TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG.doc

TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG

PHẦN I: TỔNG QUAN VỀ AN TOÀN

THÔNG TIN TRÊN MẠNG

An toàn thông tin là nhu cầu rất quan trọng đối với cá nhân cũng như đối với

xã hội và các quốc gia trên thế giới Mạng máy tính an toàn thông tin được tiếnhành thông qua cá phương pháp vật lý và hành chính Từ khi ra đời cho đến naymạng máy tính đã đem lại hiệu quả vô cùng to lớn trong tất cả các lĩnh vực của đờisống Bên cạnh đó người sử dụng phải đối mặt với các hiểm họa do thông tin trênmạng của họ bị tấn công An toàn thông tin trên mạng máy tính bao gồm cácphương pháp nhằm bảo vệ thông tin được lưu giữ và truyền trên mạng An toànthông tin trên mạng máy tính là một lĩnh vực đang được quan tâm đặc biệt đồngthời cũng là một công việc hết sức khó khăn và phức tạp

Thực tế đã chứng tỏ rằng có một tình trạng rất đáng lo ngại khi bị tấn côngthông tin trong quá trình xử lý, truyền và lưu giữ thông tin Những tác động bấthợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữtin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trongcác mạng máy tính Sau đây là một vài ví dụ điển hình về các tác động bất hợppháp vào các mạng máy tính:

Các sinh viên trường Đại học Tổng hợp Mỹ đã lập và cài đặt vào máy tínhmột chương trình bắt chước sự làm việc với người sử dụng ở xa Bằng chươngtrình họ đã nắm trước được nhu cầu của người sử dụng và hỏi mật khẩu của họ.Đến khi bị phát hiện các sinh viên này đã kịp lấy được mật khẩu của hơn 100người sử dụng hợp pháp hệ thống máy tính

Các nhân viên của hãng CDC(Mỹ) đã “xâm nhập” vào trung tâm tính toáncủa một hãng sản xuất hóa phẩm và đã phá hủy các dữ liệu lưu giữ trên băng từ

Hãng bách khoa toàn thư của Anh đã đưa ra tòa 3 kĩ thuật viên trong trungtâm máy tính của mình với lời buộc tội họ đã sao chép từ ổ đĩa của máy chủ têntuổi gần 3 triệu khách hàng đáng giá của hãng để bán cho hãng khác.

Chiếm vị trí đáng kể hơn cả trong số các hành động phi pháp tấn công mạngmáy tính là các hành vi xâm nhập vào hệ thống, phá hoại ngầm, gây nổ, làm hỏngđường cáp kết nối và các hệ thống mã hóa Song phổ biến nhất vẫn là việc phá hủycác phần mềm xử lý thông tin tự động, chính các hành vi này thường gây thiệt hại

vô cùng lớn lao

Cùng với sự gia tăng của nguy cơ đe dọa thông tin trong các mạng máy tính,vấn đề bảo vệ thông tin càng được quan tâm nhiều hơn Sau kết quả nghiên cứuđiều tra của của viện Stendfooc (Mỹ), tình hình bảo vệ thông tin đã có những thayđổi đáng kể Đến năm 1985 nhiều chuyên gia Mỹ đi đến kết luận rằng các tác độngphi pháp trong hệ thống thông tin tính toán đã trở thành tai họa quốc gia.Khi có đủcác tài liệu nghiên cứu, hiệp hội luật gia Mỹ tiến hành một cuộc nghiên cứu đặcbiệt Kết quả là gần một nửa số ý kiến thăm dò thông báo rằng trong năm 1984 họ

đã là nạn nhân của các hành động tội phạm được thực hiện bằng máy tính, rấtnhiều trong số các nạn nhân này đã thông báo cho chính quyền về tội phạm., 39%

số nạn nhân tuy có thông báo nhưng lại không chỉ ra được mục tiêu mà mình nghivấn Đặc biệt nhiểu là các vụ phạm pháp xảy ra trên mạng máy tính của các cơquan kinh doanh và nhà băng Theo các chuyên gia, tính đến trước năm 1990 ở Mỹlợi lộc thu được từ việc thâm nhập phi pháp vào các hệ thống thông tin đã lên tớigần 10 triệu đô la Tổn thất trung bình mà nạn nhân phải trả vì các vụ phạm pháp

ấy từ 400.000 đến 1.5 triệu đô la Có hãng đã phải tuyên bố phá sản vì một nhânviên cố ý phá bỏ tất cả các tài liệu kế toán chứa trong bộ nhớ của máy tính về số nợ

I CÁC HÌNH THỨC TẤN CÔNG.

1.1 Tấn công trực tiếp:

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giaiđoạn đầu để chiếm được quyền truy nhập bên trong Một phương pháp tấn công

cổ điển là dò tìm tên ngời sử dụng và mật khẩu Đây là phương pháp đơn giản,

dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấncông có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, sốnhà vv để đoán mật khẩu Trong trường hợp có được danh sách người sử dụng

và những thông tin về môi trường làm việc, có một trương trình tự động hoá vềviệc dò tìm mật khẩu này

Một chương trình có thể dễ dàng lấy được từ Internet để giải các mậtkhẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổhợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự địnhnghĩa Trong một số trường hợp, khả năng thành công của phương pháp này cóthể lên tới 30%

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệđiều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục

để chiếm quyền truy nhập Trong một số trường hợp phương pháp này cho phép

kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator)

Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này

là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hànhUNIX

Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng

ngàn dòng lệnh của ngôn ngữ C Sendmail được chạy với quyền ưu tiên của

của những người sử dụng máy Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài Đây chính là những yếu tố làm cho sendmail trở

thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống

Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa

vào một máy khác sử dụng tài nguyên của máy này Trong quá trình nhận tên

và mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi

đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập

1.2 Nghe trộm:

Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích

như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc

nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép bắt các gói tin vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng Những

thông tin này cũng có thể dễ dàng lấy được trên Internet

1.3 Giả mạo địa chỉ:

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụngkhả năng dẫn đường trực tiếp (source-routing) Với cách tấn công này, kẻ tấncông gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thôngthường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạngbên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

1.4 Vô hiệu các chức năng của hệ thống (DoS, DDoS):

Đây là kểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức

năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do những

phương tiện đợc tổ chức tấn công cũng chính là các phương tiện để làm việc vàtruy nhập thông tin trên mạng Ví dụ sử dụng lệnh ping với tốc độ cao nhất cóthể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng

để trả lời các lệnh này, không còn các tài nguyên để thực hiện những công việc

có ích khác

Hình 1 Mô hình tấn công DdoS

 Client là một attacker sắp xếp một cuộc tấn công

 Handler là một host đã được thỏa hiệp để chạy những chương trìnhđặc biệt dùng đê tấn công

 Mỗi handler có khả năng điều khiển nhiều agent

 Mỗi agent có trách nhiệm gửi stream data tới victim

1.5 Lỗi của người quản trị hệ thống:

Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiênlỗi của người quản trị hệ thống thờng tạo ra những lỗ hổng cho phép kẻ tấncông sử dụng để truy nhập vào mạng nội bộ

1.6 Tấn công vào yếu tố con người:

Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm mộtngười sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập củamình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống đểthực hiện các phương pháp tấn công khác Với kiểu tấn công này không mộtthiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dụcngười sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác vớinhững hiện tượng đáng nghi Nói chung yếu tố con ngời là một điểm yếu trongbất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợptác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ

II CÁC DỊCH VỤ BẢO VỆ THÔNG TIN TRÊN MẠNG

Chúng ta có thể coi các dịch vụ bảo vệ thông tin như là “bản sao” của cácthao tác bảo vệ tài liệu vật lý Các tài liệu vật lý có các chữ kí và thông tin về ngàytạo ra nó Chúng được bảo vệ nhằm chống lại việc đọc trộm, giả mạo, phá hủy…Chúng có thể được công chứng, chứng thực, ghi âm, chụp ảnh…

Tuy nhiên có các điểm khác nhau giữa tài liệu điện tử và tài liệu giấy:

- Ta có thể phân biệt giữa tài liệu giấy nguyên bản và một tài liệu sao chép.Nhưng tài liệu điện tử chỉ là một dãy các bit nên không thể phân bệt được đâu là tàiliệu “nguyên bản” đâu là tài liệu sao chép

- Một sự thay đổi trong tài liệu giấy đều để lại dấu vết như vết xóa, tẩy…Tuy nhiên sự thay đổi tài liệu điện tử hoàn toàn không để lại dấu vết

Dưới đây là các dịch vụ bảo vệ thông tin trên mạng máy tính

2.1 Dịch vụ bí mật (Confidentiality)

Dịch vụ bí mật bảo đảm rằng thông tin trong hệ thống máy tính và thôngtin được truyền chỉ được đọc bởi những bên được ủy quyển Thao tác đọc baogồm in, hiển thị,…Nói cách khác, dịch vụ bí mật bảo vệ dữ liệu được truyềnchống lại các tấn công bị động nhằm khám phá nội dung thông báo

Thông tin được bảo vệ có thể là tất cả dữ liệu được truyền giữa hai ngườidùng trong một khoảng thời gian hoặc một thông báo lẻ hay một số trườngtrong thông báo

Dịch vụ này còn cung cấp khả năng bảo vệ luồng thông tin khỏi bị tấncông phân tích tình huống

Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo đượcnhận dạng đúng với các định danh đúng

2.3 Dịch vụ toàn vẹn (Integrity)

Dịch vụ toàn vẹn đòi hỏi rằng các tài nguyên hệ thống máy tính và thôngtin được truyền không bị sử đổi trái phép Việc sửa đổi bao gồm các thao tácviết, thay đổi, thay đổi trạng thái, xóa thông báo, tạo thông báo, làm trể hoặcdùng lại các thông báo được truyền

Dịch vụ toàn vẹn có thể áp dụng cho một thông báo, một luồng thông báohay chỉ một số trường trong thông báo

Dịch vụ toàn vẹn định hướng kết nối (connection-oriented) áp dụng chomột luồng thông báo và nó bảo đảm rằng các thông báo được nhận có nội dunggiống như khi được gửi, không bị nhân bản, chèn, sửa đổi, thay đổi trật tự hay

toàn vẹn phi kết nối chỉ quan tâm đến việc sử đổi thông báo Dịch vụ toàn vẹnnày thiên về phát hiện hơn là ngăn chặn

2.4 Không thể chối bỏ (Nonrepudiation)

Dịch vụ không thể chối bỏ ngăn chặn người gửi hay người nhận chối bỏthông báo được truyền Khi thông báo được gửi đi người nhận có thể chứngminh rằng người gửi nêu danh đã gửi nó đi Khi thông báo nhận được, ngườigửi có thể chứng minh thông báo đã được nhận bởi người nhận hợp pháp

2.5 Kiểm soát truy nhập (Access control)

Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập đến các

hệ thống máy tính và các ứng dụng theo các đường truyền thông Mỗi thực thểmuốn truy nhập đuề phải định danh hay xác nhận có quyền truy nhập phù hợp

Các mối đe dọa chủ yếu tới sự an toàn trong các hệ thống mạng xuất phát từtính mở của các kênh truyền thông (chúng là các cổng được dùng cho truyền thônghợp pháp giữa các tiến trình như client, server) và hậu quả là làm cho hệ thống bịtấn công Chúng ta phải thừa nhận rằng trong mọi kênh truyền thông, tại tất cả các

mức của phần cứng và phần mềm của hệ thống đều chịu sự nguy hiểm của các mối

đe dọa đó

Biện pháp để ngăn chặn các kiểu tấn công ở trên là:

- Xây dựng các kênh truyền thông an toàn để tránh việc nghe trộm

- Thiết kế các giao thức xác nhận lẫn nhau giữa máy khách hàng và máy chủ:+ Các máy chủ phải đảm bảo rằng các máy khách hàng đúng là máy củanhững người dùng mà chúng đòi hỏi

+ Các máy khách hàng phải đảm bảo rằng các máy chủ cung cấp các dịch

vụ đặc trưng là các máy chủ được ủy quyền cho các dịch vụ đó

+ Đảm bảo rằng kênh truyền thông là “tươi” nhằm tránh việc dùng lại thôngbáo

III CÁC KỸ THUẬT BẢO VỆ THÔNG TIN TRÊN MẠNG

III.1 Mã hóa

Việc mã hóa các thông báo có các vai trò sau:

1 Nó dùng để che dấu thông tin mật được đặt trong hệ thống Như chúng ta

đã biết, các kênh truyền thông vật lý luôn bị tấn công bởi sự nghe trộm vàxuyên tạc thông báo Theo truyền thống, việc trao đổi thư từ bằng mật mã đượcdùng trong các hoạt động quân sự, tình báo Điều này dựa trên nguyên tắc làmột thông báo được mã hóa với một khóa mã xác định và chỉ có thể được giải

mã bởi người biết khóa ngược tương ứng

nhiệm sau khi giải mã thành công một thông báo bằng cách dùng một khóa dịchxác định có thể thừa nhận rằng thông báo được xác thực nếu nó chứa một vàigiá trị mong muốn Từ đó người nhận có thể suy ra rằng người gửi của thôngbáo có khóa mã tương ứng Như vậy nếu ác khóa được giữ bí mật thì việc giả

mã thành công sẽ xác thực thông báo đến từ một người gửi xác định

3 Nó được dùng để cài đặt một cơ chế chữ kí số Chữ kí số có vai trò quantrọng như một chữ kí thông thường trong việc xác nhận với một thành viên thứ

ba rằng một thông báo là một bản sao không bị thay đổi của một thông báođược tạo bởi người ủy nhiệm đặc biệt Khả năng để cung cấp một chữ kí số dựatrên nguyên tắc : có những việc chỉ có người ủy nhiệm là người gửi thực sự mới

có thể làm còn những người khác thì không thể Điều này có thể đạt được bằngviệc đòi hỏi một thành viên thứ 3 tin cậy mà anh ta có bằng chứng định danhcủa người yêu cầu để mã thông báo hoặc để mã một dạng ngắn của thông báođược gọi là digest tương tự như một checksum Thông báo hoặc digest được mãđóng vai trò như một chữ kí đi kèm với thông báo

III.2 Cơ chế sát thực

Trong các hệ thống nhiều người dùng tập trung các cơ chế xác thựcthường là đơn giản Định danh của người dùng có thể được xác thực bởi việckiểm tra mật khẩu của mỗi phiên giao dịch Cách tiếp cận này dựa vào cơ chếquản lí tài nguyên hệt thống của nhân hệ điều hành Nó chặn tất cả các phiêngiao dịch mới bằng cách giả mạo người khác

Trong các mạng máy tính, việc xác thực là biện pháp mà nhờ nó các địnhdanh của các máy chủ và các máy khách hàng được xác minh là đáng tin cậy

Cơ chế được dùng để đạt điều này là dựa trên quyền sở hữu các khóa mã Từthực tế rằng chỉ một người ủy nhiệm mới có quyền sở hữu khóa bí mật, chúng

ta suy ra rằng người ủy nhiệm chính là người có định danh mà nó đòi hỏi Việc

sở hữu một mật khẩu bí mật cũng được dùng để xác nhận định danh của người

sở hữu Các dịch vụ xác thực dựa vào việc dùng mật mã có độ an toàn cao Dịch vụ phân phối khóa có chức năng tạo, lưu giữ và phân phối tất cả các khóamật mã cần thiết cho tất cả người dùng trên mạng

III.3 Các cơ chế điều khiển truy nhập

Các cơ chế điều khiển truy nhập được dùng để đảm bảo rằng chỉ có một

số người dùng được gán quyền mới có thể truy nhập đến các tài nguyên thôngtin (tệp, tiến trình, cổng truyền thông…) và các tài nguyên phần cứng (máy chủ,processor, Gateway…)

Các cơ chế điều khiển truy nhập xảy ra trong các hệ điều hành đa ngườidùng không phân tán Trong UNIX và các hệ thống nhiều người dùng khác, cáctệp là các tài nguyên thông tin có thể chia xẻ quan trọng nhất và một cơ chếđiều khiển truy nhập được cung cấp để cho phép mỗi người dùng quản lí một sốtệp bí mật và để chia xẻ chúng trong một cách thức được điều khiển nào đó

IV GIẢI PHÁP TỔNG THỂ CHO AN TOÀN THÔNG TIN TRÊN MẠNG

Khi nói đến giả pháp tổng thể cho an toàn thông tin trên mạng, các chuyêngia đểu nhấn mạnh một thực tế là không có thứ gì là an toàn tuyệt đối Hệ thốngbảo vệ có chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiệu hóa bởi những kẻphá hoại điêu luyện về kĩ xảo và có đủ thời gian Chưa kể trong nhiều trường hợp

kẻ phá hoại lại nằm ngay trong nội bộ cơ quan có mạng cần bảo vệ Từ đó có thểthấy rằng vấn đề an toàn mạng máy tính thực tế là một cuộc chạy tiếp sức khôngngừng và không ai dám khẳng định là có đích cuối cùng hay không

IV.1 Các mức bảo vệ thông tin trên mạng

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải

sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn”đối với các hoạt động xâm phạm Ngoài việc bảo vệ thông tin trên đườngtruyền, chúng ta còn phải bảo vệ thông tin được cất giữ trong các máy tính, đặcbiệt là trong các máy chủ trên mạng Bởi thế ngoài một số biện pháp nhằmchống lại việc tấn công vào thông tin trên đường truyền, mọi cố gắng phải tậptrung vào việc xây dựng các mức “rào chắn” từ ngoài vào trong cho các hệthống kết nối vào mạng Hình 1.3 mô tả các lớp “rào chắn” thông dụng hiện nay

để bảo vệ thông tin trên mạng máy tính:

Hình 2: Các mức bảo vệ thông tin trên mạng máy tính

 Quyền truy nhập:

Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyênthông tin của mạng và quyền hạn của người sử dụng trên tài nguyên đó Hiện tạiviệc kiểm soát thường ở mức tệp

 Đăng kí tên và mật khẩu:

Lớp bảo vệ tiếp theo là đăng kí tên/ mật khẩu (login/password) Thực rađây cũng là lớp kiểm soát quyền truy nhập, nhưng không phải truy nhập ở mứcthông tin mà ở mức hệ thống Đây là phương pháp bảo vệ phổ biến nhất vì nó

Thông tin

đăng kí tên và mật khẩu trước Người quản trị mạng có trách nhiệm quản lí,kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của nhữngngười sử dụng khác tùy theo thời gian và không gian, nghĩa là một người sửdụng chỉ được phép vào mạng ở những thời điểm và từ những vị trí xác định.

Về lí thuyết, nếu mọi người đều giữ kín được tên và mật khẩu đăng kí của mìnhthì sẽ không xảy ra các truy nhập trái phép Song điều đó rất khó đảm bảo trongthực tế vì nhiều nguyên nhân, chẳng hạn như người sử dụng thiếu cẩn thận khichọn mật khẩu trùng với ngày sinh, tên người thân hoặc ghi mật khẩu ra giấy…Điều đó làm giảm hiệu quả của lớp bảo vệ này Có thể khắc phục bằng nhiềucách như người quản trị có trách nhiệm đặt mật khẩu, thay đổi mật khẩu theothời gian…

 Mã hóa dữ liệu;

Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phươngpháp mã hóa Dữ liệu được biến đổi từ dạng nhận thức được sang dạng khôngnhận thức được theo một thuật toán nào đó (lập mã) và sẽ được biến đổi ngượclại (dịch mã) ở nơi nhận Đây là lớp bảo vệ thông tin rất quan trọng và được sửdụng rộng rãi trong môi trường mạng

 Bức tường lửa (Firewall)

Để bảo vệ từ xa một máy tính hoặc cho cả một mạng nội bộ, người tathường dùng các hệ thống đặc biệt là tường lửa Chức năng của các tường lửa làngăn chặn các thâm nhập trái phép (theo danh sách truy nhập xác định trước) vàthậm chí có thể “lọc” bỏ các gói tin mà ta không muốn gửi đi hoặc nhận vìnhững lí do nào đó Phương thức này được sử dụng nhiều trong môi trườngmạng Internet

Một cách tiếp cận khác trong việc xây dựng giải pháp tổng thể về an toànthông tin trên mạng máy tính là đưa ra các phương pháp và phương tiện bảo vệthông tin

IV.2 Các phương pháp và phương tiện bảo vệ thông tin

Trong giai đoạn đầu tiên, người ta cho rằng việc bảo vệ thông tin trong hệthống thông tin tính toán có thể được thực hiện tương đối dễ dàng, thuần túybằng các chương trình phần mềm Chính vì vậy các phương tiện chương trình

có kèm theo việc bổ sung các biện pháp tổ chức cần thiết được phát triển mộtcách đáng kể Nhưng cho đến lúc chỉ riêng các phương tiện tỏ ra không thể đảmbảo chắc chắn việc bảo vệ thông tin thì các thiết bị kỹ thuật đa năng, thậm chí

cả một hệ thống kĩ thuật lại phát triển một cách mạnh mẽ Từ đó cần thiết phảitriển khai một cách đồng bộ tất cả các phương tiện bảo vệ thông tin Cácphương pháp bảo vệ thông tin bao gồm

 Các chướng ngại:

Chướng ngại là nhằm ngăn cản kẻ tấn công tiếp cận thông tin được bảo

 Điều khiển sự tiếp cận:

Điều khiển sự tiếp cận là phương pháp bảo vệ thông tin bằng cách kiểmsoát việc sử dụng tất cả các tài nguyên của hệ thống Trong một mạng máy tínhcần xây dựng các qui định rõ ràng và chặt chẽ về chế độ làm việc của người sửdụng, các kĩ thuật viên sử dụng các chương trình phần mềm, các cơ sở dữ liệu

và các thiết bị mang tin

Cần phải quy định thời gian làm việc trong tuần, trong ngày cho người sửdụng và nhân viên kĩ thuật trên mạng Trong thời gian làm việc, cần phải xácđịnh một danh mục những tài nguyên của mạng được phép tiếp cận và trình tựtiếp cận chúng Cần thiết phải có cả một danh sách các cá nhân được quyền sửdụng các phương tiện kĩ thuật, các chương trình

Với các ngân hàng dữ liệu người ta cũng chỉ ra một danh sách nhữngngười sử dụng dược quyền tiếp cận nó Đối với các thiết bị mang tin, phải xácđịnh chặt chẽ vị trí lưu giữ thường xuyên, danh sách các cá nhân có quyền nhậncác thiết bị này

Hình 3: Các phương pháp và phương tiện bảo vệ thông tin.

Các chướng ngại

Điều khiển

Mã hóa thông tin

Tổ chức

Luật pháp

Đạo đức

Các phương tiện bảo vệ

Các

phương

pháp bảo

vệ

 Mã hóa thông tin:

Là phương pháp bảo vệ thông tin trên mạng máy tính bằng cách dùng cácphương pháp mật mã để che dấu thông tin mật Dạng bảo vệ này được sử dụngrộng rãi trong quá trình truyền và lưu giữ thông tin Khi truyền tin theo kênhtruyền công khai thì việc mã hóa là phương pháp duy nhất để bảo vệ thông tin

 Các qui định:

Các qui định nhằm tránh được một cách tối đa các khả năng tiếp cận phipháp thông tin trong các hệ thống xử lí tự động Để bảo vệ một cách có hiệuquả cũng cần phải quy định một cách chặt chẽ về kiến trúc của hệ thống thôngtin tính toán, về lược đồ công nghệ của việc xử lí tự động các thông tin cần bảo

vệ , tổ chức và đảm bảo điều kiện làm việc của tất cả các nhân viên xử lí thôngtin…

 Cưỡng bức:

Là phương pháp bảo vệ bắt buộc người sử dụng và các nhân viên của hệthống phải tuân theo nguyên tắc xử lí và sử dụng thông tin cần bảo vệ dưới áplực của các hình phạt về tài chính và trách nhiệm hình sự

Các phương tiện bảo vệ là tất cả các biện pháp tổ chức và kỹ thuật Các biệnpháp tổ chức và pháp lí được thực hiện trong quá trình thiết kế và vận hành hệ

thống thông tin Các biện pháp tổ chức cần được quan tâm một cáh đầy đủ trongquá trình thiết kế, xây dựng và hoạt động của hệ thống.

Các phương tiện luật pháp bao gồm các điều khoản luật pháp của nhà nướcqui định về nguyên tắc sử dụng và xử lí thông tin, về việc tiếp cận có hạn chếthông tin và những biện pháp xử lí khi vi phạm những nguyên tắc đó

Quá trình xây dựng hệ thống bảo vệ thông tin trải qua nhiều giai đoạn.Trong giai đoạn đầu các phương tiện chương trình chiếm ưu thế phát triển còn đếngiai đoạn hai thì tất cả các phương tiện bảo vệ đều được quan tâm Nhưng đến giaiđoạn ba thì hình thành rõ rệt các khuynh hướng sau:

- Tạo ra những thiết bị có chức năng bảo vệ cơ bản

- Xây dựng các phương tiện bảo vệ phức hợp có thể thực hiện một vàichức năng bảo vệ khác nhau

- Thống nhất và chuẩn hóa các phương tiện bảo vệ

PHẦN II: FIREWALL

A GIỚI THIỆU VỀ FIREWALL

Ngày nay, ở bất kỳ đâu chúng ta cũng nghe nói đến mạng Internet, cácphương tiện thông tin đại chúng như báo chí, phát thanh, truyền hình…

Qua mạng Internet, con người có thể kinh doanh tiếp thị trên toàn cầu và tiếpcận được khối lượng thông tin khổng lồ, cập nhật trong thời gian nhanh Lợi íchcủa Internet mang lại là không nhỏ, nhưng nguy hiểm khi tham gia vào mạng cũngkhông ít Nguy hiểm chính là ngày càng có nhiều mối đe dạo đến sự bảo mật vàmất mát thông tin

Thông tin là sự sống còn của một doanh nghiệp, một tổ chức hay một quốcgia Do đó thông tin là vô giá Chúng ta bằng mọi cách để bảo vệ chúng tránh cácmối nguy hiểm, một trong những giải pháp tốt hiện nay là xây dựng Firewall Sửdụng các bức tường lửa (Firewall) để bảo vệ mạng, tránh sự tấn công từ bên ngoàiđảm bảo được các yếu tố:

 An toàn cho sự hoạt động của toàn bộ hệ thống mạng

 Bảo mật cao trên nhiều phương diện

 Khả năng kiểm soát cao

 Đảm bảo tốc độ nhanh

 Mềm dẻo và dễ sử dụng

 Trong suốt với người sử dụng

 Đảm bảo kiến trúc mở

I ĐỐI TƯỢNG BẢO VỆ

Nhu cầu bảo vệ thông tin trên mạng có thể chia thành ba loại gồm: Bảo vệ

dữ liệu; Bảo vệ các tài nguyên sử dụng trên mạng và Bảo vệ uy tín của cơ quan

1.1 Đối với dữ liệu

Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do cácyêu cầu sau:

- Tính bí mật (Secrecy): Những thông tin có giá trị về kinh tế, quân sự,chính sách vv cần được giữ kín Lộ lọt thông tin có thể do con người hoặc hệthống bảo mật kém

- Tính toàn vẹn (Integriry): Thông tin không bị mất mát hoặc sửa đổi, đánhtráo Những người sử dụng có thể là nguyên nhân lớn nhất gây ra lỗi Việc lưutrữ các thông tin không chính xác trong hệ thống cũng có thể gây nên những kếtquả xấu như là bị mất dữ liệu Những kẻ tấn công hệ thống có thể sửa đổi, xóa

bỏ hoặc làm hỏng thông tin quan trọng mang tính sống còn cho các hoạt độngcủa tổ chức

- Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết.Trong các yêu cầu này, thông thường yêu cầu về tính bí mật được coi làyêu cầu số 1 đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay cả khi nhữngthông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũngrất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vậtchất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn củanhững thông tin đó

1.2 Đối với tài nguyên

Tài nguyên nói ở đây bao gồm không gian bộ nhớ, không gian đĩa, cácchương trình ứng dụng, thời gian thực thi chương trình, năng lực của bộ vi xửlí…

Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi

đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụcho mục đích của mình nhằm chạy các chương trình dò mật khẩu người sửdụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khácvv

1.3 Đối với uy tín

Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và mộttrong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là cáccông ty lớn và các cơ quan quan trọng trong bộ máy nhà nước Trong trườnghợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mìnhđược dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín làrất lớn và có thể để lại hậu quả lâu dài

II PHÂN LOẠI KẺ TẤN CÔNG

Có rất nhiều kẻ tấn công trên mạng toàn cầu-Internet và chúng ta cũngkhông thể phân loại chúng một cách chính xác, bất cứ một bản phân loại kiểu nàycũng chỉ nên được xem như là một sự giứi thiệu hơn là một cách nhìn rập khuôn

2.1 Người qua đường

Là những kẻ buồn chán với các công việc hàng ngày, họ muốn tìm nhữngtrò giả trí mới Họ đột nhập vào máy tính của bạn vì họ nghĩ bạn có thể cónhững dữ liệu hay, hoặc bởi họ cảm thấy thích thú khi được sử dụng máy tínhcủa người khác, hoặc chỉ đơn giản là họ không tìm được một việc gì hay hơn đểlàm Họ có thể là người tò mò nhưng không chủ đinh làm hại bạn Tuy nhiên,

họ thường gây hư hỏng hệ thống khi đột nhập hay khi xóa bỏ dấu vết của họ

2.3 Kẻ ghi điểm

Rất nhiều kẻ qua đường bị cuốn hút vào việc đột nhập, phá hoại Họmuốn được khẳng định mình thông qua số lượng và các kiểu hệ thống mà họ đãđột nhập qua Đột nhập được vào những nơi nổi tiếng, những nơi phòng bị chặtchẽ, những nơi thiết kế tinh xảo có giá trị nhiều điểm đối với họ Tuy nhiên họcũng sẽ tấn công tất cả những nơi họ có thể, với mục đích số lượng cũng nhưmục đích chất lượng Những người này không quan tâm đến những thông tinbạn có hay những đặc tính khác về tài nguyên của bạn Tuy nhiên, để đạt đượcmục đích là đột nhập, vô tình hay hữu ý họ sẽ làm hư hỏng hệ thống của bạn

2.4 Gián điệp

Hiện nay có rất nhiều thông tin quan trọng được lưu giữ trên máy tínhnhư các thông tin về quân sự, kinh tế…Gián điệp máy tính là một vấn đề phứctạp và khó phát hiện Thực tế, phần lớn các tổ chức không thể phòng thủ kiểutấn công này một cách hiệu quả và bạn có thể chắc rằng đường lên kết vớiInternet không phải là con đường dễ nhất để gián điệp thu lượm thông tin

III INTERNET FIREWALL

3.1 Firewall là gì ?

Một vài thuật ngữ:

- Mạng nội bộ (Inernal network) : bao gồm các máy tính,các thiết bị mạng Mạng máy tính thuộc một đơn vị quản lý(Trường học, công ty, tổ chức đoàn thể, Quốc gia…) cùng nằm

một bên với firewall, mà thông tin đến và đi từ một máy thuộc

nó đến một máy không thuộc nó đều phải qua firewall đó

- Host bên trong (Internal Host) : máy thuộc mạng nội bộ

- Host bên ngoài (External Host): máy bất kỳ kết nối vàoliên mạng và không thuộc mạng nội bộ nói trên

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng

để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall làmột kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép,nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mongmuốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế (mechanism) đểbảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng(Untrusted network) Thông thường Firewall được đặt giữa mạng bên trong củamột công ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảomật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấmtruy nhập từ bên trong tới một số địa chỉ nhất định trên Internet

Một cách vắn tắt, firewall là hệ thống ngăn chặn việc truy nhập trái phép

từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra.Firewall thực hiện việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắchay chỉ tiêu định trước

Hình 5: Lọc gói tin tại Firewall

Firewall có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai.Nếu là phần cứng, nó có thể chỉ bao gồm duy nhất bộ lọc gói tin hoặc là thiết bịđịnh tuyến (router được tích hợp sẵn chức năng lọc gói tin) Bộ định tuyến cócác tính năng bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP Quytrình kiểm soát cho phép bạn định ra những địa chỉ IP có thể kết nối với mạng

của bạn và ngược lại Tính chất chung của các Firewall là phân biệt địa chỉ IPdựa trên các gói tin hay từ chối việc truy nhập bất hợp pháp căn cứ trên địa chỉnguồn.

3.2 Chức năng

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạngbên trong (Intranet) và mạng Internet Thiết lập cơ chế điều khiển dòng thôngtin giữa mạng Intranet và mạng Internet Cụ thể là:

 Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet raInternet)

 Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internetvào Intranet)

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng Kiểm soátnội dung thông tin lưu chuyển trên mạng

Hình 6: Một số chức năng của Firewall

3.3 Các thành phần

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

 Bộ lọc gói tin (packet-filtering router)

 Cổng ứng dụng (application-level gateway hay proxy server)

 Cổng vòng (circuite level gateway)

3.3.1 Bộ lọc gói tin (packet-filtering router)

a Nguyên lý:

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quaFirewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thứcTCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhậnđược từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạytrên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữliệu (data pakets) rồi gán cho các packet này những địa chỉ để có thể nhậndạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quanrất nhiều đến các packet và những con số địa chỉ của chúng