Làm sao vuot qua được Fire Wall

Làm sao vuot qua được Fire Wall

Làm sao vuot qua được Fire Wall các bác ơi
Mấy trang Web bây giờ vào nó cứ đòi User với Pass có phải là do Fire Wall không vâyy hả các bác
Mong sự giúp đỡ của các đại cao thủ !

Đã là Gà thì không nên Gáy nhiều

BỨC TƯỜNG LỬA GIẢI PHÁP AN NINH CHO HỆ THỐNG MẠNG
Giống như một tấm chắn, Firewall bảo vệ hệ thống mạng của bạn bằng cách kiểm soát luồng thông tin ra vào
Thông tin - dữ liệu ngày càng trở nên quan trọng hơn, nó đã trở thành một trong những nguồn tài nguyên thiết yếu nhất của một doanh nghiệp góp phần tăng cường sức cạnh tranh trên thị trường. Việc quản lý và chia sẻ tài nguyên thông tin trên mạng xí nghiệp từ lâu đã là nỗ lực chính trong các ứng dụng tin học hóa quản lý, làm sao thu thập và phân phối nguồn tài nguyên thông tin đến nhiều người sử dụng trong cùng hệ thống một cách nhanh chóng nhất.
Tuy nhiên, việc này lại làm phát sinh những vấn đề hết sức quan trọng trong việc quản lý các tài nguyên quý giá - nguồn thông tin là chế độ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn cho phép người được ủy nhiệm sử dụng những nguồn thông tin mà họ được cấp quyền, và phương pháp chống thất thoát thông tin được truyền tải trên các mạng truyền dữ liệu công cộng (Public Data Communication Network). Đó chính là yêu cầu của một giải pháp hoặc hệ thống an ninh cho hệ thống mạng hay còn gọi là hệ thống an ninh dữ liệu (Data Security System, xem hình 1).
Nhu cầu an ninh hệ thống ngày càng trở nên tối quan trọng vì nhiều nguyên nhân:
- Các đối thủ luôn tìm cách để nắm được mọi thông tin của những người cạnh tranh.
- Ngày càng nhiều "kẻ cắp tin học" (computer thief) trình độ rất cao cố gắng truy cập thông tin từ các mạng nội bộ, có khi chỉ nhằm mục đích đùa vui thử trình độ. Dưới đây xin giới thiệu một giải pháp hệ thống được ứng dụng nhiều trong các mạng có kết nối Internet là FIREWALL (Bức tường lửa).
1. Firewall là gì?
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Cũng có thể hiểu rằng firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network) mà thông thường là Internet (xem hình2).
Về mặt chức năng hệ thống, firewall là một thành phần được đặt giữa hai mạng để kiểm soát tất cả các việc lưu thông và truy cập giữa chúng với nhau, bao gồm:
- Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại phải thực hiện thông qua firewall.
- Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội bộ (trusted network) mới được quyền lưu thông qua firewall.
Về mặt vật lý, firewall bao gồm:
- Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router.

Các phần mềm quản lý an ninh chạy trên các hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)1.
Chúng ta sẽ đề cập kỹ hơn các hoạt động và công dụng của các hệ này ở những phần dưới đây.
2. Các loại firewall và cơ chế hoạt động
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall thì điều đó có nghĩa rằng firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DSN, SMNP, NFS,...)2 thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng (xem hình 3).
2.1 Bộ lọc packet (Packet filtering)
Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet để cho phép chúng có thể lưu thông qua lại hay không. Các thông số có thể lọc được của một packet như sau:
- Địa chỉ IP nơi xuất phát (source IP address).
- Địa chỉ IP nơi nhận (destination IP address).
|- Cổng TCP nơi xuất phát (TCP source port).
- Cổng TCP nơi nhận (TCP destination port).
Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào những máy chủ hoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ từ những địa chỉ không cho phép.
Hơn nữa việc kiểm soát các cổng làm cho firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP,...) được phép mới chạy được trên hệ thống mạng nội bộ.
2.2 Cổng ứng dụng (Application gateway)
Đây là một loại firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service (dịch vụ đại diện): một ứng dụng nào đó được quy chiếu đến (hay đại diện bởi) một Proxy Service trong khi các Proxy Service chạy trên các hệ thống máy chủ thì được quy chiếu đến application gateway của firewall. Cơ chế lọc của packet filtering phối hợp kiểm soát với cơ chế "đại diện" của application gateway cung cấp một khả năng an toàn và uyển chuyển hơn.
Lấy ví dụ một hệ thống mạng có chức năng packet filtering ngăn các kết nối bằng Telnet vào hệ thống chỉ trừ một chủ duy nhất - Telnet application gateway là được phép. Một người sử dụng dịch vụ Telnet muốn kết nối vào hệ thống phải thực hiện các bước sau.
1. Thực hiện dịch vụ TELNET đến Telnet application gateway rồi cho biết tên của máy chủ bên trong cần truy cập.
2. Gateway kiểm tra địa chỉ IP nơi xuất phát của người truy cập rồi cho phép hoặc từ chối tùy theo chế độ an ninh của hệ thống.
3. Người truy cập phải vượt qua được hệ thống kiểm tra xác thực.
4. Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ cần truy cập.
5. Proxy Service liên kết lưu thông giữa người truy cập và máy chủ.
Cơ chế hoạt động này có ý nghĩa quan trọng trong việc thiết kế an ninh hệ thống ví dụ như:
- Che giấu các thông tin: người dùng chỉ có thể nhìn thấy trực tiếp các gateway được phép.
- Tăng cường kiểm tra truy cập bằng các dịch vụ xác thực (Authentication).
- Giảm đáng kể giá thành cho việc phát triển các hệ quản trị xác thực vì các hệ thống này được thiết kế chỉ quy chiếu đến application gateway.
- Giảm thiểu các quy tắc kiểm soát của bộ lọc (Packet filtering). Điều này làm tăng tốc độ hoạt động của firewall.
2.3 Bộ lọc session thông minh (Smart session filtering)3
Cơ chế hoạt động phối hợp giữa bộ lọc packet và cổng ứng dụng như đề cập ở trên cung cấp một chế độ an ninh cao tuy nhiên nó cũng bị vài hạn chế. Vấn đề chính hiện nay là làm sao để cung cấp đủ Proxy Service cho rất nhiều ứng dụng khác nhau đang phát triển ồ ạt. Điều này có nghĩa là nguy cơ, áp lực đối với việc đánh lừa firewall gia tăng lên rất lớn nếu các proxy không kịp đáp ứng.
Trong khi giám sát các packet ở những mức phía trên, nếu như lớp network đòi hỏi nhiều công sức hơn đối với việc lọc các packet đơn giản, thì việc giám sát các giao dịch lưu thông ở mức mạng (Session) đòi hỏi ít công việc hơn. Cách này cũng loại bỏ được các dịch vụ đặc thù cho từng loại ứng dụng khác nhau.
Nếu kết hợp khả năng ghi nhận thông tin về các session và sử dụng nó để tạo các quy tắc cho bộ lọc thì sẽ có được một bộ lọc thông minh hơn. Đó chính là cơ chế hoạt động của bộ lọc session thông minh.
Vì một session ở mức network được tạo bởi 2 packet lưu thông theo 2 chiều, cho nên nếu thiết kế 2 quy tắc lọc cho 2 chiều này: một để kiểm soát các packet lưu thông từ host phát sinh ra nó đến máy chủ cần tới, một để kiểm soát packet trở về từ máy chủ phát sinh. Một bộ lọc thông minh sẽ nhận biết được rằng packet trở về theo chiều ngược lại nên quy tắc thứ 2 là không cần thiết. Do vậy, cách để tiếp nhận các packet không mong muốn sinh ra từ bên ngoài firewall sẽ khác biệt rất rõ với cách tiếp cận cho các packet do những kết nối được phép (ra bên ngoài). Và như vậy dễ dàng nhận dạng các packet "bất hợp pháp".
2.4 Firewall hỗn hợp (Hybrid firewall)
Trong thực tế các firewall được sử dụng là sự kết hợp của nhiều kỹ thuật để tạo ra hiệu quả an ninh tối đa. Ví dụ việc để lọt lưới tại các kiểm soát của bộ lọc packet có thể được thực hiện tại bộ lọc session thông minh ở mức ứng dụng. Các giám sát của bộ lọc lại được bọc lót chặt chẽ bởi các dịch vụ proxy của application gateway.
3. Một vài ứng dụng của Firewall
Từ các chế độ hoạt động trên, firewall được ứng dụng nhiều vào hệ thống an ninh dữ liệu. Có 3 yêu cầu chính cho vấn đề an ninh hệ thống theo tiêu chuẩn ISO (International Standard Organi-zation - Tổ chức định chuẩn thế giới) cho mô hình mạng OSI (Open System Interconnec-tivity Reference Model - Mô hình tham chiếu liên kết nối theo hệ thống mở).
a. Quản lý xác thực (Authenti-cation)
b. Quản lý cấp quyền (Autho-rization)
c. Quản lý kế toán (Accounting management)
3.1 Quản lý xác thực (Authentication)
Đây là chức năng ngăn cản việc truy cập trái phép vào hệ thống mạng nội bộ. Các hệ điều hành quản lý mạng chỉ kiểm soát một cách không chặt chẽ tên người sử dụng và password được đăng ký, và đôi lúc chính người sử dụng được ủy nhiệm lại vô ý để lộ password của mình. Hậu quả của việc này có khi là rất nghiêm trọng. Nó trở nên càng quan trọng hơn đối với những hệ thống mạng lớn có nhiều người sử dụng. Có hai giao thức chuẩn thông dụng nhất hiện nay để kết hợp làm việc với LAN.
- RADIUS (Remote Authen-tication Dial-In User Service)
- TACAS+ (Terminal Access Controller Access Control System Extended)
Thông thường chức năng authentication được thực hiện với sự phối hợp của một thiết bị phần cứng hoặc phần mềm được tích hợp sẵn bên trong các phần mềm (giải mã theo thuật toán và tiêu chuẩn khóa mã định trước). Khi một thao tác truy cập vào mạng được thực hiện (kiểm tra đúng User Name và Password), hệ quản lý xác thực sẽ gửi đến máy tính của người dùng đang xin truy cập vào mạng một chuỗi các ký tự gọi là Challenge (câu thách đố), người dùng này sẽ nhập vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal Identification Number - số nhận dạng cá nhân). Nhờ PIN mà người dùng có thể truy cập vào hệ thống mạng. Điều đặc biệt là Challenge và PIN thay đổi từng phút một, các Token có thể được định và thay đổi Cryptor Key (khóa mã) tùy người sử dụng nên việc bảo mật gần như là tuyệt đối.
3.2 Quản lý cấp quyền (Authorization)
Chức năng quản lý cấp quyền cho phép xác định quyền hạn sử dụng tài nguyên cũng như nguồn thông tin trong hệ thống mạng đến nhiều phân lớp cho từng người sử dụng. Thậm chí quyết định đến từng giao thức truy cập vào mạng (PPP, SLIP, v.v...) mà người dùng được phép sử dụng.
Đồng thời, cũng với chức năng này việc ngăn chặn một vài nguồn thông tin vào bên trong hệ thống cũng có thể được thực hiện như đã đề cập ở trên.
3.3 Quản lý kế toán (Accounting Management)
Chức năng này cho phép ghi nhận tất cả các sự kiện xảy ra liên quan đến vấn đề truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập, vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung, ngoài ra còn nhiều thông tin khác liên quan đến việc sử dụng các tài nguyên và dịch vụ khác trên mạng cũng được ghi nhận.
4. Firewal không phải là tất cả
Có nhiều nguyên nhân dẫn đến những khuyết điểm của Firewall.
l Thứ nhất có thể kể đến là do chính bản thân cấu trúc hoạt động của firewall, chẳng hạn như:
- Không phải tất cả Router của các bộ lọc packet đều có thể giám sát cổng source TCP vì cấu trúc của một số router hoạt động không tương thích với chế độ lọc (một vài router không cung cấp khả năng log, v.v..).
- Có khi để tăng sự chặt chẽ của chế độ giám sát của bộ lọc, nhiều quy tắc phức tạp được ứng dụng, phức tạp đến mức không còn quản lý được.
- Có một số ứng dụng phức tạp đòi hỏi thay đổi cơ chế hoặc thông số hệ thống thì application gateway sẽ không đáp ứng tốt được.
- Vẫn có một số ít các truy cập trái phép qua mặt firewall xâm nhập vào hệ thống do ngẫu nhiên hay cố ý có được các thuật toán tương tự.
l Firewall không phải là nhà tư tưởng có thể đọc và hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những NGUồN thông tin không mong muốn nhưng phải xác định rõ các thông số đề cập ở 2.1.
l Một nguy cơ rất nghiêm trọng đối với vấn đề an ninh dữ liệu của hệ thống nhưng rất dễ xảy ra là sự rò rỉ dữ liệu đang truyền tải trên các mạng công cộng như đã đề cập trong phần đầu của bài.
Cũng có một số firewall giải quyết vấn đề mã hóa dữ liệu trước khi gửi lên đường truyền mạng công cộng. Nhưng đây là giải pháp rẻ tiền với độ an toàn và tin tưởng rất thấp. Thông thường người ta giải quyết vấn đề này bằng công nghệ tích hợp giữa phần cứng và phần mềm (firmware) vào một thiết bị mã hóa và giải mã (DataCryption). Đây là giải pháp đắt tiền nhưng cho độ an toàn gần như là tuyệt đối.
Tuy nhiên, firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
Có thể tìm thấy các sản phẩm và chế độ khai thác trên từ RACAL đã có mặt tại thị trường Việt Nam.
Chú thích
1- Accounting Management- Quản lý kế toán trên mạng: Đây là một trong 5 mức quản lý theo tiêu chuẩn ISO cho việc quản lý hệ thống mạng theo mô hình OSI (Open System Interconnection reference model). Mức quản lý này có trách nhiệm ghi nhận các dữ liệu liên quan đến việc sử dụng tài nguyên trên mạng.
2- Đây là các giao thức, dịch vụ chuẩn để chạy các dịch vụ thông dụng trên các mạng dùng TCP/IP, ví dụ như dịch vụ E.Mail, FTP, WWW,...
3 Những thông tin liên quan đến giao dịch truyền thông giữa các thiết bị mạng được gọi là session.
KHÔNG MA SÁT

(ti''p ne`..!!!)
CÁC LOẠI & NGUYÊN LÝ HOẠT ĐỘNG CỦA FIREWALL
Screening Router (bộ định tuyến màn chắn):
Có thể xem xét thông tin có liên quan đến địa chỉ của một máy tính, địa chỉ IP của nó và thậm chí các kiểu tuyến nối tầng (Transport Layer), rồi cung cấp tính năng lọc dựa trên các thông tin đó. Nó có thể là một Software đợc cái sẵn trên Router, một Software chạy trên Server or cả hai. Router nối 2 mạng và thực hiện tính năng lọc gói tin để điều khiển luồng luu thông giữa 2 mạng. Các Admin có thể Config cho nó thực hiện tính năng lọc các gói tin, IP, Port....Đây chính là loại Firewall mà anh em hay dùng Proxy để nhảy qua ào ào. Nói một cách đơn giản nó chỉ là một bộ lọc gói tin (packet filter).
Proxy Server Gateway (ngỏ thông hệ phục vụ giám quản):
Nó làm việc tại một cấp cao hơn trong ngăn xếp giao thức để cung cấp thêm cơ hội giám sát và điều khiển truy cập giữa các mạng. Nó giống nhu một nguời trung gian, chuyển gửi các thông điệp từ các Local Client (ngời dùng nội bộ) đến các dịch vụ bên ngoài. Nó thay đổi địa chỉ IP của các gói tin khách để che địa chỉ thật của các Local Client với Internet, tránh các cuộc tấn công từ bên ngoài vào, nó có tác động nhu một tác nhân giám quản cho các Local Client....Loại này thờng đợc dùng ở các cơ quan, công ty có nhiều máy kết nối Internet thông qua Proxy, NAT...Or các Netcafe.
Các Firewall dựa trên kỹ thuật thẩm tra tu cách:
Một trong những sự cố, nhợc điểm của hệ giám quản la phải đánh giá khá nhiều thông tin trong các gói tin, ngoài ra phải đặt một hế giám quản riêng biệt cho các ứng dụng mà bạn muốn hỗ trợ. Điều này làm giảm khả năng vận hành, gây lãng phí tốc độ trên đờng truyền. Chính vì những lí do trên Firewall loại 3 mới đợc ra đời. Thay vì xem xét nội dung các gói tin, các khuôn mẫu bit của các gói tin đợc so sánh với các gói tin đợc cho là tin cậy.
Hơi khó hiểu phải không? lấy một ví dụ cụ thể nhé: Nếu bạn truy cập vào một hệ phục vụ bên ngoài, hệ phục vụ sẽ nhớ các nội dung về yêu cầu ban đâu của bạn nhu Port, địa chỉ nguồn, đích. Một tiến trình có tác dụng ghi nhớ (Saving The State Process) đợc thực thi. Khi hệ thống bên ngoài đáp ứng yêu cầu của bạn, hệ phục vụ Firewall đối chiếu các gói tin đã nhận với tu cách đã đợc ghi nhớ để xem chúng có hợp pháp hay không.
Khuyết điểm của Firewall này:
Có thể để lộ IP từ trong mạng của bạn ra môi trờng bên ngoài.
Hy vọng! sau bài viết này bạn đã biết đợc là có bao nhiêu loại Firewall và nguyên lý hoạt động của nó. Thế mới vượt được firewall chứ?
HA.HA.HA
Biển học vô bờ
Thuyền chưa cập bến
KHÔNG MA SÁT

Vào site (findproxy.com) khi đươc các số ip ( vd 203.162.122.34 va post 80) thì vào Tools ==> internet option ==> connections chon Lan setting điền các số vừa tìm được trong findproxy là được, nhớ nhan OK nhé, và cứ thế mà truy cập bình thường thôi

Em cám ơn hai bác rất nhiều!
Nhưng em muốn hỏi bác tatien lúc xem IP có cần chọn IP Viet Nam không vậy, hay chỉ cần chọn IP có cổng 80 ????
Em cám ơn truoc nhé
Đã là Gà thì không nên Gáy nhiều