trong screened t trong screened subnetwork n subnetwork n à à y. y. ATMMT ATMMT - - TNNQ TNNQ 51 51 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Screened Subnets Screened Subnets Router ngo Router ngo à à i (outer router) s i (outer router) s ẽ ẽ thông b thông b á á o cho m o cho m ạ ạ ng ngo ng ngo ạ ạ i i vi đ vi đ ị ị a ch a ch ỉ ỉ IP v IP v à à s s ố ố port c port c ủ ủ a c a c á á c m c m á á y t y t í í nh server v nh server v à à thi thi ế ế t b t b ị ị k k ế ế t n t n ố ố i đ i đ ế ế n screened subnetwork. n screened subnetwork. Router trong (inner router) s Router trong (inner router) s ẽ ẽ thông b thông b á á o cho m o cho m ạ ạ ng n ng n ộ ộ i b i b ộ ộ đ đ ị ị a ch a ch ỉ ỉ IP v IP v à à s s ố ố port c port c ủ ủ a c a c á á c m c m á á y t y t í í nh server v nh server v à à thi thi ế ế t b t b ị ị k k ế ế t n t n ố ố i đ i đ ế ế n screened subnetwork. n screened subnetwork. C C ấ ấ u tr u tr ú ú c c c c ủ ủ a m a m ạ ạ ng n ng n ộ ộ i b i b ộ ộ l l à à ẩ ẩ n v n v ớ ớ i th i th ế ế gi gi ớ ớ i bên ngo i bên ngo à à i. i. C C ó ó th th ể ể di chuy di chuy ể ể n m n m ộ ộ t s t s ố ố server (database server server (database server … … ) t ) t ừ ừ screened subnetwork đ screened subnetwork đ ế ế n m n m ạ ạ ng n ng n ộ ộ i b i b ộ ộ đ đ ể ể cung c cung c ấ ấ p m p m ộ ộ t t s s ự ự b b ả ả o v o v ệ ệ m m ạ ạ nh hơn nh hơn . . ATMMT ATMMT - - TNNQ TNNQ 52 52 6. C 6. C ấ ấ u h u h ì ì nh tư nh tư ờ ờ ng l ng l ử ử a a Screened Subnets Screened Subnets C C ó ó th th ể ể đ đ ặ ặ t c t c á á c proxy server tương c proxy server tương ứ ứ ng (ch ng (ch ẳ ẳ ng h ng h ạ ạ n n database server) trong screened subnetwork. database server) trong screened subnetwork. C C ấ ấ u h u h ì ì nh n nh n à à y l y l à à m tăng t m tăng t í í nh b nh b ả ả o m o m ậ ậ t c t c ủ ủ a h a h ệ ệ th th ố ố ng ng nhưng c nhưng c ũ ũ ng l ng l à à m gi m gi ả ả m t m t ố ố c đ c đ ộ ộ x x ử ử lý nên trong m lý nên trong m ỗ ỗ i i ứ ứ ng d ng d ụ ụ ng c ng c ụ ụ th th ể ể , c , c ầ ầ n t n t ì ì m ki m ki ế ế m nh m nh ữ ữ ng c ng c ấ ấ u h u h ì ì nh t nh t ố ố i i ưu ph ưu ph ù ù h h ợ ợ p. p. [...]... đến tường lửa bên trong ATMMT - TNNQ 54 6 Cấu hình tường lửa Demilitarized Zones (DMZ) ATMMT - TNNQ 55 6 Cấu hình tường lửa Network Security Topology Tường lửa có thể sử dụng để chia mạng thành ba vùng phân biệt: – Vùng không tin cậy: là mạng ngoại vi bên ngoài của tường lửa ngoài – Vùng kém tin cậy: là vùng DMZ nằm giữa tường lửa ngoài và tường lửa trong – Vùng tin cậy: là mạng nội bộ nằm đằng sau tường. ..6 Cấu hình tường lửa Screened Subnets ATMMT - TNNQ 53 6 Cấu hình tường lửa Demilitarized Zones (DMZ) Một subnetwork giữa hai tường lửa trong mạng nội bộ thường được xem như một Demilitarize zone (DMZ) Tường lửa bên ngoài bảo vệ vùng DMZ với mạng ngoại vi và tường lửa bên trong bảo vệ mạng nội bộ với vùng DMZ Một DMZ có thể có hoặc không... tin cậy: là mạng ngoại vi bên ngoài của tường lửa ngoài – Vùng kém tin cậy: là vùng DMZ nằm giữa tường lửa ngoài và tường lửa trong – Vùng tin cậy: là mạng nội bộ nằm đằng sau tường lửa trong ATMMT - TNNQ 56 6 Cấu hình tường lửa Network Security Topology ATMMT - TNNQ 57 7 Chuyển dịch địa chỉ mạng NAT (Network Address Translation Protocol) chia địa chỉ IP vào hai nhóm – Nhóm 1 bao gồm các địa chỉ IP công... trong sơ đồ của screened subnet mô tả trong hình dưới, chúng ta muốn nâng cao tính bảo mật của server SMTP Hãy mô tả một hoặc nhiều phương pháp để giải quyết vấn đề này ATMMT - TNNQ 59 8 Bài tập ATMMT - TNNQ 60 8 Bài tập 3 Sử dụng sơ đồ mạng trong bài 2 để làm bài này: Vùng DMZ chứa 3 server Địa chỉ IP của router ngoài, router trong và các server như trong hình Xây dựng các luật ACL sao cho các host