Hiện nay cách mạng công nghiệp 4.0 đang phát triển mạnh mẽ trên toànthế giới. Dẫn đầu cuộc cách mạng này chính là ngành công nghệ thông tin vớinhiều cải tiến mới về nội dung và dịch vụ mới. Trong những năm gần đây có rấtnhiều sự cố an ninh mạng nghiêm trọng xảy ra trên toàn thế giới như mã độc mãhóa tống tiền, lộ lọt thông tin cá nhân ở các mạng xã hội, cho đến sự cố tại haisân bay quốc tế Nội Bài và Tân Sơn Nhất của nước ta.Sự quan tâm về an toàn thông tin an ninh mạng tại Việt Nam này càngđược xã hội cộng đồng và mọi người đặc biệt quan tâm. Một trong những giảipháp góp phần bảo vệ các cá nhân, tổ chức khỏi những nguy cơ an ninh mạng đólà sử dụng Firewall – Tường lửa. Đây là biện pháp được sử dụng phổ biến nhấthiện nay, từ chiếc máy tính cá nhân, trường học cho đến mạng doanh nghiệp,quốc gia đều có hệ thống tường lửa riêng để đảm bảo an toàn cho các thông tincá nhân, dữ liệu bí mật nhạy cảm và an toàn hệ thống mạng để đảm bảo cho hoạtđộng sản xuất.Trong số vô vàn sản phẩm Firewall đang được sử dụng thì Firewall mãnguồn mở vẫn đang được đa phần các chuyên gia tin dùng để kết hợp với cácbiện pháp khác trong hệ thống an ninh mạng. ClearOS có lẽ là một cái tên chưađược nhiều người biết đến và sử dụng tích hợp hệ thống firewall mã nguồn mở.Trong đồ án này, em sẽ tìm hiểu nghiên cứu và “xây dựng hệ thống firewallClearOS mã nguồn mở” áp dụng trong việc đảm bảo an ninh mạng, an toànthông tin (ATTT) của một đơn vị, công ty. Hiểu về các chức năng, nguyên lý,mô hình triển khai firewall. Thử nghiệm các tính năng bảo vệ an ninh mạng củafirewall mã nguồn mở,.Nội dung báo cáo gồm 3 chương:Chương 1: Tổng quan về an toàn thông tinChương 2: Giải pháp ATTT cho một công ty với firewallChương 3: Tìm hiểu firewall ClearOS mã nguồn mở Triển khai đảm bảoATTT cho một công ty
Trang 1BAN CƠ YẾU CHÍNH PHỦ
Trang 2BAN CƠ YẾU CHÍNH PHỦ
Trang 3MỤC LỤC
MỤC LỤC i
DANH MỤC KÍ HIỆU VÀ VIẾT TẮT iv
DANH MỤC HÌNH VẼ v
LỜI CẢM ƠN vii
LỜI NÓI ĐẦU viii
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1
1.1 Tổng quan về an toàn thông tin 1
1.2 Các nguyên tắc nền tảng,mục tiêu của an toàn thông tin 2
1.3 Các nguy cơ mất ATTT đối với một tổ chức, doanh nghiệp 4
1.3.1 Nguy cơ mất ATTT từ khía cạnh vật lý 5
1.3.2 Nguy cơ bị mất hỏng sửa đổi nội dung thông tin 5
1.3.3 Nguy cơ bị tấn công bởi các phần mềm độc hại 5
1.3.4 Nguy cơ xâm nhập từ lỗ hổng bảo mật 6
1.3.5 Nguy cơ xâm nhập do bị tấn công phá mật khẩu 7
1.3.6 Nguy cơ mất an toàn do sử dụng email 8
1.3.7 Nguy cơ mất an toàn trong quá trình truyền tin 8
1.3.8 Nguy cơ mất an toàn do Social Engineering 9
1.4 Một số biện pháp đảm bảo ATTT cho tổ chức, doanh nghiệp 10
1.4.1 Bảo vệ thông tin về mặt vật lý 10
1.4.2 Nhóm giải pháp về quản lý ATTT 10
1.4.3 Bảo vệ nguy cơ tấn công bởi phần mềm độc hại 10
1.4.4 Bảo vệ dưới dạng tấn công lỗ hổng bảo mật 12
1.4.5 Bảo vệ thông tin trước nguy cơ tấn công vào mật khẩu 12
1.4.6 Bảo vệ thông tin trước nguy cơ do sử dụng email 13
1.4.7 Bảo vệ thông tin trong quá trình truyền tin 13
1.4.8 Bảo vệ hệ thống bằng tường lửa (firewall) 14
CHƯƠNG 2: GIẢI PHÁP ATTT CHO MỘT CÔNG TY VỚI FIREWALL15
Trang 42.2 Chức năng của tường lửa 16
2.1.1 Quản lý giám sát lưu lượng mạng 17
2.2.2 Xác thực truy cập 17
2.2.3 Làm trung gian 18
2.2.4 Bảo vệ tài nguyên 19
2.2.5 Ghi chú và báo cáo sự kiện 19
2.3 Công nghệ tường lửa 20
2.3.1 Packet Filters 20
2.3.2 Application level gateway 22
2.3.3 Circuit-Level Gateways 23
2.3.4 Stateful Multilayer Inspection Firewalls 24
2.4 Phân loại tường lửa 25
2.4.1 Personal Firewalls 26
2.4.2 Network Firewall 27
2.4.3 UTM Firewall 27
2.4.4 Next-generation firewall 28
2.4.5 Proxy-based firewall 28
2.4.6 Web application firewall 29
2.5 Hạn chế của tường lửa 29
2.6 Giải pháp an toàn mạng với Firewall 30
2.6.1 Mô hình mạng cho công ty nhỏ 30
2.6.2 Mô hình mạng công ty có chi nhánh 31
2.6.3 Mô hình mạng công ty lớn có nhiều chi nhánh, đối tác 32
CHƯƠNG 3: TÌM HIỂU FIREWALL CLEAR OS MÃ NGUỒN MỞ - TRIỂN KHAI ĐẢM BẢO ATTT CHO MỘT CÔNG TY 33
3.1 Giới thiệu về ClearOS 33
3.2 Triển khai Firewall ClearOS đảm bảo ATTT cho công ty nhỏ 36
3.2.1 Chặn web xấu, nội dung độc hại bằng Web Proy và Content Filter 37
3.2.2 Giới hạn thời gian truy cập của nhân viên 42
Trang 53.2.3 Quản lý truy cập dịch vụ SSH 45 3.2.4 Quản lý chặn kết nối ping ICMP vào hệ thống 51 3.2.5 Báo cáo thống kê hoạt động của hệ thống, người dùng trong mạng 53
3.3 Triển khai Firewall ClearOS đảm bảo ATTT cho công ty có chi nhánh 55
KẾT LUẬN 60 TÀI LIỆU THAM KHẢO 61
Trang 6DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
1 ATTT An toàn thông tin An toàn thông tin
2 CIA Confidentiality, Integrity,
Available Xác thực, toàn vẹn, sẵn sàng
3 DoS Denial-of-service attack Tấn công từ chối dịch vụ
4 ICMP Internet Control Message
Protocol
Giao thức thông điệp điều khiển của bộ TCP/IP
5 IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
6 IP Internet Protocol Giao thức Internet
7 NGFW Next-generation firewall Tường lửa thế hệ kế tiếp
9 TCP Tranmission Control Protocol Giao thức điều khiển truyền
vận
10 UTM Unified Threat Management Giải pháp bảo mật toàn diện
Trang 7DANH MỤC HÌNH VẼ
Hình 1 1:Mô hình CIA 3
Hình 2 1: Các lớp an toàn mạng…… ……… 15
Hình 2 2: Tường lửa – Firewall 16
Hình 2 3: Packet Filters 20
Hình 2 4: Application level gateway 23
Hình 2 5: Circuit-Level Gateway 24
Hình 2 6: Stateful Multilayer Inspection 24
Hình 2 7: Personal Firewall và Network Firewall 26
Hình 2 8: UTM Firewall 27
Hình 2 9: Next Generation 28
Hình 2 10: Tường lửa dựa trên proxy - Proxy-based firewall 28
Hình 2 11: Web application firewall 29
Hình 2 12: Mô hình mạng công ty nhỏ 30
Hình 2 13: Mô hình công ty có chi nhánh 31
Hình 2 14: Mô hình côgn ty lớn có nhiều chi nhánh 32
Hình 3 1: Quá trình hình thành ClearOS……… 34
Hình 3 2: Các phiên bản ClearOS 34
Hình 3 3: Mô hình thực tế 36
Hình 3 4: Mô hình thử nghiệm 36
Hình 3 5: Chế độ Transparent Mode 37
Hình 3 6: Bật Content Filter Engine 38
Hình 3 7: Cấu hình chính sách 38
Hình 3 8: Chỉnh sửa các chính sách 39
Hình 3 9: Chỉnh sửa website muốn chặn 39
Hình 3 10: Chỉnh sửa các file muốn chặn 40
Hình 3 11: Chỉnh sửa từ khóa muốn chặn 40
Hình 3 12: Facebook bị chặn không truy cập được 41
Hình 3 13: 24h.com.vn bị chặn không truy cập được 42
Hình 3 14: Chỉnh sửa thời gian cho phép truy cập internet 43
Trang 8Hình 3 15: Chỉnh sửa ngày được truy cập internet 43
Hình 3 16: Add nhóm đối tượng áp dụng chính sách 44
Hình 3 17: Máy user không truy cập được internet ngoài giờ cho phép 45
Hình 3 18: Kiểm tra hoạt động của SSH Server 45
Hình 3 19: Tường lửa Incoming cho phép kết nối SSH từ bên ngoài 46
Hình 3 20: Kết nối SSH từ máy thật (mạng ngoài) 46
Hình 3 21: Tạo rule chặn tất cả kết nối SSH 47
Hình 3 22: Kiểm tra máy thật kết nối SSH thất bại 47
Hình 3 23: Cho phép duy nhất máy Admin kết nối SSH 48
Hình 3 24: Máy user trong mạng LAN không kết nối được SSH 49
Hình 3 25: Mấy mạng ngoài không kết nối được SSH 50
Hình 3 26: Máy Admin kết nối SSH bình thường 50
Hình 3 27: Kiểm tra ping bình thường 51
Hình 3 28: Tạo rule chặn ping 52
Hình 3 29: Kiểm tra ping thất bại 52
Hình 3 30: Tình trạng hoạt động của máy chủ ClearOS 53
Hình 3 31: Kiểm tra log hoạt động của máy chủ ClearOS 54
Hình 3 32: Thống kê truy cập mạng của user 55
Hình 3 33: Mô hình thực tế cty có chi nhánh 56
Hình 3 34: Cấu hình OpenVPN 56
Hình 3 35: Chỉnh sửa danh sách user kết nối VPN 57
Hình 3 36: Tải chứng chỉ và khóa kết nối VPN của user 57
Hình 3 37: Cấu hình chứng chỉ, khóa của user trên máy kết nối 58
Hình 3 38: Đăng nhập VPN 58
Hình 3 39: Kết nối thành công 59
Hình 3 40: Kiểm tra cấp thêm đường mạng địa chỉ IP của VPN 59
Trang 9LỜI CẢM ƠN
Để hoàn thành đồ án tốt nghiệp này, lời đầu tiên em xin gửi lời cảm ơn tới các thầy cô của Học viện kỹ thuật Mật Mã đã dạy dỗ trang bị cho em nhiều kiến thức trong những năm học tại trường
Qua đây em xin tỏ lòng biết ơn sâu sắc tời thầy Ths Bùi Việt Thắng – Viện KH-CN mật mã BCY CP, người đã tận tình giúp đỡ, truyền đạt kinh nghiệm kiến thức và định hướng để em có thể thực hiện và hoàn thành đồ án này
Sau cùng em xin gửi lời cảm ơn tới gia đình, bạn bè đã động viên và có những ý kiến đóng góp trong suốt quá trình học tập cũng như qua trình thực hiện
đồ án tốt nghiệp
Trong quá trình thực hiện đồ án, do hạn chế về kiến thực và kinh nghiệm thực tế nên đồ án của em chắc chắc sẽ tồn tại những thiếu sót, em mong nhận được
sự nhận xét, đánh giá cũng như là sự bổ sung quý giá của thầy cô và các bạn
Em xin chân thành cảm ơn!
Hà Nội, ngày 12 tháng 12 năm 2018
Sinh viên thực hiện
Giang Văn Thắng
Trang 10LỜI NÓI ĐẦU
Hiện nay cách mạng công nghiệp 4.0 đang phát triển mạnh mẽ trên toàn thế giới Dẫn đầu cuộc cách mạng này chính là ngành công nghệ thông tin với nhiều cải tiến mới về nội dung và dịch vụ mới Trong những năm gần đây có rất nhiều sự cố an ninh mạng nghiêm trọng xảy ra trên toàn thế giới như mã độc mã hóa tống tiền, lộ lọt thông tin cá nhân ở các mạng xã hội, cho đến sự cố tại hai sân bay quốc tế Nội Bài và Tân Sơn Nhất của nước ta
Sự quan tâm về an toàn thông tin an ninh mạng tại Việt Nam này càng được xã hội cộng đồng và mọi người đặc biệt quan tâm Một trong những giải pháp góp phần bảo vệ các cá nhân, tổ chức khỏi những nguy cơ an ninh mạng đó
là sử dụng Firewall – Tường lửa Đây là biện pháp được sử dụng phổ biến nhất hiện nay, từ chiếc máy tính cá nhân, trường học cho đến mạng doanh nghiệp, quốc gia đều có hệ thống tường lửa riêng để đảm bảo an toàn cho các thông tin
cá nhân, dữ liệu bí mật nhạy cảm và an toàn hệ thống mạng để đảm bảo cho hoạt động sản xuất
Trong số vô vàn sản phẩm Firewall đang được sử dụng thì Firewall mã nguồn mở vẫn đang được đa phần các chuyên gia tin dùng để kết hợp với các biện pháp khác trong hệ thống an ninh mạng ClearOS có lẽ là một cái tên chưa được nhiều người biết đến và sử dụng tích hợp hệ thống firewall mã nguồn mở Trong đồ án này, em sẽ tìm hiểu nghiên cứu và “xây dựng hệ thống firewall ClearOS mã nguồn mở” áp dụng trong việc đảm bảo an ninh mạng, an toàn thông tin (ATTT) của một đơn vị, công ty Hiểu về các chức năng, nguyên lý,
mô hình triển khai firewall Thử nghiệm các tính năng bảo vệ an ninh mạng của firewall mã nguồn mở,.Nội dung báo cáo gồm 3 chương:
Chương 1: Tổng quan về an toàn thông tin
Chương 2: Giải pháp ATTT cho một công ty với firewall
Chương 3: Tìm hiểu firewall ClearOS mã nguồn mở - Triển khai đảm bảo ATTT cho một công ty
Trang 11CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của các tổ chức, cá nhân đều được lưu trữ trên hệ thống máy tính Cùng với sự phát triển của tổ chức là những đòi hỏi ngày càng cao của môi trường hoạt động cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua mạng Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài nguyên thông tin, tài chính, danh tiếng của tổ chức, cá nhân
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của tổ chức Vì vậy an toàn thông tin là nhiệm vụ quan trọng, nặng nề
và khó đoán trước đối với các hệ thống thông tin
Tóm lại: Những thông tin, dữ liệu nhạy cảm luôn là mục tiêu để những kẻ tấn công trục lợi Bởi vậy khi xây dựng hệ thống mạng bất kỳ bạn cần phải quan tâm đến việc làm như thế nào để bảo vệ những thông tin, những dữ liệu quan trọng đó
1.1 Tổng quan về an toàn thông tin
Khái niệm: An toàn thông tin (ATTT) là các hoạt động bảo vệ tài sản
thông tin và là một lĩnh vực rộng lớn Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin,… An toàn thông tin liên quan đến hai khía cạnh đó là an toàn vật lý và an toàn về mặt
kỹ thuật
Sự cần thiết của an toàn thông tin: Hệ thống thông tin là thành phần
thiết yếu trong mọi tổ chức, doanh nghiệp và nó đem lại khả năng xử lý thông tin, là tài sản quan trọng Hầu hết các thông tin đó hiện nay đều được thu thập,
xử lý và lưu trữ bởi máy vi tính, trung tâm dữ liệu Dữ liệu đó cũng có thể được chuyển qua mạng để về trung tâm lưu trữ, đến các nhánh công ty con, hoặc gửi cho bạn bè, người thân Nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu
và rủi ro, do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm vào ngày càng nhiều, điều này làm cho các phần mềm không
Trang 12được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng
có thể dễ dàng bị lợi dụng Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn, nếu các thông tin quan trọng đó bị phá hoại, lấy cắp hoặc lọt vào tay đối thủ cạnh tranh thì cực kì nguy hiểm đến hoạt động của cơ quan, tổ chức doanh nghiệp đó Tóm lại, việc đảm bảo an toàn cho hệ thống thông tin là vô cùng quan trọng đặc biệt trong thời kì công nghệ hiện nay nó càng quan trọng hơn bao giờ hết
1.2 Các nguyên tắc nền tảng, mục tiêu của an toàn thông tin
Trong bối cảnh tiến trình hội nhập, vấn đề an toàn thông tin và bảo mật dữ liệu đang trở nên rất được quan tâm Khi cơ sở hạ tầng và các công nghệ mạng
đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về an toàn thông tin
Bảo mật hay an toàn thông tin là mức độ bảo vệ thông tin trước các mối
đe dọa về "thông tin lộ", "thông tin không còn toàn vẹn" và "thông tin không sẵn
sàng" Bảo mật hay an toàn thông tin là mức độ bảo vệ chống lại các nguy cơ về
mất an toàn thông tin như "nguy hiểm", "thiệt hại", "mất mát" và các tội phạm khác Bảo mật như là hình thức về mức độ bảo vệ thông tin bao gồm "cấu trúc"
và "quá trình xử lý" để nâng cao bảo mật An ninh mạng máy tính (Network security) là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng Các tổn hại có thể xảy ra do:
Lỗi của người sử dụng,
Các lỗ hổng trong các hệ điều hành cũng như các chương trình ứng dụng,
Các hành động hiểm độc,
Các lỗi phần cứng,
Các nguyên nhân khác từ tự nhiên
Trang 13An ninh mạng máy tính (MMT) bao gồm vô số các phương pháp được sử dụng để ngăn cản các sự kiện trên, nhưng trước hết tập trung vào việc ngăn cản:
Lỗi của người sử dụng,
Các hành động hiểm độc
Số lượng các mạng máy tính tăng lên rất nhanh Ngày càng trở thành phức tạp và phải thực hiện các nhiệm vụ quan trọng hơn Mang lại những thách thức mới cho những ai sử dụng và quản lý chúng
Sự cần thiết phải kết hợp các dịch vụ vào cùng một hạ tầng cơ sở mạng tất
cả trong một là một điều hiển nhiên, làm việc phát sinh nhanh chóng các công nghệ đưa vào các sản phẩm có liên quan đến an ninh còn mới Do các nhà quản
lý mạng phải cố gắng triển khai những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình Nên an ninh mạng trở thành một chức năng then chốt trong việc xây dựng và duy trì các mạng hiện đại của mọi tổ chức
Trang 14mà mục tiêu của việc đảm bảo an toàn thông tin của các hệ thống thông tin Bộ ba CIA cũng cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các thực hiện
an ninh Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều có thể gây hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan Tuy nhiên khó có thể đảm bảo an toàn tuyệt đối cho cả ba mục tiêu này, tùy thuộc vào mục tiêu an toàn của mỗi hệ thống thông tin sẽ có những ưu tiên với từng tiêu chí sao cho mức độ rủi ro
ở mức chấp nhận được Ví dụ: Một hệ thống xem nội dung xem trực tuyến sẽ ưu tiên tính sẵn sàng hơn hai nội dung còn lại, một hệ thống tài chính sẽ ưu tiên tính bí mật hơn, một hệ thống lưu trữ sẽ ưu tiên tính toàn vẹn hơn
Tính bí mật (Confidentiality): Bí mật là sự ngăn ngừa việc tiết lộ trái
phép những thông tin quan trọng, nhạy cảm Đó là khả năng đảm bảo mức độ bí mật cần thiết được tuân thủ và thông tin quan trọng, nhạy cảm đó được che giấu với người dùng không được cấp phép Đối với an ninh mạng thì tính bí mật rõ ràng là điều đầu tiên được nói đến và nó thường xuyên bị tấn công nhất
Tính toàn vẹn (Integrity): Toàn vẹn là sự phát hiện và ngăn ngừa việc
sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thông tin và hệ thống Có ba mục đích chính đảm bảo tính toàn vẹn:
Ngăn cản sự làm biến dạng nội dung thông tin của những người sử dụng không được phép
Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm của những người sử dụng được phép
Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài
Tính sẵn sàng (Availability): Tính sẵn sàng bảo đảm các người sử
dụng hợp pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệ thống và tới mạng Tính sẵn sàng có liên quan đến độ tin cậy của hệ thống
1.3 Các nguy cơ mất ATTT đối với một tổ chức, doanh nghiệp
Đối với mỗi hệ thống thông tin khác nhau sẽ có các nguy cơ mất ATTT khác nhau, trong phạm vi báo cáo tôi sẽ đưa ra một số nguy cơ mất ATTT đối với một tổ chức, doanh nghiệp
Trang 151.3.1 Nguy cơ mất ATTT từ khía cạnh vật lý
Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, các phần tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài Nghe có vẻ những nguy cơ này không có gì nghiêm trọng, nhưng thực sự đây là một trong những nguy cơ ảnh hưởng không hề nhỏ tới khả năng hoạt động, an toàn của hệ thống thông tin
Ví dụ: Sự cố mất điện của công ty công nghệ Việt Nam - VNG ngày
23/9/2018 đã làm gián đoạn trung tâm dữ liệu Data Center khiến cho hàng loạt các ứng dụng, trang web trên hệ thống này không thể truy cập được như Zalo, zingmp3, thanhnien.vn,…
1.3.2 Nguy cơ bị mất hỏng sửa đổi nội dung thông tin
Người dùng có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy trình tạo cơ hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin Kẻ xấu
có thể sử dụng công cụ hoặc kỹ thuật của mình để thay đổi nội dung thông tin (các file) nhằm sai lệnh thông tin của chủ sở hữu hợp pháp
Ví dụ: Nhân viên kế toán để lộ mật khẩu tài khoản truy cập vào hệ thống
nội bộ, có nhân viên khác vào tài khoản của nhân viên kế toán sửa đổi làm sai lệch dữ liệu bảng lương Điều này gây sai lệch thông tin của hệ thống, ảnh hưởng tới tài chính của công ty
1.3.3 Nguy cơ bị tấn công bởi các phần mềm độc hại
Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để xâm nhập vào hệ thống với các mục đích khác nhau như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware),
Virus: là một chương trình máy tính có thể tự sao chép chính nó lên
những đĩa, file khác mà người sữ dụng không hay biết Thông thừờng virus máy tính mang tính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu Chúng có các tính chất: Kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá hoại thông thường chúng sẽ tiêu diệt và phá hủy các chương trình
Trang 16và dữ liệu (tuy nhiên cũng có một số virus không gây hại như chương trình được tạo ra chỉ với mục đích trêu đùa)
Worm: Tương tự như virus nó cũng có khả năng tự nhân bản và lây lan
Điểm đặc biệt của nó là nó có thể lây lan qua hệ thống mạng còn virus thì không thể Nhiệm vụ chính của worm là phá hoại các mạng thông tin làm giảm khả năng hoạt động hay hủy hoại toàn bộ mạng đó Một điểm khác biệt nữa của worm và virus đó là nó không cần sự tác động của con người mà vẫn có thể hoạt động được Từ những đặc điểm đó khiến cho worm nguy hiểm hơn nhiều so với các virus truyền thống bởi vì nó có thể lây lan sang hàng trăm, hàng ngàn máy tính
Trojan, Spyware, Adware: Là những phần mềm được gọi là phần mềm
gián điệp, chúng không lây lan như virus Thường bằng cách nào đó (lừa đảo người sử dụng thông qua một trang web, hoặc một người cố tình gửi nó cho người khác) cài đặt và nằm vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được ra bên ngoài hoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân
Ransomware: Là phần mềm độc hại hay còn gọi là mã độc tống tiền, loại
mã độc này lây nhiễm vào máy do người dùng truy cập vào các trang độc hại, tải
về cái file có chứa mã độc, sau đó chúng sẽ lây lan qua lỗ hổng trong mạng máy tính, mã hóa các file dữ liệu trên máy và đòi tiền chuộc để được giải mã
Ví dụ: Tháng 5 năm 2017 một ransomware có tên gọi là WannaCry đã lây
nhiễm hàng triệu máy tính của hơn 100 quốc gia trên toàn thế giới, mã hóa dữ liệu trên các máy tính bị lây nhiễm qua lỗ hổng EternalBlue của dịch vụ SMB - Server Message Block (trên hệ điều hành Windows) Sự kiện này đã gây hậu quả rất nghiêm trọng cho nhiều công ty tập đoàn lớn nhỏ trên thế giới trong đó
có cả Việt Nam
1.3.4 Nguy cơ xâm nhập từ lỗ hổng bảo mật
Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằm trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài đặt trên máy tính
Trang 17Hiện, nay các lỗ hổng bảo mật được phát hiện ngày càng nhiều trong các
hệ điều hành, các web server hay các phần mềm khác, Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước
Ví dụ: lỗ hổng CVE-2018-0878 trong Windows Remote Assistance có
thể cho phép kẻ tấn công có được thông tin để xâm nhập vào hệ thống của nạn nhân Lỗ hổng này ảnh hưởng đến Microsoft Windows Server 2016, Windows Server 2012 và R2, Windows Server 2008 SP2 và R2 SP1, Windows 10 (32 và
64 bit), Windows 8.1 (32 và 64 bit) và RT 8.1 và Windows 7 (32 và 64 bit)
1.3.5 Nguy cơ xâm nhập do bị tấn công phá mật khẩu
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản mục người dùng và một mật khẩu Đôi khi người dùng khoản mục lại làm mất đi mục đích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật khẩu ra và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc của mình
Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy nhập Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người dùng quản trị chính
Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển và các số Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu trên mạng Internet như: Xavior, Authforce và Hypnopaedia Các chương trình dạng này làm việc tương đối nhanh và luôn có trong tay những
kẻ tấn công
Ví dụ: Nếu người dùng sử dụng các mật khẩu yếu, dễ đoán thì các hacker
hoàn toàn có thể tấn công dò quét mật khẩu, phá mật khẩu bằng từ điển, vét cạn
Từ đó có thể truy cập vào phá hoại ăn cắp thông tin bằng tài khoản và mật khẩu hợp lệ của nạn nhân
Trang 181.3.6 Nguy cơ mất an toàn do sử dụng email
Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giống như email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ chức cụ thể Thư điện tử đính kèm tập tin chứa virus được gửi
từ kẻ mạo danh là một đồng nghiệp hoặc một đối tác nào đó Người dùng bị tấn công bằng thư điên tử có thể bị đánh cắp mật khẩu hoặc bị lây nhiễm virus
Rất nhiều người sử dụng e-mail nhận ra rằng họ có thể là nạn nhân của một tấn công e-mail Một tấn công e-mail có vẻ như xuất phát từ một nguồn thân thiện, hoặc thậm chí là tin cậy như: một công ty quen, một người thân trong gia đình hay một đồng nghiệp Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụng một khoản mục email mới để gửi e-mail phá hoại đến người nhận Đôi khi một e-mail được gửi đi với một tiêu đề hấp dẫn như “Congratulation you’ve just won free software Những e-mail phá hoại có thể mang một tệp đính kèm chứa một virus, một sâu mạng, phần mềm gián điệp hay một trojan horse Một tệp đính kèm dạng văn bản word hoặc dạng bảng tính có thể chứa một macro (một chương trình hoặc một tập các chỉ thị) chứa mã độc Ngoài ra, e-mail cũng có thể chứa một liên kết tới một web site giả
Ví dụ: Tin tặc có thể gửi email kèm virut, mã độc cho nạn nhân bằng một
địa chỉ email “gần giống” với email thật mà nạn nhân thường xuyên liên lạc, nếu không để ý thì nạn nhân hoàn toàn có thể tải về máy những nội dung độc hại trên tạo điều kiện cho tin tắc theo dõi hoạt động và lấy trộm thông tin quan trọng của nạn nhân
1.3.7 Nguy cơ mất an toàn trong quá trình truyền tin
Trong quá trình lưu thông và giao dịch thông tin trên mạng internet nguy
cơ mất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận
Ví dụ: Tấn công nghe trộm Man in the middle (MITM) là kiểu tấn công
trong quá trình tuyền tin, kẻ tấn công sẽ đứng giữa đường trao đổi thôn tin giữa
Trang 19hai người và đọc các nội dung trao đổi qua lại giữa hai đối tượng mà hai người
đó không hề hay biết
Kết luận: Qua một số nguy cơ mất ATTT của tổ chức doanh nghiệp kể
trên ta thấy rằng chúng đều là những nguy cơ hoàn toàn có thể xảy ra và gây hậu quả nghiêm trọng tới hệ thống thông tin, tới đơn vị doanh nghiệp tổ chức ấy như:
Tổn thất về tài chính
Trách nhiệm pháp lý
Tổn thất về mặt hình ảnh
Doanh nghiệp có thể ngừng kinh doanh, thậm chí là phá sản
Những hậu quả không hề nhỏ từ những nguy cơ mất ATTT kể trên đối với các đơn vị tổ chức doanh nghiệp Sau đây chúng ta sẽ tìm hiểu một số biện pháp để giảm thiểu nguy cơ, đảm bảo an toàn cho một tổ chức, doanh nghiệp
1.3.8 Nguy cơ mất an toàn do Social Engineering
Social Engineering là phương pháp tấn công, đột nhập vào một hệ thống
của một tổ chức, công ty, Doanh nghiệp Kỹ thuật tấn công Social Engineering
là quá trình đánh lừa người dùng của hệ thống, nhằm phá vỡ hệ thống an ninh, lấy cắp dữ liệu hoặc tống tiền Nói một cách khác, Social Engineering là một trò lừa đảo rất tinh vi được thực hiện qua mạng internet, tỉ lệ thành công của hình thức này rất cao Những kẻ tấn công sử dụng kỹ thuật Social Engineering chủ
yếu nhằm vào cá nhân, các tổ chức công ty trong phạm vi hẹp Có hai hình thức
tấn công Social Engineering là:
Tấn công vào yếu tố con người: Mạo danh, xem trộm nghe trộm,…
Dựa vào yếu tố kĩ thuật: Pop up – Windows, tấn công Phishing,
mạo danh website,…
Do bản chất của cuộc tấn công này là dựa vào sự ảnh hưởng và niềm tin,
sự bất cẩn nên nó không thể phòng chống bằng firewall được Cách tốt nhất là bạn nên đào tạo cho người dùng và nhân viên của mình cảnh giác trước những mối nguy hiểm này
Trang 201.4 Một số biện pháp đảm bảo ATTT cho tổ chức, doanh nghiệp
Qua những mối nguy cơ mất ATTT cho một tổ chức doanh nghiệp được nêu ở trên, ta có thể thấy có rất nhiều vấn đề cần được thực hiện để đảm bảo cho
an toàn hệ thống thông tin, sau đây ta sẽ cùng tìm hiểu một số biện pháp có thể thực hiện để góp phần làm giảm thiểu nguy cơ và đảm bảo ATTT cho một tổ chức doanh nghiệp
1.4.1 Bảo vệ thông tin về mặt vật lý
Để bảo vệ an toàn thông tin của hệ thống cần có các thiết bị và biện pháp phòng chống các nguy cơ gây mất an toàn thông tin về khía cạnh vật lý như: Hệ thống khóa, thiết bị lưu điện, lặp đặt hệ thống điều hòa nhiệt độ và độ ẩm Luôn sẵn sàng các thiết bị chữa cháy nổ, không đặt các hóa chất gần thệ thống, thường xuyên sao lưu dữ liệu, có trung tâm dữ liệu vận hành hệ thống dự phòng Sử dụng các chính sách vận hành hệ thống đúng quy trình, an toàn và bảo mật
1.4.2 Nhóm giải pháp về quản lý ATTT
Thực hiện chính sách về quản lý ATTT để toàn bộ phòng ban, cán nhân trong tổ chức công ty doanh nghiệp, đối tác khách hàng tuân thủ thực hiện để đảm bảo an toàn trong quá trình hoạt động vận hành khai thác hệ thống, có một
Chính sách về sao lưu phục hồi
1.4.3 Bảo vệ nguy cơ tấn công bởi phần mềm độc hại
Microsoft và các hãng khác thường phát hành các bản cập nhật cho hệ điều hành của họ và người dùng nên cài đặt các bản cập nhật này khi chúng có sẵn cho máy tính của mình Những bản cập nhật này thường bao gồm các bản sửa lỗi có thể cải thiện tính bảo mật của hệ thống Một số hệ điều hành cũng
Trang 21cung cấp bản cập nhật tự động để người dùng có thể tự động nhận được các bản cập nhật ngay sau khi chúng có sẵn
Luôn cập nhật máy tính và phần mềm đang dùng: Người dùng Windows
có thể cài đặt bản cập nhật bằng cách sử dụng tính năng được gọi là "Cập nhật Windows", trong khi người dùng các sản phẩm khác có thể cài đặt bản cập nhật bằng cách sử dụng tính năng được gọi là "Cập nhật phần mềm" Nếu người dùng không quen với các tính năng này thì nên tìm kiếm trang web Microsoft và trang các hãng tương ứng để biết thêm thông tin về cách cài đặt bản cập nhật hệ thống trên máy tính của mình Ngoài hệ điều hành của máy tính, phần mềm máy tính cũng phải được cập nhật với phiên bản mới nhất Phiên bản mới hơn thường chứa bản sửa lỗi bảo mật hơn để ngăn chặn phần mềm độc hại tấn công
Sử dụng tài khoản không phải là quản trị bất cứ khi nào có thể: Hầu hết
các hệ điều hành đều cho phép người dùng tạo nhiều tài khoản người dùng trên máy tính để những người dùng khác nhau có thể có các cài đặt khác nhau Người dùng có thể thiết lập những tài khoản này để có các cài đặt bảo mật khác nhau
Ví dụ: tài khoản "quản trị" (hoặc "quản trị viên") thường có khả năng cài
đặt phần mềm mới, trong khi tài khoản "có giới hạn" hoặc "chuẩn" thường không có khả năng làm như vậy Khi duyệt web hàng ngày, bạn có thể không cần phải cài đặt phần mềm mới, vì vậy chúng tôi khuyên bạn nên sử dụng tài khoản người dùng "có giới hạn" hoặc "chuẩn" bất cứ khi nào có thể Làm điều này có thể giúp ngăn chặn phần mềm độc hại cài đặt trên máy tính của bạn và thực hiện các thay đổi trên toàn bộ hệ thống.Hãy cân nhắc mỗi khi nhấp vào liên kết hoặc tải bất cứ thứ gì về máy: Trong thế giới thực, hầu hết mọi người đều có thể hơi nghi ngờ khi bước vào tòa nhà có vẻ khả nghi với bảng hiệu trưng bày
"Máy tính miễn phí!" có đèn nhấp nháy Trên web, bạn cũng nên áp dụng mức
độ thận trọng tương tự khi truy cập vào trang web không quen thuộc tuyên bố cung cấp những thứ miễn phí
Tải xuống là một trong những cách chính khiến mọi người bị nhiễm phần mềm độc hại, vì vậy, hãy nhớ suy nghĩ thật kỹ về nội dung bạn tải xuống và nơi
Trang 22 Hãy thận trọng khi mở tệp đính kèm hoặc hình ảnh trong email: Người
dùng nên thận trọng nếu một người nào đó gửi cho mình email đáng ngờ có chứa tệp đính kèm hoặc hình ảnh Đôi khi, những email đó có thể chỉ là spam, nhưng đôi khi, những email đó có thể bí mật chứa phần mềm độc hại gây hại
Sử dụng phần mềm diệt virus: Nếu bạn cần phải tải xuống mục gì đó,
bạn nên sử dụng chương trình diệt vi rút để quét phần mềm độc hại cho bản tải xuống đó trước khi mở Phần mềm diệt vi rút cũng cho phép quét phần mềm độc hại trên toàn bộ máy tính của người dùng Nên thường xuyên quét máy tính của mình để sớm phát hiện phần mềm độc hại và ngăn chặn phần mềm độc hại đó phát tán
Sử dụng các công cụ quét phần mềm phá hoại là một cách hiệu quả để bảo
vệ hệ điều hành Mặc dù chúng có thể quét hệ thống để phát hiện virus, sâu mạng và trojan horse, nhưng chúng thường được gọi là công cụ quét virus
1.4.4 Bảo vệ dưới dạng tấn công lỗ hổng bảo mật
Một số hệ điều hành mới thường có những lỗ hổng bảo mật truy nhập internet hoặc các lỗi làm cho hệ thống bị các xung đột không mong muốn, làm cho các lệnh không hoạt động bình thường và nhiều vấn đề khác
Hiện nay nhiều kẻ xấu hay lợi dụng những lỗ hổng bảo mật để tấn công vào các hệ thống để phá hoại hoặc lấy cắp thông tin vì vậy người dùng nên thường xuyên cài đặt các bản cập nhật (updates) bảo vệ hệ thống của mình Việc cài đặt các bản cập nhật và các bản vá lỗi (patches) là cách rất hiệu quả để chống lại các tấn công trên một hệ điều hành
1.4.5 Bảo vệ thông tin trước nguy cơ tấn công vào mật khẩu
Sử dụng phương thức chứng thực tên truy cập và mật khẩu là phương pháp được dùng phổ biến đối với các hệ thống vì vậy xây dựng một chính sách
sử dụng mật tốt sẽ đạt hiệu quả cao như: Tạo một quy tắc đặt mật khẩu riêng cho mình, không nên dùng lại mật khẩu đã sử dụng, tránh những mật khẩu dễ đoán như ngày sinh, tên người thân,… thường xuyên thay đổi mật khẩu đăng nhập hệ thống để tránh trường hợp người dùng vô tình làm lộ mật khẩu hoặc kẻ xấu cố tình lấy cắp mật khẩu
Trang 23Sử dụng các ký tự mật khẩu có tính an toàn cao như: Sử dụng mật khẩu có
độ dài đủ lớn (8 ký tự trở lên) và trong đó có sử dụng các ký tự chữ in, chữ thường, ký tự đặc biệt, ký tự số,… Ví dụ: Thang_gv@195
1.4.6 Bảo vệ thông tin trước nguy cơ do sử dụng email
Trong thời gian gần đây virus hoành hành và tấn công vào các Email đã trở thành vấn đề nhức nhối đối với người sử dụng và các tổ chức gây các tổn thất nặng nề Để đảm bảo an toàn cho Email cần có ý thức bảo vệ được máy tính bằng việc tuân thủ các điều sau:
Không mở bất kỳ tập tin đính kèm được gửi từ một địa chỉ e-mail mà không biết rõ hoặc không tin tưởng
Không mở bất kỳ e-mail nào mà mình cảm thấy nghi ngờ, thậm chí cả khi email này được gửi từ bạn bè hoặc đối tác bởi hầu hết virus được lan truyền qua đường e-mail và chúng sử dụng các địa chỉ trong sổ địa chỉ (Address Book) trong máy nạn nhân để tự phát tán Do vậy, nếu không chắc chắn về một e-mail nào thì hãy tìm cách xác nhận lại từ phía người gửi
Nên xóa các e-mail không rõ hoặc không mong muốn và không forward (chuyển tiếp) chúng cho bất kỳ ai hoặc reply (hồi âm) lại cho người gửi Những e-mail này thường là thư rác (spam)
Hãy thận trọng khi tải các tập tin từ Internet về đĩa cứng của máy tính Dùng một chương trình diệt virus được cập nhật thường xuyên để kiểm tra những tập tin này Nếu nghi ngờ về một tập tin chương trình hoặc một e-mail thì đừng bao giờ mở nó ra hoặc tải về máy tính của mình Cách tốt nhất trong trường hợp này là xóa chúng hoặc không tải về máy tính của mình
Dùng một chương trình diệt virus tin cậy và được cập nhật thường xuyên như Norton Anti Virus, McAffee, Trend Micro, BKAV, D32 Sử dụng những chương trình diệt virus có thể chạy thường trú trong bộ nhớ để chúng thường xuyên giám sát các hoạt động trên máy tính và ở chức năng quét e-mail
1.4.7 Bảo vệ thông tin trong quá trình truyền tin
Để bảo vệ thông tin trong quá trình lưu thông và truyền tin trên mạng thường dùng các kỹ thuật an toàn thông tin như: mã hóa, giấu tin, thủy vân số,
Trang 241.4.8 Bảo vệ hệ thống bằng tường lửa (firewall)
Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai Nếu là phần cứng thì sử dụng bộ bộ định tuyến (router) Bộ định tuyến có các tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP (IP Address ố là sơ đồ địa chỉ hoá để định nghĩa các trạm (host) trong liên mạng) Quy trình kiểm soát cho phép định ra những địa chỉ IP có thể kết nối với mạng của tổ chức, cá nhân và ngược lại Tính chất chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc truy nhập không hợp pháp căn cứ trên địa chỉ nguồn
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet
Kết luận: Có rất nhiều nguy cơ cũng như biện pháp đảm bảo ATTT cho
một tổ chức công ty Nhưng sử dụng Firewall – tường lửa là biện pháp bảo mật tối thiểu và được áp dụng rộng rãi nhất cho việc bảo vệ ATTT, tường lửa được
sử dụng từ máy tính cá nhân cho đến trường học, công ty doanh nghiệp hay một mạng lớn như vùng, quốc gia Trong phạm vi đề tài nghiên cứu tôi sẽ trình bày biện pháp tường lửa để đảm bảo ATTT cho tổ chức công ty Tìm hiểu chi tiết về biện pháp này sẽ được trình bày trong nội dung chương 2
Trang 25CHƯƠNG 2: GIẢI PHÁP ATTT CHO MỘT CÔNG TY VỚI FIREWALL
Trong rất nhiều biện pháp đảm bảo ATTT cho một tổ chức công ty, trong phạm vi tìm hiểu nghiên cứu của đồ án xin được trình bày về giải pháp sử dụng firwall Đây là biện pháp đảm bảo an toàn tối thiểu và phổ biến nhất trong mọi hệ thống thông tin Nội dung chương này sẽ tìm hiểu về bản chất của firewall, chức năng, nguyên lý và một số mô hình triển khai cho một công ty trong thực tế
2.1 Giới thiệu về Firewall
Các máy chủ mạng thường có nhiều lớp bảo mật để tăng cường khả năng
bảo vệ dữ liệu và thông tin Lớp bảo vệ trong cùng là Access Right Lớp này
kiểm soát các tài nguyên mạng (thông tin) và các quyền (những gì người dùng
có thể làm với các tài nguyên đó) Việc điều khiển này áp dụng cho các phân vùng, thư mục và tệp Lớp tiếp theo hạn chế quyền truy cập tài khoản bao gồm
tên người dùng và mật khẩu (Password/Login) Đây là phương pháp thường
được sử dụng để bảo vệ do tính đơn giản, tiết kiệm và hiệu quả cao Quản trị viên có toàn quyền kiểm soát và quản lý hoạt động của những người dùng khác
Lớp thứ ba sử dụng một phương thức mã hóa dữ liệu (Data Encryption) Dữ
liệu được mã hóa với một thuật toán nhất định để ngay cả trong trường hợp mất
dữ liệu, tin tặc sẽ không thể đọc nó mà không có khóa mã hóa Lớp ngoài cùng
(Firewall) ngăn chặn sự xâm nhập, lọc các gói thông tin gửi đi hoặc gửi đến
không mong muốn Vậy Firewall là gì?
Trang 26Khái niệm: Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế
trong xây dựng để ngăn chặn, hạn chế hỏa hoạn.Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức, doanh nghiệp Cũng có thể hiểu firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrustednetwork)
Hình 2 2: Tường lửa – Firewall
Firewall có thể là một thiết bị phần cứng hoặc một chương trình phần mềm chạy trên máy chủ hoặc là sự kết hợp của cả hai Được thiết kế nhằm
mục đích cho phép hoặc từ chối truyền thông mạng dựa trên một bộ các quy tắc
và nó thường được sử dụng để bảo vệ mạng khỏi những truy cập trái phép đồng thời cho phép các truyền thông mạng hợp pháp đi qua Trong mọi trường hợp nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng công cộng bên ngoài như Internet Lúc đó nó như một cái “cổng” kiểm soát các luồng dữ liệu ra/vào mạng nội bộ [1]
2.2 Chức năng của tường lửa
Trước khi nghiên cứu về cách tường lửa hoạt động, chúng ta cần phải biết tường lửa có thể làm gì và không thể làm được gì Tất cả các loại tường lửa đều
có chung một số tính năng và chức năng để xác định tường lửa có thể làm gì Về mặt kỹ thuật, tường lửa thường có các chức năng cơ bản sau:
Trang 27 Quản lý và kiểm soát lưu lượng mạng
Truy cập xác thực
Bảo vệ tài nguyên
Ghi lại và báo cáo về các sự kiện
Làm trung gian
Ghi lại và báo cáo về các sự kiện
Rõ ràng một bức tường lửa thông thường chỉ là lớp bảo vệ ngoài cùng nên
nó không thể thực hiện được mọi thứ Tường lửa chỉ là một máy nhân tạo nên nó không thể phân loại thông tin là tốt hay xấu Nó chỉ có thể chặn lưu lượng truy cập với các thông số được xác định rõ ràng Hơn nữa, một bức tường lửa không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công đó không đi qua nó Về cơ bản nó không thể ngăn chặn rò rỉ thông tin khi dữ liệu được sao chép về mặt vật
lý Cuối cùng nhưng không kém phần quan trọng, tường lửa không thể đồng thời hoạt động như một trình quét virus do tốc độ xử lý, sự xuất hiện liên tục của vi-rút và mã hóa dữ liệu để che giấu virus Tuy nhiên nó vẫn là một trong những phương pháp bảo vệ được sử dụng phổ biến nhất hiện nay
2.1.1 Quản lý giám sát lưu lượng mạng
Chức năng đầu tiên và cơ bản nhất của tường lửa là kiểm soát và quản lý lưu lượng truy cập thông qua mạng Điều này có nghĩa là nó sẽ có thể xác định các gói dữ liệu nào đang đi qua, kết nối nào được thiết lập và cũng có thể kiểm soát được các lưu lượng đó trong hệ thống Tường lửa có thể thực hiện điều này bằng cách kiểm tra các gói dữ liệu và quản lý lưu lượng kết nối Căn cứ vào kết quả của cuộc kiểm tra này, nó sẽ cho phép hoặc từ chối truy cập Kiểm tra gói là quá trình xử lý dữ liệu trong một gói để xác định liệu có cho phép hoặc từ chối gói tin đó dựa trên các quy tắc truy cập và nó phải được thực hiện trên cả hai giao dịch gửi đến và đi Các yếu tố được xem xét trong kiểm tra bao gồm địa chỉ
IP, cổng, Giao thức IP và tiêu đề gói
2.2.2 Xác thực truy cập
Việc sử dụng lọc gói giúp hạn chế quyền truy cập tài nguyên từ các nguồn
Trang 28các nguồn tài nguyên quan trọng Tuy nhiên, kẻ xâm nhập có thể giả mạo địa chỉ
IP trong một mạng đáng tin cậy và sau đó có thể truy cập đầy đủ vào các tệp và
dữ liệu, tại thời điểm đó, một người cần một cơ chế bổ sung để cải thiện bảo mật Tường lửa cung cấp xác thực truy cập để loại bỏ các mối đe dọa đã đề cập
Cơ chế đơn giản nhất để xác minh là yêu cầu người dùng nhập tên người dùng và mật khẩu bất cứ khi nào họ muốn truy cập vào hệ thống Thông tin về tên người dùng và mật khẩu phải được tạo trước bởi quản trị viên trên máy chủ được yêu cầu đó Khi người dùng muốn truy cập vào một máy chủ nào đó, máy chủ đó sẽ yêu cầu người dùng nhập tên người dùng và mật khẩu, sau đó nó sẽ kiểm tra xem liệu người dùng nhập liệu có chính xác hay không Nếu máy chủ chính xác cho phép kết nối và ngược lại, đầu vào sai sẽ bị từ chối Cơ chế này không chỉ để xác minh mà còn để áp dụng chính sách bảo mật cho người dùng riêng biệt (ví dụ: cấp cho người dùng quyền chỉ đọc trong thư mục dữ liệu nhưng toàn quyền trong thư mục được chia sẻ)
Cơ chế xác thực thứ hai đang sử dụng Certificate và Public Key Lợi ích của cơ chế này so với việc sử dụng tên người dùng và mật khẩu là nó không yêu cầu sự can thiệp của người dùng Người dùng không còn cần phải chèn tên người dùng và mật khẩu nữa Sau đó hệ thống sẽ tạo một cặp khóa riêng / khóa công khai Phương pháp này có thể hữu ích khi triển khai trên quy mô lớn Bằng cách sử dụng xác thực truy cập, tường lửa cung cấp một phương thức bổ sung để đảm bảo kết nối hợp pháp Ngay cả khi gói đó có thể bỏ qua việc kiểm tra gói và lọc nhưng nó không thể được xác minh, nó cũng sẽ bị từ chối
2.2.3 Làm trung gian
Kết nối Internet là một nhu cầu thiết thực và không thể thiếu đối với các
cá nhân và tổ chức Tuy nhiên khi cho phép các máy trạm cục bộ trong mạng kết nối trực tiếp với Internet là một rủi ro Người dùng (client) có thể vô tình hoặc
cố ý tải xuống nội dung độc hại gây nguy hiểm cho hệ thống mạng
Giải pháp cho vấn đề này là thay vì cho phép các máy tính cục bộ kết nối trực tiếp với Internet, chúng ta sửa đổi tường lửa thành thiết bị trung gian sang Internet Vào thời điểm đó, một bức tường lửa hoạt động như một Proxy Server
Trang 29Quy trình làm việc của máy chủ proxy có thể được mô tả như sau: Khi một client muốn truy cập Internet, ví dụ truy cập trang web http://www.abc.com, client đó sẽ gửi yêu cầu đến Máy chủ proxy thay vì máy chủ web Proxy Server
sẽ chấp nhận yêu cầu đó và nếu nó đủ điều kiện, yêu cầu sẽ được xử lý Sau đó Proxy Server thu thập thông tin về trang web http://www.abc.com Thông tin được thu thập sẽ được kiểm tra và sau đó được trả lại cho client
Các máy trạm cục bộ hầu như không nhận ra khi có Proxy Server vì nó gần như trong suốt Lợi ích của Proxy Server bao gồm hiệu quả sử dụng của mạng sẽ tăng lên Hơn nữa tất cả các yêu cầu được gửi đến Internet thông qua địa chỉ IP của Proxy Server và tất cả các phản hồi từ Internet đều được kiểm tra virus, phần mềm độc hại và Trojan trước khi được chuyển lại cho khách hàng
2.2.4 Bảo vệ tài nguyên
Nhiệm vụ quan trọng nhất của tường lửa là bảo vệ tài nguyên mạng khỏi các mối đe dọa từ bên ngoài Tài nguyên mạng có thể là các đài cục bộ trong mạng nội bộ hoặc máy chủ thư và máy chủ web và điều quan trọng nhất là dữ liệu nhạy cảm về kinh doanh Quản trị viên có thể áp dụng lọc gói, xác thực truy cập, sử dụng Máy chủ proxy hoặc bất kỳ phương thức bổ sung nào để bảo vệ mạng Tuy nhiên, quản trị viên nên nhớ rằng tường lửa không phải là giải pháp
an toàn tuyệt đối cho hệ thống mạng
2.2.5 Ghi chú và báo cáo sự kiện
Thực tế chứng minh rằng không phải vấn đề bạn có bao nhiêu lớp bảo mật, nó không phải là 100% chắc chắn rằng hệ thống mạng là an toàn Bạn không thể chặn mọi tấn công trên hệ thống Vì lý do đó là hợp lý để có một biện pháp phòng ngừa chống lại những gì một bức tường lửa không thể bảo vệ Các
sự kiện ghi âm và báo cáo ghi lại tất cả thông tin về các hoạt động vi phạm chính sách và báo cáo cho quản trị viên Quản trị viên sẽ căn cứ vào báo cáo này để đánh giá và phân tích các vấn đề và cung cấp các giải pháp cụ thể Thông tin này
sẽ được sử dụng thường xuyên để phân tích các vấn đề và nguyên nhân của nó trong hệ thống mạng [1]
Trang 302.3 Công nghệ tường lửa
Trong phần này, chúng ta tập trung vào các thành phần sử dụng trong các
tường lửa khác nhau và cách chúng hoạt động [1]
2.3.1 Packet Filters
Tường lửa hoạt động chặt chẽ với giao thức TCP / IP và làm việc với
thuật toán tách dữ liệu nhận được từ ứng dụng trên mạng, hoặc rõ ràng hơn từ
các dịch vụ chạy trên giao thức (Telnet, SMTP, DNS, SMNP, NFS, v.v.) Sau
đó, nó gán địa chỉ cho các gói dữ liệu này để nhận dạng và thiết lập lại các gói
dữ liệu tại đích Đó là lý do tại sao một tường lửa liên quan đến các gói dữ liệu
và địa chỉ của chúng
Mô tả một lọc gói đơn giản:
Hình 2 3: Packet Filters
Lọc gói là quá trình chặn và xử lý dữ liệu trong một gói tin nhằm xác định
liệu cho nên cho phép hoặc từ chối gói tin đó theo những chính sách truy cập đã
được xác định Quá trình này có thể dựa vào bất kỳ yếu tố nào hoặc tất cả các
yếu tố sau đây để đưa ra quyết định lọc gói đó hay không
IP source address
IP destination address
Transfer protocols (TCP, UDP, ICMP, etc.)
Trang 31 TCP/UDP source port
TCP/UDP destination port
ICMP message type
Interface of incoming/outgoing packet
Nếu các quy tắc lọc gói được thỏa mãn, một gói có thể được đi qua tường lửa Nếu không, gói đó sẽ bị loại bỏ Các quy tắc này cho phép tường lửa chặn một kết nối đến một số máy chủ hoặc máy chủ nhất định hoặc chặn kết nối bất hợp pháp tới mạng cục bộ từ địa chỉ IP không hợp lệ Hơn nữa, kiểm soát cổng cung cấp cho tường lửa khả năng cho phép một số loại kết nối nhất định cho các máy chủ nhất định hoặc chỉ các giao thức này (Telnet, SMTP, FTP, v.v.) được cấp để được truyền trong mạng cục bộ
Một hệ thống sử dụng tường lửa lọc gói có nhiều lợi ích Lọc gói là một phương pháp chi phí thấp và dễ quản lý và đó là lý do tại sao phương pháp này được có trong hầu hết mọi bộ định tuyến Bên cạnh đó, lọc gói là trong suốt với người dùng và ứng dụng, do đó, nó không yêu cầu bất kỳ hướng dẫn đặc biệt nào Mặt khác, phương pháp này cũng có một số nhược điểm Việc xác định một chế độ lọc gói là phức tạp, nó đòi hỏi người quản trị phải có đủ kiến thức về các dịch vụ Internet, các kiểu tiêu đề gói và các giá trị cụ thể mà chúng sẽ nhận được trong mỗi tình huống Khi nhu cầu lọc mở rộng, quy tắc lọc sẽ dài hơn và phức tạp hơn, khó kiểm soát và quản lý Bên cạnh đó, do lọc gói làm việc trên một tiêu đề gói, rõ ràng nó không thể kiểm soát nội dung gói Một gói tin được truyền tải vẫn có thể mang mục đích xấu để ăn cắp hoặc phá hủy thông tin trong
hệ thống
Ưu điểm và hạn chế của hệ thống firewall sử dụng bộ lọc gói:
Ưu điểm: Đa số các hệ thống Firewall đều sử dụng bộ lọc gói Một trong những ưu điểm của phương pháp dùng bộ lọc gói là chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router Ngoài ra, bộ lọc gói là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả
Trang 32Nhược điểm: Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp
nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng Packet Header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển Do làm việc dựa trên Header của các Packet, rõ ràng là bộ lọc gói không kiểm soát được nội dung thông tin của Packet Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu
2.3.2 Application level gateway
Tường lửa mức ứng dụng (Application level gateway) được thiết kế để tăng cường khả năng kiểm soát các dịch vụ và các giao thức trên mạng Nguyên tắc hoạt động của nó dựa trên phương thức dịch vụ proxy Dịch vụ proxy là một bộ
mã đặc biệt được cài đặt trên cổng vào cho mỗi ứng dụng Nếu quản trị viên không cài đặt mã proxy cho một ứng dụng nhất định, dịch vụ tương ứng sẽ không được cung cấp do đó nó không thể được chuyển qua tường lửa Bên cạnh đó, một
mã proxy có thể được cấu hình để chỉ hỗ trợ một vài tính năng trong một ứng dụng mà quản trị viên coi là chấp nhận được trong khi từ chối các tính năng khác
Hay còn được gọi là Proxy, hoạt động như kẻ trung gian giữa hai hệ thống giống như Circuit-Level Gateways nhưng có chức năng lọc gói tin và hoạt động
ở lớp Application của mô hình OSI Chúng làm việc bằng cách tạo ra và chạy một tiến trình để các lưu lượng bắt buộc phải đi qua nó trước khi được truyền đến đích Để hỗ trợ cho các dịch vụ khác nhau, proxy firewall bắt buộc phải tạo
ra một giao thức đặt biệt để hỗ trợ dịch vụ đó: một SMTP Proxy cho Email, một FTP Proxy cho việc truyền tải tập tin, một HTTP Proxy cho dịch vụ Web
Bất cứ khi nào một máy tính muốn truy cập một dịch vụ trên internet, gói tin yêu cầu kết nối phải được xử lý bởi các dịch vụ proxy cụ thể của các giao thức đó trước khi được truyền đến đích Các gói tin trở về từ máy chủ trên internet cũng phải được xử lý một cách tương tự trước khi chuyển tiếp đến hệ thống nội bộ Trong một số proxy firewall, một dịch vụ proxy chung có thể sử dụng cho nhiều dịch vụ khác nhau Tuy nhiên, không phải tất cả các dịch vụ đều
Trang 33có thể sử dụng proxy chung đó Hoặc khi một dịch vụ không thể sử dụng proxy chung và chúng cũng không có một proxy riêng biệt nào thì Application-Level Gateways không thể thực hiện được bất kỳ biện pháp lọc gói tin nào
Do có khả năng giám sát, nên tường lửa proxy có khả năng kiểm tra sâu vào trong các gói tin của một kết nối và áp dụng các dịch vụ bổ sung để xác định xem gói tin có được chuyển tiếp hay không Tuy nhiên chúng có một vài hạn chế là việc cấu hình tương đối phức tạp và tốc độ của chúng cũng là một trở ngại lớn Bởi vì loại firewall này kiểm tra sâu vào trong các ứng dụng nên gây ra sự chậm trễ trong kết nối mạng
Hình 2 4: Application level gateway 2.3.3 Circuit-Level Gateways
Circuit-Level Gateways hoạt động ở mức session của mô hình OSI hoặc lớp TCP của mô hình TCP/IP Chúng giám sát việc “bắt tay” ( handshaking ) giữa các gói tin để xem xét phiên yêu cầu có hợp lệ hay không Khi một thông tin nào đó được trao đổi với một máy tính ở xa, Circuit-Level Gateways có nhiệm vụ sửa đổi thông tin đó để chúng trông có vẻ như xuất phát từ Circuit-Level Gateways Nó làm việc như một sợi dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection) Điều này thật sự hữu dụng trong việc che giấu thông tin về một mạng nội bộ mà
nó đang bảo vệ, tuy nhiên nhiệm vụ của CircultLevel gateways đơn giản là chuyển tiếp các packet nên có một hạn chế là không thực hiện lọc gói tin bên trong kết nối đó
Trang 34Circult-Level gateways thường được sử dụng cho những kết nối ra ngoài, nơi mà những người quản trị thật sự tin tưởng những người dùng bên trong mạng nội bộ
Hình 2 5: Circuit-Level Gateway 2.3.4 Stateful Multilayer Inspection Firewalls
Mô hình Stateful Multilayer Inspection Firewalls kết hợp các khía cạnh của NAT Firewalls, Packet Filters, Circuit-Level Gateways và Application-Level Gateways lại với nhau Firewall này lọc các lưu lượng ban đầu dựa trên đặc tính của các gói tin như Packet Filters Firewalls, nhưng cũng bao gồm cả việc kiểm tra phiên làm việc xem chúng có hợp lệ hay không
Stateful Multilayer Inspection Firewalls phức tạp hơn các thành phần cấu tạo nên chúng nhưng được coi là cơ sở trong vấn đề an ninh mạng ngày nay và hầu hết các firewall trên thị trường ngày nay là Stateful Multilayer Inspection Firewalls
Hình 2 6: Stateful Multilayer Inspection
Trang 352.4 Phân loại tường lửa
Firewall có thể là một thiết bị phần cứng chuyên dụng hoặc có thể là một sản phẩm phần mềm được cài trên một máy chủ làm nhiệm vụ như một firewall hoặc cũng có thể là một ứng dụng được cài trên máy tính cá nhân Việc phân loại firewall có thể có nhiều cách khác nhau, tuy nhiên ta có thể phân loại nó thành một trong hai loại sau:
Desktop hoặc Personal Firewall: Đây là loại firewall dành cho cá nhân
và máy tính cá nhân, ta có thể liệt firewall của các phần mềm diệt virus vào nhóm này Loại này được thiết kế để bảo vệ một máy tính trước sự truy cập trái phép từ bên ngoài Bên cạnh đó thì Personal Firewall còn được tích hợp thêm tính năng như theo dõi các phần mềm chống virus, phần mềm chống xâm nhập
để bảo vệ dữ liệu Một số Personal Firewall thông dụng như: Microsoft Internet connection firewall, Symantec personal firewall, Cisco Security Agent… Loại Firewall này thì thích hợp với cá nhân bởi vì thông thường họ chỉ cần bảo vệ máy tính của họ, thường được tích hợp sẵn trong máy tính Laptop, máy tính PC
Network Firewall: Được thiết kế ra để bảo vệ các host trong mạng trước
sự tấn công từ bên ngoài Chúng ta có các Appliance-Based network Firewalls như Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall Hoặc một số ví dụ về Software-Base firewalls include Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables
Sự khác nhau chính giữa hai loại firewall này đơn giản là số lượng máy tính mà nó bảo vệ