banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ  XML
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 05/04/2011 10:47:31 (+0700) | #1 | 234727
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]
Giới thiệu

Về mặt địa lý và con người, thì DMZ (Demilitarized Zone - vùng phi quân sự) là một khu vực mà tại đó sự hiện diện của các lực lượng quân đội (gồm binh lính, vũ khí, đạn dược…) cũng như các hoạt động quân sự (như do thám, tập trận, đánh nhau…) đều không được cho phép.

Vì vậy, DMZ được coi như là một vùng ranh giới chia tách hai bên mà là thù địch của nhau và vùng DMZ thường được tạo nên sau những hiệp ước hòa bình, những thỏa thuận đình chiến. Trong thế giới thực, dải đất cắt ngang bán đảo Triều Tiên và phân tách bán đảo này ra thành hai nước là Hàn Quốc và Triều Tiên chính là một ví dụ về DMZ. Còn trong lịch sử chiến tranh Việt Nam thì sông Bến Hải chia tách hai miền nam Bắc cũng là một ví dụ khác về DMZ.

Cũng giống như nhiều thuật ngữ tin học khác được vay mượn từ thế giới thực, DMZ cũng là một thuật ngữ được dùng trong lĩnh vực bảo mật mạng máy tính. Vậy thì ý nghĩa và mục đích của từ DMZ trong tin học có giống với từ DMZ trong quân sự hay không?






Trước khi đi vào giải thích DMZ là gì cũng như tác dụng của nó thì tôi xin đưa ra một tình huống như thế này.

Hệ thống mạng nội bộ (internal network) của một tổ chức thường bao gồm các server cung cấp các dịch vụ cơ bản như: Directory Service (Active Directory, OpenLDAP…), DNS, DHCP, File/Print Sharing, Web, Mail, FTP. Trong đó thì các server Web, Mail, FTP thường phải cung cấp các dịch vụ của chúng cho cả những người dùng nằm bên trong lẫn bên ngoài mạng nội bộ của tổ chức.

Nếu trường hợp bạn đặt tất cả các server này nằm trong cùng một lớp mạng với các máy trạm của người dùng trong tổ chức thì sẽ như thế nào nếu hacker từ mạng bên ngoài (external network – ví dụ như Internet) kiểm soát được (các) “public server” như Web, Mail, FTP?

Rất có thể hacker sẽ dựa vào các server đã bị chiếm đoạt này để đánh vào các server khác (như DNS, DHCP, Directory Service…) cũng như thâm nhập sâu hơn vào các máy trạm bên trong. Thế nên ở đây, ta cần có một giải pháp nào đó để hạn chế khả năng mạng internal bị tổn thương khi các public server trên bị tấn công. Và DMZ là một câu trả lời cho vấn đề này.

DMZ là một mạng tách biệt với mạng internal vì DMZ sử dụng đường mạng (hoặc có subnet) khác với mạng internal. Và các server như Web, Mail, FTP, VoIP… là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal.

Giữa DMZ và mạng external ta có thể đặt một firewall để cho phép các kết nối từ external chỉ đến được DMZ mà thôi. Còn giữa mạng internal và DMZ ta có thể đặt thêm một firewall khác để kiểm soát các lưu lượng từ DMZ đi vào internal.

Như vậy, cũng giống với vùng DMZ trong quân sự, DMZ ở đây đã tạo ra sự phân tách giữa hai bên đối nghịch nhau: mạng internal và mạng external. Và có thể nói rằng DMZ đã bổ sung thêm một lớp bảo vệ cách ly cho mạng internal khi mà hacker từ mạng ngoài chỉ có thể tiếp cận tới các máy nằm trong DMZ mà thôi.






Nếu bạn nghĩ mạng external như là “untrusted network” và mạng internal như là “trusted network” thì có thể coi DMZ như là mạng “nửa tin cậy, nửa không tin cậy” (semi-trusted). Nó không được an toàn như LAN nhưng do nó nằm sau một firewall nên nó an toàn hơn Internet. Hoặc bạn cũng có thể nghĩ về DMZ như là một "liaison network" (mạng có quan hệ bất chính :-p) vì nó có thể liên lạc với cả hai mạng Internet và LAN trong khi nằm giữa hai mạng này như được thể hiện trong hình trên.

Nhưng không giống như sự yên ả, không có giao tranh mà ta có thể tìm thấy ở vùng DMZ ngoài đời thực, mạng DMZ ở đây thực sự ẩn chứa rất nhiều rủi ro do các mối đe dọa từ phía ngoài mang lại. Điển hình như việc hacker có thể sử dụng hình thức tấn công từ chối dịch vụ (DoS/DDoS) nhắm vào các server trong DMZ để làm gián đoạn hoặc dập tắt khả năng đáp ứng yêu cầu dịch vụ của các server này cho những người dùng hợp pháp thông thường.

Và cũng không giống như sự vô chủ, trung lập của các vùng DMZ ở đời thực, khi tạo ra một DMZ cho tổ chức thì thực sự nó là một phần của cả hệ thống mạng nội bộ mà bạn phải kiểm soát chúng thật tốt. "Screened subnet" hoặc "Perimeter network” là những tên gọi khác của DMZ.

Kiến trúc xây dựng DMZ

DMZ được tạo nên bởi hai thành phần cơ bản là: các địa chỉ IPcác firewall. Có hai đặc điểm nhận dạng quan trọng của DMZ mà bạn cần nhớ là:

1. Nó có một network ID khác so với mạng internal.
2. Nó bị phân tách khỏi mạng Internet và cả mạng internal bởi (các) firewall. 


Dưới đây tôi sẽ nói rõ hơn về hai đặc điểm này của DMZ

Địa chỉ IP dùng trong DMZ

Tùy vào kiến trúc của DMZ và cấu hình trên firewall mà một DMZ có thể sử dụng public IP hoặc private IP cho các server trong DMZ.

Nếu bạn sử dụng public IP cho DMZ, thường bạn sẽ cần chia mạng con (subnetting) khối địa chỉ IP mà ISP cấp cho bạn để bạn có được hai network ID tách biệt. Một trong hai network ID này sẽ được dùng cho external interface (card mạng nối trực tiếp tới ISP) của firewall và network ID còn lại được dùng cho mạng DMZ. Lưu ý khi chia subnet khối public IP này, bạn phải cấu hình cho router của bạn để các gói tin từ ngoài Internet đi vào sẽ tới được DMZ.

Bạn cũng có thể tạo một DMZ có network ID giống với mạng internal nhưng vẫn đảm bảo có sự cách ly giữa DMZ và mạng internal bằng cách sử dụng VLAN Tagging (IEEE 802.1q). Lúc này các server trong DMZ và các máy trạm trong mạng internal đều được cắm chung vào một switch (hoặc khác switch nhưng các switch này được nối với nhau) nhưng được gán vào các VLAN khác nhau.

Còn nếu bạn sử dụng private IP cho DMZ, bạn sẽ cần đến NAT (một số firewall hỗ trợ sẵn tính năng này) để chuyển các private IP này sang một public IP (mà được gán cho external interface của firewall nằm giữa Internet và DMZ). Vì một số ứng dụng không làm việc tốt với NAT (ví dụ, Java RMI) nên bạn cân nhắc việc chọn cấu hình NAT hay định tuyến giữa Internet và DMZ.

Các Firewall

Có nhiều cách khi thiết kế một hệ thống mạng có sử dụng DMZ. Hai mô hình cơ bản và thường gặp nhất là: single firewall (hay three legged firewall) và dual firewall.

Dưới đây tôi sẽ nói sơ qua về phương thức hoạt động cũng như ưu khuyết điểm của hai mô hình này.

Với single firewall

Bạn sẽ chỉ cần tới một thiết bị có ba NIC (network interface card). Trong đó, một NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối với mạng internal.






Đó là lý do tại sao người ta gọi nó là “three legged firewall” (mỗi “chân” của firewall chính là một NIC của nó). Lúc này “three legged firewall” phải có khả năng kiểm soát toàn bộ traffic vào/ra giữa ba mạng (internal, external và DMZ) và nó trở thành điểm chịu lỗi duy nhất (single point of failure) cho toàn hệ thống mạng.

Nếu có sự cố xảy ra với “three legged firewall” này thì cả DMZ và mạng internal đều không còn được bảo vệ nhưng bù lại bạn không phải tốn chi phí đầu tư thêm một firwewall nữa như trong mô hình dual firewall dưới đây.

Khi sử dụng single firewall để tạo DMZ, ta có khái niệm trihomed DMZ. Bạn cũng có thể tạo ra hai (hoặc nhiều hơn) vùng DMZ tách biệt có các network ID khác nhau bằng cách cách trang bị thêm số NIC tương ứng cho single firewall.

Với dual firewall

Bạn sẽ cần tới hai thiết bị firewall, mỗi firewall có hai NIC và được bố trí như sau:

- Firewall thứ nhất (được gọi là front-end firewall) có một NIC nối với mạng external (external interface) và NIC còn lại nối với DMZ (internal interface). Front-end firewall này có nhiệm vụ kiểm soát traffic từ Internet tới DMZ và mạng internal.

- Firewall thứ hai (được gọi là back-end firewall) có một NIC nối với DMZ (external interface) và NIC còn lại nối với mạng internal (internal interface). Back-end firewall này có nhiệm vụ kiểm soát traffic từ DMZ và Internet tới mạng internal.






Rõ ràng, so với single firewall thì giải pháp này tuy tốn kém hơn về chi phí triển khai khi phải đầu tư tới hai thiết bị firewall tách biệt nhưng về mặt hiệu suất và độ an toàn cho hệ thống mạng của bạn sẽ được cải thiện. Vậy nên, tùy vào hoàn cảnh của tổ chức và môi trường của từng hệ thống mạng mà bạn nên xem xét lựa chọn giữa single firewall hay dual firewall cho thích hợp.

Một số khuyến cáo cho rằng nên chọn hai firewall từ hai nhà cung cấp (vendor) khác nhau với lời giải thích rằng nếu hacker có thể bẻ gãy firewall đầu tiên thì cũng hắn cũng khó khăn hơn trong việc phá vỡ firewall thứ hai bởi chúng được tạo nên theo những cách khác nhau. Còn bạn, bạn nghĩ như thế nào về điều này?

Kết luận

DMZ được coi như là một trong các lá chắn bảo vệ của hệ thống phòng thủ nhiều lớp (defense in depth) cho mạng nội bộ của tổ chức. Nhưng cũng giống như các lá chắn khác, nó vẫn có khả năng bị phá hủy và việc giữ gìn sự lành lặn của lá chắn này đòi hỏi bạn cần cài đặt, cấu hình, giám sát hoạt động đầy đủ và thường xuyên cho các firewall và server trong DMZ.

Hy vọng qua bài viết này bạn đã có một cái nhìn tổng quan về các khía cạnh của DMZ: Nó là gì? Nó có tác dụng gì? Đặc điểm của nó? Các hình thái khác nhau của nó?... Còn việc triển khai DMZ trong từng trường hợp cụ thể với từng sản phẩm firewall cụ thể thì xin hẹn các bạn ở các bài viết khác.

--Hết.
keep -security- in -mind-
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 06/04/2011 15:44:19 (+0700) | #2 | 234894
[Avatar]
GhoZt
Member

[Minus]    0    [Plus]
Joined: 13/11/2008 12:04:55
Messages: 36
Location: |~~~Fantasy~~~|
Offline
[Profile] [PM]
Bạn có thể lí giải tại sao ở phần "single firewall " thì lại sử dụng sơ đồ kiểu chân vạc như vậy mà ko phải là Internal Network => Dmz => external network ko? Vì như lí thuyết đưa ra thì DMZ là cái vùng phân cách của Internal và External , nếu nằm ở thế chân vạc thế thì làm sao đc !
Mong bạn chỉ giúp !!
void main()
{
while ( you_live)
{
if (you_failed) try_again();
else if ( you_won) find_new_challenge();
}
system("DEATH");
return HELL;
}
"
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 06/04/2011 22:27:31 (+0700) | #3 | 234932
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]

GhoZt wrote:
Bạn có thể lí giải tại sao ở phần "single firewall " thì lại sử dụng sơ đồ kiểu chân vạc như vậy mà ko phải là Internal Network => Dmz => external network ko? Vì như lí thuyết đưa ra thì DMZ là cái vùng phân cách của Internal và External , nếu nằm ở thế chân vạc thế thì làm sao đc !
Mong bạn chỉ giúp !! 


Bình thường nếu không có vùng DMZ thì có thể tất cả các máy như public server (Web, Mail...), private server (DHCP, File/Print...) và workstation đều nằm cùng một mạng và nằm đằng sau một firewall -> con firewall này được coi như là một lớp bảo vệ ngăn cách giữa external và internal.

Còn nếu ta tạo ra vùng DMZ theo kiến trúc single firewall thì sự phân cách giữa external và internal ở đây có nghĩa là hacker từ external chỉ có thể truy cập vào vùng DMZ mà không thể truy cập vào internal được (ta sẽ có rule để hiện thực điều này).

đó vẫn là cách hiểu và giải thích của cá nhân mình, mong đợi thêm ý kiến từ mọi người.
keep -security- in -mind-
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 06/04/2011 23:13:25 (+0700) | #4 | 234939
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

GhoZt wrote:
Bạn có thể lí giải tại sao ở phần "single firewall " thì lại sử dụng sơ đồ kiểu chân vạc như vậy mà ko phải là Internal Network => Dmz => external network ko? Vì như lí thuyết đưa ra thì DMZ là cái vùng phân cách của Internal và External , nếu nằm ở thế chân vạc thế thì làm sao đc !
Mong bạn chỉ giúp !! 


Đã Single firewall thì chỉ có thể thiết kế theo hướng three legged hoặc nhiều hơn - four legged chẳng hạn. Nếu mô hình Internal Network => Dmz => external network thì phải Dual Firewall.
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 06/04/2011 23:24:35 (+0700) | #5 | 234941
nguoixanh
Member

[Minus]    0    [Plus]
Joined: 20/03/2010 19:32:23
Messages: 52
Offline
[Profile] [PM]
GhoZt wrote:
Bạn có thể lí giải tại sao ở phần "single firewall " thì lại sử dụng sơ đồ kiểu chân vạc như vậy mà ko phải là Internal Network => Dmz => external network ko? Vì như lí thuyết đưa ra thì DMZ là cái vùng phân cách của Internal và External , nếu nằm ở thế chân vạc thế thì làm sao đc !
Mong bạn chỉ giúp !! 


Thử "xẻ" cái firewall đó ra 3 phần, và tưởng tượng thế này, từ Internal - DMZ phải qua firewall, DMZ - External cũng qua firewall (như 1 hình tam giác), vậy mô hình này cũng tương tự Internal Network => Dmz => external network, nhưng dùng chung 1 firewall thôi.
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 07/04/2011 06:47:14 (+0700) | #6 | 234949
[Avatar]
GhoZt
Member

[Minus]    0    [Plus]
Joined: 13/11/2008 12:04:55
Messages: 36
Location: |~~~Fantasy~~~|
Offline
[Profile] [PM]
@manthang : có vẻ mình vẫn chưa hiểu đc ! chấp nhận bạn sẽ có một rule, nhưng quan trọng là đặt rule ở đâu ?? làm sao để ép external phải đi vào DZM ?! nếu như đặt rule trên firewall thì khi firewall bị tấn công và nhân nhượng thì rule có còn ý nghĩ j không ? lúc đó thì hacker sẽ từ external vào thẳng internal mà ko cần phải qua DMZ vì rule đã kô còn tác dụng nữa !
@nguoixanh : thì đúng là fai tưởng tượng như hình tam giác nhưng đó là khi rule còn tác dụng, khi rule ko còn tác dụng thì sao đây ?
@to all : sao ta ko xây dựng sơ đồ như thế này vậy các bạn ??

void main()
{
while ( you_live)
{
if (you_failed) try_again();
else if ( you_won) find_new_challenge();
}
system("DEATH");
return HELL;
}
"
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 07/04/2011 07:22:43 (+0700) | #7 | 234955
Ar0
Member

[Minus]    0    [Plus]
Joined: 14/01/2011 23:20:26
Messages: 165
Offline
[Profile] [PM]
Xây dựng như thế thì hoá ra bạn làm mất luôn cái khái niệm DMZ mất rồi. Và dĩ nhiên là các máy internal sẽ gặp nguy hiểm vì nó đang được kết nối thẳng với vùng DMZ.
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 07/04/2011 07:57:29 (+0700) | #8 | 234959
[Avatar]
GhoZt
Member

[Minus]    0    [Plus]
Joined: 13/11/2008 12:04:55
Messages: 36
Location: |~~~Fantasy~~~|
Offline
[Profile] [PM]


Nếu như sơ đồ trên thì firewall sẽ thành trung tâm hứng chịu mọi tấn công ! một khi firewall còn sống thì rule còn=> DMZ còn sống ?! Vậy thì ta có cần một cái DMZ hay ko cần khi sự hoạt động của nó phụ thuọc vào firewall ?! Vậy ta chỉ cần nâng cao bảo mật cho firewall là đc ! Mà rốt cuộc cái rule nằm ở đâu ? trên firewall hay trên DMZ ??

Sory vì mình vẫn chưa thông suốt mà !!! smilie
void main()
{
while ( you_live)
{
if (you_failed) try_again();
else if ( you_won) find_new_challenge();
}
system("DEATH");
return HELL;
}
"
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 07/04/2011 08:22:25 (+0700) | #9 | 234962
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]

GhoZt wrote:

Nếu như sơ đồ trên thì firewall sẽ thành trung tâm hứng chịu mọi tấn công ! một khi firewall còn sống thì rule còn=> DMZ còn sống ?! 


Như mình đã nói trong bài viết, trong kiến trúc single firewall thì con "three legged firewall" sẽ là điểm chịu lỗi duy nhất, tức là khi nó bị "chết" thì mạng internal và vùng DMZ không còn được bảo vệ nữa.

GhoZt wrote:

Vậy thì ta có cần một cái DMZ hay ko cần khi sự hoạt động của nó phụ thuọc vào firewall ?!
 


Nếu không tạo ra vùng DMZ thì tức là bạn sẽ đặt các public server vào internal -> điều này sẽ còn gây nguy hiểm cho các máy trong internal nếu xảy ra trường hợp các public server bị tấn công.

GhoZt wrote:

Mà rốt cuộc cái rule nằm ở đâu ? trên firewall hay trên DMZ ??
 


Không những con firewall cần được bảo mật thông qua việc thiết lập các rule hợp lý, update + patch + fix đầy đủ và thường xuyên cho software (ISA, iptables...) và OS mà bạn còn cần phải bảo mật cho cả các public server trong DMZ nữa.

GhoZt wrote:

Vậy ta chỉ cần nâng cao bảo mật cho firewall là đc ! Mà rốt cuộc cái rule nằm ở đâu ? trên firewall hay trên DMZ ??
 


Dĩ nhiên là tạo rule trên firewall rồi.
keep -security- in -mind-
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 07/04/2011 08:35:19 (+0700) | #10 | 234969
[Avatar]
GhoZt
Member

[Minus]    0    [Plus]
Joined: 13/11/2008 12:04:55
Messages: 36
Location: |~~~Fantasy~~~|
Offline
[Profile] [PM]
Nói chung về mặt kỹ thuật mình đã hiểu ! tuy nhiên về tính thực tế thì mình thấy nó vẫn không hữu dụng lắm !


manthang wrote:

GhoZt wrote:

Vậy thì ta có cần một cái DMZ hay ko cần khi sự hoạt động của nó phụ thuọc vào firewall ?!
 


Nếu không tạo ra vùng DMZ thì tức là bạn sẽ đặt các public server vào internal -> điều này sẽ còn gây nguy hiểm cho các máy trong internal nếu xảy ra trường hợp các public server bị tấn công.


Dĩ nhiên là tạo rule trên firewall rồi. 




Nếu là bạn, bạn đã vượt firewall, bạn sẽ tấn công vào chổ nào tiếp theo ?? DMZ hay Internal Network ??
Mà bạn thử so sánh tốn kém về mặt kinh tế giữa việc xây dựng DMZ với nâng cấp Firewall, cái nào hiệu suất bảo vệ cao hơn ?
void main()
{
while ( you_live)
{
if (you_failed) try_again();
else if ( you_won) find_new_challenge();
}
system("DEATH");
return HELL;
}
"
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 07/04/2011 09:11:16 (+0700) | #11 | 234975
[Avatar]
manthang
Journalist

[Minus]    0    [Plus]
Joined: 30/06/2008 16:36:58
Messages: 140
Offline
[Profile] [PM] [WWW]

GhoZt wrote:
Nói chung về mặt kỹ thuật mình đã hiểu ! tuy nhiên về tính thực tế thì mình thấy nó vẫn không hữu dụng lắm !

manthang wrote:

GhoZt wrote:

Vậy thì ta có cần một cái DMZ hay ko cần khi sự hoạt động của nó phụ thuọc vào firewall ?!
 


Nếu không tạo ra vùng DMZ thì tức là bạn sẽ đặt các public server vào internal -> điều này sẽ còn gây nguy hiểm cho các máy trong internal nếu xảy ra trường hợp các public server bị tấn công.


Dĩ nhiên là tạo rule trên firewall rồi. 


Nếu là bạn, bạn đã vượt firewall, bạn sẽ tấn công vào chổ nào tiếp theo ?? DMZ hay Internal Network ??
Mà bạn thử so sánh tốn kém về mặt kinh tế giữa việc xây dựng DMZ với nâng cấp Firewall, cái nào hiệu suất bảo vệ cao hơn ?

 


- Tuỳ mục đích và dữ liệu cần thâu tóm khi đó mà mình sẽ chọn mục tiêu tiếp theo.

- Bình thường (không có DMZ) ta vẫn cần một con firewall có 2 NIC. Nếu chọn single firewall thì chỉ cần thêm 1 NIC nữa cho nó để tạo thành "three legged firewall" và cần thiết thì thêm một switch nữa cho các public server (nếu chỉ có một public server thì khỏi cần switch, nối thắng public server duy nhất này vào 1 trong 3 NIC dành cho DMZ trên "three legged firewall"smilie.

- "Mà bạn thử so sánh tốn kém về mặt kinh tế giữa việc xây dựng DMZ với nâng cấp Firewall" -> nâng cấp firewall ở đây cụ thể là làm gì với con firewall đó?
keep -security- in -mind-
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 07/04/2011 09:17:38 (+0700) | #12 | 234978
Ar0
Member

[Minus]    0    [Plus]
Joined: 14/01/2011 23:20:26
Messages: 165
Offline
[Profile] [PM]
@ GhoZt : nếu vượt được firewall thì còn nói làm gì. Cái mấu chốt của security ở đây là quy về một mối cho đơn giản và dễ quản lí. Việc này cũng giống như tạo reverse proxy vậy. Thay vì security trên từng máy, từng server, bạn chỉ cần tạo 1 reverse proxy để quản lý lưu lượng và setup firewall cho dễ dàng.

Trong trường hợp topic này, thay vì phải tốn công vào trong security internal network rồi security DMZ thì chúng ta chỉ cần cực kì chú trọng đến security firewall. Còn các thành phần kia chỉ cần security ở mức cơ bản là được. Rõ ràng điều này thể hiện rất đúng bản chất của DMZ. Và càng dễ dàng thấy được khi này công việc của các system admin giảm đi thấy rõ.
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 07/04/2011 14:05:08 (+0700) | #13 | 235003
vietquang.nguyen
Member

[Minus]    0    [Plus]
Joined: 18/03/2011 01:11:20
Messages: 3
Offline
[Profile] [PM]

Ar0 wrote:
@ GhoZt : nếu vượt được firewall thì còn nói làm gì. Cái mấu chốt của security ở đây là quy về một mối cho đơn giản và dễ quản lí. Việc này cũng giống như tạo reverse proxy vậy. Thay vì security trên từng máy, từng server, bạn chỉ cần tạo 1 reverse proxy để quản lý lưu lượng và setup firewall cho dễ dàng.

Trong trường hợp topic này, thay vì phải tốn công vào trong security internal network rồi security DMZ thì chúng ta chỉ cần cực kì chú trọng đến security firewall. Còn các thành phần kia chỉ cần security ở mức cơ bản là được. Rõ ràng điều này thể hiện rất đúng bản chất của DMZ. Và càng dễ dàng thấy được khi này công việc của các system admin giảm đi thấy rõ. 

Đúng như bạn này nói, nếu đã vượt qua được Firewall thì không cần phải bàn thêm nữa, cũng giống như một căn nhà thôi, nếu bạn mở quá nhiều "cửa ra" thì bảo vệ khó hơn khi chúng ta chỉ có một "cửa ra".

"cửa ra" ở đây theo mình hiểu là các port của các sever như Web, Mail, FTP. Khi đấy chúng ta chỉ cần triển khai các rule để đảm bảo những "cửa ra" này an toàn thôi. Không biết viết như thế có đúng không?
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 08/04/2011 12:01:36 (+0700) | #14 | 235070
protectHat
Member

[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]
Mình nói thế này cho các bạn chưa hiểu về DMZ hiểu: VD bây giờ bạn có 1 cái server( mình vd luôn nó chạy web ) đặt tại công ty, công ty bạn có 1 đường ra internet. Các nhân viên trong công ty cũng truy cập internet bằng đường này. Nếu bây giờ bạn cho tất cả đứng sau firewall thì nhân viên có thể truy cập trực tiếp đến server và ngược lại. Nếu nhân viên ở trong mà tấn công hoặc đơn giản là máy nhân viên bị virus thì sẽ bị ảnh hưởng rất lớn vì 2 máy đó ở trong LAN với nhau. Mặt khác nếu web bị lỗi (firewall vẫn chạy tốt, kiểu như bị lỗi SQL inject chẳng hạn. ) thì hacker có thể truy cập đến các máy trong mạng LAN và lấy đi các thông tin trong đó.
Bạn nên hiểu là trong DMZ có các máy tính chứ nó không phải là 1 tầng cản lọc như là firewall
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 08/04/2011 22:06:43 (+0700) | #15 | 235102
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]
Đơn giản thế này:

- Bạn muốn mạng Local của mình bất khả xâm phạm - bạn cấm cửa tất cả mọi truy cập từ bên ngoài vào (set chỉ số an toàn cho vùng local là 100/100).

- Không những thế, bạn còn muốn máy nội bộ có thể truy cập được tất cả các dịch vụ bên ngoài (set chỉ số an toàn cho bên ngoài là 0/100).

- Ngon rồi, smilie . Không may là bạn phát hiện ra một số thông tin mình cần show cho thiên hạ xem, giờ để đâu bây giờ? Để trong vùng nội bộ thì bất khả xâm phạm nên cũng chẳng ai vào xem được. Đó là lý do sinh ra cái vùng DMZ (theo mình thì ý nghĩa của DMZ trong lĩnh vực máy tính khác DMZ trong lĩnh vực quân sự), tại vùng DMZ này bạn set chỉ số an toàn ở mức "trung gian" 50/100 chẳng hạn, từ bên ngoài có thể truy cập được các nội dung bạn cố ý show chứ không thể xem được nhưng cái "kín đáo" hơn.
[Up] [Print Copy]
  [Article]   Tăng cường bảo vệ cho hệ thống mạng nội bộ sử dụng DMZ 09/04/2011 02:20:45 (+0700) | #16 | 235109
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Dùng Firewall cứng hay dùng firewall mềm cho trường hợp DMZ ?.
Tui chọn firewall cứng cho đở mệt. Lở nó có hư thì DMZ cũng hết được truy cập tạm thời, đợi thay firewall cứng/đợi sửa.
Về virus thì có vài sản phẩm gateway có cản lọc/ có cập nhật. Cũng đảm bảo được vài phần các loại virus đã được cập nhật.
Đã làm DMZ thì tốt nhất hạn chế tới tối đa các service trên cái Firewall mềm trong trường hợp topic này. Lở nó dính lỗi vốn có của mấy phần mềm chạy trên nó thì mọi thứ đi tong.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|