Giáo trình An toàn mạng

CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG  Mục tiêu: - Xác định được các thành phần của một hệ thống bảo mật - Trình bày được các hình thức tấn công vào hệ thống mạng - Hoạt động

GIÁO TRÌNH

AN TOÀN MẠNG CĂN BẢN

MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG

1 Giới thiệu: 3

1.1 Tổng quan về bảo mật hệ thống mạng 3

1.1.1 Các vấn đề chung về bảo mật hệ thống mạng 3

1.1.2 Một số khái niệm 3

1.1.3 Lịch sử bảo mật hệ thống 5

1.2 Các lỗ hổng và phương thức tấn công mạng chủ yếu 5

1.2.1 Các lỗ hổng 5

1.2.2 Một số phương thức tấn công mạng phổ biến 9

2 Bảo mật mạng: 16

2.1 Các biện pháp bảo vệ: 16

2.1.1 Sử dụng log file 16

2.1.2 Thiết lập chính sách bảo mật hệ thống: 17

2.2 Các mức bảo vệ an toàn mạng 18

2.3 Các hình thức bảo vệ (lớp Data Encrytion và firewall) 20

2.3.1 Mã hóa gói tin: 20

2.3.2 Lọc gói tin (IP packet Filteing): 21

2.3.3 NAT (Network Address Translation): 22

3 Câu hỏi và bài tập: 22

CHƯƠNG II: PACKET IP FILTER 1 Giới thiệu quy tắc kiểm tra gói tin: 23

2 Tường lửa cho hệ thống cục bộ (máy tính cá nhân) 24

2.1 TCP/IP Filtering 24

2.1.1 Giới thiệu: 24

2.1.2 Cấu hình TCP/IP Filtering 24

2.2 Windows Firewall: 25

2.2.1 Giới thiệu 25

2.2.2 Cấu hình Windows firewall và các đặc điểm: 25

3 Packet IP Filtering 29

3.1 Khái niệm 29

3.2 Ưu điểm và khuyết điểm của IP PACKET FILTERING 30

3.2.1 Ưu điểm: 30

3.2.2 Nhược điểm: 30

3.3 Các đặc điểm của IP PACKET FILTERING: 30

3.4 Cấu hình IP PACKET FILTERING 31

4 Câu hỏi và bài tập: 35

CHƯƠNG III: IP SECURITY 1 Giới thiệu: 36

1.1 Định nghĩa: 36

1.2 Mục đích của IP SEC: 36

1.3 Đặc điểm của IP SEC: 36

1.4 Các bước làm việc của IP SEC: 37

1.5 Cơ chế chứng thực Kerberos: 37

2 Các chính sách IP SEC mặc định 38

2.1 Client (Respond only): 38

2.2 Server (Request Security): 39

2.3 Secure server (Require Security): 40

3 Chính sách IP Sec: 40

3.1 Khái niệm: 40

3.2 Các thuộc tính của một IP Sec policy: 41

3.2.1 IP Filter list: 41

3.2.2 Filter action: 41

3.2.3 Authentication Methods: 42

3.2.4 Connection Type: 42

4 Cấu hình IP Sec: 42

5 Câu hỏi và bài tập: 47

CHƯƠNG IV: NETWORK ADDRESS TRANSLATION 1 Tổng quan NAT: 49

1.1 Giới thiệu: 49

1.2 Các dạng NAT: 50

1.2.1 Static NAT (NAT tĩnh): 50

1.2.2 Dynamic NAT (NAT động): 50

1.2.3 NAT giả lập hay ngụy trang (Masquerading): 51

1.3 Các thuộc tính của NAT: 52

1.4 Các thuộc tính của giao tiếp mạng sử dụng trong NAT: 54

2 Cấu hình NAT server: 57

3 Câu hỏi và bài tập: 60

CHƯƠNG V: VIRUS VÀ CÁCH PHÒNG CHỐNG 1 Tổng quan virus: 61

1.1 Giới thiệu: 61

1.2 Virus tin học 61

1.3 Ý tưởng và lịch sử 62

2 Phân loại: 63

2.1 Dựa vào đối tượng lây lan: 63

2.1.1 B-virus 63

2.1.2 F-virus 64

2.2 Dựa vào cách thức lây nhiễm, cách thức làm việc 64

2.2.1 Virus: 65

2.2.2 Sâu (worm) 65

2.2.3 Trojan – spyware: 65

3 Cách ngăn chặn và phòng tránh: 65

3.1 Nhận dạng bị lây nhiễm: 65

3.2 Ngăn chặn và tiêu diệt virus: 66

3.3 Sử dụng chương trình diệt virus: 66

3.3.1 Chương trình diệt virus thương mại (có phí): 66

3.3.2 Chương trình diệt vius miễn phí: 67

4 Câu hỏi và bài tập: 67

TÀI LIỆU THAM KHẢO 68

CHƯƠNG 1:

TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG

 Mục tiêu:

- Xác định được các thành phần của một hệ thống bảo mật

- Trình bày được các hình thức tấn công vào hệ thống mạng

- Hoạt động của người quản trị hệ thống mạng phải đảm bảo các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định, không bị tấn công bởi những kẻ phá hoại

- Có một thực tế là không một hệ thống mạng nào đảm bảo là an toàn tuyệt đối, một hệ thống dù được bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hoá bởi những kẻ có ý đồ xấu

1.1.2 Một số khái niệm

1.1.2.1 Đối tượng tấn công mạng (Intruder):

 Là những cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép

 Một số đối tượng tấn công mạng là:

o Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy nhập trên hệ thống

o Masquerader: Là những kẻ giả mạo thông tin trên mạng Có một số hình thức như giả mạo địa chỉ IP, tên miền, định danh người dùng

o Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ sniffer; sau đó dùng các công cụ phân tích và debug

để lấy được các thông tin có giá trị

 Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như: ăn cắp những thông tin có giá trị về kinh tế, phá hoại hệ thống mạng

có chủ định, hoặc cũng có thể chỉ là những hành động vô ý thức, thử nghiệm các chương trình không kiểm tra cẩn thận

1.1.2.2 Các lỗ hổng bảo mật:

 Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp

 Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp

 Mức độ ảnh hưởng của các lỗ hổng là khác nhau Có những lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng nghiêm trọng tới toàn bộ hệ thống

 Một chính sách bảo mật được coi là hoàn hảo nếu nó xây dựng gồm các văn bản pháp qui, kèm theo các công cụ bảo mật hữu hiệu và nhanh chóng giúp người quản trị phát hiện, ngăn chặn các xâm nhập trái phép

 Năm 1990: Các hình thức truyền Virus qua địa chỉ Email xuất hiện phổ biến trên mạng Internet

 Năm 1991: Phát hiện các chương trình trojans

- Cùng thời gian này sự phát triển của dịch vụ Web và các công nghệ liên quan như Java, Javascipts đã có rất nhiều các thông báo lỗi về bảo mật liên quan như: các lỗ hổng cho phép đọc nội dung các file dữ liệu của người dùng, một

số lỗ hổng cho phép tấn công bằng hình thức DoS, spam mail làm ngưng trệ dịch vụ

 Năm 1998: Virus Melisa lan truyền trên mạng Internet thông qua các trình gửi mail của Microsoft, gây những thiết hại kinh tế không nhỏ

 Năm 2000: Một loạt các Web Site lớn như yahoo.com và ebay.com bị tê liệt, ngừng cung cấp dịch vụ trong nhiều giờ do bị tấn công bởi hình thức tấn công DoS

1.2 Các lỗ hổng và phương thức tấn công mạng chủ yếu

1.2.1 Các lỗ hổng

- Như phần trên đã trình bày, các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng

có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp Ngoài ra các

lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, UNIX hoặc trong các ứng dụng mà người sử dụng thường xuyên

sử dụng như word processing, các hệ databases

- Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một

hệ thống được chia như sau:

1.2.1.1 Lỗ hổng loại C:

 Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Denial of Services - Từ chối dịch vụ) DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới Do chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp vào hệ thống nên mức độ nguy hiểm thấp

 Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và

bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này Ví dụ điển hình của phương thức tấn công DoS là các cuộc tấn công vào một số Web Site lớn làm ngưng trệ hoạt động của web site này như: www.ebay.com và www.yahoo.com

 Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối Chủ yếu hình thức tấn công này là sử dụng dịch vụ Web Giả sử trên một Web Server có những trang Web trong đó có chứa các đoạn mã Java hoặc JavaScripts, làm "treo" hệ thống của người sử dụng trình duyệt Web của Netscape bằng các bước sau:

o Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape

o Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số các cửa sổ, trong mỗi cửa sổ đó nối đến các Web Server khác nhau

Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống trong khoảng thời gian 40 giây (đối với máy client có 64 MB RAM) Đây cũng là một hình thức tấn công kiểu DoS Người sử dụng trong trường hợp này chỉ

có thể khởi động lại hệ thống

 Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu và chuyển tiếp Một số hệ thống mail không có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để thực hiện spam mail Spam mail là hành động nhằm làm tê liệt dịch vụ mail của hệ thống bằng cách gửi một số lượng lớn các message tới một địa chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch vụ Các message có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet

1.2.1.2 Lổ hổng loại B:

 Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người

sử dụng quyền đăng nhập cục bộ, người sử dụng cục bộ là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định, có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp

 Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người xâm nhập sử dụng tài khoản có quyền truy nhập vào hệ thống với một số quyền hạn nhất định dẫn đến lộ thông tin bảo mật Mức độ nguy hiểm trung bình Những lỗ hổng này thường có trong các ứng dụng của dịch vụ trên hệ thống

 Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn viết bằng C Những chương trình viết bằng C thường sử dụng một vùng đệm - một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý Những người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu Ví dụ, người sử

dụng viết chương trình nhập trường tên người sử dụng, qui định trường này dài 20 ký tự

 Khai báo này sẽ cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự

dư thừa sẽ nằm ở một vị trí không kiểm soát được trong bộ nhớ Đối với những kẻ tấn công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi một số lệnh đặc biệt trên hệ thống Thông thường, lỗ hổng này thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ

1.2.1.3 Lỗ hổng loại A:

 Các lỗ hổng này cho phép người sử dụng ở ngoài cho thể truy nhập vào hệ thống bất hợp pháp Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng

 Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy các script là cgi-bin; trong đó có một Scripts được viết sẵn để thử hoạt động của apache là test-cgi Đối với các phiên bản cũ của Apache (trước version 1.1), Biến môi trường QUERY_STRING do không được đặt trong

có dấu " (quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi

ký tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự "*", web server sẽ trả

về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các script cgi) Người sử dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống server

 Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều hành Novell: các web server này có một scripts là convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống

 Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ và phần mềm

sử dụng sẽ có thể bỏ qua những điểm yếu này

 Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này

 Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger

Hình 1.1: Mô hình phân cấp các loại lỗ hổng 1.2.2 Một số phương thức tấn công mạng phổ biến

1.2.2.1 Scanner

 Scanner là một chương trình tự động rà soát và phát hiện những điểm yếu

về bảo mật trên một trạm làm việc cục bộ hoặc trên một trạm ở xa Với chức năng này, một kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện ra những lỗ hổng về bảo mật trên một server ở xa

 Các chương trình scanner thường có một cơ chế chung là rà soát và phát hiện những port TCP/UDP được sử dụng trên một hệ thống cần tấn công từ

đó phát hiện những dịch vụ sử dụng trên hệ thống đó Sau đó các chương trình scanner ghi lại những đáp ứng trên hệ thống ở xa tương ứng với các dịch vụ mà nó phát hiện ra Dựa vào những thông tin này, những kẻ tấn công có thể tìm ra những điểm yếu trên hệ thống

 Những yếu tố để một chương trình Scanner có thể hoạt động như sau:

o Yêu cầu về thiết bị và hệ thống: Một chương trình Scanner có thể hoạt động được nếu môi trường đó có hỗ trợ TCP/IP (bất kể hệ thống là UNIX, máy tính tương thích với IBM, hoặc dòng máy Macintosh)

o Hệ thống đó phải kết nối vào mạng Internet

 Tuy nhiên không phải đơn giản để xây dựng một chương trình Scanner, những kẻ phá hoại cần có kiến thức sâu về TCP/IP, những kiến thức về lập trình C, PERL và một số ngôn ngữ lập trình shell Ngoài ra người lập trình (hoặc người sử dụng) cần có kiễn thức là lập trình socket, phương thức hoạt động của các ứng dụng client/server

 Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng Đối với người quản trị mạng những thông tin này là hết sức hữu ích và cần thiết; đối với những kẻ phá hoại những thông tin này sẽ hết sức nguy hiểm

1.2.2.2 DOS và DDOS:

 DOS là chữ viết tắt của Denial of Services (hình thức tấn công từ chối dịch vụ) và DDOS là Distributed Denial of Services (tấn công từ chối dịch vụ phân tán) Đây là một trong những dạng tấn công nguy hiểm đối với hệ thống mạng

 Đây là một kiểu tấn công làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể thậm chi không thể sử dụng được với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Kẻ phá hoại gửi một lượng rất lớn gói tin yêu cầu truy xuất làm hệ

thống phải trả lời liên tục cùng một nội dung, chiếm nhiều băng tần gây trễ

hệ thống, năng hơn nữa là từ chối dịch vụ

 Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng mục tiêu của kẻ tấn công là làm gián đoạn khả năng truy cập dịch vụ của người dùng thông thường thậm chí từ chối dịch vụ, là giảm uy tín của các nhà cung cấp dịch vụ, hoặc gây hỏng hóc thiết bị vật lý khi làm việc ở cường độ cao

 Một số dạng tấn công thuộc loại này: Smurf, Buffer overflow, Ping of Death, Teardrop, SYN

1.2.2.3 Password Cracker

 Khi đăng nhập vào hệ thống ta cần phải có 1 tài khoản (Username và Password), thông thường password được mã hóa, hầu hết việc mã hoá các mật khẩu được tạo ra từ một phương thức mã hoá Các chương trình mã hoá sử dụng các thuật toán mã hoá để mã hoá mật khẩu Password cracker

là một chương trình có khả năng giải mã một mật khẩu đã được mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống

 Yếu tố về thiết bị phần cứng: Trong tình hình phát triển của máy tính hiên nay, với công nghệ cao, ta đã cho ra đời các máy tính tốc độ tính toán rất cao, và khi được dùng để thực hiện các chương trình phá khoá trở nên rất nhanh Trong thực tế yêu cầu các thiết bị phần cứng rất mạnh đối với những kẻ phá khoá chuyên nghiệp Một phương thức khác có thể thay thế

là thực hiện việc phá khoá trên một hệ thống phân tán; do vậy giảm bớt được các yêu cầu về thiết bị so với phương pháp làm tại một máy mà tốc

độ nhanh hơn rất nhiều

 Đến giai đoạn cuối cùng, nếu thấy phù hợp với mật khẩu đã được mã hoá,

kẻ phá khoá sẽ có được mật khẩu dạng text thông thường Trong hình trên, mật khẩu dạng text thông thường được ghi vào một file

 Nguyên tắc của một số chương trình phá khoá có thể khác nhau Một vài chương trình tạo một một danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá, từ kết quả so sánh với password đã mã hoá cần bẻ khoá để tạo

ra một danh sách khác theo một lôgic của chương trình, cách này tuy không chuẩn tắc nhưng khá nhanh vì dựa vào nguyên tắc khi đặt mật khẩu người sử dụng thường tuân theo một số qui tắc để thuận tiện khi sử dụng

 Để đánh giá khả năng thành công của các chương trình bẻ khoá mật khẩu

ta có công thức sau:

P = L * R / S

Trong đó:

P: Xác suất thành công L: Thời gian sống của một mật khẩu R: Tốc độ thử

S: Không gian mật khẩu = AM

(M là chiều dài mật khẩu)

 Ví dụ: người ta đã chứng minh được rằng nếu mật khẩu dài 8 ký tự thì xác suất phá khoá gần như = 0 Cụ thể như sau:

Nếu ta sử dụng khoảng 92 ký tự trên bàn phím có thể đặt mật khẩu, số mật khẩu có thể có là S = 928

Với tốc độ thử là 10 000 000 mật khẩu trong một giây có R = 10 000 000 Thời gian sống của một mật khẩu là 1 năm

Ta có xác suất thành công là: P = 1x 365 x 86400 x 10 000 000/928 = 6.1% Như vậy việc dò mật khẩu là không thể vì sẽ mất khoảng hơn 16 năm mới tìm ra mật khẩu chính xác

1.2.2.4 Trojans

 Dựa theo truyền thuyết cổ Hy lạp "Ngựa thành Trojan", trojans là một chương trình chạy không hợp lệ trên một hệ thống với vai trò như một chương trình hợp pháp Những chương trình này thực hiện những chức năng mà người sử dụng hệ thống thường không mong muốn hoặc không hợp pháp Thông thường, trojans có thể chạy được là do các chương trình ứng dụng hợp pháp được thực thi và nó bị thay đổi mã của nó bằng những

mã bất hợp pháp

 Các chương trình virus là một loại điển hình của Trojans Những chương trình virus che dấu các đoạn mã trong các chương trình sử dụng hợp pháp Khi những chương trình này được kích hoạt thì những đoạn mã ẩn dấu sẽ được thực thi để thực hiện một số chức năng mà người sử dụng không biết

 Một định nghĩa chuẩn tắc về các chương trình Trojans như sau: chương trình trojans là một chương trình thực hiện một công việc mà người sử dụng không biết trước, ví dụ: ăn cấp mật khẩu, copy file hoặc lộ thông tin

hệ thống mà người sử dụng không nhận thức được

 Xét về khía cạnh bảo mật trên Internet, một chương trình trojan sẽ thực hiện một vài chức năng hữu ích hoặc giúp người lập trình phát hiện những thông tin quan trọng hoặc thông tin cá nhân trên một hệ thống hoặc một vài thành phần của hệ thống đó

 Ngoài ra, một số chương trình trojans còn có thể phá huỷ hệ thống bằng cách phá hoại các thông tin trên ổ cứng (ví dụ trưòng hợp của virus Melisa lây lan qua đường thư điện tử)

 Hiện nay với nhiều kỹ thuật mới, các chương trình trojan kiểu này dễ dàng

bị phát hiện và không có khả năng phát huy tác dụng Các chương trình trojan có thể lây lan qua nhiều phương thức, hoạt động trên nhiều môi trường hệ điều hành khác nhau (từ Unix tới Windows, DOS)

 Đặc biệt trojans thường lây lan qua một số dịch vụ phổ biến như Mail, FTP hoặc qua các tiện ích, chương trình miễn phí trên mạng Internet

 Việc đánh giá mức độ ảnh hưởng của các chương trình trojans hết sức khó khăn Trong một vài trường hợp, nó chỉ đơn giản là ảnh hưởng đến các truy nhập của khách hàng như các chương trình trojans lấy được nội dung của file passwd và gửi mail tới kẻ phá hoại Cách thức sửa đơn giản nhất là thay thế toàn bộ nội dung của các chương trình đã bị ảnh hưởng bởi các đoạn mã trojans và thay thế các password của người sử dụng hệ thống

 Tuy nhiên với những trường hợp nghiêm trọng hơn, là những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua các chương trình trojans Ví dụ: những kẻ tấn công lấy được quyền quản trị trên hệ thống và lợi dụng nó để

phá huỷ toàn bộ hoặc một phần của hệ thống Trong trường hợp này, mức

độ ảnh hưởng là nghiêm trọng đến hệ thống

1.2.2.5 Sniffer

 Đối với bảo mật hệ thống sniffer được hiểu là các công cụ (có thể là phần cứng hoặc phần mềm) "bắt" các gói tin lưu chuyển trên mạng và từ các gói tin "bắt" được đó có thể lấy được những thông tin có giá

 Các chương trình sniffer (sniffer mềm) hoặc các thiết bị sniffer (sniffer cứng) đều thực hiện bắt các gói tin ở tầng IP trở xuống (gồm IP datagram

và Ethernet Packet) Do đó, có thể thực hiện sniffer đối với các giao thức khác nhau ở tầng mạng như TCP, UDP, IPX,

 Mặt khác, giao thức ở tầng IP được định nghĩa công khai, và cấu trúc các trường header rõ ràng, nên việc giải mã các gói tin này không khó khăn Mục đích của các chương trình sniffer đó là thiết lập chế độ promiscuous (mode dùng chung) trên các card mạng ethernet - nơi các gói tin trao đổi trong mạng - từ đó "bắt" được thông tin Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trên mạng là dựa vào nguyên tắc broadcast (quảng bá) các gọi tin trong mạng Ethernet

 Trên hệ thống mạng, dữ liệu không chuyển đến một hướng mà được lưu chuyển theo mọi hướng Ví dụ khi một trạm làm việc cần được gửi một thông báo đến một trạm làm việc khác trên cùng một segment mạng, một yêu cầu từ trạm đích được gửi tới tất cả các trạm làm việc trên mạng để xác định trạm nào là trạm cần nhận thông tin (trạm đích) Cho tới khi trạm nguồn nhận được thông báo chấp nhận từ trạm đích thì luồng dữ liệu sẽ được gửi đi Theo đúng nguyên tắc, những trạm khác trên segment mạng sẽ

bỏ qua các thông tin trao đổi giữa hai trạm nguồn và trạm đích xác định Tuy nhiên, các trạm khác cũng không bị bắt buộc phải bỏ qua những thông tin này, do đó chúng vẫn có thể "nghe" được bằng cách thiết lập chế độ promiscous mode trên các card mạng của trạm đó Sniffer sẽ thực hiện công việc này

 Một hệ thống sniffer có thể kết hợp cả các thiết bị phần cứng và phần mềm, trong đó hệ thống phần mềm với các chế độ debug thực hiện phân tích các gói tin "bắt" được trên mạng

 Hệ thống sniffer phải được đặt trong cùng một segment mạng (network block) cần nghe lén

Hình 1.2: Sơ đồ hoạt động của Sniffer

 Phương thức tấn công mạng dựa vào các hệ thống sniffer là rất nguy hiểm

vì nó được thực hiện ở các tầng rất thấp trong hệ thống mạng Với việc thiết lập hệ thống sniffer cho phép lấy được toàn bộ các thông tin trao đổi trên mạng Các thông tin đó có thể là:

o Các tài khoản và mật khẩu truy nhập

o Các thông tin nội bộ hoặc có giá trị cao

 Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềm sniffer Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng phải hiểu sâu về kiến trúc, các giao thức mạng

 Mặc khác, số lượng các thông tin trao đổi trên mạng rất lớn nên các dữ liệu

do các chương trình sniffer sinh ra khá lớn Thông thường, các chương trình sniffer có thể cấu hình để chỉ thu nhập từ 200 - 300 bytes trong một gói tin, vi thường những thông tin quan trọng như tên người dùng, mật khẩu nằm ở phần đầu gói tin

 Trong một số trường hợp quản trị mạng, để phân tích các thông tin lưu chuyển trên mạng, người quản trị cũng cần chủ động thiết lập các chương trình sniffer, với vai trò này sniffer có tác dụng tốt

 Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì sniffer hoạt động

ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũng như các dịch vụ

hệ thống đó cung cấp Một số biện pháp sau chỉ có tác dụng kiểm tra hệ thống như:

o Kiểm tra các tiến trình đang thực hiện trên hệ thống (bằng lệnh ps trên Unix hoặc trình quản lý tài nguyên trong Windows NT) Qua đó kiểm tra các tiến trình lạ trên hệ thống; tài nguyên sử dụng, thời gian khởi tạo tiến trình để phát hiện các chương trình sniffer

o Sử dụng một vài tiện ích để phát hiện card mạng có chuyển sang chế đố promiscous hay không Những tiện ích này giúp phát hiện hệ thống của bạn có đang chạy sniffer hay không

 Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng không quá khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:

o Không cho người lạ truy nhập vào các thiết bị trên hệ thống

2.1.2 Thiết lập chính sách bảo mật hệ thống:

2.1.2.1 Xác định đối tượng cần bảo vệ

 Đây là mục tiêu đầu tiên và quan trọng nhất trong khi thiết lập một chính sách bảo mật Người quản trị hệ thống cần xác định rõ những đối tượng nào là quan trọng nhất trong hệ thống cần bảo vệ và xác định rõ mức độ ưu tiên đối với những đối tượng đó Ví dụ các đối tượng cần bảo vệ trên một

hệ thống có thể là: các máy chủ dịch vụ, các router, các điểm truy nhập hệ thống, các chương trình ứng dụng, hệ quản trị CSDL, các dịch vụ cung cấp Trong bước này cần xác định rõ phạm vi và ranh giới giữa các thành phần trong hệ thống để khi xảy ra sự cố trên hệ thống có thể cô lập các thành phần này với nhau, dễ dàng dò tìm nguyên nhân và cách khắc phục

Có thể chia các thành phần trên một hệ thống theo các cách sau:

o Phân tách các dịch vụ tùy theo mức độ truy cập và độ tin cậy

o Phân tách hệ thống theo các thành phần vật lý như các máy chủ

o (server), router, các máy trạm (workstation)

o Phân tách theo phạm vi cung cấp dịch vụ như: các dịch vụ bên trong mạng (NIS, NFS ) và các dịch vụ bên ngoài như Web, FTP, Mail 2.1.2.2 Xác định nguy cơ đối với hệ thống:

 Các nguy cơ đối với hệ thống chính là các lỗ hổng bảo mật của các dịch vụ

hệ thống đó cung cấp Việc xác định đúng đắn các nguy cơ này giúp người quản trị mạng có thể tránh được những cuộc tấn công mạng, hoặc có biện pháp bảo vệ đúng đắn

a Các điểm truy nhập:

 Các điểm truy nhập của hệ thống bất kỳ thường đóng vai trò quan trọng đối với mỗi hệ thống vì đây là điểm đầu tiên mà người sử dụng cũng như những kẻ tấn công mạng quan tâm tới Thông thường các điểm truy nhập thường phục vụ hầu hết người dùng trên mạng, không phụ thuộc vào quyền hạn cũng như dịch vụ mà người sử dụng dùng Do đó, các điểm truy nhập thường là thành phần có tính bảo mật lỏng lẻo Mặt khác, đối với nhiều hệ thống còn cho phép người sử dụng dùng các dịch vụ như Telnet, FTP,

HTTP để truy nhập vào hệ thống, đây là những dịch vụ có nhiều lỗ hổng bảo mật

b Không kiểm soát được cấu hình hệ thống

 Không kiểm soát hoặc mất cấu hình hệ thống chiếm một tỷ lệ lớn trong số các lỗ hổng bảo mật Ngày nay, có một số lượng lớn các phần mềm sử dụng, yêu cầu cấu hình phức tạp và đa dạng hơn, điều này cũng dẫn đến những khó khăn để người quản trị nắm bắt được cấu hình hệ thống Để khắc phục hiện tượng này, nhiều hãng sản xuất phần mềm đã đưa ra những cấu hình khởi tạo mặc định, trong khi đó những cấu hình này không được xem xét kỹ lưỡng trong một môi trường bảo mật Do đó, nhiệm vụ của người quản trị là phải nắm được hoạt động của các phần mềm sử dụng, ý nghĩa của các file cấu hình quan trọng, áp dụng các biện pháp bảo vệ cấu hình như sử dụng phương thức mã hóa

c Những nguy cơ trong nội bộ mạng

 Một hệ thống không những chịu tấn công từ ngoài mạng, mà có thể bị tấn công ngay từ bên trong Có thể là vô tình hoặc cố ý, các hình thức phá hoại bên trong mạng vẫn thường xảy ra trên một số hệ thống lớn Chủ yếu với hình thức tấn công ở bên trong mạng là kẻ tấn công có thể tiếp cận về mặt vật lý đối với các thiết bị trên hệ thống, đạt được quyền truy nhập bất hợp pháp tại ngay hệ thống đó Ví dụ nhiều trạm làm việc có thể chiếm được quyền sử dụng nếu kẻ tấn công ngồi ngay tại các trạm làm việc đó

2.2 Các mức bảo vệ an toàn mạng

 Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp "rào chắn" đối với các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong các máy tính, đặc biệt là trong các server của mạng

 Hình sau mô tả các lớp rào chắn thông dụng hiện nay để bảo vệ thông tin tại các trạm của mạng:

Hình 1.3: Mô hình các lớp bảo vệ hệ thống mạng

 Như minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm:

- Lớp Access rights là lớp bảo vệ nhằm kiểm soát quyền truy nhập các tài nguyên (ở đây là thông tin) của mạng và quyền hạn (có thể thực hiện những thao tác gì) trên tài nguyên đó Hiện nay việc kiểm soát ở mức này được áp dụng đầu tiên và có tính chất quan trọng thường được kết hợp với lớp Login/password

- Lớp Login/Password hạn chế truy nhập bằng tài khoản gồm Username và mật khẩu tương ứng Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản, ít tốn kém và cũng rất có hiệu quả Mỗi người sử dụng muốn truy nhập được vào mạng sử dụng các tài nguyên đều phải có đăng ký tên và mật khẩu Người quản trị hệ thống có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng

và xác định quyền truy nhập của những người sử dụng khác tuỳ theo thời gian

và không gian

- Lớp Data Encrytion là lớp mã hóa dữ liệu sử dụng các phương pháp mã hoá (encryption) Dữ liệu được biến đổi từ dạng clear text sang dạng mã hoá theo một thuật toán nào đó nhằm bảo vệ tính bí mật của thông tin truyền trên mạng

- Lớp bảo vệ vật lý (physical protection) nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng các biện pháp truyền thống như ngăn cấm người không có nhiệm vụ vào phòng đặt máy, dùng hệ thống khoá trên máy tính, cài đặt các hệ thống báo động khi có truy nhập vào hệ thống Lớp này liên quan đến an ninh nhân sự công ty

- Lớp firewall: Cài đặt các hệ thống bức tường lửa (firewall), nhằm ngăn chặn các thâm nhập trái phép và cho phép lọc các gói tin mà ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó Thông thường được phân làm 2 loại:

 Firewall phần mềm: sử dụng phần mềm có chức năng như một firewall cài trên một máy tính, máy tính đó trở thành firewall

 Firewall phần cứng: sử dụng các thiết bị chuyên dụng (ví dụ Router) có tích hợp sẵn chương trình firewall

2.3 Các hình thức bảo vệ (lớp Data Encrytion và firewall)

2.3.1 Mã hóa gói tin:

- Sử dụng các thuật toán mã hóa để mã hóa thông tin ở dạng plain text thành encryted text Khi gói tin bị hacker bắt được cũng không biết được nội dung thông tin được gửi trên mạng, như vậy thông tin được giữ bí mật

 Nhược điểm: loại thuật toán này là có thể bị thám mã, do khóa bí mật nhiều người biết nên dễ bị lộ

 Các thuật toán mã hóa loại này là: RC4, RC5, RC6, DES, EAS, …

2.3.1.2 Chia nhỏ thông tin không thể phục hồi:

 Thông tin được sử dụng thuật toán băm (hashing code) để chia nhỏ thông tin ra, đặc điểm không thể giải mã Do đó, muốn biết được thông tin đã được mã hóa, ta phải sử dụng chính thuật toán băm chia nhỏ thông tin của mình ra sau đó so sánh thông tin đã được mã hóa ban đầu, nếu sau khi mã hóa mà giống thì ta biết được nội dung thông tin đó

 Ưu điểm: rất khó bị thám mã nên độ bảo mật cao, giá rẻ

 Nhược điểm: cơ chế phức tạp nên thuật toán này không phù hợp đễ mã hóa thông tin truyền đi trên mạng mà được dùng để mã hóa mật khấu của tài khoản

 Một số thuật toán này là: MD4, MD5, SHA, SHA-1, …

mã được

 Ưu điểm: rất khó bị thám mã vì cơ chế hoạt động phức tạp, khóa bí mật chỉ

có 1 người biết nên khó lộ thông tin, người dùng được chứng nhận bởi khóa công khai nên rất khó bị mất thông tin Loại mã hóa này phù hợp với thông tin rất quan trọng

 Nhược điểm:chậm, phức tạp nên quản lý khó khăn, nếu sử dụng ngoài Internet phải có một tổ chức đúng ra cấp 1 cặp khóa nên giá thành cao

 Thuật toán được sử dụng rộng rãi là: RSA

2.3.2 Lọc gói tin (IP packet Filteing):

 Đây là một trong những đặc điểm của firewall, cơ chế này có chức năng kiểm soát đường truyền vào và ra một hệ thống mạng cục bộ hay đường truyền giữa các mạng nội bộ dựa nguyên tắc lọc gói tin trên mô hình TCP/IP

 Nó cho phép hay cấm truy xuất giữa Internet và hệ thống nội bộ hay truy xuất giữa các mạng nội bộ qua 1 dịch vụ hay giao thức nào đó hoạt động trong mô hình TCP/IP

 Ví dụ: chỉ cho phép mạng nội bộ truy xuất ra ngoài Internet thông qua giao thức Http (dịch vụ web)

 Điều này làm giảm các truy cập bất hợp pháp ra ngoài hay vào mạng nội

bộ qua những dịch vụ hay giao thức khác Đồng thời tránh nghẽn đường truyền khi có quá nhiều yêu cầu từ ngoài vào thông qua nhiều giao thức khác nhau, nó từ chối xử lí tất cả các gói tin trừ gói tin theo giao thức mà mình cho phép

2.3.3 NAT (Network Address Translation):

 Đây cũng là một trong những đặc điểm của firewall, cơ chế này có chức năng kiểm soát đường truyền giữa mạng nội bộ và Intenet Về mặc định, nó cho phép các truy xuất từ mạng nội bộ ra ngoài Internet nhờ chuyển đổi địa chỉ private thành đia chỉ public Nó không cho phép truy xuất từ ngoài Internet vào mạng nội bộ

 Ngoài ra, ta có thể cấu hình Nat cho phép đi vào mạng nội bộ thông qua 1 giao thức nhất định nào đó nhờ cơ chế chuyển từ địa chỉ public thành private Và nó che dấu địa chỉ mạng nội bộ, ngoài Internet chỉ có thể thấy địa chỉ mạng ngoài

 Điều này làm hạn chế truy xuất vào mạng thông qua nhiều dịch vụ giảm khả năng bị tấn công từ bên ngoài

3 Câu hỏi và bài tập:

1 Trình đặc điểm các loại lỗ hổng mạng có thể bị tấn công? Mức độ nguy hiểm của từng loại lỗ hổng?

2 Trình bày một số phương thức tấn công phổ biến?

3 Trình bày các lớp bảo hệ một hệ thống mạng? Đặc điểm của các lớp này?

4 Trình bày các hình thức bảo vệ mạng? Đặc điểm của các hình thức này?

5 Trình bày các bước thực hiện tấn công hệ thống mạng dùng cơ chế Sniffer bằng chương trình Cain?

6 *Tìm hiểu một chương trinh nào đó có khả năng thực hiện các cơ chế tấn công vào

hệ thống mạng? thực hiện cách phòng chống cuộc tấn công đó?

CHƯƠNG II:

LỌC GÓI TIN (IP PACKET FILTERING)

 Mục tiêu:

- Nắm được cách thức bảo mật với lọc gói IP

- Thiết kế được các luật bảo mật với lọc gói IP cho một hệ thống mạng

 Các phần header trong gói tin TCP ở tầng Transport có 2 thuộc tính: source port

và destination port Source port qui định port nguồn để xác định chương trình

để máy đích trả lời về máy nguồn port này thường được chương trình cấp bất kỳ

Destination port qui định port của dịch vụ máy đích cung cấp cho máy nguồn, port này có qui định cụ thể Dựa vào destination port, hệ thống sẽ kiểm soát

đường truyền của gói tin truy xuất vào một máy tính cụ thể hay một hệ thống mạng nào đó

 Đối với các dịch vụ mạng cung cấp, nó được qui định bởi một con số có giá trị từ 1- 65 535 (2 byte) Có khoảng hơn 2000 dịch vụ mạng ứng với hơn 2000 port Còn hơn 60 000 port để người dùng tự định nghĩa

2 Tường lửa cho hệ thống cục bộ (máy tính cá nhân)

2.1 TCP/IP Filtering

2.1.1 Giới thiệu:

- Cho phép kiểm soát các đường truyền mạng dựa trên các cổng (port) của giao thức từ bên ngoài truy xuất vào máy tính cá nhân Nó được tích hợp ngay trên trình giao tiếp mạng (cấu hình TCP/IP)

2.1.2 Cấu hình TCP/IP Filtering

- Trong cửa sổ Properties của giao tiếp mạng, chọn Internet Protocol (TCP/IPv4), click Properties, sau đó click nút Advanced

- Trong cửa sổ Advanced TCP/IP Settings, chọn tab Options, click nút Properties

- Cửa sổ TCP/IP Filtering, check vào Enable TCP/IP Filtering (All adapters): bật chức năng lọc gói tin TCP/IP

o Port TCP: là số port của các dịch vụ sử dụng giao thức truyền file TCP

o Port UDP: là số port của các dịch vụ sử dụng giao thức truyền file UDP

o Permit All: cho phép tất cả

o Permit only: chỉ cho phép truy xuất dịch vụ có số port được cấu hình trong

khung bên dưới

o Nút Add: thêm port vào khung, Remove: xóa port khỏi khung

2.2 Windows Firewall:

2.2.1 Giới thiệu

- Windows firewall là phần mềm tường lửa được tích hợp sẵn từ phiên bản Windows XP Professional SP 2 trở về sau Nó giúp hệ thống máy tính cá nhân bảo vệ một cách cơ bản nhất các cuộc tấn công từ bên ngoài

2.2.2 Cấu hình Windows firewall và các đặc điểm:

- Trong cửa sổ Properties của giao tiếp mạng, chọn tab Advanced, click nút Settings…

- Xuất hiện cửa sổ Windows Firewall, tab General, chọn On để bật Windows Firewall, khi được bật mặc định nó khóa tất cả các đường truyền truy xuất vào

máy tính hện hành, chỉ chấp nhận những đường truyền được cấu hình trong tab

Exceptions hay Advanced Nếu Don’t allow exceptions được chọn, nó không cho phép các đường truyền được cấu hình trong tab Exceptions Chọn Off để tắt Windows Firewall

- Click OK, quan sát ta thấy giao tiếp mạng có biểu tượng ổ khóa là Windows Firewall được bật

- Trong cửa sổ Window Firewall, tab Exceptions cho phép cấu hình các đường

truyền được phép truy xuất vào hệ thống Mặc định, có một số cấu hình sẵn:

o File and Printer Sharing: cho phép truy xuất máy tính hiện hành bằng

unc/smb và máy in dùng chung (port 137, 138, 139, 445)

o Remote desktop: cho phép truy xuất bằng dịch vụ remote desktop từ ngoài

vào hệ thống

o Add program: thêm chương trình của hệ thống được cho phép sử dụng từ

ngoài

o Add port: thêm port cho phép truy xuất từ ngoài vào hệ thống

o Edit: chỉnh sửa các cấu hình có sẵn

o Trong cửa sổ Window Firewall, tab Exceptions, click nút Add Port… xuất hiện cửa sổ Add a Port Name tên bất kỳ, Port number: nhập số port được phép truy xuất vào, chọn giao thức truyền file TCP hoặc UDP Ví dụ: cho phép truy xuất dịch vụ web vào hệ thống máy tính: port 80, giao thức truyền file là TCP

o Change scope: thiết lập một số bảo mật bổ sung cho port được cấu hình

 Any computer (including those in the Internet): cho phép bất kỳ máy

tính nào, kể cả Internet

 My network (subnet) only: chỉ cho phép mạng nội bộ

 Custom list: chỉ định máy tính cụ thể được phép truy xuất

- Trong cửa sổ Window Firewall, tab Advanced: những thiết lập nâng cao,:

o Network Connection Settings: các thiết lập có sẵn để cho phép hay không

cho phép truy xuất vào hệ thống

o Security Logging: ghi lại các hoạt động truy xuất vào hệ thống: các kết nối

thành công hoặc không thành công

o ICMP: thiết lập cho phép hay không cho phép đường truyền kiểm tra kết

nối dùng lệnh ping (giao thức ICMP)

o Default Settings: trở lại cấu hình mặc định của Windows Firewall

o Trong cửa sổ Window Firewall, tab Advanced, mục Network Connection Settings click nút Settings xuất hiện cửa sổ Advanced Settings, tab Services, có sẵn một số dịch vụ, nếu cho phép truy xuất vào

hệ thống bằng dịch vụ nào chỉ việc chọn dịch vụ đó Có thể thêm dịch vụ

bằng cách click Add để thêm port

3 Packet IP Filtering

3.1 Khái niệm

 Khi một công ty có nhiều hệ thống mạng hoặc một hệ thống mạng nối ra ngoài Internet, thì việc bảo vệ chống lại sự tấn công từ bên ngoài hay từ trong nội bộ giữa cá mạng với nhau là hết sức cần thiết Để làm được điều này, ta phải xây dựng firewall hạn chế đi qua giữa các mạng hay giữa mạng nội bộ và Internet

 IP PACKET FILTERING (lọc gói tin) là một đặc điểm của firewall, thực hiện

chức năng như một Router, có tác dụng kiểm soát gói tin truyền trên mạng qua Router giữa các mạng trong nội bộ hay giữa mnajg nội bộ và Internet Nó ngăn chặn hay cho phép đi qua Router thông qua giao thức hay một dịch vụ nào đó hoạt động trong mô hình TCP/IP Ngoài ra nó còn cấm hay cho phép đi qua Router dựa trên port

 Một bộ lọc gói tin là một thiết lập cấu hình TCP/IP được thiết kế để cho phép hay

từ chối các gói tin vào và ra

 Ví dụ: cho phép mạng Internet đi vào mạng nội bộ qua dịch vụ DNS và HTTP

3.2 Ưu điểm và khuyết điểm của IP PACKET FILTERING

- Cấu hình IP PACKET FILTERING khá đơn giản, tốc độ cao, dễ thích ứng khi thực hiện cấu hình dịch vụ mới

- Bảo vệ hệ thống mạng diễn ra thông suốt với ứng dụng người dùng

- Phổ biến, hầu hết đều được tích hợp trên Router hay các hệ điều hành mạng

3.2.2 Nhược điểm:

- Làm việc dựa trên cấu hình các port nguồn và đích Nếu như các dịch được cấu hình các port không theo dạng chuẩn tắc hay theo thói quen thì việc cấu hình bộ lọc khá khó khăn Không an toàn khi một dịch vụ có thể được cấu hình với port khác làm vô hiệu hóa bộ lọc

- Không có cơ chế giám sát nên khi hệ thống bị tấn công nó cũng không biết Nếu một máy trong hệ thống bị tấn công nó sẽ là điểm “đệm” để tấn công các máy khác trong hệ thống

- Do cơ chế xác nhận máy tính trong hệ thống thông qua địa chỉ IP, nên có thể giả mạo địa chỉ Ip, cấu hình địa chỉ IP khá đơn giản và không có tính xác thực

- Nhìn chung IP PACKET FILTER được coi là không an toàn và nó chỉ là tuyến phòng thủ vòng ngoài cho một hệ thống được bảo vệ Để hệ thống được bảo vệ

an toàn hơn, ta phải kết hợp với các kỹ thuật bảo vệ khác

3.3 Các đặc điểm của IP PACKET FILTERING:

 Inbound Filters: đường truyền các gói tin đi vào Router thông qua 1 card mạng

 Outbound Filters: đường truyền các gói tin từ Router đi ra thông qua 1 card

mạng

Hình 2.1: Đặc điểm của Inbound và Outbound Filter

 Source Network: địa chỉ mạng nguồn là nơi gửi gói tin đến

 Destination Network: địa chỉ mạng đích là nơi nhận gói tin

 Protocol: là giao thức được cấu hình cho phép hay từ chối truyền qua server Source port: cổng dịch vụ nơi gửi gói tin, destination port: cổng dịch vụ nơi

nhận gói tin

3.4 Cấu hình IP PACKET FILTERING

 Ví dụ: Cấu hình IP Filter chỉ cho phép máy mạng ngoài (192.168.1.0) truy cập vào hệ thống mạng nội bộ (192168.100.0) thông qua dịch vụ web, nghĩa là chỉ cho phép đi qua Router thông qua giao thức http (port 80)

o Sau khi cấu hình, ta cần khởi động dịch vụ này lên: một hộp thoại bật lên

hỏi có muốn khởi động dịch vụ này không, nhấn nút Yes

- Ta có thể tắt, khởi động, hay khởi động lại dịch vụ này bằng cách click phải chuột:

- Trong cửa sổ Routing and Remote Access, chọn General, click phải chuột Card mạng cần cấu hình lọc gói tin, chọn Properties

- Trong cửa sổ Local Area Connection Properties, chọn nút Inbound Filters hay nút Outbound Filters, ví dụ ở đây chọn Inbound Filters

- Trong cửa sổ Inbound Filters, chưa có 1 bộ lọc nào nên chọn nút New

- Trong cửa sổ Add IP Filter, nhập địa chỉ mạng nguồn, địa chỉ mạng đích, và

giao thức TCP, port 80 (giao thức http)

o Địa chỉ mạng nguồn và địa chỉ mạng đích là Internet hoặc mạng nội bộ