Internet Security

Các hình thức tấn công qua mạng Internet cũng như biện pháp chung để bảo vệ, ngăn chặn những cuộc tấn công đó

MỤC LỤC

LỜI MỞ ĐẦU 3

Phần 1: AN TOÀN THÔNG TIN TRÊN MẠNG (NETWORKSECURITY) 5

1 Tổng quan về an ninh, an toàn trên mạng Internet (Internet Security) .5

2 Tại sao cần có an ninh mạng ? 6

2.1 Thực tế về sự phát triển Internet 6

2.2 Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua 7

3 Các hình thức tấn công trên mạng Internet 8

3.1 Tấn công trực tiếp 8

3.2 Nghe trộm trên mạng 8

3.3 Giả mạo địa chỉ IP 9

3.4 Vô hiệu hoá các chức năng của hệ thống 9

3.5 Lỗi của người quản trị hệ thống 10

3.6 Tấn công vào các yếu tố con người 10

3.7 Một số kiểu tấn công khác 11

4 Phân loại kẻ tấn công 11

5 Phương pháp chung ngăn chặn các kiểu tấn công 12

6 Phương thức mã hóa - bảo mật thông tin 14

6.1 Đặc điểm chung của các phương thức mã hóa 14

6.2 Các phương thức mã hóa 17

Phần 2: KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL 21

1 Lịch sử 21

2 Định nghĩa FireWall 23

3 Phân loại FireWall 24

4 Sự cần thiết của FireWall 26

5 Chức năng chính của FireWall 26

6 Cấu trúc của FireWall 27

7 Các thành phần của FireWall và cơ chế hoạt động 28

8 Vai trò của FireWall 33

9 Phải chăng tường lửa rất dễ bị phá 34

10 Những hạn chế của FireWall 35

Phần 3: MÔ HÌNH VÀ ỨNG DỤNG CỦA FIREWALL 36

1 Một số mô hình Firewall thông dụng 36

1.1 Packet filtering: 36

1.2 Dual-homed host: 38

1.3 Demilitarized Zone (Screened-subnet Firewall) 39

1.4 Proxy service: 42

2 Ứng dụng 43

2.1 Quản lý xác thực (Authenti-cation) 43

2.2 Quản lý cấp quyền (Autho-rization) 44

2.3 Quản lý kế toán (Accounting management) .44

KẾT LUẬN 46

TÀI LIỆU THAM KHẢO 47

LỜI MỞ ĐẦU

INTERNET ngày nay không còn xa lạ gì với chúng ta nữa, nó đãtrở thành mạng dữ liệu công cộng làm cho việc liên lạc cá nhân, công việctrở nên thuận tiện hơn nhiều

Với lợi ích to lớn của nó, mạng Internet cùng với các công nghệliên quan đã mở ra một cánh cửa làm tăng số lượng các vụ tấn công vàonhững công ty, cơ quan và cả những cá nhân, nơi lưu giữ những dữ liệunhạy cảm như bí mật quốc gia, số liệu tài chính, số liệu cá nhân Hậu quảcủa các cuộc tấn công này có thể chỉ là phiền phức nhỏ, nhưng cũng cóthể làm các dữ liệu quan trọng bị xóa, sự riêng tư bị xâm phạm và chỉ sauvài ngày, thậm chí vài giờ sau, toàn bộ hệ thống có thể bị tê liệt hoàntoàn…

Do đó, song song với việc phát triển và khai thác các dịch vụ trênInternet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng

Như vậy, có thể nói việc tìm hiểu và nghiên cứu về công nghệFirewall đã và đang trở thành một vấn đề cấp thiết, đặc biệt là đối vớinhững người chuyên sâu về lĩnh vực bảo mật Trong khuôn khổ của đề ánnày, em xin trình bày khái quát về vấn đề "Internet Security" Các hìnhthức tấn công qua mạng Internet cũng như biện pháp chung để bảo vệ,ngăn chặn những cuộc tấn công đó Và đi sâu vào nghiên cứu một loạithiết bị bảo vệ mạng khỏi thế giới bên ngoài đó là bức tường lửa

(Firewall)

Nội dung của đề án bao gồm 3 phần:

Phần1: An toàn thông tin trên mạng.

Phần2: Khái niệm và chức năng của Firewall.

Phần3: Mô hình và ứng dụng của Firewall.

Trong quá trình thực hiện đề án do còn hạn chế về nhiều mặt nênkhông thể tránh khỏi có những sai sót, em rất mong nhận được những ýkiến đóng góp, chỉ bảo của các thày cô và những người quan tâm đến vấn

hệ điều hành mạng Như vậy, hệ điều hành mạng có thể điều phối mộtphần của mạng và là phần mềm điều hành đơn vị quản lý nhỏ nhất trêntoàn bộ mạng.

Điều khác nhau giữa mạng máy tính và xã hội loài người là đối vớimạng máy tính chúng ta phải quản lý tài sản khi mà các ngôi nhà đều luôn

mở cửa Các biện pháp vật lý là khó thực hiện vì thông tin và thiết bị luôncần được sử dụng

Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là

ở mức cao nhất song không phải bao giờ cũng thuận lợi và không tốnkém Thường thì các hệ điều hành mạng, các thiết bị mạng sẽ lãnh tráchnhiệm lá chắn cuối cùng cho thông tin Vượt qua lá chắn này thông tinhầu như không còn được bảo vệ nữa

Gối trên nền các hệ điều hành là các dịch vụ mạng như: Thư điện tử(Email), WWW, FTP, News, làm cho mạng có nhiều khả năng cung cấpthông tin Các dịch vụ này cũng có các cơ chế bảo vệ riêng hoặc tích hợpvới cơ chế an toàn của hệ điều hành mạng

Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể

cả vô tình và hữu ý Các nội dung thông tin lưu trữ và lưu truyền trênmạng luôn là đối tượng tấn công Nguy cơ mạng luôn bị tấn công là dongười sử dụng luôn truy nhập từ xa Do đó thông tin xác thực người sửdụng như mật khẩu, bí danh luôn phải truyền đi trên mạng Những kẻ xâmnhập tìm mọi cách giành được những thông tin này và từ xa truy nhập vào

hệ thống Càng truy nhập với tư cách người dùng có quyền điều hành caothì khả năng phá hoại càng lớn

Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoánđịnh trước Nhưng tập trung lại gồm ba hướng chính sau:

 Bảo đảm an toàn cho phía server

 Bảo đảm an toàn cho phía client

 Bảo mật thông tin trên đường truyền

2 Tại sao cần có an ninh mạng ?

2.1 Thực tế về sự phát triển Internet.

Bật máy tính lên, kết nối vào mạng Internet là người sử dụng đãđến với một thế giới của thông tin, tri thức và các giao dịch điện tử Nhưvậy cũng có nghĩa là người sử dụng đã bắt đầu phải đương đầu với các vụtấn công trên đó: virus, mất cắp dữ liệu, các giao dịch tài chính Cànggiao thiệp rộng thì càng dễ bị tấn công Theo CERT (Computer EmegencyResponse Team), năm 1989 có 200 vụ tấn công, truy nhập trái phép trênmạng được báo cáo; năm 1991 có 400 vụ; năm 1993 có 1400 vụ; năm

1994 có 2241 vụ… Riêng năm 2000 có 22.000 vụ tấn công trên mạng, hếtnăm 2001 là 46.000 vụ, nhiều hơn hai lần so với năm trước Như vậy số

vụ tấn công ngày càng tăng, một phần cũng do kỹ thuật ngày càng mới

2.2 Thực trạng an ninh trên mạng ở Việt Nam trong thời gian qua.

Trong những năm vừa qua cùng với các Website nối tiếng trên thếgiới bị tấn công như (Yahoo, Amazon.com, eBay, Buy.com) các Websitecủa Việt nam cũng không nằm ngoài mục tiêu đột kích của các hacker.Gần đây nhất là vụ tấn công của các hacker vào Website của Vitranet.Thay vì hiện nội dung trang Web của mạng thông tin thương mại thị trường Việt nam lại là nội dung của trang Web có nội dung không lànhmạnh khi người sử dụng gõ vào dòng địa chỉ: http://www.vinaone.com

Tuy nhiên, do số lượng các trang Web của Việt Nam còn ít, sốlượng người sử dụng Internet chưa nhiều (cả nước có khoảng 40.000 thuêbao Internet) nên nếu có bị tấn công cũng gây thiệt hại không đáng kể.Trong thời gian qua, các đường truyền Internet của Việt Nam vốn có lưulượng rất thấp so với thế giới đã một số lần bị tắc vào các giờ cao điểm.Tuy nhiên các trang Web của nước ta lo ngại nhất là các hacker phá hoại,sửa chữa làm sai lệch thông tin chứ không sợ "dội bom"

Bản thân mạng VNN cũng đã nhiều lần bị tấn công dưới hình thứcbom thư Hàng ngàn bức thư từ nhiều địa điểm trên thế giới đã đồng loạtgửi về mạng nhưng sự tắc nghẽn không đáng kể Việc đối phó với hìnhthức tấn công này không phải là quá khó nhưng để đi tới một giải pháp tối

ưu, triệt để thì lại là vấn đề đáng bàn

Để đối phó với các hình thức tấn công từ bên ngoài, Ban điều phốimạng Internet Việt Nam cũng đã đưa ra những nghiên cứu, dự phòng Cụthể là sử dụng các thiết bị như Firewall, máy chủ uỷ quyền và tổ chứcphân cấp công việc, trách nhiệm cụ thể Các thông tin quan trọng nhấtđược lưu vào đĩa quang (hacker không xóa được) để nếu trang Web bịhacker vào làm sai lệch thì xóa toàn bộ rồi lại nạp từ đĩa quang sang.Thêm vào đó Nhà nước còn quy định các máy tính nối mạng không được

truy cập vào các cơ sở dữ liệu quan trọng, bí mật quốc gia Đồng thờikhông cho thiết lập các đường hotline (đường truy cập trực tiếp) vào cáctrang Web quan trọng nhất

3 Các hình thức tấn công trên mạng Internet.

Chương trình này có thể dễ dàng lấy được thông tin từ Internet đểgiải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trongmột từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa.Trong một số trường hợp, khả năng thành công của phương pháp nàycũng khá cao, nó có thể lên tới 30%

Phương pháp sử dụng các lỗi của các chương trình ứng dụng và bảnthân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫnđược tiếp tục để chiếm quyền truy nhập Trong một số trường hợp phươngpháp này cho phép kẻ tấn công có được quyền của người quản trị hệ

thống (root hay administrator).

3.2 Nghe trộm trên mạng.

Thông tin gửi đi trên mạng thường được luân chuyển từ máy tínhnày qua hàng loạt các máy tính khác mới đến được đích Điều đó, khiếncho thông tin của ta có thể bị kẻ khác nghe trộm Tồi tệ hơn thế, những kẻ

nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tựtạo ra và tiếp tục gửi nó đi Việc nghe trộm thường được tiến hành sau khicác hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soátđường truyền May mắn thay, chúng ta vẫn còn có một số cách để bảo vệđược nguồn thông tin cá nhân của mình trên mạng Intemet Bạn có thể mãhoá cho nguồn thông tin của mình trước khi gửi đi qua mạng Internet.Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ

là những thông tin vô nghĩa

3.3 Giả mạo địa chỉ IP.

Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năngdẫn đường trực tiếp Với cách tấn công này kẻ tấn công gửi các gói tin tớimạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà cácgói tin phải đi Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi

đi những thông tin có thể làm ảnh hưởng xấu tới bạn

3.4 Vô hiệu hoá các chức năng của hệ thống.

Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cungcấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện đượccác chức năng mà nó được thiết kế Kiểu tấn công này rất khó ngăn chặnbởi chính những phương tiện dùng để tổ chức tấn công lại chính là nhữngphương tiện dùng để làm việc và truy cập thông tin trên mạng Một thí dụ

về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trìnhđẩy ra những gói tin yêu cầu về một trạm nào đó Khi nhận được gói tin,trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi

bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của cácmáy khác đến trạm không được phục vụ

Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tàinguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và

phức tạp Do vậy loại hình tấn công này còn được gọi là kiểu tấn côngkhông cân xứng (asymmetric attack) Chẳng hạn như kẻ tấn công chỉ cầnmột máy tính PC thông thường với một modem tốc độ chậm vẫn có thểtấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hìnhphức tạp Điều này được thể hiện rõ qua các đợt tấn công vào các Websitecủa Mỹ đầu tháng 2/2000 vừa qua.

3.5 Lỗi của người quản trị hệ thống.

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuynhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng chophép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ

3.6 Tấn công vào các yếu tố con người.

Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tớinhững tổn thất hết sức khó lường Kẻ tấn công có thể liên lạc với ngườiquản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho cácphương thức tấn công khác

Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internetchính là người sử dụng Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹnăng, trình độ sử dụng máy tính, mạng Internet không cao Chính họ đãtạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thôngqua nhiều hình thức khác nhau như qua Email Kẻ tấn công gửi nhữngchương trình, virus và những tài liệu có nội dung không hữu ích hoặc sửdụng những chương trình không rõ nguồn gốc, thiếu độ an toàn Thôngthường những thông tin này được che phủ bởi những cái tên hết sức ấntượng mà không ai có thể biết được bên trong nó chứa đựng cái gì Vàđiều tồi tệ nhất sẽ xảy ra khi người sử dụng mở hay chạy nó Lúc đó cóthể thông tin về người sử dụng đã bị tiết lộ hoặc có cái gì đó đã hoạt động

tiềm ẩn trên hệ thống của bạn và chờ ngày kích hoạt mà chúng ta không

hề ngờ tới

Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào cóthể ngăn chặn một cách hữu hiệu Chỉ có phương pháp duy nhất là giáodục người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnhgiác Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệthống bảo vệ nào và chỉ có sự giáo dục cùng với tinh thần hợp tác từ phíangười sử dụng mới có thể nâng cao độ an toàn của hệ thống bảo vệ

3.7 Một số kiểu tấn công khác.

Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một

số kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các filekhi người sử dụng do vô tình trao đổi thông tin qua mạng mà người sửdụng đã tự cài đặt nó lên trên máy của mình Ngoài ra hiện nay còn rấtnhiều kiểu tấn công khác mà chúng ta còn chưa biết tới và chúng đượcđưa ra bởi những hacker

4 Phân loại kẻ tấn công.

Có rất nhiều kẻ tấn công trên mạng toàn cầu–Internet và chúng tacũng không thể phân loại chúng một cách chính xác và đầy đủ được, tuynhiên các chuyên gia đã phân chia ra mấy loại sau:

Họ là những kẻ buồn chán với công việc hàng ngày, muốn giải tríbằng cách đột nhập vào các hệ thống mạng, không chủ định phá hoại,nhưng những hành vi xâm nhập và việc họ xoá dấu vết khi rút lui có thể

vô tình làm cho hệ thống bị trục trặc

Loại này chủ định phá hoại hệ thống, vui thú khi phá hoại ngườikhác và gây ra những tác hại lớn.

Họ là những kẻ muốn khẳng định mình qua những kiểu tấn côngmới, thích đột nhập những nơi nổi tiếng, canh phòng cẩn mật

Chúng truy nhập để ăn cắp tài liệu nhằm phục vụ những mục đíchkhác nhau, để mua bán, trao đổi

Tóm lại trước vấn đề an ninh mạng, người sử dụng cần phải có biệnpháp để bảo vệ dữ liệu, tài sản và uy tín của mình, bởi máy tính của bạn

có thể bị lợi dụng bởi tin tặc Kể cả khi máy tính của bạn không có dữ liệuquan trọng thì cũng cần được bảo vệ bởi tin tặc có thể đột nhập và sửdụng nó làm bàn đạp cho các cuộc tấn công khác Đó là việc dùng máycủa người sử dụng để tấn công nơi khác, gây tổn thất về uy tín cho người

sử dụng

5 Phương pháp chung ngăn chặn các kiểu tấn công.

Để thực hiện việc ngăn chặn các truy nhập bất hợp pháp đòi hỏichúng ta phải đưa ra những yêu cầu hoạch định chính sách như: Xác địnhnhững ai có quyền sử dụng tài nguyên của hệ thống, tài nguyên mà hệthống cung cấp sẽ được sử dụng như thế nào những ai có quyền xâm nhập

hệ thống

Chỉ nên đưa ra vừa đủ quyền cho mỗi người để thực hiện công việccủa mình Ngoài ra cần xác định quyền lợi và trách nhiệm của người sửdụng cùng với quyền lợi và nghĩa vụ của người quản trị hệ thống Hiệnnay, để quản lý thông tin truy nhập từ ngoài vào trong hay từ trong ra

ngoài người ta đã thiết lập một bức tường lửa (Firewall) ngăn chặn nhữngtruy nhập bất hợp pháp từ bên ngoài đồng thời những server thông tincũng được tách khỏi các hệ thống site bên trong là những nơi không đòihỏi các cuộc xâm nhập từ bên ngoài

Các cuộc tấn công của hacker gây nhiều thiệt hại nhất thường lànhằm vào các server Hệ điều hành mạng, các phần mềm server, các CGIscript đều là những mục tiêu để các hacker khai thác các lỗ hổng nhằmtấn công server Các hacker có thể lợi dụng những lỗ hổng đó trên server

để đột kích vào các trang web và thay đổi nội dung của trang web đó,hoặc tinh vi hơn nữa là đột nhập vào mạng LAN và sử dụng server để tấncông vào bất kỳ máy tính nào trong mạng LAN đó

Vì vậy, việc đảm an toàn tuyệt đối cho phía server không phải làmột nhiệm vụ đơn giản Điều phải làm trước tiên là phải lấp kín các lỗhỗng có thể xuất hiện trong cài đặt hệ điều hành mạng, đặt cấu hình cácphần mềm server, các CGI script, cũng như phải quản lý chặt chẽ các tàikhoản của các user truy cập

Việc bảo mật thông tin cá nhân của người sử dụng truyền đi trênmạng cũng là một vấn đề cần xem xét nghiêm túc Ta không thể biết rằngthông tin của chúng ta gửi đi trên mạng có bị ai đó nghe trôm hoặc thayđổi nội dung thông tin đó không hay sử dụng thông tin của chúng ta vàocác mục đích khác Để có thể đảm bảo thông tin truyền đi trên mạng mộtcách an toàn, đòi hỏi phải thiết lập một cơ chế bảo mật

Điều này có thể thực hiện được thông qua việc mã hoá dữ liệutrước khi gửi đi hoặc thiết lập các kênh truyền tin bảo mật Việc bảo mật

sẽ giúp cho thông tin được bảo vệ an toàn, không bị kẻ khác lợi dụng.Ngày nay, trên Internet người ta đã sử dụng nhiều phương pháp bảo mậtkhác nhau như sử dụng thuật toán mã đối xứng và mã không đối xứng

(thuật toán mã công khai) để mã hoá thông tin trước khi truyền đi trênmạng Internet Tuy nhiên ngoài các giải pháp phần mềm hiện nay người

ta còn áp dụng cả các giải pháp phần cứng

Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tốcon người, chúng ta phải luôn luôn giáo dục mọi người có ý thức trongviệc sử dụng tài nguyên chung Internet, tránh những sự cố làm ảnh hưởngtới nhiều người nhiều quốc gia Bảo mật trên mạng là cả một quá trìnhđấu tranh tiềm ẩn nhưng đòi hỏi sự hợp tác của mọi người, của mọi tổchức không chỉ trong phạm vi nhỏ hẹp của một quốc gia nào mà nó baotrùm trên toàn thế giới

6 Phương thức mã hóa - bảo mật thông tin.

Một trong những biện pháp bảo mật thường sử dụng đó là áp dụngcác cơ chế mã hoá Sau đây sẽ phân tích một số cơ chế mã hoá đảm bảotính an toàn và tin cậy dữ liệu thường được sử dụng trong các dịch vụ trênmạng Internet

6.1 Đặc điểm chung của các phương thức mã hóa.

Trong các phương thức mã hóa, mỗi phương thức đều chủ yếu tậptrung giải quyết 6 vấn đề chính như sau:

.a Authentication: Hoạt động kiểm tra tính xác thực một thực thể

trong giao tiếp

.b Authorization: Hoạt động kiểm tra thực thể đó có được phép thực

hiện những quyền hạn cụ thể nào

.c Confidential: Tính bảo mật, xác định mức độ bảo mật đối với mỗi

phương thức bảo mật

.d Integrity: Tính toàn vẹn, kiểm tra tính toàn vẹn dữ liệu khi sử dụng

mỗi phương thức bảo mật cụ thể

.e Nonrepudiation: Tính không thể phủ nhận, xác định tính xác thực

của chủ thể gây ra hành động

.f Availability: Khả năng thực hiện phương thức bảo mật đó trong môi

trường và điều kiện thực tế

a) Authentication:

Là hoạt động liên quan đến kiểm tra tính đúng đắn một thực thểgiao tiếp trên mạng Một thực thể có thể là một người, một chương trìnhmáy tính, hoặc một thiết bị phần cứng Các hoạt động kiểm tra tính xácthực được đánh giá là quan trọng nhất trong các hoạt động của mộtphương thức bảo mật Một hệ thống thông thường phải thực hiện kiểm tratính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với

hệ thống Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựavào 3 mô hình chính sau: Những thông tin biết trước, những thông tin đã

có và những thông tin xác định tính duy nhất

• Với cơ chế kiểm tra dựa vào mô hình những thông tin biết trước,đối tượng cần kiểm tra cần phải cung cấp những thông tin màchúng biết Ví dụ như password, hoặc mã số thông số cá nhân pin(personal information number)

• Với cơ chế kiểm tra dựa vào mô hình những thông tin đã có, đốitượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu

Ví dụ như private key, hoặc số thẻ tín dụng

• Với cơ chế kiểm tra dựa vào mô hình những thông tin xác định tínhduy nhất, đối tượng kiểm tra cần phải có những thông tin để địnhdanh tính duy nhất của mình Ví dụ như thông qua giọng nói hoặcfingerprint

b) Authorization:

Là hoạt động kiểm tra tính hợp lệ có được cấp phát thực hiện mộthành động cụ thể hay không Do vậy hoạt động này liên quan đến các

dịch vụ cấp phát quyền truy cập, đảm bảo cho phép hoặc không cho phéptruy nhập đối với những tài nguyên đã được phân quyền cho các thực thể.Những hoạt động ở đây có thể là quyền đọc dữ liệu, viết, thi hành mộtchương trình hoặc sử dụng một thiết bị phần cứng Cơ chế thực hiệnviệc phân quyền dựa vào 2 mô hình chính sau: Mô hình acl (accesscontrol list) và mô hình dựa trên cơ chế thiết lập các chính sách (policy).

c) Confidential:

Đánh giá mức độ bảo mật, hay tính an toàn đối với mỗi phươngthức bảo mật, mức độ có thể phục hồi dữ liệu từ những người không cóquyền đối với dữ liệu đó Có thể bảo mật dữ liệu theo kiến trúc end-to-endhoặc link-by-link Với mô hình end-to-end, dữ liệu được bảo mật trongtoàn bộ quá trình xử lý, lưu truyền trên mạng Với mô hình link-by-link

dữ liệu chỉ được bảo vệ trên các đường truyền vật lý

d) Integrity:

Tính toàn vẹn: Hoạt động này đánh giá khả năng sửa đổi dữ liệu sovới dữ liệu nguyên thủy ban đầu Một phương thức bảo mật có tính toànvẹn dữ liệu khi nó đảm bảo các dữ liệu mã hóa không thể bị thay đổi nộidung so với tài liệu gốc (khi đã đượcg giải mã) và trong trường hợp những

kẻ tấn công trên mạng sửa đổi nội dung dữ liệu đã mã hóa thì không thểkhôi phục lại dạng ban đầu của dữ liệu

e) Nonreputation:

Tính không thể phủ nhận: Xác định tính xác thực của chủ thể gây rahành động có thực hiện bảo mật (ví dụ chữ ký điện tử sử dụng trong hệthống mail cho phép xác định chính xác đối tượng "ký"- người gửimessage đó.)

f) Availability:

Đánh giá tính thực thi của một phương thức bảo mật Phương thứcbảo mật đó phải có khả năng thực hiện trong thực tế đối với các hệ thốngmáy tính, dữ liệu và thực hiện với các tài nguyên phần cứng, phần mềm.Đồng thời phải đảm bảo các yêu cầu về tốc độ tính toán, khả năng chuyểnđổi, tính tương thích giữa các hệ thống khác nhau

6.2 Các phương thức mã hóa.

a Phương thức mã hóa dùng khoá bí mật (secret key crytography).

Sơ đồ sau đây minh hoạ quá trình làm việc của phương thức mã hoá

sử dụng khoá bí mật:

Phương thức mã hóa đối xứng

Đây là phương thức mã hoá đối xứng: Message ở dạng Plaintext(dạng đọc được) được mã hoá sử dụng Private Key (khoá mà chỉ có người

mã hoá mới biết được) tạo thành Message được mã hoá (Ciphertext) Ởphía nhận, Message mã hoá được giải mã cùng với Private Key mã hoában đầu thành dạng Plaintext

Điểm chú ý của phương pháp mã hoá này là việc sử dụng khoá bímật cho cả quá trình mã hoá và quá trình giải mã Do đó, nhược điểmchính của phương thức này là cần có quá trình trao đổi khoá bí mật, dẫnđến tình trạng dễ bị lộ khoá bí mật

Có hai loại mã hoá đối xứng như sau: Mã hoá theo từng khối và mãhoá theo bits dữ liệu

Encrytion

Private key

Plaintext

• Cỏc thuật toỏn mó hoỏ đối xứng theo từng khối dữ liệu(block cipher) thực hiện chia Message ở dạng Plaintextthành cỏc khối (vớ dụ 64 bits hoặc 2n bits), sau đú tiến hành

mó hoỏ từng khối này Đối với khối cuối cựng nếu khụng đủ

64 bits sẽ được bự thờm phần dữ liệu đệm (padding) Bờnnhận sẽ thực hiện giải mó theo từng khối

• Mó hoỏ theo từng bits dữ liệu (stream ciphers)

Bảng sau đõy mụ tả một số phương phỏp mó hoỏ đối xứng sử dụngkhoỏ bớ mật:

Tên thuật toán Chế độ mã hoá Chiều dài khoá

b Phương thức mó húa dựng khoỏ cụng khai (public-key crytography).

Phương thức mó húa dựng khoỏ cụng khai được phỏt minh bởiWhitfield Diffie và Martin Mellman vào năm 1975 Phương thức mó húanày sử dụng 2 khúa là Public key và Private key cú cỏc quan hệ toỏn họcvới nhau Trong đú Private key được giữ bớ mật và khụng cú khả năng bị

lộ do khụng cần phải trao đổi trờn mạng Public key khụng phải giữ bớ mật

và mọi người đều có thể nhận được khoá này Do phương thức mã hóanày sử dụng 2 khóa khác nhau, nên người ta gọi nó là phương thức mãhóa phi đối xứng Mặc dù Private key được giữ bí mật, nhưng khônggiống với "secret key" được sử dụng trong phương thức mã hóa đối xứng

sử dụng khoá bí mật do Private key không được trao đổi trên mạng

Public key và Private key tương ứng của nó có quan hệ toán họcvới nhau và được sinh ra sau khi thực hiện các hàm toán học Nhưng cáchàm toán học này luôn thoả mãn điều kiện là sao cho không thể tìm đượcPrivate key từ Public key và ngược lại Do đó, một cặp khoá Public key

và Private key tương ứng được gọi là key pair

Do có mối quan hệ toán học với nhau, một message được mã hóabằng Public key chỉ có thể giải mã được bằng Private key tương ứng MộtMessage được mã hóa bằng Private key chỉ có thể giải mã được bằngPublic Key tương ứng của nó

Thuật toán public key có tính thuận nghịch nếu nó có khả năng sửdụng cả cho bảo mật và ký điện tử Nó là không có tính thuận nghịch nếuchỉ có khả năng ký Với các thuật toán bất thuận nghịch, private key chỉ

có thể mã hóa plaintext (tức là quá trình ký) mà không có khả năng giải

mã ciphertext Một loại khác của thuật toán mã hóa public-key là hoặckhông thể mã hóa hoặc không thể ký; thuật toán này được gọi là thuậttoán key exchange (thuật toán chuyển đổi khóa)

Thuật toán public-key dựa trên mối quan hệ toán học giữa publickey và private key Bảng sau đây liệt kê các thuật toán public-key thôngdụng như sau:

t¶ngto¸nhäc

signature

ThuËtto¸n rêir¹c

signature, Key Exchange

T×mthõa sè

 DSA (digital signature algorithm), phương thức mã hóa này được

ra đời từ chuẩn DSS (digital signature standard), được giới thiệuvào năm 1994 DSA chỉ có thể ký vào một message; nó không thểdùng cho mã hóa bảo mật và key exchange

 RSA là tên của 3 nhà toán học đã tìm ra phương thức mã hóa này,

đó là Rivest, Shamir và Adleman RSA là thuật toán public-keythông dụng nhất từ trước tới nay RSA có thể sử dụng cả cho mãhóa, ký, và key exchange Chiều dài của key có thể thay đổi, thôngthường trong phạm vi từ 512 đến 2048 bits Việc lựa chọn chiều dàikey phải đảm bảo cân bằng giữa tốc độ tính toán và độ phức tạp củaphương thức mã hóa

Phương thức mã hóa phi đối xứng

Giả sử A muốn gửi cho B một Message được mã hóa theo phươngthức Public-key A sử dụng Public key của B để mã hóa Plaintext tạo

Encrytion

Public key

Private key

thành Ciphertext (A có thể nhận được Public key của B do Public key làkhoá công khai) Sau đó Ciphertext này được chuyển tới B, ở phía nhận B

sử dụng Private key của mình để giải mã Ciphertext và đọc được Messageban đầu của A

Phần 2:

KHÁI NIỆM VÀ CHỨC NĂNG CỦA FIREWALL

1 Lịch sử.

Công nghệ tường lửa bắt đầu xuất hiện vào cuối những năm 1980

khi Internet vẫn còn là một công nghệ khá mới mẻ theo khía cạnh kết nối

và sử dụng trên toàn cầu Ý tưởng đầu tiên được đã hình thành sau khihàng loạt các vụ xâm phạm nghiêm trọng đối với an ninh liên mạng xảy ravào cuối những năm 1980 Năm 1988, một nhân viên tại trung tâm nghiêncứu NASA Ames tại California gửi một bản ghi nhớ qua thư điện tử tớiđồng nghiệp rằng: "Chúng ta đang bị một con VIRUS Internet tấn công!

Nó đã đánh Berkeley, UC San Diego, Lawrence Livermore, Stanford, và

NASA Ames." Con virus được biết đến với tên Sâu Morris này đã được

phát tán qua thư điện tử và khi đó đã là một sự khó chịu chung ngay cảđối với những người dùng vô thưởng vô phạt nhất Sâu Morris là cuộc tấncông diện rộng đầu tiên đối với an ninh Internet Cộng đồng mạng đãkhông hề chuẩn bị cho một cuộc tấn công như vậy và đã hoàn toàn bị bấtngờ Sau đó, cộng đồng Internet đã quyết định rằng ưu tiên tối cao là phảingăn chặn không cho một cuộc tấn công bất kỳ nào nữa có thể xảy ra, họbắt đầu cộng tác đưa ra các ý tưởng mới, những hệ thống và phần mềmmới để làm cho mạng Internet có thể trở lại an toàn

Năm 1988, bài báo đầu tiên về công nghệ tường lửa được công bố,khi Jeff Mogul thuộc Digital Equipment Corp phát triển các hệ thống lọcđầu tiên được biết đến với tên các tường lửa lọc gói tin Hệ thống khá cơbản này đã là thế hệ đầu tiên của cái mà sau này sẽ trở thành một tínhnăng kỹ thuật an toàn mạng được phát triển cao Từ năm 1980 đến năm

1990, hai nhà nghiên cứu tại phòng thí nghiệm AT&T Bell, Dave Presetto

và Howard Trickey, đã phát triển thế hệ tường lửa thứ hai, được biến đến

với tên các tường lửa tầng mạch (circuit level firewall) Các bài báo của

Gene Spafford ở Đại học Purdue, Bill Cheswick ở phòng thí nghiệmAT&T và Marcus Ranum đã mô tả thế hệ tường lửa thứ ba, với tên gọi

tường lửa tầng ứng dụng (application layer firewall), hay tường lửa dựa proxy (proxy-based firewall) Nghiên cứu công nghệ của Marcus Ranum

đã khởi đầu cho việc tạo ra sản phẩn thương mại đầu tiên Sản phẩm này

đã được Digital Equipment Corporation's (DEC) phát hành với tên SEAL.Đợt bán hàng lớn đầu tiên của DEC là vào ngày 13 tháng 9 năm 1991 chomột công ty hóa chất tại bờ biển phía Đông của Mỹ

Tại AT&T, Bill Cheswick và Steve Bellovin tiếp tục nghiên cứu của

họ về lọc gói tin và đã phát triển một mô hình chạy được cho công ty củachính họ, dựa trên kiến trúc của thế hệ tường lửa thứ nhất của mình Năm

1992, Bob Braden và Annette DeSchon tại Đại học Nam California đã

phát triển hệ thống tường lửa lọc gói tin thế hệ thứ tư Sản phẩm có tên

“Visas” này là hệ thống đầu tiên có một giao diện với màu sắc và các biểutượng, có thể dễ dàng cài đặt thành phần mềm cho các hệ điều hành chẳng

hạn Microsoft Windows và Mac/OS của Apple và truy nhập từ các hệ điều hành đó Năm 1994, một công ty Israel có tên Check Point Software

Technologies đã xây dựng sản phẩm này thành một phần mềm sẵn sàngcho sử dụng, đó là FireWall-1 Một thế hệ thứ hai của các tường lửa proxy

đã được dựa trên công nghệ Kernel Proxy Thiết kế này liên tục được cải

tiến nhưng các tính năng và mã chương trình cơ bản hiện đang được sửdụng rộng rãi trong cả các hệ thống máy tính gia đình và thương mại.

Cisco, một trong những công ty an ninh mạng lớn nhất trên thế giới đã

phát hành sản phẩm này năm 1997

Thế hệ FireWall-1 mới tạo thêm hiệu lực cho động cơ kiểm tra sâu

gói tin bằng cách chia sẻ chức năng này với một hệ thống ngăn chặn xâmnhập

2 Định nghĩa FireWall.

Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xâydựng để ngăn chặn, hạn chế hoả hoạn Trong Công nghệ mạng thông tin,FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại

sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng nhưhạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mongmuốn

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng vàphần mềm) được đặt giữa mạng của một tổ chức, một công ty, hay mộtquốc gia (Intranet) và Internet

Trong một số trường hợp, Firewall có thể được thiết lập ở trongcùng một mạng nội bộ và cô lập các miền an toàn Ví dụ như mô hình