Tài liệu Luận văn Các phương pháp tấn công vượt tường lửa: Luận văn tốt nghiệp
Đề tài: Các phương pháp tấn
công vượt tường lửa
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 1 -
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI THỰC TẬP CƠ SỞ
CÁC PHƢƠNG PHÁPLẬP TRÌNH VƢỢT FIREWALL
Lời nhận xét của giáo viên hƣớng dẫn:
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n...
45 trang |
Chia sẻ: haohao | Lượt xem: 1347 | Lượt tải: 1
Bạn đang xem trước 20 trang mẫu tài liệu Luận văn Các phương pháp tấn công vượt tường lửa, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Luận văn tốt nghiệp
Đề tài: Các phương pháp tấn
công vượt tường lửa
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 1 -
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỀ TÀI THỰC TẬP CƠ SỞ
CÁC PHƢƠNG PHÁPLẬP TRÌNH VƢỢT FIREWALL
Lời nhận xét của giáo viên hƣớng dẫn:
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 2 -
Điểm chuy n cần củ nh m:.................................................................................
Điểm chấm kết quả bản in hoàn chỉnh củ b o c o thực t p.................................
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
…………………………………………………………………………................
................................................................................................................................
................................................................................................................................
................................................................................................
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 3 -
MỤC LỤC
Chƣơng I: Tổng Quan Về Firewall .............................................................................. 6
1.1. Đặt vấn đề: .................................................................................................................... 6
1.2 Phân loại Các kiểu tấn công: ................................................................................. 7
1.2.1 Tấn công trực tiếp: .................................................................................................. 7
1.2.2 Nghe trộm: .................................................................................................................. 8
1.2.3 Vô hiệu các chức năng của hệ thống (DoS, DDoS): ..................................... 8
1.2.4 Tấn công vào yếu tố con ngƣời: .......................................................................... 9
1.3 Firewall là gì ? ............................................................................................................. 9
1.3.1 Các chức năng chính: ........................................................................................... 10
1.3.2 Nguyên lý ................................................................................................................... 11
1.3.3 Các dạng firewall ................................................................................................... 13
1.3.3.1 Firewall cứng ........................................................................................................ 13
1.3.3.2 - Firewall mềm ..................................................................................................... 14
1.4 Hạn chế của Firewall ................................................................................................ 16
1.5 Một số mô hình Firewall ......................................................................................... 17
1.5.1 Packet-Filtering Router ....................................................................................... 17
1.5.2 Mô hình Single-Homed Bastion Host .............................................................. 18
1.5.3 Mô hình Dual-Homed Bastion Host ................................................................ 19
1.5.4 Proxy server ............................................................................................................. 21
Chƣơng II: Các Phƣơng Pháp Lập Trình Vƣợt Firewall .................................. 22
2.1 Vƣợt firewall là gì ................................................................................................... 22
2.2 Một sô phƣơng pháp vƣợt firewall ...................................................................... 22
2.2.1.Phƣơng pháp HTTP Proxy ................................................................................. 22
2.2.1.1. Khi các HTTP Proxy Server trở nên hữu ích ........................................ 22
2.2.1.2. Những bất cập do proxy .................................................................................. 24
2.2.1.3. Kĩ thuật lập trình một HTTP Proxy cơ bản ............................................ 24
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 4 -
2.2.1.4. Sử dụng trang web trung gian ...................................................................... 25
2.2.1.5 Thay đổi địa chỉ proxy của trình duyệt ..................................................... 26
2.2.2. ........................................................................... Phƣơng pháp HTTP Tunneling 30
2.2.2.1. Cấu hình ............................................................................................................. 31
2.2.3. Vƣợt tƣờng lửa bằng web base proxy ......................................................... 34
2.2.3.1. Thế nào là 1 web-based anonymous proxy ? ........................................... 34
2.2.3.2. Cách thức hoạt động của một web base proxy ....................................... 35
2.2.3.3. Giới thiệu về trang Web Based Proxy ..................................................... 35
2.2.3.3.1. Giao diện ........................................................................................................... 35
2.2.3.3.2. Diễn giải mô hình ........................................................................................... 35
2.2.4. Web-based Proxy Servers .................................................................................. 36
2.2.4.1. Ý nghĩa .................................................................................................................. 37
2.2.5. Sử dụngphần mềm vƣợt tƣờng lửa ............................................................... 38
Chƣơng III : Thực Nghiệm Các Phƣơng Pháp Vƣợt Firewall Thông Dụng40
3.1. Sử dụng proxy server .............................................................................................. 40
3.2. Dùng Anonymizer web / web proxy để vƣợt tƣờng lửa .............................. 40
3.3. Vƣợt tƣờng lửa bằng công cụ của Google ....................................................... 41
3.4. Vƣợt tƣờng lửa DNS của FPT ............................................................................. 41
3.5. Dùng phần mềm đặc biệt để vƣợt tƣờng lửa .................................................. 41
3.6 Kết luận ......................................................................................................................... 42
PHỤ LỤC ............................................................................................................................ 43
DANH SÁCH CÁC TÀI LIỆU THAM KHẢO ..................................................... 43
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 5 -
Lời Nói Đầu
Ngày n y, công nghệ thông tin đã c những b c ph t trển m nh mẽ theo
cả chiều sâu và chiều rộng. M y tính không còn là một h ơng tiện quý hiếm mà
ngày càng trở thành công cụ làm việc và giải trí thông dụng củ con ng ời.
Đứng tr c v i trò củ thông tin ho t động c nh tr nh g y gắt, c c tổ chức và
c c do nh nghiệp đều t m mọi biện ph p để xây dựng hoàn thiện hệ thống thông
tin củ m nh nhằm tin học h c c ho t động t c nghiệp củ đơn vị.
Ở Việt N m cũng c rất nhiều do nh nghiệp đ ng tiến hành th ơng m i h
tr n Internet nh ng do những kh kh n về cơ sở h tầng nh viễn thông ch
ph t triển m nh, c c dịch vụ th nh to n điện tử qu ngân hàng ch phổ biến
n n chỉ dừng l i ở mức độ gi i thiệu sản phẩm và tiếp nh n đơn đặt hàng thông
qua web.
Để tiếp c n và g p phần đẩy m nh sự phổ biến củ công nghệ thông tin
chúng em đã t m hiểu về đề tài “C c ph ơng ph p tấn công v t t ờng lử .”
V i sự h ng d n t n t nh củ thầy Ph m V n H ởng nh m em đã hoàn thành
bản b o c o này. Tuy đã cố gắng hết sức t m hiểu, phân tích nh ng chắc rằng
không tr nh khỏi những thiếu s t.Nh m em rất mong nh n đ c sự thông cảm
và g p ý củ quí Thầy cô.Nh m em xin chân thành cảm ơn.
Hà Nội th¸ng 12 n¨m 2010
Nhóm sinh Viên Thực Hiện:
Trƣơng Văn Trƣờng
Nguyễn Xuân Phao
Phạm Văn Trọng
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 6 -
Chƣơng I: Tổng Quan Về Firewall
1.1. Đặt vấn đề:
Song song v i việc xây dựng nền tảng về công nghệ thông tin, cũng nh
ph t triển c c ứng dụng m y tính trong sản xuất, kinh do nh, kho học, gi o
dục, xã hội,... th việc bảo về những thành quả đ là một điều không thể thiếu.
Sử dụng c c bức t ờng lử (Firew ll) để bảo vệ m ng nội bộ (Intr net), tr nh sự
tấn công từ b n ngoài là một giải ph p hữu hiệu
Những thông tin l u trữ tr n hệ thống m y tính cần đ c bảo vệ do c c
y u cầu s u:
* Bảo m t: Những thông tin c gi trị về kinh tế, quân sự, chính s ch vv...
cần đ c giữ kín.
* Tính toàn vẹn: Thông tin không bị mất m t hoặc sử đổi, đ nh tr o.
* Tính kịp thời: Y u cầu truy nh p thông tin vào đúng thời điểm cần thiết.
Trong c c y u cầu này, thông th ờng y u cầu về bảo m t đ c coi là y u
cầu số 1 đối v i thông tin l u trữ tr n m ng. Tuy nhi n, ng y cả khi những
thông tin này không đ c giữ bí m t, th những y u cầu về tính toàn vẹn cũng
rất qu n trọng. Không một c nhân, một tổ chức nào lãng phí tài nguy n v t
chất và thời gi n để l u trữ những thông tin mà không biết về tính đúng đắn củ
những thông tin đ .
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 7 -
1.2 Phân loại Các kiểu tấn công:
1.2.1 Tấn công trực tiếp:
Kẻ tấn công c thể sử dụng những thông tin nh t n ng ời dùng, ngày
sinh, đị chỉ, số nhà vv.. để đo n m t khẩu. Trong tr ờng h p c đ c d nh
s ch ng ời sử dụng và những thông tin về môi tr ờng làm việc, c một tr ơng
tr nh tự động ho về việc dò t m m t khẩu này. Một ch ơng tr nh c thể dễ dàng
lấy đ c từ Internet để giải c c m t khẩu đã mã ho củ c c hệ thống unix c
t n là cr ck, c khả n ng thử c c tổ h p c c từ trong một từ điển l n, theo
những quy tắc do ng ời dùng tự định nghĩ . Trong một số tr ờng h p, khả n ng
thành công củ ph ơng ph p này c thể l n t i 30%.
Sử dụng c c lỗi củ ch ơng tr nh ứng dụng và bản thân hệ điều hành đã
đ c sử dụng từ những vụ tấn công đầu ti n và v n đ c tiếp tục để chiếm
quyền truy nh p. Trong một số tr ờng h p ph ơng ph p này cho phép kẻ tấn
công c đ c quyền củ ng ời quản trị hệ thống (root h y dministr tor). Hai
ví dụ th ờng xuy n đ c đ r để minh ho cho ph ơng ph p này là ví dụ v i
ch ơng tr nh sendm il và ch ơng tr nh rlogin củ hệ điều hành UNIX.
Sendm il là một ch ơng tr nh phức t p, v i mã nguồn b o gồm hàng
ngàn dòng lệnh củ ngôn ngữ C. Sendmail đƣợc chạy với quyền ƣu tiên của
ngƣời quản trị hệ thống, do chƣơng trình phải có quyền ghi vào hộp thƣ
của những ngƣời sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về
thƣ tín trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendm il trở
thành một nguồn cung cấp những lỗ hổng về bảo m t để truy nh p hệ thống.
Rlogin cho phép ng ời sử dụng từ một m y tr n m ng truy nh p từ x
vào một m y kh c sử dụng tài nguy n củ m y này. Trong quá trình nhận tên
và mật khẩu của ngƣời sử dụng, rlogin không kiểm tra độ dài của dòng
nhập, do đ kẻ tấn công c thể đ vào một xâu đã đ c tính to n tr c để ghi
đè l n mã ch ơng tr nh củ rlogin, qu đ chiếm đ c quyền truy nh p.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 8 -
1.2.2 Nghe trộm:
Việc nghe trộm thƣờng đƣợc tiến hành ngay sau khi kẻ tấn công đã
chiếm đƣợc quyền truy nhập hệ thống, thông qua các chƣơng trình cho
phép bắt các gói tin vào chế độ nh n toàn bộ c c thông tin l u truyền tr n
m ng. Những thông tin này cũng c thể dễ dàng lấy đ c tr n Internet.
1.2.3 Vô hiệu các chức năng của hệ thống (DoS, DDoS):
Đây là kểu tấn công nhằm t liệt hệ thống, không cho n thực hiện chức
n ng mà n thiết kế. Kiểu tấn công này không thể ngăn chặn đƣợc, do những
ph ơng tiện đ c tổ chức tấn công cũng chính là c c ph ơng tiện để làm việc và
truy nh p thông tin tr n m ng. Ví dụ sử dụng lệnh ping v i tốc độ c o nhất c
thể, buộc một hệ thống ti u h o toàn bộ tốc độ tính to n và khả n ng củ m ng
để trả lời c c lệnh này, không còn c c tài nguy n để thực hiện những công việc
c ích kh c.
Hình 1 Mô hình tấn công DDoS
Client là một tt cker sắp xếp một cuộc tấn công
H ndler là một host đã đ c thỏ hiệp để ch y những ch ơng tr nh
đặc biệt dùng đ tấn công
Mỗi h ndler c khả n ng điều khiển nhiều gent
Mỗi gent c tr ch nhiệm gửi stre m d t t i victim
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 9 -
1.2.4 Tấn công vào yếu tố con ngƣời:
Kẻ tấn công c thể li n l c v i một ngời quản trị hệ thống, giả làm một
ng ời sử dụng để y u cầu th y đổi m t khẩu, th y đổi quyền truy nh p củ
m nh đối v i hệ thống, hoặc th m chí th y đổi một số cấu h nh củ hệ thống để
thực hiện c c ph ơng ph p tấn công kh c. V i kiểu tấn công này không một
thiết bị nào c thể ng n chặn một c ch hữu hiệu, và chỉ c một c ch gi o dục
ng ời sử dụng m ng nội bộ về những y u cầu bảo m t để đề c o cảnh gi c v i
những hiện t ng đ ng nghi. N i chung yếu tố con ngời là một điểm yếu trong
bất kỳ một hệ thống bảo vệ nào, và chỉ c sự gi o dục cộng v i tinh thần h p
t c từ phí ng ời sử dụng c thể nâng c o đ c độ n toàn củ hệ thống bảo vệ.
1.3 Firewall là gì ?
Trong công nghệ m ng thông tin, Firew ll là một kỹ thu t đ c tích h p
vào hệ thống m ng để chống sự truy c p tr i phép, nhằm bảo vệ c c nguồn
thông tin nội bộ và h n chế sự xâm nh p không mong muốn vào hệ thống. Cũng
c thể hiểu Firew ll là một cơ chế (mech nism) để bảo vệ m ng tin t ởng
(Trustednetwork) khỏi c c m ng không tin t ởng (Untrusted network).
Hình 2 Mô hình firewall
Một c ch vắn tắt, firew ll là hệ thống ng n chặn việc truy nh p tr i phép
từ b n ngoài vào m ng cũng nh những kết nối không h p lệ từ b n trong r .
Firew ll thực hiện việc lọc bỏ những đị chỉ không h p lệ dự theo c c quy tắc
h y chỉ ti u định tr c.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 10 -
Hình 3 Lọc gói tin tại firewall
Firew ll c thể là hệ thống phần cứng, phần mềm hoặc kết h p cả h i.
Nếu là phần cứng, n c thể chỉ b o gồm duy nhất bộ lọc g i tin hoặc là thiết bị
định tuyến (router đ c tích h p sẵn chức n ng lọc g i tin). Bộ định tuyến c
c c tính n ng bảo m t c o cấp, trong đ c khả n ng kiểm so t đị chỉ IP. Quy
tr nh kiểm so t cho phép b n định r những đị chỉ IP c thể kết nối v i m ng
củ b n và ng c l i. Tính chất chung củ c c Firew ll là phân biệt đị chỉ IP
dự tr n c c g i tin h y từ chối việc truy nh p bất h p ph p c n cứ tr n đị chỉ nguồn.
1.3.1 Các chức năng chính:
Chức n ng chính củ Firew ll là kiểm so t luồng thông tin từ giữ
Intranet và Internet. Thiết l p cơ chế điều khiển dòng thông tin giữ m ng b n
trong (Intr net) và m ng Internet. Cụ thể là:
• Cho phép hoặc cấm những dịch vụ truy nh p r ngoài (từ Intr net r Internet).
• Cho phép hoặc cấm những dịch vụ phép truy nh p vào trong (từ
Internet vào Intranet).
• Theo dõi luồng dữ liệu m ng giữ Internet và Intr net.
• Kiểm so t đị chỉ truy nh p, cấm đị chỉ truy nh p.
• Kiểm so t ng ời sử dụng và việc truy nh p củ ng ời sử dụng. Kiểm
so t nội dung thông tin l u chuyển tr n m ng.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 11 -
Hình 4 Một số chức năng của Firewall
1.3.2 Nguyên lý
Khi n i đến việc l u thông dữ liệu giữ c c m ng v i nh u thông qu
Firew ll th điều đ c nghĩ rằng Firew ll ho t động chặt chẽ v i gi o thức
TCI/IP. V gi o thức này làm việc theo thu t to n chi nhỏ c c dữ liệu nh n
đ c từ c c ứng dụng tr n m ng, h y n i chính x c hơn là c c dịch vụ ch y tr n
c c gi o thức (Telnet, SMTP, DNS, SMNP, NFS...) thành c c g i dữ liệu (d t
p kets) rồi g n cho c c p ket này những đị chỉ để c thể nh n d ng, t i l p l i
ở đích cần gửi đến, do đ c c lo i Firew ll cũng li n qu n rất nhiều đến c c
p cket và những con số đị chỉ củ chúng.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 12 -
Hình 5 Lọc gói tin
Bộ lọc p cket cho phép h y từ chối mỗi p cket mà n nh n đ c. N
kiểm tr toàn bộ đo n dữ liệu để quyết định xem đo n dữ liệu đ c thoả mãn
một trong số c c lu t lệ củ lọc p cket h y không. C c lu t lệ lọc p cket này là
dự tr n c c thông tin ở đầu mỗi p cket (p cket he der), dùng để cho phép
truyền c c p cket đ ở tr n m ng.
Đ là:
• Đị chỉ IP nơi xuất ph t ( IP Source ddress)
• Đị chỉ IP nơi nh n (IP Destin tion ddress)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
• Cổng TCP/UDP nơi xuất ph t (TCP/UDP source port)
• Cổng TCP/UDP nơi nh n (TCP/UDP destin tion port)
• D ng thông b o ICMP ( ICMP mess ge type)
• Gi o diện p cket đến ( incomming interf ce of p cket)
• Gi o diện p cket đi ( outcomming interf ce of p cket)
Nếu lu t lệ lọc p cket đ c thoả mãn th p cket đ c chuyển qu
Firew ll. Nếu không p cket sẽ bị bỏ đi. Nhờ v y mà Firew ll c thể ng n cản
đ c c c kết nối vào c c m y chủ hoặc m ng nào đ đ c x c định, hoặc kho
việc truy c p vào hệ thống m ng nội bộ từ những đị chỉ không cho phép. Hơn
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 13 -
nữ , việc kiểm so t c c cổng làm cho Firew ll c khả n ng chỉ cho phép một số
lo i kết nối nhất định vào c c lo i m y chủ nào đ , hoặc chỉ c những dịch vụ
nào đ (Telnet, SMTP, FTP...) đ c phép m i ch y đ c tr n hệ thống m ng
cục bộ.
Ƣu điểm:
Đ số c c hệ thống Firew ll đều sử dụng bộ lọc p cket. Một trong những
u điểm củ ph ơng ph p dùng bộ lọc p cket là chi phí thấp v cơ chế lọc
p cket đã đ c b o gồm trong mỗi phần mềm router.
Ngoài r , bộ lọc p cket là trong suốt đối v i ng ời sử dụng và c c ứng
dụng, v v y n không y u cầu sự hiểu biết chuy n sâu nào cả.
Hạn chế:
Việc định nghĩ c c chế độ lọc p cket là một việc kh phức t p; đòi hỏi
ng ời quản trị m ng cần c hiểu biết chi tiết vể c c dịch vụ Internet, c c d ng
p cket he der, và c c gi trị cụ thể c thể nh n tr n mỗi tr ờng.
Do làm việc dự tr n he der củ c c p cket, rõ ràng là bộ lọc p cket
không kiểm so t đ c nội dung thông tin củ p cket. C c p cket chuyển qua
v n c thể m ng theo những hành động v i ý đồ n cắp thông tin h y ph ho i
củ kẻ xấu.
1.3.3 Các dạng firewall
1.3.3.1 Firewall cứng
Thiết bị sản xuất r chuy n làm một nhiệm vụ firew ll.
Đơn giản, dễ lắp đặt, cấu h nh, quản lý
* Không làm đ c c che, lo i c c che th qu đắt. C che chỉ ph t huy t c
dụng khi rất nhiều ng ời vào cùng một site, dữ liệu sẽ đ c c che server đ p
ứng cho ng ời dùng (loc l n n rất nh nh) và c che sẽ định kỳ refresh l i c c
thông tin c che. Nếu trong m ng củ m nh c khoảng <10PC th c che chẳng c
ý nghĩ g mấy, th m chí còn ng c l i Stick out tongue.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 14 -
* Feature rich, ta n n dùng UTM firew ll (UTM - Unified Threat
M n gement) là lo i không chỉ là firew ll mà còn chống virus, chống tấn công,
chống sp m, lọc nội dung web, quản lý điều tiết b ng thông cho từng dịch vụ,
chống P2P,...
* C thể quản lý t p trung về firew ll và bảo m t, ng ời làm SI n n cũng
biết một số lo i firew ll, để lự chọn cho kh ch hàng tùy theo mục đích, y u
cầu,... t m l i trong tr ờng h p triển kh i rộng, cho nhiều đơn vị, c c đơn vị
không c dân IT chuy n nghiệp, n n dùng firew ll cứng.
+ Ưu điểm: tối u h cho một công việc n n ổn định và tin c y c o
+ Nh c điểm: Ít c khả n ng linh động và kh nâng cấp.
1.3.3.2 - Firewall mềm
Một softw re đ c cài đặt tr n 1 hệ điều hành nào đ để làm nhiệm vụ
củ 1 firew ll
* C nhiều lự chọn nh Squid+IP t ble (Redh t), WinG te, ... nh ng phổ biến
nhất chắc là ISA tr n Windows.
* C thể làm đ c gần nh "mọi thứ" Smile h y dùng nhất là firew ll (thiết l p
c c policy truy nh p) và c che để t ng tốc truy nh p c c tr ng web, ... đây c lẽ
là u điểm nổi trội nhất.
* Nh c điểm "nổi trội".
* Cần ng ời hiểu biết: biết cài đặt và biết xử lý khi c sự cố
- Biết cài đặt: muốn cài đặt ISA n n : cài windows, chỉ cài c c thành phần cần
thiết, c c thành phần dịch vụ không cần thiết phải bỏ đi; cài c c bản v lỗi củ
Windows (critical + recommend); "h rdening your server" nghĩ là tunning một
số registry về network, t ng buffer để m y tính c khả n ng chịu tấn công tốt
hơn, xử lý m ng tốt hơn, ...; cài ISA cấu h nh và tunning ISA
* Bản quyền cũng là một vấn - nếu muốn dùng Smiles
+ Ưu điểm : linh ho t và dễ nâng cấp
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 15 -
+ Nh c điểm : Phụ thuộc nhiều vào hệ điều hành và softw re.
- C c công ty l n th ờng sử dụng cả 2 lo i "mềm" và "cứng" tùy theo để lọc ở
trong h y ở ngoài.
Hình 7 Firewall mềm
Cầu nối đ ng v i trò trung gi n giữ h i gi o thức. Ví dụ, trong một mô
h nh g tew y đặc tr ng, g i tin theo gi o thức IP không đ c chuyển tiếp t i
m ng cục bộ, lúc đ sẽ h nh thành qu tr nh dịch mà g tew y đ ng v i trò bộ
phi n dịch.
Ưu điểm củ Firew ll pplic tion g tew y là không phải chuyển tiếp IP.
Qu n trọng hơn, c c điều khiển thực hiện ng y tr n kết nối. Qu tr nh chuyển
tiếp IP diễn r khi một server nh n đ c tín hiệu từ b n ngoài y u cầu chuyển
tiếp thông tin theo định d ng IP vào m ng nội bộ. Việc cho phép chuyển tiếp IP
là lỗi không tr nh khỏi, khi đ , h cker c thể thâm nh p vào tr m làm việc tr n
m ng củ b n.
H n chế kh c củ mô h nh Firew ll này là mỗi ứng dụng bảo m t (proxy
pplic tion) phải đ c t o r cho từng dịch vụ m ng. Nh v y một ứng dụng
dùng cho Telnet, ứng dụng kh c dùng cho HTTP, v.v.. Do không thông qu qu
tr nh chuyển dịch IP n n g i tin IP từ đị chỉ không x c định sẽ không thể t i m y
tính trong m ng củ b n, do đ hệ thống pplic tiong tew y c độ bảo m t c o hơn.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 16 -
1.4 Hạn chế của Firewall
• Firewall không đủ thông minh nh con ng ời để c thể đọc hiểu từng lo i
thông tin và phân tích nội dung tốt h y xấu củ n . Firew ll chỉ c thể ng n
chặn sự xâm nh p củ những nguồn thông tin không mong muốn nh ng phải
x c định rõ c c thông số đị chỉ.
•Firew ll không thể ng n chặn một cuộc tấn công nếu cuộc tấn công này
không "đi qu " n . Một c ch cụ thể, firew ll không thể chống l i một cuộc tấn
công từ một đ ờng di l-up, hoặc sự dò rỉ thông tin do dữ liệu bị s o chép bất
h p ph p l n đĩ mềm.
• Firewall cũng không thể chống l i c c cuộc tấn công bằng dữ liệu (d t -
driven tt ck). Khi c một số ch ơng tr nh đ c chuyển theo th điện tử, v t
qu firew ll vào trong m ng đ c bảo vệ và bắt đầu ho t động ở đây.
• Một ví dụ là c c virus m y tính. Firew ll không thể làm nhiệm vụ rà quét
virus tr n c c dữ liệu đ c chuyển qu n , do tốc độ làm việc, sự xuất hiện li n
tục củ c c virus m i và do c rất nhiều c ch để mã h dữ liệu, tho t khỏi khả
n ng kiểm so t củ firew ll. Tuy nhi n, Firew ll v n là giải ph p hữu hiệu đ c
p dụng rộng rãi.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 17 -
1.5 Một số mô hình Firewall
1.5.1 Packet-Filtering Router
Hệ thống Internet firew ll phổ biến nhất chỉ b o gồm một p cket-filtering
router đặt giữ m ng nội bộ và Internet. Một p cket-filtering router c h i chức
n ng: chuyển tiếp truyền thông giữ h i m ng và sử dụng c c quy lu t về lọc
g i để cho phép h y từ chối truyền thông.
Hình 9 Packet filtering
C n bản, c c quy lu t lọc đựơc định nghĩ s o cho c c host tr n m ng
nội bộ đ c quyền truy nh p trực tiếp t i Internet, trong khi c c host tr n
Internet chỉ c một số gi i h n c c truy nh p vào c c m y tính tr n m ng nội
bộ. T t ởng củ mô cấu trúc firew ll này là tất cả những g không đ c chỉ r
rõ ràng là cho phép th c nghĩ là bị từ chối.
Ƣu điểm:
• Gi thành thấp, cấu h nh đơn giản
• Trong suốt(tr nsp rent) đối v i user.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 18 -
Hạn chế:
C rất nhiều h n chế đối v i một p cket-filtering router, nh là dễ bị tấn
công vào c c bộ lọc mà cấu h nh đ c đặt không hoàn hảo, hoặc là bị tấn công
ngầm d i những dịch vụ đã đ c phép. Bởi v c c p cket đ c tr o đổi trực
tiếp giữ h i m ng thông qu router, nguy cơ bị tấn công quyết định bởi số l ng
c c host và dịch vụ đ c phép.
Điều đ d n đến mỗi một host đ c phép truy nh p trực tiếp vào Internet
cần phải đ c cung cấp một hệ thống x c thực phức t p, và th ờng xuy n kiểm
tr bởi ng ời quản trị m ng xem c dấu hiệu củ sự tấn công nào không.
Nếu một p cket-filtering router do một sự cố nào đ ngừng ho t động, tất
cả hệ thống tr n m ng nội bộ c thể bị tấn công
1.5.2 Mô hình Single-Homed Bastion Host
Hình 10 Mô hình single-Homed Bastion Host
Hệ thống này b o gồm một p cket-filtering router và một b stion host.
Hệ thống này cung cấp độ bảo m t c o hơn hệ thống tr n, v n thực hiện cả
bảo m t ở tầng network (p cket-filtering) và ở tầng ứng dụng ( pplic tion
level). Đồng thời, kẻ tấn công phải ph vỡ cả h i tầng bảo m t để tấn công vào
m ng nội bộ.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 19 -
Trong hệ thống này, b stion host đ c cấu h nh ở trong m ng nội bộ.
Quy lu t filtering tr n p cket-filtering router đ c định nghĩ s o cho tất cả c c
hệ thống ở b n ngoài chỉ c thể truy nh p b stion host; Việc truyền thông t i tất
cả c c hệ thống b n trong đều bị kho . thống nội bộ và Bởi v c c hệ bastion
host ở tr n cùng một m ng, chính s ch bảo m t củ một tổ chức sẽ quyết định
xem c c hệ thống nội bộ đ c phép truy nh p trực tiếp vào bastion Internet hay
là chúng phải sử dụng dịch vụ proxy tr n b stion host. Việc bắt buộc những
user nội bộ đ c thực hiện bằng c ch đặt cấu h nh bộ lọc củ router s o cho chỉ
chấp nh n những truyền thông nội bộ xuất ph t từ bastion host.
Ƣu điểm: Bởi v b stion host là hệ thống b n trong duy nhất c thể truy nh p
đ c từ Internet, sự tấn công cũng chỉ gi i h n đến b stion host mà thôi. Tuy
nhi n, nếu nh user log on đ c vào b stion host th họ c thể dễ dàng truy
nh p toàn bộ m ng nội bộ. V v y cần phải cấm không cho user logon vào
bastion host.
1.5.3 Mô hình Dual-Homed Bastion Host
Demilitarized Zone (DMZ) hay Screened-subnet Firewall Hệ thống b o
gồm h i p cket-filtering router và một b stion host. Hệ c độ n toàn c o nhất
v n cung cấp cả mức bảo m t network và pplic tion. M ng DMZ đ ng v i
trò nh một m ng nhỏ, cô l p đặt giữ Internet và m ng nội bộ. Cơ bản, một
DMZ đ c cấu h nh s o cho c c hệ thống tr n Internet và m ng nội bộ chỉ c
thể truy nh p đ c một số gi i h n c c hệ thống tr n m ng DMZ, và sự truyền
trực tiếp qu m ng DMZ là không thể đ c.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 20 -
Hình 11 Mô hình Dual-Homed Bastion Host
V i những thông tin đến, router ngoài chống l i những sự tấn công chuẩn
(nh giả m o đị chỉ IP), và điều khiển truy nh p t i DMZ. Hệ thống chỉ cho
phép b n ngoài truy nh p vào b stion host. Router trong cung cấp sự bảo vệ thứ
h i bằng c ch điều khiển DMZ truy nh p m ng nội bộ chỉ v i những truyền
thông bắt đầu từ b stion host. V i những thông tin đi, router trong điều khiển
m ng nội bộ truy nh p t i DMZ. N chỉ cho phép c c hệ thống b n trong truy
nh p b stion host và c thể cả inform tion server. Quy lu t filtering tr n router
ngoài y u cầu sử dung dich vụ proxy bằng c ch chỉ cho phép thông tin r bắt
nguồn từ b stion host.
Ƣu điểm: Kẻ tấn công cần ph vỡ b tầng bảo vệ: router ngoài, b stion host và
route
Chỉ c một số hệ thống đã đ c chọn r tr n DMZ là đ c biết đến bởi
Internet qua routing t ble và DNS information exchange (Domain Name
Server). Bởi v router trong chỉ quảng c o DMZ network t i m ng nội bộ, c c
hệ thống trong m ng nội bộ không thể truy nh p trực tiếp vào Internet. Điều
n y đảm bảo rằng những user b n trong bắt buộc phải truy nh p Internet qu
dịch vụ proxy.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 21 -
1.5.4 Proxy server
Chúng t sẽ xây dựng Firew ll theo kiến trúc pplic tion-level gateway,
theo đ một bộ ch ơng tr nh proxy đ c đặt ở g tew y ng n c ch một m ng
b n trong (Intr net) v i Internet. Bộ ch ơng tr nh proxy đ c ph t triển dự
tr n bộ công cụ xây dựng Internet Firewall TIS (Trusted Information System),
b o gồm một bộ c c ch ơng tr nh và sự đặt l i cấu h nh hệ thống để nhằm mục
đích xây dựng một Firew ll. Bộ ch ơng tr nh đ c thiết kế để ch y tr n hệ
UNIX sử dụng TCP/IP v i gi o diện socket Berkeley.
Hình 12 Mô hình 1 Proxy đơn giản
Bộ ch ơng tr nh proxy đ c thiết kế cho một số cấu h nh firew ll, theo
c c d ng cơ bản: du l-home g tew y, screened host g tew y, và screened
subnet gateway. Thành phần B stion host trong Firew ll, đ ng v i trò nh một
ng ời chuyển tiếp thông tin, ghi nh t ký truyền thông, và cung cấp c c dịch vụ,
đòi hỏi độ n toàn c o. Proxy server chúng t sẽ t m hiểu kĩ hơn ở phần s u.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 22 -
Chƣơng II: Các Phƣơng Pháp Lập Trình Vƣợt Firewall
2.1 Vƣợt firewall là gì
•v t firew ll là v t qu sự truy cản củ c c ch ơng tr nh bảo m t
(Firew ll) để c thể truy c p đến đ c đích mong muốn
•V t firew ll c thể là v t từ b n trong r h y từ b n ngoài vào
• V t firew ll từ b n trong ra, c thể t m gọn l i c 3 h nh thức v t
firewall chủ yếu là: http proxy, web- based proxy, http tunneling.
2.2 Một sô phƣơng pháp vƣợt firewall
2.2.1.Phƣơng pháp HTTP Proxy
• Là ph ơng ph p mà server sử dụng một cổng nào đ để trung chuyển
c c y u cầu, c c server này th ờng đ c gọi là web proxy server h y http proxy
server
• Khi c c y u cầu củ client bị từ chối bởi ng ời quản trị (h y n i chính
x c hơn là c c ch ơng tr nh quản lý trong m ng LAN), th ng ời sử dụng c thể
sử dụng c c proxy server để chuyển tiếp c c y u cầu mà trong đ , proxy server
là một đị chỉ đ c cho phép kết nối đến.
• C c proxy server này th ờng không cố định, n th ờng c thời gi n sống
rất ngắn.
• Sử dụng proxy này, b n chỉ cần cấu h nh mục proxy mà trong hầu hết c c
Web browser đều c hỗ tr
2.2.1.1. Khi các HTTP Proxy Server trở nên hữu ích
• Nhiệm vụ chính củ HTTP proxy server là cho phép những client b n
trong truy c p r internet mà không bị ng n trở bởi Firew ll. Lúc này tất cả c c
client phí s u Firew ll đểu c thể truy c p r ngoài Internet và không bị ng n
trở bởi c c dịch vụ bảo m t
• Proxy server lắng nghe c c y u cầu từ c c client và chuyển tiếp (forward)
những y u cầu này đến c c server b n ngoài Internet. Proxy server đọc phản hồi
(response) từ c c server b n ngoài rồi gửi trả chúng cho c c client b n trong.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 23 -
• Thông th ờng, những client mà cùng subnet th dùng cùng một proxy server.
Do đ , proxy server c thể c che c c document để phục vụ cho c c client c
cùng nhu cầu (cùng truy c p đến một tr ng chẳng h n).
• Ng ời dùng khi sử dụng proxy cảm thấy họ đ ng nh n c c phản hồi một
c ch trực tiếp từ b n ngoài. Nh ng thực sự th họ đ ng r ngoài Internet một
c ch gi n tiếp thông qu proxy.
• C c client mà không sử dụng DNS v n c thể duyệt web v họ chỉ cần một
thông tin duy nhất, đ là đị chỉ IP củ proxy server. T ơng tự, c c cơ qu n,
do nh nghiệp… sử dụng c c đị chỉ ảo (10.x.x.x, 192.168.x.x,172.16.x.x
,172.32.x.x) v n c thể r ngoài Internet một c ch b nh th ờng thông qu proxy
server.
• C c proxy server c thể cho phép h y từ chối c c y u cầu dự tr n gi o
thức củ c c kết nối. Ví dụ nh : một proxy server c thể cho phép c c kết nối
HTTP trong khi từ chối c c kết nối FTP.
• Khi b n dùng proxy server nh một cổng r ngoài Internet từ m ng LAN, b n
c thể chọn lự c c tùy chọn nh s u:
- Cho phép h y ng n chặn client truy c p Internet dự tr n nền tảng đị chỉ IP
- C ching document: l u giữ l i c c tr ng web phục vụ cho c c nhu cầu
giống nh u
- Sàng lọc kết nối
- Cung cấp dịch vụ Internet cho c c công ty dùng m ng ri ng (nền tảng IP ảo)
- Chuyển đổi dữ liệu s ng d ng HTML để c thể xem bằng tr nh duyệt
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 24 -
Hình 15 Mô hình hoạt động chung của các proxy
2.2.1.2. Những bất cập do proxy
• Tuy proxy nh n i ở tr n đem l i rất nhiều điều hữu ích. Tuy nhi n c i
g cũng c 2 mặt và proxy cũng không ngo i lệ. L i dụng ý t ởng về proxy,
hàng lo t c c m y tính tr n m ng tự biến m nh thành những proxy server để cho
c c client c thể truy c p vào những tr ng c nội dung xấu mà nhà cung cấp
dịch vụ đã ng n chặn bằng firew ll.
• Vấn đề đ c đặt r là làm thế nào để cho c c client truy c p Internet
v n c thể truy c p Internet b nh th ờng nh ng không thể truy c p những tr ng
bị chặn, h y n i c ch kh c là cấm cản ng ời dùng sử dụng proxy b n ngoài hệ
thống.
2.2.1.3. Kĩ thuật lập trình một HTTP Proxy cơ bản
L p tr nh một HTTP proxy cần qu c c b c s u:
• Lắng nghe c c kết nối đến proxy server
• Khi c kết nối đến th t o r một thre d để quản lý kết nối này
• Tiếp nh n và sử đổi l i g i tin HTTP Request cho h p lệ.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 25 -
• Phân tích URL lấy đ c phần t n tr ng Web và Port.
VD:www.y hoo.com:8080 c t n là www.yahoo.com và port là 8080
(nếu không c gi trị port th mặc định port=8080).
• Sử dụng phần t n này để phân giải đị chỉ lấy số IP.
• Kết nối đến remote server
• Chuyển y u cầu đến server
• Chờ đ i thông tin phản hồi từ remote server
• Chuyển phần g i tin này về l i cho user.
2.2.1.4. Sử dụng trang web trung gian
T m hiểu: Tr ng web trung gi n không nằm trong d nh s ch bị t ờng lử ,
t truy c p đ c, từ đ t "nhờ" tr ng trung gi n này truy c p tiếp vào tr ng web
bị chặn 1 c ch dễ dàng.
C ch dùng:
- Truy c p vào c c tr ng web trung gian sau:
https://go2-web.appspot.com (không quảng c o)
ông quảng c o)
(quảng c o nhỏ)
(quảng c o nhỏ)
(quảng c o kh l n, hỗ tr link trực tiếp)
- Kéo tr ng web xuống phí d i sẽ thấy một khung trống để nh p đị
chỉ tr ng web (th ờng c chữ Enter the url, Website url, hoặc Web
Address ). Nh p đị chỉ cần v t vào, s u đ Enter hoặc bấm nút b n phải
khung đ (th ờng c chữ Surf, Go hoặc Browse ), l p tức tr ng web sẽ hiện r .
- Ngoài r c thể t m th m tr n Google v i từ kh “free surf nonymous
site”, hoặc vào rapidwire.net và proxy4free.com để t m th m c c tr ng t ơng tự.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 26 -
2.2.1.5 Thay đổi địa chỉ proxy của trình duyệt
C ch dùng: Mỗi tr nh duyệt c c ch th y đổi IP ri ng. Xin minh họ bằng
2 tr nh duyệt phổ biến nhất: Internet Explorer vàMozill Firefox (n n dùng
Firefox, sẽ c công cụ giúp đơn giản h việc th y đổi "đị chỉ" này).
- Proxy c d ng: 119.70.40.101: 8080. Dãy số đứng tr c dấu ":" gọi là IP,
dãy số phí s u là Port
- Đầu ti n, t cần t m kiếm c c proxy.
- S u đ kiểm tr xem proxy c còn dùng đ c.
- Cuối cùng, t thiết l p proxy cho tr nh duyệt củ m nh.
) C c tr ng cung cấp Proxy và kiểm tr Proxy:
- Đầu ti n t cần t m đị chỉ Proxy (HTTP và HTTPS)
1)
(Proxy tr ng web này cung cấp kh tốt, không cần phải kiểm tr )
2)
- S u đ tô đen tất cả thông số Proxy, nhấn Ctrl+C để copy l i
- Vào tr ng web s u để kiểm tr Proxy còn dùng đ c h y không
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 27 -
- C c đị chỉ còn dùng tốt sẽ đ c hiển thị d i cùng.
b). C ch thiết l p:
+ Internet Explorer : vào Tool -> Internet Options, chọn thẻ Connections, bấm
chọn nút LAN Settings ở d i cùng, đ nh dấu chọn và nh p đị chỉ proxy nh
h nh . Nhấn OK (Nếu muốn trở l i kết nối trực tiếp cũ, bỏ đ nh dấu).
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 28 -
+ Firefox: vào Tool -> Options, chọn thẻ Advanced -> Network, bấm chọn
nút Settings, đ nh dầu chọn và nh p đị chỉ proxy nh h nh . Nhấn OK (Nếu
muốn trở l i kết nối trực tiếp cũ, đ nh dấu chọn Direct connection to the
Internet)
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 29 -
Đối v i Firefox, t c thể cài th m ddon Proxy Toolb r, th nh nh p đị
chỉ Proxy sẽ đ c đ r th nh công cụ, tiện l i hơn, downlo d t i:
- https://addons.mozilla.org/en-US/firefox/addon/2817 ( dùng cho Firefox từ
1.5 - 3.6)
- (dùng cho mọi phi n bản Firefox, s u khi
downlo d, giải nén t đ c file d ng.xpi, bấm chuột phải, chọn Open with,
chọn Firefox để bắt đầu cài đặt)
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 30 -
2.2.2. Phƣơng pháp HTTP Tunneling
• Cũng nh c c ph ơng ph p tr n, htttp tunneling cho phép ng ời dùng
truy c p vào những tr ng bị cấm
• B o gồm một ch ơng tr nh client ở phí ng ời dùng và một ch ơng tr nh
ở phí server
• Đầu ti n, ch ơng tr nh ở phí client sẽ t o r một đ ờng hầm kết nối m y
b n đến ch ơng tr nh server đặt tr n m ng, đ ờng hầm này đi qua firewall mà
không hề g , v đị chỉ server không bị filter. Khi đ ờng hầm đã thiết l p xong
mọi y u cầu truy c p đến tr ng web sẽ thông qu server, rồi đ vào đ ờng hầm
và đến m y b n mà firew ll không hề h y biết. Do 1 số ứng dụng http-tunneling
đ c viết theo mô h nh client-server, cơ chế ho t động dự tr n kịch bản làm
việc dựng sẵn, Một số tr ờng h p khi đ ng ở công ty c triển kh i t ờng lử để
quản lý toàn bộ dữ liệu củ hệ thống m ng b n trong r b n ngoài, thông
th ờng chỉ cho đi r một số dịch vụ cần thiết ví dụ HTTP,HTTPS,DNS, FPT.
Http Tunneling là g ? đây là một kỹ thu t đ ng g i dữ liệu củ c c gi o thức
kh c ( TCP/IP) trong một g i tin HTTP để c thể v t qu t ờng lử đ c đ c
triển kh i d i h nh thức client-server
Để hiểu rõ hơn về kỹ thu t t xét thông qu bài l b HTTP Tunneling s u
đây :Trong tr ờng h p này Intern l PC sẽ không thể sử dụng dịch vụ Remote
Desktop tr n Extern l PC.
• Chỉ cho phép dịch vụ HTTP,HTTPS,DNS . Để v t qu trở ng i này t
sử t c thể chủ động qu mặt c c firew ll bằng c ch mã h
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 31 -
- Mục ti u : trong bài L b này t sẽ sử dụng kỹ thu t http tunneling để v t qu
firew ll để c thể sử dụng dịch vụ remote desktop tr n m y ExternalPC
Cấu h nh :
1. Cấu h nh hiện t i tr n Firew ll chỉ cho Intern l đ c phép sử dụng dịch vụ
HTTP, HTTPS, DNS khi đi r c c m ng kh c chỉ cho phép dịch vụ
HTTP,HTTPS,DNS . Để v t qu trở ng i này t sử dụng kỹ thu t HTTP
Tunneling nh s u :
- Downlo d phần mềm :
- Mục ti u : trong bài L b này t sẽ sử dụng kỹ thu t http tunneling để v t qu
firew ll để c thể sử dụng dịch vụ remote desktop tr n m y ExternalPC
2.2.2.1. Cấu hình
1. Cấu h nh hiện t i tr n Firew ll chỉ cho Intern l đ c phép sử dụng dịch vụ
HTTP, HTTPS, DNS khi đi r c c m ng kh c
- Thử remote đến m y 192.168.1.10 sẽ không đ c v Firew ll không cho phép
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 32 -
2. Thiết l p một HTTP tunneling từ Intern lPC đến Extern lPC nh s u:
- Tr n m y Extern l PC sử dụng file hts.exe cấu h nh nh s u
Hts -F 127.0.0.1:3389 80
- Lệnh này c sẽ để m y Extern lPC lắng nghe và chờ kết nối tr n công 80 và
khi c kết nối đến (trong tr ờng h p này là từ Intern lPC) sẽ chuyển kết nối
đến cổng 3389 t i m y 127.0.0.1 ( chính m y này )
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 33 -
- Tr n m y Intern lPC sử dụng t p tin htc.exe để thiết l p một HTTP tunnel đến
m y ExternalPC Hts -F 1111 192.168.1.10:80
M y client sẽ chờ kết nối đến cổng 1111 s u đ sẽ chuyển toàn bộ dữ liệu
thông qu HTTP tunnel xuy n qu Firew ll v đây là c c g i tin HTTP h p
ph p đến m y Extern lPC, s u đ đ c m y này chuyển đến dịch vụ remote
desktop
3. Từ m y client remote desktop đến m y Extern lPC thông qu HTTP tunnel
đã t o Nhấn connect t sẽ thấy kết nối thành công
- Sử dụng lệnh nets t để kiểm tr c c kết nối hiện c tr n m y intern l PC
- C c b n sẽ thấy Intern lPC chỉ t o c c kết nối HTTP đến m y Extern lPC n n
h p lệ đ c phép đi qu firew ll
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 34 -
2.2.3. Vƣợt tƣờng lửa bằng web base proxy
2.2.3.1. Thế nào là 1 web-based anonymous proxy ?
Web-based Anonymous Proxy là 1 d ng kh c củ Web Proxy Server,
nh ng đ c xây dựng d i d ng 1 tr ng web. S u đây là c c đặc điểm kh c biệt
củ n so v i Web Proxy :
- Dễ dàng, thân thiện v i ng ời dùng do đ c Proxy tích h p sẵn b n trong
tr ng Web, ng ời dùng chỉ cần cung cấp đị chỉ tr ng web cần đến (URL) cho
WBP và bắt đầu duyệt web. Ngoài r ng ời dùng không cần phải tinh chỉnh c c
thông số kh c đị chỉ IP củ WBP, số hiệu cổng,.. cho tr nh duyệt củ m nh, chỉ
cần biết t n hoặc IP củ WBP và link đến WBP này
- Khi đ c c c client y u cầu, WBP sẽ lấy c c thông tin (Resource) từ web
server đích, s u đ xây dựng l i thành 1 tr ng web hoàn chỉnh rồi đẩy toàn bộ
nội dung tr ng web hoàn chỉnh này về cho tr nh duyệt củ Client. Th ờng th
tr nh duyệt phí Client sẽ nh n đ c tr ng web m nh y u cầu c đính kèm theo
phần ti u đề củ WBP.
- C khả n ng chọn lọc c c web p ge components khi đ c y u cầu. VD:
quyết định xem c cho phép sử dụng cookies,h nh ảnh,j v script,cử sổ pop-
up,... trong tr ng web h y không.
- Do bản chất là “l t web ẩn d nh” thông qu 1 tr ng web trung gi n n n c c
g i tin request củ Client gần nh giống hoàn toàn v i c c g i tinHTTP request
thông th ờng .V v y c c phần mềm lọc g i tin sẽ kh lòng ph t hiện r đâu là
g i tin “c vấn đề”.
- Đị chỉ 1 số c c WBP th m khảo kh c tr n internet :
•
•
•
•
•
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 35 -
2.2.3.2. Cách thức hoạt động của một web base proxy
Mỗi khi nh n đ c y u cầu request từ phí Client,WBP sẽ :
Phân tích URL để tiến hành tiếp nh n c c resource t ơng ứng (links, h nh
ảnh,fl sh,…) từ tr ng web đ c client y u cầu
S u khi nh n xong,WBP sẽ c p nh t l i c c URLs củ tr ng HTML đ c
y u cầu s o cho phù h p. WBP sẽ tiến hành sàng lọc c c thành phần (web page
components) dự theo y u cầu Client và đẩy toàn bộ tr ng HTML đã đ c xây
dựng l i này về phí Client Phí tr nh duyệt Client đ ng lắng nghe phản hồi từ
phí WBP n n khi nh n đ c phản hồi, tr nh duyệt sẽ thể hiện tr ng web cho
ng ời dùng.
2.2.3.3. Giới thiệu về trang Web Based Proxy
2.2.3.3.1. Giao diện
• Tr ng web c gi o diện đơn giản. Phí tr n c một th nh textbox, cho phép
user nh p đị chỉ tr ng web muốn đến
• Phí d i là c c option cho phép user lự chọn
• Cuối cùng là 2 nút, cho phép ng ời dùng kích ho t cho tr ng web ch y và nút
reset l i def ult.
2.2.3.3.2. Diễn giải mô hình
Khởi động tr ng web: B o gồm việc lo d c c form, c c đề mục,gi o diện
trang web
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 36 -
• Kiểm tr cookies:Kiểm tr xem tr n m y hiện c sử dụng cookies củ tr ng
h y không
• Lo d tr ng web def ult:Nếu kiểm tr cookies không c , tr nh duyệt sẽ lo d
tr ng mặc định, tức là url sẽ trống, c c option mặc định sẽ đ c check…
• Load tr ng dự theo cookies:Nếu kiểm tr cookies c , th sẽ lo d theo
cookies, b o gồm c c url đã đ c sử dụng, c c tr ng th i củ c c option.
• Nh p thông tin:Client nh p c c thông tin nh url củ tr ng web cần đến,
check h y bỏ check c c option tùy theo ng ời dùng.
• Kiểm tr h p lệ url:Kiểm tr về h nh thức nh p nh c thiếu http h y không,
c thiếu www h y không, nếu thiếu sẽ tự động dd th m vào cho h p lệ.
• Kiểm tr c c option:Kiểm tr c c option xem option nào đ c check, option
nào không đ c check để thực hiện đúng theo y u cầu củ client.
• Duyệt tr ng web theo y u cầu:Gửi y u cầu đến webserver t ơng ứng: phân
giải t n miền, gửi y u cầu http đến server
• Thất b i, thông b o lỗi:Nếu không c tr ng web, đị chỉ s i dong ời dùng
đ nh s i h y bất cứ nguy n nhân nào làm cho việc gửi http request không đ c
đ p ứng th đều thông b o lỗi
• Thành công, chỉnh sử theo option:Nếu thành công th sẽ chỉnh sử l i tr ng:
dự theo c c option, xem c phải dd th m phần phụ vào đầu tr ng h y không,
lấy h y lo i bỏ h nh ảnh lấy h y lọ i bỏ c c script…(c c mục này đ c thực
hiện khi gửi http request).
• Gửi kết quả cho client:Gửi kết quả cuối cùng đến cho client là mộttr ng web
đã đ c tinh chỉnh l i, đ c chỉnh sử l i cho phù h p. ng ời dùng đ nh s i
h y bất cứ nguy n nhân nào làm cho việc gửi http request không đ c đ p ứng
th đều thông b o lỗi
2.2.4. Web-based Proxy Servers
Một m y chủ proxy là một hệ thống m y tính hoặc ch ơng tr nh một ứng
dụng giúp chuyển tiếp trong đơn y u cầu củ kh ch hàng đến c c m y chủ kh c
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 37 -
hàng nh u. kh ch mong muốn cho một số dịch vụ (website) từ một m y chủ
kh c nh u và để đ t đ c điều này, dữ liệu đ c lấy củ c c m y chủ proxy.
Web proxy dự tr n thiết kế củ phí m y chủ phần mềm. Đây c thể b o gồm
CGI proxy, proxy PHP và Glype. C c proxy ho t động thông qu một tr nh
duyệt web. B n c thể ẩn đị chỉ IP và l t web mà không để cho ng ời kh c
biết về sự hiện diện củ b n. Tất cả điều đ sẽ đ c y u cầu để làm điều này là
để đi đến tr ng chủ củ tr nh duyệt web và chính trong một URL trong c c h nh
thức URL.
Những proxy web m y chủ điều khiển bộ lọc nội dung b n quản trị qu
nội dung một, mà c thể ch y thông qu proxy. Internet là ràng buộc v i c c
điều khoản và điều kiện trong c c tổ chức th ơng m i, mà xem nh t ờng lử
cho đúng thủ tục. Ngoài d nh s ch đen, URL regex lọc và MIME lọc là h i qu
tr nh xuất sắc.
C c proxy ng ời sử dụng bộ lọc nội dung x c thực ng ời dùng để truy
c p web. N cũng gi o dịch ở c c lo i nh t ký cho phong thông tin về truy c p
URL hoặc tổng qu n về b ng thông.
2.2.4.1. Ý nghĩa
• Ph ơng ph p này cho phép ng ời sử dụng truy c p vào c c tr ng bị cấm d i
h nh thức 1 truy c p vào 1 tr ng web trung gi n.
• Đầu ti n ng ời dùng truy c p vào tr ng web này
• S u đ , ng ời sử dụng cung cấp thông tin về tr ng web mà m nh muốn đến
(chủ yếu d i h nh thức url)
• S u đ Web-b se proxy này sẽ kết nối đến tr ng mà ng ời dùng y u cầu,lấy
thông tin, đinh d ng l i thông tin, rồi gửi l i cho ng ời dùng một c ch h p ph p
• Tất nhi n, web-b sed proxy này phải là một tr ng web mà ch bị ng ời
quản trị cấm
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 38 -
2.2.5. Sử dụngphần mềm vƣợt tƣờng lửa
* Xin gi i thiệu phần mềm ULTRASURF, dễ dùng, đơn giản.
- Down load UltraSurf 9.97.
- Khi ch y file U995.exe, gi o diện ch ơng tr nh sẽ hiện l n, g c phải d i màn
h nh sẽ xuất hiện h nh ổ kho , và tr nh duyệt Internet Explorer sẽ tự động hiện
l n. Xong, giờ chỉ cần gõ đị chỉ tr ng web cần xem.
- Khi không muốn v t t ờng lử nữ , b n nhấn chuột phải vào h nh ổ kho
chọn exit:
- V i tr nh duyệt Firefox, b n cần cài th m ddon để ch y U995.exe,. Tải về và
giải nén, s u đ b n kéo file wjbutton_en.xpi vừ giải nén đ c vào cử sổ tr nh
duyệt Firefox. Nhấn nút Inst ll. S u đ khởi động l i Firefox và b t U995.exe l n.
- D i cùng tr nh duyệt Firefox sẽ xuất hiện dòng chữ màu đỏ WJ Dis bled.
Nhấn chuột tr i vào dòng chữ đ . Xong, b n c thể vào c c tr ng bị t ờng lử
b nh th ờng. Nếu không muốn v t t ờng lử nữ , b n nhấn chuột vào dòng
chữ đ 1 lần nữ .
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 39 -
** Sử dụng tr nh duyệt web Oper 10 v i công nghệ Turbo:
Trích d n: "Oper 10 đ c tích h p th m tính n ng Oper Turbo giúp
b n t ng tốc l t web khi sử dụng đ ờng truyền ch m. Oper Turbo sử dụng
server củ Opera để tối u h đ ờng truyền và nén dữ liệu để t ng c ờng tốc
độ. V i công nghệ nén ti n tiến, Oper Turbo sẽ nén dữ liệu l i từ 2 đến 3 lần
tr c khi tải về, đồng nghĩ v i việc l u l ng sử dụng củ b n sẽ giảm xuống
và việc tải web sẽ nh nh hơn rất nhiều." -> v dữ liệu tải về đã đ c nén tr c
và thông qu trung gi n là server củ Oper n n sẽ không bị t ờng lử chặn .
- Tải Opera 10.10.1767b Portable t i:
(11.88 MB)
- S u khi tải về, giải nén và ch y file Opera.exe để mở tr nh duyệt l n và duyệt
web b nh th ờng (không cần cài đặt, tính n ng Turbo đã mở sẵn).
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 40 -
Chƣơng III : Thực Nghiệm Các Phƣơng Pháp Vƣợt Firewall Thông Dụng
3.1. Sử dụng proxy server
C rất nhiều proxy server miễn phí tr n m ng. C c b n c thể t m d nh
s ch này bằng Google v i từ kh "free proxy". C c proxy server đ c viết
d i d ng:
Customer-148-223-48-114.uninet.net.mx:80 hoặc 163.24.133.117:80
Trong đ phần tr c dấu ":" là đị chỉ, và phần s u đ là cổng. N n chọn
c c proxy c cổng "ti u chuẩn" (ví dụ cổng 80) v c c cổng "không ti u chuẩn"
(ví dụ 3128 h y 8080) c thể bị chặn bởi t ờng lử ở Việt N m.
Trong c c tr nh duyệt đều c chức n ng thiết l p proxy.
- Internet Explorer: Vào Tools, Internet Options, Connections, LAN settings,
rồi trong phần “Proxyserver”, điền vào đị chỉ IP và số cổng.
- FireFox: Vào Tools, Options, Adv nced, Network, bấm vào nút Settings, chọn
“M nu l proxy configur tion”, rồi trong hàng HTTP Proxy, điền vào đị chỉ IP
và số cổng..
3.2. Dùng Anonymizer web / web proxy để vƣợt tƣờng lửa
Anonymizer là những dịch vụ giúp ng ời dùng l t m ng một c ch kín
đ o và giúp đi xuy n qu t ờng lử . Dịch vụ nonymizer c n bản chỉ là những
tr ng web proxy. Ng ời t vào c c tr ng web đ , rồi đ nh vào đị chỉ củ tr ng
web đã bị ng n ch n. C c tr ng web nonymizer sẽ làm công việc trung gi n
chuyển tải nội dung tr ng web bị ch n xuống đến m y vi tính củ ng ời l t
web.
T không cần phải downlo d phần mềm nào cả, không cài đặt g cả,
không sử đổi g trong browser củ m nh cả, chỉ duy nhất đến tr ng web cung
cấp dịch vụ nonymizer.
Những tr ng nonymizer phổ thông nh :
- www.anonymouse.org
- www.go2-web.appspot.com/
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 41 -
- www.shadowsurf.com
- www.blackproxy.eu/
- https://proxify.com/
- www.proxyforall.com
- www.proxeasy.com
3.3. Vƣợt tƣờng lửa bằng công cụ của Google
Google hiện n y đ ng cung cấp dịch vụ Web Acceler tor, mà thực chất là
một d ng proxy. Chỉ cần tải phần mềm tr n tr ng Google về, và cài đặt tr n
m y là b n c thể dùng bất cứ tr nh duyệt nào cũng c thể truy c p c c tr ng
qu n i tr n.
Google còn cung cấp ph ơng tiện chuyển ngữ tr ng Web (Tr nsl tion
service), kh tiện cho việc v t t ờng lử .
3.4. Vƣợt tƣờng lửa DNS của FPT
FPT chỉ chặn Internet bằng DNS firew ll, do đ nếu không dùng DNS
củ FPT th b n c thể truy c p c c tr ng bị chặn dễ dàng.
Để th y đổi DNS củ FPT connection, mở Loc l Are Connection
Properties, chọn gi o thức TCP/IP, mở Properties, chọn mục "Use the following
DNS server addresses", gõ vào đ đị chỉ DNS Serrver m i, chẳng h n 4.2.2.2
và 4.2.2.1
3.5. Dùng phần mềm đặc biệt để vƣợt tƣờng lửa
C một số phần mềm c thể dùng trong việc v t t ờng lử để xem c c
tr ng web bị ng n chặn.
- Gtunnel: cài đặt và sử dụng
v i IE
- Tor: S u khi downlo d về, cần phải định h nh
browser. Để tiện gọn hơn, dùng torp rk là một g i phần mềm miễn phí. T m
phần mềm torp rk tr n net, dùng keyword “torp rk”. Torp rk đã ngừng l i ở ấn
bản 1.5.0.7. Th y thế n là xB Browser.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 42 -
- xB Browser: nk.com/xB_Browser.php. Phần mềm này là h u
thân củ torp rk. Nếu sử dụng v i tính c ch c nhân th c thể dùng xB
Browser miễn phí. Downlo d n xuống, cài đặt và dùng xB Browser nh khi
dùng IE h y FireFox để v t t ờng lử xem c c tr ng web bị chặn.
- Ultr Surf: re ch.com/ V c c tr ng web củ Ph p Luân Công
bị ch n bởi t ờng lử Trung Quốc họ m i thành l p công ty Ultr Re ch Internet
Corp để thực hiện phần mềm Ultr Surf miễn phí giúp cho ng ời dân Trung
Quốc v t t ờng lử .
- GProxy: ss1.com/gproxy/gproxy.xpi đây là một dd-ons dành ri ng
cho FireFox
3.6 Kết luận
S u khoản thờ gi n dài nghi n cứu, ít nhiều chúng em cũng đã t m hiểu
t ơng đối thành công c c ph ơng ph p l p tr nh v t firew ll cũng nh những
ch ơng tr nh kèm theo: Http proxy, Web b sed Proxy, Plug-in chống v t
firew ll, service chống v t firew ll. Qu những g t m hiểu đ c, chúng em
cảm thấy v n còn nhiều điều phải làm để c thể hoàn thiện hơn ch ơng tr nh
cũng nh cần c sự h ng d n nhiều hơn nữ củ c c thầy cô, b n bè…
Kết quả cuối cùng là kết quả củ những th ng ngày cố gắng, nỗ lực củ
bản thân, sự giúp đỡ củ gi đ nh, nhà tr ờng, b n bè và đặc biệt là sự h ng
d n t n t nh củ thầy Phạm Văn Hƣởng để chúng em c thể hoàn tất một c ch
tốt đẹp lu n v n so v i những g đã đặt r .
Cuối cùng, một lần nữ , chúng em xin cảm ơn tất cả đã giúp đỡ để chúng
em c thể hoàn thành tốt kh lu n này. Xin chân thành cảm ơn.
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 43 -
PHỤ LỤC
DANH SÁCH CÁC TÀI LIỆU THAM KHẢO
- Website:
•
• ntrim ng.com
•
•
•
• .com
•
• rnth t.com
•
•
•
• dminvietn m.net
• nonimizer.com
•
•
Nh m 19 : L p Tr nh V t Firew ll Gi o Vi n H ng D n : Ph m V n H ởng
Học viện Kỹ thuật Mật mã Trang - 44 -
Danh sách các tài liệu, sách, giáo trình tham khảo
• Tài liệu điện tử MSDN củ Microsoft.
• Anthony Jones và Jim Ohlund, Network Progr mming for Microsoft
Windows, 1999 (ebooks)
• O'Reilly, Le rning PHP 5,June-2004
• Addision Wesley, The C++ Progr mming L ngu ge,June-97
Wrox Press,Beginning PHP 4,2001
• S ms Publishing ,Te ch Yourself PHP, MySQL nd Ap che in 24h,12-2002
• Addision Wesley,C/C++ Network Progr mming I & II,10-2001
Các file đính kèm theo tài liệu này:
- Luận văn tốt nghiệp- Phương Pháp Lập Trình vượt firewall.pdf