Nghiên cứu hệ thống đảm bảo an toàn khi kết nối Internet

Nghiên cứu hệ thống đảm bảo an toàn khi kết nối Internet

CHUONG TRINH KHOA HOC CONG NGHE

ĐIỆN TỦ- TIN HỌC - VIỄN THÔNG

KS Dang Thu Huong

CUC KHOA HOC VIEN THONG TIN HOC - BO CONG AN

HÀ NỘI, 6/1998

3284 lp

BAO CAO VE VAN DE AN NINH CUA MOT SO DICH VU

TREN MANG INTERNET O VIET NAM DAM BAO AN TOAN THONG TIN CHO CAC MANG MAY TINH KHI KẾT NỔI VỚI INTERNET

Giới thiệu chung về các biện pháp đảm bảo an toàn thong tin cho các mạng máy tính khi kết nối với Internet

EIREWALL - Giải pháp đảm bảo an toàn cho kết nối mạng

1- Các nguyên tắc trong thiết kế hệ thống bảo vệ mạng

II- EIREWALL - Một giải pháp đảm bảo an toàn cho mạng Bức tường lửa dựa trên hệ thống LINUX

Chuong trinh FIREWALL "GUARDIAN"

MICROSOFT PROXY SERVER

Chương trình PROXY dựa trên bộ công cụ TIS Chương trình PROXCY dựa trên bộ công SOCKS

MA HOA DU'LIEU BAO MAT THONG TIN TRONG MANG

HE THONG THUTIN DIEN TU E-MAIL

Vấn để kiểm soát tu động trên hệ thống E-MAIL 1- Giới thiệu tổng quan về kiểm soát thông tín trên Internet 'I1- Phương pháp giải bài toán tông quát :

IV- Những kết luận và đề nghị

Hướng dẫn sử dụng chương trinh E-MAIL

I- Khoi dong và thoát khỏi E-MAL,

II- Thay đổi mật khẩu

TII- Giới thiệu màn hinh E-MAIL 1V- Thủ tục gửi thư điện tử

PHAN MO Daa

Internet là mạng của các mạng máy tính, nó xuất phát từ Mỹ và hiện tại lực

lượng tham gia kể cả chủ động và thụ động cũng nhiều nhất là ở Mỹ Song nó đã được các nước trên thế giới tham gia rất nhiệt tình Số lượng các mạng kết nối với Internet, số lượng cấc máy chủ đặt trên mạng tăng rất nhiều Rieng chỉ tính số

lượng người sử dụng, số tăng có thời kỳ hàng 100% hàng tháng Điều đó đã nói lên

sự hấp dẫn của mạng máy tính này

Hiện nay Internet được coi là một mạng truyền thông có hiệu quả, nhanh

chóng, rẻ tiền Đồng thời nó cũng là một "thư viện" lớn nhất thế giới, trong thư

viện nầy có rất nhiều tài liệu quý giá có ích cho các nhà hoạt động chính trị để góp phần định hướng, hoạch định chính sách quốc gia, cho các nhà hoạt động khoa

học, kỹ thuật trên những lĩnh vực khác nhau

Song trên đó cũng có nhiều tài liệu "xa lạ” với cuộc sống, cách suy nghĩ, thuần phong mỹ tục của Việt Nam ta, từ các tài liệu của các nhóm người Việt hai ngoại chống đối han học với cuộc sống mới của chúng ta, đến các tài liệu của các nhân vật bất đồng chính kiến và của cả các tổ chức quốc tế, và các cá nhân người nước ngoài nhìn theo một chiều muốn ấp đặt cách nghĩ của họ cho chúng ta Trên

đó còn có nhiều tài liệu không phù hợp với thuần phong mỹ tục của Việt Nam ta,

như tuyên truyền bạo.lực, tình dục ¬

So sánh cân đối việc sử dụng công nghệ mới này để phục vụ cho công cuộc công nghiệp hoá, hiện đại hoá xây dựng đất nước ta, Đảng và Chính phủ đã đồng ý cho từng bước sử dụng Internet theo nguyên tắc "mỡ dần dần, kiểm soát đến đâu

mở đến đấy", trong vòng kiểm soát của cơ quan chức năng Do đó việc nghiên cứu vấn đề đảm bảo an toàn khi kết nối với Internet là rất quan trọng và cần thiết, để góp phần đảm bảơ sử dụng Internet có hiệu quả và an toàn

Trong việc nghiên cứu các-khả năng gây nguy-hại cho chúng ta khi.sử dụng Internet, chúng tôi thấy có hai loại: chủ động và thụ động Loại chủ động có thể họ chủ động gửi các thông tin "xa lạ” trên vào nhiều địa chỉ của nước ta, thảm nhập trái phép vào các hệ thống máy tính nối với Internet của chúng ta để lấy các thông tin, phá hoại sự vận hành của chúng Loại thụ động là chúng đặt các tài liệu tại các máy chủ ở ngoài, và có các hướng dẫn đẻ người dùng coa thẻ lấy các thông tin

"đó về -

Theo chúng tôi, để đảm bảo sử dụng an toàn Internet, ba biện pháp lớn cần được thực hiện đồng bộ là: các biện pháp giáo dục, các biện pháp về quản lý hành chính và các biện pháp kỹ thuật Trong đó biện pháp giáo đục là quan trọng nhất,

để mọi người tham gia sử dụng Internet chủ động phòng ngừa, tránh các thông tin, không phù hợp và không phổ biến các thông tin ấy Biện pháp hành chính là cơ sở pháp lý để có thể giải quyết các vi phạm khi sử dụng Internet Các biện phấp kỹ thuật là rất cần thiết, nó chỉ ra rằng "về nguyên tắc" các cơ quan chức năng có thể

BAO CAO VE VAN DE AN NINH

ctis MOT SO DICH VU TREN MANG INTERNET O VIET NAM

1 Khảo sát thực tế qua mội thời gian trién khai dich vu INTERNET o Vist

DICH VU THUDIEN TỬ:

INTERNET với dịch vụ thư điện từ được đưa vào khai thác sử dụng từ năm

1994 Theo thống kẻ số lượng thư lưu chuyển trên mạng INTERNET Tại Hà nội:

Năm 1995 trung bình 700 - 900 thu ngiy Năm 1996 trung bình 1300 - 2000 thư ngày Đầu năm 1997 trung bình 3000 thư ngày Cuối năm 1997 truñg bình 4000 - 5000 thu ngày Đầu năm 1998 số lượng lưu chuyển hàng chục ngàn thư/1 ngày

Qua các số liệu trên chúng ta thấy số lượng thư điện tử lưu chuyển trén INTERMNET tăng lên với tốc độ rất nhanh

Phân tích theo xuất xứ, ngôn ngữ sử dụng và tính chất chúng ta thấy:

Thư từ nước ngoài vào Việt Nam chiếm khoảng 95 Thư từ trong nước gửi ra nước ngoài chiếm 5%

Tiếng Việt 13% (UUENCODE VIOR-7 bit, WNT VSCH VPS,

TCVNä ) Tiếng Pháp 4%

Các ngôn ngữ khác 12%

Tỷ lệ thư được mã hoá chiém tt 5 - 6%

Những thông tin có nội dung xấu vẻ chính trị và những thông tin làm tồn hại

- đến.thuần phong mỹ tục cửa Việt Nam chiếm khoảng 5,8% trong tổng số thông tín lưu

Thư điện tử cớ thể gửi cho một địa chỉ hoặc nhiều địa chỉ -

Việc ngăn chặn thư theo địa chỉ cũng có những hạn chế: Việc xác định được

những địa chỉ xấu là khong dé dàng Hơn nữa kẻ xấu có thể sử dụng địa chỉ của người

DỊCH VỤ SIÊU VĂN BẢN WORD WIDE WEB:

Phải khẳng định hầu hết nội dung thông tin trên WWWV là tốt và bổ ích, phục vụ cho céng tác giáo dục, đào tạo, nghiên cứu khoa học, dịch vụ, thương mại Bên cạnh

đó một số tổ chức phản động trong số người Việt ở nước ngoài thường sử dụng mạng

Internet trên các trang VVEB đẻ dưa các bài viết xuyên tạc đường lối chính sách của

Đảng, nói xấu chế độ, lãnh tụ, kích động các phản từ xấu ở trong nước nhằm phá hoại, chống đối chế độ:

Mặt trận quốc ø gia thống nhất giải phòng ` Việt nam

“Tế chức phục hưng

Nhóm người Việt tự do (Free Viet Group)

Quyền con người Việt nam (Viemam Human Rights)

Tổ chức liên minh Việt nam tự do (Free Vietnam Alliance Organization)

Các tổ chức phản động trong số người Việt ở nước ngoài đã lập ra các bản tin, tập san, nguyệt san, tuần báo, nhật báo với các tên như : "Việt nam đân chủ”, "Thế ký

21”, "Hợp nhất", "Người Việt dally news”, nhiều tờ báo đã sử dụng Internet như một

phương riện phản phối chính

Xiột số địa chỉ trên [NTERNET thường xuyên có những thông tin với nội dung xãu hướng vào Việt nam:

ˆ_1- Liên mình Việt nam tự do ( Trong Việt kiểu ở Pháp) có tập san "Liên minh" ra méi thang

- Tổ chức Phục hưng Việt nam:

3 - Chính phù Việt nam tự đo:

(Thủ tướng: Nguyễn Hoàng Dân Ta đã bắt một nhóm của tổ chức này khi

xâm nhập về Việt nam, trong đó có Nguyễn Minh Miẫn tức Ly Thara)

4 - "Thông điệp xanh" đặt trên American Online Web này của nhóm Việt kiểu ở Đông âu chạy sang Đức) Có khoảng 10 tờ báo ra từ một tháng -

một kỳ tới 3 tháng một kỳ Trong đó có một số nội dung như:

Trang về "Nhân vấn giai phẩm”

Trang về '" Vụ án xét lại chống dang"

5 - Trén INTERNET hién cũng lan truyền những cuốn sách, bài báo dai

về:

Nguyễn Văn Tuần: "Viết cho Me và Quốc hội”

Vũ Thư Hiên: "Đêm giữa ban ngày”

4iiững công bố của Bùi Tín (Trong thông điệp xanh)

Một số ý kiến đề nghị:

Cần có cơ quan chức năng để xác định những nguồn thông tin độc hại trên

Internet, trên cơ sở đó kiến nghị để Ban điều phối quốc gia (hoặc một cơ quan có thẩm quyền) phê duyệt dánh sách những địa chỉ cấm truy nhập để các nhà cung cấp dịch vụ

Internet (ASP,ISP) có trách nhiệm ngăn chặn (qua LP filter hoặc Proxy Server cia họ)

2

PHAN I DAM BAO AN TOAN THONG TIN CHO CAC MANG MAY TINH KHI KET NOI VOLINTERNET

GIOI THIEU CHUNG VE CAC BIEN PHAP DAM BAO AN TOAN THONG TIN

CHO CAC MANG MAY TINH KHI KET NOI VOI INTERNET

Intemet JA mang mdy tính toàn cầu với các địch vụ thông n phong phú Trên Intemet các mạng máy tính được kết nối với nhau bằng thủ tục TCT/H* cùng với sự phát triển không ngừng của Intemel, số lượng các vu tấn cÔng trên

Internet cũng tăng theo cấp số nhân Trong khí các phương tiện thông tin dai chúng ngày càng nhắc nhiều đến Internet với những khả nãng truy nhập thông

tín đường như là vô lận của nó, thì các nhà chuyên môn bất đầu để cập nhiều

đến vấn để đảm bio an todn cho cdc may tinh duge két noi vao mang Internct Theo số liệu thống kê hàng năm mạng máy tính của Hộ quốc phòng Mỹ có đến 250.000 lầu kể gian muốn xâm nhập, trong đó có đến 160.000 xâm nhập

thành công Những vụ tín công này nhằm vào tất cả các máy tính cố mặt trên

Tntemet, từ máy tính của các công Ly lớn như AT&1, 1BM, các trường đại học,

các cơ quan nhà nước, các tổ chức quân su, nha bang

- Những số liệu thống kê được công bố chỉ là phần nổi của tẳng bang Mo!

phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có

thể kể đến nỗi lo b{,mất uy tín, hoặc đơn giản những người quan trị hệ thống

khong hé hay biết về những cưộc tấn công nhầm vào hệ thếng của họ

1Hiện nay không chỉ số lượng các cuộc tấu công tầng lên uhanh chong, ma các phương pháp tấn công cũng liên tục dược hoàn thiện Điều đó một phần do

các nhân viên quản trị các hệ thống được kết nối với IntertcL ngày cảng dễ cao cảnh giác Trước kia (thời kỳ 1988-1989) những cuộc tín công vào chủ yếu là đoán tên người sử dụng - miật khẩu (UserH2-Password ) Hoặc sư dụng một số lỗi của các chương trình và hệ điểu hành làm vô hiệu hệ thống bảo vệ, thời gim gần đây những cuộc tấn công bao gồm cả các tiao tác như giả mạo địa chi iP,

theo đõi thông tin truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin) Đo đố cần có những biện pháp để đấm bảo an ninh va an loan cho cac mạng máy tính khí kết nối với INTERNET là cân thiết Có thể phân loại 3 biện

pháp chính đản bảo an toàn khi nối mạng INTERNET:

I Các biên pháp về giáo dục : Nuiêu quốc gia déu cho rang đây là biện pháp có tính cơ bản nhất Cần đẩy mạnh giáo dục phổ cập các mặt lợi

và khong loi cla mang INTERNET để mọi người chủ động phòng ngữa, biết điều gì nên làm và không nên làm khi sử đưụng mạng

2 Các biên pháp về ttành chính; Nhà nước cẩn ban hành pháp luật, các van ban pháp quy về quy chế lái thác sử dụng HINIERHET Trong đó

quy định chặt chế việc truy nhap thông tin vao mang và thu thông lin,

tư liệu ti mang INTERNET, cũng như những người sử dụng

INTERNET phiai dang ký,

Ví dụ: Ngày 04/02/1996 Chính phủ Trung Quốc dã công bố các diều

luật nhầm quần lý nang TNTTRNDE khi cho hệ thống nãy được phổ

biển tai Trung quốc Theo đó các công ty điện toấn nào khi kết nối với INTERNET ctia TQ déu phai dang ky va phải được chấp nhận của cơ quan quản lý quốc gia, cấm thu và tán phát các tài liệu cớ nội dung

độc hài, bạo lực, khiêu đâm Nhiều nước khác cũng có những quy định tương tự

Ở Việt Nam ngày 5/3/97 chính phủ đã ban hành “Quy chế tạm thời về quản lý, thiết lập, sử dụng mạng INTERNET ở Việt nam” Ngày 24/5/1997 có "Thông tư liên tịch hướng dẫn cấp phép việc kết nối, cung cấp và sử dụng INTERNET ở Việt nam" của Tổng cục Bưu điện,

3 Các giải pháp về R§ thuát: Hiện nay c6 nhiều giải pháp kỹ thuật để đảm

bảo an toàn khi nối mạng INTEBNET Xin nêu một số giải pháp chính: Xây dựng những bức tường lửa (Firewalf) Một trong những giải pháp

kỹ thuật để dim bảo an toàn cho các mạng máy tính khi kết nối với INITERNET

là xây dựng bức tường lữa(fircwall) firewall là tổ hợp phần cứng và phần mềm

cho phép người ở trong mạng [NTRANET truy cập được dữ liệu bên ngoài, nhưng ngăn chặn sự đột nhập từ bên ngoài vào INTRANET 'Trong cơ chế "bức

tường lửa", địa chỉ của những máy chứa các thông tin cố nội dung không phù hợp sẽ bị dưa vào các danh sách bị cấin nhờ một phần mém canh bdo chuyên

dung Khi đó các thông tín này sẽ không thể được truy cập tới Tuy vậy firewall

cũng chỉ là một phần của hệ thống bảo mật trên [NTER NIT

_- Routeur đồng vai trd quan trong trong firewall Routcur cho phép dữ liệu

ty INTRANET này sang INTRANET khác Mọi đữ liệu truyền qua nhau đều phải qua Routenr Vì vậy đây chính là vị trí thích hợp dé đặt các biện phán bảo mật Có nhiều biện pháp khác nhau Đầu tiên lA lọc (Hteriag) bởi Rouleur lọc

Rontetir lọc xem xét rỗi gói đữ liệu đi vào và đi ra khỏi IN1ILANETE Dựn vào quy định mà quan trị hệ thống, Ioufteur sẽ cho gói dữ liệu dị qua hoặc ngăn lại

Sử dụng cơ chế máy chủ uỷ quyên (Proxy Server) Máy chủ uỷ quyền

cũng là công cụ của cơ chế-đẩm hảo an (oần (hông tin.-Trong cơ chế "ủy

quyển”, người ta không đáp ứng ngay lập tức nhủ cầu khai tháo Lí mã mọi yeeu cầu kết nối với IN1IRNET của người sử dụng va moi théng tin (INTERNET

về người sử dụng có yêu cầu đều phải thông qua Proxy Server Server nay glit chếp tất cả các cuộc trao đổi và đâm bảo lần theo lại được dấu vết các vự xâm

nhập

Sử dụng cơ chế máy chủ pháo dài ( astion Server) Đây cũng là một

giải pháp quan trọng để đảm bảo an loần cho mang INTRANET Bastion Server dược thiết kế đạc biệt chống sự tân công xâm nhập Thông thường Bastion

Server được đặt tách biệt ở mạng vòng ngoài Khi Server này bị tấn công và giả

sử bị phá vỡ thì INTRANET vẫn dược bảo về, phần bị tốn thương chỉ là Bastion Server

Sử dụng mat khau va héthéng chu quyén Mat khẩu và hệ thống chủ

quyển cũng được sử dựng để ngăn chăn sự xâm nhập và đảm bảo an toàn thông

-tin cho mạng ïNTRANET Liên để chống lấy cắp mật khẩu người ta dùng các

mẠt khẩu sử dụng một lần (One - lime password) Việc cáo mật khẩu truyền trên

mạng đễ bị các chương trình dò tìm mật khẩu tấn công Dởi vậy cứ sau một lần

sử dụng thì mội mật khẩu bị thải loại không dùng nữa

Sử dụng phương pháp mã hoá thông tỉn và chữ ký điện từ MIA hoá được sử dụng để đảm bảo an toàn thông tin trên mạng Mã hoá dùng để bảo vệ

đữ liệu và mật khẩu Có thể sử dụng khoá đối xứng hoặc không đối xứng (hóa công cộng) Chữ Ký số hay chữ ký diện tử được sử dung để xác định tính chân thực của văn bản khi gửi di không bị sửa chữa, thay thế

Thiết lần cơ chế giấm sát lưu thong (Traffic monitoring) cling JA mot

phương pháp để đảm bảo an toàn cho INTRANET Đây Tà phần mễm chạy tiên ,

giấm sát mọi lưu thông nội bộ trong INTRANET cũng như mọi lưu thông giữa

INTERNET và INTRANET Người quản trị INTRANET có thể đặt ra các quy tắc quyết định loại lưu thông nào được hoạt động trên INTRANET

Các biện pháp phòng chống virus Yirus cũng là vấn để đáng quan lâm

và nguy liểm đối với mạng Thông (thường người (a đầng các chương trình quét

và diệt Virus tiện đã có những chương trình diệt Virus trên mạng Chương trình này cài trên Server và kiém tra Virus cho toàn mang.

(Web, E-Mall Server

NAIS AND FIREWALT SERVER

DOAMAIN NAME SERVER

MAIN WEE SERVIER ACCOUTING/BILEING

, - CHUGNG If

FIREWALL - GIẢI PHÁP ĐẦM BẢO AN TOÀN

CHO KST NOL MANG INTERNET - INTRANET

1-CAC NGUYEN TAC TRONG THIẾT KẾT HỆ THỐNG BẢO VỆ MẠNG

Khi thiết kế và cài đặt các hệ thong bao ve mang nói chung và firewall nói

riêng cần tuân thủ một số nguyên tắc cơ bản sau:

1- Nguyên tắc quyền tối thiểu (Least Privilege)

Một trong những nguyên tÁc căn bản của các hệ thống bảo vệ là nguyén

tác quyền tối thiểu Nguyên tắc này được phát biểu như sau:

Tiất kỳ một đối tượng nào (người sử dụng, người quản trị hệ thống, chương trình ứng dụng, hỆ điểu-hành ) có những quyển vừa đủ để đối tượng đó hoàn

Nguyên tắc quyền tối thiểu được áp dụng triệt để trong việc thiết kế, cài

“dat firewall Tất cả các thành phần làm việc tye (ip voi mang ben ngoài, đặc

biệt là các modul proxy đều được chạy ở mức quyền ưu tiên thấp, và không gian

làm việc giới hạn (hông qua khả năng của hệ điều hành)

2 Nguyên tắc phòng thủ (heo chiều sâu

Một nguyên tắc khác của các hệ thống bảo vệ nói chung là nguyên lẤc

phòng thủ theo chiêu sâu Người thiết kế và cài đặt hệ thống này có khả

nững bảo vệ rất tốt, do mọi hệ thống đếu có kha nang hong hse Khi do, viee

mot

trong các vòng bảo vệ ngừng hoạt động kuông Jani toàn bộ hệ thống

không

Một ví dụ điển hình là việc sử dụng firewall Igoài việc LẠO ra miột Tớp hao

vệ bằng cách chỉ cho phép một số dịa chỉ có quyển yêu cầu ket nei voi mang

bên trong, việc lọc các gói tin rou(€F con Jam giảm lượng thông tứn mà

firewall

phải xử lý, giảm khả năng tấn công bằng phương pháp làm quá tải hệ thống

Mặt khác, các quy tác kiểm soái dược dựa r4 với một dộ dự thừa lớn, Cho

- đũ tại router đã có quy tắc loại bỏ những gói in đến từ một số địa chỉ nhất định, tại firewall nam sau router van c6 những quy {Ac loại bỗ những gồi tin này

Trên thực (Š, những gói tin đó không bao giờ tới được firewall, do do tốc dộ

xử lý của

firewall bị ảnh hưởng không đáng kể, tuy nhiên khi những quy tác này không

- lam viée tal router, thi mang nội bộ vẫn dược bao vé boi firewall tờ

3: Nguyên tắc kiểm soát tập [rung | :

“Tập trung tất cả các liên hệ với thế giới bên ngoài thông qua một điểm

duy

nhất, đồng thời tăng cường bảo vệ và giám sát điểm này

Yêu cầu này có thé dé dang thực hiện với một hệ thdng mang có quy mô

Không lớn Nó cho phéo kiểm soát chặt chế những kết nối giữa hai mạng

chỉ

sử dụng một firewall duy nhất Một điểm bất lợi của việc tập trung kiểm soát là vấn đề không có đường dự trữ (backup) mot Kid firewall gip sự cố Để giải

'quyết vấn để này, các thiết bi firewall mdi dang tập trung vào hướng cài đặt

firewall phân tán, nhưng quản lý lập trung, thong qua hệ thống mạng với những ˆ -giao thức mạng dược gân thêm kha nang bao mật như mã hóa và xác thực thông tin và người sử dụng

4 Nguyên tắc đơn giản

Việc đặt ra yêu cầu đơn giản cho hệ thống bảovệ có hai lý đo chính:

+ Dễ hiểu: khi một hệ thống được thiết kế đơn giản la dé dang hiểu được các hoạt động của hệ thống, do đó hiểu được hệ thống có hoạt động dúng như

ta mong muốn không

+ A lãi: một hệ thống càng phức tạp càng chứa nhiều lỗi Ngay cả khi hệ thống không có lỗi và không có các 16 hồng bảo mật, thì hệ thống phức tap

cũng sẽ làm phức tạp quá trình phân tích và xử lý các vấn để trong những tinh

Các hệ thống firewall thường dược xây dựng trên những hệ điều hành đã dược sửa đổi, loại bỏ những chức năng không cần thiết, các công cụ trợ giúp

người sử dụng, các công cụ phát triển (bao gồm các trìnu giên địch và thông ˆ

dịch, hệ thống debug v.v ) Một số firewall còn loại bỏ gần như toàn bộ các

5 Độ an toàn của hệ thống phụ thuộc điểm yếu nhất

Độ an toàn của hệ thống chính Ja độ an toàn của uất xích yếu nhất trong

hệ thống Vì vậy không cần thiết kế, cài đặt một hệ thống bảo mật phức tạp, tốn

kém trong khí độ an toàn của một điểm nào đó trong toàn bộ hệ thống không

dam bảo Diều này cũng giống như trường hợp Xây dựng một cửa ra vào chắc

chắn với nhiều lớp khóa, trong khi cửa sổ của ngỡi nhà lại để ngỏ

Như trên đã nhận định, điểm yếu nhất trong các hệ thống bảo vệ thông thường là yếu tố con người, và chỉ có sự giáo đục về các yêu cầu bảo mật, cộng với thái độ hợp tác của người sử dụng mạng nội bộ mới có thể nâng cao được độ

6 Nguyên tắc hệ thống dừng ở trang thái an toàn

Các hệ thống bảo mật cần được thiết kế để khi hệ thống ngừng hoạt động

đo sự cố (do hồng hóc phần cứng, Jỗi chương trình, lỖi nủa người sử dụng v.V )

toàn bộ mạng bên trong vẫn được bảo vệ, mà thông thường là ngất liên lạc với

mạng bên-nguài Trên thực tế đã có những cuộc tấn công bằng cách lầm quá tải firewall, khiến ñrewall không thực hiện dược chức năng kiểm soát các kết nối mới Trong trường hợp đố mội hệ thống dược thiết kế theo quy tÁc này không

được tiếp nhận các kết nối mới, có thể chuyển hệ thống sang trạng thái dừng và

thông báo cho người quản trị

7, Trang thái ngầm định: cấm mọi sự rao đổi thông tín

Hệ thống bảo vệ nhìn chung được xây dựng treo tuân theo 2 chính sách

bảo vệ đối ngược nhau:

- Cho phép tất cẢ các thao tác bị kết nối trữ những hao tác và kết nối đã

1Ô

được biết trước la nguy hiểm và bị cấm

~ Cấm mọi.thao tác và kết nối, trừ những thao tác và kết nối được coi là an

toàn và dược cho phép rõ ràng

Quy tic đầu chở phép một sự tự đo lớn hơn đối với người sử dụng, đồng thời đảm bảo khả năng hoạt động của các địch vụ sẽ xuất hiện trong tương lai,

tuy nhiên nó đi ngược lại với quy tắc về trạng thái dừng aủ toàn cũng như quy

tắc về quyền tối thiểu, đồng thời dưa hệ thống bảo vệ mạng vào cuộc chạy dua khong chấm đứt với danh sách nhĩmng thao tác và kết nối nguy hiểm, hơn nữa,

hệ thống bảo vệ mạng luôn thụ dộng trước sự tiến hóa của các phương pháp tiến công và luôn phát triển chậm hơn các phương pháp tiến công

=" Quy tac tlut hai dam bảo một sự an toàn lớn hơn quy (ắc đầu cho hệ thống mạng bên trong Nó cũng đảm bảo được quy tắc về trạng thái đừng en toàn và

quy tắc về quyền tối thiểu

8 Quan tâm tới yếu tố con người ví

- Hệ thống bảo vệ mạng không thể hoạt động có hiệu quả nếu không có sự hợp tác của tất cả những người sử đựng Khi một người sử đụng không muốn bị

bó buộc bởi những quy tắc chặt chế của hệ lhống bảo vệ và thiết lập một kết nối -

mới với bên ngoài (ví dự qua mot dudng dial-up) thì toàn bộ hệ thống bảo vệ bị

vô hiệu hóa và mạng bên trong có thể bị tấn công dễ đàng thông qua kn mới

nay Trach nhiệm của người quản trị hệ thống phải bao gồm việc thông báo cho người sử dụng mạng về các yêu cầu bảo mật, những thao tác dược phép và không được thiết lập đường đial-up với mạng bên ngoài, chọn mật khẩu khó đoán, thông báo về các hiện tượng khả nghỉ v.v ) đồng thời người quản trị hệ,

thống phải thường xuyên giấm sát việc tuân thủ các quy tấc bảo mật của người

sử dụng

9 Nguyên tắc sự đa dạng của các hệ (hống bên trong:

Sự đa đạng của các hệ thống trong mạng bên trong có thế tầng khả năng

bảo vệ mạng Nếu mạng bên trong bao gồm các hệ thống giống nhau, một lỗi

chung trong hệ điều hành hoặc một chương trình ứng dụng có thể lầm cho toần

bộ mạng bị tấn công theo cùng một phương pháp Tuy nhiên, sự da dạng trong

mạng cũng đồng nghĩa với sự phức tạp khi phải quản lý các hệ thống khác

~ nhau, đồng thời tăng chí phí trang bị phần cứng và phần iném, :

10 Quan (âm tới yếu tố chỉ pH: -

_Yếu tố giá cả có thể là yếu tố quyết dịnh nếu khả năng tài chính của cơ -¿ quan có mạng nội:bộ không được đẩy đủ Tuy vậy, vẫn có những bộ phan mém

“cho khong (freeware) dugc phd bin rong rai én Intemet cho phép tu xay dung

cfc hé thong firewall, kiểm tra hệ thống bảo mật, giả lập tấn công v.v Với các công cụ này, cộng với thời gian và trí thức của người quản trị hệ thống ta vẫn

có thể bảo vệ m nội bộ mà không phải đầu tụ chợ một hệ thống firewall trị giá

hàng chục ngần đến hàng trăm ngàn đôla Mỹ

Mặt khác, việc mua một hệ thếng frewalỞl đưa lại những hỗ trợ kỹ thuật từ những chuyên gia giầu kinh nghiệm - một yếu tố ảnh hướng không nhỏ đến quá

trình chọn lựa và thúết đặt hệ thống bảo vệ Cùng với sự hỗ trợ kỹ thuật này là

những thông tin được cập nhật thường xuyên về cáo nhương pháp lấn công mới

`

H

và biện phấp phòng chống, khả năng nâng cấp, hoàn thiện firewall trong tưởng

Trong mợi trường hợp , việc thiết đặt một hệ thống firewall để bảo vệ

mạng nội bộ không cần thiết phải tiêu tốn những nguồn nhân lực và vật lực quá

lớn Việc đánh cấp thông tin có thể diễn ra bằng nhiều con đường khác nhau, và

firewall chỉ cẩn đảm bảo việc truy nhập đến các thông tín đó qua con đường -

mạng máy với mạng bên ngoài

II-FIREWALL MỘT GIẢI PHIÁP DẢM BẢO AN TOÀN CHO MẠNG

TirewaH có nghĩa là bức tường chấn lửa Trước kia trong quá tình thiết kế các khu nhà, người ta thường xây các bức tường giữa những khối nhà gần nhau

để để phòng trường hợp lửa cháy lan trong khi hoả hoạn Với ý ngiữa này mà

thiết bị kiểm soát truy nhập giữa mạng nội bộ và Intemet được gợi tên Ìà

Firewall c6 thé bao g6m mét máy tính hoặc mỘt thiết bị phần cứng chuyên

dùng, có nhiệm vụ kiểm soát các kết nối và quá trình trao đổi thông tin giữa một

hệ thông mạng cần dược bảo vệ (rạng bên trong) với tnỘt mạng được cot là không an toàn về mặt bảo mật (nạng bên ngoài) Firewall cũng có thể là một hệ

thống các thiết bị, dược kết nối thành mỌt mạng trưng gian giữa hai mạng này Tuy nhiên; nhiệm vụ của hệ thống này vẫn không thay đổi, đó là thực hiện các

quy tic kiểm soát truy nhập thông tin giifa hat mang hận trong và bên ngoài

Hình 1: Vị trí của Firewall trong két nối mang nội bộ với Intemet

Sau đây là một số phân tích về những nguy cơ ức dọa mạng bên trong và

các khả năng của hệ thống Firewall

A - NHỮNG YÊU YÊU CẤU BẢO VỆ MANG INTRANET:

x

Những thông tin tưu trí trên hệ thống mạng máy tính cần dược bảo vệ do các yêu cầu sau: ˆ

- Bảo mật: Những thông tin có giá trị cần dược giữ kín -

- Tinh toan ven: Thông tín không Dị mất nát Hoặc sửa đổi, đánh tráo

- Tính kịp thời: Đảm bảo yêu cầu truy nhập thông 1in vào đúng thời điểm -ˆ

Trong 3 yên cầu nêu trên yêu cầu bảo mật dược coi là yêu cầu số 1 đối với

thong tin lưu trữ trên mạng Tuy nhiên, ngay cả khi những thông tín này không cần được giữ bí mật, thì yêu cầu về tính toần vẹn cũng rất quan trọng Không

một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tín mà không biết về tĩnh đúng đấn của các thông tín đó

2 đảo vệ các tài nguyên si dung trén mang:

'Trên thực tế, trong các Cuộc tấn công trên Internet, kẻ tẤn công, s80 khi đã

làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho

mục đích của mình nữ chạy các chương tình dò mặt khẩn người sử đụng, sử

dụng các liên kết hang sẵn có để tiếp tục tấn công các hệ thống khác v.v Firewall, trong khí bảo vệ hệ thống mạng bên trong, đảm bảo các hệ thống sẽ lam đúng chức năng được thiết kế, không bị sử dụng để tạo thêm công cụ cho

Một phương pháp tấn công cổ điển là đồ cặp lên người sử dụng - mật

khẩu Đây là nhương pháp đơn giản, đã thực hiện và không đồi hỏi một diéu

kiện đặc biệt nào dể bất đầu Kẻ tấn công cố thể sử dụng những thông ln nhự

tên người đùng, ngày sinh, địa chỉ, số nhã v.v để đoán mẠi khẩu, Trong trường

hợp có được danh sách người sử dụng và những thông lín về môi trường lầm ˆ việc, có một số chương trình tự động hóa việc đồ tim mat khẩu này MộI

chuong tinh cé thé dé dang My duge tir Internet để giải các mật khẩu di mai hóa của các hệ thống Unix có (én 18 Crack, c6 kha nang thử những tổ hợp các-

tix trong indt tir diển lớn, theo những quy tắc do ngườidùng tự định nghĩa Trong

một số trường hợp, khả năng thành công của phương pháp này có thể lên đến

30%

Thương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ

“điều hành đã dược sử dụng từ những vụ Lấn công đầu tiên và câu lidep tuc được

sử dụng để chiếm quyền truy nhận Treng một số trường hợp, phương pháp này

cho phép kẻ lấn công có dược quyền của người quản trị hệ tiống (rooi hay

adiministrator)

Vai vi du thugng xuyén duge đưa ra để mình họa cho phương pháp này là

ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành Unix Sendimail Tà một chương trình phúc t4p, với mã nguồn bao gồm hàng ngàn đồng lệnh của ngôn ngft C, Sendmail được chạy với quyển ưu tiên của người

quản trị hệ thống, do chương trình phải có quyén ghi vag hop fig của những người sử đụng máy Và Sendmail trực tiếp nhận các:yêu cầu về thư tín từ nang

bên ngoài dây chính là những yếu tố làm cho Sendinnil trở thành tiột nguồn

cưng cấp những lỗ hồng về bảo mật để truy nhập hệ thống

_Rlogin cho phép người sử đụng từ một mấy trên nạng truy nhập từ xa vào một máy khác sử dụng các tài nguyên của máy này Trong quá trình nhận (ên và

mật khẩu của người sử dụng, rlogin không kiểm tra độ đài của dòng nhập, do

đó kẻ tấn công có thể đựa vào một xau đã được tính toán trước để phi đề lên mã

chương trình của rlogm, qua đó chiếm đhược quyển truy nhập, ˆ

2 Nghe trom (rén mang:

Việc nghe trộm trên trạng có thể đưa lại các thông tín cổ ích như tên-mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng VIỆC nghe trom

thường được tiến hành sau khi kẻ tấn công đã chiếm được quyển truy nhập hệ

thống, thông qua các chương trình cho phép dua vi giao tiếp mạng (Network

Interface Card-NIC) vào chế độ nhận toần bộ các thông tin hr chuyển trên

14

mạng Những chương trình này cũng có thể lấy được đễ dàng trên Internet

3 Giả nao 2 địa chỉ:

Việc giả mạo dja chỉ 1U có thể được thực hiện thông qua kha nang str dung

kha nang dan đường trực tiếp (source-rotting) Với các tấn công này, kẻ tấn

công gửi các gói tin IP tới mạng bên trong với một địa chỉ II giả mạo (hông

thường là địa chỉ của một mạng hoặc máy được coi là an toàn đối với mạng bên

trong), đồng thời chỉ rõ đường đẫn mà các gói in HP phải di

4 Vô liệu hóa các chức năng của lệ thống

„ Đây là kiểu tấn Công nhằm làm (ê liệt hệ thống, không cho nó thực hiện

được chức năng mà nố được thiết kế Kiểu tấn công này không thể ngăn chặn

được đo những phương tiện được sử đụng để tổ chức tấn công cũng chính là

những phương tiện để làu việu và truy nhập thông tín trên mạng Ví dự sử dụng

pệnh ping với tốc độ cao nhất cớ thể, buộc một hệ thống tiêu hao toàn bộ tốc độ

tính toán và kha nang của mang để trả lời các lệnh này, không còn lại tài -

nguyên để thực hiện những công việc có ích khác

'% Sử dụng lãi của người quản trị lệ thống:

Đây không phải Tà một Kiểu lấu công của những kẻ đột nhập, tuy nhiên lỗi

của người quần trị hệ thống thường lạo ra những lỗ hổng cho phép kế tấn công

sử đụng để thâm nhập vào mạng nội bộ

6 Tiến công vào các yếu lố củn ng ưÒi : -

Kẻ tấn công, có thể liên lạc với mội người quản trị bệ thống, giả lâm | một

người sử dụng để yêu cầu lhay đổi mật khẩu, thay đổi quyên truy nhập của

mình đối với hệ (hống, hoặc thậm chí thay đổi một số thiết đại của hệ thống để

thực hiện các phương pháp tấn công khác Với kiểu tấn công này, không mỘt

thiết bị nào có thể ngăn chặn một cách hin hiệu, mà chỉ có phương pháp giáo

dục người sử dụng mạng nội bộ về những yêu cầu bảo miật để dễ cao cảnh giáo

trước những hiện tượng đáng nghỉ Nói chung yếu tố con người là một điểm yếu

-trong bất kỳ một hệ thống bảo vệ nào, và cíi có sự giáo dục cộng với tính thần ~~ ~~~

hợp tác từ phín người sử đụng cố thể nâng caa được độ am toàn của hệ thống hảo

C -KHA NANG PHONG THU CUA FIREWALL

i Những khd nding ngan chdn eda Firewall:

_Việc kiểm soát những yêu cầu kết nối đến từ bên ngoài cho phép giảm tối

đa những cơ hội kẻ tấn công có thể làm việc trực tiếp với một mấy tính trong hệ

thống mạng bên trong, do đố giảm được nguy cơ của những phương pháp lấn

công trực tiếp Hơn nữa, với sự phái triển của các chương trình proxy, nhímg

chương trình phức tạp không trực tiếp lienec hệ với mạng bến ngoài mà phải

thông qua các proxy Các chương trình pioxy dược thiết kế dặc biệt, lầm nhiém

vụ chuyển thông tín qua lại pia các server cung cấp dịch vụ và người str dung,

dược kiểm tra kỹ lưỡng dé loai bo cae J6i Ton nita, nhi¢m vu cla cdc chuong

trình này đơn giản hơn rất nhiều, do đó chúng được chạy với những quyển ưu

15

tiên thấp giảm dược nảuw cơ khi chương trình có lỗi cũng không đưa lại cho kế tấn công quyền quản trị ing thống ,

Một số firewall được thiết kế với những phần giấm sất việc sử dụng các 16

hồng bảo rnật đã biết, Trong trường hợp Rẻ tấn công thử sử dụng những lỗ hồng này, Firewall sẽ phí nhận điểm xuất phát của cuộc (ñn công,và thông háo cho người quản trị hệ thống kịp thời

Tirewall không ngăn chặn được việc nghe trộm: trong phạm vi mang cuc

bộ Tuy nhiên với phương pháp cài đặt nhiều fircwall để ngăn cách những phần

của mạng cục bộ có yêu cầu bảo mật khác nhau, firewall cho phép giảm đến mức tối đa những thông tín không cần thiết lan tuyển trên hệ thống mạng 2o

đó, firewall có thể giẩm được nguy cơ bị lộ thông lu ngay trong hệ thống mạng

Một trong những công-nghệ mới được dua ra cùng với sự xuất hiện của

fircwall là công nghệ tạo mạng riêng 4o (virtual private nctwork) tren Tntemet

Bằng cách mã hóa cde g6i tin ở firewall khi chúng di ra khỏi mạng nội bộ và

giải mã khí chúng đi vào, các firewail tạo lập một kênh liên lạc an toần trên Intemet, cho phép thông tia bí mật có thể được chuyển gia các mạng mà

không bị lô ĐAy là một lĩnh vực yêu cẩu cả những giải pháp về inã hóa, xác

Tircwall được thiết kế để chống lại những cuộc lấn công sử dụng việc giả

mạo địa chỉ, đồng thời ghỉ nhận những ý đồ giả mạo địa chí mạng bên trong dé

tấn công hệ thống

2 Nhitug kid năng hạn chế của lirewall :

Firewall khong thể ngân chặn dược nhữmg ý đồ tấn công nhầm làm quá tai

hệ thống Tuy nhiên, ñrewall phải được thiết kế để ứng trường hợp bị quá tÃI sẽ

từ chối mọi yêu cẩu kết nối mới, do vậy vẫn bảo vệ được mang bên trong khỏi

sự xâm nhập bất hợp pháp từ mạng bên ngoài

Iirewall không ngăn chặn mội cách hiệu quá các chộc tấn công xuft phái

từ mạng bên trong, khí một chương trình được lai vio mang bén trong và chạy

từ đây Tuy nhiên để lầm được điểu nàv:-kktấn công trước tiên phải thâm nhập

được vào nìạng bên trong, điểu mà firewall có thế ngăn chặn kiiá hiệu quả Một yêu cầu thường được nêu ra lÀ kiểm soái nội đụng thông tín chuyên qua firewall, như các thông tin mạng, nội dung nguy hiém, virus Tuy c6 ict

số te cho phép lầm những thao tác này trên fircwall, đó không phải 1ä mục dich chính của firewall Những chương tảnh này đồng trời cũng lầm tăng thêm sự phức tạp của thiết kế firevwvall, tức Ja làm giám độ an toần của nó Ï len nữa, việc

cài đặt các chương trình kiểm tra như vậy sẽ lầm giảm tốc độ truyền tín, và trong trường hợp các ứng đụng chạy với yêu cầu cao về độ trễ của thông fin OF

du céc tmg dung multimedia tén mạng) th khó có thể thực hiện được những thao tác kiểm soát nội dung mà không lầm ảnh hưởng đến tốc độ truvển

Virewall cfing khong thể ngăn chặn những cuộc tấu công mà: kết nối mạng không đi cua nó MỸ dụ khí một người sử dụng thiết lập một kết nối với

mang ben ngoai thong qua dudng dial-up, thi Kẻ ifn cOng c6 thé sử đụng kết nối

này để đi vòng qua Grewall vac mang nat bd

16

CHƯƠNG In BỨC TƯỜNG LỬA DỰA TRÊH HỆ THỐNG LINUX

Nitap dé

An toàn mạng và đặc biệt hơn là dùng các bức tường lửa Internet là một trong những điểm nóng nhất trong kinh doanh máy tính hiện nay Mối mạng máy tính riêng khi cần nốt với Intermet cần một bức tường lửa tương ứng, mà nó là sự kết hợp giữa phần cứng, phẩn mềm và các quy trình để bảo vệ mạng Đa số các sản phẩm bức tường lửa thương mai déu

khá đất, nhất là đối với các công ty cỡ nhỏ , ,

Có một cách thay thế là dùng Linux, một hệ điều hành miễn phí Ta sẽ tập trung vào một số sắc thái của Linux, tính năng thea dõi các edi TP, mà đó là một cấu thành để xây dựng các bức tường lữa trên Linux Một bức tường lửa tốt còn cần nhiều thứ hơn một chút, chứ không chỉ một bộ lọc gói mà thôi Cuối cùng chúng ta sẽ thấy một số lời gợt ý để dùng

hệ thống Linux như là một giải pháp bức tường lửa hoàn chỉnh

Việc quyết định cho phép hộ lọc ngăn chân các gói thường dựa trên mại số tiêu- chuẩn, dược kiểm tra qua nội dung các gói [P và môi số thông số môi trường

qua hệ thống bằng cách chỉ cho phép những gói đi đến (hoặc gửi di) đến một tập các

mỗi gói ÍP-

của mỗi gói IP

Các thuộc tính TP Một trong những thuộc tính dược biết dến nhiều nhất là source rout (định đường di nguồn), mà nó được coi là nguy hiểm Các gói tin có mang

thuộc tính này thường br chối từ

Các số hiệu cổng nguồn và đích tưng tk voi ede ede dich wu TCP va UDP

chế các dịch vụ, mỗi loại ng ven mot cong đã quen biết,

17

Các dấu hiệu TCP, mà chúng là một phần của phan đầu của gói TCP da sd các bộ

phiên TCP chỉ được kích hoạt ở bên trong (tức là, chỉ từ các mắy trong mạng nệng

của ta)

phép ta thu hep luu thong [CMP vào một tập các kiểu thông điệp Thí dụ, ta có thể

lagi trừ các gói Echo Request (như được sử dụng trong lệnh ping)

Dữ liệu của người sử dụng, tìm thấy trong phần dữ liệu (phụ thuộc nghỉ thức) của các gói IP Điều này thật hạn chế, mà thường nó không thuộc vào các bộ lọc gói tin

Thiệt bị mạng, thông qua đó gói được nhận hoặc sẽ dược gửi đi Nó cho phép ta có thể cho bộ lọc làm việc với các thiết bị mạng khắc nhau một cách khác nhau (như các giao diện bên trong và bên ngoài)

Ngày và giờ Thí dụ như nó có thể được dùng để hạn chế một số kiểu lưu thông

mạng vào giờ hành chính

Một số tiêu chuẩn rất dễ kiểm tra, như các loại thông tĩn có trên phần đầu của các gói

vì việc kiểm tra phiên được xử Lý ở tầng TCP Một số hộ lọc có thể đụng đến các vấn dễ ấy,

Bộ lọc gói Gin IP cd thể phần ứng với các góỹi tín khác nhau, phụ thuộc vào bộ lạc VÀ khả năng của hệ thống lọc Tác động thông thường nhất của nó là: cho phép gói tin thông qua lọc một cách bình thường hoặc huỷ bộ xác nhận (như thông báo ICMP Destinanon gói tin một cách cưỡng bức MIỘC só bộlọc còn cũng cấp kha nang gửi một thông tỉn

Unreachable - không tới được đích) trở lại cho người gũi, trong trường hợp gói bị lọc can

Có một số cách để cái đặt các bộ lọc gối tu trên hệ thống Unix Cách hiệu quả nhất

tà cài đặt chúng ở mức hạt nhân Một bất lợi của phương pháp này là nó không uyễn chuyển lắm Phương pháp khác là cho phép một tiến trình ở mức người sự dụng làm việc lọc kiệt tiên sưình diamon như vậy nhận những thong tin cần thiết của mọi gói TP (ít nhất là phần đầu

Ip va TCP/UDP, có thể cả phần dữ liệu cửa người đùng) thông qua một lệnh gọi hệ thống,

ấp dụng các quy tắc lọc với chúng và dưa câu trả lời cho hạt nhân Bộ screend (cing od

the

tiến trình Va éác lệnh gọt hệ thống

Lược đã lạc hạt nhân

Hạt nhân Linux cung cấp một bộ lọc ÏP tại mội số thời điểm: khi gói được nhận, khi

gói được gửi và khi gói được chuyển tiếp (xem hình 1)

nó, xác định phải lầm gì khí gói tin phù hợp với quy tác ấy: - Sete -

Giải thuật dược dùng trong bộ lọc có thể dược mô tả như sau:

1 Từng bước duyệt danh sách các quy tắc lọc ứng với lọc và kiểm tra xem gói tin có phù hợp quy tắc lọc nào không

2 Quy tắc đầu tiên mà nó phù hợp xác dịth mọi hoạt động tiếp theo

- Chính sách của quy tắc được ấp dụng cho gót tím

Mỗi quy tắc có chứa bộ đếm gái ủn và các byte, (bo dém sẽ đdượctãng lên khi gói

trưng với quy lắc

- Có thể một số thông tín về gói được ghỉ lại vào tếp log hat nhan của Linux

Cuối cũng, quy lắc có thể chứa các tham số xác dịnh thay đối trường TS trong

phần đầu của các gói IP, tấc động dến độ ưu tiên của đói

3 Nếu không có quy tắc lọc nào trùng với g đi, chính sách ngầm định ứng với hộ lọc

sẽ được sử dụng

Hiện có 3 chính sách được Linux str dung:

Accept: chap nhan gối tin, cho di qua bộ lọc

Deny: loại bỏ gói tin

Rejact: không chấp nhận gói tin, gửi thông báo không tdi dich kiểu ICMP tr lai người gửi như thông báo lỗi

Các quy tắc lọc trong Linux gồm những mục sau:

Dia chi IP nguồn và dích, cả hai déu có mặt nạ riéng 32 bit Mic dù người ta hay dùng mặt nạ như mạng bình thường, nó vẫn cho phép quy tắc bao gồm mạng (con), mặt nạ có thể chứa một mẫu bít bất kỳ Nếu mặt nạ chỉ chứa toàn số không, nó : trùng khớp với mọi địa chỉ

: Nghỉ thức, có thể là TCP, UDP, ICMP hoặc " "any”

Số hiệu cổng (dịch vụ) nguồn và đích, sử dụng trong kết hợp với các gói TCP va UDP Cho phép xác dịnh đến 1O cổng nguồn và dích, gồm cả khoảng các cổng (thí

dụ như: 1024 - 65535, thể hiện mọi cổng không đặc quyền)

Kiểu thông điệp, sử dụng với các gói ICMP

Các bìL để so sánh với các dấu hiệu TCP ACK và SYN, dượcdùng để từ chối việc 7° -_ thiết lập mối nối TCP mới trong mội hướng nhất định ¬-

Tên hoặc dịa chỉ IP của thiệt bị mạng Các quy tác chứa xác định thiết bị sẽ chỉ trùng với các gói tin đến (hoặc sẽ đi) qua một thiết bị xác đính

Xác định để thay đổi TOS (Tyne Of Srvice - kiểu dịch vụ) trong phần dầu gói 1U,

được dùng khi gói được chấp thận theo quy lac Ay

Dấu hiệu chỉ dịnh nếu một thông tin cơ sở dược ghỉ vào tệp log mức hạt nhàn - Linux, trong trường hợp gói trùng với quy tắc ấy ¬

Bây giờ sau khi đã xenmt xét khái niệm cơ sở của bộ lọc bức IV ongf lứa của LinUx, ta

sẽ xem xét cách quần trị các quy tắc từ quan điểm của người quản ti

Quản trí các bộ loc bức trồng lúa oe

Giao diện cho việc quần trị các quy tắc lọc mức hạt nhân ở mức người dùng thường gồm hai phần:

- Các quy tắc bức tường lữa có thể:-được tạo lập và xó bỏ thông qua lệnh gọi hệ thống

VN Thông qua cơ chế như vậy chính sách ngầm định của bộ lọc có thể được thay đổi Mioi chỉ tiết của giao diện này được mô tả ở trang trợ giúp của lệnh #mwt4)

Các bộ lục có thể được thanh tra bằng cách dọc các lệp giả (pseudo-files) sau trong

thư mục /proc của hệ thống tệm:

là toàn bộ các cổng không, dặc quyển) dược] xác dịnh Thuộc tính -K bất quy tắc cến chỉ - khớp với các gói có đấu hiệu TCP ACK dược dặi Điều đố, ngăn cần mọi người thử khởi động phiên nối từ bên ngoài (sử dụng cổng 23) đến công không đặc quyển nào đó của hệ thống chúng ta

Thật không may, không phảt đối với dịch vụ nào cũng dé như vậy Thí dụ như nghĩ thc ftp str dụng mội phiên đến riêng biệt để truyền đữ liệu Như vậy sử dung ftp (ngoại tr trường hợp sư dụng ở chế dộ "thụ dong’ ") ddi héi cho phép phiên nối dược bắt đầu từ bên ngoài mạng của ta Thiết lập tập hợp các quy tắc cho [tp sẽ như sau:

- Trong trường hợp trên, mọi sự chuyển tiếp bị cấm, trừ phi các gói phù hợp với một quy tắc chuyển tiếp nào đó, cho phép chúng đi qua lọc một cách tường minh Các lọc có thể được liệt kê khi dùng lệnh <L, như:

Lệnh trên sẽ sinh ra kết quả sau, nếu ta đã cung cấp các lành ipfwadm cho bức tường lửa dòng nhập như trên: ‘

IP firewall input rules, default policy: accept

đen all 192.168.22.0/24 anywhere n/a

acc tcp anywhere - gw foo.com ftp -> 1024:65535

acc tcp anywhere gw.foo.com " £€tp-data -> 1024:65535

Tén may duge in ra, ‘gw foo.com, ứng với hệ thống cục bộ, có dia chi IP 192.168.37.1.Có một số thuộc tính để thay đổi hoặc mở rộng việc hiện kết quả của ipftzdm Thí dụ trên chỉ hiện chúng ở dạng đơn giản nhất

Miệt số điểm cần bổ sung cho việc quản trị các bức tường lửa bộ lọc:

Thứ tự của các quy tắc rất quan trọng: chỉ có quy tấc đầu tiên phù hợp dược sử dụng, như vậy các lệnh pfãsadr phải được sắp xếp theo đúng thứ tự mong muốn Hãy cố gắng hết mức dễ kết hợp các quy tắc với nhau (bằng cách xác định nhiều

hệ thống không thể phân tích tên đúng trước khi mạng hoạt động Vì lý do đó, hãy dùng thuộc tính -n (kết xuất dạng số) khi liệt kê các lọc ở thời điểm mạng chưa hoạt

Khi chúng ta cần thay đổi lọc trên hệ thống vận hành, cần cho thực hiện các lệnh theo đáng trình tự:

1 Đặt chính sách ngầm định của lọc là ,ienw

2 Loại bồ tất cả các quy tắc thuộc về lọc đó (thuộc tính /pẤteim -Ê)

3 Thiết lập lại tập hợp các quy lắc lọc

Đặt lại chính sách ngẩm dịnh theo giá trị mong muốn

Như vậy, địa chỉ TP nguồn được thay bằng dịa chỉ [p cục bộ và cổng nguồn được thay bằng

0005) Do việc quản trị dược lưu trữ rong các cổng được sinh một cách cục bộ (thí dụ: 6 " một cách tự động và chuyén i

phiên hoá trang, các gói dén các cổng sẽ được "giải hoá trang”

tiếp dến cho hệ thống ban đầu khởi sinh ra phiên đó

Bảng dưới đây tóm tất chức năng hoá trang cho một phiên telnet từ một máy bên trong (192.168.37.15) đến máy bên ngoài (10.42.17.8), thông qua hệ thống Linux thực hiện

Việc hoá trang được thực hí

Việc giải hoá trang dược thực hiện

đi qua lọc của bức tường lửa dòng chuyển

việc (giải) hoá trang

_—_ Hoá trang không đã như người la tưởng: một số nghị thức cần một sự châm sóc đặc

biệt, Một trong các lĩnh vực đã được tìm thấy là nghỉ thức ftp đã dược sử dụng rộng rãi, vì

nghĩ thức này dùng một phiên thứ hai (thông thường dược khởi động từ trạm xa) để vận chuyển đữ liệu thực sự Vấn đề tương tự cũng xảy ra với nghỉ thức LRC Bản cài dat hea trang

TP của Linux làm việc với các tính nắn của ácc nghi thúc đặc thù này riêng biệt qua cấc module khả nạp Một vấn để nữa là máy uỷ quyển trong suốt làm việc trên các nối mức vận chuyển, trong khi việc hoá trang được cài đặt ở mức mạng: Bản cài đãi hiện nay cố gang dụng đến việc quần trị phiên có giới hạn, song như vậy vẫn sẽ còn một số điểm yếu

Việc hoá trang có thẻ được cho phép bằng cách xác định chính sách đặc biệt cho quy tắc lọc chuyển tiếp Lệnh sau đây tạo một quy tắc mà nó làm cho mọi gói của phiên teluet di được hoá trang (cho trước địa chỉ mạng cục bộ của ta là 192.168.37.0):

ipfwadm -F ~a masquerade -P tcp ~-§ 192.168.37.1/24 \

1024:65535 -D 0.0.0.0/0 telnet : Lệnh này tạo quy tắc mà nó sẽ bắt mọi lưu thông TCP và UDP di phải dược hoá

trang Song nó cũng cho phép tất cả các gói khác (như thông báo FCMIP) được chuyển tiếp

mà không bị thay đổi, vì chúng cúng thoả mạn quy tắc này Như vậy, có lẽ tốt hơn là ta xử lý

Xin lưu ý rằng không có một "quy tắc hoá trang” nÀo, mà chỉ có các quy tac chuyển tiếp với chính sách đặc biệt, Như vậy, ta có thẻ liệt Kẻ các quy tắc với lệnh như sau:

ipfwadm -I -1

mà nó sẽ cho kết quả như sau (với thí dụ như trên):

IP firewall forward rules, default policy: accept

typ prot source destination ports

msq udp 192.168.22.0/24 anywnere any -> any

Ngoài thông tín tĩnh trên, danh sách các phiên hiện tại đang đwocj hoá trang có thể được thanh tra, Đồ là các thông tin động, thay đối liên tục, mà nó có thể dược dùng đề theo dõi các phiên nối từ ngoài dang hoạt động Lệnh vĩ 7

ipfwadm -M -1

có thể cho kết quả thí dụ nhữ sau:

IP masquerading entries

tcp 13:00.15 intl.foo.com ext2.bar-com 1017 (49001) ~> login

top 14:52.82 intl foo.com extl.bar.com 1349 (469015) -> ftp

Bảng trên chỉ ra ba phiên dược hoá trang Thông lin được dọc từ lệp gia iproctnetiip_masquerade, ma nd duce chuyển thành dạng người ta có thể đọc được qua ipfiwacin,

Tiếng kệ bít thông IP

Trong Linux, lưu thông IP có thể được thống kẻ nhờ các quy tắc thóng kê, dược định

tính mà thôi Các gối di qua các giao diện khác (thí dụ như qua chổ nối với mang trong của

ta ) sẽ không dược tính ử đây

Một số gợi ý để dùng việc thống kế cho có hiệu quả:

Đặt lại các bệ đếm tại ácc thời điểm nhất định thông qua cron, thí dụ mỗi ngày hoặc mỗi giờ Hiện tại, bộ đếm là các số nguyên không dấu 32-bit, như vậy là

nó có thể bị quay lại sau 4 GByte ,

Kết hợp các thuộc tính -l (ẹt kẻ) va -z (dat lại vẻ OQ) sé dat các bộ đếm về lạt

Ô ngay sau khi hiện giá trị hiện thời, như vậy không có gói.nào không được đếm cả

Ta sẽ nhận dược kết xuất khá hơn vứot việc đặt ácc thuộc tính -Alex có thể cùng với các thuộc tính -z (đật lại giá tr) hoặc -n (kết xuất dạng số)

Nếu ta muốn tính tất cả các lưu thông bao gồm một số nghị thức xác định, như http và ffp, ta có thể định nghĩa các quy tắc để đếm mọi lưu thông và các quy tắc

để đếm những nghỉ thức trên Sau đó chỉ cần trừ các giá trị cho nhau

Khi liệt kê các quy tắc thống kê (và các giá tương ứng) qua ip#wadm, tệp giả

#preclnetlip_acct được đọc : Sg

Thi du minh hoa:

Phần này trình bày một thí dụ hoàn chỉnh để thiết lập bộ bức tường lửa lọc gói IP tên

hệ thống Linux hoạt động như một cửa khẩu giữa Internet và mạng nẻng Lưu ý rằng thí dự mày chỉ mang tính chất mình hoạ Mặc dò nó sẽ bảo vệ mạng bên trong một mức độ nào đó song ta chưa coi đó là một giải nhấp bức tường lửa hoàn chỉnh, khổng lồ -

Thí dự được ấp dụng cho hệ thống cửa khẩu của mạng (09/2ø.com) nối với Tnternet

sử dụng giao diện 192.168.22.15 và với mạng riêng (192.168.37.01 thông qua giao điện 192.168.37.1 Hệ thống là máy phục vụ WWWV vA FTP cong cong nó có thủ gửi và nhận thự điện tử, nó hoạt động như trạm dừng thư cho mạng riêng và là máy phục vụ tên (DNS) cho vung foo.com

Các máy trên mạng riềng có thể trực tiếp sir dung telnet, WWW, fip gopher va WAIS trên Internet (mà thường không dược khuyến cáo sử dụng cấu trúc bức tường lừa như vậy) Song, lưu thông ICMP cũng được cho phép không có sự hạn chế nào (thí dụ, cho phép pín£) Lưu ý rằng aczrar/e không làm việc, vì rằng nó sử dụng các gói UDIP' đến một số cổng~-

# Kử lý cAc géi tin lua phinh

ipfwadm -I -a deny -V SIFEXTEA

ipfwadm ~I -a deny -V SIFEXTER

N —S GLOCALUET -D SANYWHERE

N o-S Ir Fa SANYWHERE

76

# Không hạn chế lưu thông bận trong mạng CỤC bộ

ipfwadm -I-a accept ~V SIFINTEPN -S SANYWHERE -D SANYWHERE ipfwadm -9 -a accept -V SUFINTERM -S SANYWHERE -D SANYWHERE

# Không han chế lưu thông TCH?P (thông khuyến khích)

ipfwadm -I -a accept -P icmp -S SANYWHERE -D SANYWHERE

ipfwadm -O -a accept -P icmp -S SANYYHERE -D SANYWHERE

ipfwadm -F ~-~a accept -P icmp -S SANYWHERE -D SANYWHERE

# ===== SỬ dụng hệ thống của ta từ bên ngoài

# Truy nhập công cộng cho e-mail ftp, WW và DNS

-S SANYWHERE -D $LOCALHOST smtp ftp www domain

ipfwadm -I -a accept -P udp \

: -S SANYWHERE ~D $LOCALHOST domain

ipfwadm -I -a accept -P tcp \

~S $ANYWHERE ~D S$LOCALHOST -ftp-data

ipfwadm -O -a accept -P tcp -S $LOCALHOST smtp ftp\

ftp-data www domain -D SANYWHERE

ipfwadm -O -a accept -P udp \ -

-S SLOCALHOST domain -D SANYWHERE

Sử dụng Internet tử bên trong mang

~ã accept -P tep SANYWHERE ftp ft

omain -$ $LOCALNET SLGCALNET

SUNPRIVPORTS

ít Q 9 Đ > HH " int we xo wn oO ~

-§ SANYWHERE ẾEp wuw telne!

-D SLOCALNET $SUMNPRIVPOR?S

ipfwadm -E -a accept -P tep \

(+S SANYAHERE ftp-data -D SLOCALNET SUNPRIVECRTS

ipfwadm -F -a accept -P udp \ -

~5 SANVWHEEE z3950 -Ð SLOCALNET SUNPRIVFORTS

Một vài nhận xét về thí dụ ở trên:

Biến SLOCALHOST sẽ chỉ được dùng nếu tên đó được ánh xạ tới hai địa chi IP tương úng, SIFFINTERN va SIFFEXTERN, thong qua tép /etc/hosts, không cẩn đến máy phục vụ tên Lệnh ipfwadm sẽ tự động tạo số lượng các quy tắc lọc cần thiết

khi tên đã cho có nhiều hơn một địa chỉ TP

- Một số quy tắc cần cho tất cả các mắy trên mạng bên trong và một số chỉ cầu cho

hệ thống cửa khẩu Trong những trương fhợp đó, hai quy tắc sẽ dwocj tạo ra, mọt cho §LOCALNET và một cho SIFFEXTERN, cùng nhau phủ hết mọi địa chỉ cần

- Khi thêm các dịch vụ, như r(ogin, sẽ cần cho phép một khoảng các cổng rộng hơn dịnh nghĩa trong SUNPRIVPORTS Đối với những löại dịch vụ như vậy, khách sử

CHƯƠNG IV

CHƯƠNG TRÌNH FIREWALL “GUARDIAN”

Chương trình Guardian là hệ thống chương trinh an ninh truy

nhập trên Internet Chương trinh sử dụng cơ chế lọc với những chức

năng an toàn cao và giao diện thân thiện cho người dùng để thiết lập

cấu hình và quản trị mạng Chương trình Guardian cung cấp các chức

năng quản trị mạng trung tâm nhằm bảo vệ mạng cục bộ Các chức năng này có thể được thiết lập hộp công cụ quản trị hệ thống mạng

Nhờ có hộp công cụ nảy người quản trị hệ thống có thể hạn chế mức

độ truy nhập của người sử dụng vào mạng riêng cần bảo vệ, hạn chế truy nhập trong những ngày, giờ cao điểm, hạn chế sử dụng những

chương trình quá lớn có sử dụng nhiều bộ nhớ tải nguyên

Chức năng chính của Guardian

- Xây dựng hệ thống an toàn và an ninh mạng

- Xây dựng cơ chế cảnh báo và truy nhập hệ thống

- Chạy các chương trình ứng dụng một cách trong suốt

- Có khả năng hễ trợ bổ sung khi mạng phải cấu trúc tại hoặc mở ˆ

rộng

Các chức năng quản trí mang:

- Quản trị bên trong mạng LAN

- Theo dõi những sự kiện nghi vẫn

- Theo dõi từng phiên liên lạc theo thời gian thực

- Điều khiển sự tắc nghẽn đường

- Agents (Định nghĩa các phiên theo dõi của Guardian) /

- Strategies (Dinh nghĩa các chiến lược theo dõi của Guardian)

Firewall - Guardian

- Firewall - Guardian

@0to15:53 11ueSad,Thu,Fii"

` CHƯƠNG V

MICROSOFT PROXY SERVER

1 GIỚI THIEU CHUNG

Trong vấn đề bảo vệ mạng máy tính những nhà nghiên cứu về an ninh

an toàn mạng đã đề cập nhiều vấn đề Mục tiẻu chung là tạo được một "bức tường lửa để ngăn chặn mọi sự truy cập bất hợp pháp trên mạng vào mang

máy tính của mình

Các kỹ thuật để xây dựng “bức tường lửa” đã, đang và sẽ tiến hành nghiên cứu cà? đặt và hoàn thiện để đáp ứng với sự phát triển của công nghệ

thông tin hiện tại và tương lai

“Thủ thuật Proxy Server là mội trone những giải pháp nhằm mục đích kiến tạo nên bức tường lửa trong việc báo vệ mạng máy tính

1 Khái niệm vẻ Proxy Scrvcr

Proxv server là một máy chủ được cấu hình lại để thực hiện việc đại

điện cho một nhóm cdc may client

Khi mét may client nao dé trén mang noi bé (private network) thực

hiện một vêu cầu đối với Ì máy ở trên mạng š ngoài (Internet) Prexy server o

trên mạng nội bộ trả lời băng cách dịch và truyền yêu cầu đó tản mạng ngoài,

baa Œ

+ + => Yêu cẩu và nhân trả lời của 1 máy ở mạng trong

T7 — Nhân yêu sáu và trả lời của máy trên mạng ngoài Hình 9 `

Va nhu vay Proxy server thực thi chức nang cửa khẩu giữa mang noi

bộ và mạng ngoài Chúng ta thiết lập cấu hình cho Proxy Server để cho phép các máy trong mạng nội bộ sử dụng ác dịch vụ từ xa tren mạng agoa (Internet)

Chức năng ở ; đây tương tự như Đanie cho phép thực thị củc yếu và du Khai

thác các dịch vụ Internet nhưng khỏng cho phép các truy nhập cat hop pháp

từ Intemet và mạng nội bộ

2, Microsoft Proxy Server

Microxom Proxy Server eM{PS) thuc thi mot cach don gin, 40 foun CAO việc triển khai các UY nhập dên mạng ngoài cho moi mot may wen mang

nai bo

ly ¬